CC BY
126Теория и практика правоохранительной деятельности
УДК 343.9
Дарья Игоревна ШНЕЙДЕРОВА,
преподаватель кафедры уголовного процесса и криминалистики Могилевского института МВД Республики Беларусь
galuzodi@mail.ru
КРИМИНАЛИСТИЧЕСКИЙ АНАЛИЗ СПОСОБОВ ХИЩЕНИЙ В СФЕРЕ ОБОРОТА КРИПТОВАЛЮТ
CRIMINALISTIC ANALYSIS OF METHODS OF THEFT IN THE SPHERE OF CRYPTOCURRENCY TURNOVER
Статья посвящена криминалистической характеристике хищений криптовалюты с криптовалютных бирж, обменников и кошельков, среди которых выделяются мошенничество, в том числе в сфере ICO, вымогательство, хищение путем использования компьютерной техники. Автором определяется предмет посягательства, устанавливается место совершения преступлений, приводится характеристика основных способов и средств реализации преступного намерения, а также анализируются источники получения информации о цифровых следах, образуемых в результате хищений криптовалют.
The article is devoted to the criminalistic characteristics of thefts of cryptocurrency from cryptocurrency exchanges, exchangers and wallets, including fraud in the field of ICO, extortion, theft by using computer technology. The author defines the object of the encroachment, establishes the place of commission of crimes, provides a description of the main methods and ways of implementing the criminal intention, and also analyzes the sources of information about digital traces formed as a result of cryptocurrency theft.
Ключевые слова: криптовалюта, хищение, мошенничество, вымогательство, хакер, ICO, фи-шинг, криптокошелек, вирус-вымогатель.
Keywords: cryptocurrency, theft, fraud, extortion, hacker, ICO, phishing, crypto wallet, ransomware.
Первопричиной появления и развития преступности в сфере оборота виртуальных валют является повышенный интерес со стороны как физических, так и юридических лиц к трансформации мировой экономики из «реального» в цифровое пространство. Особой популярностью среди мошенников и хакеров, проявляющих преступную активность через глобальную сеть Интернет, пользуются различные виды криптовалют. Не имея материального выражения, криптова-люта представляет собой сложную числовую запись, определяющую, каким количеством
расчетных единиц некоторого вида крипто-валютной платформы, осуществляющей свою деятельность на базе распределительной системы блокчейн, обладает пользователь. При этом шифрованию по основным правилам и методам криптографии подвергается не само число, воспринимаемое пользователем в качестве цифрового актива, а адрес к этому числу (открытый ключ) и приватный ключ, дающие возможность им распоряжаться при совершении транзакций купли-продажи и обмена.
Генерация криптовалют осуществляется за счет майнинговых процессов, в основе ко-
торых лежит обработка исходных данных системы путем вычисления односторонней хэш-функции, преобразующей их в уникальный буквенно-числовой код - хэш. Хэш является замыкающим звеном блока транзакций, совершенных в системе блокчейн, и дает право майнеру, его получившему, на вознаграждение в виде некоторого количества криптомо-нет. В криптографии хэширование считается надежным способом защиты, так как полученный при вычислениях хэш не позволяет вернуться к исходным данным, а следовательно, и внести изменения в транзакции, хранящие в замыкаемом им блоке.
Несмотря на сложность процесса получения криптовалюты, ее оборот среди пользователей глобальной сети Интернет не вызывает затруднений, так как криптовалюту можно не только «намайнить», но и приобрести за фиатные денежные средства через криптова-лютные биржи и обменники. При этом стоимость каждого вида криптовалюты напрямую зависит от уровня спроса на нее среди представителей цифрового валютного рынка, что также указывает на нестабильность обменного курса. Например, самым распространенным видом криптовалюты является бит-коин, первоначальная стартовая стоимость которого в 2009 г. составляла 0,003 доллара за одну единицу, к декабрю 2017 года она достигла рекордного значения за все время существования в 20 000 долларов, однако уже в феврале 2020 года снизилась до 9 247 долларов [2].
Возможность обмена криптовалюты на национальную валюту или желаемые товары и услуги, преимущественно в странах, легализовавших ее обращение, формирует повышенный интерес к данному активу не только со стороны добросовестных приобретателей, но и лиц преступной сферы. Совершенствующиеся профессиональные навыки мошенников и хакеров в области хищения криптовалют делают их предметом таких преступлений против собственности, как мошенничество, вымогательство и хищение путем использования компьютерной техники.
Спорным является вопрос о правовой природе криптовалюты как предмета преступного посягательства, так как на сегодняш-
ний день не во всех государствах установлен ее легальный статус. Мировое сообщество в вопросе признания криптовалют разделилось на три группы: страны, легализовавшие крип-товалюту и определившие ее имущественный характер; государства, установившие на законодательном уровне запрет обращения криптовалюты на своей территории; страны с нейтральной позицией, т.е. и не запрещающие, и законодательно не закрепляющие ее правовой статус.
Республика Беларусь, как и США, Япония, Дания, Канада, Великобритания, Швеция и некоторые другие государства, признала имущественный характер криптовалюты и определила ее официальный статус как универсального средства обмена в Декрете Президента Республики Беларусь от 21 декабря 2017 г. N 8 «О развитии цифровой экономики». При этом следует обратить внимание, что законно признанной считается любая криптовалюта, находящаяся в международном обороте, однако сделки с ней признаются легальными, только если они осуществлены через биржи, обменники или криптоплатформы, зарегистрированные в качестве резидентов Парка высоких технологий Республики Беларусь. Данное обстоятельство лишает указанных субъектов таких свойств, присущих технологии блокчейн, как анонимность, отсутствие налогообложения и контроля над совершаемыми операциями со стороны государственных органов, что, в свою очередь, является положительным фактором для работы правоохранительных органов при поиске лиц, осуществляющих противоправные деяния в сфере оборота криптовалют.
Страны, установившие прямой запрет на сделки с криптовалютой, не только не обеспечивают защиту прав граждан при противоправном посягательстве на принадлежащие им средства, но и реализуют меры карательного воздействия в отношении лиц, их хранящих, приобретающих или обменивающих. К таким государствам относятся Вьетнам, Индонезия, Непал, Эквадор, Исландия, Афганистан и другие [1].
Государства, не определившие позицию криптовалюты на законодательном уровне
Теория и практика 1ВЯ1 правоохранительной деятельности
(Россия, Франция, Украина, ОАЭ и другие), сталкиваются с проблемой при возбуждении уголовных дел в случае хищения криптовалют. Так, если криптовалюта официально не является имуществом (к примеру, средством платежа, товаром, акцией), то, следовательно, не может быть и предметом, посягая на который лицо причиняет вред отношениям собственности. В том числе актуальным является вопрос возможности наложения ареста на криптовалюту при обеспечении возмещения причиненного ущерба. Несмотря на это, в правоприменительной практике России присутствуют примеры признания судом имущественного характера криптовалют. Так, в мае 2018 г. Девятый арбитражный апелляционный суд, рассматривая дело о реализации имущества при личном банкротстве, обязал должника дать конкурсному управляющему доступ к содержимому криптокошелька для включения его в конкурсную массу [4].
Еще одним элементом криминалистической характеристики преступлений является место их совершения, от определения которого зависит выбор территориального органа, производящего предварительное расследование уголовного дела. По общему правилу предварительное расследование преступления осуществляется тем органом, под территориальную подведомственность которого попадает место его совершения. Однако в случае хищений криптовалют определение места вызывает затруднение, так как все активные действия совершаются через глобальную сеть Интернет, которая может рассматриваться только как средство реализации преступного намерения, поскольку является системой объединенных компьютерных сетей, построенных на базе стека протоколов TCP/IP.
Доступ в Интернет лицо, совершающее хищение, осуществляет с устройства, IP-адрес которого привязан к определенной местности. Направив соответствующий запрос интернет-провайдеру, сотрудники правоохранительных органов могут установить местонахождение владельца устройства, но данная задача усложняется, если преступник воспользовался услугами сервиса-анонимай-зера. Анонимайзер позволяет пользователю
скрыть реальный IP-адрес и предоставляет серверу посещаемого сайта сторонний для записи в журнал. Таким образом, чтобы в таком случае узнать непосредственное место совершения преступных действий, необходимо повторно направить запрос и сервису-анони-майзеру, многие из которых не ведут журнал посещений, что делает невозможным получение информации. Ввиду вышеизложенного представляется целесообразным местом совершения хищения криптовалюты считать местонахождение устройства потерпевшего, с которого им осуществлялись криптовалютные операции и управление криптокошельком.
В рамках криминалистического анализа хищений криптовалют отдельно необходимо остановиться на рассмотрении способов и механизмов их совершения. Лидирующую позицию по количеству совершенных преступлений занимает хищение путем использования компьютерной техники, сопряженное с несанкционированным доступом к компьютерной информации, а именно к конфиденциальным данным пользователей криптова-лютных кошельков и участников бирж.
С целью хранения криптовалют используются виртуальные кошельки, которые представляют собой программное обеспечение, позволяющее хранить файл с открытыми и приватными ключами доступа к криптова-лютам, находящимся в системе блокчейн, реализовывать с ними любые виды сделок, отслеживать общий баланс и совершаемые в системе транзакции. Кошельки подразделяются по видам находящихся в них валют на одновалютные и мультивалютные, а также по способу хранения на кошельки с «горячим» и «холодным» хранением.
Наибольший практический интерес представляет классификация по способу хранения, так как именно она предопределяет степень защищенности криптовалют от хищений. Более подвержены преступному воздействию кошельки с «горячим» хранением, так как они находятся в постоянном взаимодействии с глобальной сетью Интернет и становятся объектом многочисленных хакерских атак. К таким кошелькам относятся онлайн-кошельки, образуемые либо как самостоятельный сервис, либо в рамках криптобирж,
а также мобильные и некоторые локальные программные продукты, преимуществом которых является минимальное количество времени, затрачиваемого для совершения сделок с криптовалютой. Получение доступа к таким кошелькам возможно посредством «взлома» сервера онлайн-сервиса или криптобиржи, предоставляющих услуги по хранению крип-товалют, электронной почты владельца крип-токошелька, перехвата входящих смс-сооб-щений, внедрения вредоносных программ на используемое устройство.
Онлайн-кошельки просты в использовании, но подвержены всем вышеперечисленным способам «взлома» благодаря принципу своей работы. Для создания онлайн-кошеле-ка пользователю необходимо выбрать понравившийся сервис и пройти процедуру регистрации, которая включает в себя указание адреса электронной почты и самостоятельное определение пароля, а также подтверждение регистрации переходом по полученной от администрации сервиса ссылке. Когда основные мероприятия выполнены, сервис присваивает кошельку уникальный буквен-но-числовой адрес, который в последующем служит логином для доступа к кошельку и высылается пользователю на электронную почту. Осуществление обменных операций с криптовалютой возможно благодаря генерируемому самим кошельком приватному ключу, из которого формируется и открытый ключ, т.е. адрес кошелька, сообщаемый отправителю для получения криптовалюты. В данном случае основную роль играет именно знание приватного ключа, который и дает право распоряжения криптовалютой. Однако большинство оналайн-сервисов не сообщают своим пользователям приватные ключи, что делает их единоличными владельцами всех хранящихся на сервере криптовалют и позволяет пользователям переводить крипто-монеты с кошелька на кошелек без дополнительного ввода ключа. Взлом такого сервера обеспечит хакерам возможность получить доступ не только к личным данным пользователей, но и приватным ключам криптомонет, что позволит беспрепятственно осуществить их перевод на другую платформу и воспользоваться по своему усмотрению.
С целью обеспечения безопасности как онлайн-кошельки, так и локальные или мобильные программы прибегают к двухфак-торной аутентификации и вводу защитной эее^фразы. Сущность двухфакторной аутентификации заключается в том, что при входе в кошелек пользователь должен указать не только личный пароль для входа, но и дополнительный одноразовый код, полученный смс-сообщением. Однако на сегодняшний день профессиональным преступникам не составляет труда осуществить перехват таких сообщений и реализовать свой преступный замысел. Бее^фраза необходима в случае, если пользователь забыл основной пароль к кошельку, восстановить который согласно принципам политики онлайн-хранилищ через электронную почту или смс невозможно. Уникальная фраза состоит из двенадцати английских слов, не связных между собой по смыслу, которую пользователь либо формирует единожды сам, либо она генерируется сервисом. Утеря кодовых слов повлияет на возможность работы с кошельком и хранящимися в нем монетам, но в то же время владение Бее^фразой посторонними людьми означает их беспрепятственный доступ к виртуальным сбережениям пользователя.
К кошелькам с «холодным» хранением относятся локальные программы, не требующие постоянного доступа в Интернет, аппаратные и бумажные кошельки. Принцип работы локальных программ с «холодным» хранением отличает их от «горячих» кошельков возможностью хранить криптовалюту и совершать с ней некоторые виды транзакций в оффлайн-режиме, что делает хранилище безопасным от посторонних вторжений. Аппаратные кошельки представляют собой переносное устройство, предназначенное для длительного хранения криптовалют, не включенных в постоянный оборот, которые самостоятельно генерируют открытые и приватные ключи. Для совершения операций аппаратный криптокошелек необходимо подключить к компьютеру, уязвимость которого является единственной угрозой несанкционированного доступа. Бумажные кошельки признаны самыми безопасными хранилищами, так как являются распечаткой с изображением при-
Теория и практика JKII правоохранительной деятельности а-йй»
ватного и открытого ключей в виде РИ-кода, предназначенной для использования кошелька в автономном режиме путем сканирования изображения.
Нередки случаи, когда причиной совершения хищения путем несанкционированного доступа к конфиденциальной информации является беспечность самих владельцев крип-токошельков, которые предпочитают хранить логины, пароли, приватные ключи, кодовые фразы на своих устройствах в заметках, текстовых файлах или на фотоснимках. При этом не уделяется должного внимания защите устройства, имеющего доступ в Интернет, от внедрения вредоносного программного обеспечения. Кроме того, хранение личных данных на переносных носителях (блокноты, флеш-карты, диски, съемные винчестеры) также не дает стопроцентную гарантию от их потери или возможности доступа посторонних лиц.
Следует отметить, что методом получения несанкционированного доступа к конфиденциальной компьютерной информации являются фишинговые атаки, в основе алгоритма которых лежит интернет- или смс-рассылка писем с определенным набором требований. Классифицировать фишинговые атаки можно как по механизму достижения конечной цели, так и по адресату фишинговых писем.
В зависимости от механизма реализации фишинговой атаки доступ к личным данным конкретного пользователя может быть получен двумя способами: собственноручным вводом данных на поддельных «сайтах-близнецах» либо путем загрузки и запуска вирусного программного обеспечения на используемом устройстве. Так, пользователь получает электронное письмо от администрации хорошо знакомого сайта о необходимости дополнительной авторизации с целью обеспечения безопасности его аккаунта, которую необходимо осуществить, перейдя по указанной в письме ссылке (переход может осуществляться и под любым другим предлогом: голосование за близкого друга, получение выигрыша, бонуса, участие в рекламной акции и т.д.). Далее перед пользователем открывается внешне схожий с оригинальным сайт с окном для авторизации, куда он
вводит логин и пароль, после чего страница либо перезагружается, либо перенаправляет его в настройки аккаунта, требующие дополнительных сведений. Привлекательность фишинговых «сайтов-близнецов» заключается не только в идентичности внешних признаков, но и максимальной схожести URL-адреса, в котором может быть изменена всего лишь одна буква или символ.
Загрузка вредоносного программного обеспечения, способного получать не только хранящиеся на устройстве или в браузере данные, но и в онлайн режиме передавать хакеру информацию о совершаемых пользователем действиях, в том числе вводимых с клавиатуры логинах и паролях, может производиться как автоматически при нажатии на активную ссылку, так и посредством скачивания вложенных зараженных файлов (документов, pdf-файлов, изображений), открытие которых инициирует распаковку и внедрение вируса.
К видам фишинговых атак в зависимости от адресата можно отнести спам-рассылки (масштабный фишинг), целенаправленный фишинг, «Whaling» и «SMiShing». Спам-рас-сылка представляет собой электронные письма или сообщения в социальных сетях различного смыслового содержания, рассчитанные на обман неограниченного круга случайно определенных пользователей. Такие сообщения чаще всего носят рекламный характер (о розыгрыше призов, акциях магазинов, получении денежного приза и др.) и подкрепляются фотографиями публичных людей или их брендов.
Противоположен масштабному целенаправленный фишинг, рассчитанный на обман определенного человека или группы людей, объединенных общими интересами. При данном виде фишинг-атак текст письма содержит обращение к пользователю по его имени и фамилии, имеет четко сформулированную просьбу или требование, не вызывающие сомнений.
Разновидностью целенаправленных фи-шинг-атак является «Whaling», который направлен на обман публичных людей, руководителей крупных организаций и частных компаний, банков, государственных органов.
Такая атака требует от преступников дополнительных подготовительных действий по установлению контактов «жертвы». Примерами могут служить ссылки на жалобы клиентов, вложенные документы с информацией о товаре, договоры и другие.
«8М18Ыпд» - вид фишинговых атак, направленных на обман пользователей мобильных устройств. «8М18Ыпд» концептуально схож с фишингом, реализуемым посредством электронных писем или сообщений в социальных сетях, но предназначен для распространения ссылок на вредоносные файлы, мобильные приложения или поддельные сайты посредством смс-сообщений.
Вредоносное программное обеспечение служит движущим механизмом и при реализации преступного намерения вымогателей, направленного на незаконное завладение и распоряжение криптовалютой. Так, в сентябре 2019 г. в правоохранительные органы Республики Беларусь поступило заявление от представителей администрации частной молодеченской фирмы о том, что после проверки главным бухгалтером электронной почты все файлы, хранящиеся на компьютерах организации, были заражены вирусом, не позволяющим получить доступ к находящимся в них данным. Вместо этого перед пользователем появлялось окно с текстовым сообщением, в котором вымогатели требовали перевести им выкуп в биткоинах для дешифровки файлов сервера фирмы [3].
Механизм работы вирусов-вымогателей криптовалют может быть представлен несколькими направлениями их вредоносной активности. Наибольшее распространение получило шифрование данных, исключающее возможность работы с ними в нормальном режиме как безвозвратно, так и временно. Разрешение ситуации возможно при выполнении требований вымогателей, которые после получения желаемого могут реализовать дешифрование файлов. Однако в некоторых случаях «программы-шифровальщики» действуют в одностороннем, т.е. необратимом, порядке и уничтожают данные, даже несмотря на выполнение всех требований преступников. Кроме того, вредоносное программное обеспечение вымогателей способно блокиро-
вать работу как системы в целом, так и отдельных ее элементов (программ, браузеров, файлов определенного вида) либо создавать периодические помехи.
Распространяются программы-шифровальщики такими же способами, как и фи-шинговые вирусы: через электронную почту, игровые серверы, ботнет, скаченные из интернет-ресурсов программы, файлы, использование уязвимых сайтов и другими. Однако способы являются не единственным связывающим фишинг и вирусы-вымогатели звеном. Нежелание пользователей выполнять требования вымогателей привело к появлению усовершенствованного вируса, который способен не только шифровать и ограничивать доступ к файлам, но и передавать конфиденциальные данные преступникам для самостоятельного взлома криптокошельков. Примером таких вирусных программ является «ВИзЫЙег», функциональные возможности которого позволяют хакерам получать информацию о биткоин-кошельках, данные банковских карт, интернет-банкинга, логинах и паролях для авторизации в различных интернет-сервисах.
Мошенничество в сфере оборота крип-товалют также может быть разделено на две группы в зависимости от реализации преступного механизма: потребительское и инвестиционное (1СО-мошенничество). В основе потребительского мошенничества лежит завладение криптовалютой под предлогом предварительной оплаты за последующие продажу товара или оказание услуги без реального намерения осуществить обещанное. Например, мошенник реализует какой-либо продукт через интернет-магазин или социальную сеть с условием оплаты только криптова-лютой. Покупатель переводит необходимое количество криптомонет на указанный адрес кошелька, о чем сообщает продавцу, который подтверждает оплату и извещает об отправке товара путем предоставления поддельных документов, почтовых извещений или иным способом. По истечении установленного сторонами срока покупатель, не получивший товар, предпринимает попытки связаться с продавцом, все данные о котором к этому моменту уже удалены. При этом установить
Теория и практика 1ВЯ1 правоохранительной деятельности
владельца кошелька, куда были переведены криптомонеты, в большинстве случаев невозможно ввиду активного использования мошенниками криптовалютных миксеров, позволяющих путем многократного перераспределения адресов повысить анонимность их реального владельца.
ICO-мошенничество (или «экзит-скам»), в отличие от потребительского, направленно на привлечение сторонних инвестиций в виде денежных средств или находящихся в обороте криптовалют в еще не существующий вид виртуальной валюты. Так, группа мошенников создает стартовый проект ICO по запуску нового вида криптовалюты. Данный проект сопровождается необходимой документацией в виде «Белой книги», в которой приводится обоснование цели и стратегии его развития, устанавливаются сроки окупаемости, объемы необходимых для запуска средств, представляется руководство и состав рабочей команды, информация о регистрации стартапа и другие данные. Привлечение внимания к проекту осуществляется путем масштабной рекламной акции в сети Интернет и демонстрации активности проекта, его популярности среди публичных людей, что и побуждает доверчивых инвесторов вкладывать свои сбережения. Однако при достижении преступного умысла, т.е. получении достаточного количества как реальных денежных средств, так и виртуальных валют, мошенники, так не запустив проект, удаляют все данные о нем из сети и исчезают с похищенным. При этом обманутыми могут оказаться не только инвесторы, но и члены команды по развитию проекта, не знавшие о преступном умысле его руководителей.
При расследовании хищений в сфере оборота криптовалют необходимо обратить внимание на цифровые следы, оставляемые как на устройствах потерпевших и преступников, так и на серверах интернет-ресурсов. Искомую для установления факта преступного события информацию при исследовании
содержимого устройств можно получить путем анализа данных диспетчера задач, журнала событий, просмотра файлов и установленных программ, мониторинга историй и загрузок браузеров. При этом целесообразно отметить, что подобные действия требуют привлечения специалистов, обладающих необходимым комплексом знаний в сфере 1Т-технологий.
Цифровые следы, оставляемые в рамках глобальной сети Интернет, подразделяются на активные (видимые) и пассивные (невидимые). Активные цифровые следы являются общедоступным видимым содержанием каких-либо данных, пассивные следы - это метаданные, которые являются сопровождающей информацией к видимому содержанию. Примерами активных следов являются электронные письма, сообщения в социальных сетях, передаваемые через них и хранящиеся фотографии, документы, видеозаписи, оставленные под публикациями комментарии, «лайки» и другие. К пассивным следам относятся статистика посещений определенных сайтов, история поисковых запросов, местонахождение и передвижение используемого устройства, его 1Р-адрес и т.д. Обнаружение цифровых следов в глобальной сети возможно как посредством анализа данных, находящихся в открытом доступе, так и путем получения необходимой информации через запрос от владельцев серверов, обслуживающих посещенные пользователем сайты.
Криминалистическая характеристика хищений в сфере оборота криптовалют, раскрывающая сущность предмета преступных посягательств, определяющая место, способы и средства их совершения, описывающая образуемую следовую картину исследуемых преступлений, является базой для дальнейшей разработки типичных следственных ситуаций и выдвижения версий с целью определения совокупности необходимых следственных действий на первоначальном этапе расследования.
Библиографический список
1. В каких странах запрещено использовать Биткоин. - URL: https://finswin.com/kripto/btc/ gde-zapreshchen-bitkoin.html (дата обращения 27.02.2020).
2. График курса Биткоина за всю историю. - URL: https://myfin.by/crypto-rates/chart-bitcoin (дата обращения 27.02.2020).
3. Катрич, М. Белорусские бизнесмены пострадали от вымогателей биткоинов / М. Катрич. URL: https: //coinspot. io/law/russia_sng/belorusskie-biznesmeny-postradali-ot-vymogatelej-
bitcoinov/ (дата обращения 27.02.2020).
4. Чернышева, Е. МВД разработает механизм ареста и конфискации криптовалют / Е. Чернышева, П. Канаев, А. Посыпкина. - URL: https://www.rbc.ru/finances/07/11/2019/5dc16001 9a7947c61a5119a3 (дата обращения 27.02.2020).
