Возможности деанонимизации лиц, совершающих мошенничество с применением спуффинг-атак

Информатизация общества как глобальное явление определяет новый эволюционный процесс социальной и экономической сфер. Созданная современная информационная среда «обитания» человека является важным фактором мирового экономического развития.

Безусловно, достижения научно-технического процесса облегчают нашу жизнь, позволяют дистанционно выполнять различные действия, расширяют границы общения. Однако такой глобальный процесс цифровизации имеет и негативные последствия. Появились новые виды преступления в сфере компьютерной информации. Более того, все больше информационнотелекоммуникационные технологии внедряются в механизм совершения, уже ставших «традиционными», преступлений.

Так, в 2019 г. из всего зарегистрированных 2 млн 24 тыс. 337 преступлений 294 тыс. 409 составляют преступления, совершенные с использованием информационно-телекоммуникационных технологий, из них подавляющее большинство, 119 тыс. 903 преступлений — мошенничества, 98 тыс. 798 — кражи, незаконное производство, сбыт или пересылка наркотических средств, психотропных веществ или их аналогов, а также незаконные сбыт или пересылка растений, содержащих наркотические средства или психотропные вещества, либо их частей, содержащих наркотические средства или психотропные вещества ст. 228.1 Уголовного кодекса Российской Федерации (далее — УК РФ) — 24 тыс. 677 преступлений, а преступления в сфере компьютерной информации (глава 28 УК РФ) составляют лишь 2 тыс. 883 преступления. Подобная картина наблюдается и в 2020 г. Из всего зарегистрированных 510 тыс. 396 преступлений, совершенных с использованием информационно-телекоммуникационных технологий, 4 тыс. 498 преступлений в сфере компьютерной информации, 173 тыс. 416 — краж, 210 тыс. 493 — мошенничеств. За январь — октябрь 2021 г. зарегистрировано 454 тыс. 554 преступлений, совершенных с использованием информационнотелекоммуникационных технологий, из них 195 тыс. 678 — мошенничества, 136 тыс. 237 — кражи, 49 тыс. 259 — незаконное производство, сбыт или пересылка наркотических средств, психотропных веществ или их аналогов, а также незаконные сбыт или пересылка растений, содержащих наркотические средства или психотропные вещества, либо их частей, содержащих наркотические средства или психотропные вещества ст. 228.1 УК РФ1.

«Реакция» законодателя на происходящие изменения в структуре современной преступности отражается в закрепленных квалифицирующих признаках в соответствующих уголовно-правовых нормах, характеризующих совершенное преступление с использованием средств массовой информации либо электронных или информационнотелекоммуникационных сетей (включая сеть Интернет).

Значительный рост такого вида преступности определяет необходимость повышенного внимания научного сообщества и делает практически и теоретически востребованными исследования, касающиеся преступлений, совершенных с использованием информационнотелекоммуникационных технологий.

Такая потребность определяет развитие науки. Так, ученые в области уголовного права постоянно проводят анализ конструкций норм, предлагая варианты их совершенствования [1], процессуалисты пытаются выработать порядок закрепления цифровой информации в качестве доказательств [2; 3]. Криминалисты же, объединяя подобные преступления в группу «компьютерных преступлений», связывая их по способу [4, с. 192], пытаются сформировать частную методику расследования подобных преступлений, которая требует совершенно новых подходов [5].

Большой вклад в развитие теории информационнокомпьютерного обеспечения криминалистической деятельности внесли Ю. В. Говрилин [6], Е. Р. Россинская [7], Е. П. Ищенко [8; 9], А. Н. Яковлев [10; 11; 12], В. Б. Вехов [13; 14], В. А. Мещеряков [15], А. Б. Смушкин [16—18], Д. А. Степаненко [19; 20] и ряд других ученых [21; 22]. Выработанные учения о способах компьютерных преступлений (правонарушений), о цифровых следах как источниках криминалистически значимой компьютерной информации, о криминалистическом исследовании компьютерных средств и систем, вхо- дящие в структуру разрабатываемой теории прошли «фильтр» жестких требований при формировании и признании, что безусловно влияет на время «вызревания» нового знания.

Развитие положений теории информационно-компьютерного обеспечения правоприменительной деятельности и её отдельных учений определяют её практическую значимость, расширяя представление об алгоритме             действий по выявлению лиц, совершающих преступления с использованием информационнотелекоммуникационных технологий, а также о расследовании преступлений в рассматриваемой сфере.

Из приведенных, ранее данных наглядно видно, что в структуре «компьютерных преступлений» лидирует мошенничество, раскрываемость которого за три последних года не превышает 10 %. Столь низкий уровень раскрываемости связан, преимущественно со специфичностью способа совершения такого мошенничества и соответственно механизма следообразования. Очевидно, что в этой ситуации возникает острая необходимость использовать, наряду с «традиционными»      методами и средствами, поиска, фиксации, изъятия следов, новые информационнотехнологические инструменты обнаружения фиксации и изъятия криминалистически значимой информации.

В этой связи совершенно оправдана в научном мире позиция о ключевом положении способа преступления в структуре криминалистической характеристики преступлений и его высокой практической значимости.

Учение о способе преступления, вновь получив необходимость глубокой теоретической проработки, привлекло внимание научного сообщества. Результатом таких исследований явилось сформированное учение о способах компьютерных преступлений, основное положение которого говорит об общности способов компьютерных преступлений, направленных преимущественно на анонимизацию личности преступников [5, с. 88].

Не вступая в научную дискуссию о теоретическом содержании учения о способе компьютерных преступлений предлагаем рассмотреть его применительно к одному из видов мошенничеств.

Одним из мошенничеств, где хищение, совершенное с традиционной формой обмана и (или) злоупотребления доверием, имеет специфику, является мошенничество с применением спуфинг-атак (от анг. spoofing — подмена).

В контексте сетевой безопасности spoofing attack, это ситуация, в которой один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества. Применяя E-mail spoofing, информацию об отправителе, показанную в электронной почте (поле «От»), можно легко подделать. Этот метод обычно используется спамерами, чтобы скрыть происхождение своей электронной почты и приводит к таким проблемам, как возвращенные письма (т. е. спама в электронной почте обратного рассеивания).

В спуфинге подмену адреса электронной почты выполняют, используя обычную электронную почту. При этом пока набор символов соответствует протоколу SMTP (от анг. Simple Mail Transfer Protocol — протокол передачи почты) сообщение будет отправлено. Это может быть сделано через использование почтового сервера с Telnet1.

В этой связи возникает необходимость указать, что электронное письмо состоит из следующих частей:

• 1.    Заголовок SMTP-протокола, полученных сервером. Эти заголовки могут включаться, а могут и не включаться в «тело» письма, что в дальнейшем может определить возникновение ситуации, когда сервер обладает большей информацией о письме, чем содержится в самом письме. Так, например, поле «RCPT TO» указывает получателя письма, при этом в самом письме получатель может быть не указан.

• 2.    Само письмо (в терминологии протокола SMTP — «DATA»), которое, в свою очередь, состоит из следующих частей, разделённых пустой строкой:

Эта информация передаётся за пределы сервера только в рамках протокола SMTP, и смена протокола при доставке почты (например, на узле-получателе в ходе внутренней маршрутизации) может приводить к потере этой информации. В большинстве случаев эта информация недоступна конечному получателю, который использует не-SMTP протоколы (POP3, IMAP) для доступа к почтовому ящику. Для возможности контролировать работоспособность системы эта информация обычно сохраняется в журналах почтовых серверов некоторое время.

• а)    заголовок письма, иногда

называемых по аналогии с бумажной почтой конвертом (англ. envelope). В заголовке указывается служебная информация и пометки почтовых серверов, через которые прошло письмо, пометки о приоритете, указание на адрес и имя отправителя и получателя письма, тема письма и другая информация;

• б)    «тело» письма. В «теле» письма находится, собственно, текст письма. Согласно стандарту, в «теле» письма могут находиться только символы ASCII. Поэтому при использовании национальных кодировок или различных форм представления информации (HTML, RTF, бинарные файлы) текст письма должен кодироваться по стандарту MIME и не может быть прочитан человеком без использования декодера или почтового клиента с таким декодером 2 .

Изучая структуру заголовка электронного письма, следует отразить наличие следующих полей:

From (От кого) — имя и адрес электронной почты отправителя. По умолчанию в это поле автоматически вносится личный почтовый адрес отправителя;

Sender — автор или система отправителя сообщения (обычно аналогично полю From);

To (Кому) — имя и электронный адрес получателя. Обязательное для заполнения поле;

Subject (Тема) — необязатель-

• ²    Структура электронного письма [Электронный       ресурс]. —       URL:

esena/home/1-obsaa-harakteristika-elektronnoj-pocty/2-struktura-elektronnogo-pisma(дата обращения: 01.10.2021).

ное, но желательное для заполнения поле. Содержит сведения отправителя о содержании письма или иные данные. В теме пришедшего ответа на письмо добавляется символ Re (сокращение от англ. reply). Удобно для ориентации в получаемых и хранящихся в архиве письмах;

Cc (Копия, англ. CarbonCopy) — адреса других абонентов, получающих копии сообщения. В это, необязательное для заполнения поле можно занести электронные адреса людей, которым направляют копии письма;

Date — дата отправления сообщения;

Reply-to — электронные адреса, на которые отправляется ответ (они могут отличаться от адреса отправителя);

Recived — различные интер-нет-серверы, пересылавшие сообщение от отправителя к получателю;

Content-type — формат составления передаваемого сообщения и возможные приложения к нему;

Content-Transfer-Encoding — способ передачи данных (7—8битовое сообщение и др.);

Message-ID — номер идентификации сообщения;

X-mailer — программа передачи сообщений по электронной почте.

Имея         представление

В письме прилагается QR-код для оплаты, изображение квитанции с PDF-копией, а также ссылка на сайт энергосбытовой          компании с пометкой «Для оплаты пройдите на сайт компании и заполните форму для оплаты». Перейдя по ссылке, гражданин попадает на сайт, но не энергосбытовой компании, а на сайт-двойник, созданный мошенниками, заполняет форму оплаты и осуществляя ее переводит денежные средства мошенникам.

В представленной ситуации преступники действуют следующим образом.

Для того чтобы подменить значение поля From в заголовке электронного письма, есть три простых способа:

В этом случае алгоритм использования прост. Требуется лишь ввести адрес электронной почты получателя в поле «Кому», поместить любой желаемый адрес электронной почты в поле «От» и после создания сообщения подтвердить отправку. По условия пользовательского соглашения ответственность за ущерб полностью лежит на клиентах сервиса.

И в-третьих — используя PHP (скриптовый язык программирования общего назначения, интенсивно применяемый для разработки вебприложений), возможно создать электронное письмо с помощью нескольких строчек кода:

$subject = 'the subject';

$message = 'hello';

$headers = array(

'Reply-To'     => 'webmas-

'X-Mailer' => 'PHP/' . phpversion()

);

mail($to, $subject, $message, $hea ders);

?>

Фактически это строки кода, используемые в качестве примера в онлайн-руководстве для функции отправки почты ma il с дополнительными заголовками¹.

Однако, несмотря на предпринятые попытки анонимизации адреса отправителя электронного сообщения, правоохранительные органы имеют           информационно технологические инструменты установления данных отправителя.

В процессе          отправки и получения письма, помимо устройств отправителя и получателя, принимают участие еще как минимум два почтовых сервера, и они дополняют его массой информации.

Возьмем, например, популярный в России почтовый сервис Mail.ru. Для того чтобы увидеть информацию, добавляемую почтовыми серверами, необходимо нажать на кнопку «Еще» верхней командной строки. Затем в выпадающем меню выбрать пункт «Служебные заголовки». После чего в отдельном окне откроется та самая служебная информация, которую добавляют к любому электронному письму почтовые серверы. Среди прочего там будет следующее содержание:

Delivered-To:              exam-

Fri, 2 Jul 2021 01:37:21 -0700 (PDT)

Subject: Квитанция об оплате

В описываемой ситуации интересу представляет значение параметра Received, а именно IP-адрес истинного отправителя письма.

Рассмотрим дальнейшие возможные варианты развития события:

• 1)    IP-адрес оказался российским. В этом случае необходимо направить запрос провайдеру, который предоставить информацию об абоненте, использовавшем данный IP;

• 2)    IP-адрес принадлежит, иностранному государству, например, Новой Зеландии. В этом случае правоохранительным органам нужно делать официальный запрос хостингу, который выдавал этот IP-адрес.

В правоприменительной деятельности, как правило, такие запросы не приносят результатов, однако, если предположить, что мошенники проживают в России и воспользовались сервисом VPN или proxy из Новой Зеландии, то необходимо воспользоваться возможностями СОРМ. СОРМ (сокр. от «система технических средств для обеспечения функций оперативно-розыскных мероприятий») — комплекс технических средств и мер, предназначенных для проведения оперативнорозыскных мероприятий в сетях телефонной, подвижной и беспроводной связи и радиосвязи (согласно Закону «О связи» и приказу Министерства связи № 2339 от 9 августа 2000 г. возможно направить запрос в СОРМ, кто из абонентов подключался к полученному IP-адресу в период времени, указанный в служебной информации электронного письма, в описываемом случае около Fri, 2 Jul 2021 01:37:21. В результате СОРМ может выдать перечень лиц, но вряд ли он будет большой, которые подключались к указанному IP-адресу, используя достаточно популярные VPN или proxy-сервисы. Далее, чтобы определить кто именно из представленного списка СОРМ злоумышленник, поможет оперативная работа. Дальнейшая деятельность должна быть направлена на закрепление полученной информации в качестве доказательств. Вопросы закрепления доказательственного значения цифровой информации являются насущными и требующими должной теоретической проработки.

Таким образом, несмотря на осуществляемые преступниками методы информационного-технического противодействия расследованию преступлений, правоохранительные органы стараются применять современные методы и средства его преодоления, несмотря на то, что частная теория информационно-технологического обеспечения криминалистической деятельности только формируется. Однако вопрос о недостаточном уровне профессиональных знаний сотрудников правоохранительных органов в рассматриваемом направлении остается открытым.