CC BY
123
6. Гусев, В. А. Права оперативных подразделений полиции: законодательство и практика : монография. - М.: ИД Шумиловой И.И., 2014.
7. Смирнов, М. П. Комментарии оперативно-розыскного законодательства РФ и зарубежных стран : учебное пособие. - М.: Экзамен, 2003.
8. Федоров, А. В., Шахматов, А. В. Содействие граждан органам, осуществляющим оперативно-розыскную деятельность : учебное пособие / под общ. ред. В.П. Сальникова; Санкт-Петербургский университет МВД России; Академия права, экономики и безопасности жизнедеятельности; Московская академия экономики и права. - СПб.: Фонд «Университет», 2004.
9. Гусев, В. А. Восстановление нарушенных прав и возмещение вреда, причиненного гражданину действиями органов, осуществляющих оперативно-розыскную деятельность // Вестник Санкт-Петербургского университета МВД России. - 2012. - № 1 (53).
10. Матузов, Н. И., Малько, А. В. Теория государства и права : учебник / 4-е изд., испр. и доп. - М.: ИД «Дело» РАНХиГС, 2011.
11. Определение Конституционного Суда РФ от 8 ноября 2005 г. № 439-О «По жалобе граждан С.В. Бородина, В.Н. Буробина, А.В. Быковского и других на нарушение их конституционных прав статьями 7, 29, 182 и 183 Уголовно-процессуального кодекса Российской Федерации. - СПС «КонсультантПлюс».
УКД 343.791 А.В. Тимофеев*
Выявление и раскрытие киберпреступлений в кредитно-финансовой сфере
В статье рассмотрены некоторые вопросы обеспечения оперативно-розыскного выявления и раскрытия киберпреступлений в кредитно-финансовой сфере. Автор классифицирует и раскрывает три типовые оперативно-розыскные ситуации, возникающие при выявлении и раскрытии таких преступлений оперативными подразделениями ОВД.
Ключевые слова: киберпреступления в кредитно-финансовой сфере, подразделения экономической безопасности и противодействия коррупции, способы совершения киберпреступлений и типовые оперативно-розыскные ситуации.
A.V. Timofeev*. The identification and detection of cybercrimes in credit-financial sphere. The
article considers some issues for investigation identifying and solving cybercrimes in credit-financial sphere. The author classifies and discloses three typical investigative situations arising the detection and solving of such crimes, the operational units of the police Department.
Keywords: cybercrimes in credit-financial sphere, divisions of economic security and combating corruption, the ways of committing cybercrime and typical investigative situations.
Правительство РФ разрабатывает программу по борьбе с киберпреступностью. Одной из экспертных организаций в данной работе выступает Сбербанк. Он не только вносит свои предложения в разрабатываемую программу, но и на конкретных примерах показывает, как его структуры противодействуют киберпреступлениям.
По словам Г. Грефа, президента и председателя правления Сбербанка России, мировые потери от киберпреступности в 2015 г. составили $500 млрд., а официальная оценка потерь рынка в России - $4 млрд. Эксперты Сбербанка потери в нашей стране за 2015 г. оценили в пять миллиардов долларов [2].
Наиболее распространённым способом совершения преступления в кредитно-финансовой сфере является применение вредоносных программ через систему интернет-банкинга.
Интернет-банкинг - это общее название технологий дистанционного банковского обслуживания, а также доступ к счетам и операциям (по ним), предоставляющийся в любое время и с любого компьютера, имеющего доступ в Интернет. Интернет-банкинг часто доступен по системе «Банк-Клиент».
* Тимофеев, Александр Владимирович, доцент кафедры оперативно-разыскной деятельности в ОВД Санкт-Петербургского университета МВД России. Адрес: Россия, 198206, Санкт-Петербург, ул. Летчика Пилютова, дом 1. Тел. (812)744-96-37. E-mail: a.timofeev@biostar.ru.
* Timofeev, Alexander Vladimirovich, associate Professor of the Department at "The operative investigation activity department of the internal affairs bodies" in Saint-Petersburg University of the Ministry of Internal Affairs of the Russia. Address: Russia, 198026, Saint-Petersburg Letchika Pilutova street, 1. Tel.: (812) 744-96-37, E-mail: a.timofeev@biostar.ru.
© Тимофеев А.В., 2016
Криминалистика, криминология, ОРД
Система «Банк-клиент» представляет собой программу, позволяющую проводить операции с денежными средствами на собственном банковском счёте с помощью модемной связи или выделенной интернет-линии, не выходя из офиса [6].
Классический тип системы «Банк-Клиент» состоит в том, что у пользователя (юридического лица) устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи. Наиболее часто для соединения с банком используется сеть Интернет.
Как правило, услуги интернет-банкинга включают такие операции, как выписки по счетам, предоставление информации по банковским продуктам (депозиты, кредиты, ПИФ и т.д.). Помимо этого, могут осуществляться заявки на открытие депозитов, получение кредитов и банковских карт. Интернет-банкинг оказывает также и такие услуги, как внутренние переводы на счета банка, переводы на счета в другие банки и конвертацию средств [5].
Объём российского рынка киберпреступлений с использованием систем интернет-банкинга с июня 2014 г. по июнь 2015 г. составил 2,6 млрд. рублей, что более чем в три раза меньше аналогичного показателя за 2013-2014 гг. (9,8 млрд. рублей). «Этому снижению поспособствовала девальвация рубля, из-за чего три из пяти основных преступных кибергруппировок, специализировавшихся на краже средств компаний и организаций, ушли с российского рынка. Они переориентировались на страны Западной Европы», - заявил глава отдела расследований компании Group-IB (занимается расследованиями киберпреступлений) Дмитрий Волков.
По данным Group-IB, большая часть хищений за отчётный период пришлась на корпоративный сегмент. Киберпреступники похитили у российских клиентов банков 1,9 млрд. рублей. При этом у самих банков они украли лишь 638 млн. рублей. По оценке компании, ежедневно жертвами кибератак становятся 16 юридических лиц, теряющих в среднем по 480 тыс. рублей. Потери физических лиц от действий киберпреступников составили 99 млн. рублей, причём большая часть этой суммы (61 млн. рублей) была похищена с помощью троянских программ для операционной системы Android. В предыдущий отчётный период потери физлиц составили 105 млн. рублей. «Самые опасные банковские трояны для Запада написаны или управляются русскоговорящими хакерами», - отметил Волков [3].
Как выявляются и раскрываются такие преступления?
В правоохранительные органы информация о совершении преступления с использованием системы дистанционного банковского обслуживания (интернет-банкинга) может поступать по трём каналам: непосредственно от заявителя (потерпевшего физического или юридического лица), кредитной организации (банка) либо оперативным путём. В зависимости от источника такой информации возникают различные оперативно-розыскные ситуации по выявлению и раскрытию вышеуказанных преступлений. Рассмотрим более подробно оперативно-розыскные ситуации и действия в них сотрудников подразделений экономической безопасности и противодействия коррупции (ЭБ и ПК).
Первая оперативно-розыскная ситуация заключается в том, что в органы внутренних дел обратился заявитель (физическое или юридическое лицо) с сообщением о хищении денежных средств, хранящихся на его банковском счёте. В ходе работы по заявлению установлено, что деньги были похищены с использованием системы дистанционного банковского обслуживания (интернет-банкинга). Далее сотрудники ОВД информируют о случившемся тот банк, где хранились деньги заявителя, и требуют проведения служебной проверки по данному факту. Как правило, сотрудники банка уже информированы о случившемся и проводят проверку данного факта либо собственными силами, либо привлекают компанию, специализирующуюся на киберпреступлениях. В ходе проверки заявления о преступлении, если оно поступило от юридического лица, сотрудники подразделений ЭБ и ПК должны ответить на один из главных вопросов - замешан ли в преступлении кто-то из штата компании. С этой целью они выезжают на место совершения киберпреступления, т.е. в адрес нахождения компании и проводят опрос сотрудников компании - не только связанных с системой интернет-банкинга, но и всего административного персонала, в т.ч. и IT-сотрудников (системных администраторов). По итогам работы составляется подробная справка, где отмечаются странности в поведении тех или иных сотрудников компании, исполнения ими (или нет) должностных обязанностей и инструкций. Компьютер, на котором установлена система интернет-банкинга, имеющий непосредственное отношение к хищению, опечатывается и изымается для проведения дальнейшего исследования.
Зачастую встает вопрос, где проводить исследование изъятого компьютера? Сотрудникам ЭБ и ПК следует понимать срочность проведения такой работы, т.к. промедление её может привести к утрате следов преступления. Практика выявления и раскрытия подобных преступлений свидетельствует о том, что такую работу целесообразно поручить либо специалистам соответствующих лабораторий МВД либо компаниям, специализирующимся на противодействии киберпреступлениям.
Какие вопросы необходимо поставить перед экспертом - сотрудникам ЭБ и ПК? Прежде всего нужно ответить на вопрос о том, участвовал ли кого-то из штата пострадавшей компании в совершении преступления. Необходимо также выяснить, использовалось ли вредоносное программное обеспечение при хищении денежных средств или нет. Если да, то установить тип этой программы, каким функционалом она обладает. Далее необходимо установить, каким образом оно было загружено в компьютер. В какой промежуток времени это произошло. Одним из важнейших вопросов, требующим разрешения, является вопрос о том, могла ли быть данная загрузка случайной или она проведена сознательно.
В результате проведенной работы эксперты смогут дать ответ на поставленные вопросы. Они также установят, куда обращалось вредоносное приложение и с какой административной панели им управляли. В ходе дальнейшей работы эксперты смогут выйти на преступную группу, включающую автора вируса и людей, которые управляют операциями по хищению денег. Эксперты не в состоянии установить личность преступников, т.е. фамилию, имя и отчество. Их задача понять и выявить так называемые «телекоммуникационные признаки», а именно, псевдоним преступника, его 1Р-адрес, обслуживающего его провайдера.
Практика выявления вышеуказанных преступлений свидетельствует о том, что эксперты способны выполнить такую работу в течение одного-двух месяцев. За это же время проводится комплексное исследование компьютера, имевшего непосредственное отношение к хищению денежных средств. По итогам экспертного исследования формируются отчётные материалы, которые передаются в правоохранительные органы (составляется подробная справка и заключение).
Как следует из вышесказанного, на установление экспертами личностей злоумышленников, т.е. «телекоммуникационных признаков» не требуется много времени. И когда они установлены, наступает очередь активной работы правоохранительных органов. Безусловно, они не сидели сложа руки и до этого, но полученные от экспертов данные позволяют провести комплекс оперативно-розыскных мероприятий. Прежде всего, они направлены на установление личностей преступников. Да-да, именно личностей. Следует понимать, что мы имеем дело не с одним каким-то одаренным компьютерным гением (хотя такое тоже встречается), а с организованной преступной группой. Состав такой преступной группы колеблется от пяти до семи человек (реже - большее количество). Численность её определяется в зависимости от целей и задач, которые преступная группа ставит перед собой. На первоначальном этапе проведения оперативно-розыскных мероприятий основная цель сотрудников правоохранительных органов сводится к тому, чтобы от «телекоммуникационных признаков» перейти к установлению личности членов преступной группы. Выявляется и уточняется роль каждого из её членов. Вместе с этим проводятся мероприятия по документированию преступной деятельности разрабатываемых лиц и сбору доказательной базы. После того, когда эта работа будет завершена, собранные материалы вместе с экспертным заключением ложатся в основу возбуждаемого уголовного дела. Проведение дальнейших мероприятий осуществляется оперативными сотрудниками в рамках возбуждённого дела.
Вторая оперативно-розыскная ситуация заключается в том, что в органы внутренних дел с заявлением о хищении денежных средств обратилась кредитная организация. В данной ситуации несколько упрощаются действия оперативных сотрудников. Это обусловлено тем, что обратившаяся с заявлением кредитная организация должна помимо заявления представить и материалы служебной проверки по факту хищения денежных средств. Более того, к материалам проверки должны быть приложено экспертное заключение специалистов по киберпреступлениям. Ранее, в первой оперативно-розыскной ситуации, было подробно описано и рассмотрено, какие вопросы в своем заключении должны отразить эксперты. Если кредитная организация по каким-то причинам такие документы не представила, оперативным сотрудникам следует добиться их получения либо самостоятельно подключать специалистов по киберпреступлениям. Дальнейшие действия сотрудников ЭБ и ПК будут направлены на установление личности членов преступной группы и проведение оперативно-розыскных мероприятий по документированию их деятельности. После сбора необходимой доказательной базы материалы проверки направляются в следственное подразделение для возбуждения уголовного дела.
Третья оперативно-розыскная ситуация состоит в том, что сотрудники подразделений ЭБ и ПК получили оперативную информацию о группе лиц, намеревающихся совершить (или совершивших) хищение денежных средств, используя вредоносные программы через систему интернет-банкинга. Алгоритм действия сотрудников ЭБ и ПК в данной типовой ситуации имеет коренное отличие от первых двух ранее рассмотренных типовых ситуаций. Главное отличие заключается в том, что нам известны установочные данные (или «телекоммуникационные признаки») одного или нескольких подозреваемых в преступлении лиц. Первичная оперативная информация проверяется, и в случае её подтверждения, проводится оперативная разработка подозреваемого круга лиц. Привлекаются специалисты по киберпреступлениям, устанавливаются следы преступлений и документируется преступная деятельность разрабатываемой группы лиц. Далее, действия оперативных сотрудников проходят по алгоритму, описанному в предыдущих оперативно-розыскных ситуациях.
Криминалистика, криминология, ОРД
Итак, мы рассмотрели наиболее распространенный способ совершения киберпреступления с применением вредоносных программ через систему интернет-банкинга. Следует отметить, что преступные действия злоумышленников, как правило, направлены на завладение денежными средствами юридических лиц.
Следующим распространенным способом совершения киберпреступления в кредитно-финансовой сфере является так называемый «скимминг». Это хищение денежных средств из банкоматов с применением специального оборудования устанавливаемого преступниками на банкоматы. Скимминг (от англ. skimming) - кража данных карты при помощи специального считывающего устройства (скиммера) [1].
Привести точные статистические данные по мошенничеству с банковскими картами в России затруднительно в связи с тем, что ГИЦ МВД учитывает только те преступления, которые соответствуют статьям Уголовного кодекса РФ. Практика выявления и раскрытия скимминга в нашей стране свидетельствует о том, что данные преступления в зависимости от ситуации могут квалифицироваться и как мошенничество, и как кража.
По некоторым оценкам, потери от карточного мошенничества в России могут находиться на уровне 0,01- 0,02 % от объема операций по картам. Более того, эксперты отмечают рост преступлений с использованием скимминга и в России. Этому способствует в т.ч. и снижение стоимости оборудования для осуществления противоправной деятельности [4].
На первоначальном этапе совершения преступления злоумышленники ставят своей целью скопировать всю информацию с магнитной полосы пластиковой карты (имя держателя, номер карты, срок окончания срока её действия, CVV- и CVC-код). С этой целью они устанавливают на банкомат специальное считывающее устройство, так называемый скиммер. Он представляет собой прибор, выполненный в виде накладки, которая устанавливается на место приемного устройства пластиковых карт банкомата и позволяющий сканировать магнитную полосу карты. Для затруднения обнаружения таких устройств их маскируют под цвет и форму банкомата, а электропитание осуществляется от миниатюрных батарей. Скиммеры могут как накапливать украденную информацию о пластиковых картах, так и дистанционно передавать её по радиоканалу злоумышленникам, находящимся поблизости.
Чтобы завладеть денежными средствами клиента банка (физического лица), информации с магнитной полосы недостаточно. Необходимо узнать ПИН-код. Его преступники определяют с помощью мини-камеры установленной на банкомате или в другом удобном месте. Узнать ПИН-код преступники также смогут, установив специальную накладку на клавиатуру банкомата.
Таким образом, проведя вышеперечисленные действия, злоумышленники узнали всю необходимую информацию. Теперь, чтобы похитить денежные средства со счета клиента банка, им достаточно изготовить дубликат банковской карты.
Мы рассмотрели ситуацию, когда преступники устанавливают скиммер на банкомат. Однако следует понимать, что вышеуказанную информацию преступники могут получить не только в местах нахождения банкоматов, когда гражданин проводит какие-то банковские операции, допустим, снимая наличные. Для копирования данных они могут пользоваться услугами различных лиц, использующих переносные платежные терминалы, например, официантов, кассиров или служащих гостиниц. Довольно широко преступники используют скиммеры в различных торговых точках.
Для защиты от скимминга правоохранительные органы рекомендуют использовать карты только в заслуживающих доверия торговых точках. При оплате товаров в ресторанах, магазинах и т.п. следует не выпускать карту из вида. Проведение финансовых операций с использованием банкомата рекомендуется осуществлять там, где их местоположение контролируется или охраняется.
Таким образом, эффективное выявление и раскрытие большинства видов киберпреступлений зависит от многих факторов, прежде всего от своевременности проведения первоначальной проверки сотрудниками кредитной организации выявленного факта хищения денежных средств. Результаты такой проверки должны содержать заключение специалистов по киберпреступлениям. Немаловажную роль играет незамедлительное информирование кредитной организацией органов внутренних дел о выявленном факте преступного посягательства.
Список литературы
1. http://banks.academic.ru/1715Банковская энциклопедия. 2013, banks.academic.ru>1715/ Скимминг.
2. http://www.interfax.ru/business/503390.
3. https://yandex.ru/search/kiberprestupleniy_v_bankovskoy_sfere... Москва. 15 октября 2015 г. Interfax.ru.
4. https://yandex.ru/search/news.meta.ua>metka:скимминг.
5. http://fintips.net/170-internet-banking-v-sberbanke-rossii.html.
6. http://www.ifin.ru/publications/read/382.stm.
