Кибер безопасность. Как ловят преступников?

Думаю, что многим интересно, как вычисляют и ловят кибер преступников и мошенников в сети. Для этих людей и делюсь этим небольшим интервью.

1. Как ты попал туда?
     Помог хороший знакомый в полиции, предложил устроиться к ним в отдел по кибербезопасности. После университета выбора у меня не было и я согласился.

2. Что ты делал в самом начале?
     В компьютерах я разбираюсь хорошо, поэтому посадили меня составлять запросы провайдерам, хостерам и подобным организациям. На самом деле это пустая формальность, бумажка требуется в качестве доказательства. Пробить IP адрес можно было и без официального запроса, например ростелеком выдавал информацию о владельце по одному телефонному звонку, естественно официально такой процедуры нет, но есть договорённость.

3. Как происходил сбор доказательств?
    Собирал доказательства я одной кнопкой prtscr, отправлял их на подпись с печатью и подшивал в папочку. В большинстве случаев я просто делал скриншоты сайтов с детской порнографией и экстремистскими материалами, но бывали задачи и посложнее, такие как чтение переписки и просмотр видео или фото, но об этом чуть позже. Как только насобирал достаточно доказательств - отправлял запрос провайдеру, провайдер отвечал очень быстро и давал бумагу с данными о владельце IP адреса, а именно ФИО, адресом, паспортными данными и MAC адресом устройства.

4. Как вы искали преступников?
     Преступники бывают разные, экстремистов ищут в одном месте, педофилов в другом, мошенников в третьем. Самые глупые - педофилы, которые распространяли диск с детской порнографией в программах DC++ (раньше были очень популярны), одним этим действием они вешали на себя 242 статью (распространение). К слову сказать, вычислять таких было делом техники, часто рядом на диске я находил личные фотографии по которым можно было с уверенностью сказать, что человек без лица с ЦП видео или фото тот же самый, что и на обычном фото, бывало и документы лежали. Если ничего нет - искал файлы с паролями от популярных браузеров (при условие что расшарен диск с браузером), зачастую там были аккаунты владельца компьютера и это тоже шло в доказательную базу.

5. Как происходило задержание преступников?
     Всё начинается рано утром, обычно в 6 утра. В начале возле дома преступника паркуется грузовой микроавтобус (как автолайн или маршрутка) с группой захвата. Затем подкатывает машина с оперативниками и все очень тихо поднимаются на этаж. Автомобили тем временем отъезжают на соседнюю улицу. Жильцов квартиры просят открыть дверь под любым предлогом: пожар, соседи с низу, газовая служба. Если повезло и дверь открыли - вламывается группа захвата, укладывает всех на пол, проверяет что бы всё было "чисто" и только после этого заходят оперативники.

6. Что насчёт сбора улик?
     Описывают всю технику, самое важное: устройство с MAC адресом который засветился у провайдера, обычно это роутер. Так же изымают компьютер или ноутбук. Если владелец выдержал все попытки узнать пароль - компьютер отправляют на экспертизу.

7. Как происходит экспертиза?
     Вы думаете эксперты будут подбирать пароль? Нет. Они вытаскивают хард, подключают его к своему компьютеру и тупо смотрят файлы. Если на HDD найден криптоконтейнер - его никто не будет расшифровывать, у них нет суперкомпьютеров под это дело.

Вот и всё, спасибо за чтение, надеюсь вам понравилось.