Деятельность органов внутренних дел по борьбе с преступлениями, совершенными с использованием
Скачать 0.78 Mb.
|
§ 2. Криминалистические особенности обнаружения, фиксации, изъятия и исследования электронных следов преступления Понятие и свойства электронных следов преступления Механизм совершения преступлений с использованием инфор- мационно-коммуникационных технологий характеризуется спец- ификой образующих его элементов. Эта специфика обусловлена в первую очередь особенностями способов подготовки, совершения и сокрытия таких преступлений, в основе которых лежат техноло- гии дистанционной передачи данных с использованием информа- ционно-коммуникационных сетей. В свою очередь, данное обстоя- тельство закономерно обуславливает специфику и иных элементов в структуре механизма преступления: орудий и средств его соверше- ния, которыми выступают программное обеспечение, компьютерная техника (включая как микропроцессорные устройства, так и устрой- ства приема, передачи и хранения данных, включая электронные носители информации), сеть Интернет (включая находящиеся в ней информационные ресурсы и сервисы, электронные сообще- ния) и др. Компьютерная информация в механизме рассмвтривае- мых преступлений может выступать либо как предмет преступного посягательства (при ее неправомерном уничтожении, копировании, блокировании или модификации), либо в качестве средства совер- шения преступления (например, при совершении вымогательства, преступления против личности дистанционным способом и т. п.). 106 Все приведенные выше особенности механизма совершения преступлений с использованием информационно-коммуникацион- ных технологий закономерно влекут и исключительное своеобразие следовой картины данных преступлений. Следовая картина названных преступлений весьма специфич- на и требует разработки принципиально иных методов и средств по сравнению с традиционными. Следы совершения указанных пре- ступлений, в силу их специфики, редко остаются в виде изменений внешней среды. Соответственно, они не рассматриваются в рамках трасологии, поскольку в большинстве случаев носят информаци- онный характер, т. е. представляют собой те или иные изменения в охраняемой законом информации в результате ее уничтожения, модификации, копирования, блокирования 1 . В этой связи обна- ружение, фиксация и изъятие таких следов требуют использова- ния особых криминалистических технологий 2 , разработка и совер- шенствование которых на протяжении уже ряда лет представляет исключительно актуальное направление криминалистики. Все это предопределяет появление самостоятельного раздела криминалистической техники – криминалистического исследова- ния электронных носителей информации, направленного на обе- спечение единообразного подхода к работе с данными объектами, к числу которых относятся любые устройства, конструктивно пред- назначенные для постоянного или временного хранения информа- ции в виде, пригодном для использования в электронных вычис- лительных машинах, а также для ее передачи по информационно- телекоммуникационным сетям или обработки в информационных системах. К числу объектов криминалистического исследования элек- тронных носителей информации относятся и средства подвижной радиотелефонной (мобильной) связи с доступом в сеть Интернет (смартфоны) и иные информационно-коммуникационные устрой- ства, включая планшетные компьютеры. В связи с наличием в абсо- лютном большинстве современных смартфонов модуля получения геопространственной информации, использующего сигналы систем ГЛОНАСС и (или) GPS-навигации, перспективным направлением 1 Гаврилин Ю. В. Особенности следообразования при совершении мошенничеств в сфере компьютерной информации // Рос. следователь. 2013. № 23. С. 3. 2 См.: Гаврилин Ю. В., Лыткин Н. Н. Использование компьютерно-технических следов при установлении события преступления // Известия Тульского государствен- ного университета. Тула, 2006. Вып. 15. С. 44–50; Гаврилин Ю. В. Особенности следоо- бразования при совершении мошенничеств в сфере компьютерной информации // Рос. следователь. 2013. № 23. С. 2–5 и др. 107 развития вышеназванного раздела криминалистической техники является исследование данных средств навигации 1 Помимо перечисленного, к числу объектов криминалистическо- го исследования электронных носителей относятся: системы обра- ботки информации или отдельные функциональные устройства таких систем; системные блоки персональных компьютеров, ноут- буков, нетбуков и т. п; машинные носители (накопители на жестких и гибких магнитных дисках, флеш-накопители, карты памяти, опти- ческие диски и т. п.); уже упомянутые навигаторы, трекеры; мобиль- ные телефоны и SIM-карты к ним; радиоэлектронные устройства; платежные пластиковые карты и скимминговые устройства; платы игровых автоматов; видеорегистраторы и пр. Электронные носители информации как источники доказатель- ственной информации и объекты криминалистических исследова- ний были рассмотрены в предыдущем параграфе. Как уже отмеча- лось, их ключевой характеристикой является то, что они предназна- чены для хранения определенных фактических данных в цифровой форме, иными словами, для хранения компьютерной информации. Соответственно, именно электронные носители информации отра- жают результаты ее создания, уничтожения, копирования, блоки- рования, модификации или иного преобразования, т. е. следовую картину совершенного противоправного деяния. Как и любые иные объекты материального мира, электронные носители информации характеризуются конкретными морфологическими признаками: тип, вид, марка, модель, цвет, емкость, форм-фактор, серийный номер и пр. Уточним, что при совершении преступлений с использованием информационно-коммуникационных технологий остаются и тради- ционные (трасологические) следы – предметы, вещества, отобра- жения. Это и следы пальцев рук на клавиатуре иных аппаратных компонентов информационной системы; микрочастицы (например, волокна одежды на мебели, волосы, перхоть, попавшие на клавиа- туру); следы обуви; следы орудий взлома и инструментов в поме- щениях, где происходил непосредственный физический контакт с компьютерной техникой, а также сами электронные носители как объекты материального мира и пр. За десятки лет развития крими- 1 См.: Гаврилин Ю. В. Использование возможностей средств навигации в установ- лении обстоятельств совершения преступлений // Актуальные проблемы борьбы с пре- ступностью: материалы межвузовской науч.-практ. конф. (Тула, 15 марта 2017 г.). Тула, 2017. 108 налистики накоплен колоссальный опыт работы с подобного рода следами 1 Однако в ходе расследования преступлений, совершенных с использованием информационно-коммуникационных технологий, наибольшей спецификой обладают, разумеется, электронные следы преступления. Они представляют собой результаты создания или преобразования компьютерной информации в форме уничтоже- ния, копирования, блокирования или модификации, а также соот- ветствующие им изменения физических характеристик ее носителя, причинно связанные с событием преступления. Заметим, что в языке криминалистике нет единообразного под- хода к наименованию и классификации вышеназванных следов. Они рассматривались в работах Ю. М. Батурина и А. М. Жодзиш- ского 2 , Н. С. Полевого 3 , В. В. Крылова 4 , В. Б. Вехова 5 , А. В. Соро- кина 6 , Б. В. Андреева, П. Н. Пака, В. П. Хорста 7 , А. Г. Волеводза 8 , В. А. Мещерякова 9 , Ю. В. Гаврилина и Н. Н. Лыткина 10 и др. В раз- личных источниках данные следы именуются и как компьютерные, и как компьютерно-технические, и как цифровые, и как информаци- онные, и как бинарные, и пр. Вместе с тем сущность данных следов состоит в том, что они, оставаясь на электронных носителях информации, отражают изме- нения в хранящейся в них информации по сравнению с исходным состоянием. 1 Грановскнй Г. Л. Основы трасологии. М., 1965; Сорокин В. С. Обнаружение и фик- сация следов на месте происшествия. М., 1966; Крылов И. Ф. Следы на месте преступле- ния. Л., 1961; Крылов И. Ф. Криминалистическое учение о следах. Л., 1976. 2 Батурин Ю. М., Жодзишский А. М. Компьютерная преступность и компьютерная безопасность. М., 1991. 3 Компьютерные технологии в юридической деятельности / под ред. Н. С. Полевого. М., 1994. 4 Крылов В. В. Информационные компьютерные преступления. М., 1997; Крылов В. В. Расследование преступлений в сфере информации. М., 1998. 5 Вехов Б. В. Компьютерные преступления. Способы совершения. Методики рас- следования. М., 1996. 6 Сорокин А. В. Компьютерные преступления: уголовно-правовая характеристика, методика и практика раскрытия и расследования. Курган, 1999. 7 Андреев Б. В., Пак П. Н., Хорст В. П. Расследование преступлений в сфере ком- пьютерной информации. М., 2001. 8 Волеводз А. Г. Противодействие компьютерным преступлениям: правовые осно- вы международного сотрудничества. М., 2002. 9 Мещеряков В. А. Преступления в сфере компьютерной информации: основы тео- рии и практики расследования. Воронеж, 2002. 10 Гаврилин Ю. В., Лыткин Н. Н. Использование компьютерно-технических следов в раскрытии и расследовании преступлений: монография. М., 2006. 109 На логическом уровне происходит модификация информации (т. е. внесение изменений в информацию баз данных, программ, тек- стовых файлов, файлов-отчетов и протоколов работы, системного реестра, учетных записей пользователей сети Интернет и др.), унич- тожение информации (удаление из каталогов имен файлов, стира- ние или добавление отдельных записей), копирование информа- ции (т. е. ее дублирование на том же самом или ином электронном носителе), блокирование информации (т. е. лишение возможности доступа к ней) либо создание новой информации. На физическом уровне происходит размагничивание или намаг- ничивание определенных секторов (кластеров) рабочих поверхно- стей носителей или изменение электрического заряда в изолирован- ной области полупроводниковой структуры. Электронные следы преступления как специфическая форма преобразования компьютерной информации являются 1 : 1. Отражением события преступления в информационном поле. 2. Материальными по своей природе, но не отражающими про- странственную форму следообразующего объекта. 3. Результатом преобразования компьютерной информации. 4. Способными к дублированию, т. е. переносу (копированию) на другие носители информации без какого-либо изменения их характеристик. Базовые принципы работы с электронными следами преступления: 1. Любые действия по обнаружению, фиксации и изъятию элек- тронных следов не должны приводить к изменениям информации на электронных носителях, признанных вещественными доказа- тельствами. 2. Работа с носителями информации, содержащими электрон- ные следы преступления, должна вестись только с участием про- фильного специалиста надлежащей квалификации. 3. Все действия по обнаружению, фиксации, изъятию, исследо- ванию электронных следов и последующему хранению электрон- ных носителей информации должны быть надлежаще процессуаль- но оформлены. 4. Четкое разделение ответственности субъектов уголовно- процессуальной деятельности, в распоряжении которых находятся электронные носители информации, содержащие электронные сле- ды преступления, за их сохранность в неизменном состоянии. 1 Гаврилин Ю. В., Лыткин Н. Н. Использование компьютерно-технических следов в раскрытии и расследовании преступлений: монография. М., 2006. С. 35. 110 Все электронные следы можно разделить на две большие груп- пы: локальные (находящиеся на индивидуально определенных электронных носителях, доступ к информации на которых осу- ществляется непосредственно на месте их нахождения) и сетевые (доступ к которым осуществляется опосредованно, с использовани- ем сетевого оборудования). Локальные следы подразделяются, в свою очередь, также на две группы: мета-данные и искомые данные. К мета-данным относятся признаки, идентифицирующие компьютерную информацию: имя, размер и формат файла, автор файла, дата и время создания, изме- нения, связи файла, его категория. К искомым данным относится информация, имеющая отношение к расследуемому событию (вхо- дящая в предмет доказывания), и иная информация (не относящая- ся к расследуемому событию). Криминалистически значимую информацию о работе пользова- теля в сети Интернет в операционной системе MicrosoftWindows ХР содержат: файлы реестра и системных событий, расположенные в катало- ге %Windir%\System32\Config\; файл, содержащий перечень и настройки активных подключений; Documents and Settings\All Users\Application; data\Microsoft\Network\Connections\Pbk\rasphone.pbk; файлы, содержащие протоколы работы модемов %Windir%\ Modem Log_%Modemname%.txt; файлы Index.dat, содержащие сведения об интернет-ресурсах, посещаемых пользователем; файлы, расположенные в каталогах: Documents and Settings\%username%\Local Setings\Temporary Internet Files\ Content.IE5\; файлы, расположенные в каталогах: Documents and Settings\%username%\cookies\; файлы, содержащие настройки и протоколы работы программ, предназначенных для работы пользователя в сети Интернет. Локальными электронными следами являются также результа- ты работы антивирусных и тестовых программ, а также вредонос- ное программное обеспечение на компьютере или ином устройстве, например, смартфоне потерпевшего. Сетевые следы представляют собой сведения о прохождении информации по каналам связи между отдельными компьютерами, объединенными в локальную сеть или подключенными к Интернету. Данные сведения сохраняются в специальных файлах регистрации (log-файлах), ведение которых осуществляется информационными 111 системами в автоматическом режиме. Какое бы событие или действие ни произошло в информационной системе, сведения о нем (кто ини- циировал его, когда и в какое время оно произошло; если при этом были затронуты файлы, то какие) регистрируются в log-файлах. Log- файлы фиксируют дату сеанса связи, информацию о времени связи (времени начала, окончания и продолжительности сеанса связи), ста- тические или динамические IP-адреса, телефонные номера, скорость передачи сообщения, характеристики сеанса связи, включая тип использованных протоколов, сами протоколы, MAC-адрес использо- ванного сетевого оборудования, системное время и др. IP-адрес (айпи-адрес, от англ. Internet Protocol Address) – уни- кальный сетевой адрес компьютера (сервера, сетевого оборудова- ния) в сети, построенный на основе протокола адресации IP в виде четырех десятичных чисел значением от 0 до 255, разделенных точ- ками, например, 192.168.0.1. MAC-адрес (от англ. Media Access Control – управление досту- пом к среде, также Hardware Address) – это уникальный идентифи- катор, присваиваемый производителем каждой единице сетевого адаптера используемого оборудования (ноутбука, нетбука, план- шетного ПК, смартфона). Он имеет, примерно, следующий вид: 00-04-5F-B2-FC-9F или 00:04:5F:B2:FC:9F. Следует иметь в виду, что МАС-адрес передается оператору связи только при непосредственном подключении к его оборудо- ванию. Если для подключения используется промежуточное обо- рудование (например, ADSL-модем, WiFi-маршрутизатор или USB-модем), то МАС-адрес оператору связи не передается. Кроме того, значение МАС-адреса может принудительно изменяться на произвольное самим пользователем, что предусмотрено настройкой соответствующих параметров в операционной системе. Значение MAC-адреса фиксируется не каждым оператором связи. Некоторые производители присваивают одинаковый MAC-адрес всей партии сетевых адаптеров. Используя бесплатные и общедоступные интернет-сервисы Whois, существует возможность установления сведений о собствен- нике доменного имени сайта в сети Интернет, а также об организа- ции, осуществившей регистрацию доменного имени и заключив- шей соответствующий договор с собственником доменного имени, дате регистрации, сроке действия права на это имя, иные данные, на основании которых нетрудно установить лицо, создавшее тот или иной сайт в сети Интернет. Возможность установления названной информации зависит от того, является ли данный IP-адрес маршрутизируемым («белым») 112 в сети Интернет (к такому IP-адресу можно обратиться из любого сегмента сети Интернет) или он относится к частным («серым») IP-адресам (к таким IP-адресам нельзя обратиться из какого-либо другого сегмента сети Интернет напрямую) 1 . Информацию о част- ных IP-адресах получить с использованием интернет-сервиса Whois нельзя. Технологии получения подобной информации имеют свои особенности исходя из диапазона IP-адресов и носят индивидуаль- ный характер. При получении доступа в сеть Интерент посредством точек публичного подключения (в организациях общественного питания, транспорта, образования, гостиницах, общественных местах и пр.) электронный журнал (log-файл) сервера организации, предоставля- ющей услуги по доступу в сеть Интернет, будет содержать следую- щие данные: IP-адрес, предоставленный лицу в конкретный момент времени, данные о сетевых адресах, к которым был получен доступ с использованием данного IP-адреса, дату, место, время начала и окончания доступа, MAC-адрес сетевой карты устройства, с кото- рого был произведен выход в сеть, номер SIM-карты, через которую произошла авторизация пользователя при подключении к Интерне- ту, операционную систему и браузер его устройства. В конечном счете сетевые следы позволяют установить лицо, совершившее преступление дистанционным способом. Технология решения данной тактической задачи будет рассмотрена в следую- щих параграфах, посвященных частным методикам расследования отдельных видов преступлений, совершенных с использованием информационно-коммуникационных технологий. Следами, позволяющими установить лицо, совершившее непра- вомерный доступ к охраняемой законом компьютерной информа- ции (путем уничтожения, блокирования, копирования или модифи- кации), находящейся на интернет-сайте, являются: – сведения об IP-адресах, с которых производится администри- рование интернет-сайта, доменного имени и / или IP-адреса, выяв- ление сторонних заходов; – сведения о запросах, посылаемых при обращениях к интернет- сайту, и поиск среди них тех, что могли использоваться для поиска уязвимостей при обработке запросов на сервере и выдачи закрытой информации, а также при удаленном управлении сервером посред- ством «шеллов»; 1 IP-адреса относятся к частным, если они принадлежат следующим диапазо- нам: 10.0.0.1–10.255.255.254, 127.0.0.1–127.255.255.254, 169.254.0.1–169.254.255.254, 172.16.0.1–172.31.255.254, 192.168.0.1–192.168.255.254. 113 – сведения об ошибках, возникающих в интересующий проме- жуток времени; – следы подбора пароля для аутентификации на сервере, на котором настроена работа интернет-сайта; – программы для удаленного администрирования; – программы / файлы, которые позволяют получать несанкци- онированный доступ к сведениям на сервер / копировать информа- цию на сервере; – вредоносные программы; – сведения о загрузке / выгрузке файлов на / с сервера. Следами, позволяющими установить, откуда была предпринята DoS/DDoS-атака, направленная на блокирование интернет-ресур- са, являются: – период прекращения штатного функционирования сетевого ресурса; – запросы, которые посылались сетевому ресурсу до прекраще- ния его штатного функционирования, а именно: их количество, про- межуток между отправками, содержание запроса; – IP-адреса, с которых произведена отправка обнаруженных запросов; – сведения об ошибках, возникающих на сетевом ресурсе, в интересующий период времени; – сведения о прекращении штатного функционирования сете- вого ресурса. Следами создания, использования и распространения вредо- носных программ для ЭВМ являются: – переписка (в том числе в социальных сетях, на интернет- ресурсах, в программах для мгновенного обмена сообщениями, почтовых клиентах); – история сетевых соединений; – вредоносные программы, в том числе эксплойты; – программы для повышения привилегий в системе; – командные центры (серверы управления) обнаруженных про- грамм. Большое количество ценной криминалистически значимой информации содержат социальные сети. Речь при этом идет не толь- ко о контенте, который выкладывают пользователи на свои страницы, анализ которого позволяет определить и круг общения пользователя, его образ жизни, увлечения, способы проведения досуга, род заня- тий, уровень доходов, географию перемещений, семейное положение и состав семьи, используемый автотранспорт, а также иные данные. Каждый пользователь социальной сети имеет персональный иденти- 114 фикатор (указывается в адресной строке браузера, после доменного имени сайта социальной сети), для получения которого пользова- телю необходимо пройти процедуру регистрации. Соответственно, в организации, владеющей соответствующей социальной сетью, мож- но получить данные учетной записи пользователя: указанные им при регистрации анкетные данные, дату и время регистрации, IP-адрес доступа к сети Интернет при регистрации, адрес электронной почты, абонентский номер сотовой связи (для SMS-подтверждения), а также продолжительность использования учетной записи и иные сведения. Заметим, что если указываемый при регистрации адрес электронной почты может быть вымышленным, то номер мобильного телефона, вероятнее всего, будет реальным (хотя, возможно, и зарегистрирован- ным на подставное лицо), поскольку для регистрации в социальной сети требуется SMS-подтверждение путем введения специального кода, направляемого на телефонный номер, указанный при регистра- ции. Таким образом, для установления лица, фактически использу- ющего SIM-карту, соответствующую номеру мобильного телефона, указанного при регистрации в социальной сети, следует запросить у оператора сотовой связи детализацию звонков, а также данные о способах пополнения финансового баланса SIM-карты. При этом если для пополнения баланса данной SIM-карты использовались электронные кошельки или банковские карты, то информацию о лицах, на которые они открыты, можно получить в соответствую- щей кредитно-финансовой организации на основании ст. 26 Закона РФ от 2 декабря 1990 г. № 395-1 «О банках и банковской деятель- ности». Полный перечень информации, подлежащей хранению орга- низатором распространения информации в сети Интернет, к числу которых относятся и социальные сети, предусмотрен п. 3 Правил хранения организаторами распространения информации в инфор- мационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей информационно-телеком- муникационной сети «Интернет» и информации об этих пользова- телях, предоставления ее уполномоченным государственным орга- нам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации 1 1 О Правилах хранения организаторами распространения информации в инфор- мационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, 115 Кроме того, можно получить сведения о произведенных в соци- альной сети платежных операциях, а на основании судебного реше- ния – переписку пользователя. Правовую основу получения этой информации составляют приведенные выше Правила. В организациях, осуществляющих администрирование соот- ветствующей социальной сетью, ведутся электронные журналы регистрации событий в информационной системе – log-файлы, в которых фиксируются следующие действия пользователя: какой IP-адрес у компьютера, с которого пользователь осуществил доступ к странице социальной сети, когда и сколько времени он провел на сайте, что смотрел и скачивал, какой у него браузер. Отправления электронной почты и соответствующие интер- нет-сервисы по предоставлению подобных услуг несут значитель- ный массив ценной криминалистически значимой информации. Это не только информация, содержащаяся в тексте самого почто- вого отправления, но и информация о маршруте его следования в процессе отправки-получения (RFC-заголовок, служебный заго- ловок, свойства письма, для ознакомления с которыми необходимо открыть электронное письмо и в командной панели выбрать коман- ду отображения свойств письма). Данная информация содержит сведения об IP-адресе, с которого письмо было отправлено, и реаль- ный электронный почтовый ящик 1 . Как правило, IP-адрес отправи- теля содержится в строках «X-Originating-IP» или «Received: from» свойств электронного почтового отправления. Криминалистически значимой информацией, которую возмож- но получить в организациях, являющихся собственниками интер- нет-сервисов электронной почты, являются: сведения, содержащие- ся в учетной записи (аналогично социальным сетям), сеансы досту- па к электронному почтовому ящику, произведенные изменения в учетной записи (смена пароля, изменение телефона, контрольного вопроса и пр.), переписка пользователя (по судебному решению). Правовую основу получения указанной информации состав- ляют: п. 4 ч. 1 ст. 13 Федерального закона от 7 февраля 2011 г. № 3-ФЗ «О полиции»; п. 2 ч. 1 ст. 6 и ст. 7 Федерального закона изображений, звуков или иных электронных сообщений пользователей информаци- онно-телекоммуникационной сети «Интернет» и информации об этих пользователях, предоставления ее уполномоченным государственным органам, осуществляющим опе- ративно-разыскную деятельность или обеспечение безопасности Российской Федера- ции: постановление Правительства Рос. Федерации от 31 июля 2014 г. № 759 // Собр. законодательства Рос. Федерации. – 2014. – № 32, ст. 4526. 1 Зачастую при получении письма в поле «От кого» может быть указан произволь- ный, в том числе не принадлежащий отправителю электронный почтовый ящик. 116 от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной дея- тельности»; п. 7 ст. 185 УПК РФ. Заметим, что данные сведения можно получить не только от российских организаций – собственников сервисов электрон- ной почты, но и от организаций, зарегистрированных вне юрисдик- ции Российской Федерации. С 1 июля 2018 г. вступил в силу пп. 2 п. 3 ст. 10.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информа- ции», согласно которому организатор распространения информа- ции в сети Интернет обязан хранить на территории Российской Федерации: – информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображе- ний, звуков, видео- или иных электронных сообщений пользовате- лей сети Интернет и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий; – текстовые сообщения пользователей сети Интернет, голосо- вую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети Интернет до шести месяцев с момен- та окончания их приема, передачи, доставки и (или) обработки. Постановлением Правительства Российской Федерации от 31 июля 2014 г. № 759 определен состав информации, под- лежащей хранению в соответствии названными требованиями, место и правила ее хранения, порядок ее предоставления уполно- моченным государственным органам. В числе электронных следов, содержащихся в социальных сетях, приложениях электронной почты и сервисах мгновенных сообще- ний, являются сведения о контактах пользователя информационного ресурса с иными лицами (друзья и подписчики в социальных сетях, абонентские номера из телефонной книги и пр.). Их исследование позволяет наглядно продемонстрировать структуру связей внутри группы; выявить частоту соединений между владельцами мобиль- ных устройств и их контактами с построением диаграммы коммуни- кативной активности; осуществлять установление общих контактов нескольких лиц; определять наиболее используемые в тот или иной момент времени контакты; осуществлять сортировки контактов по определенным признакам; получать информацию о каждом отобра- жаемом контакте (предпочитаемый тип связи, первую и последнюю дату связи, общее время разговоров и количество принятых и отправ- ленных сообщений). Решение обозначенных задач осуществляется с использованием приведенных выше средств извлечения кримина- листически значимой информации из устройств мобильной связи. 117 В настоящее время широкое распространение получили системы перевода электронных денежных средств. Электронные денежные средства – денежные средства, которые предварительно предостав- лены одним лицом (лицом, предоставившим денежные средства) другому лицу, учитывающему информацию о размере предостав- ленных денежных средств без открытия банковского счета (обязан- ному лицу), для исполнения денежных обязательств лица, предо- ставившего денежные средства, перед третьими лицами и в отно- шении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа. При этом не являются электронными денежными средствами денежные средства, полученные организаци- ями, осуществляющими профессиональную деятельность на рынке ценных бумаг, клиринговую деятельность и (или) деятельность по управлению инвестиционными фондами, паевыми инвестиционны- ми фондами и негосударственными пенсионными фондами и учет информации о размере предоставленных денежных средств без открытия банковского счета в соответствии с законодательством, регулирующим деятельность указанных организаций (п. 18 ст. 3 Федерального закона от 27 июня 2011 г. № 161-ФЗ «О националь- ной платежной системе»). Наиболее распространенными сервисами перевода электронных денежных средств в настоящее время являют- ся: Яндекс.Деньги, QIWI-кошелек, WebMoney и др. Функциональ- ные возможности данных систем зависят от того, согласен ли клиент пройти процедуру идентификации в соответствии с требованиями Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противо- действии легализации (отмыванию) доходов, полученных преступ- ным путем, и финансированию терроризма». Так, без осуществления процедур идентификации клиента предельно допустимый остаток на балансе не может превышать 15 000 руб., ограничения на плате- жи составляют 40 000 руб. в месяц, снятие наличных не может пре- вышать 5 000 руб. в день и 20 000 руб. в месяц. При осуществлении упрощенной идентификации предельно допустимый остаток на балансе повышается до 60 000 руб., ограничения на платежи и пере- воды составляют 200 000 руб. в месяц, снятие наличных не может превышать 5 000 руб. в день и 40 000 руб. в месяц. При осуществле- нии стандартной идентификации предельно допустимый остаток на балансе повышается до 600 000 руб., отсутствуют ограничения на платежи и переводы, ограничения на снятие наличных составляют до 100 000 руб. в день и до 200 000 руб. в месяц. В зависимости от того, в каком объеме прошел клиент проце- дуру идентификации, зависит и объем информации, содержащей- 118 ся в его учетной записи в системе. Приложения 1 к Положениям Банка России от 12 декабря 2014 г. № 444-П «Об идентификации некредитными финансовыми организациями клиентов, предста- вителей клиента, выгодоприобретателей, бенефициарных владель- цев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и от 15 октября 2015 г. № 499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприо- бретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию)доходов, полученных преступным путем, и финансированию терроризма» содержат во многом схожий пере- чень сведений, получаемых при идентификации (упрощенной иден- тификации). К таким сведениям относятся: фамилия, имя и отче- ство (при наличии последнего); дата и место рождения; граждан- ство; реквизиты документа, удостоверяющего личность; адрес места жительства (регистрации) или места пребывания; идентификаци- онный номер налогоплательщика (при наличии); номера телефонов и факсов (при наличии); иная контактная информация (при нали- чии); место работы и должность клиента, адрес его работодателя; сведения о целях установления и предполагаемом характере дело- вых отношений с некредитной финансовой организацией, сведения о целях финансово-хозяйственной деятельности; сведения о финан- совом положении; сведения о деловой репутации; сведения об источ- никах происхождения денежных средств и (или) иного имущества клиента и др. Указанные сведения на основании п. 4 ч. 1 ст. 13 Феде- рального закона от 7 февраля 2011 г. № 3-ФЗ «О полиции» и п. 2 ч. 1 ст. 6 и ст. 7 Федерального закона от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности» могут быть запрошены в организации, оказывающей услуги по осуществлению перевода электронных денежных средств. В ходе расследования по уголовно- му делу данные сведения можно получить во время выемки. Кроме того, в организациях, оказывающих услуги по переводу электронных денежных средств по приведенным выше основани- ям, возможно получение информации о сеансах доступа к учетной записи (электронному кошельку) за определенный период времени. Значительной ценностью обладают также данные систем видеоре- гистрации терминалов оплаты. В соответствии со ст. 26 Закона РФ от 2 декабря 1990 г. № 395-1 «О банках и банковской деятельности» справки по счетам и вкладам физических лиц, а также справки по операциям и счетам юридиче- ских лиц и граждан, осуществляющих предпринимательскую дея- тельность без образования юридического лица, выдаются кредит- 119 ной организацией органам предварительного следствия по делам, находящимся в их производстве, при наличии согласия руководите- ля следственного органа. Операторы связи, оказывающие услуги подвижной радиотеле- фонной (сотовой) связи, на основании ст. 64 Федерального зако- на от 7 июля 2003 г. № 126-ФЗ «О связи», Правил оказания услуг телефонной связи 1 , располагают следующей криминалистически значимой информацией: – о лице, на которое зарегистрирована SIM-карта; – о входящих и исходящих соединениях; – о фактах приема, передачи, доставки и (или) обработки голо- совой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи – в тече- ние трех лет с момента окончания осуществления таких действий; – о движении денежных средств по счету; – об индивидуальном номере устройства (IMEI); – о точном местонахождении устройства в момент соединения (привязка к базовым станциям); – о других SIM-картах, которые использовались в этом же устройстве; – о текстовых сообщениях пользователей услугами связи, голо- совой информации, изображениях, звуках, видео-, иных сообще- ниях пользователей услугами связи – до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки 2 Абонентские устройства мобильной телефонной связи могут содержать следы преступления в виде информации: о IMEI – номе- ре (номерах) устройства; о набранных / полученных звонках; о полу- ченных / отправленных SMS-сообщениях; о переписке и звонках с использованием таких приложений, как Skype, WhatsApp, Viber, Telegram и т. д.; о переписке по электронной почте; о посещенных интернет-ресурсах; о наличии программного обеспечения, следах его установки и работы. Еще одним ценным источником криминалистически значимой информации, относящимся к числу электронных следов, являют- 1 О порядке оказания услуг телефонной связи: постановление Правительства Рос. Федерации от 9 декабря 2014 г. № 1342 // Собр. законодательства Рос. Федерации. – 2014. – № 51, ст. 7431. 2 Об утверждении Правил хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи: постановление Правительства Рос. Федерации от 12 апреля 2018 г. № 445 // Собр. законодательства Рос. Федерации. – 2018. – № 17, ст. 2489. 120 ся данные геопространственной информации. Получившие широ- кое распространение навигационные приложения, присутствую- щие в стандартном наборе приложений большинства смартфонов (например, GoogleMaps, Яндекс.Карты и т. п.), используют геодан- ные мобильных устройств (сведения о их местоположении в опре- деленный момент времени), чтобы показывать более точные резуль- таты поиска на карте, строить более удобные для пользователя маршруты и формировать персональные подсказки. Данные о пере- мещениях мобильного устройства (смартфона с функцией геолока- ции) постоянно отправляются на серверы компании – поставщика услуг геолокации и (или) сохраняются непосредственно во встро- енной памяти смартфона (в зависимости от настроек приложения геолокации). В основе работы программ геолокации лежит использование сигналов ГЛОНАСС или GPS передатчиков, которыми оснащают- ся подавляющее большинство современных мобильных устройств (смартфонов). При невозможности приема сигнала ГЛОНАСС или GPS геолокационные приложения могут использовать информа- цию базовых станций мобильной связи для приблизительного опре- деления местоположения абонента. К числу тактических задач расследования, решению которых может способствовать использование геопространственной инфор- мации, относятся: установление фигурантов и возможных свидете- лей преступления; розыск лиц; установление места и обстоятельств совершения преступления; установление средств совершения пре- ступления; установление алиби лица; розыск похищенного имуще- ства; установление факта и времени нахождения лица в определен- ном месте; проверка показаний о месте и времени определенного события; установление длительности нахождения лица в определен- ном месте; проверка факта совместного нахождения разных лиц 1 Решение указанных задач возможно посредством анализа данных контента картографических приложений с помощью в частности аппаратно-программного комплекса UFED (производство компа- нии Cellebrite, Израиль). Данная программа извлекает географиче- ские координаты из различных источников: мобильных устройств и их карт памяти, а также облачных сервисов, на которых хранятся данные программ геолокации. Геолокация представляет собой опре- деление реального географического местоположения электронного 1 Гаврилин Ю. В. Использование возможностей средств навигации в установлении обстоятельств совершения преступлений // Актуальные проблемы борьбы с преступно- стью: материалы межвузовской науч.-практ. конф. (Тула, 15 марта 2017 г.). Тула, 2017. 121 устройства, например, радиопередатчика, сотового телефона или компьютера, подключенного к Интернету. Важно отметить, что, используя данное программное обеспе- чение, возможно успешное решение вышеназванных тактических задач только при условии использования владельцем мобильного устройства программ геолокации. Повышению эффективности работы по выдвижению и про- верке следственных версий способствуют такие аналитические воз- можности комплекса UFED, как: – совместное отображение маршрутов передвижения разных лиц в определенный промежуток времени на единой картографиче- ской основе; – восстановление хронологии событий по имеющимся данным геолокации; – установление точного времени и даты посещения лицом опре- деленного объекта (места); – систематизация данных геолокации для их аналитической обработки за счет группировки массивов данных по месту, времени, типам месторасположения, расстоянию и другим критериям. |