Наведение справок представляет собой направление запроса определенному предприятию, в учреждение и организацию, другому юридическому или физическому лицу и получение ответа на него либо непосредственное ознакомление оперативника (агента и др.) с содержанием материального носителя информации (документа), имеющей значение для решения задач оперативно-розыскной деятельности [464].
С помощью наведения справок в основном истребуется информация о персональных данных пользователя абонентского номера телефонной связи и IP-адреса абонента интернет-услуг, пользователя социальной сети или мессенджера, о банковских счетах физических и юридических лиц и движении денежных средств по ним, иногда — сведения о телефонных соединениях абонента и пользовательской активности в социальной сети, мессенджере и т. п.
Снятие информации с технических каналов связи — это оперативно-разыскное мероприятие, осуществляемое на основании судебного решения с использованием специальных технических средств и направленное на негласный контроль и фиксацию открытой информации, передаваемой разрабатываемыми лицами по техническим каналам связи (информационно-телекоммуникационные сети и т. п., исключая телефонную и телеграфную сети), имеющей значение для решения задач оперативно-розыскной деятельности [465].
Получение компьютерной информации — это оперативно-розыскное мероприятие, осуществляемое на основании судебного решения с использованием специальных технических средств и направленное на поиск и получение сведений, имеющихся на машинном носителе средства вычислительной техники, в его системе или информационно-телекоммуникационной сети, имеющих значение для решения задач оперативно-розыскной деятельности.
С использованием двух последних оперативно-розыскных мероприятий, как правило, осуществляется поиск, обнаружение, фиксация и изъятие цифровых следов и иной информации, отражающих активность пользователя интернет-сервисов, социальных сетей, мессенджеров и т. п. в процессе совершения преступной деятельности и по ее завершении. Представляется, что исходя из приведенных определений для работы с цифровыми следами по уже совершенному преступлению должно применяться получение компьютерной информации, по подготавливаемому и совершаемому — снятие информации с технических каналов связи.
Относительно следственных действий, производимых по каждому из уголовных дел о таких деяниях и направленных на установление подлежащих доказыванию обстоятельств, прежде всего отметим допросы. По девяти из 10 дел проводился осмотр места происшествия и изъятых предметов, по восьми из 10 — судебные экспертизы, по половине — осмотр документов, по трети — проверка показаний на месте и выемка, по каждому 10-му — осмотр компьютера, обыск и получение сведений о соединениях абонентов и/или абонентских устройств. По редким уголовным делам производились: очная ставка, освидетельствование, следственный эксперимент, получение заключения специалиста, допросы экспертов и специалистов.
Основу доказывания по уголовным делам о киберпреступлениях, как мы уже отметили, составляют цифровые следы, обнаруженные, изъятые и исследованные по каждому из них. По 76 % дел доказывание осуществлялось с помощью видеозаписей и фотографий, по половине — документов (как бумажных, так и электронных), по каждому шестому — различных предметов, по 11 % — изъятых наркотических средств, реже — аудиозаписей, следов пальцев рук, денежных средств.
Цифровые следы рассматриваемых преступлений отражаются на различных машинных носителях средств вычислительной техники (накопители на жестких магнитных дисках, SIM-карты, флеш-накопители, оптические диски и т. п.), в том числе в компьютерных системах и сетях. Например, цифровые следы хищений чужого имущества с использование информационно-телекоммуникационных технологий содержатся в телефонах преступника и потерпевшего (телефонные книги, переписка в мессенджерах, книге сообщений, хранящейся в корневой директории, и др.), компьютерах, используемых преступником/преступниками (информация об осуществленных звонках с помощью IP-телефонии, переписка посредством электронной почты, вредоносное программное обеспечение и т. д.).
Отметим, что изъятие средств совершения преступлений (компьютеры, мобильные телефоны и т. п.) осуществляют при производстве оперативно-розыскных мероприятий, либо в ходе осмотра места происшествия или обыска, выемки.
Большой объем доказательственной информации о таких преступлениях отражается в облачных хранилищах. В частности, изучением этой информации возможно установить круг связей лица, проверяемого на причастность к преступлению, перечень используемых им средств вычислительной техники и установленного на них программного обеспечения, наличие аккаунтов в социальных сетях и мессенджерах и иные имеющие значение для расследования сведения.
Обнаружение цифровых следов и иной значимой для расследования информации сегодня эффективно осуществляется с помощью технологии поиска и анализа информации из открытых источников (англ. — Open Sourсe Intelligence — OSINT), основу которой составляют методы искусственного интеллекта. Методы этой технологии подразделяются на две группы:
— пассивные — это поиск цифровых следов и иной информации без непосредственного взаимодействия с интересующим оперативно-розыскной или следственный орган лицом;
— активные — поиск цифровых следов с помощью специальных программ, именуемых IP-логгерами и позволяющими путем направления интересующему пользователю ссылки получить IP-адрес используемого им устройства и другую значимую для расследования информацию.
IP-логгер представляет собой веб-сервис и специализированное программное обеспечение, которое формирует специальные интернет-ссылки или коды для последующего их размещения на интернет-ресурсе (на веб-сайте) либо направления интересующему пользователю посредством сообщения в мессенджере, в электронном письме и пр. Переход пользователем по полученной ссылке или открытие им файла с кодом приводит к фиксации IP-адреса используемого им устройства и информации об интернет-провайдере, стране и предполагаемом населенном пункте места его нахождения, характеристиках используемого устройства (операционная система, веб-браузер и его версия, пользовательский агент, размер и марка экрана, марка и модель графического процессора и др.) [466].
В открытом сегменте сети «Интернет» осуществляется поиск информации, ассоциированной с пользователями социальных сетей и сайтов, по фотоизображениям анализируются биометрические характеристики лиц, отличительные особенности предметов или местности, осуществляется выгрузка данных из стриминговых ресурсов и т. п., в результате чего удается установить лицо, совершившее преступление, деанонимизировать пользователей социальных сетей и различных интернет-ресурсов, установить обстоятельства расследуемых преступлений (время, место и пр.), получить дополнительные доказательства.
В теневой части сети «Интернет» также содержится большой объем цифровых следов преступной деятельности. К примеру, при входе посредством браузера Tor под именем создателя в интернет-магазин, через который осуществляется реализация наркотических средств, возможно получить информацию о дате его создания, никнеймах причастных к его работе лиц и их функциях, регионах распространения указанных средств, количестве и географических координатах тайников с ними («закладок»), способах их маскировки, стоимости реализованных наркотических средств и прибыли от криминальной деятельности и пр.
Что касается методики расследования киберпреступлений, то она имеет как общий характер для всех их видов, так и определенную специфику для составляющих каждый отдельный вид преступных деяний.
Наиболее простой является методика расследования кражи денежных средств с использованием похищенной банковской карты либо ее реквизитов. Поводом для возбуждения такой категории уголовных дел выступает заявление потерпевшего. С целью установления обстоятельств кражи