CC BY
71
КРАВЕЦ Е.Г., кандидат юридических наук, bmv-21@inbox.ru Кафедра предварительного расследования учебно-научного комплекса по предварительному следствию в органах внутренних дел; Волгоградская академия Министерства внутренних дел Российской Федерации, 400089, г. Волгоград, ул. Историческая, 130
KRAVETS E.G.,
Candidate of Legal Sciences,
bmv-21@inbox.ru
Chair of preliminary investigation
of the educational and scientific complex
of the preliminary investigation
in the internal affairs bodies;
Volgograd Academy of the Ministry
of the Interior of the Russian Federation,
Istoricheskaya St. 130, Volgograd, 400089,
Russian Federation
ШУВАЛОВ Н.В., кандидат юридических наук, доцент, marilin-87@mail.ru Кафедра предварительного расследования учебно-научного комплекса по предварительному следствию в органах внутренних дел; Волгоградская академия Министерства внутренних дел Российской Федерации, 400089, г. Волгоград, ул. Историческая, 130
SHUVALOV N.V.,
Candidate of Legal Sciences,
associate professor,
marilin-87@mail.ru
Chair of preliminary investigation
of the educational and scientific complex
of the preliminary investigation
in the internal affairs bodies;
Volgograd Academy of the Ministry
of the Interior of the Russian Federation,
Istoricheskaya St. 130, Volgograd, 400089,
Russian Federation
КОМПЛЕКС СПЕЦИАЛЬНЫХ ЗНАНИЙ, НЕОБХОДИМЫХ ПРИ РАССЛЕДОВАНИИ ХИЩЕНИЙ, СОВЕРШАЕМЫХ С ИСПОЛЬЗОВАНИЕМ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ
Аннотация. Специфика производства следственных действий при расследовании преступлений в сфере компьютерной информации состоит в необходимости использования специальных знаний разных отраслей (электроники, программирования, телекоммуникаций и других), а также в скрупулезной подготовке к их проведению. В последние годы все чаще совершаются посягательства на денежные средства с использованием телекоммуникационных сетей. Раскрывать эти преступления удается крайне редко. В связи с этим имеется необходимость в исследовании технических возможностей оборудования и программного обеспечения, а также использования этих средств в борьбе с правонарушениями. Авторами статьи предпринято криминалистическое обоснование комплекса мер, направленных на выявление основных признаков преступлений рассматриваемой категории. Исследованы вопросы, касающиеся применения специальных знаний при изучении детализации телефонных соединений, осмотре компьютерного устройства, а также в производстве судебной компьютерной экспертизы.
Ключевые слова: уголовное судопроизводство; специальные знания; вредоносная компьютерная программа; расследование хищений; судебная экспертиза; эксперт; следователь.
Для цитирования: Кравец Е.Г., Шувалов Н.В. Комплекс специальных знаний, необходимых при расследовании хищений, совершаемых с использованием вредоносных компьютерных программ // Юридическая наука и правоохранительная практика. 2020. N 3 (53). С. 119-126.
SPECIAL KNOWLEDGE REQUIRED FOR INVESTIGATING THE THEFTS COMMITTED BY USING MALICIOUS SOFTWARE
Annotation. The specificity of investigative actions when conducting the investigation of cybercrimes consists in the need to use special knowledge of various industries (electronics, programming, telecommunications and others), as well as in thorough preparation for their implementation. In recent years, the amount of cyberattacks aimed at stealing money is only increasing. It is extremely rare
fact when such crimes are solved. In this regard, there is a need to study the technical capabilities of hardware and software, as well as the use of these tools in the fight against such crimes. The authors of the article have undertaken the forensic substantiation of a set of measures aimed at identifying the main characteristics of crimes of the considered category. The issues concerning the use of special knowledge when analyzing the details of telephone connections, inspection of the computer, as well as when conducting computer forensic examination, have been investigated.
Keywords: criminal proceedings; special knowledge; malicious software; investigation of theft; forensic examination; expert; investigator.
For citation: Kravets E.G., Shuvalov N.V. Special knowledge required for investigating the thefts committed by using malicious software // Legal Science and Law Enforcement Practice. 2020. No. 3(53). P. 119-126.
Использование специальных познаний при изучении детализации телефонных соединений потерпевшего
Одним из направлений применения специальных познаний при расследовании хищений с платежной карты клиента банка с использованием компьютерных вредоносных программ является изучение технической документации о телефонных соединениях потерпевшего, совершенных в период хищения (детализации, биллин-га) [1, с. 51].
Детализация телефонных соединений потерпевшего может быть важным источником информации о способе хищения денежных средств в случае его совершения с использованием средств сотовой связи. Таким образом, для качественного анализа и получения на его основе результирующей информации необходимо, чтобы специалист обладал знаниями в сфере функционирования сетей сотовой связи, мобильных устройств и программного обеспечения.
В данном случае специальные познания могут применяться как в процессуальных формах (участие специалиста при осмотре документов, допрос специалиста), так и в непроцессуальной, например, в форме консультаций следователя со специалистом при подготовке следственных действий [2, с. 103].
Мобильный банк представляет собой программное приложение, функционирующее на терминалах сотовой связи (мобильных телефонах, планшетах), позволяющее путем отправки БМБ-сообщения и иББЭ-команд на определенный номер, принадлежащий банку, управлять своим банковским счетом, а именно: получать информацию о состоянии счета банковской карты, осуществлять различные пла-
тежи, перевод денежных средств со счета банковской карты на счета других банковских карт, принадлежащие клиенту. Провайдером при этом является организация, предоставляющая услуги сотовой связи (голосовые данные, БМБ-сообщения, ММБ-сообщения и др.). Таким образом, пользование услугой «мобильный банк» возможно при наличии подключенного к оператору сотовой связи мобильного устройства. Сеть Интернет для работы данного приложения не требуется.
Схема проведения операции по банковской карте через услугу «мобильный банк» следующая: на своем мобильном устройстве гражданин (одновременно являющийся клиентом банка и абонентом оператора сотовой связи) формирует БМБ-сообщение определенного содержания на соответствующий номер (который показывает все движения денежные средств по банковской карте клиента) или иББЭ-команду и передает на сервер оператора сотовой связи. Далее сервер оператора сотовой связи передает БМБ-сообщение или иББЭ-команду в процессинговый центр банка, который расположен, как правило, в г. Москве. Процессинговый центр, в свою очередь, обрабатывает команду (сообщение) и проводит соответствующую операцию со счетом карты.
Таким образом, с использованием, с одной стороны, возможностей доступа вредоносной программы ко всем БМБ-сообщениям, поступающим на мобильный телефон потерпевшего, а также отправки с его номера БМБ-сообщений и иББЭ-команд, с другой - сервисов приложения «мобильный банк», путем несанкционированных денежных переводов осуществляется хищение денег с банковской карты потерпевшего.
В большинстве крупных банков также имеется компьютерная система дистанционного банковского обслуживания. Для доступа к ней необходима авторизация путем введения реквизитов - логина и пароля. Данные реквизиты можно получить у оператора банка, написав соответствующее заявление, а также в банкомате и терминале банка, предъявив банковскую карту, в результате этого банкомат (терминал) выдает кассовый чек, в котором будут отражены логин и пароль. Подключившись к системе дистанционного банковского обслуживания, клиент банка в любое время, находясь в любом месте и имея доступ к сети Интернет, может совершать операции со всеми своими счетами (лицевыми, расчетными, депозитными и т.д.), оплачивая коммунальные услуги, услуги связи, осуществлять денежные переводы.
Для функционирования данной услуги обязательно использование сети Интернет. В этом состоит ее отличие от услуги «мобильный банк». Кроме того, клиентам, использующим сервисы дистанционного банковского обслуживания, доступна информация обо всех принадлежащих им счетах и об операциях по ним, то есть функции данного приложения более широкие.
Следовательно, для совершения хищения с использованием системы дистанционного банковского обслуживания злоумышленникам необходим доступ к сведениям о реквизитах доступа к ней - логину и паролю. Информацию о них злоумышленники получают также в результате использования вредоносных компьютерных программ.
Необходимо отметить, что критерии вредоносности компьютерных программ определены в самой диспозиции ст. 273 УК РФ: «Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации».
Выделяются различные типы вредоносных компьютерных программ, которые могут быть использованы в самых
разных целях. При хищении денежных средств с банковских и иных платежных счетов используются вредоносные программы троянского типа. Данные программы распространяются людьми, в отличие от «вирусов» и «червей», которые распространяются самопроизвольно. Задачами троянских программ являются сбор информации и ее передача (копирование) злоумышленнику, уничтожение информации или злонамеренная модификация, нарушение работоспособности компьютерного устройства, использование ресурсов компьютерного устройства в противоправных целях.
Для хищения денежных средств с банковских и иных счетов граждан злоумышленниками используются различные виды «троянских» вредоносных программ, созданных для разных операционных систем. При этом подавляющее большинство подобных вредоносных программ создано именно для операционной платформы Android.
Нередко на первоначальном этапе расследования потерпевший в ходе допроса поясняет, что он не получал SMS-сообщений с запросом на проведение денежного перевода и не отправлял SMS-сообщений с подтверждением платежа. Сведения о данных сообщениях на телефоне потерпевшего отсутствуют. Из его показаний следует, что телефон «самостоятельно» совершил все действия, необходимые для осуществления денежного перевода с помощью сервисов мобильного банкинга [3, с. 79]. При этом основной задачей специалиста в ходе изучения телефонных соединений является установление факта и технологии списания денежных средств. Действие большинства компьютерных вредоносных программ, функционирующих на операционных системах мобильных устройств и предназначенных для хищения денежных средств с платежных карт, основано на возможностях удаленного перехвата и отправки SMS-сообщений с мобильного устройства потерпевшего. Однако если подобные сообщения поступали и отправлялись на абонентский номер потерпевшего, то информация о них содержится в детализации телефонных соединений [4, с. 73].
Процессуальный порядок истребования детализации телефонных соединений
в рамках уголовного дела четко определен ст. 186.1 УПК РФ. Однако получение и изучение детализации телефонных соединений потерпевшего является одним из первичных мероприятий, в связи с этим данную информацию целесообразно получить еще на стадии процессуальной проверки (например, в порядке осуществления оперативно-розыскной деятельности). При проведении осмотра протокола телефонных соединений потерпевшего в качестве специалиста целесообразно привлечь сотрудника технического отдела сотового оператора либо иных организаций, деятельность которых связана с разработкой и обслуживанием биллинговой информации для сетей сотовой связи.
При этом перед специалистом ставятся следующие задачи:
1. Изучить и разъяснить следователю информацию обо всех телефонных соединениях потерпевшего за период, в который осуществлены незаконные списания денежных средств с платежной карты.
2. Зафиксировать все входящие и исходящие БМБ-сообщения между абонентским номером потерпевшего и сервисным номером (номерами) банка. Отразить точную последовательность и время их поступления и отправки.
3. Документально закрепить информацию об IМЕI (индивидуальный номер мобильного оборудования) мобильных устройств, в которых использовался абонентский номер потерпевшего в период совершения хищения, а также непосредственно до и после обозначенного периода (по ближайшим соединениям). В пояснении следователю необходимо сделать вывод об идентичности либо различии используемых номеров 1МЕ1.
4. Получить и проанализировать данные об адресах базовых станций, фиксировавших телефонные соединения потерпевшего в период хищения, а также непосредственно до и после обозначенного периода.
Таким образом, в результате изучения телефонных соединений и пояснений специалиста должно быть установлено следующее:
- отправлялись ли на сервисный банковский номер команды на проведение и подтверждение платежа с номера потерпевшего;
- отправлялись ли данные сообщения с мобильного устройства потерпевшего, либо с какого-то иного устройства;
- место, с которого отправлялись данные сообщения.
Если сведения технического характера, содержащиеся в протоколе телефонных соединений, требуют дополнительных пояснений, то следователь может прибегнуть к еще одной форме использования специальных познаний - допросу специалиста [5, с. 8].
Использование специальных познаний при осмотре компьютерного устройства потерпевшего
Важной формой использования специальных познаний при расследовании хищений с использованием вредоносных компьютерных программ является участие специалиста в осмотре ЭВМ (персонального компьютера, ноутбука, планшета, смартфона, иных устройств), принадлежащей потерпевшему. Первоначальный осмотр ЭВМ может проводиться в рамках осмотра предметов. Однако производство данного действия целесообразнее еще на стадии доследственной процессуальной проверки, а именно в ходе осмотра места происшествия.
Анализ следственной практики по рассматриваемым преступлениям выявил ряд проблем организационного и технического характера, которые следователю приходится решать при проведении данного вида осмотра. Основной причиной низкой результативности осмотров мест происшествий является недостаточная компетентность осуществляющих их лиц [6, с. 26].
На первоначальном этапе расследования основной задачей является установление способа и механизма совершения хищения, в частности документирование факта использования вредоносных компьютерных программ. Для ее решения крайне важно правильно с правовой и технической стороны осуществить осмотр компьютерного устройства, которым пользовался потерпевший. От этого зависит последующая квалификация преступного деяния, а также планирование дальнейших следственных действий [7, с. 7]. При этом следователь или иное лицо, осуществляющее процессуальную проверку, как правило, не обладает необходимым уровнем знаний и навыков.
Для корректной и полной фиксации интересующей информации, содержащейся в мобильном устройстве, необходимо привлечение специалиста, обладающего знаниями в сфере технического оснащения мобильных терминалов. Понимание алгоритма функционирования вредоносных компьютерных программ, предназначенных для хищения денежных средств с платежных карт клиентов банка, также является необходимым критерием для выбора специалиста, участвующего в осмотре мобильного устройства.
При проведении осмотра компьютерной техники приоритетным вариантом является привлечение в качестве специалиста сотрудника подразделения территориального ЭКЦ, специализирующегося на компьютерно-технических экспертизах. Но подобная возможность предельно ограничена по причине чрезмерной загруженности и небольшой численности указанной категории сотрудников. В случае невозможности привлечения к осмотру сотрудника ЭКЦ допустимо прибегнуть к помощи работников иных государственных органов (например, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций), а также негосударственных организаций (например, технических специалистов интернет-провайдеров, операторов сотовой связи, различных 1Т-компаний) [8, с. 79].
Основной информацией, подлежащей обнаружению и фиксации на компьютерном устройстве потерпевшего в ходе осмотра, является наличие вредоносной компьютерной программы (программ), а также следов ее использования. Принцип действия вредоносных компьютерных программ, предназначенных для хищения денежных средств с банковских счетов, для всех операционных платформ является схожим и заключается в сборе информации и удаленном управлении банковским счетом потерпевшего с целью дальнейшего списания с него денежных средств. Злоумышленники, инсталлируя на мобильном терминале пользователя троянскую программу, получают исчерпывающие данные об устройстве и его программном обеспечении, а самое главное - обладают возможностью перехватывать и отправлять БМБ-сообщения от имени пользователя без его ведома.
В следственной практике ярким проявлением «вредоносности» программ указанного типа явился массовый характер хищения денежных средств со счетов клиентов крупнейших банков, использующих на своих мобильных устройствах программное приложение «мобильный банк». Троянская программа данного типа, установленная на зараженное мобильное устройство потерпевшего под видом обновления популярного приложения, собирала и отправляла на сервер преступников сведения о наличии пакета «мобильный банк», анализировало его активность, в результате этого злоумышленники получали информацию о платежной банковской карте пользователя. Далее, используя удаленное администрирование мобильного устройства пользователя, а также возможности сервиса «мобильного банка», злоумышленники отправляли БМБ-сообщения с командой на перевод денежных средств с платежной карты потерпевшего. При этом входящее БМБ-сообщение, поступающее от сервера банка о необходимости подтверждения платежа, перехватывалось вредоносной программой, будучи скрыто от пользователя. В ответ на данное сообщение троянской программой отправлялось БМБ-сообщение о подтверждении проведения платежа, содержащее (при необходимости) одноразовый код подтверждения [9, с. 89].
Таким образом, на стадии осмотра целью привлечения специалиста являются обнаружение, установление типа вредоносной программы, принципа ее функционирования, фиксации следов ее использования.
Действия специалиста при осмотре компьютерного устройства заключаются в следующем:
- определение внешних признаков устройства, его размеров, модели, а для терминалов сотовой связи (планшетов, смартфонов) - сведений об 1МЕ1-номере, используемых на момент осмотра абонентском номере и сим-карте;
- определение системных параметров устройства - установленные операционная система, программные приложения, параметры быстродействия (процессор, оперативная память и т.д.). Особое внимание на данном этапе уделяется наличию (отсутствию) установленных программных приложений дистанционного банковско-
го обслуживания, а также антивирусных программ. Необходимо отразить свойства данных приложений, даты и время установки и последнего использования;
- непосредственное обнаружение на компьютерном устройстве вредоносной программы либо следов ее применения, документирование факта осуществления несанкционированных платежей. Для этого проводится изучение журнала работы программ дистанционного банковского обслуживания, а также антивирусного программного обеспечения. В первом случае фиксируются сведения обо всех проведенных платежах за интересуемый период (дата, время, адресат денежного перевода и другие). Во втором случае необходимо отразить информацию обо всех обнаруженных угрозах и предупреждениях. Также в ходе осмотра целесообразно провести дополнительное сканирование системы на предмет обнаружения вредоносных программ. При этом крайне важно предварительно правильно настроить параметры сканирования (без опции удаления и других мер к обнаруженным угрозам), чтобы по неосторожности не удалить сами вредоносные программы, а также следы их функционирования;
- при осмотре терминалов сотовой связи (планшетов, смартфонов) необходимо изучение и фиксация журнала БМБ-сообщений и телефонных соединений за период, в который осуществлено хищение денежных средств (проведены несанкционированные транзакции со счета потерпевшего). Подробно описывается и фиксируется каждое входящее и исходящее БМБ-сообщение (время, дата, адресат отправки, полный текст сообщения, а также время, дата и адресаты входящих (исходящих) телефонных звонков).
В ходе выполнения всех описанных действий обязательна фотофиксация полученных результатов осмотра. А в процессе обнаружения вредоносных программ с использованием антивирусного программного обеспечения также необходимо использовать средства видеозаписи.
Следует отметить, что на практике привлекаемые к осмотру специалисты не всегда обладают необходимой компетенцией. Решению данной задачи на качественном уровне может способство-
вать привлечение к осмотру мобильных устройств представителей экспертных учреждений и иных организаций, специализирующихся на экспертных исследованиях вредоносных компьютерных программ. Они обладают всеми необходимыми знаниями и навыками, позволяющими в результате выстроить полную картину совершения преступления [10, с. 97].
Таким образом, участие специалиста в осмотре компьютерного устройства является необходимым на первоначальном этапе расследования хищений, совершаемых с использованием вредоносных компьютерных программ. Обязательным критерием выбора специалиста является его компетентность в сфере устройства мобильных терминалов и функционирования вредоносных компьютерных программ. Совокупность данных условий способствует правильной квалификации преступного деяния, планированию и проведению следственных действий на последующих этапах расследования.
Использование специальных познаний при проведении судебной компьютерной экспертизы
Несмотря на важность участия специалиста в осмотре ЭВМ, принадлежащей потерпевшему, основной формой применения специальных познаний при расследовании уголовных дел, связанных с хищением денежных средств с использованием вредоносных компьютерных программ, является проведение судебной экспертизы.
Необходимо корректно, с учетом специфики объекта исследования определить цели экспертизы, отчетливо представлять ее результат. Важно при этом четко и однозначно формулировать вопросы, адресованные эксперту.
Критерии, которым должны отвечать поставленные перед экспертом вопросы:
- корректная с правовой и технической точек зрения формулировка;
- соответствие фактическим возможностям эксперта (экспертного учреждения), его компетенции и оснащенности;
- точное и однозначное отражение цели и прогнозируемого результата исследования.
Наиболее оптимальным представляется следующий перечень вопросов:
1. Обнаруживаются ли на исследуемом компьютерном устройстве файлы, атрибутируемые антивирусной программой как вредоносные программы для ЭВМ?
2. Каков тип вредоносной компьютерной программы?
3. Каково происхождение вредоносной программы на исследуемом устройстве?
4. Какие задачи решает данная вредоносная программа? Каков алгоритм ее функционирования? Достижению каких целей он подчинен?
5. Существует ли возможность удаленного администрирования исследуемого компьютерного устройства посредством данной вредоносной программы? С какого устройства производилось удаленное администрирование?
6. Каково влияние вредоносной программы на работу других программных приложений, инсталлированных на устройстве (в том числе приложений мобильного банкинга)?
7. Куда поступали результаты работы вредоносной программы (сетевой адрес ресурса)?
8. Содержатся ли иные сведения об удаленном администрировании в памяти представленного на исследование компьютерного устройства?
Этот перечень вопросов может быть дополнен, исходя из конкретной следственной ситуации. Но если эксперт смо-
жет ответить на приведенные вопросы, то следователь получит представление о пути распространения вредоносной программы, ее администраторе, способе совершения хищения, адресате и способе противозаконных переводов денежных средств потерпевшего.
На месте выявления последствий посягательства и производства оперативно-розыскных мероприятий применяются мобильные криминалистические комплексы, позволяющие без нарушения целостности (с сохранением носителя информации в качестве доказательства) изымать данные и на месте выполнять их экспресс-исследования. Для специалиста имеет значение хронологическая последовательность создания значимой информации, доступа к ней и ее неправомерного использования. Существуют разработки, позволяющие восстановить цепочку действий преступника посекундно и обнаружить вредоносные файлы, не определяемые антивирусными программами [11].
В заключение следует отметить, что доскональное изучение механизма совершения преступления, установление всех причастных к хищению соучастников (в том числе распространивших вредоносную компьютерную программу и использовавших ее, а не только лиц, обналичивающих похищенное, - финальное звено преступной цепи) возможно исключительно на основании качественного заключения компьютерно-технической экспертизы.
Список литературы
1. Лихолетов А.А., Лихолетов Е.А. Проблемы квалификации хищений, совершаемых с использованием электронных средств платежа // Вестник Волгоградской академии МВД России. 2019. N 1 (48). С. 51-56.
2. Замылин Е.И., Закатов А.А. Плановость как важнейшее организационное требование к разыскной деятельности следователя // Вестник Волгоградской академии МВД России. 2019. N 1 (48). С. 103-107.
3. Еремин С.Г. Возбуждение уголовного дела о преступлениях в сфере дистанционно-банковского обслуживания, следственные ситуации, версии, планирование и расследование на первоначальном этапе // Вестник Волгоградской академии МВД России. 2019. N 2 (49). С. 78-84.
4. Голятина С.М., Ковальченко А.А. Некоторые элементы криминалистической характеристики хищений электронных денежных средств // Вестник Волгоградской академии МВД России. 2019. N 2 (49). С. 73-77.
5. Дьяконова О.Г. Судебная экспертиза и предварительные исследования как конкурирующие формы использования специальных знаний // Судебная экспертиза. 2019. N 2 (58). С. 8-19.
6. Хаскина В.Ю. Основные направления работы со следами, изъятыми при осмотре места происшествия // Судебная экспертиза. 2018. N 4 (56). С. 26-33.
7. Аминев Ф.Г. Проблемные вопросы, возникающие при назначении новых родов и видов судебных экспертиз // Судебная экспертиза. 2018. N 2 (54). С. 7-14.
8. Австрийсков А.В. Ретроспектива использования технических средств оперативно-разыскного назначения при раскрытии и расследовании преступлений в России // Вестник Волгоградской академии МВД России. 2019. N 1 (48). С. 79-87.
9. Еремин С.Г., Домовец С.С. Способы совершения преступлений в сфере дистанционно-банковского обслуживания и следы-признаки их образования // Вестник Волгоградской академии МВД России. 2018. N 2 (45). С. 89-94.
10. Желудков М.А., Попов А.М., Дубровина М.М. Проблемы правового обеспечения противодействия киберпреступности в России и зарубежных странах // Вестник Волгоградской академии МВД России. 2018. N 3 (46). С. 97-101.
11. Сгоир-!Ь.Расследования. URL: http://www.group-ib.rU/investigation.html#lab (дата обращения: 11 июня 2020 г.).
References
1. Liholetov A.A., Liholetov E.A. Problems of qualification of thefts committed using electronic means of payment. Bulletin of the Volgograd Academy of the Ministry of Internal Affairs of Russia, 2019, no. 1 (48), pp. 51-56. (In Russ.).
2. Zamylin E.I., Zakatov A.A. Planning as the most important organizational requirement for the investigative activities of the investigator. Bulletin of the Volgograd Academy of the Ministry of Internal Affairs of Russia. 2019, no. 1 (48), pp. 103-107. (In Russ.).
3. Eremin S.G. Initiation of a criminal case on crimes in the field of remote banking services, investigative situations, versions, planning and investigation at the initial stage. Bulletin of the Volgograd Academy of the Ministry of Internal Affairs of Russia, 2019, no. 2 (49), pp. 78-84. (In Russ.).
4. Golyatina S.M., Koval'chenko A.A. Some elements of the forensic characteristics of the theft of electronic money. Bulletin of the Volgograd Academy of the Ministry of Internal Affairs of Russia, 2019, no. 2 (49), pp. 73-77. (In Russ.).
5. D'yakonova O.G. Forensic examination and preliminary research as competing forms of using special knowledge. Forensic examination, 2019, no. 2 (58), pp. 8-19. (In Russ.).
6. Haskina V.Yu. The main directions of work with traces seized during the inspection of the scene of the incident. Forensic examination, 2018, no. 4 (56), pp. 26-33. (In Russ.).
7. Aminev F.G. Problematic issues arising in the appointment of new genera and types of forensic examinations. Forensic examination, 2018, no. 2 (54), pp. 7-14. (In Russ.).
8. Avstriyskov A.V. Retrospective of the use of technical means of operational-search purposes in the disclosure and investigation of crimes in Russia. Bulletin of the Volgograd Academy of the Ministry of Internal Affairs of Russia, 2019, no. 1 (48), pp. 79-87. (In Russ.).
9. Eremin S.G., Domovets S.S. Methods of committing crimes in the field of remote banking services and traces-signs of their formation. Bulletin of the Volgograd Academy of the Ministry of Internal Affairs of Russia, 2018, no. 2 (45), pp. 89-94. (In Russ.).
10. Zheludkov M.A., Popov A.M., Dubrovina M.M. Problems of legal support for countering cybercrime in Russia and foreign countries. Bulletin of the Volgograd Academy of the Ministry of Internal Affairs of Russia, 2018, no. 3 (46), pp. 97-101. (In Russ.).
11. Group-Ib. Investigations. Available at: http://www.group-ib.ru/investigation.html#lab (Accessed June 11, 2020). (In Russ.).
