Деятельность органов внутренних дел по борьбе с преступлениями, совершенными с использованием

182
компьютерного устройства, через который предоставлен доступ к сети Интернет, физический адрес подключения, номер SIM-карты, через которую произошла авторизация пользователя при подклю- чении к Интернету (если использовалась), операционная система и браузер указанного компьютерного устройства; регистрировался ли с кем-либо из пользователей договор по доступу в сеть Интернет,
MAC-адрес компьютерного устройства которого установлен про- вайдером по предыдущему пункту запроса, если да, то с кем; выде- лялся ли IP-адрес для пользователя, MAC-адрес компьютерного устройства которого был установлен провайдером по предыдуще- му пункту запроса, если да, то когда, во сколько, по какому адресу был осуществлен доступ в Интернет и какие ресурсы сети Интернет посещал пользователь; если использовался механизм NAT, то необ- ходимо потребовать предоставить адрес местонахождения источни- ка Wi-Fi, через который пользователь получил доступ в Интернет, и количество пользователей, получивших доступ в Интернет через этот источник и находившихся одновременно на сайте социальной сети (название) с (время) по (время).
– направить запросы другим провайдерам в населенном пункте по месту проверки сообщения (расследования уголовного дела) с постанов- кой следующих вопросов: регистрировался ли с кем-либо из пользова- телей договор по доступу в сеть Интернет, MAC-адрес компьютерного устройства (указывается номер, предоставленный провайдером по пре- дыдущему запросу), если да, то с кем; выделялся ли IP-адрес для пользо- вателя, MAC-адрес компьютерного устройства (указывается номер, пре- доставленный провайдером по предыдущему запросу), если да, то когда, во сколько, по какому адресу был осуществлен доступ в сеть Интернет и какие ресурсы сети Интернет посещал пользователь;
– направить запрос и судебное решение российскому оператору сотовой связи, номер SIM-карты которого использовался для авториза- ции пользователя при подключении к сети Интернет (может быть пре- доставлен провайдером исходя из вышеуказанного запроса) или номер
SIM-карты которого указан при регистрации пользователя в социаль- ной сети. В запросе ставятся следующие вопросы: на кого зарегистриро- вана SIM-карта (указывается предоставленный провайдером или адми- нистратором социальной сети номер); пополнялся ли баланс указанной
SIM-карты способами, позволяющими идентифицировать плательщика
(банковская карта, электронный кошелек отечественных платежных систем и т. п.), если да, то указать соответствующие идентификацион- ные данные;
– направить запросы и судебные решения в банки (субъектам оте- чественных платежных систем и т. п.) с требованием предоставить пер-

183
сональные данные лиц, карты (электронные кошельки и т. п.) которых использовались для пополнения баланса номера SIM-карты (указывает- ся соответствующий установленный номер);
– направить запрос и судебное решение в организацию, являющую- ся администратором сервиса электронной почты, почтовый ящик кото- рой указан при регистрации пользователя в социальной сети.
Сведения о наиболее распространенных в России сервисах электронной
почты и организациях, осуществляющих их администрирование
E-mail
Компания
Адрес, телефон
@mail.ru,
@inbox.ru,
@list.ru,
@bk.ru
ООО «Мэйл.Ру»
125167, Россия, Москва,
Ленинградский проспект, д. 39, стр. 79
тел. +7 495 725-63-57
@yandex.ru
ООО «Яндекс»
119021, Москва, ул. Льва Толстого, 16,
тел: +7 495 739-70-00
@rambler.ru,
@lenta.ru,
@myrambler.ru,
@autorambler.ru,
@ro.ru,
@r0.ru
ООО «Рамблер
Интернет Хол- динг»
117105, Москва,
Варшавское ш., 9, стр. 1,
БЦ «Даниловская мануфактура», корпус «Ряды Солдатенкова»
тел: +7 495 785-17-00
@qip.ru,
@pochta.ru,
@fromru.com,
@front.ru,
@hotbox.ru,
@Hotmail.ru,
@krovatka.su,
@land.ru,
@mail15.com,
@mail333c.com,
@newmail.ru,
@nightmail.ru,
@5ballov.ru,
@aeterna.ru,
@ziza.ru,
@memori.ru,
@photofile.ru,
@fotoplenka.ru,
@pochta.com,
@nm.ru
ООО «Медиа
Мир»
117485, Москва, Профсоюзная
84/32, тел: +7 495 363-11-11
Электронные почтовые ящики вида @gmail.com, @hotmail.com,
@yahoo.com принадлежат сервисам электронной почты, находя- щимся в США.

184
В запросе необходимо поставить вопрос о предоставлении данных пользователя, указанных им при регистрации почтового ящика, сведений о его активности, IP-адреса и MAC-адреса ком- пьютерного устройства, с которого осуществлена регистрация почтового ящика и с которого осуществлен доступ к указанному почтовому ящику за интересующий период времени, а также або- нентском номере активации и восстановлении пароля владельца электронного почтового ящика.
Если предоставленные IP-адреса отличаются от уже получен- ных, то необходимо вновь направить запрос провайдеру с целью получения данных, которые могут идентифицировать владельца почтового ящика.
Если преступление совершено с использованием интернет-
сайта (например, интерент-магазина, сайта-клона и т. п.), то порядок установления его владельца следующий:
– используя интернет-сервис Whois, в процессе след- ственного осмотра с участием специалиста получаем открытую информацию о лице, на которое зарегистрировано доменное имя
(регистрант), и организации, на ресурсах которой размещается интернет-сайт с интересующим доменным именем;
– если в качестве владельца сайта указано Private Person
(частное лицо), то необходимо направить запрос в компанию- регистратор домена. При этом следует иметь в виду, что в боль- шинстве случаев регистрационные данные, которые предостав- ляет владелец домена, администрацией не проверяются и могут не соответствовать действительности. Кроме того, сервисом
Whois предоставляется информация только для доменов второ- го уровня вида xxx.ru, информацию для доменов вида yyy.xxx.ru необходимо получать у владельцев домена второго уровня;
– в полученной информации в поле nserver, как правило, ука- зан владелец веб-хостинга (технической площадки) сайта, кото- рый может предоставить регистрационные данные (могут быть недостоверными), а также IP-адреса авторизации, достоверные контактные данные, платежные реквизиты;
– при установлении адреса электронной почты – выполнить действия по установлению владельца электронного почтового ящика, описанные выше.
Если преступление совершено с использованием электронного
кошелька электронной платежной системы, то порядок действий по установлению его владельца следующий:
– направить администратору платежной системы запрос о пре- доставлении регистрационных данных участника, зарегистриро-

185
вавшего электронный кошелек с идентификационным номером …, информации о всех кошельках, зарегистрированных вышеуказан- ным участником, и истории операций по ним за весь имеющийся период с указанием IP-адресов, с которых происходила авториза- ция участника, а также в случае перечисления средств с кошельков, зарегистрированных данным участником, – аналогичной инфор- мации по другим участникам электронной платежной системы (за исключением сервисов обмена электронных денег) – получателям денежных средств;
Адреса для направления запросов
Платежная
система
Организация
Адрес
«Webmoney»
ООО «ВебМани.Ру»
ул. Коровий вал, д.7,
г. Москва, 119049
«Яндекс.Деньги»
ООО «ПС Яндекс.
Деньги»
а/я 57, г. Москва, 119021
«QIWI»
ЗАО «QIWI банк»
мкр. Чертаново Северное, д. 1А, корп. 1, г. Москва, 117648.
Деньги@Mail.Ru
ООО «Деньги.Мэйл.
Ру»
Ленинградский проспект, д. 39, стр. 79, г. Москва, 125167
– в полученных ответах будет содержаться информация, с каких IP-адресов осуществлялось управление данными кошель- ками (счетами) и куда переведены (где обналичены) деньги. Далее устанавливается местонахождение владельца запросами соответ- ствующим интернет-провайдерам, которым принадлежат IP-адреса;
– при установлении адреса электронной почты – выполнить действия по установлению владельца электронного почтового ящи- ка, описанные выше.
Если при совершении преступления использовалось сетевое оборудование, то его местонахождение можно установить по МАС-
адресу.
С указанной целью необходимо:
– направить запрос интернет-провайдеру, через которого осу- ществлялся выход в Интернет, о предоставлении МАС-адреса оборудования соответствующего абонента, подключенного по
IP-адресу…;
– направить запросы операторам связи для поиска оборудо- вания с определенным MAC-адресом в их сети и предоставления регистрационных данных абонента, его использующего.

186 3. Получить в органах Росреестра информацию о собственниках объекта недвижимости, где находится электронно-вычислительная техника – орудие преступления.
4. В установленном законом порядке произвести обыск в жили- ще с участием специалиста в области компьютерных технологий
(сотрудников ЭКЦ, специализирующихся на производстве ком- пьютерных экспертиз или сотрудников Центра информационных технологий, связи и защиты информации (ЦИТСиЗИ) ГУ(У) МВД
России по субъектам Российской Федерации). В ходе обыска обя- зательному изъятию подлежат следующие предметы и документы:
– компьютерная техника, электронные носители информации;
– документы, отражающие факты выдачи денежных средств;
– средства, предназначенные для защиты информации;
– свободные образцы почерка и подписи, содержащиеся в пись- мах, личных дневника, записных книжках и т. д.;
– машинописные тексты;
– литература, содержащая сведения, которые относятся к эта- пам подготовки, совершения и сокрытия хищений денежных средств с использованием сети Интернет;
– фотографии, видеозаписи (особенно важно их изъятие при расследовании преступлений, совершенных организованными группами в целях доказывания наличия устойчивых межличност- ных связей между их участниками);
– иные предметы и документы, имеющие доказательственное значение.
При проведении обыска по месту жительства лица, разместив- шего противоправный контент в социальной сети, либо у лиц, кото- рые могут причастны к этому, на компьютерных устройствах этих лиц могут быть видеоролики, фотографии и переписка по e-mail, соответствующая характеру деяния, а в электронном журнале (log- файле) его компьютера могут быть данные о ресурсе, к которым осуществлялся доступ (социальная сеть), дата, время начала и окон- чания доступа. При изъятии компьютера и электронных носителей информации необходимо руководствоваться требованиями к их изъятию, предусмотренными ст.182, 183 УПК РФ.
5. Допросить в качестве подозреваемого лицо, совершившее преступление, выяснив у него:
– насколько он хорошо владеет компьютерной техникой и про- граммным обеспечением;
– имеется ли компьютерная техника по месту проживания и по месту работы, кто имеет доступ к пользованию ей, уточнив ее техни- ческие характеристики;

187
– перечень конкретных операций с компьютерной информаци- ей, которые подозреваемый выполняет на своем рабочем месте;
– как часто осуществляет выход в Интернет, наиболее часто посещаемые ресурсы;
– каким интернет-браузером пользуется при осуществлении выхода в Интернет, каковы его настройки (сохраняются ли история посещений, cache-память, cookie-файлы и т. п.);
– установлены ли на компьютере антивирусные или защитные программы, если да, узнать их наименование;
– имеются ли у него электронная почта, сайты, домашние стра- ницы, каковы их реквизиты;
– каким образом настроен удаленный доступ к сети для выхода в Интернет (кто и когда производил настройку);
– каким образом взломана информационная защита компью- тера потерпевшего: подбор или хищение ключей и паролей; отклю- чение средств защиты; разрушение средств защиты; использование несовершенства защиты;
– знаком ли он с потерпевшим, если да, то с какого времени, в каких отношениях состоит;
– имеет ли он источник дохода, если да, уточнить его размер;
– имеются ли у него, его родственников, друзей счета в банках, электронные кошельки в платежных системах, как давно открыты, как часто пользуется этими счетами;
– поступали ли на указанные счета денежные средства, если да, то когда именно, от каких лиц, за какие услуги;
– осуществлял ли за конкретный период времени денежные переводы, в случае если осуществлял, то указать реквизиты денеж- ного перевода;
– осуществлял ли за последнее время крупные покупки, если да, то когда именно, в какой период времени, каким способом про- изводил оплату, имеются ли документы, подтверждающие факт покупки;
– имели ли место встречи с потерпевшим лично либо посред- ством видеосвязи (видеозвонки по мобильным устройствам, Skype и т. д.), если да, выяснить дату, время, место, цель встречи.
6. С учетом материалов уголовного дела избрать меру пресече- ния в отношении подозреваемого.
7. Произвести сбор материала, характеризующего личность подозреваемого.
8. Назначить по изъятой компьютерной технике и электронным носителям информации судебную экспертизу с целью выяснения следующих основных вопросов:

188
– какие операционные системы и браузеры установлены на представленном на исследование компьютере;
– соответствует ли дата и время, установленные на представ- ленном на исследование компьютере, реальным, если нет, то как они отличаются от реальных;
– имеются ли на предоставленном на исследование устройстве сведения о сетевых соединениях в сети Интернет за период времени с (дата) по (дата) включительно;
– какова история посещений ресурсов сети Интернет на пред- ставленном компьютере с указанием даты и времени посещений;
– какой IP-адрес присваивался при посещении ресурсов сети
Интернет с представленного на исследование компьютера;
– имеются ли на предоставленном на исследование устройстве
(носителе информации) программы, которые определяются анти- вирусным программным обеспечением как «вредоносные», если да, то какие у них функциональные возможности, сетевые взаимодей- ствия, способ проникновения и следы работы в системе;
– какие программы установлены в автозагрузку в оперативной системе на предоставленном на исследование устройстве;
– имеются ли на предоставленном на исследование носителе информации компьютерные программы или другая компьютерная информация, которые имеют функциональные возможности скрыт- но от пользователя копировать информацию, необходимую для аутентификации в операционной системе, но при этом не являются компонентом операционной системы, если да, то какие у них функ- циональные возможности, сетевые взаимодействия, способ проник- новения в систему и следы работы в системе;
– имеются ли на предоставленном на исследование носителе информации средства удаленного администрирования и управле- ния компьютером;
– имеются ли на предоставленном на исследование носителе информации сведения о логинах и паролях доступа к интернет-ресур- сам, установленным программам, интернет-кошелькам, системам дистанционного банковского обслуживания и т. д., если да, то какие;
– имеются ли на предоставленном на исследование носителе информации сведения о человеке с ФИО (доступ к социальным сетям, переписка, паспортные данные и т. д.), если да, то каковы атрибуты соответствующих файлов их содержащих;
– имеются ли в дампе оперативной памяти сведения о запу- щенных процессах, сетевых соединениях, если да, то какие;
– имеются ли в дампе сетевого трафика сетевые соединения от / к следующим IP-адресам (перечисление IР-адресов);

189
– имеются ли на машинных носителях информации представ- ленные на исследование объекты программного обеспечения, позво- ляющие пользоваться услугами электронной почты, если да, то какое программное обеспечение (название, версии);
– имеются ли на машинных носителях информации файлы, содержащие электронные почтовые сообщения, о каких электрон- ных почтовых ящиках имеются сведения на представленных на исследование системном блоке;
– имеется ли на машинных носителях информации представ- ленные на исследование объекты программного обеспечения, позво- ляющие пользоваться услугами мгновенного обмена сообщениями в сети Интернет, если да, то какое программное обеспечение (назва- ние, версии);
– имеются ли на машинных носителях информации представ- ленные на исследование объекты в обнаруженных программах для мгновенного обмена сообщениями следы переписки в сети Интер- нет с другими абонентами, если да, то какие именно;
– какие MAC-адреса имеет сетевое оборудование представлен- ных на экспертизу объектов;
– каким образом организован доступ (общий или ограничен- ный) к данным на представленном на исследование компьютере;
– имеются ли на представленном на исследование компьютере файлы (указываются интересующие по содержанию файлы с анти- социальной информацией);
– имеется ли на представленном на исследование компьютере удаленная информация, если да, то ее следует копировать на пред- ставленный носитель.
В случаях когда в ходе производства экспертизы необходимо устанавливать наличие переписки, содержащейся в файлах различ- ных мессенджеров или электронной почты, а также ее содержание, рекомендуется перед ее началом получить постановление суда о раз- решении производства осмотра корреспонденции. Получение указан- ного судебного решения будет в полной мере соответствовать уголов- но-процессуальному принципу тайны переписки, телефонных и иных переговоров, почтовых, телеграфных и иных сообщений и гарантиру- ет соблюдение соответствующего конституционного права.
В отношении log-файлов, полученных с сервера социальной сети, могут быть поставлены следующие вопросы:
– имеются ли данные указывающие на возможные случайные ошибки в представленных log-файлах, если да, то можно ли устано- вить причину этих ошибок (неисправность работы ЭВМ, системы
ЭВМ, сбои программного обеспечения и т. п.);

190
– имеются ли данные, указывающие на модификацию или уда- ление log-файлов, не вызванные случайными ошибками, если да, то каких именно и можно ли восстановить первоначальное содержание файлов.
В отношении log-файлов, полученных с сервера социаль- ной сети, судебная компьютерная экспертиза может и не назна- чаться, а достоверность содержащейся в них информации может быть установлена иными более экономичными следственными действиями. Так, задачи первого и второго вопросов могут быть достигнуты осмотром носителя с log-файлами при участии специ- алиста, который может дать соответствующие необходимые разъ- яснения.
Современные мобильные устройства используются очень интенсивно в противоправной деятельности и содержат в себе боль- шой объем криминалистически значимой информации, поэтому необходимо тщательно подходить к постановке вопросов перед экс- пертом, учитывая, что он устанавливает не факт, а обстоятельства совершения преступления. Помимо мобильного устройства для производства экспертизы, эксперту необходимо предоставить сле- дующую информацию о преступном деянии: