Это Методичка мвд по организации расследования хищения денежных средств, совершенных с использованием компьютерных технологий. С полным алгоритмом (логикой)
Скачать 2.62 Mb.
|
Троянская программа для POS-терминалов - NitlovePOS, распространяемая, очевидно, посредством спам-кампаний с документом Word во вложении, который содержит вредоносный макрос, осуществляет сканирование запущенных процессов на скомпрометированной машине и перехватывает трек 1 и трек 2 с магнитной полосы банковской карты, затем посылает полученные данные на сервер управления преступника с использованием протокола SSL. Для начала автоматизации процесса заражения POS-терминалов преступнику достаточно иметь: Metasploit Framework; сканер открытых портов Zmap; рабочую версию известного трояна для POS-терминалов; 2) с использованием аппаратно-программных средств (например, скиммеров) при оплатах в торговых и сервисных учреждениях (предприятия розничной торговли, общественного питания) посредством недобросовестного персонала, который незаметно для держателя платежной карты копирует содержимое магнитной дорожки карты с использованием скиммингового устройства, которое при малых размерах может хранить данные сотен магнитных полос; Вместе с тем данный способ получения данных о владельцах пластиковых карт исключает возможность получения PIN-кода, что существенно снижает возможности неправомерного использования полученных данных. Кроме того, анализ и сопоставление последних платежных операций, совершенных владельцами пластиковых карт, позволит определить организацию, в которой произошла утечка информации о владельцах пластиковых карт. 3) с использованием аппаратно-программных средств (считывающих устройств), с целью дальнейшего изготовления и несанкционированного использования к опии/ дубликата платежной карты. Так, одно из самых распространенных таких устройств известно под наименованием скиммер. Скиммеры появились примерно в 2002 году в Европе (первое упоминание о них поступило из Англии). Наверняка они существовали и раньше, ибо не имеют какой-то слишком уж сложной конструкции, а банкоматы на улицах европейских городов установлены уже достаточно давно. Современный скиммер состоит из двух частей. Первая часть - это накладной симулятор приемника платежной карты в банкомате, содержащий считыватель, микросхему преобразователя информации, контроллер и накопитель. Современные считыватели маленького размера, ширина его головки равна ширине магнитной ленты карты, толщина 2-2,5 мм (скиммер по сути находится внутри разъема). Скиммеры накапливают информацию о картах внутри или с помощью передатчика по беспроводным каналам (чаще всего это Bluetooth или SMS-сообщение), сразу передают ее на мобильный телефон или устройство, спрятанное в нескольких метрах от банкомата. Преступник находится поблизости или время от времени появляется возле банкомата, чтобы заменить наполненный информацией скиммер. Вторая часть скиммера - накладная клавиатура, предназначенная для «съема» информации о PIN-коде карты, содержащая микросхему, спрятанную в клавиатуре, и разобранный мобильный телефон, настроенный на постоянную отправку SMS-сообщений. Поскольку клавиатура банкомата металлическая, то и накладную изготавливают из такого же материала, но она, как правило, на 0,5-1 см выделяется на общей плоскости банкомата и потому может быть обнаружена. SMS-сообщение отсылается после нажатия клавиши Enter на клавиатуре или четвертой цифры PIN-кода либо любой клавиши. Кроме того, существует усовершенствованный вариант, так называемый встраиваемый скиммер-передатчик, который способен отправлять считанную информацию на принимающее устройство, расположенное неподалеку от банкомата. В этом случае скиммер помещается внутрь ридера. В комплекте такого скиммера имеется камера, с помощью которой отслеживаются вводимые PIN-коды. Также преступники используют скиммеры с тонким профилем и гибкие, способные работать от МРЗ-плеера или мобильного телефона. Последние позволяют преступникам похищать данные платежных карт при помощи отправки SMS-сообщений. В этом случае после установки такого скиммера им больше не требуется взаимодействие с банкоматом. В комплекте со скиммером вместо накладной клавиатуры используется мини-камера с памятью для считывания ПИН-кода, укрепленная в верхней части банкомата, над клавиатурой и т. п., с функцией передачи видеотрафика на сервер при помощи wi-fi и 3g в режиме онлайн. Как было отмечено, в настоящее время преступники используют практически невидимый скиммер (миниатюрный прибор для перехвата информации, который вставляется в банкомат через небольшое отверстие, сделанное на его передней панели), а также размещают скиммер внутри банкомата через отверстие, сделанное над картоприемником, и монтируют перехватчик информации внутри устройства. Обычно скиммеры устанавливают поверх картоприемника банкомата либо внутри кардридера. Эксперты полагают, что скиммер нового образца считывает данные не с магнитной ленты платежной карты, а с кардридера банкомата. Если классический скимминг характерен тем, что считывающее устройство номера карты имеет свою «надводную часть», ее можно увидеть невооруженным взглядом на месте картридера, то шимминг - это использование считывающего устройства, полностью погружаемого в щель картоприемника. Само приспособление, дабы поместиться в проеме и не мешать при этом погружению туда же карты, очень миниатюрно (менее 0,1 мм), оттого высокотехнологично, дорогостояще и соответственно менее распространено, чем классические скиммеры. Но если уж мошенники им воспользовались, то противопоставить ему что-либо на пользовательском уровне крайне сложно. Информацию о PIN-коде можно получить с высокочувствительной инфракрасной камеры. Технология получения PIN-кода в данном случае выглядит следующим образом. Преступник, стоящий в очереди, делает снимок клавиатуры, на которой предыдущий пользователь набирал PIN -код. Клавиши, к которым прикасались, несколько теплее, причём последняя нажатая клавиша теплее предпоследней и так далее; Эффективность данного метода зависит от типа клавиатуры (металлические клавиатуры обладают большей теплопроводностью и температура их клавиш быстро выравнивается) и от того, не набирал ли клиент что-нибудь ещё на клавиатуре (например, сумму). 4) с использованием поддельного банкомата, оснащенного специальным считывающим устройством (муляж аппарата, оборудованного скимминговыми устройствами). Такой банкомат подключатся к сети 220 вольт, а изображение на экране создает впечатление его работоспособности. На стикере банкомата имеется указание о том, что принимаются карты VISA, MasterCard, AmEX и т.п. Такой банкомат принимает карту, требует ввода PIN-кода, после чего выдаёт сообщение о невозможности выдачи денег (под предлогом отсутствия денег в банкомате или технической ошибки) и возвращает карту. В банкомате происходит копирование данных с карты и PIN-кода, что позволяет преступникам впоследствии изготовить дубликат и снять с его помощью деньги со счёта клиента. Данный способ хищения денежных средств получил наззание «фантом». 5) с помощью специализированной (вредоносной) программы, которая в программное обеспечение банкомата вносит вредоносный вирус, позволяющий выполнить две команды: на скимминг (считывание магнитной полосы и PIN-кода) и снятие денежных средств (так называемый прямой диспенс). Запуск вируса осуществляется с помощью специальных карт активации; 6) путем незаконного проникновения в базы данных о владельцах пластиковых карт крупных торговых сетей, коммерческие банки и (или) иные платежные системы через недокументированные сетевые подключения, открытые беспроводные сети, не обновленное программное обеспечение, незаблокированное подключение внешних устройств и т. п.; 7) путем рассылки по электронной почте держателям платежных карт запросов якобы от коммерческих банков с просьбой подтвердить или обновить персональную информацию клиентов, связанную с картами, установить антивирусное программное обеспечение и т.п. (фишинг); 8) с использованием телефонного автонабора, который круглосуточно набирает номера в определенном регионе. Когда потенциальная жертва снимает трубку, автоответчик предупреждает, что его пластиковая карточка находится в руках мошенников и просит срочно перезвонить по указанному номеру. При перезвоне компьютерный голос вежливо просит пройти сверку данных и ввести с клавиатуры телефона PIN-код пластика. Параллельно преступниками выясняется номер счета, полное имя и адрес держателя, срок действия его пластиковой карты; 9) организация фиктивных пунктов выдачи наличных (ПВН); 10) приобретение реквизитов пластиковых карт (дампы - записи содержимого магнитных лент карт и данные с поверхности карт - номера, сроки действия, имена держателей, CVV) на торговых (электронных) площадках или в кардерских магазинах. По мнению специалистов, средняя стоимость карты в кардерском магазине составляет 20 долларов, покупателям удается украсть деньги лишь с одной из трех карт, средняя сумма хищения - 2 тыс. долларов. Поставщики, собирающие данные карт, в том числе вышеуказанными способами, размещают миллионы записей на таких площадках. Так, кардерский магазин - Swiped работал с 2008 года и считался одной из крупнейших торговых площадок. По состоянию на май 2014 года на Swiped продавались данные 6,78 млн карт из 148 стран мира. При этом за 2015 г. в магазин были выгружены данные 5,5 млн карт. Исследователи считают, что большую часть их составляют карты, скомпрометированные при взломе крупных американских ретейлеров Target и The Home Depot. Необходимо отметить, что растущая техническая оснащенность преступников приводит к тому, что их действия приобретают комбинированный характер (использование подлинных платежных карт для изготовления подложных). Например, после расходования всех доступных по утерянной или украденной карте средств она может быть перепродана «специалистам» по подделке платежных карт для повторного эмбоссирования и/или перезаписи информации на магнитной полосе. Спегщалъные технические средства (СТС) - средства, предназначенные (разработанные, приспособленные, запрограммированные) для негласного получения (изменения, уничтожения, блокирования) информации, нарушения работы отдельных компьютеров, компьютерных систем или их сети, к которым относятся: магнитные материалы и технические устройства, генерирующие направленное электромагнитное излучение; электромонтажный инструмент и материалы; контрольно-измерительные приборы и устройства; средства систем электросвязи и их компоненты. Отметим, что анализ следственной практики не позволил выявить факты совершения хищений денежных средств с использованием компьютерных технологий, сопряженных с указанными СТС. Но, данное обстоятельство не свидетельствует о том, что такие средства не могут быть использованы преступниками в целях хищения. Между тем преступники используют специальные технические устройства, типа Blackbox (хакеры назвали свое устройство ATM Pump), которые позволяют получать деньги из диспенсера банкомата. Данное устройство обладает следующими функциональными возможностями: работа через Wi-Fi; запуск устройства удаленно со специального брелока; работа батареи внутри банкомата до 1 месяца; автоматический запуск с полным удаленным управлением диспенсером. Само устройство подключается к банкомату следующим способом. После вскрытия корпуса банкомата «родной» шлейф отключался и вместо него подключался один из шлейфов из устройства ATM Pump. «Родной» шлейф, который был отключен, подключался ко второму шлейфу устройства ATM Pump. После того, как устройство успешно устанавливалось, банкомат закрывался. Таким образом, устройство ATM Pump выступало в качестве промежуточного звена, позволяя преступникам манипулировать диспенсером. Используя брелок, преступники удаленно управляют устройством, в том числе в нужный момент (когда будет загружен лоток банкомата) дают команду на начало выдачи наличных денежных средств через диспенсер, которые получают соучастники (обналыцики). Вредоносные программы - любое программное обеспечение, которое предназначено для скрытного (несанкционированного) доступа к персональному компьютеру с целью хищения конфиденциальных данных, а также для нанесения любого вида ущерба, связанного с его использованием. Существует много классификаций вредоносных программ, однако основная масса из них является чисто техническими, которые не могут быть использованы для решения стоящих перед криминалистикой задач. Ряд классификаций вредоносных программ приводится и в юридической литературе. Так, В. В. Крылов предлагает классифицировать все вредоносные программы «на базе представлений о цели создания программы и последствиях ее действия»: «безвредные» инфекции, «опасные инфекции», «инфекции проникновения». Последние предназначены «для организации неправомерного доступа к чужим информационным ресурсам («люки» («back door») или «Троянские программы (кони)», «логические бомбы и бомбы с часовым механизмом»)». Для целей настоящей работы представляется возможным ограничиться выделением следующих видов вредоносных программ: самораспространяющиеся - компьютерные черви, компьютерные вирусы (или вирусы); а также троянские программы (банковские троянские программы), вредоносные утилиты. Сетевые черви - это вредоносные программы, которые размножаются, но не являются частью других файлов, представляя собой самостоятельные файлы. Сетевые черви могут распространяться по локальным сетям и Интернету (например, через электронную почту). Особенность червей - чрезвычайно быстрое «размножение». Червь без ведома пользователя может, например, отправить «червивые» сообщения всем респондентам, адреса которых имеются в адресной книге пользователя почтовой программы. Помимо загрузки сети в результате лавинообразного распространения, сетевые черви способны выполнять опасные действия. Компьютерные вирусы (Вирусы, Virus) - вредоносные программы, обладающие способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера и внедрению своих копий в другие компьютерные программы (напр., Worms and Viruses; Worm; Email-Worm и т.п.), т.е. заражению уже существующих файлов, путем включения своего программного кода или некоторой его части в программный код файлов, системные области или иное рабочее пространство электронных носителей информации, с сохранением всех первоначальных свойств или некоторой их части. Обычно это исполняемые файлы (*.ехе, *.сот) или файлы, содержащие микропроцедуры (*.doc, *.xls), которые в результате заражения становятся вредоносными. Существует значительное число классификаций компьютерных вирусов: по типам объектов, в которые они внедряются (по среде обитания), по способу заражения среды обитания, по деструктивным возможностям, по особенностям функционирования вируса и другие. Многие из них чисто технические и не имеют для криминалистики особого значения. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением. Троянские программы (Trojan) - вредоносные программы, предназначенные для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений. Также такие программы могут обеспечить удаленный доступ к компьютерной информации пользователя без его согласия. К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению. К разновидностям троянских программ относятся Trojan-ArcBomb, Trojan-Banker, Trojan-Clicker, Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-GameThief, Trojan-Notifier, Trojan-Proxy, Trojan-Spy, Trojan-PSW (Password-Stealing-Ware), Trojan-Mailfinder и т. п. Например, Trojan-Banker представляет собой вредоносную программу, предназначенную для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы. Trojan-Notifier -для несанкционированного пользователем сообщения своему «хозяину» о том, что заражённый компьютер сейчас находится «на связи». При этом на адрес преступника отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице злоумышленника, ICQ-сообщением. Trojan-Spy - для ведения электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.). Найденная информация передается преступнику. Для передачи используются электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы. Trojan-Mailfinder - для несанкционированного пользователем сбора адресов электронной почты на компьютере с последующей передачей их злоумышленнику через электронную почту, HTTP, FTP или другими способами. Похищенные адреса используются преступниками при проведении последующих рассылок вредоносных программ и спама. Банковские троянские программы - это вредоносные программы, предназначенные для похищения конфиденциальной информации и обеспечения несанкционированного доступа к банковской информационной системе (напр., системе ДБО). Многие банковские трояны сочетают в себе функции бэкдора и шпионских программ. Наиболее распространенными методами проникновения банковских троянских программ в операционную систему, являются их загрузка на компьютер жертвы: 1) другими вредоносными программами - троянами-загрузчиками; 2) при просмотре инфицированных веб-страниц (с использованием различных уязвимостей прикладного программного обеспечения); 3) при открытии вложений, содержащихся в сообщениях массово рассылаемые по каналам электронной почты, на инфицированных съемных носителях; 4) с использованием методов социальной инженерии. Банковские троянские программы условно можно разделить на управляемые и неуправляемые. Неуправляемые троянские программы - являются самыми простыми вредоносными программами. После их установки в компьютере потерпевшего они не ждут команд с сервера преступника, их нельзя обновить до более новой версии или использовать их для установки других вредоносных программ. Такие программы используются для совершения хищений у физических лиц. Управляемые троянские программы - являются наиболее распространёнными и сложными. Их постоянное использование требует поддержки со стороны их авторов, которые обладают высоким уровнем программирования. В некоторых случаях автор вредоносной программы может входить в состав преступной группы, тогда вредоносная программа может использоваться только одной преступной группой. После установки в компьютере потерпевшего вредоносная программа обязательно сообщает о своей успешной установке на сервер, управляемый преступником. Постоянное взаимодействие вредоносной программы с сервером управления дает возможность преступнику управлять этой программой, например, обновлять ее в случае обнаружения средствами антивирусной защиты, выполнять команды на компьютере пользователя, загружать модули, расширяющие функционал вредоносной программы. Модуля вредоносной программы могут разрабатываться другими авторами, например, для работы со специфичными для конкретного региона системами ДБО кредитных организаций. Типичными видами семейства банковских троянских программ являются: Trojan. Carberp; Trojan.PWS.Ibank; Trojan.PWS.Panda (также известен как Zeus и Zbot); Troj an.PWS. Spy Sweep (также известен как SpyEye). Для мобильной платформы Android банковским трояном является Android.SpyEye. По данным компании «Лаборатории Касперского» ТОР 10 семейств вредоносных программ, использованных для атак на пользователей онлайн-банкинга в 2015 году, состоит из Trojan-Downloader.Win32.Upatre, Trojan-Spy. Win32.Zbot, Trojan-Banker.Win32.ChePro, Trojan-Banker.Win32.Shiotob, Trojan-Banker.Win32.Banbra, Trojan-Banker. Win32.Caphaw, Trojan-Banker.AndroidOS.Faketoken, Trojan-Banker. AndroidOS.Marcher, Troj an-Banker. Win32.Tinba и Troj an-Banker. J S. Agent. Подавляющее большинство семейств вредоносных программ, попавших в ТОР 10, используют классическую для банковских троянцев технику внедрения произвольного HTML-кода в отображаемую браузером веб-страницу и последующего перехвата платежных данных, вводимых пользователем в оригинальные и добавленные троянцем веб-формы. Основной задачей банковских троянцев является компрометация платежных данных пользователей систем онлайн-банкинга и модификации содержимого банковских веб-страниц. Некоторые банковские троянцы используют несколько уровней шифрования своих конфигурационных файлов и при этом сам расшифрованный файл конфигурации не хранится в памяти целиком, а загружается по частям (например, Trojan-Spy.Win32.Zbot). Некоторые банковские троянцы позволяют делать снимки экрана, регистрировать клавиатурные нажатия и читать содержимое буфера копирования, т.е. имеют функционал, дающий возможность использовать вредоносную программу для атаки практически на любые системы онлайн-банкинга (например, Trojan-Banker.Win32.ChePro). Специализированные вредоносные программы семейства Faketoken и Marcher предназначены для компрометации платежных данных с мобильных устройств под управлением операционной системы Android. Вредоносные программы семейства Trojan-Banker.AndroidOS.Faketoken работают в паре с компьютерными банковскими троянцами. Для их распространения киберпреступники используют технологии социальной инженерии: когда клиент банка с зараженного компьютера посещает страницу онлайн-банкинга, троянская программа модифицирует эту страницу, предлагая загрузить Android-приложение, которое якобы будет защищать транзакции. На самом деле ссылка ведет на вредоносное приложение Faketoken. После того как такая программа оказывается на смартфоне жертвы, преступники через зараженный банковским троянцем компьютер пользователя получают доступ к банковскому счету, а зараженное мобильное устройство позволяет им перехватывать одноразовый пароль двухфакторной аутентификации (mTAN). Вредоносные программы семейства мобильных банковских троянцев -Trojan-Banker. AndroidOS.Marcher, заразив мобильное устройство, отслеживают запуск всего двух приложений: клиента мобильного банкинга одного из европейских банков и Google Play. В случае если пользователь входит в магазин Google Play, Marcher демонстрирует пользователю фальшивое окно для ввода данных о платежной карте, которые затем попадают к преступникам. Аналогичным образом троянская программа действует и в случае открытия пользователем банковского приложения. Использование в преступных целях банковских троянских программ возможно по следующим причинам: ежедневное появление (создание) большого количества новых банковских троянов, системы защиты которых становятся все более совершенными. Так, преступники нередко используют различные файловые упаковщики для избегания обнаружения антивирусными программами. Таким образом, одновременно может существовать до нескольких сотен образцов одного и того же опасного приложения, отличающихся только способом упаковки исполняемого файла. В результате банковский троян может проникнуть в операционную систему, если в вирусных базах пока еще отсутствует сигнатурная запись для какой-либо отдельной его модификации; перед выпуском (использованием) банковские троянцы тестируются на актуальных антивирусах, в связи с чем некоторое время после релиза не обнаруживаются ими. Этого времени достаточно для похищения денежных средств; разработка все более изощренных путей распространения вредоносных программ, в том числе с применением методов социальной инженерии, а также с использованием уязвимостей прикладного программного обеспечения (например, пакета уязвимостей BlackHole Exploit Kit различных версий). При отсутствии достаточных мер для обеспечения защиты компьютера, момент заражения может остаться для пользователя незамеченным; непринятие пользователями мер информационной безопасности. Использование банковских троянских программ позволяет преступникам: похищать сертификаты систем защищенного документооборота и паролей от программ с целью обеспечения несанкционированного доступа к банковским компьютерным системам (напр., система ДБО) и торговым платформам (напр., Trojan.Carberp, Trojan.PWS.Panda); осуществлять перевод денежных средств на счета, подконтрольные им через системы ДБО; похищать конфиденциальную информацию (напр., Trojan .РWS. SpySweep, Android. SpyEye); перехватывать данные нажатия клавиш или вводимые с использованием экранной клавиатуры, создание снимков экрана и т. п.; включать (встраивать) зараженные компьютеры в систему управления ботнета, координируемые из одного (или нескольких) командных центров (Trojan.Carberp); запускать и удалять различные программы на инфицированном компьютере (Trojan.Carberp, Trojan.PWS.SpySweep, Trojan.PWS.Panda); выполнять на инфицированном компьютере поступающие из удаленного центра команды, в том числе команды на удаление операционной системы. Банковские троянские программы обладают развитым вредоносным функционалом. Например, трояны семейства Trojan. Carberp имеют функционал по приему команд от управляющего центра, способны служить прокси-сервером, с помощью которого преступники могут анонимно работать в сети Интернет. Прокси-сервер (от англ. Proxy - «представитель, уполномоченный») - сервер (комплекс программ) в компьютерных сетях, позволяющий клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-сервер} и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэща - промежуточный буфер с быстрым доступом, содержащий информацию, которая может быть запрошена с наибольшей вероятностью (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Прокси-сервер позволяет защищать компьютер клиента от некоторых сетевых атак и помогает сохранять анонимность клиента Таким образом, банковские троянские программы на современном этапе обеспечивают преступникам возможности удаленно на компьютере жертвы осуществлять: встраивание в отображаемую в браузере веб-страницу постороннего содержимого, в частности, полей форм (веб-инжекты); похищение файлов cookies((от англ. Cookie - печенье) - небольшой фрагмент данных, отправленный веб-сервисом и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для: аутентификации пользователя; хранения персональных предпочтений и настроек пользователя; отслеживания состояния); установку в инфицированную систему поддельных цифровых сертификатов; запись нажатий пользователем клавиш; перехват и анализ сетевого трафика; создание и передачу снимков экрана; перехват и передачу изображения с подключенной к компьютеру веб-камеры; перехват и передачу аудиопотока с подключенного к компьютеру микрофона; перехват сохраненных в системе паролей; встраивание в процессы программ системы «Банк-Клиент» (Trojan.Carberp). При этом банковские троянские программы обладают функционалом маскировки от средств контроля и наблюдения, а именно: отслеживание запущенных в инфицируемой системе приложений-отладчиков, средств виртуализации, брандмауэров и антивирусных программ; завершения процессов антивирусных программ и брандмауэров ((межсетевой экран или сетевой экран) - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях в соответствии с заданными правилами); противодействие попыткам запуска процессов антивирусных программ в инфицированной системе; блокировка доступа пользователей к веб-сайтам компаний-производителей антивирусного программного обеспечения и сайтам, распространяющим обновления систем безопасности; шифрование вирусными упаковщиками. Вредоносные утилиты - вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы непосредственно компьютеру, на котором исполняются. Например, Constructor представляет собой программы, предназначенные для изготовления новых компьютерных вирусов, червей и троянских программ. Подобные программы позволяют генерировать исходные тексты вредоносных программ, объектные модули и непосредственно зараженные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вредоносной программы, наличие или отсутствие самошифровки, противодействие отладчику и т.п. HackTool - для организации атак на локальный или удаленный компьютер (например, несанкционированное пользователем внесение нелегального пользователя в список разрешенных посетителей системы; очистка системных журналов с целью сокрытия следов присутствия в системе; снифферы с выраженным вредоносным функционалом и т.д.). Hoax (вирусные мистификаторы) - для вывода сообщения о том, что якобы причинен вред компьютеру пользователя, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. Exploit - для использования одной или нескольких уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью. Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя. Широко известны также так называемые программы-Nuker, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу. VirTool - для модификации других вредоносных программ таким образом, чтобы они не детектировались антивирусным программным обеспечением. К программам, обеспечивающим функционирование вредоносных программ, можно отнести Rootkit, Backdoor и др. Так, Rootkit представляет собой программу, предназначенную для сокрытия в системе определенных объектов, либо активности. Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск вредоносных объектов), файлы, процессы в памяти зараженного компьютера, вредоносная сетевая активность. Сам по себе Rootkit ничего вредоносного не делает, но данный тип программ, в подавляющем большинстве случаев, используется вредоносными программами для увеличения собственного времени жизни в пораженных системах в силу затрудненного обнаружения. Backdoor - для скрытого удалённого управления пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Эти вредоносные программы позволяют производить штатные операции: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые преступниками. Новым орудием подготовки хищения денежных средств являются «прокси программы». Так, если в ходе стандартных фишинговых атак преступники вынуждены создавать реалистичную копию легитимного web-сайта, пользователей которого они намерены скомпрометировать, то специальная «прокси программа» позволяет ретранслировать трафик между web-сайтом и жертвой, а также управлять отображаемым контентом независимо от используемого устройства (персональный компьютер, ноутбук, смартфон, планшет) или браузера. Таким образом, пока потенциальная жертва лишь просматривает ресурс, она видит его оригинальное содержание. Как только осуществляет покупку, упомянутая «прокси программа» перенаправляет его на поддельную страницу, где и происходит компрометация конфиденциальных данных. Ботнет (бот-сети) - это сеть компьютеров, зараженных вредоносной программой, позволяющая преступным группировкам удаленно управлять зараженными компьютерными устройствами без ведома пользователя. Так, например, в 2011 году, была выявлена группа бот-сетей на основе троянской программы «Оригами». В середине года суммарное количество ботов в этих сетях превышало 2 500 ООО штук. К концу года сети были отключены владельцами, а боты из них переведены в сети на основе троянской программы «Карберп». В мае 2012 г. часть членов группы, работавшей с бот-сетями «Оригами», были задержаны сотрудниками УЭБиПК ГУ МВД России по г. Москве. В июне 2012 г. сотрудниками Управления «К» БСТМ МВД России был задержан владелец ряда крупнейших бот-сетей на основе вредоносной троянской программы «Карберп» различных модификаций. Общая сумма ботов в этих сетях на момент их отключения сотрудниками полиции превышала 5 500 000 штук. 95% из этих ботов находились на территории России. На более чем 20 000 из них были обнаружены средства или следы доступа к различным системам дистанционного банковского обслуживания или виртуальным счетам разных типов. «Проработкой» этих компьютеров занимались полтора десятка партнеров организатора. Поступление новых зараженных компьютеров в бот-сети обеспечивалось группой профессиональных продавцов «трафика», и в отдельные дни в сети поступало до 30 000 новых ботов, а ежедневные расходы на эти цели превышали 10-20 тысяч долларов США. В конце 2012 г. по сведениям сотрудников компании «Доктор Веб» другими преступными группами продолжали использоваться не менее двух сетей на основе троянской программы «Карберп», к каждой из которых было «привязано» более 1 000 000 зараженных компьютеров. Банковские бот-сети состоят из следующих элементов: вредоносная программа; панель управления бот-сетью; билдер для создания исполняемых файлов вредоносной программы с заданными настройками; связка эксплойтов, которая будет использоваться для установки вредоносной программы пользователям; трафик; арендованные серверы для установки различных панелей управления; доменные имена для настройки вредоносных программ; серверы-прокладки, которые будут использоваться для скрытия реального местонахождения сервера управления бот-сетью; крипт-шифрование вредоносной программы и связки для обхода средств обнаружения средств антивирусной защиты. Процесс создания бот-сети включает несколько этапов подготовки ее инфраструктуры. После разработки или покупки вредоносной программы у преступника могут быть следующие составляющие: панель управления и билдер76, либо вместо билдера сам экземпляр вредоносной программы. Если автор вредоносной программы не выдал покупателю билдер, то каждый раз, когда будет требоваться перенастройка вредоносной программы, покупатель будет вынужден обращаться к автору. При использовании троянской программы, будь она управляемой или неуправляемой, происходит взаимодействие с удаленным сервером. Управляемая троянская программа взаимодействует с сервером, на котором установлена панель управления, а неуправляемая - с сервером, на котором находится фишинговый сайт. Фишинговый сайт - сайт, который полностью или частично копирует дизайн другого сайта, с целью хищения конфиденциальных данных пользователя (логин, пароль, номер счета, почтовый адрес и т. д. Создают фишинговые сайты, например, для сайтов известных мобильных операторов (Мегафон, Билайн, МТС, Yota и др.), для банковских сайтов (Сбербанк, ВТБ24 и т. д.), для социальных сетей (ВКонтакте, Одноклассники и др.), для сайтов электронных денег (Яндекс.Деньги, WebMoney и т. д.), для известных порталов (РЖД, Apple, Avito) и другие варианты. Поэтапно процесс подготовки инфраструктуры может быть представлен следующим образом: 1 этап: покупка сервера под панель управления; 2 этап: покупка доменных имен; 3 этап: настройка серверов прокладок - это серверы, которые стоят перед серверами управления и используются для сокрытия их реальных IP-адресов; 4 этап: создание (сборка) троянской программы - преступник указывает в файле настроек вредоносной программы необходимые параметры; 5 этап: крипт троянской программы - после того, как исполняемый файл создан перед его распространением его необходимо зашифровать (сделать ее крипт). Преступники используют ботнеты (бот-сети) для решения следующих задач по подготовке и сокрытию фактов хищений денежных средств: загрузка и установка на инфицированный компьютер по команде с удаленного сервера других вредоносных программ; осуществление DDoS-атак (Distributed Denial-of-Service) на отдельные сайты и веб-сервисы. Сетевые атаки могут использоваться в целях вымогательства, давления на конкурентов, дискредитации перед потенциальными клиентами. удаленное управление инфицированными компьютерами, возможность хищения хранящихся на локальных дисках файлов; хищение конфиденциальной информации методом анализа трафика, осуществления веб-инжектов, похищения файлов cookies, кейлоггинга (перехвата нажатий клавиш), пересылки снимков экрана, иных методов (Win32.Rmnet.12, Win32. Rmnet.16); хищение информации для доступа к системам ДБО (Trojan.PWS.Panda, Trojan.Carberpj: перенаправление браузера пользователя на принадлежащие преступникам веб-страницы, в том числе для фишинга, загрузки на компьютер пользователя вредоносной программы с использованием уязвимостей; использование инфицированных компьютеров в качестве прокси-серверов для анонимизации доступа преступников в сети Интернет. С помощью инфицированного компьютера, преступники могут: установить на этом компьютере необходимую для себя программу (в том числе вредоносную); просматривать любые хранящиеся на компьютере файлы и совершать с ними различные действия; использовать данный компьютер в качестве промежуточного узла при работе в сети Интернет, а также совершать различные противоправные действия, в том числе хищения денежных средств с банковских счетов. В файлах журналов атакованных узлов при этом останется IP-адрес инфицированного компьютера; перехватывать пароли от различных приложений, FTP-клиентов, интернет-сервисов, служб электронной почты; получать снимки экрана и перехватывать изображение с подключенной к компьютеру веб-камеры; анализировать и перенаправлять сетевой трафик с различными целями. Перенаправление может происходить в зависимости от заданных условий и от введенных пользователем поисковых запросов; подменять открываемые в браузере веб-страницы, в том числе для получения несанкционированного доступа к системам ДБО; отдавать установленной на таком компьютере вредоносной программе различные команды; полностью уничтожить операционную систему компьютера. К типичным способам инфицирования (заражения) компьютеров относятся: саморепликации вредоносной программы - самостоятельное (без участия пользователя) копирование вредоносной программы на сменные носители и общедоступные ресурсы локальной сети с заражением исполняемых файлов, динамических библиотек и других типов файловых объектов. Подобным образом распространяются файловые вирусные программы, такие как Win32.Rmnet.16 или Win32.Rmnet.12; инфицирование компьютера другими вредоносными программами (Вackdoor.Andromeda. 22); инфицирование компьютера при посещении пользователем зараженных веб-сайтов и в момент просмотра веб-страниц, содержащих известные уязвимости браузеров или операционной CHCTeMbi(Backdoor.Flashback.39); инфицирование компьютера при открытии вложений в сообщения электронной почты, полученные в спам-рассылке; инфицирование компьютера при помощи методов социальной инженерии. Например, для просмотра размещенного на сайте видеоролика пользователю предлагается загрузить кодек или обновление, под видом которого распространяется вредоносная программа; инфицирование компьютера посредством специально «забытых» и заранее инфицированных электронных носителей информации (флешки и т. п.). Некоторые вредоносные программы могут использовать следующие методы противодействия их обнаружению: Антиотладка, при которой вредоносная программа определяет, не запущена ли она в виртуальной машине, не загружен ли на инфицируемом компьютере отладчик или антивирусная программа (например, методом перечисления запущенных процессов); руткит-технологии (специальные драйверы файловой системы), использование которых позволяет вредоносной программе скрыть присутствие своих компонентов на диске зараженного компьютера; заражение главной загрузочной записи (MBR), хранение компонентов за пределами таблиц разделов позволяет вредоносным программам инфицировать главную загрузочную запись (MBR) и сохранять свои компоненты в свободной области дискового пространства. Получив управление в процессе загрузки операционной системы, такая программа считывает хранящиеся за пределами файловых таблиц модули непосредственно в оперативную память инфицированного компьютера; исполнение в контексте других запущенных процессов (встраивание вредоносных программ в запущенные процессы и функционирование их «внутри» данных процессов); обфускация и криптование позволяет вредоностной программе сбить сигнатурный детект путем шифрования ее тела с использованием различных программных упаковщиков. Иногда насчитывается до нескольких сотен зашифрованных различными упаковщиками модификаций одной и той же вредоносной программы. организация шифрованного виртуального диска (BackDoor.Tdss); блокировка и обход файерволов обеспечивает беспрепятственное получение управляющих сообщений, в том числе использование протокола SOCKS для получения доступа к сервисам; постоянное изменение реальных адресов управляющего сервера, генерация доменных имен по псевдослучайному принципу, благодаря этому все ботнеты одновременно формируют один и тот же перечень имен и обращаются к ним. Методы перехвата информации с использованием вредоносных программ: перехват нажатий клавиш и получение скриншотов в реальном времени - для перехвата ввода с виртуальной клавиатуры; получение скриншота в области экрана, где была нажата левая кнопка мыши, после захода на нужный URL; анализ трафика и перехват интересующих данных; получение любых импортируемых сертификатов, или использованных при удачной авторизации логинов/паролей; перехват HTTP/HTTPS запросов; анализ и подмена страниц, используемых для ввода банковской информации. Кража TAN-кода (кода активации для проведения платежной операции); анализ передаваемых (POST) на определенные адреса данных; получение данных из буфера обмена; поиск интересующих файлов и данных с дальнейшим их удалением или закачкой на удаленный сервер; анализ файлов cookie (данных, связанных с определенным вебсервером и хранимых на компьютере) и данных сохраненных форм; веб-инжекты (встраивание в веб-страницы постороннего кода); сбор и отправка на удаленный сервер информации о программно-аппаратной конфигурации компьютера. Способы хищения денежных средств, совершаемых с использованием компьютерных технологий Значение способа хищений рассматриваемого вида исключительно велико. Как было отмечено, способ хищений детерминирован предметом преступного посягательства, а точнее его формой (безналичные денежные средства), доступ к которой обеспечивается автоматизированной информационной системой кредитной организации. Давая общую характеристику способам хищений денежных средств, совершаемых с использованием компьютерных технологий, следует отметить, что они представляют собой систему целенаправленных взаимосвязанных действий (операций), направленных на подготовку, совершение и сокрытие преступления данного вида. В зависимости от разновидности хищений денежных средств, совершаемых с использованием компьютерных технологий, различаются способы их подготовки, совершения и сокрытия. Способами подготовки рассматриваемого вида хищений могут быть: уничтожение компьютерной информации; блокирование компьютерной информации; создание компьютерных программ; модификация компьютерных программ; неправомерный доступ к компьютерной информации; использование компьютерных программ либо иной компьютерной информации, в том числе заведомо предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации; нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшие уничтожение, блокирование, модификацию либо копирование компьютерной информации; аппаратная модификация - модификация устройств для их использования в неправомерном получении конфиденциальной компьютерной информации (модификация мобильных телефонов, кредитных карточек, POS-терминалов, банкоматов, систем спутниковой связи, кассовых аппаратов и т. п.). Отметим, что дифференциация способов подготовки хищений денежных средств, совершаемых с использованием компьютерных технологий, является условной, так как нередко реализация одного способа напрямую связана с реализацией другого. С учетом данного обстоятельства рассмотрим некоторые из перечисленных способов подготовки таких хищений. Характеризуя способы неправомерного доступа к компьютерной информации (банковским счетам или системам управления банковскими счетами), как способы подготовки хищения денежных средств, совершаемых с использованием компьютерных технологий, отметим, что в большинстве случаев программное обеспечение любой системы, функционирующей в компьютерных устройствах, состоит из трех основных компонентов: операционной системы (ОС), сетевого программного обеспечения (СПО) и системы управления базами данных (СУБД). В зависимости от этого исследователи выделяют три соответствующих вида метода неправомерного (несанкционированного) доступа (НСД): на уровне операционной системы; на уровне сетевого программного обеспечения; на уровне систем управления базами данных. Также возможен и комбинированный способ НСД. В криминалистической литературе можно обнаружить следующие три способа НСД: непосредственный, опосредованный и смешанный. Первая группа - это способы непосредственного доступа к такой информации, осуществляемые пользователем компьютера (например, работник индивидуального предпринимателя (бухгалтер), кредитной организации или иного юридического лица), а также иными лицами (например, сослуживцы пользователя компьютером и т. п.). В последнем случае способ доступа к компьютерной информации связан, в том числе, с использованием технических отходов информационного процесса, оставленных пользователем после работы с компьютером. Такие отходы могут быть получены путем обследования рабочих мест пользователей компьютерами, подключенными к автоматизированной банковский информационной системе, содержимого мусорных баков, емкостей для технологических отходов для сбора оставленных или выброшенных физических носителей информации, а также обследования различной документации, оставленной на рабочих и в иных местах (ежедневников, книг рабочих записей, перекидных календарей и т. п.) в целях поиска черновых записей, паролей доступа в систему и т. п., а также путем просмотра и последующего исследования данных, находящихся в памяти компьютера, в том числе с использованием специальных программных комплексов восстановления стертых файлов (напр., программный комплекс PC Tools Deluxe). Отметим, что использование технических отходов информационного процесса не является типичным для способов неправомерного доступа компьютерной информации, как способов подготовки хищения денежных средств, совершаемых с использованием компьютерных технологий. Вторая группа - способы опосредованного (удаленного) доступа к компьютерной информации. В данном случае неправомерный доступ к определенному компьютеру и находящейся на нем информации осуществляется с другого компьютера, находящегося на определенном расстоянии, через компьютерные сети. Способы опосредованного доступа к компьютерной информации, в свою очередь, можно разделить на две подгруппы: способы преодоления парольной, а также иной программной или технической защиты, и последующего подключения к чужой системе; способы перехвата информации. Преодоление парольной, а также иной программной или технической защиты, и последующее подключение к чужой системе, преступниками осуществляется путем подключения к линии связи законного пользователя (например, к телефонной линии) и получения тем самым доступа к его системе. Подключившись, преступник дожидается сигнала, означающего окончание работы, перехватывает его «на себя», а потом, когда законный пользователь закончил сеанс работы, осуществляет доступ к его системе. Данный способ сравним с работой двух параллельных телефонных аппаратов, подключенных к одному абонентскому номеру: если один телефон находится в активном режиме (ведется разговор с абонентом) и на другом аппарате поднимается трубка, то когда разговор по первому телефону закончен и трубка положена, он может быть продолжен по второму. Проникновение в чужие информационные сети путем автоматического перебора абонентских номеров с последующим соединением с тем или иным компьютером (перебор осуществляется до тех пор, пока на другом конце линии не «отзовется» чужой компьютер). Поскольку в подобном случае один несанкционированный пользователь может быть легко обнаружен, подобный «электронный взлом» осуществляется одновременно с нескольких рабочих мест: в заданное время несколько (более десяти) персональных компьютеров одновременно предпринимают попытку несанкционированного доступа. Это может привести к тому, что несколько «атакующих» компьютеров отсекаются системой защиты, а остальные получают требуемый доступ. Один из «прорвавшихся» компьютеров блокирует систему статистики сети, которая фиксирует все попытки доступа. В результате этого другие «прорвавшиеся» компьютеры не могут быть обнаружены и зафиксированы. Часть из них приступает к «взлому» нужного сектора сети, а остальные занимаются фиктивными операциями в целях дезорганизации работы компьютерной системы и сокрытия преступления. Проникновение в компьютерную систему с использованием чужих паролей, выдавая себя за законного пользователя. При подобном способе незаконный пользователь осуществляет подбор пароля для доступа к чужому компьютеру. Подбор паролей может осуществляться двумя методами. Первый: подбор паролей путем простого перебора всех возможных сочетаний символов до тех пор, пока не будет установлена нужная комбинация. Для реализации такого подбора существуют уже специально разработанные программы, которые можно приобрести на «черном» компьютерном рынке. Алгоритм их действия основан на использовании быстродействия современных компьютеров при переборе всех возможных комбинаций букв, цифр и автоматического соединения специальных символов, имеющихся на стандартной клавиатуре персонального компьютера, и в случае совпадения комбинации символов с оригиналом произведения. Второй: «интеллектуальный» подбор паролей на основе имеющихся «словарей» наиболее распространенных паролей, систематизированных по определенным тематическим группам. При этом наиболее распространенными тематическими группами паролей являются следующие: имена, фамилии и производные от них; последовательность клавиш компьютера, повтор символов; даты рождения пользователя и его близких, а также их комбинации; интересы, хобби (9,5 %); адрес, место рождения; номера телефонов или документов: паспортов, удостоверений личности и пр. Подобрав необходимый пароль (для подбора восьмизначного пароля требуется несколько часов), незаконный пользователь получает доступ к компьютерной информации и может проводить с ней любые действия под видом законного пользователя: копировать ее, модифицировать, удалять, заставлять программы производить требуемые операции, например, по переводу денежных средств на свои счета, фальсификации платежных документов и пр. Разновидностью способа получения пароля для последующего незаконного вхождения в компьютерную систему является так называемый социальный инжиниринг («обратный социальный инжиниринг»). Это метод основан на недостаточной бдительности пользователей, когда информация получается в процессе беседы (телефонной, посредством обмена электронными сообщениями) преступников с пользователями системы. При этом способе правонарушитель представляется либо системным администратором, либо сотрудником обслуживающей компьютерной фирмы, либо сотрудником, вновь поступившим на работу, и запрашивает у собеседника данные о паролях доступа к системе. Данный способ широко применяется для получения данных (имя, пароль) в целях подключения к компьютерной сети Интернет за счет законных пользователей. Ко второй подгруппе относятся способы опосредованного (удаленного) доступа к компьютерной информации (электромагнитный и другие виды перехвата). Непосредственный перехват осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного «подслушивания» являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи. Электромагнитный перехват. Современные технические средства позволяют получить информацию без непосредственного подключения к компьютерной системе: за счет перехвата излучений центрального процессора, дисплея, коммуникационных каналов, принтера и т. д. Все это можно осуществить, находясь на достаточном удалении от объекта перехвата. Например, используя специальную аппаратуру, можно «снимать» информацию с компьютера, расположенного в соседнем помещении, здании. К методам перехвата информации относится также аудиоперехват и видеооптический перехват. Аудиоперехват, или снятие информации по вибро-акустическому каналу, имеет две разновидности: заходовую (заносную) и беззаходовую. Третью группу способов подготовки совершения рассматриваемых хищений составляют смешанные способы, которые могут осуществляться как путем непосредственного, так и опосредованного (удаленного) доступа. К числу таких способов относятся тайное введение в чужую программу таких команд, которые помогают ей осуществить новые, незапланированные разработчиком функции при одновременном сохранении прежней ее работоспособности. Данный способ может иметь две разновидности. В первом случае программные модули-фрагменты, которые создают троянскую программу, то есть незапланированное разработчиком программное обеспечение, самоликвидируются по окончании исполнения своей задачи. Найти после этого данные программные модули практически невозможно. Во втором случае в алгоритм программы, наряду с ее основными функциями, закладывается алгоритм действий, осуществляющих саморазмножение, автоматическое самовоспроизводство указанной троянской программы. В результате подобные «программы-черви» автоматически копируют себя в памяти одного или нескольких компьютеров (при наличии компьютерной сети). Модификация программ путем тайного встраивания в программу набора команд, которые должны сработать при определенных условиях через определенное время. Например, как только программа незаконно перечислит денежные средства на банковский счет, подконтрольный преступнику, она самоуничтожится и при этом уничтожит всю информацию о проделанной операции. Осуществление доступа к базам данных и файлам законного пользователя путем нахождения слабых мест в системах защиты. При их обнаружении появляется возможность читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости. Использование ошибок в логике построения программы и обнаружение «брешей». При этом программа «разрывается» и в нее вводится необходимое число определенных команд, которые помогают ей осуществлять новые, незапланированные функции при одновременном сохранении прежней ее работоспособности. Именно таким образом можно переводить деньги на банковский счет, подконтрольный преступнику. В последние годы наиболее распространенным смешанным способом доступа к компьютерной информации как способом подготовки к хищению денежных средств, совершаемых с использованием компьютерных технологий, является направление на электронную почту потерпевшего различных писем. Так, на электронную почту коммерческих организаций, индивидуальных предпринимателей направляются преступниками письма с вложенными файлами якобы от имени налоговых и иных контролирующих органов, контрагентов и партнеров. В то же время на электронную почту работников коммерческого банка могут быть направлены сообщения с вложенными файлами якобы от Банка России. Сущность данного способа неправомерного доступа к компьютерной информации заключается в компьютерной атаке типа Man-in-the-Middle, направленной на кражу информации, перехват текущей сессии и получение доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях. Данные атаки возможны при наличии у преступника доступа к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак данного типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Для примера можно привести сетевую атаку, состоявшуюся 15-16 марта 2016 г. В ночь с 14 на 15 марта 2016 г. преступники при помощи доменного регистратора REG.ru зарегистрировали два домена (fincert.net и view-atdmt.com). Физически IP-адрес 31.184.234.204 сервера, на котором был размещен домен, находился на хостинге в Санкт-Петербурге. Около 12 ч. 15 марта с адреса info@fincert.net преступники разослали письма банковским работникам, многие их которых не обратили внимание на тоА что вместо настоящего адреса, с которого Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) присылает письма (fincert@cbr.ru), письмо пришло совсем с другого. Письма рассылались с адреса info@fincert.net (IP: 194.58.90.56), в то время как настоящий адрес FinCERT - fincert@cbr.ru. Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) - структурное подразделение главного управления безопасности и защиты информации Банка России (ГУБиЗИ). FinCERT осуществляет сбор информации от финансовых учреждений о кибератаках, анализирует полученные сведения и дает обратную связь кредитно-финансовым организациям о возможных угрозах информационной безопасности, разрабатывает рекомендации по отражению хакерских атак. Отметим, что преступники хорошо были осведомлены об именах и фамилиях работников коммерческих банков, которым направили письма (очевидно, имея доступ к специальной базе, возможно составленной из материалов отраслевых конференций или каких-то служебных документов ряда банков), в названии файла-вложения использован цифровой код «20160314 - 001» - именно такой код использует FinCERT для уведомлений об атаках, а сам скачиваемый, после открытия файла-вложения (DOC-файла) при помощи макрос (вредоносная программа), файл fincert.cab был подписан легальным цифровым сертификатом московской транспортной компании «СПЕК-2000». Макрос (от англ. macros, ед. ч. — macro) — программный объект, при обработке «развёртывающийся» в последовательность действий и/или команд. Данные обстоятельства, с учетом убедительного доменного имя (fincert.net), удачного времени рассылки письма (предобеденное или обеденное время), свидетельствуют о хорошей (квалифицированной) подготовке преступников (наличия баз данных с персональными данными работников коммерческих организаций и т. п.). В вежливой форме (назвав получателя по имени и отчеству), преступники предлагали скачать DOC-файл из вложения к письму, в котором якобы находится «важная информация касательно компрометации банковских систем». Несмотря на внимательность и вежливость, преступники только один раз из трех смогли правильно написать слово «компрометация» — в оставшихся двух всплывала явно лишняя буква «н». Между тем в файле находилась инструкция для запуска встроенного в него же VBA макроса «NewMacros», исполнение которого как раз и приводило к компрометации банковских систем. При запуске макроса происходит попытка соединения с удаленным ресурсом http://view-atdmt[.]com для загрузки оттуда файла fincert.cab (MD5 8ac7alfb84357ed82cf99e53d9d89dal). Файл размером 3 252 624 байта представляет собой самораспаковывающийся NSIS архив. При этом файл подписан легальной цифровой подписью московской компании «СПЕК-2000». Подпись валидна, и файл был ею подписан 15 - 02 сЗ 01 £2 63 11 сб се f5 02 9b 69 92 f7 3f ae) был создан в декабре 2015 года и содержит все реальные данные об этой компании. После загрузки файла в систему8 и его запуска происходит автоматическая распаковка содержащихся в нем приложений. В результате работы файлы устанавливаются в C:\Documents and Settings\{user name}\AppData\Roaming\Microsoft\MTM. Устанавливаемые файлы составляют набор удаленного администрирования на базе LiteManager 3.4. Затем приложение запускается с ключом /HIDETRAY, который используется для сокрытия его присутствия в системе: C:\Documents and Settings\ |
Похожие:
 | Настоящие методические рекомендации разработаны в целях оперативной организации эффективного взаимодействия и принятия процессуальных... | | В целях оперативной организации и эффективного проведения проверок и принятия процессуальных решений по фактам совершения хищения... |
| Р 60 Использование компьютерных технологий в деятельности следователя / Под ред проф. Б. П. Смагоринского. – Волгоград: ва мвд россии,... | | В целях оперативной организации эффективного взаимодействия и принятия процессуальных решений по фактам совершения хищения денежных... |
| В целях оперативной организации эффективного взаимодействия и принятия процессуальных решений по фактам совершения хищения денежных... | | Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания,... |
 | Сравнение «Отчета о движении денежных средств» по российским и международным стандартам | | Первичный учет денежных средств в кассе организации 2 Синтетический и аналитический учет денежных средств и денежных документов в... |
| Дке осуществления структурными подразделениями гу мвд россии по Ростовской области, федеральными казенными учреждениями гу мвд россии... | | Недостаточность денежных средств на счете в кредитной организации и применение очередности списания денежных средств со счета |