§ 3. Установление и розыск лиц, совершивших преступления в сфере компьютерной информации
Обнаружение лица (лиц), совершившего преступление в сфере компьютерной информации, - важнейшая задача следователя с начала расследования по делу. В одних случаях эти лица становятся известными сразу: при задержании, наличии очевидцев преступления, знающих преступника, иногда при явке с повинной. В других - лицо, совершившее преступление, неизвестно или информация о нем незначительна. В таких случаях требуется напряженная кропотливая работа по его установлению и розыску, связанная с использованием всех имеющихся в арсенале расследования средств и методов. В этой связи можно говорить о разнообразии тактических приемов установления и розыска лица, совершившего компьютерное преступление.
Информация ориентирующего и розыскного характера о лице, совершившем компьютерное преступление, может быть получена при изучении предметов и материальных следов, обнаруженных при осмотре места происшествия, обыске или выемке в местах возможного пребывания преступника, а также в ходе экспертиз, проводимых по делу. Так, могут быть обнаружены следы рук, обуви, иные вещественные доказательства, включая орудия преступления, окурки, волосы, предметы одежды, личные документы и пр. Не следует забывать о возможностях использования в процессе розыска запаховых следов преступника, а также различных микрообъектов (волокна текстиля, частицы почвы и др.).
При обнаружении таких следов и предметов основной задачей следователя является установление их принадлежности к раскрываемому преступлению и возможностей использования в доказывании и розыске. Например, если при осмотре места происшествия изъяты пригодные для идентификации следы пальцев рук, но отсутствуют конкретные подозреваемые, необходимо произвести их проверку по дактилоскопической картотеке следов пальцев, изъятых с мест преступлений, которые остались нераскрытыми, а также по дактилоскопическим картотекам лиц, взятых органами внутренних дел на различные учеты. Существует возможность проверки обнаруженных следов по криминалистическим учетам следов орудий взлома, подошв обуви, микрообъектов и пр.
Как справедливо отмечается в криминалистической литературе, при оценке того или иного признака разыскиваемого лица следователь должен быть объективен и критичен. Возможно умышленное оставление преступником на месте происшествия предметов, которые указывают на другое лицо, якобы совершившее исследуемое деяние. Нередко следы и предметы, содержащие важную для расследования информацию, оказываются случайно оставленными человеком, не имеющим к преступлению никакого отношения1. Материалы ориентирующего и розыскного характера о лице, совершившем преступление в сфере компьютерной информации, могут быть получены из показаний потерпевших и свидетелей по делу. В частности, у них необходимо выяснить:
известна ли им личность преступника, какие имеются предположения на этот счет, чем они обосновываются?
где в настоящее время может находиться лицо, подозреваемое ими в совершении преступления?
кто еще мог видеть момент совершения преступления либо обладает какой-либо иной информацией о лице, совершившем преступление;
какие приметы преступника?
каким образом преступник скрылся с места происшествия (если на автотранспорте - государственный номер и иные приметы автомобиля)?
кому принадлежат вещи, обнаруженные на месте происшествия?
Приведенный перечень вопросов далеко не исчерпывающий. Он может изменяться и дополняться в зависимости от обстоятельств конкретного преступления, различных ситуаций, сложившихся на определенный момент в работе по его раскрытию и расследованию. В частности, желательно узнать мнение потерпевшего, свидетелей о способе совершения преступления, обстоятельствах ему предшествовавших. В качестве свидетелей целесообразно также допрашивать лиц, соприкасавшихся с преступником в период подготовки к преступлению, либо получавших, приобретавших у него похищенную компьютерную информацию и программное обеспечение.
Вместе с тем, работая с потерпевшим и свидетелями в ходе расследования компьютерного преступления, следует не упускать из виду, что некоторые из них по различным мотивам (например, боязнь разглашения конфиденциальных сведений об их личной жизни, стремление скрыть свою вину в происшедшем) могут не сообщать о каких-либо известных им сведениях о личности преступника. Поэтому данные ими показания должны оцениваться в совокупности с другими имеющимися фактическими данными о расследуемом событии.
Со слов лиц, видевших преступника, и в соответствии с их указаниями составляются композиционные портреты. Они изготавливаются из фотоснимков различных лиц, отдельные признаки которых в большей или меньшей степени совпадают с одноименными признаками разыскиваемого. В этих целях используются идентификационные комплекты рисунков (ИКР-2, ИКР-3, прибор ПКП-2), компьютерные программы «Фоторобот», «Барс». В необходимых случаях для составления портрета преступника можно прибегнуть к помощи профессионального художника. К сожалению, перечисленные методы практически не помогают в установлении и розыске лица, совершившего компьютерное преступление способом удаленного доступа, в силу его специфики. В этих случаях особое внимание следует уделять выявлению необходимых данных о преступнике путем изучения обнаруженной компьютерной информации, следов и изменений в электронном информационном поле, попавшим в сферу расследования. Отметим, что эта сфера борьбы с компьютерными преступлениями пока не получила должной проработки в криминалистической науке.
На наш взгляд, можно выделить следующие направления установления личности компьютерного преступника и его розыска на основе сведений, полученных из электронного информационного поля.
1. Некоторые группы лиц, осуществляющих незаконное проникновение в чужие ЭВМ или компьютерные сети путем удаленного доступа (например, «вандалы» и «шутники»), разрабатывающих вредоносные программы, могут оставлять «на память» какую-либо информацию о себе. Кроме того, аналогичную информацию они могут распространять в сети Интернет, среди своих друзей, иных лиц, увлекающихся компьютерами. Такие действия объясняются особой субкультурой компьютерных правонарушителей, в частности их стремлением к хвастовству и экстравагантному образу жизни.
Преступники оставляют в электронном поле следующую информацию о себе: пол; имена, фамилии; клички; электронный адрес; иные сведения, позволяющие установить их личность и местонахождение (например, название своего города, номер телефона, адрес, фотоснимки и пр.). Анализ оставленной информации также позволяет сделать вывод о возрасте, интересах, круге общения, месте проведения свободного времени преступника.
Показателен пример установления личности и задержания компьютерного преступника Владислава М. Окончив Чувашский государственный университет (кафедра компьютерного программирования), М. использовал полученные знания для разработки компьютерного вируса - «трояна». Этот вирус помимо дестабилизации нормальной работы операционной системы «Windows», устанавливал имя и пароль доступа в сеть Интернет пользователя и отправлял их на заранее заданный электронный почтовый ящик в закодированном виде. В последующем М. декодировал пароль с помощью специально разработанной программы «recode.exe». Поначалу, желая «прославиться» среди компьютерной общественности, М. широко разрекламировал свой вирус. Свои электронные сообщения он подписывал «VladBEST» («Влад самый лучший»). Впервые применив вирус в сети Интернет, он использовал Интернет-класс МГУ Получив с помощью вируса пароли доступа в сеть «Интернет» некоторых клиентов филиала ОАО «Связьинформ» Чебоксарской телеграфно-телефонной станции, М. даже зарегистрировал на сервере "CHAT.RU" в г. Москве свою электронную страничку и почтовый ящик, которые назвал именем «wladic». На эту страничку он поместил описание своей программы-вируса. В последующем, М. стал активно использовать программу-вирус для «кражи» паролей доступа у законных пользователей и последующего несанкционированного доступа в сеть «Интернет». Его действия по применению вируса были замечены. В процессе расследования информация, содержащаяся в компьютерной сети, была обнаружена и сыграла ключевую роль в установлении преступника.
2. Целесообразно с помощью специалиста-программиста изучать имеющиеся в большинстве компьютерных систем файлы регистрации. Какое бы событие ни произошло в системе, информация о нем (кто инициировал, когда и в какое время оно произошло, какие при этом были затронуты файлы) регистрируется в данных файлах. В частности, в таких файлах может отражаться информация о паролях пользователей, их именах, идентификационных номерах. Впоследствии такая информация используется для выявления компьютера, с которого осуществлен неправомерный доступ, и установления личности преступника.
У провайдера можно также установить время выхода на связь определенного пользователя, продолжительность его работы и другую информацию из имеющегося на его компьютере log-файла. В ряде случаев через провайдера можно определить и номер телефона, с которого был произведен звонок. Если имеется предположение, что неправомерный доступ осуществлен с одного из компьютеров, включенных в локальную сеть, конкретное рабочее место можно установить через log-файл сервера локальной сети.
В случае если выход в сеть Интернет осуществлялся с домашней ЭВМ, необходимо заблаговременно установить: кто имеет доступ к данному компьютеру; кто мог работать на компьютере в интересующий отрезок времени; имеется ли возможность подключения «двойников» к конкретной компьютерной сети.
Однако, следует помнить, что профессиональные компьютерные преступники могут уничтожить или изменить информацию, содержащуюся в файлах регистрации. Так, например, С., используя имеющийся у него дома компьютер, связался через модем с компьютером, расположенным в институте физики полупроводников РАН, зарегистрированным пользователем которого являлся. В дальнейшем, через сеть Интернет он вышел на компьютер администратора сети Института экономики и организации промышленного производства РАН. Получив доступ к компьютеру администратора сети путем подбора пароля, С. проник в закрытую компьютерную сеть института и внес изменения в несколько системных файлов, с целью последующего доступа к другим компьютерам сети института. Данная программа копировала информацию и пересылала ее по каналам электронной почты на электронный адрес, открытый С. на сайте, расположенном в Германии. В целях сокрытия следов неправомерного доступа в компьютерную сеть института экономики С. изменил файл регистрации на сервере института, уничтожив информацию о посещениях сети за несколько дней.
Кроме того, современные возможности и в то же время недостатки глобальных компьютерных сетей позволяют преступнику маскировать исходную точку доступа. Если имеют место подобные действия можно с уверенностью говорить о высочайшем профессионализме компьютерного преступника.
Информацию о личности преступника и его местонахождении можно получить, произведя комплексный анализ сведений о способе совершения преступления, противодействии расследованию, месте и времени посягательства, мотивах и целях деяния. Так, например, выявление двух признаков: знание паролей различных операций, выполняемых тем или иным компьютером в организации, и наличие доступа к нему или сети ЭВМ значительно сужают круг подозреваемых.
Целесообразно также изучать способы совершения различных компьютерных преступлений в регионе. Способы совершения преступления повторяются у одних и тех же лиц, неоднократно совершавших аналогичные преступления. Обобщенная информация, полученная на основе анализа аналогичных способов совершения преступлений, может дополнить составляемую следователем розыскную модель личности преступника.
Розыскная модель личности преступника представляет собой систему признаков, на основе которых можно установить преступника и его местонахождение.
Приведем следующий пример построения и использования следователем такой модели. При расследовании неоднократного неправомерного доступа к компьютерной информации, находящейся на ЭВМ менеджера, расположенной в торговом зале коммерческой организации, было установлено, что данные преступления были совершены путем непосредственного проникновения в компьютерную систему (во время отсутствия в помещении персонала фирмы) кем-то из посторонних лиц с целью копирования файла (intemetlogin.xls), содержащего информацию о регистрационном имени пользователя сети Интернет, необходимую для бесплатного доступа в эту сеть. Это позволило сделать вывод о том, что преступления совершались одним и тем же лицом, обладающим познаниями в области компьютерных технологий и часто посещавшим торговый зал фирмы. В ходе проверки сотрудников коммерческой организации был установлен молодой человек, совершивший эти преступления.
Анализ способа совершения преступления (нескольких преступлений), иной информации о преступнике в некоторых случаях позволяет предположить, где может появиться или находится преступник. В этой ситуации необходимо проведести специальный комплекс мероприятий, направленных на создание условий, побуждающих разыскиваемого действовать в затруднительной для себя обстановке, мешающих ему свободно передвигаться. В частности, целесообразно производить систематические обыски в местах вероятного нахождения разыскиваемого, мероприятия по информированию общественности о его личности, организовывать засады в местах возможного появления преступника, давать поручения органам дознания о проведении оперативно-розыскных мероприятий в среде лиц, увлекающихся компьютерными технологиями и программированием, занимающихся изготовлением и торговлей компьютерным оборудованием и программным обеспечением.
В процессе розыскной работы по делам о преступлениях в сфере компьютерной информации можно попытаться склонить разыскиваемого к добровольной явке в правоохранительные органы. С этой целью необходимо путем проведения следственных и оперативно-розыскных мероприятий установить круг лиц, которые могут общаться с разыскиваемым и пользуются у него авторитетом, провести допросы или побеседовать с этими лицами, разъяснить им все положительные моменты добровольной явки разыскиваемого в правоохранительные органы. В некоторых случаях такие действия следователя достаточно эффективны. Например, в ранее упоминавшемся деле С. преступника удалось склонить к добровольной явке с повинной. Более того, он принял самое активное участие в устранении последствий своего преступления.
Местонахождение разыскиваемого лица может быть установлено в момент совершения им нового компьютерного преступления. Для достижения этой цели необходимо провести комплекс следственных, оперативно-розыскных и технических мероприятий по установлению возможного объекта нового преступного посягательства со стороны разыскиваемого лица: установить за этим объектом технический контроль, позволяющий определить местонахождение преступника (в случае совершения преступления путем удаленного доступа к компьютерной информации), либо организовать визуальное наблюдение (если предполагается непосредственный доступ к компьютерной информации либо использование похищенной информации в преступных целях). На возможный объект преступного посягательства указывают:
характер похищенной компьютерной информации (например, сведения о пароле и регистрационном имени, необходимые для доступа в сеть Интернет, какую-либо компьютерную систему, о кодах кредитных карточек потерпевшего и пр.);
направленность подготовительных действий преступника (сбор информации о конкретном лице, организации; приобретение необходимого для реализации определенного преступного замысла компьютерного оборудования, программного обеспечения; подбор сообщников и пр.);
неоднократные попытки преступника получить несанкционированный доступ к определенной информации;
традиционно интересующая разыскиваемого преступника информация. В этой связи интересен опыт зарубежных правоохранительных органов,
применяемых для установления местонахождения разыскиваемого преступника, способ, называемый «приманка», который заключается в заманивании его к определенному объекту и удерживании на связи в течении времени, достаточного для установления его местонахождения. В качестве приманки используются файлы с информацией, которая может заинтересовать преступника. При этом рекомендуется воспользоваться специальными файлами, появление которых у того или иного лица в позволит установить, что именно он осуществлял незаконный доступ к компьютерной информации. Для установления и задержания лиц, занимающихся распространением технических носителей, содержащих вредоносные программы, на практике часто проводится специальный комплекс оперативно-розыскных мероприятий, среди которых в качестве ключевого действия выступает проверочная закупка. После установления местонахождения преступника проводятся его задержание (в благоприятном случае - с поличным), обыск.
В некоторых случаях сведения о местонахождении разыскиваемого лица можно получить в ходе мероприятий по контролю за каналами связи, по которым преступник общается со своими близкими, друзьями. Для достижения этой цели целесообразны: контроль и запись телефонных и иных переговоров, выемка почтово-телеграфной корреспонденции, установление оперативно-технического контроля за электронными средствами связи, которыми может воспользоваться разыскиваемый.
Ряд преступлений в сфере компьютерной информации, связанные с хищением денежных средств, разработкой и распространением вредоносных программ, коммерческим шпионажем, совершается преступными группами. В связи с этим перед следователем стоит задача установления и розыска всех соучастников преступления. Сведения об их личности и местонахожде-нии могут быть получены от уже установленных лиц. Однако, если они отказываются сотрудничать со следователем, а иная информация незначительна, задача по выявлению и розыску всех соучастников преступления значительно усложняется. В таких случаях возникает необходимость в разработке специальных комплексов следственных действий, оперативно-розыскных и организационных мероприятий.
Так, в ходе расследования компьютерных преступлений целесообразно изучить и проверить круг знакомств обвиняемого. К основным источникам информации, на основании которых можно определить весь круг знакомств и связей обвиняемого, относятся: супруги, родственники, иные близкие люди; соседи, сослуживцы по работе; документы личного и делового характера (например, записные книжки, письма, расписки, доверенности); фотографии, кино- и видеоматериалы; иные предметы и документы, которые могут указать на связи и контакты лица, обвиняемого в совершении преступления (открытки; телефонные счета за междугородние переговоры и др.).
Источники информации о знакомых обвиняемого, которые предположительно явились соучастниками преступления, могут быть обнаружены при личном обыске, а также обыске по месту жительства или работы обвиняемого. Это записные книжки (в том числе электронные), письма, телеграммы, счета, фотографии, материалы видеозаписи и т.д. Учитывая особенности рассматриваемого вида преступлений, интересующая следствие информация может храниться также в памяти персонального компьютера, на машинных носителях информации.
Установленные преступники, их родственники и знакомых допрашиваются в целях: определения происхождения тех или иных документов; личности людей, изображенных на фотографиях и видеозаписи, их места жительства, работы, номеров телефонов, иных координат; получения пояснений относительно сделанных в определенный период времени телефонных звонков, полученных телеграмм, записей и пр.
Показания допрошенных необходимо сопоставить. Если выяснится, что преступник скрыл свои отношения с кем-либо или попытался направить следствие по ложному пути, такие лица подлежат особенно тщательной проверке.
В качестве примера умелой работы по розыску лиц, совершивших компьютерные преступления, приведем осуществлявшееся международными правоохранительными органами расследование по делу Левина. Российский программист Левин, находясь в Санкт-Петербурге, похитил из американского «Ситибанка» (Нью-Йорк) денежные средства в размере свыше 10 млн. долларов. Ему удалось подделать пароли клиентов банка с целью выдать себя за владельца того или иного счета. При этом использовались счета клиентов со всего света. Преступление было совершено им не в одиночку: действовала целая преступная группа, включавшая в себя как профессионального «взломщика», так и лиц, непосредственно получавших наличную валюту из филиалов «Ситибанка» или других банков после поступления в них переводов. Похищение было хорошо организовано и спланировано. Сначала переводы делались небольшими суммами (с целью проверки качества работы), а затем суммы каждого перевода возросли до одного миллиона.
Вторжение в систему управления денежными операциями впервые было замечено в июне 1994 г. (российские правоохранительные органы подключились к делу в 1995 г.). За компьютерной системой банка установили круглосуточное техническое наблюдение. Большую помощь оказали телефонные компании для определения местонахождения «взломщика». Важное значение в расследовании этого транснационального преступления имело взаимодействие правоохранительных органов разных стран, разработка согласившихся на сотрудничество свидетелей, анализ документов со счетов получателей и телеграфных переводов. Так, был определен номер телефона, с которого осуществлялся незаконный доступ, и его местонахождение. Впоследствии при получении крупной суммы наличными в одном из банков Финляндии был установлен один из членов преступной группы. При получении денег он был вынужден, согласно правилам банков, оставить свои координаты. В качестве места своего проживания он указал Санкт-Петербург, а в графе «телефон» - тот же номер, откуда производилось проникновение. Почти все участники преступления были задержаны (часть из них - в России). Сам Левин был арестован в Лондоне, а затем, как и другие соучастники преступления, выдан властям США.
«все книги «к разделу «содержание Глав: 35 Главы: < 28. 29. 30. 31. 32. 33. 34. 35.