13.03.2015
17:06

просмотров5931

Источник:
M24.ru

Метки:
хакеры, расследования, киберпреступники, Управление К

Распечатать

IT-сыщики: как расследуют киберпреступления

Фото: ТАСС/Максим Шеметов

Специалисты Университета Джонса Хопкинса обнаружили новый вирус, который угрожает миллионам гаджетов на Android и iOS. С помощью этой программы злоумышленник перехватывает канал связи и получает полный доступ к передаваемой информации.

В то же время Mail.Ru Group совместно с международной аналитической компанией Neilsen выяснила, что 64% россиян когда-либо становились жертвами киберпреступников.

О том, как защитить свои данные, сетевое издание M24.ru уже рассказывало, материалы можно увидеть здесь и здесь. В этот раз речь пойдет о том, как вообще расследуют киберпреступления.

Стадия 1: обнаружение угрозы

Любое расследование начинается с сообщения о преступлении – краже денег со счета, обнаружения шпионской программы или вируса. Иногда удается узнать о чем-то новом еще до инцидента, но это требует мониторинга действий разных преступных групп.

Как рассказал M24.ru бывший сотрудник управления "К" МВД, пожелавший остаться неизвестным, заявление от пострадавшего поступает в местное отделение полиции, после чего преступление квалифицируется и проводится первичная проверка – до возбуждения дела необходимо отработать материал, найти признаки состава правонарушения и собрать доказательства.

Дальше следователь возбуждает дело. Если это компьютерное преступление – например, несанкционированный доступ или распространение вредоносного ПО – то оно попадает в управление "К", причем исследование самих вредоносных программ доверяется частным фирмам.

Дело изначально может вести негосударственная фирма: как сообщил M24.ru глава департамента предотвращения угроз и расследований инцидентов Group-IB Дмитрий Волков, после обращения на место выезжает группа реагирования компании со специальным оборудованием. Они снимают данные и передают их в криминалистическую лабораторию Group-IB.

Важно, какое именно было совершено правонарушение: если произошла кража денег, то канал передачи информации хакеру отключают, а если шпионаж – то наоборот, оставляют, чтобы проще было отследить получателя данных.

Стадия 2: реконструкция преступления

В пресс-службе управления "К" M24.ru рассказали, что, например, в случае хищения денег с использованием мобильного банкинга прежде всего необходимо установить, какая программа использовалась для неправомерного доступа и куда были переведены средства.

Этим же нанимаются в лаборатории и частные эксперты-криминалисты. Там они восстанавливают хронологию событий:

  • Какая программа атаковала компьютер пользователя;
  • Во сколько и когда была совершена атака;
  • Откуда на компьютере появилось вредоносное ПО;
  • Куда ушли данные;
  • Какие последствия несет атака.

Фото: ТАСС/Михаил Мордасов

Стадия 3: исследование вируса

Вредоносные программы, обнаруженные в ходе обследования компьютера, попадают к частным аналитикам. Они уже подробно исследуют функционал вируса, какие возможности он предоставляет злоумышленнику и как им управлять.

В конечном итоге аналитики и криминалисты получают пул данных – подробное описание места преступления, инструментов, с помощью которых была совершена атака, и сведения о ресурсах, которые используют киберпреступники.

Проверкой вирусов могут также заниматься и в полиции, например, в самом "К" или в экспертно-криминалистическом центре. Однако правоохранители тесно работают и с антивирусными компаниями. "Комплексная работа и частно-государственное партнерство позволяют повысить эффективность оперативно-розыскной деятельности", - подчеркнули в МВД.

Стадия 4: Поиск исполнителей

О том, как именно ищут киберпреступников, рассказывать не принято, иначе все действия криминалистов и правоохранителей оказались бы тщетны. Но про один из путей сотрудник Group-IB Дмитрий Волков все же поведал.

"В ходе расследования мы стараемся восстановить историю развития хакера и вернуться к самому началу, когда он был не матерым профессионалом, а только набирался опыта. Естественно, в самом начале люди допускают гораздо больше ошибок, которые и позволяют их идентифицировать в Сети", - делится секретом глава департамента предотвращения угроз и расследований инцидентов Group-IB.

Остальное – забота правоохранительных органов: физический поиск и задержание хакера могут осуществить только полицейские или ФСБ. При этом Волков отметил, что ошибку в установлении личности хакера допустить легко, поэтому этим должны заниматься профессионалы с большим опытом.

Экс-сотрудник управления "К" подчеркнул, что в распоряжении МВД есть вся мощь государственной системы. "Мы вправе запрашивать самую разную информацию у интернет-провайдеров, операторов сотовой связи, владельцев интернет-ресурсов. Зачастую хакерские группировки многонациональны и в этом случае МВД вступает во взаимодействие с зарубежными ведомствами", - отметил собеседник издания.

Стадия 5: совместное расследование с правоохранителями

Когда к делу подключаются правоохранительные органы, частные эксперты не пропадают: начинается трехсторонняя работа. При этом силовики подключают свой арсенал:

  • Устанавливают заказчиков преступления;
  • Отслеживают денежные потоки;
  • Опечатывают компьютеры;
  • Выполняют следственно-процессуальные действия – обвинение, арест и прочее.


В то же время правоохранители перепроверяют информацию, полученную от экспертов. Стоит сказать, что непосредственным расследованием дел в управлении "К" не занимаются - там только обеспечивают техническое сопровождение. Само дело могут направить и в управление по борьбе с экономическими преступлениями, и в ФСБ.

По словам бывшего полицейского, когда круг подозреваемых сужается, проводятся оперативные мероприятия по отношению к подозреваемым: прослушка телефонов, просмотр электронной переписки и прочее. При этом технику изымают только тогда, когда на это есть серьезные основания. Сами компьютеры передают на исследование экспертам - как негосударственным фирмам, так и МВД.

Фото: M24.ru/Евгения Смолянская

Стадия 6: судебный процесс

Когда все тонкости киберпреступления установлены, а хакер пойман, начинается суд, в ходе которого опрашивают экспертов и разъясняют суду технические детали проведенной работы.

По словам представителя управления "К", для установления вины необходимо собрать полный комплекс доказательств, причем это будет не только IP-адрес или специальное ПО на компьютере у подозреваемого. "Сбор доказательственной базы – самый сложный этап работы. Кроме того, они должны быть получены в установленном законом порядке", - добавили в пресс-службе управления "К".

Расследование преступлений, направленных на пользователей смартфонов

Глава департамента Group-IB Дмитрий Волков отметил, что расследуются атаки, совершенные не только на ПК: за помощью обращаются и владельцы смартфонов. Зачастую, по его словам, такие преступления даже легче расследовать: у телефонов ограниченный объем памяти, которую нужно исследовать, и относительно небольшой набор программ.

Как не стать жертвой: советы от управления "К"

  • Использовать антивирусное ПО вне зависимости от платформы и типа устройства. Эта мера не дает стопроцентной гарантии, но позволит снизить вероятность стать жертвой;


  • Не устанавливать приложения из источников, не внушающих доверия, внимательно изучать права приложения. Если программе для редактирования мелодий требуется доступ к камере телефона, то это уже подозрительно;


  • Если вы пользуетесь мобильным банком, не используйте один и тот же телефон для запуска программы для мобильного банкинга и для получения SMS с кодами подтверждения. Современные вредоносные программы умеют перехватывать подобные сообщения. Для надежности заведите для SMS-уведомлений отдельный дешевый телефон, не смартфон;


  • Внимательно смотрите на адреса и другие приметы сайтов, на которых вы вводите пароли или платежные реквизиты, это позволит уберечься от фишинга;


  • Не открывайте подозрительные почтовые вложения. Если письмо с вложением или ссылкой пришло от знакомого вам человека, свяжитесь с ним для того, чтобы убедиться в адресанте;


  • Обращайте внимание на подозрительную активность вашего телефона: резкое увеличение потребления интернет-трафика, сокращение времени работы от батарей, а также постоянный нагрев;


  • Если вы стали жертвой киберпреступников, вы можете оставить обращение на сайте МВД России;



Сергей Блохин

Все новости Москвы. Подписывайтесь на наш Telegram!

Обратная связь закрыть

Если вы хотите поделиться информацией с другими посетителями — регистрируйтесь и обсуждайте новости в нашей социальной сети!

Если вы хотите пожаловаться на то, что мы неправильно склоняем географические названия, прочтите, пожалуйста, этот текст.

Форма обратной связи

Отправить

Ошибка на сайте закрыть

Форма Отправки ошибки на сайте

Отправить

Информация о мероприятии закрыть

Мероприятия закрыть