Технической стороной раскрытия подобных преступлений или правонарушений в сфере высоких технологий занимаются не только специалисты МВД и Следственного комитета. Немалая роль здесь – и у специалистов Государственного комитета судебных экспертиз. Именно они работают непосредственно с «железом»: извлекают данные с реальных носителей информации, ищут следы хакерства и взлома, помогают восстановить зашифрованную, поврежденную или удаленную вредоносным ПО информацию, которая представляет интерес для следствия.
/avg-2021/13/foto.jpg)
В каком-то смысле это технологическая война между профессионалами и… профессионалами. Ведь искусство взлома должны понимать как киберпреступники, так и судебные эксперты. Однако государственный судебный эксперт отдела экспертиз компьютерных средств и технологий, фоноскопических и лингвистических экспертиз УГКСЭ по Брестской области Александр ВАСИЛЮК отмечает, что в отличие от злоумышленника судебный эксперт должен не только знать коды, программы и тонкости работы с информацией (тут – всего понемногу с быстрым погружением в тему), но и быть также аналитиком, чтобы смотреть на ситуацию куда шире, нежели преступник.
Преступник «вьет» клубок
«Нам на исследование приходят компьютерная техника, мобильные телефоны и различные цифровые носители информации. Мы исследуем саму память устройств, – рассказывает Александр Васильевич. – Перед судебным экспертом ставятся вопросы, представляющие интерес для следствия в рамках расследования уголовных дел или проверок по административным правонарушениям. Например, время событий (подключения к системе, создания файлов и иные) или IP-адреса, с которых был осуществлен несанкционированный доступ. Чаще всего эти IP-адреса, конечно, ведут за рубеж, но это не значит, что преступник находится за границей. Существует множество анонимайзеров, которые меняют IP-адреса. Но надо понимать, что идеальной анонимности в сети Интернет просто не бывает. Задача преступников – сделать максимально сложный клубок из IP-адресов, распутать который – задача оперативных сотрудников МВД. Мы даем им те факты, которые можем извлечь из носителей информации: хронологию событий и оставленные цифровые следы, ведущие к злоумышленнику».
Не спонсировать хакеров
В милицейских сводках чаще мелькают истории обычных людей, лишившихся сбережений из-за деятельности киберпреступников. Суммы там иногда фигурируют крупные, однако и им далеко до финансовых рисков, которые имеют крупные предприятия и организации, не уделившие должного внимания кибербезопасности.
«Нередки случаи, когда хакеры взламывают серверы крупных предприятий и шифруют там данные. К нам приносят зашифрованный сервер. Мы изучаем и видим, что сервер взломали два-три месяца назад, после хакеры по нему спокойно «ходили», скачивали интересующую их информацию, устанавливали свой софт. А через какое-то время зашифровали все данные, оставив только текстовые данные с реквизитами для платежа. Заплатите – и мы вернем вам данные. Но надо понимать, что никакой гарантии здесь нет. Крайне не рекомендую платить деньги, поскольку этим вы спонсируете деятельность хакеров. К тому же, вы можете и не получить ключ-программу для расшифровки данных. Вас будут шантажировать и дальше», – предупреждает судебный эксперт.
Бухгалтер – это ключ для злоумышленника
Чаще всего вредоносные программы попадают на компьютер через электронную почту. Приходит некий файл, служебный документ, очень схожий с названием бухгалтерских операций. Как только его открывают – запускается хакерская программа. Есть и другой путь – через софт, предполагающий удаленный доступ к информации. Его могут устанавливать и сами системные администраторы, которые хотят работать из дома, удаленно. В таких случаях часто ставятся очень простые пароли, которые хакерами подбираются с помощью специальных алгоритмов буквально в течение пары часов.
Еще одна угроза для организаций была актуальна в Беларуси совсем недавно. И связана она была с вредоносным ПО, отслеживавшим бухгалтерские ключи «клиент – банк». Как правило, вредоносное ПО попадает через электронную почту. Как только на «зараженном» компьютере обнаруживались бухгалтерские ключи «клиент – банк», хакеры брали этот компьютер «в разработку», блокировали работу компьютера (например, заставкой обновления «Windows»), брали операции под свой контроль и пытались вывести деньги. «Спасало предприятия то, что суммы, которые преступники пытались похитить, были космическими. И банки, видя эти транзакции, временно блокировали операции, перезванивали в организации и уточняли ситуацию. Когда становилось ясно, что предприятие не проводит такой перевод денег, эти операции банком отменялись, злоумышленники оставались ни с чем. В Беларуси таких случаев было немало. Какие-то, вероятно, заканчивались хищением средств. В Бресте тоже были попытки. Подвергались атакам по бухгалтерской линии и довольно крупные государственные организации», – рассказывает Александр Василюк.
«Рыбалка» еще актуальна
Что касается частных лиц, то судебные эксперты сталкиваются и с таким явлением, как фишинг*. «Человек вбивает в поиск «интернет-банкинг» и переходит по первой же ссылке, не обращая внимания на адрес страницы. Причем это может быть клиент абсолютно любого банка – говорит Александр Василюк. – Картинка и структура таких страниц близки к идентичным сайтам банков, сейчас найти логотипы и взять похожий конструктор труда не составляет. На этой фишинговой странице клиент вводит персональные данные интернет-банкинга, но ничего не происходит. Человек думает, что у него что-то зависло, но на самом деле в этот момент мошенники пытаются затянуть время и предупредить какие-либо действия со стороны пользователя, например, сообщениями типа «Технические неполадки». Для злоумышленников важно, чтобы человек не сообразил сразу, что его пытаются «развести», и не заблокировал карту».
«Что касается такого вида мошенничества, как «вишинг», то предупреждения такого рода посягательств в наибольшей степени зависит от бдительности самих потенциальных жертв, от понимания ими, какие конфиденциальные сведения ни при каких обстоятельствах нельзя никому сообщать ни в ходе телефонного разговора, ни в электронной переписке. Причиной полученного материального ущерба в значительной степени будет доверчивость самих граждан, которые сообщили мошенникам данные платежных карт и банковские реквизиты», – говорит судебный эксперт.
Смартфоны безопаснее ПК
С гаджетами в плане киберпреступности все несколько проще. Единичные случаи вредоносного софта фиксируются, но это скорее исключение из правил. Александр Василюк отмечает, что приложения, которые люди легально скачивают из «Play Market» на андроидах, имеют высокий уровень безопасности и проходят проверку еще до появления в самом «маркете». Менее распространены и атаки на операционную систему «андроид», рассылаемые по электронной почте вредоносные файлы, как правило, написаны под систему «Windows» и на смартфонах попросту могут не открыться.
«Но если вы с телефона или планшета заходите на те же фишинговые страницы банков, скачиваете непроверенное ПО, то риск попасть на удочку киберпреступников остается», – резюмирует Александр Василюк.
По понятиям
*Фишинг – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям.
**Вишинг – один из методов мошенничества с использованием социальной инженерии, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определённую роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карты конфиденциальную информацию или стимулируют к совершению определённых действий со своим карточным счетом / платежной картой.
