На фоне коронавирусной пандемии во всем мире активизировалась киберпреступность. Число таких злодеяний выросло и в Беларуси. В прошлом году, например, зарегистрировано более 25 тыс., что почти в два с половиной раза больше, чем в 2019-м. Сегодня четвертая часть всех преступлений совершается с использованием IT-технологий. Несмотря на умение хакеров "заметать следы", преступные схемы удается раскрывать во многом благодаря судебным экспертам. О том, как специалисты Государственного комитета судебных экспертиз помогают правоохранителям, корреспонденту БЕЛТА рассказал заместитель начальника управления компьютерно-технических экспертиз и экспертиз радиоэлектронных устройств центрального аппарата ГКСЭ Андрей Малашкевич.
- Фишинг, смишинг, фарминг, брутфорс - эти не всегда понятные для обывателя термины сводятся к одному: противоправная деятельность по хищению денег. С какими из этих киберпреступлений чаще всего имеют дело судебные эксперты?
- Экспертам ГКСЭ приходится сталкиваться с такими видами кибератак, как фишинг, брутфорс, распространение вредоносных программ, взлом интернет-ресурсов, затруднение их работы, блокирование компьютерной информации.
Такие понятия, как фишинг, смишинг, фарминг, относятся к разновидностям интернет-мошенничества. Все эти способы направлены на обман пользователя с целью выведать у него какую-либо конфиденциальную информацию, чаще всего о банковских платежных картах. Различие заключается лишь в том, как хакер обманывает потенциальную жертву: отправляет сообщение по электронной почте, через соцсети, СМС.
Брутфорс - это вид хакерской атаки на интернет-ресурсы. Ее суть в том, что злоумышленник с помощью специальной программы, которая перебирает все возможные комбинации паролей, взламывает чужие учетные записи. Потенциальная жертва об этом может даже не знать, поэтому не противодействует. В последнее время хакеры стали применять этот метод более широко, поэтому число поступающих к нам экспертиз выросло.
Очень много судебных экспертиз мы проводим по потенциально вредоносным программам другого характера - не только для брутфорса. Это "троянские" программы, которые крадут информацию с компьютеров. В последнее время таких судебных экспертиз тоже стало больше.
- Вредоносные программы для брутфорса распространяются в даркнете. Можно ли отследить злоумышленника на стадии покупки такой программы, чтобы заблаговременно предупредить преступление?
- Судебный эксперт такими полномочиями не обладает, это входит в сферу оперативно-разыскной деятельности. Но как специалист отмечу, что выявить пользователей хакерских форумов, на которых продаются вредоносные программы, действительно можно. Этим занимаются сотрудники МВД.
- Как судебные эксперты помогают правоохранительным органам? Какие для этого есть возможности?
- Эксперты нашего управления проводят исследования компьютерной техники, мобильных устройств, извлекая из их памяти информацию, необходимую для успешного расследования преступлений. Эти экспертизы вызывают повышенный интерес у инициаторов и очень востребованы. Сейчас у всех есть мобильные телефоны, компьютеры, ноутбуки, но не каждый использует эту технику, не нарушая закон. Следы преступной деятельности, естественно, остаются в памяти устройств. Наша задача заключается в том, чтобы найти эти следы, извлечь и предоставить компьютерную информацию в читаемом виде, тем самым доказать или, наоборот, опровергнуть какие-то факты.
Для этого нужны специальные глубокие познания, которыми судебные эксперты обладают. Мы знаем, где и что на носителе можно спрятать, как извлечь и проанализировать компьютерные данные.
- Но ведь кроме специальных познаний нужна еще и специальная техника.
- Естественно, просто так, без программ и оборудования эксперт не может исследовать компьютерную информацию. Госкомитет обладает всеми необходимыми техническими средствами для экспертиз. Специальные программы помогают извлечь содержимое памяти устройства, распознать файлы, восстановить удаленную информацию, предоставить ее в виде отчетов. Программное обеспечение у нас, естественно, лицензионное, оборудование современное.
- Есть ли у ГКСЭ собственные разработки, которые помогают устанавливать злоумышленников?
- Мы действуем по утвержденным методикам. Это касается любой экспертизы, проводимой в Госкомитете. Технические средства не разрабатываем. Оборудование закупается у всемирно известных компаний как ближнего, так и дальнего зарубежья.
- Увеличилось ли количество проводимых экспертиз?
- Со времени образования Госкомитета, а это июль 2013 года, количество компьютерных экспертиз и экспертиз радиоэлектронных устройств возросло в разы. Естественно, увеличились и наши возможности, инициаторы этим активно пользуются. Сегодня мы можем проводить более сложные исследования. То, что для нас 10 лет назад казалось сверхтрудной задачей, сейчас рутинная работа.
- Какие объекты чаще всего приходится исследовать?
- Исследуем персональные компьютеры, ноутбуки всех марок, макбуки, мобильные телефоны, планшеты, цифровые фотокамеры, видеорегистраторы. Иными словами, это может быть любая техника, где содержится компьютерная информация.
- А были необычные задачи?
- Какие-либо необычные с точки зрения обывателя объекты к нам не поступают, но для нас каждый из них представляет интерес. Например, за последний год приходилось исследовать квадрокоптеры с целью уточнения их маршрута. Эксперт восстанавливал обстоятельства полета.
Очень часто приходится работать с поврежденными носителями, в частности компьютерными винчестерами. Зачастую удается восстановить данные. Интересные экспертизы касаются программ-вирусов, вредоносных программ (например, для брутфорса), "троянов", которые похищают чувствительную для пользователя информацию. Это сложные вирусные программы, оттого интересно исследовать их защиту и восстанавливать алгоритмы работы. Взломанный сервер - также объект компьютерно-технической экспертизы, на котором остаются следы хакера.
Каждая экспертиза может быть интересной и особенной, потому что техника, программы меняются, обновляются. Тот метод, который применялся успешно месяц назад и даже вчера, сегодня может не сработать. Приходится искать новый способ, чтобы успешно провести экспертизу. Бывает, нужны нестандартные методы анализа. По сути, нам надо быть на два шага впереди хакеров. Для этого постоянно повышаем свой уровень, развиваемся, углубляем знания, изучаем дополнительные источники информации.
- Как оцениваете уровень хакеров на основании объектов, с которыми приходится работать?
- Очень часто среди хакеров встречаются простые школьники. Киберпреступность отличается тем, что порой для взлома не надо обладать очень серьезными познаниями. Можно просто купить программу и использовать. Зачастую бездумно, не понимая последствий.
Впрочем, судя по некоторым экспертизам, встречаются очень серьезные хакеры, даже разработчики вредоносного ПО. Приведу уже устаревший, но показательный случай. В 2017 году в Гомеле был задержан человек, занимавшийся технической поддержкой вредоносной программы "Андромеда", которая в свое время довольно успешно использовалась хакерами. С целью отнесения этой программы к вредоносному типу в госкомитете проводились несколько экспертиз.
- Можете ли утверждать, что судебный эксперт всегда сможет найти электронный след, оставленный преступником?
- В большинстве случаев - да. Зачастую мы можем обнаружить следы там, где хакер даже не догадался их зачистить. Такие случаи встречаются нередко. Время от времени мы видим: хакер зачищал следы, однако остались файлы, о которых он не знает. Благодаря этому судебный эксперт может восстановить информацию. Конечно, я не буду утверждать, что нам 100%-но удастся найти сведения, но мы приложим максимум усилий, чтобы помочь следствию в поиске злоумышленника.
- Можете привести конкретные примеры?
- Допустим, хакер взламывает сервер с целью шифрования информации и последующего вымогательства у его владельца средств за расшифровку. В этом случае хакеры зачастую чистят за собой самое банальное - свой IP-адрес. Могут почистить известные им места в операционной системе, но есть еще и другие, где сохраняется информация об IP-адресе. Злоумышленники удаляют компрометирующие сведения на сервере, а мы их восстанавливаем.
Несколько лет назад был интересный случай, когда удалось восстановить данные с поврежденного мобильного телефона. Его бросили в костер, однако определенные микросхемы сохранились, и эксперт успешно справился.
- Пытаясь замести следы, преступники удаляют информацию с устройства, разбивают телефоны. Всегда ли можно восстановить сведения?
- Все зависит от конкретного случая. Естественно, если телефон полностью сгорел, данные уже не восстановишь. Аналогично, если повредить винчестер так, что пластины внутри рассыплются, чуда также не произойдет. Вряд ли удастся прочитать текст со сгоревшего листа бумаги, который превратился в пепел.
- Могут ли за восстановлением поврежденной или удаленной информации обратиться в ГКСЭ граждане? Такие услуги платно оказываются?
- Госкомитет проводит экспертизы на платной основе. Для этого необходимо обратиться с заявлением либо в территориальный орган, либо в центральный аппарат. Заключается договор, на основании которого проводится платная экспертиза. Дополнительную информацию можно уточнить по телефону или на нашем официальном интернет-ресурсе. Граждане звонят по разным вопросам, в том числе по восстановлению удаленной информации. Чаще всего это касается бытовых ситуаций, а не киберпреступлений.
- Нередки случаи, когда после звонка кибермошенников люди лишаются накоплений. Звонят, как правило, через Viber с номеров иностранных государств. В этом случае вычислить злоумышленника практически невозможно?
- Это частный случай интернет-мошенничества. Если рассматривать его с технической точки зрения, то, когда мошенник звонит потенциальной жертве, следы остаются только о звонке. Мы можем помочь следователю, установив некоторые параметры и обстоятельства разговора.
Злоумышленники, как тонкие психологи, используют метод социальной инженерии. Желая выведать чувствительную для пользователя информацию, они могут отвлечь человека, и он сам все выдаст, вплоть до номера кредитных карт, кодов 3-D Secure, которыми защищены банковские платежные карты, прочей секретной информации. В этом случае не используются какие-то специальные устройства или программы, слабое звено - беспечность и доверчивость человека.
- Пандемия не только подстегнула киберпреступность, но и научила злоумышленников работать в совершенно новых сегментах. Например, с помощью сайтов-клонов сервисов по доставке еды и электроники мошенники могут получить данные банковских карт. Судебным экспертам приходится работать по таким делам?
- Это разновидность фишинга. По сути, конкретный вид преступления не требует от эксперта применения каких-то особенных методик. Решаются стандартные информационные задачи. Работа с теми объектами, компьютерной техникой, которые предоставляют органы расследования.
Потенциальная жертва, заходя на сайт-клон, уверена, что это подлинный интернет-ресурс. Вводит там какую-то конфиденциальную информацию, чаще всего о своей кредитной карте. Самое банальное, что хакер может сделать с этими сведениями, в течение нескольких минут снять деньги. Также он может перепродать информацию на хакерских ресурсах.
Такие экспертизы мы проводили. В частности, можем найти следы посещения ссылки, которую злоумышленник подсунул жертве, ответить, в какое время было посещение, подтвердить, что человек действительно был обманут. Возможно, остались следы от страницы того сайта, на который зашел обманутый пользователь. Не исключено, что осталась история посещения, сохранились какие-то сообщения, текстовые или графические файлы. Мы можем все это извлечь и дать следователю, а он уже решает, каким образом применить эту информацию при расследовании преступления.
Иногда мы можем предоставить инициатору даже больше, чем требуют поставленные вопросы. Конечно, эксперт, исходя из своих познаний и грамотного использования технических возможностей, старается максимально помочь органам расследования.
- Сайты госорганов, различные онлайн-сервисы во всем мире, в том числе и в Беларуси, подвергаются массированным атакам. Могут ли судебные эксперты установить источники негативного воздействия, если они за рубежом?
- Киберпреступность, как бы банально это ни звучало, трансгранична. Практически все кибератаки, по моему мнению, производятся из-за границы. В последнее время это DoS-атаки, которые вызывают сбой сайта, в результате чего пользователи не могут получить доступ. Это критично, например, для коммерческой деятельности, поскольку наносит репутационный ущерб той организации, сайт которой подвергся атаке. Если такие атаки произошли из-за рубежа, мы можем предоставить следствию информацию, в частности, об IP-адресах, с которых они производились. Поиск и установление преступников, повторюсь, не наш профиль, мы не занимаемся оперативно-разыскными мероприятиями.
- Несколько лет назад в правоохранительные органы поступало множество заявлений по поводу незаконной блокировки веб-браузера. На экране отражалось сообщение якобы от имени МВД о штрафе за просмотр запрещенного контента с требованием внести оплату. Такие преступления по-прежнему совершаются?
- Сейчас они сошли на нет, это связано, скорее всего, с защищенностью браузеров. А может, хакеры отошли от этого. В последнее время широко стали использовать, как я уже говорил, так называемые программы-вымогатели. Проникнув в компьютерную систему жертвы, они зашифровывают пользовательскую информацию с помощью неизвестного пароля. За успешную расшифровку требуется внести деньги путем электронных платежей. Расшифровать данные, зашифрованные такой программой, практически невозможно. Бывали, конечно, случаи, когда удавалось это сделать, но редко.
В процессе производства экспертиз мы встречали такие программы-вымогатели, которые безвозвратно портили сведения: информация шифруется так, что ее обратное восстановление невозможно. Поэтому даже после внесения выкупа нет никакой гарантии, что пользователь сможет вернуть данные.
Я бы выделил два основных канала распространения таких программ. Чаще всего хакер удаленно взламывает сервер организации, входит как обычный пользователь и активирует программу-вымогатель. Также могут отправить по электронной почте письмо с вложением, которое жертва бездумно открывает. В этот момент программа-вымогатель и активируется. Самая главная защита от таких посягательств - бдительность: не стоит открывать сообщения от сомнительных источников. И самое банальное - использование специальных программ, тех же обновленных антивирусов. Это, конечно, не панацея, но для обывателя большое подспорье. Еще бы я порекомендовал иметь резервную копию информации.
В крупных организациях есть специальные отделы автоматизации, отделы безопасности. Они могут купить себе сложную технику, которая позволяет защититься от хакерских атак. Для простого пользователя рекомендации банальные: не быть доверчивым в интернете, не вестись на просьбы от неизвестных лиц. Очень широко распространен взлом учетных записей в соцсетях. Даже если твой товарищ просит, например, переслать деньги, сообщить данные о банковских картах, не следует слепо верить. Необходимо связаться с ним по другим каналам и уточнить, действительно ли этот человек обращался к вам через соцсеть. Конечно, если есть подозрения о неправомерном доступе к вашей учетной записи, следует обратиться в правоохранительные органы.
БЕЛТА.-0-