Фото: ТАСС/Максим Шеметов
Специалисты Университета Джонса Хопкинса обнаружили новый вирус, который угрожает миллионам гаджетов на Android и iOS. С помощью этой программы злоумышленник перехватывает канал связи и получает полный доступ к передаваемой информации.
В то же время Mail.Ru Group совместно с международной аналитической компанией Neilsen выяснила, что 64% россиян когда-либо становились жертвами киберпреступников.
О том, как защитить свои данные, сетевое издание M24.ru уже рассказывало, материалы можно увидеть здесь и здесь. В этот раз речь пойдет о том, как вообще расследуют киберпреступления.
Стадия 1: обнаружение угрозы
Любое расследование начинается с сообщения о преступлении – краже денег со счета, обнаружения шпионской программы или вируса. Иногда удается узнать о чем-то новом еще до инцидента, но это требует мониторинга действий разных преступных групп.
Как рассказал M24.ru бывший сотрудник управления "К" МВД, пожелавший остаться неизвестным, заявление от пострадавшего поступает в местное отделение полиции, после чего преступление квалифицируется и проводится первичная проверка – до возбуждения дела необходимо отработать материал, найти признаки состава правонарушения и собрать доказательства.
Ссылки по теме
Дальше следователь возбуждает дело. Если это компьютерное преступление – например, несанкционированный доступ или распространение вредоносного ПО – то оно попадает в управление "К", причем исследование самих вредоносных программ доверяется частным фирмам.
Дело изначально может вести негосударственная фирма: как сообщил M24.ru глава департамента предотвращения угроз и расследований инцидентов Group-IB Дмитрий Волков, после обращения на место выезжает группа реагирования компании со специальным оборудованием. Они снимают данные и передают их в криминалистическую лабораторию Group-IB.
Важно, какое именно было совершено правонарушение: если произошла кража денег, то канал передачи информации хакеру отключают, а если шпионаж – то наоборот, оставляют, чтобы проще было отследить получателя данных.
Стадия 2: реконструкция преступления
В пресс-службе управления "К" M24.ru рассказали, что, например, в случае хищения денег с использованием мобильного банкинга прежде всего необходимо установить, какая программа использовалась для неправомерного доступа и куда были переведены средства.
Этим же нанимаются в лаборатории и частные эксперты-криминалисты. Там они восстанавливают хронологию событий:
- Какая программа атаковала компьютер пользователя;
- Во сколько и когда была совершена атака;
- Откуда на компьютере появилось вредоносное ПО;
- Куда ушли данные;
- Какие последствия несет атака.
Фото: ТАСС/Михаил Мордасов
Стадия 3: исследование вируса
Вредоносные программы, обнаруженные в ходе обследования компьютера, попадают к частным аналитикам. Они уже подробно исследуют функционал вируса, какие возможности он предоставляет злоумышленнику и как им управлять.
В конечном итоге аналитики и криминалисты получают пул данных – подробное описание места преступления, инструментов, с помощью которых была совершена атака, и сведения о ресурсах, которые используют киберпреступники.
Проверкой вирусов могут также заниматься и в полиции, например, в самом "К" или в экспертно-криминалистическом центре. Однако правоохранители тесно работают и с антивирусными компаниями. "Комплексная работа и частно-государственное партнерство позволяют повысить эффективность оперативно-розыскной деятельности", - подчеркнули в МВД.
Стадия 4: Поиск исполнителей
О том, как именно ищут киберпреступников, рассказывать не принято, иначе все действия криминалистов и правоохранителей оказались бы тщетны. Но про один из путей сотрудник Group-IB Дмитрий Волков все же поведал.
Ссылки по теме
- Не скачивать и не сохранять: как спасти смартфон от взлома
- Число краж в Рунете в 2014 году увеличилось вдвое
- Обнаружен троян, распространяющийся через PDF-документы
"В ходе расследования мы стараемся восстановить историю развития хакера и вернуться к самому началу, когда он был не матерым профессионалом, а только набирался опыта. Естественно, в самом начале люди допускают гораздо больше ошибок, которые и позволяют их идентифицировать в Сети", - делится секретом глава департамента предотвращения угроз и расследований инцидентов Group-IB.
Остальное – забота правоохранительных органов: физический поиск и задержание хакера могут осуществить только полицейские или ФСБ. При этом Волков отметил, что ошибку в установлении личности хакера допустить легко, поэтому этим должны заниматься профессионалы с большим опытом.
Экс-сотрудник управления "К" подчеркнул, что в распоряжении МВД есть вся мощь государственной системы. "Мы вправе запрашивать самую разную информацию у интернет-провайдеров, операторов сотовой связи, владельцев интернет-ресурсов. Зачастую хакерские группировки многонациональны и в этом случае МВД вступает во взаимодействие с зарубежными ведомствами", - отметил собеседник издания.
Стадия 5: совместное расследование с правоохранителями
Когда к делу подключаются правоохранительные органы, частные эксперты не пропадают: начинается трехсторонняя работа. При этом силовики подключают свой арсенал:
- Устанавливают заказчиков преступления;
- Отслеживают денежные потоки;
- Опечатывают компьютеры;
- Выполняют следственно-процессуальные действия – обвинение, арест и прочее.
В то же время правоохранители перепроверяют информацию, полученную от экспертов. Стоит сказать, что непосредственным расследованием дел в управлении "К" не занимаются - там только обеспечивают техническое сопровождение. Само дело могут направить и в управление по борьбе с экономическими преступлениями, и в ФСБ.
По словам бывшего полицейского, когда круг подозреваемых сужается, проводятся оперативные мероприятия по отношению к подозреваемым: прослушка телефонов, просмотр электронной переписки и прочее. При этом технику изымают только тогда, когда на это есть серьезные основания. Сами компьютеры передают на исследование экспертам - как негосударственным фирмам, так и МВД.
Фото: M24.ru/Евгения Смолянская
Стадия 6: судебный процесс
Когда все тонкости киберпреступления установлены, а хакер пойман, начинается суд, в ходе которого опрашивают экспертов и разъясняют суду технические детали проведенной работы.
По словам представителя управления "К", для установления вины необходимо собрать полный комплекс доказательств, причем это будет не только IP-адрес или специальное ПО на компьютере у подозреваемого. "Сбор доказательственной базы – самый сложный этап работы. Кроме того, они должны быть получены в установленном законом порядке", - добавили в пресс-службе управления "К".
Расследование преступлений, направленных на пользователей смартфонов
Глава департамента Group-IB Дмитрий Волков отметил, что расследуются атаки, совершенные не только на ПК: за помощью обращаются и владельцы смартфонов. Зачастую, по его словам, такие преступления даже легче расследовать: у телефонов ограниченный объем памяти, которую нужно исследовать, и относительно небольшой набор программ.
Как не стать жертвой: советы от управления "К"
- Использовать антивирусное ПО вне зависимости от платформы и типа устройства. Эта мера не дает стопроцентной гарантии, но позволит снизить вероятность стать жертвой;
- Не устанавливать приложения из источников, не внушающих доверия, внимательно изучать права приложения. Если программе для редактирования мелодий требуется доступ к камере телефона, то это уже подозрительно;
- Если вы пользуетесь мобильным банком, не используйте один и тот же телефон для запуска программы для мобильного банкинга и для получения SMS с кодами подтверждения. Современные вредоносные программы умеют перехватывать подобные сообщения. Для надежности заведите для SMS-уведомлений отдельный дешевый телефон, не смартфон;
- Внимательно смотрите на адреса и другие приметы сайтов, на которых вы вводите пароли или платежные реквизиты, это позволит уберечься от фишинга;
- Не открывайте подозрительные почтовые вложения. Если письмо с вложением или ссылкой пришло от знакомого вам человека, свяжитесь с ним для того, чтобы убедиться в адресанте;
- Обращайте внимание на подозрительную активность вашего телефона: резкое увеличение потребления интернет-трафика, сокращение времени работы от батарей, а также постоянный нагрев;
- Если вы стали жертвой киберпреступников, вы можете оставить обращение на сайте МВД России;
Сергей Блохин