Как по оставленным цифровым следам собирают доказательную базу, корреспонденту агентства «Минск-Новости» рассказали в управлении Государственного комитета судебных экспертиз по г. Минску.

На протяжении нескольких лет в столице наблюдается беспрецедентный рост количества преступлений в сфере информационных технологий. В связи с этим все более востребованными становятся компьютерно-технические экспертизы. При этом список задач, решаемых специалистами, очень велик.

- Довольно часто требуется определить статус объекта как компьютерного средства, выявить и изучить его роль в расследуемом событии, получить доступ к информации на носителях данных с последующим всесторонним ее исследованием, определить вид (тип, марку) и свойства аппаратного средства, а также его технических и функциональных характеристик, - рассказывают специалисты. – Также определяем фактическое состояние и исправность такой техники, основные характеристики операционной системы, выявляем и исследуем функциональные свойства программного обеспечения, время его инсталляции, устанавливаем первоначальное состояние программы и возможные последующие ее изменения, связь между действиями компьютерного пользователя и наступившими последствиями.

Объектами исследования являются не только компьютеры, но и любые носители информации, сетевые аппаратные средства, программы для ЭВМ, их исходные тексты, текстовые и графические документы (в электронной форме), мультимедийные данные, базы данных, журналы (протоколы) работы специализированных программ и др.

Преступления, сопряженные с использованием компьютерной техники, зачастую носят скрытый характер, не оставляют видимых следов и сложны с точки зрения сбора доказательств. При проведении таких экспертиз необходимо обладать специальными знаниями, поскольку малейшее неверное действие может привести к безвозвратной утрате ценных доказательств.

- Компьютерно-техническая экспертиза чаще всего назначается для поиска информации, установленных программ, зашифрованных сведений с последующим дешифрованием, поиска цифровых следов, когда компьютер используется как средство доступа к информации, находящейся в ином месте. Можно определить когда, при каких условиях и каким образом осуществлялся доступ, - продолжают эксперты. - Последними тенденциями киберпреступлений являются мошенничество с использованием личной информации, кражи финансовых данных или реквизитов банковских карт, атаки программ-вымогателей, несанкционированное получение доступа к данным государственных или коммерческих организаций, продажа запрещенных предметов в интернете, производство или хранение детской порнографии.

Эксперт устанавливает обстоятельства совершенного преступления по оставленным злоумышленником цифровым следам. Он может обнаружить информацию, хранящуюся в предоставленных для исследования объектах по заданным критериям (путем введения ключевых слов); определить свойства программ, программных продуктов, программно-аппаратных комплексов; классифицировать способы организации компьютерной информации, процессы ее хранения, обработки и передачи; прибегнуть к возможности восстановления утраченных или удаленных сведений; идентифицировать объекты по цифровым следам.

В Беларуси участились случаи хищения денег с расчетных счетов корпоративных клиентов банков путем совершения платежей с использованием систем удаленного доступа. Например, недавно в милицию с таким заявлением обратился директор одного столичного предприятия. Было установлено, что злоумышленники создали троянскую программу, не определяющуюся антивирусами, и под видом коммерческого предложения отправили ее на электронную почту компании. Вирус попал на компьютер главного бухгалтера, с которого осуществлялись основные платежи предприятия.

- Вредоносной программой были собраны идентификационные данные владельца компьютера со всей необходимой злоумышленникам информацией, после чего они стали переводить денежные средства с расчетного счета предприятия, - рассказали специалисты. – Причем с юридической точки зрения банк проводил корректные операции, поскольку электронные цифровые подписи, идентификаторы и пароли соответствовали данным владельца. Таким способом с расчетного счета были похищены порядка 50 тысяч долларов.

Когда на исследование столичным экспертам поступил компьютер главбуха, они установили, что действительно преступление было совершено с использованием троянской программы. Это позволило вернуть деньги по не проводимым банком операциям. Кроме того, удалось установить IP-адрес, с которого была произведена атака этого компьютера.

Источник информации: https://minsknews.by/blagodarya-stolichnym-ekspertam-predpriyatiyu-udalos-vernut-pohishhennye-50-tys-dollarov/