Деятельность органов внутренних дел по борьбе с преступлениями, совершенными с использованием
Скачать 0.78 Mb.
|
Адреса для направления запросов Социальная сеть Организация Адрес Mail.ru (Мой мир) ООО «Мэйл.ру» Ленинградский проспект, д. 79, стр. 39, г. Москва, 125167 Odnoklassniki.ru ООО «Мэйл.ру» Ленинградский проспект, д. 79, стр. 39, г. Москва, 125167 Vkontakte.ru (vk.com) ООО «В контакте» ул. Херсонская д. 12-14, литер А, помещение 1-Н, г. Санкт-Петербург, 191024 Mamba.ru ЗАО «Мамба» ул. 2я Звенигородская, д. 3, стр. 42, г. Москва, 123022 vkrugudruzei.ru ООО «КМ онлайн» ул. Пришвина, д.8, корп. 1, г. Москва, 127549 Loveplanet.ru Группа компаний «РосБизнесКон- салтинг» ул. Профсоюзная, д. 78, стр.1, г. Москва, 117393 – определить провайдера, за которым закреплен IP-адрес, выде- ленный искомому пользователю, разместившему противоправный контент. Это можно сделать, используя сервис www.whois-service.ru, в поисковую строку которого вводится интересующий IP-адрес, после чего система представит ответ о данных провайдера, который выдал соответствующий адрес 1 ; – направить запрос провайдеру с постановкой следующих вопросов: кому из пользователей выделен указанный IP-адрес (ука- зывается дата, время доступа на сайт социальной сети и время выхо- да из нее, когда была создана группа или размещено видео); к како- му виду относится этот IP-адрес – статический или динамический? Использовался ли NAT 2 при предоставлении доступа этому клиенту к сети Интернет; если использовался статический IP-адрес, то необ- ходимо потребовать предоставить имеющиеся данные о физическом лице, заключившим договор с провайдером, а также MAC-адрес 1 Для европейской части сети действует поисковая система по адресу: www.ripe.net. 2 NAT – это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. 182 компьютерного устройства, через который предоставлен доступ к сети Интернет, физический адрес подключения, номер SIM-карты, через которую произошла авторизация пользователя при подклю- чении к Интернету (если использовалась), операционная система и браузер указанного компьютерного устройства; регистрировался ли с кем-либо из пользователей договор по доступу в сеть Интернет, MAC-адрес компьютерного устройства которого установлен про- вайдером по предыдущему пункту запроса, если да, то с кем; выде- лялся ли IP-адрес для пользователя, MAC-адрес компьютерного устройства которого был установлен провайдером по предыдуще- му пункту запроса, если да, то когда, во сколько, по какому адресу был осуществлен доступ в Интернет и какие ресурсы сети Интернет посещал пользователь; если использовался механизм NAT, то необ- ходимо потребовать предоставить адрес местонахождения источни- ка Wi-Fi, через который пользователь получил доступ в Интернет, и количество пользователей, получивших доступ в Интернет через этот источник и находившихся одновременно на сайте социальной сети (название) с (время) по (время). – направить запросы другим провайдерам в населенном пункте по месту проверки сообщения (расследования уголовного дела) с постанов- кой следующих вопросов: регистрировался ли с кем-либо из пользова- телей договор по доступу в сеть Интернет, MAC-адрес компьютерного устройства (указывается номер, предоставленный провайдером по пре- дыдущему запросу), если да, то с кем; выделялся ли IP-адрес для пользо- вателя, MAC-адрес компьютерного устройства (указывается номер, пре- доставленный провайдером по предыдущему запросу), если да, то когда, во сколько, по какому адресу был осуществлен доступ в сеть Интернет и какие ресурсы сети Интернет посещал пользователь; – направить запрос и судебное решение российскому оператору сотовой связи, номер SIM-карты которого использовался для авториза- ции пользователя при подключении к сети Интернет (может быть пре- доставлен провайдером исходя из вышеуказанного запроса) или номер SIM-карты которого указан при регистрации пользователя в социаль- ной сети. В запросе ставятся следующие вопросы: на кого зарегистриро- вана SIM-карта (указывается предоставленный провайдером или адми- нистратором социальной сети номер); пополнялся ли баланс указанной SIM-карты способами, позволяющими идентифицировать плательщика (банковская карта, электронный кошелек отечественных платежных систем и т. п.), если да, то указать соответствующие идентификацион- ные данные; – направить запросы и судебные решения в банки (субъектам оте- чественных платежных систем и т. п.) с требованием предоставить пер- 183 сональные данные лиц, карты (электронные кошельки и т. п.) которых использовались для пополнения баланса номера SIM-карты (указывает- ся соответствующий установленный номер); – направить запрос и судебное решение в организацию, являющую- ся администратором сервиса электронной почты, почтовый ящик кото- рой указан при регистрации пользователя в социальной сети. Сведения о наиболее распространенных в России сервисах электронной почты и организациях, осуществляющих их администрирование Компания Адрес, телефон @mail.ru, @inbox.ru, @list.ru, @bk.ru ООО «Мэйл.Ру» 125167, Россия, Москва, Ленинградский проспект, д. 39, стр. 79 тел. +7 495 725-63-57 @yandex.ru ООО «Яндекс» 119021, Москва, ул. Льва Толстого, 16, тел: +7 495 739-70-00 @rambler.ru, @lenta.ru, @myrambler.ru, @autorambler.ru, @ro.ru, @r0.ru ООО «Рамблер Интернет Хол- динг» 117105, Москва, Варшавское ш., 9, стр. 1, БЦ «Даниловская мануфактура», корпус «Ряды Солдатенкова» тел: +7 495 785-17-00 @qip.ru, @pochta.ru, @fromru.com, @front.ru, @hotbox.ru, @Hotmail.ru, @krovatka.su, @land.ru, @mail15.com, @mail333c.com, @newmail.ru, @nightmail.ru, @5ballov.ru, @aeterna.ru, @ziza.ru, @memori.ru, @photofile.ru, @fotoplenka.ru, @pochta.com, @nm.ru ООО «Медиа Мир» 117485, Москва, Профсоюзная 84/32, тел: +7 495 363-11-11 Электронные почтовые ящики вида @gmail.com, @hotmail.com, @yahoo.com принадлежат сервисам электронной почты, находя- щимся в США. 184 В запросе необходимо поставить вопрос о предоставлении данных пользователя, указанных им при регистрации почтового ящика, сведений о его активности, IP-адреса и MAC-адреса ком- пьютерного устройства, с которого осуществлена регистрация почтового ящика и с которого осуществлен доступ к указанному почтовому ящику за интересующий период времени, а также або- нентском номере активации и восстановлении пароля владельца электронного почтового ящика. Если предоставленные IP-адреса отличаются от уже получен- ных, то необходимо вновь направить запрос провайдеру с целью получения данных, которые могут идентифицировать владельца почтового ящика. Если преступление совершено с использованием интернет- сайта (например, интерент-магазина, сайта-клона и т. п.), то порядок установления его владельца следующий: – используя интернет-сервис Whois, в процессе след- ственного осмотра с участием специалиста получаем открытую информацию о лице, на которое зарегистрировано доменное имя (регистрант), и организации, на ресурсах которой размещается интернет-сайт с интересующим доменным именем; – если в качестве владельца сайта указано Private Person (частное лицо), то необходимо направить запрос в компанию- регистратор домена. При этом следует иметь в виду, что в боль- шинстве случаев регистрационные данные, которые предостав- ляет владелец домена, администрацией не проверяются и могут не соответствовать действительности. Кроме того, сервисом Whois предоставляется информация только для доменов второ- го уровня вида xxx.ru, информацию для доменов вида yyy.xxx.ru необходимо получать у владельцев домена второго уровня; – в полученной информации в поле nserver, как правило, ука- зан владелец веб-хостинга (технической площадки) сайта, кото- рый может предоставить регистрационные данные (могут быть недостоверными), а также IP-адреса авторизации, достоверные контактные данные, платежные реквизиты; – при установлении адреса электронной почты – выполнить действия по установлению владельца электронного почтового ящика, описанные выше. Если преступление совершено с использованием электронного кошелька электронной платежной системы, то порядок действий по установлению его владельца следующий: – направить администратору платежной системы запрос о пре- доставлении регистрационных данных участника, зарегистриро- 185 вавшего электронный кошелек с идентификационным номером …, информации о всех кошельках, зарегистрированных вышеуказан- ным участником, и истории операций по ним за весь имеющийся период с указанием IP-адресов, с которых происходила авториза- ция участника, а также в случае перечисления средств с кошельков, зарегистрированных данным участником, – аналогичной инфор- мации по другим участникам электронной платежной системы (за исключением сервисов обмена электронных денег) – получателям денежных средств; Адреса для направления запросов Платежная система Организация Адрес «Webmoney» ООО «ВебМани.Ру» ул. Коровий вал, д.7, г. Москва, 119049 «Яндекс.Деньги» ООО «ПС Яндекс. Деньги» а/я 57, г. Москва, 119021 «QIWI» ЗАО «QIWI банк» мкр. Чертаново Северное, д. 1А, корп. 1, г. Москва, 117648. Деньги@Mail.Ru ООО «Деньги.Мэйл. Ру» Ленинградский проспект, д. 39, стр. 79, г. Москва, 125167 – в полученных ответах будет содержаться информация, с каких IP-адресов осуществлялось управление данными кошель- ками (счетами) и куда переведены (где обналичены) деньги. Далее устанавливается местонахождение владельца запросами соответ- ствующим интернет-провайдерам, которым принадлежат IP-адреса; – при установлении адреса электронной почты – выполнить действия по установлению владельца электронного почтового ящи- ка, описанные выше. Если при совершении преступления использовалось сетевое оборудование, то его местонахождение можно установить по МАС- адресу. С указанной целью необходимо: – направить запрос интернет-провайдеру, через которого осу- ществлялся выход в Интернет, о предоставлении МАС-адреса оборудования соответствующего абонента, подключенного по IP-адресу…; – направить запросы операторам связи для поиска оборудо- вания с определенным MAC-адресом в их сети и предоставления регистрационных данных абонента, его использующего. 186 3. Получить в органах Росреестра информацию о собственниках объекта недвижимости, где находится электронно-вычислительная техника – орудие преступления. 4. В установленном законом порядке произвести обыск в жили- ще с участием специалиста в области компьютерных технологий (сотрудников ЭКЦ, специализирующихся на производстве ком- пьютерных экспертиз или сотрудников Центра информационных технологий, связи и защиты информации (ЦИТСиЗИ) ГУ(У) МВД России по субъектам Российской Федерации). В ходе обыска обя- зательному изъятию подлежат следующие предметы и документы: – компьютерная техника, электронные носители информации; – документы, отражающие факты выдачи денежных средств; – средства, предназначенные для защиты информации; – свободные образцы почерка и подписи, содержащиеся в пись- мах, личных дневника, записных книжках и т. д.; – машинописные тексты; – литература, содержащая сведения, которые относятся к эта- пам подготовки, совершения и сокрытия хищений денежных средств с использованием сети Интернет; – фотографии, видеозаписи (особенно важно их изъятие при расследовании преступлений, совершенных организованными группами в целях доказывания наличия устойчивых межличност- ных связей между их участниками); – иные предметы и документы, имеющие доказательственное значение. При проведении обыска по месту жительства лица, разместив- шего противоправный контент в социальной сети, либо у лиц, кото- рые могут причастны к этому, на компьютерных устройствах этих лиц могут быть видеоролики, фотографии и переписка по e-mail, соответствующая характеру деяния, а в электронном журнале (log- файле) его компьютера могут быть данные о ресурсе, к которым осуществлялся доступ (социальная сеть), дата, время начала и окон- чания доступа. При изъятии компьютера и электронных носителей информации необходимо руководствоваться требованиями к их изъятию, предусмотренными ст.182, 183 УПК РФ. 5. Допросить в качестве подозреваемого лицо, совершившее преступление, выяснив у него: – насколько он хорошо владеет компьютерной техникой и про- граммным обеспечением; – имеется ли компьютерная техника по месту проживания и по месту работы, кто имеет доступ к пользованию ей, уточнив ее техни- ческие характеристики; 187 – перечень конкретных операций с компьютерной информаци- ей, которые подозреваемый выполняет на своем рабочем месте; – как часто осуществляет выход в Интернет, наиболее часто посещаемые ресурсы; – каким интернет-браузером пользуется при осуществлении выхода в Интернет, каковы его настройки (сохраняются ли история посещений, cache-память, cookie-файлы и т. п.); – установлены ли на компьютере антивирусные или защитные программы, если да, узнать их наименование; – имеются ли у него электронная почта, сайты, домашние стра- ницы, каковы их реквизиты; – каким образом настроен удаленный доступ к сети для выхода в Интернет (кто и когда производил настройку); – каким образом взломана информационная защита компью- тера потерпевшего: подбор или хищение ключей и паролей; отклю- чение средств защиты; разрушение средств защиты; использование несовершенства защиты; – знаком ли он с потерпевшим, если да, то с какого времени, в каких отношениях состоит; – имеет ли он источник дохода, если да, уточнить его размер; – имеются ли у него, его родственников, друзей счета в банках, электронные кошельки в платежных системах, как давно открыты, как часто пользуется этими счетами; – поступали ли на указанные счета денежные средства, если да, то когда именно, от каких лиц, за какие услуги; – осуществлял ли за конкретный период времени денежные переводы, в случае если осуществлял, то указать реквизиты денеж- ного перевода; – осуществлял ли за последнее время крупные покупки, если да, то когда именно, в какой период времени, каким способом про- изводил оплату, имеются ли документы, подтверждающие факт покупки; – имели ли место встречи с потерпевшим лично либо посред- ством видеосвязи (видеозвонки по мобильным устройствам, Skype и т. д.), если да, выяснить дату, время, место, цель встречи. 6. С учетом материалов уголовного дела избрать меру пресече- ния в отношении подозреваемого. 7. Произвести сбор материала, характеризующего личность подозреваемого. 8. Назначить по изъятой компьютерной технике и электронным носителям информации судебную экспертизу с целью выяснения следующих основных вопросов: 188 – какие операционные системы и браузеры установлены на представленном на исследование компьютере; – соответствует ли дата и время, установленные на представ- ленном на исследование компьютере, реальным, если нет, то как они отличаются от реальных; – имеются ли на предоставленном на исследование устройстве сведения о сетевых соединениях в сети Интернет за период времени с (дата) по (дата) включительно; – какова история посещений ресурсов сети Интернет на пред- ставленном компьютере с указанием даты и времени посещений; – какой IP-адрес присваивался при посещении ресурсов сети Интернет с представленного на исследование компьютера; – имеются ли на предоставленном на исследование устройстве (носителе информации) программы, которые определяются анти- вирусным программным обеспечением как «вредоносные», если да, то какие у них функциональные возможности, сетевые взаимодей- ствия, способ проникновения и следы работы в системе; – какие программы установлены в автозагрузку в оперативной системе на предоставленном на исследование устройстве; – имеются ли на предоставленном на исследование носителе информации компьютерные программы или другая компьютерная информация, которые имеют функциональные возможности скрыт- но от пользователя копировать информацию, необходимую для аутентификации в операционной системе, но при этом не являются компонентом операционной системы, если да, то какие у них функ- циональные возможности, сетевые взаимодействия, способ проник- новения в систему и следы работы в системе; – имеются ли на предоставленном на исследование носителе информации средства удаленного администрирования и управле- ния компьютером; – имеются ли на предоставленном на исследование носителе информации сведения о логинах и паролях доступа к интернет-ресур- сам, установленным программам, интернет-кошелькам, системам дистанционного банковского обслуживания и т. д., если да, то какие; – имеются ли на предоставленном на исследование носителе информации сведения о человеке с ФИО (доступ к социальным сетям, переписка, паспортные данные и т. д.), если да, то каковы атрибуты соответствующих файлов их содержащих; – имеются ли в дампе оперативной памяти сведения о запу- щенных процессах, сетевых соединениях, если да, то какие; – имеются ли в дампе сетевого трафика сетевые соединения от / к следующим IP-адресам (перечисление IР-адресов); 189 – имеются ли на машинных носителях информации представ- ленные на исследование объекты программного обеспечения, позво- ляющие пользоваться услугами электронной почты, если да, то какое программное обеспечение (название, версии); – имеются ли на машинных носителях информации файлы, содержащие электронные почтовые сообщения, о каких электрон- ных почтовых ящиках имеются сведения на представленных на исследование системном блоке; – имеется ли на машинных носителях информации представ- ленные на исследование объекты программного обеспечения, позво- ляющие пользоваться услугами мгновенного обмена сообщениями в сети Интернет, если да, то какое программное обеспечение (назва- ние, версии); – имеются ли на машинных носителях информации представ- ленные на исследование объекты в обнаруженных программах для мгновенного обмена сообщениями следы переписки в сети Интер- нет с другими абонентами, если да, то какие именно; – какие MAC-адреса имеет сетевое оборудование представлен- ных на экспертизу объектов; – каким образом организован доступ (общий или ограничен- ный) к данным на представленном на исследование компьютере; – имеются ли на представленном на исследование компьютере файлы (указываются интересующие по содержанию файлы с анти- социальной информацией); – имеется ли на представленном на исследование компьютере удаленная информация, если да, то ее следует копировать на пред- ставленный носитель. В случаях когда в ходе производства экспертизы необходимо устанавливать наличие переписки, содержащейся в файлах различ- ных мессенджеров или электронной почты, а также ее содержание, рекомендуется перед ее началом получить постановление суда о раз- решении производства осмотра корреспонденции. Получение указан- ного судебного решения будет в полной мере соответствовать уголов- но-процессуальному принципу тайны переписки, телефонных и иных переговоров, почтовых, телеграфных и иных сообщений и гарантиру- ет соблюдение соответствующего конституционного права. В отношении log-файлов, полученных с сервера социальной сети, могут быть поставлены следующие вопросы: – имеются ли данные указывающие на возможные случайные ошибки в представленных log-файлах, если да, то можно ли устано- вить причину этих ошибок (неисправность работы ЭВМ, системы ЭВМ, сбои программного обеспечения и т. п.); 190 – имеются ли данные, указывающие на модификацию или уда- ление log-файлов, не вызванные случайными ошибками, если да, то каких именно и можно ли восстановить первоначальное содержание файлов. В отношении log-файлов, полученных с сервера социаль- ной сети, судебная компьютерная экспертиза может и не назна- чаться, а достоверность содержащейся в них информации может быть установлена иными более экономичными следственными действиями. Так, задачи первого и второго вопросов могут быть достигнуты осмотром носителя с log-файлами при участии специ- алиста, который может дать соответствующие необходимые разъ- яснения. Современные мобильные устройства используются очень интенсивно в противоправной деятельности и содержат в себе боль- шой объем криминалистически значимой информации, поэтому необходимо тщательно подходить к постановке вопросов перед экс- пертом, учитывая, что он устанавливает не факт, а обстоятельства совершения преступления. Помимо мобильного устройства для производства экспертизы, эксперту необходимо предоставить сле- дующую информацию о преступном деянии: |