Фото: ТАСС/Максим Шеметов
Специалисты Университета Джонса Хопкинса обнаружили новый вирус,
который угрожает миллионам гаджетов на Android и iOS. С помощью этой программы злоумышленник перехватывает канал связи и получает полный доступ к передаваемой информации.
В то же время Mail.Ru Group совместно с международной аналитической компанией Neilsen выяснила, что 64% россиян когда-либо становились жертвами киберпреступников.
О том, как защитить свои данные, сетевое издание M24.ru уже рассказывало, материалы можно увидеть
здесь и
здесь. В этот раз речь пойдет о том, как вообще расследуют киберпреступления.
Стадия 1: обнаружение угрозы
Любое расследование начинается с сообщения о преступлении – краже денег со счета, обнаружения шпионской программы или вируса. Иногда удается узнать о чем-то новом еще до инцидента, но это требует мониторинга действий разных преступных групп.
Как рассказал M24.ru бывший сотрудник управления "К" МВД, пожелавший остаться неизвестным, заявление от пострадавшего поступает в местное отделение полиции, после чего преступление квалифицируется и проводится первичная проверка – до возбуждения дела необходимо отработать материал, найти признаки состава правонарушения и собрать доказательства.
Дальше следователь возбуждает дело. Если это компьютерное преступление – например, несанкционированный доступ или распространение вредоносного ПО – то оно попадает в управление "К", причем исследование самих вредоносных программ доверяется частным фирмам.
Дело изначально может вести негосударственная фирма: как сообщил M24.ru глава департамента предотвращения угроз и расследований инцидентов Group-IB Дмитрий Волков, после обращения на место выезжает группа реагирования компании со специальным оборудованием. Они снимают данные и передают их в криминалистическую лабораторию Group-IB.
Важно, какое именно было совершено правонарушение: если произошла кража денег, то канал передачи информации хакеру отключают, а если шпионаж – то наоборот, оставляют, чтобы проще было отследить получателя данных.
Стадия 2: реконструкция преступления
В пресс-службе управления "К" M24.ru рассказали, что, например, в случае хищения денег с использованием мобильного банкинга прежде всего необходимо установить, какая программа использовалась для неправомерного доступа и куда были переведены средства.
Этим же нанимаются в лаборатории и частные эксперты-криминалисты. Там они восстанавливают хронологию событий:
Какая программа атаковала компьютер пользователя;
Во сколько и когда была совершена атака;
Откуда на компьютере появилось вредоносное ПО;
Куда ушли данные;
Какие последствия несет атака.
Фото: ТАСС/Михаил Мордасов
Стадия 3: исследование вируса
Вредоносные программы, обнаруженные в ходе обследования компьютера, попадают к частным аналитикам. Они уже подробно исследуют функционал вируса, какие возможности он предоставляет злоумышленнику и как им управлять.
В конечном итоге аналитики и криминалисты получают пул данных – подробное описание места преступления, инструментов, с помощью которых была совершена атака, и сведения о ресурсах, которые используют киберпреступники.
Проверкой вирусов могут также заниматься и в полиции, например, в самом "К" или в экспертно-криминалистическом центре. Однако правоохранители тесно работают и с антивирусными компаниями. "Комплексная работа и частно-государственное партнерство позволяют повысить эффективность оперативно-розыскной деятельности", - подчеркнули в МВД.
Стадия 4: Поиск исполнителей
О том, как именно ищут киберпреступников, рассказывать не принято, иначе все действия криминалистов и правоохранителей оказались бы тщетны. Но про один из путей сотрудник Group-IB Дмитрий Волков все же поведал.
"В ходе расследования мы стараемся восстановить историю развития хакера и вернуться к самому началу, когда он был не матерым профессионалом, а только набирался опыта. Естественно, в самом начале люди допускают гораздо больше ошибок, которые и позволяют их идентифицировать в Сети", - делится секретом глава департамента предотвращения угроз и расследований инцидентов Group-IB.
Остальное – забота правоохранительных органов: физический поиск и задержание хакера могут осуществить только полицейские или ФСБ. При этом Волков отметил, что ошибку в установлении личности хакера допустить легко, поэтому этим должны заниматься профессионалы с большим опытом.
Экс-сотрудник управления "К" подчеркнул, что в распоряжении МВД есть вся мощь государственной системы. "Мы вправе запрашивать самую разную информацию у интернет-провайдеров, операторов сотовой связи, владельцев интернет-ресурсов. Зачастую хакерские группировки многонациональны и в этом случае МВД вступает во взаимодействие с зарубежными ведомствами", - отметил собеседник издания.
Стадия 5: совместное расследование с правоохранителями
Когда к делу подключаются правоохранительные органы, частные эксперты не пропадают: начинается трехсторонняя работа. При этом силовики подключают свой арсенал:
Устанавливают заказчиков преступления;
Отслеживают денежные потоки;
Опечатывают компьютеры;
Выполняют следственно-процессуальные действия – обвинение, арест и прочее.
В то же время правоохранители перепроверяют информацию, полученную от экспертов. Стоит сказать, что непосредственным расследованием дел в управлении "К" не занимаются - там только обеспечивают техническое сопровождение. Само дело могут направить и в управление по борьбе с экономическими преступлениями, и в ФСБ.
По словам бывшего полицейского, когда круг подозреваемых сужается, проводятся оперативные мероприятия по отношению к подозреваемым: прослушка телефонов, просмотр электронной переписки и прочее. При этом технику изымают только тогда, когда на это есть серьезные основания. Сами компьютеры передают на исследование экспертам - как негосударственным фирмам, так и МВД.
Фото: M24.ru/Евгения Смолянская
Стадия 6: судебный процесс
Когда все тонкости киберпреступления установлены, а хакер пойман, начинается суд, в ходе которого опрашивают экспертов и разъясняют суду технические детали проведенной работы.
По словам представителя управления "К", для установления вины необходимо собрать полный комплекс доказательств, причем это будет не только IP-адрес или специальное ПО на компьютере у подозреваемого. "Сбор доказательственной базы – самый сложный этап работы. Кроме того, они должны быть получены в установленном законом порядке", - добавили в пресс-службе управления "К".
Расследование преступлений, направленных на пользователей смартфонов
Глава департамента Group-IB Дмитрий Волков отметил, что расследуются атаки, совершенные не только на ПК: за помощью обращаются и владельцы смартфонов. Зачастую, по его словам, такие преступления даже легче расследовать: у телефонов ограниченный объем памяти, которую нужно исследовать, и относительно небольшой набор программ.
Как не стать жертвой: советы от управления "К"
Сергей Блохин