Екатерина Михайлова – Правосудие в современной России. Том 2 (страница 74)
Относительно следственных действий, производимых по каждому из уголовных дел о таких деяниях и направленных на установление подлежащих доказыванию обстоятельств, прежде всего отметим допросы. По девяти из 10 дел проводился осмотр места происшествия и изъятых предметов, по восьми из 10 — судебные экспертизы, по половине — осмотр документов, по трети — проверка показаний на месте и выемка, по каждому 10-му — осмотр компьютера, обыск и получение сведений о соединениях абонентов и/или абонентских устройств. По редким уголовным делам производились: очная ставка, освидетельствование, следственный эксперимент, получение заключения специалиста, допросы экспертов и специалистов.
Основу доказывания по уголовным делам о киберпреступлениях, как мы уже отметили, составляют цифровые следы, обнаруженные, изъятые и исследованные по каждому из них. По 76 % дел доказывание осуществлялось с помощью видеозаписей и фотографий, по половине — документов (как бумажных, так и электронных), по каждому шестому — различных предметов, по 11 % — изъятых наркотических средств, реже — аудиозаписей, следов пальцев рук, денежных средств.
Цифровые следы рассматриваемых преступлений отражаются на различных машинных носителях средств вычислительной техники (накопители на жестких магнитных дисках, SIM-карты, флеш-накопители, оптические диски и т. п.), в том числе в компьютерных системах и сетях. Например, цифровые следы хищений чужого имущества с использование информационно-телекоммуникационных технологий содержатся в телефонах преступника и потерпевшего (телефонные книги, переписка в мессенджерах, книге сообщений, хранящейся в корневой директории, и др.), компьютерах, используемых преступником/преступниками (информация об осуществленных звонках с помощью IP-телефонии, переписка посредством электронной почты, вредоносное программное обеспечение и т. д.).
Отметим, что изъятие средств совершения преступлений (компьютеры, мобильные телефоны и т. п.) осуществляют при производстве оперативно-розыскных мероприятий, либо в ходе осмотра места происшествия или обыска, выемки.
Большой объем доказательственной информации о таких преступлениях отражается в облачных хранилищах. В частности, изучением этой информации возможно установить круг связей лица, проверяемого на причастность к преступлению, перечень используемых им средств вычислительной техники и установленного на них программного обеспечения, наличие аккаунтов в социальных сетях и мессенджерах и иные имеющие значение для расследования сведения.
Обнаружение цифровых следов и иной значимой для расследования информации сегодня эффективно осуществляется с помощью технологии поиска и анализа информации из открытых источников (англ. —
— пассивные — это поиск цифровых следов и иной информации без непосредственного взаимодействия с интересующим оперативно-розыскной или следственный орган лицом;
— активные — поиск цифровых следов с помощью специальных программ, именуемых IP-логгерами и позволяющими путем направления интересующему пользователю ссылки получить IP-адрес используемого им устройства и другую значимую для расследования информацию.
IP-логгер представляет собой веб-сервис и специализированное программное обеспечение, которое формирует специальные интернет-ссылки или коды для последующего их размещения на интернет-ресурсе (на веб-сайте) либо направления интересующему пользователю посредством сообщения в мессенджере, в электронном письме и пр. Переход пользователем по полученной ссылке или открытие им файла с кодом приводит к фиксации IP-адреса используемого им устройства и информации об интернет-провайдере, стране и предполагаемом населенном пункте места его нахождения, характеристиках используемого устройства (операционная система, веб-браузер и его версия, пользовательский агент, размер и марка экрана, марка и модель графического процессора и др.)[466].
В открытом сегменте сети «Интернет» осуществляется поиск информации, ассоциированной с пользователями социальных сетей и сайтов, по фотоизображениям анализируются биометрические характеристики лиц, отличительные особенности предметов или местности, осуществляется выгрузка данных из стриминговых ресурсов и т. п., в результате чего удается установить лицо, совершившее преступление, деанонимизировать пользователей социальных сетей и различных интернет-ресурсов, установить обстоятельства расследуемых преступлений (время, место и пр.), получить дополнительные доказательства.
В теневой части сети «Интернет» также содержится большой объем цифровых следов преступной деятельности. К примеру, при входе посредством браузера Tor под именем создателя в интернет-магазин, через который осуществляется реализация наркотических средств, возможно получить информацию о дате его создания, никнеймах причастных к его работе лиц и их функциях, регионах распространения указанных средств, количестве и географических координатах тайников с ними («закладок»), способах их маскировки, стоимости реализованных наркотических средств и прибыли от криминальной деятельности и пр.
Что касается методики расследования киберпреступлений, то она имеет как общий характер для всех их видов, так и определенную специфику для составляющих каждый отдельный вид преступных деяний.
Наиболее простой является методика расследования кражи денежных средств с использованием похищенной банковской карты либо ее реквизитов. Поводом для возбуждения такой категории уголовных дел выступает заявление потерпевшего. С целью установления обстоятельств кражи и причастного к ней лица в первую очередь истребуется информация о движении денежных средств по банковскому счету потерпевшего, позволяющая определить время и место снятия преступником наличных денежных средств через банкомат, оплату товаров безналичным расчетом или перевод денежных средств на другой счет. Также к числу первоначальных следственных действий относится допрос потерпевшего и выемка у него документов, относящихся к банковской карте и привязанному к ней банковскому счету.
Далее следует осмотр места происшествия, в ходе которого осматривается и изымается видеозапись с банкоматов и/или камер наружного наблюдения с изображением совершившего перечисленные действия лица, а также кассовые чеки о произведенной оплате товаров. При краже денежных средств путем перевода денежных средств на другой счет истребуется информация о владельце последнего.
После установления информации о лице, похитившем денежные средства, производится обыск по месту его жительства и/или нахождения, работы, в ходе которого в зависимости от обстоятельств расследуемого деяния подлежат изъятию похищенная банковская карта, находящийся в его пользовании мобильный телефон, кассовые чеки, приобретенные товары, наличные денежные средства и др. Подозреваемый допрашивается и рассматривается вопрос об избрании ему меры пресечения. При необходимости также производятся допросы свидетелей (продавцов магазинов, лиц из круга общения подозреваемого и/или потерпевшего и др.). По уголовному делу также могут назначаться некоторые судебные экспертизы, например компьютерная (компьютерно-техническая), психиатрическая в отношении подозреваемого (обвиняемого).
Более сложной является методика расследования преступлений, совершенных групповым способом, с использованием методов обеспечения анонимности, лицом, находящимся вне пределов Российской Федерации.
Наиболее острой является проблема анонимности киберпреступников в информационно-телекоммуникационной сети «Интернет» (использование прокси-серверов, VPN-технологии, программы Тor и другие способы), использование виртуальных SIM-карт, временных виртуальных номеров в целях разовой регистрации в той или иной социальной сети, использование фейковых аккаунтов, дропперов[467]). На сегодняшний день большое количество противоправных действий в сети «Интернет» или с использованием средств мобильной связи остается нераскрытыми именно по этим причинам.
Так, IP-адрес — это уникальный числовой идентификатор средства вычислительной техники (компьютера, мобильного телефона и пр.), присваиваемый ему при подключении к информационно-телекоммуникационной сети, в том числе сети «Интернет». По нему интернет-провайдер или оператор связи может предоставить правоохранительным органам сведения об абоненте и об адресе выхода конкретного устройства в сеть «Интернет». VPN-сервис изменяет IP-адрес средства вычислительной техники, подключая его к сети «Интернет» через зашифрованный канал («туннель») и предоставляя пользователю самостоятельно выбрать любую страну, город для определения его местонахождения. Между тем практикой раскрытия и расследования такого рода преступлений выработаны методы деанонимизации пользователей сети «Интернет». Например, при разрыве VPN-соединения может быть виден подлинный IP-адрес пользователя, его реальное местонахождение. Различные пользователи социальной сети могут иметь идентичный IP-адрес, что свидетельствует о подключении к сети «Интернет» с одного средства вычислительной техники с использованием VPN-программы. В круге общения анонимного пользователя могут находиться лица, которые реально с ним связаны родственными, дружескими и иными отношениями.