Аналитика

16 июня 2022

Компьютерные преступления

Студенты ТюмГУ

Аннотация: Статья посвящена описанию компьютерных преступлений. Приводятся в пример схемы преступлений, предполагаемые преступники, потерпевшие, а также следы, оставленные преступниками.

Проблематика:

В эпоху глобализации, цифровой трансформации и стремительного развития компьютерных и IT-технологий современное общество, с одной стороны, пользуется преимуществами новых технологий (например, доступом к информации из любой точки мира, мгновенными электронными переводами денежных средств и другими), с другой — столкнулось с новым направлением преступности — киберпреступностью.

Можно отметить, что общественные отношения в сфере компьютерных и IT-технологий образовали новый объект для совершения преступлений, средств и способов правонарушений, что делает борьбу с киберпреступлениями одной из самых актуальных проблем современности.

Онлайн-мошенничество

Способы онлайн-мошенничества:

  • спам-рассылки и сайты с просьбой о материальной помощи (например: дети-сироты, жертвы войны, жертвы аварии и т. д.);
  • сайты фиктивных брачных агентств;
  • двойники интернет-магазинов;
  • мошеннические онлайн «банки» и «инвестиционные фонды»;
  • мошеннические сайты и рассылки, предлагающие удаленную работу и требующие под этим предлогом какой-либо «вступительный взнос»;
  • фальшивые сайты благотворительности, туроператоров или авиакомпаний;
  • фишинговая атака по электронной почте (например: рассылка писем с сообщением о выигранном призе или о блокировке счета).

Признаки онлайн-мошенничества на примере интернет-магазина:

  • в адресной строке указано неверное название магазина, чаще всего мошенники меняют несколько букв местами (например: delicates72.org – официальный сайт, deilcates72.org – фальшивый);
  • не указано никаких данных о личности владельца сайта там, где она должна указываться
  • применяются только такие способы оплаты, где возможно скрыть личность получателя платежа, невозможна оплата курьеру при получении;
  • период между заказом товара и его доставкой достаточно большой;
  • цена на товары может быть завышена.

Вероятный тип преступника на примере онлайн-магазина:

  • «хакер»
  • «е-бизнесмен»

Потерпевший на примере онлайн-магазина:

Скорее всего это будет человек, который ранее уже пользовался услугами интернет-магазинов, т. к. для человека достаточно сложно решиться на покупки в новом для него формате.

Также очевидно, что потерпевший является пользователем одной из платежных систем, которой пользовались преступники.

Потерпевшим свойственно надеется, что их не обманули и товар задерживается в пути. Именно поэтому, если преступник уже пойман, и работа веб-сайта прекращена, есть смысл ее возобновить и разместить там информацию о том, как можно связаться со следователем. 

Схема онлайн-мошенничества и следы, которые оставляют преступники:

Схема всех онлайн-мошенничеств такова:

  • размещение (рассылка) информации;
  • взаимодействие с жертвой;
  • получение денежного перевода.

При онлайн-мошенничестве на примере онлайн-магазина можно рассчитывать на такие следы, оставляемые мошенниками:

  • регистрационные данные на доменное имя; логи от взаимодействия с регистратором доменных имен; следы от проведения платежа этому регистратору;
  • следы при настройке DNS-сервера, поддерживающего домен мошенников;
  • следы от взаимодействия с хостинг-провайдером, у которого размещен веб-сайт: заказ, оплата, настройка, залив контента;
  • следы от рекламирования веб-сайта: взаимодействие с рекламными площадками, системами баннерообмена, рассылка спама;
  • следы от отслеживания активности пользователей на сайте;
  • следы при приеме заказов — по электронной почте, через веб-форму;
  • следы от переписки с потенциальными жертвами;
  • следы при осуществлении ввода денег в платежную систему (реквизиты, которые указываются жертве);
  • следы при переводе денег между счетами, которые контролируются мошенниками;
  • следы при выводе денег;
  • следы от дистанционного управления мошенниками своими счетами, их открытия и закрытия;
  • следы от взаимодействия мошенников с посредниками по отмыванию и обналичиванию денег.

Вредоносные программы

Основные разновидности вредоносных программ:

  • вирусы. Как правило вирусы попадают на устройство в виде вложения, как только потерпевший открывает файл, происходит заражение;
  • троянские программы. Используются для создания зомби-сетей, которые затем используются для рассылки спама, DoS-атак, организации фишерских сайтов и т.п.;
  • так называемое spyware, то есть черви и троянцы для похищения персональных данных;
  • так называемое adware, то есть вредоносные программы, скрытно внедряющиеся на персональный компьютер и показывающие пользователю несанкционированную рекламу;
  • руткиты, служащие для повышения привилегий пользователя и сокрытия его действий на «взломанном» компьютере;
  • логические бомбы, которые предназначены для автоматического уничтожения всей чувствительной информации на компьютере в заданное время или при выполнении (при невыполнении) определенных условий;
  • так называемое ransomware — подвид троянских программ, которые после скрытного внедрения на компьютер жертвы шифруют файлы, содержащие пользовательскую информацию, после чего предъявляют требование об уплате выкупа за возможность восстановления файлов пользователя.

Наиболее вероятные типы преступников:

Давно не отмечалось случаев, когда один человек исполнял весь преступный замысел целиком – писал программу, применял ее, использовал результат для получения дохода. Создатель вредоносной программы – это почти всегда член преступной группы, например:

  • Спамеры. Один из преступников занимается разработкой программного обеспечения. Второй, покупает права на использование данной программы и рассылает в массу, затем успешные экземпляры объединяет в зомби-сеть. Готовую сеть продает третьему преступнику, который осуществляет рассылку спама. Заказы на рассылку принимает четвертый сообщник, который при помощи того-же спама ищет дальнейших заказчиков, часть полученных денег пересылает третьему преступнику в качестве оплаты его услуг. Пятый преступник занимается сбором адресов электронной почты для рассылок, которые продает четвертому или третьему преступнику.
  • Кардеры. Первый из преступников занимается сбором данных банковских карт. Например, он может внедрять шпионские программы spyware или использовать фишинг. После получения какого-то количества номеров банковских карт он отправляет их второму преступнику, который исполняет роль организатора этой криминальной системы и распределяет данные по исполнителям. Третий будет исполнять верификацию реквизитов карт, то есть проверять их действительность и пригодность для совершения платежей. Четвертый сообщник нужен для того, чтобы создать веб-сайт (лжемагазин, интернет-казино) с возможностью оплаты услуг банковскими карточками. Пятая группа сообщников – так называемые набивщики. Они получают от организатора номера банковских карт и выводят деньги через веб-сайты четвертого преступника под видом разных клиентов. При этом они эмулируют доступ из разных стран и с разных компьютеров. Есть также шестой сообщник, который занимается вещевым кардингом. Получая от организатора наиболее перспективные номера банковских карт, использует их для заказа каких-либо дорогих товаров в настоящих интернет-магазинах. Эти заказы приходят на адреса седьмой группы сообщников, их называют дропы. Их работа заключается в том, чтобы подтвердить заказ, получить его и сразу переслать следующему преступнику (иногда другому дропу, для запутывания следов). Восьмой сообщник получает и реализует посылки от дропов.
  • Фишеры. Первый преступник занимается размещением в интернете фальшивых веб-сайтов банков и иных учреждений. В такие сайты входит система, которая моментально отсылает преступнику введенные конфиденциальные данные пользователя, естественно не напрямую, для запутывания следов. Второй преступник занимается разработкой этих сайтов, составляет подложные письма и рассылает их с помощью услуг спамеров. Третий занимается реализацией полученных данных (номера банковских карт с пин-кодами, пароли к платежным системам) кардерам или иным преступным системам. Иногда бывает так, что реализацией пин-кодов группа занимается самостоятельно. В этом случае есть четвертый преступник, который изготавливает копии банковских карт для офлайновых магазинов и банкоматов. Также есть пятая группа, которая занимается снятием денег с банкоматов.

Следы, которые оставляют преступники при использовании вредоносных программ:

При изготовлении вредоносных программ можно обнаружить следующие цифровые следы:

  • исходный текст вредоносной программы, его промежуточные варианты, исходные тексты других вредоносных программ, из которых вирмейкер заимствовал фрагменты кода;
  • антивирусное ПО различных производителей, на котором создатель вредоносной программы обязательно тестирует свою, а также средства отладки;
  • программные средства для управления вредоносными программами (многие из них работают по схеме «клиент-сервер», одна из частей внедряется на компьютер жертвы, а другая часть работает под непосредственным управлением злоумышленника);
  • средства и следы тестирования работы вредоносных программ под различными вариантами ОС;
  • следы контактирования с заказчиками или пользователями вредоносной программы, передачи им экземпляров и документации, оплаты.

При распространении и применении вредоносных программ можно обнаружить следующие цифровые следы:

  • средства и следы тестирования работы вредоносной программы под различными вариантами ОС;
  • контакты с создателем или распространителем-посредником вредоносной программы;
  • программные средства для управления вредоносной программой, данные о внедрениях этой программы к жертвам, результаты деятельности (пароли, отчеты о готовности, похищенные персональные данные);
  • средства распространения вредоносной программы или контакты с теми, кто подрядился ее распространять.

DoS-атаки

DoS-атака или атака типа «отказ в обслуживании» является одним из видов неправомерного доступа, а именно такого, который приводит к блокированию информации и нарушению работы ЭВМ и их сети. Иные виды неправомерного доступа (копирование информации, уничтожение информации), а также использование вредоносных программ могут быть этапами осуществления DoS-атаки.

Вероятные преступники использующие DoS-атаки:

В настоящее время встречаются DoS-атаки как с личными, так и с корыстными мотивами. Организовать DoS-атаку на типичный веб-сайт не представляет никакой сложности. Цена на такую атаку достаточно низкая, так что ее может позволить себе практически любой человек.  Сейчас в интернете все больше и больше бизнесменов, благополучие работы которых полностью зависит от доступности его сайта. Это могут быть онлайн-магазины, онлайн-аукционы, онлайн-казино, букмекерские конторы и т. д. Остановка работы веб-сайта для такого вида бизнеса, означает полную остановку работы. А несколько недель такого простоя могут полностью разорить бизнес, из-за этого находятся желающие шантажировать владельца на получение денежных средств для остановки DoS-атаки. Также заказчиком такой атаки может быть человек с личными целями, например конкурент, желающий разорить чужой бизнес.

Вероятный потерпевший:

В подавляющем большинстве случаев потерпевшим выступает юридическое лицо. Коммерческие организации редко бывают заинтересованы в официальном расследовании, поскольку для них главное — устранить опасность и минимизировать убытки. В наказании злоумышленника они не видят для себя никакой выгоды. А участие в судебном процессе в роли потерпевшего часто негативно отражается на деловой репутации.

Выступить потерпевшим владелец атакуемого ресурса может в следующих случаях:

  • когда есть уверенность, что не наказанный злоумышленник будет повторять атаки;
  • когда предприятию надо отчитываться об понесенных убытках или перерывы в оказании услуг перед партнерами, клиентами, акционерами;
  • когда руководитель предприятия усматривает в атаке личные мотивы, личную обиду, когда уязвлено его самолюбие.

В прочих случаях не приходится рассчитывать на заинтересованность потерпевшего в раскрытии преступления.

Следы, оставляемые преступниками при DoS-атаках:

При подготовке и проведении DoS-атаки образуются следующие следы технического характера:

  • наличие инструментария атаки — программных средств (агентов), установленных на компьютере злоумышленника или, чаще, на чужих используемых для этой цели компьютерах, а также средств для управления агентами;
  • следы поиска, тестирования, приобретения инструментария;
  • логи операторов связи, через сети которых проходила атака;
  • логи технических средств защиты — детекторов атак и аномалий трафика, систем обнаружения вторжений, межсетевых экранов, специализированных антифлудовых фильтров;
  • логи, образцы трафика и другие данные, специально полученные техническими специалистами операторов связи в ходе расследования инцидента, выработки контрмер, отражения атаки;
  • следы от изучения подозреваемым рекламы исполнителей DoS-атак, его переписки, переговоров и денежных расчетов с исполнителями;
  • следы от контрольных обращений подозреваемого к атакуемому ресурсу в период атаки, чтобы убедиться в ее действенности.

Читайте также в нашем блоге

«Яндекс.Практикум» начал расследование после сообщен...

Читать
Хакеры атаковали Rutube, платное ТВ и телепрограмму «Янде...

Читать
Российский аналог Google Play сообщил о DDoS-атаке в первый де...

Читать
Сайт Роспотребнадзора подвергся DoS-атаке

Читать
Код ученый: зафиксирован всплеск вредоносных рассылок...

Читать
Не кликай беду: хакеры резко увеличили число атак чере...

Читать
Российские эксперты обнаружили новую хакерскую групп...

Читать
Эксперты оценили объем попавших в Сеть данных клиенто...

Читать
Rutube оказался недоступен из-за кибератаки

Читать

    Оставьте заявку на консультацию

    И мы свяжемся с вами в ближайшее время