IT-сыщики: как расследуют киберпреступления

Фото: ТАСС/Максим Шеметов

Специалисты Университета Джонса Хопкинса обнаружили новый вирус, который угрожает миллионам гаджетов на Android и iOS. С помощью этой программы злоумышленник перехватывает канал связи и получает полный доступ к передаваемой информации.

В то же время Mail.Ru Group совместно с международной аналитической компанией Neilsen выяснила, что 64% россиян когда-либо становились жертвами киберпреступников.

О том, как защитить свои данные, сетевое издание M24.ru уже рассказывало, материалы можно увидеть здесь и здесь. В этот раз речь пойдет о том, как вообще расследуют киберпреступления.

Стадия 1: обнаружение угрозы

Любое расследование начинается с сообщения о преступлении – краже денег со счета, обнаружения шпионской программы или вируса. Иногда удается узнать о чем-то новом еще до инцидента, но это требует мониторинга действий разных преступных групп.

Как рассказал M24.ru бывший сотрудник управления "К" МВД, пожелавший остаться неизвестным, заявление от пострадавшего поступает в местное отделение полиции, после чего преступление квалифицируется и проводится первичная проверка – до возбуждения дела необходимо отработать материал, найти признаки состава правонарушения и собрать доказательства.

Дальше следователь возбуждает дело. Если это компьютерное преступление – например, несанкционированный доступ или распространение вредоносного ПО – то оно попадает в управление "К", причем исследование самих вредоносных программ доверяется частным фирмам.

Дело изначально может вести негосударственная фирма: как сообщил M24.ru глава департамента предотвращения угроз и расследований инцидентов Group-IB Дмитрий Волков, после обращения на место выезжает группа реагирования компании со специальным оборудованием. Они снимают данные и передают их в криминалистическую лабораторию Group-IB.

Важно, какое именно было совершено правонарушение: если произошла кража денег, то канал передачи информации хакеру отключают, а если шпионаж – то наоборот, оставляют, чтобы проще было отследить получателя данных.

Стадия 2: реконструкция преступления

В пресс-службе управления "К" M24.ru рассказали, что, например, в случае хищения денег с использованием мобильного банкинга прежде всего необходимо установить, какая программа использовалась для неправомерного доступа и куда были переведены средства.

Этим же нанимаются в лаборатории и частные эксперты-криминалисты. Там они восстанавливают хронологию событий:

  • Какая программа атаковала компьютер пользователя;
  • Во сколько и когда была совершена атака;
  • Откуда на компьютере появилось вредоносное ПО;
  • Куда ушли данные;
  • Какие последствия несет атака.

Фото: ТАСС/Михаил Мордасов

Стадия 3: исследование вируса

Вредоносные программы, обнаруженные в ходе обследования компьютера, попадают к частным аналитикам. Они уже подробно исследуют функционал вируса, какие возможности он предоставляет злоумышленнику и как им управлять.

В конечном итоге аналитики и криминалисты получают пул данных – подробное описание места преступления, инструментов, с помощью которых была совершена атака, и сведения о ресурсах, которые используют киберпреступники.

Проверкой вирусов могут также заниматься и в полиции, например, в самом "К" или в экспертно-криминалистическом центре. Однако правоохранители тесно работают и с антивирусными компаниями. "Комплексная работа и частно-государственное партнерство позволяют повысить эффективность оперативно-розыскной деятельности", - подчеркнули в МВД.

Стадия 4: Поиск исполнителей

О том, как именно ищут киберпреступников, рассказывать не принято, иначе все действия криминалистов и правоохранителей оказались бы тщетны. Но про один из путей сотрудник Group-IB Дмитрий Волков все же поведал.

"В ходе расследования мы стараемся восстановить историю развития хакера и вернуться к самому началу, когда он был не матерым профессионалом, а только набирался опыта. Естественно, в самом начале люди допускают гораздо больше ошибок, которые и позволяют их идентифицировать в Сети", - делится секретом глава департамента предотвращения угроз и расследований инцидентов Group-IB.

Остальное – забота правоохранительных органов: физический поиск и задержание хакера могут осуществить только полицейские или ФСБ. При этом Волков отметил, что ошибку в установлении личности хакера допустить легко, поэтому этим должны заниматься профессионалы с большим опытом.

Экс-сотрудник управления "К" подчеркнул, что в распоряжении МВД есть вся мощь государственной системы. "Мы вправе запрашивать самую разную информацию у интернет-провайдеров, операторов сотовой связи, владельцев интернет-ресурсов. Зачастую хакерские группировки многонациональны и в этом случае МВД вступает во взаимодействие с зарубежными ведомствами", - отметил собеседник издания.

Стадия 5: совместное расследование с правоохранителями

Когда к делу подключаются правоохранительные органы, частные эксперты не пропадают: начинается трехсторонняя работа. При этом силовики подключают свой арсенал:

  • Устанавливают заказчиков преступления;
  • Отслеживают денежные потоки;
  • Опечатывают компьютеры;
  • Выполняют следственно-процессуальные действия – обвинение, арест и прочее.


В то же время правоохранители перепроверяют информацию, полученную от экспертов. Стоит сказать, что непосредственным расследованием дел в управлении "К" не занимаются - там только обеспечивают техническое сопровождение. Само дело могут направить и в управление по борьбе с экономическими преступлениями, и в ФСБ.

По словам бывшего полицейского, когда круг подозреваемых сужается, проводятся оперативные мероприятия по отношению к подозреваемым: прослушка телефонов, просмотр электронной переписки и прочее. При этом технику изымают только тогда, когда на это есть серьезные основания. Сами компьютеры передают на исследование экспертам - как негосударственным фирмам, так и МВД.

Фото: M24.ru/Евгения Смолянская

Стадия 6: судебный процесс

Когда все тонкости киберпреступления установлены, а хакер пойман, начинается суд, в ходе которого опрашивают экспертов и разъясняют суду технические детали проведенной работы.

По словам представителя управления "К", для установления вины необходимо собрать полный комплекс доказательств, причем это будет не только IP-адрес или специальное ПО на компьютере у подозреваемого. "Сбор доказательственной базы – самый сложный этап работы. Кроме того, они должны быть получены в установленном законом порядке", - добавили в пресс-службе управления "К".

Расследование преступлений, направленных на пользователей смартфонов

Глава департамента Group-IB Дмитрий Волков отметил, что расследуются атаки, совершенные не только на ПК: за помощью обращаются и владельцы смартфонов. Зачастую, по его словам, такие преступления даже легче расследовать: у телефонов ограниченный объем памяти, которую нужно исследовать, и относительно небольшой набор программ.

Как не стать жертвой: советы от управления "К"

  • Использовать антивирусное ПО вне зависимости от платформы и типа устройства. Эта мера не дает стопроцентной гарантии, но позволит снизить вероятность стать жертвой;


  • Не устанавливать приложения из источников, не внушающих доверия, внимательно изучать права приложения. Если программе для редактирования мелодий требуется доступ к камере телефона, то это уже подозрительно;


  • Если вы пользуетесь мобильным банком, не используйте один и тот же телефон для запуска программы для мобильного банкинга и для получения SMS с кодами подтверждения. Современные вредоносные программы умеют перехватывать подобные сообщения. Для надежности заведите для SMS-уведомлений отдельный дешевый телефон, не смартфон;


  • Внимательно смотрите на адреса и другие приметы сайтов, на которых вы вводите пароли или платежные реквизиты, это позволит уберечься от фишинга;


  • Не открывайте подозрительные почтовые вложения. Если письмо с вложением или ссылкой пришло от знакомого вам человека, свяжитесь с ним для того, чтобы убедиться в адресанте;


  • Обращайте внимание на подозрительную активность вашего телефона: резкое увеличение потребления интернет-трафика, сокращение времени работы от батарей, а также постоянный нагрев;


  • Если вы стали жертвой киберпреступников, вы можете оставить обращение на сайте МВД России;



Сергей Блохин

Материалы по тегам

Яндекс.Метрика