CC BY
4
ВЕСТНИК УРАЛЬСКОГО ЮРИДИЧЕСКОГО ИНСТИТУТА МВД России
Научная статья
УДК 343.98
Некоторые аспекты исследования цифровых следов в процессе расследования мошенничеств, совершаемых с использованием сведений о пользователях средств сотовой связи
Дерюгин Роман Александрович
Уральский юридический институт МВД России, Екатеринбург, Россия, deryugin.r.a@mail.ru
Аннотация. В статье рассматриваются отдельные вопросы, связанные с исследованием в процессе расследования мошенничеств, совершаемых с использованием информации о пользователях средств сотовой связи, цифровых следов. Автор описывает некоторые особенности построения мобильной связи, порядок установления IMEI, IP-адреса или информации об IP-адресе пользователя, а также методы деанонимизации пользователя устройств с подключенным VPN. Проанализированы возможности современных аппаратно-программных комплексов, позволяющих извлекать и работать с данными пользователей средств сотовой связи.
Ключевые слова: мошенничество, информация, данные, средства связи, мобильная связь, пользователь, цифровые следы
Для цитирования: Дерюгин Р. А. Некоторые аспекты исследования цифровых следов в процессе расследования мошенничеств, совершаемых с использованием сведений о пользователях средств сотовой связи // Вестник Уральского юридического института МВД России. 2023. № 4. С. 72-76.
Original article
Some aspects of researching digital trails in the process of investigating frauds committed using information about cellular communication users
Deryugin Roman A.
Ural Law Institute of the Ministry of the Interior of Russia, Yekaterinburg, Russia, deryugin.r.a@mail.ru
Abstract. The article discusses certain issues related to the research in the process of investigating fraud committed using information about users of cellular communications and digital traces. The author describes some features of building a mobile connection, the procedure for establishing IMEI, IP address or information about the user's IP address, as well as methods for de-anonymizing the user of devices with a connected VPN. The capabilities of modern hardware and software systems that allow extracting and working with user data of cellular communications equipment are analyzed.
Keywords: fraud, information, data, communications, mobile communications, user, digital traces
For citation: Deryugin R. A. Some aspects of researching digital trails in the process of investigating frauds committed using information about cellular communication users // Bulletin of the Ural Law Institute of the Ministry of the Interior of Russia. 2023. № 4. Pр. 72-76.
Современные процессы цифровизации отдельных направлений деятельности человека свидетельствующие о становления информационного общества, не могли не оказать влияние на преступность. Несмотря на преимущественно положительные аспекты прогрессивных технических решений и эффективность использования информационно-телекоммуникационных технологий в жизни людей, преступность трансформировалась, перешла в новую сферу и ак-
тивно наращивает свое влияние на общество, что является негативной стороной научно-технического прогресса.
Отдельные виды преступлений, в том числе мошенничества, приобрели транснациональный характер именно за счет возможностей удаленного доступа, предоставляемого достижениями в области инфор-
© Дерюгин Р.А., 2023
мационно-телекоммуникационных технологий. Это обуславливает насущную потребность правоохранительных органов в формировании и совершенствовании методических основ выявления и рекомендаций по расследованию таких преступлений.
Кроме того, по данным МВД России, по-прежнему каждое четвертое преступление совершается с использованием 1Т-технологий. Около 70 % всех хищений - это кибермошенничества, из которых почти половина совершается с использованием сотовой связи (например, в 2020 г. - 217,6 тыс.).
В январе-августе 2023 г. сохраняется тенденция к увеличению количества - на 28,7 % - противоправных деяний в сфере информационно-телекоммуникационных технологий. Их удельный вес в числе всех преступных посягательств возрос до 32,9 %, а по тяжким и особо тяжким - до 56,4 %. Больше всего совершено дистанционных мошенничеств и краж. Раскрываемость киберпреступлений составила 29,9 %, в том числе совершенных с использованием сети «Интернет» - 28,8 %, расчетных (пластиковых) карт - 35,7 %. [4]. Практика выявления и расследования мошенничеств, совершаемых с использованием персональных данных пользователей средствами мобильной связи, свидетельствует о том, что снижение количества данных преступлений произошло только в период с марта по июль 2022 года в связи с началом специальной военной операцией, в ходе которой «преступные колл-центры» были уничтожены или эвакуированы в центральную часть Украины.
Приведенные показатели вызывают определенное беспокойство со стороны правоохранительных органов и общества. Статистика обусловлена многочисленными проблемами, связанными с процессом расследования и особенностями использования преступниками новых технологических решений и программного обеспечения. В числе проблем, препятствующих своевременному направлению уголовных дел в суд, важное место занимают связанные с выявлением пользователей информационно-телекоммуникационного оборудования, что предопреде-ленно активным распространением средств сокрытия идентификационной информации пользователей сети «Интернет», 1Р-адресов, серверов и ресурсов, находящихся вне юрисдикции Российской Федерации. Данный факт практически полностью исключает возможность получения криминалистически значимой информации.
Несмотря на это и на специфику способов совершения рассматриваемых мошенничеств, преимущественно основанных на методах социальной инженерии, предполагающей замену адреса пользователя в сети «Интернет», применение технологии «подменных» абонентских номеров посредством Б!Р-телефонии, в процессе совершения преступных действий остаются цифровые следы, порядок работы с которыми имеет определенные особенности, в отличие от работы с «традиционными» следами.
Разновидностей цифровых следов, которые могут быть предметом исследования при расследовании
мошенничеств, совершаемых с использованием сведений о пользователях средств сотовой связи, множество. В связи с этим справедливо отметить некоторые особенности построения мобильной связи, сущность которых заключается в том, что зона покрытия того или иного оператора связи представляет собой совокупность так называемых секторов. Данные сектора определяются зонами покрытия базовых станций (далее - БС). БС представляет собой оборудование и кабельную инфраструктуру оператора связи. Основной задачей той или иной БС оператора связи является предоставление абонентам оператора связи услуг связи (контента) в определенной зоне действия (обслуживания). При этом БС делят ту или иную зону покрытия на определенное количество секторов.
При взаимодействии с оператором мобильной связи можно запрашивать не только детализацию по тому или иному абонентскому номеру, но и сведения о БС с указанием их направленности, секторов. Данные сведения могут оказать помощь сотруднику правоохранительных органов при определении (установлении), например, адреса нахождения преступника с учетом конкретного сектора БС.
Абонентские устройства мобильной телефонной связи могут содержать следы преступления в виде информации: о IMEI - номере (номерах) устройства; набранных / полученных звонках; полученных / отправленных SMS-сообщениях; переписке и звонках с использованием таких приложений, как Skype, WhatsApp, Viber, Telegram и т. д.; переписке по электронной почте; о посещенных интернет-ресурсах; наличии программного обеспечения, следах его установки и работы.
Обратим внимание, что абонентский номер отражает полезную ориентирующую информацию, которая облегчает дальнейшую работу. Абонентский номер - это телефонный номер, однозначно определяющий (идентифицирующий) оконечный элемент сети связи или подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с установленным в ней (в нем) идентификационным модулем.
Например, абонентский номер: +7(8)9068050232. Первая цифра (+7(8)) определяет код страны. Цифры со второй по четвертую определяют принадлежность абонентского номера к региону или оператору сотовой связи. С пятой по одиннадцатую - определяют номер абонента.
Для того чтобы установить принадлежность номера абонента к оператору мобильной связи, необходимо обратиться за выпиской из реестра российской системы и плана нумерации «Федерального агентства связи» (https://rossvyaz.gov.ru/deyatelnost/resurs-numeracii/vypiska-iz-reestra-sistemy-i-plana-numeracii). Это, в свою очередь, дает возможность в соответствии с полученными сведениями из выписки из реестра российской системы и плана нумерации «Федерального агентства связи» правильно организовать запрос. Если абонентом был осуществлен переход от одного оператора связи к другому оператору связи с
ВЕСТНИК УРАЛЬСКОГО ЮРИДИЧЕСКОГО ИНСТИТУТА МВД России
сохранением номера, то на первоначальном этапе не всегда можно получить достоверную информацию по оператору связи для формирования запроса.
IMEI - это уникальный номер, например, мобильного устройства (средства связи).
Например, IMEI: 337546363893261. Цифры с пятой по четырнадцатую уникального номера мобильного устройства определяют происхождение, модель и серийный номер мобильного устройства. Пятнадцатая цифра (3) уникального номера мобильного устройства - это контрольная цифра, не имеющая целевого значения.
В целях установления марки и модели мобильного устройства и других параметров можно воспользоваться специальными онлайн-сервисами, например, онлайн-сервисом www.imei.info.
IP-адрес - это уникальный идентификационный номер. Данный номер присваивается каждому девай-су при работе с ресурсами сети «Интернет».
Чаще всего при работе с мобильными устройствами сталкиваются с IP-адресом версии 4, который записывается в виде четырех десятичных чисел (0-255), разделенных точками, например, 212.49.112.159.
IP-адрес «выдается» вычислительному устройству (клиента (пользователя)), например, его оператором связи (интернет-провайдером).
На каждом сайте сети «Интернет» хранится как история соединений с его клиентами (пользователями), так и IP-адреса пользователей. При каждом посещении той или иной страницы сети «Интернет» клиент (пользователь) оставляет так называемый «цифровой след». По данному «цифровому следу» сотрудники правоохранительных органов могут частично идентифицировать клиента (пользователя) того или иного оператора связи (интернет-провайдера).
Сотрудники правоохранительных органов могут идентифицировать клиента того или иного оператора связи (интернет-провайдера), воспользовавшись, например, онлайн-сервисом www.2ip.ru/whois/. Идентифицировав оператора связи (интернет-провайдера) по имеющемуся IP-адресу клиента (пользователя), можно направить соответствующий запрос в адрес оператора связи (интернет-провайдера) для получения полных данных по клиенту (пользователю).
При рассмотрении вопросов, касающихся IP-адреса, следует отметить актуальную и широко применяемую интернет-провайдерами технологию NAT (Network Address Translation), которая отчасти влияет на процесс установления персональных данных лица, которому предоставлен конкретный IP-адрес.
Network Address Translation - это механизм в сетях TCP/IP, позволяющий изменять IP-адрес в заголовке пакета, проходящего через устройство маршрутизации трафика. Принимая пакет от локального компьютера, маршрутизатор смотрит на IP-адрес назначения. Если это локальный адрес, то пакет пересылается другому локальному компьютеру. Если нет, то пакет надо переслать наружу, в Интернет. Маршрутизатор подменяет обратный IP-адрес пакета на свой внешний (видимый из Интернета) IP-адрес и меняет номер
порта (чтобы различать ответные пакеты, адресованные разным локальным компьютерам). Комбинацию, нужную для обратной подстановки, маршрутизатор сохраняет у себя во временной таблице1.
Данный механизм давно актуален и широко применим, и если технология NAT используется российским оператором связи или провайдером, то процесс установления интересующего следствие IP-адреса, как правило, не вызывает затруднений ввиду оснащения наших компаний системой СОРМ2. Некоторые затруднения технического плана могут возникнуть, если необходимо определить IP-адрес конкретного устройства, подключенного к локальной корпоративной сети. В данном случае специалисту понадобится определенное время для анализа log-файлов и сетевого трафика для установления интересующего устройства.
Установив IP-адрес и точное время его использования в сети, можно узнать адрес нахождения устройства, с которого работал преступник. Установление местонахождения преступника по IP-адресам усложняет использование им легко доступных средств анонимизации (например, VPN). Смысл виртуальной частной сети заключается в том, что пользователь Интернета, перед тем как выйти на сайт, подключается к серверу третьего лица, как правило, локализующегося на территории иного государства. Таким образом, в истории соединений сайта остается не IP-адрес пользователя, а IP-адрес использованного им VPN-сервера.
Установив компанию, обслуживающую VPN, необходимо запросить данные об IP-адресе пользователя в БСТМ, указав максимальную имеющуюся информацию о временных промежутках выхода в Интернет и IP-адреса интернет-ресурсов, к которым осуществлялось обращение. Большое количество VPN принадлежит иностранным интернет-провайдерам, в адрес которых возможно направить запрос через Интерпол по международным запросам в рамках расследования уголовных дел. Для сокрытия своего адреса ки-берпреступники используют различные анонимные компьютерные сети и сервисы, специально созданные для этих целей.
VPN-сервисы - услуга, обеспечивающая шифрование сетевого трафика пользователя между его компьютером и VPN-прокси-сервером, который является шлюзом выхода в сеть «Интернет» и, соответственно, скрывает реальный IP-адрес пользователя. Преступники предпочитают сервисы, находящиеся в юрисдикции других государств и не требующие подтверждения персональных данных при регистрации, а также предоставляющие большой выбор стран,
1 URL: https://www.smart-soft.ru/blog/tehnologija_preobrazo vanija_setevyh_adresov_nat (дата обращения: 07.10.2023).
2 СОРМ (Система технических средств для обеспечения функций оперативно-розыскных мероприятий) - комплекс технических средств и мер, предназначенных для проведения оперативно-розыскных мероприятий в сетях телефонной, подвижной и беспроводной связи и радиосвязи.
где расположены серверы-шлюзы (прокси). Если им требуется более высокий уровень конспирации, ки-берпреступники могут арендовать у провайдеров хо-стинговых услуг вычислительные мощности практически в любой точке мира, на которых настраиваются собственные VPN-серверы либо виртуальные машины, с которых, используя сторонние VPN-сервисы, производится выход в сеть «Интернет».
Важно отметить, что VPN-сервисы, даже платные, не гарантируют полную анонимность. Деаноними-зировать пользователя устройства с подключенным VPN позволяют следующие цифровые следы: журналы VPN, в которых записывается личная информация (данные для входа в систему, адрес электронной почты, платежные данные, временные метки соединения, данные пропускной способности и т. д.); сторонние cookie-файлы, с помощью которых рекламодатели узнают предпочтения пользователя и адаптируют под него рекламу, что является нарушением конфиденциальности, но, с другой стороны, позволяет правоохранительным органам установить данные пользователя; отпечатки браузера, которые используют веб-сайты для идентификации браузера пользователя, операционной системы и получения информации о том, какие cookie-файлы принимает пользователь (VPN не может помешать веб-сайтам отслеживать указанные данные); информация, которой пользователь делится в социальных сетях [2, с. 34].
Деанонимизировать пользователя с VPN также можно с помощью специального программного обеспечения или сервисов при проведении оперативно-розыскных мероприятий, а также в рамках аналитической работы по поиску данных о пользователе из открытых источников, требующей определенных специальных знаний в области функционирования информационно-телекоммуникационных сетей и программного обеспечения. Методика такой аналитической работы основана на установлении максимально возможных цифровых следов преступника с помощью открытых источников, данных, полученных с сайтов социальных сетей, мобильных приложений, сервисов по получению информации об абонентском номере и его геолокации, онлайн-сервисов, позволяющих установить активность пользователя в сети. Как правило, совокупность полученных сведений позволяет сформировать запросы в соответствующие организации (например, служба безопасности социальной сети, сайтов объявлений или электронного кошелька, интернет-провайдеров) об одном или нескольких IP-адресах, которые, вероятнее всего, принадлежат интересующему следствие лицу.
Еще одним ценным источником криминалистически значимой информации, относящимся к числу цифровых следов, являются данные геопространственной информации. Получившие широкое распространение навигационные приложения, присутствующие в стандартном наборе приложений большинства смартфонов (например, GoogleMaps, Яндекс.Карты и т. п.) используют геоданные мобильных устройств (сведения о их местоположении в
определенный момент времени), чтобы показывать более точные результаты поиска на карте, строить более удобные для пользователя маршруты и формировать персональные подсказки. Данные о перемещениях мобильного устройства (смартфона с функцией геолокации) постоянно отправляются на серверы компании - поставщика услуг геолокации и (или) сохраняются непосредственно во встроенной памяти смартфона (в зависимости от настроек приложения геолокации).
В основе работы программ геолокации лежит использование сигналов ГЛОНАСС- или GPS-передатчиков, которыми оснащается подавляющее большинство современных мобильных устройств (смартфонов). При невозможности приема сигнала ГЛОНАСС или GPS геолокационные приложения могут использовать информацию базовых станций мобильной связи для приблизительного определения местоположения абонента.
К числу тактических задач расследования, решению которых может способствовать использование геопространственной информации, относятся: установление фигурантов и возможных свидетелей преступления; розыск лиц; установление места и обстоятельств совершения преступления; установление средств совершения преступления; установление алиби лица; розыск похищенного имущества; установление факта и времени нахождения лица в определенном месте; проверка показаний о месте и времени определенного события; установление длительности нахождения лица в определенном месте; проверка факта совместного нахождения разных лиц.
Для качественного и быстрого изъятия цифровых следов предназначены специальные современные аппаратно-программные комплексы (например, «Мобильный криминалист», Belkasoft, SecureView 3, MOBILedit, MicroSystemation, XRY и др.). Перечисленное программное обеспечение и аппаратно-программные комплексы могут быть использованы в рамках проведения осмотра места происшествия, осмотра предмета и компьютерной экспертизы; их применение позволяет извлечь необходимую информацию с технических устройств, имеющую значение для расследования уголовного дела.
В правоохранительных органах наибольшую популярность приобрел аппаратно-программный комплекс «Мобильный криминалист».
Аппаратно-программный комплекс «Мобильный криминалист» обладает возможностью изъятия информации, хранящейся в мобильном телефоне, компьютерном устройстве, а также в облачном хранилище (iCloud, Microsoft OneDrive, AmazonDrive и др.), даже если устройство является заблокированным.
Программа позволяет извлекать данные из мобильных устройств и их резервных копий. Построение работы осуществляется за счёт декодирования аппаратных ключей шифрования различных операционных систем, включая «Android» и «iOS», в результате чего программное обеспечение предоставляет полный образ исследуемого устройства, в том числе
ВЕСТНИК УРАЛЬСКОГО ЮРИДИЧЕСКОГО ИНСТИТУТА МВД РОССИИ
данные шифрованного приложения, которые извлекаются и расшифровываются в максимальном объеме и являются полностью идентичными данным приложения на устройстве.
Особенность использования данных устройств заключается в том, что извлечению и систематизации с построением структурированного отчета подлежат и удаленные данные, устройства позволяют войти в систему в обход паролей и логинов (либо распознавая их), работать с мобильными устройствами без аккумулятора либо отдельно с SIM-картой.
Извлеченная из мобильного устройства информация может:
- напрямую изобличать лицо в совершении преступления (видео, фото совершенного преступления, SMS-сообщения о совершенном преступлении (например, уведомление заказчика об убийстве, переписка, в которой лицо угрожает убийством, совершает вымогательство, предложение посредничества во взяточничестве, развратные действия, преступления экстремистского характера и др.));
- косвенно указывать на линию поведения лица, возможную причастность его к совершенному преступлению (закладки на сайтах, пометки в календаре, соответствующие экстремистским взглядам видео и фото, переписка, опровержение алиби и т. д.);
- способствовать установлению иных обстоятельств, имеющих значение для дела [1, с. 24].
Целесообразность применения аппаратно-программных комплексов в ходе работы с мобильными устройствами не вызывает сомнений. К сведению, apple iphone до 12 серии легко поддаются взлому.
Справедливо заметить, что в большинстве случаев при совершении мошеннических действий преступники используют цифровой след, который оставляют сами пользователи сети «Интернет» на своих устройствах и браузерах при проведении платежей (данные об экране и операционной системе, часовом поясе, заголовках, которые браузер отправляет серверу), и данные, собираемые на основе расширенной аналитики и алгоритмов машинного обучения, в том числе файлы cookie, super cookie и цифровые привычки пользовател1 . Так, эксперты Лаборатории Касперско-го в 2019 г. обнаружили целый подпольный интернет-магазин по продаже личных данных пользователей сети «Интернет», а также браузер со встроенным генератором цифрового следа, используя который, мошенники воспроизводили сетевую активность пользователя в браузере и на прокси-сервере, а затем с помощью украденных логина и пароля входили в его аккаунт и проводили онлайн-операции [3].
Таким образом, при расследовании мошенничеств, совершаемых с использованием персональных данных пользователей мобильных устройств связи, важно понимать, что следовая картина имеет особое криминалистическое значение для процесса
1 Cookie-файл - это фрагмент данных, который интернет-сайт передает в интернет-браузер (Google Chrome, Mozilla Firefox и др.) своего нового пользователя, чтобы «запомнить» его.
расследования, как на первоначальном, так и на последующем этапе расследования. Цифровые следы, информация о пользователе (абонентском номере или абонентском устройстве), которую следователь может получить из открытых источников, являются ориентиром для построения и проверки криминалистических версий, а также планирования не только отдельных следственных действий, но и для расследования в целом.
Библиографический список
1. Багмет А. М., Скобелин С. Ю. Извлечение данных из электронных устройств как самостоятельное следственное действие // Право и кибербезопасность. 2013. № 2. С. 22-27.
2. Дерюгин Р. А., Иванов В. Ю., Мосина С. В., Мосин И. В. Особенности расследования мошенничества, связанного с получением доступа к персональным данным пользователей сети «Интернет»: учебное пособие. Екатеринбург: Уральский юридический институт МВД России, 2022. 181 с.
3. Лаборатория Касперского обнаружила интернет-магазин цифровых личностей. URL: https:// plusworld.ru/daily/cat-security-and-id/post-428359.
4. Состояние преступности в России за январь -август 2023 года: сборник статистики и аналитики МВД России. URL: https://мвд.рф/dejatelnost/statistics.
References
1. Bagmet A. M., Skobelin S. Yu. Data extraction from electronic devices as an independent investigative action // Law and cybersecurity. 2013. No. 2. Pp. 22-27.
2. Deryugin R. A., Ivanov V. Yu., Mosina S. V., Mosin I. V. Features of fraud investigation related to obtaining access to personal data of Internet users: textbook. Yekaterinburg: Ural Law Institute of the Ministry of Internal Affairs of Russia, 2022. 181 p.
3. Kaspersky Lab has discovered an online store of digital personalities. URL: https://plusworld.ru/daily/cat-security-and-id/post-428359.
4. The state of crime in Russia for January - August 2023: collection of statistics and analytics of the Ministry of Internal Affairs of Russia. URL: https://мвд.рф/ dejatelnost/statistics.
Информация об авторе
Дерюгин Роман Александрович - кандидат юридических наук
Information about the author
Deryugin Roman A. - Candidate of Law
Статья поступила в редакцию 05.06.2023; одобрена после рецензирования 19.06.2023; принята к публикации 18.12.2023
The article was submitted 05.06.2023; approved after reviewing 19.06.2023; accepted for publication 18.12.2023
