Особенности киберпреступлений в России: инструменты нападения и защиты информации (Масалков) - страница 44
Максимум, на что хватало следственных органов, — это установить города, в которых были в итоге обналичены похищенные мошенническим путем денежные средства.
Возбужденное дело, как правило, пылилось в сейфе, приостановленное, а руководитель организации и учредители подозревали друг друга и своих сотрудников, потому как установить истинные причины происшествия не удавалось.
В действительности что мог предположить генеральный директор? Единственными подтвержденными данными в деле были данные, полученные из банка: выписки по движению денежных средств и журналы транзакций, указывающие на то, что все действия проводились исключительно с использованием того самого компьютера, установленного в определенном кабинете организации. Часто такие инциденты заканчивались увольнениями сотрудников и без возможности как-либо компенсировать причиненный организации ущерб.
С недавних пор, при условии своевременного проведения исследования компьютерного оборудования в рамках доследственной проверки (до передачи материалов в органы следствия для решения вопроса о возбуждении уголовного дела), инциденты компьютерного мошенничества стали верно квалифицироваться по ст. 159.6 УК РФ[34] и достаточно эффективно расследоваться.
Такие преступления, как хищение денежных средств путем модификации компьютерной информации и несанкционированного доступа, имеют сложный алгоритм расследования и должны на всем протяжении сопровождаться квалифицированными специалистами. Тогда и у следственных органов будет больше желания работать, и у потерпевших есть надежда на возмещение ущерба. К этому еще вернемся в последующих частях.
А сейчас вернемся к инциденту. С целью установления истинных причин и обстоятельств произошедшего компьютеры потерпевшей организации, в том числе используемые в бухгалтерии, были направлены для изучения специалистам.
В результате анализа файловой системы носителя компьютерной информации была обнаружена информация об операциях по удалению некоторых директорий и файлов (см. рис. 2.3)[35].
Рис. 2.3.Информация об удаленных файлах
По этой первичной информации уже видно, что лицом (или лицами), осуществившим неправомерные действия, были предприняты попытки скрыть некоторые следы своей деятельности на компьютере.
Злоумышленики с целью максимального замедления реакции на хищение денежных средств практически всегда выводят из строя программное обеспечение, удаляя отдельные файлы и директории или форматируя загрузочные секторы носителей информации.
В тех организациях, где инцидентам информационной безопасности уделяется незаслуженно мало внимания, такие «поломки» исправляют в течение нескольких дней системные администраторы или приглашенные специалисты. В качестве мер реагирования часто применяется переустановка программного обеспечения — от операционной системы до прикладных программ.