Моя работа в отделе "К"

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.789
Репутация
62.390
Реакции
276.952
RUB
0
Давно хотел рассказать как я работал в отделе "К", как собирал доказательства, как искал и как задерживал преступников. Начну с начала.



Как я попал туда: помог хороший знакомый в полиции (тогдашней милиции), грит мол давай к нам в отдел "К", ну после универа выбора у меня не было и я согласился.



Что я делал в начале: В компьютерах я разбираюсь хорошо, по этому посадили меня составлять запросы провайдерам, хостерам и подобным организациям. На самом деле это пустая формальность, бумажка требуется в качестве доказательства. Пробить IP адрес можно было и без официального запроса, например рос*теле*ком выдавал информацию о владельце по одному телефонному звонку, естественно официально такой процедуры нет, но есть договорённость.



Сбор доказательств: это вторая ступенька моей карьерной лестницы которая добавилась к первой. Собирал доказательства я одной кнопкой prtscr, отправлял их на подпись+печать и подшивал в папочку. В большинстве случаев я просто делал скриншоты сайтов с ЦП (чилд порн) и экстремистскими материалами, но бывали задачи и посложнее, такие как чтение переписки и просмотр видео/фото, но об этом чуть позже. Как только насобирал достаточно доказательств - отправлял запрос провайдеру, провайдер отвечал очень быстро и давал бумагу со следующими данными о владельце IP адреса:

1. ФИО

2. Адрес

3. Паспортные данные

4. MAC адрес устройства (это важно, ниже расскажу почему)


Небольшая заметка: большинство видео и фото, которые я смотрел вполне себе официально - ЦП.... и это жесть.... их было очень много, я переживал за участников, но потом осознал, что большинство авторов этих роликов/фото найдут и жестоко покарают кожаными дубинками во все щели. Работать стало проще.



Поиски злодеев: злодеи бывают разные, экстремистов ищут в одном месте, педофилов в другом, мошенников в третьем. Самые глупые - педофилы, которые расшаривали диск с ЦП в программах DC++ (раньше были очень популярны), одним этим действием они вешали на себя 242 статью (распространение). К слову сказать, вычислять таких было делом техники, часто рядом на диске я находил личные фотографии по которым можно было с уверенностью сказать, что человек без лица с ЦП видео/фото тот же самый, что и на обычном фото, бывало и документы лежали. Если ничего нет - искал файлы с паролями от популярных браузеров (при условие что расшарен диск с браузером), зачастую там были аккаунты владельца компьютера и это тоже шло в доказательную базу.



Задержание злодеев: всё начинается рано утром, обычно в 6 утра. В начале возле дома преступника паркуется грузовой микроавтобус (как автолайн или маршрутка) с группой захвата. Затем подкатывает машина с оперативниками и все очень тихо поднимаются на этаж. Автомобили тем временем отъезжают на соседнюю улицу. Жильцов квартиры просят открыть дверь под любым предлогом: пожар, соседи с низу, газовая служба и тп. Если повезло и дверь открыли - вламывается группа захвата, укладывает всех на пол, проверяет что бы всё было "чисто" и только после этого заходят оперативники.



Процессуальные действия: в обязательном порядке привлекают понятых, в 6 утра их сложно найти, по этому обычно, в качестве понятых свои люди, которые подпишут любой беспредел и им за это ничего не будет, зачастую это практиканты с универов. Со стола, с мышки и клавиатуры скатывают отпечатки и берут какие то пробы (я в этом не силён). Если компьютер включен - нам очень повезло, если запаролен - нужно попросить владельца его включить... в начале просят вежливо, потом просят дубинками, берцами и разнообразными методами пыток которые не оставляют следов, НО, я очень надеюсь, что такого беспредела как раньше сейчас нет.



Сбор улик: описывают всю технику, самое важное: устройство с MAC адресом который засветился у провайдера, обычно это роутер. Так же изымают компьютер или ноутбук. Если владелец выдержал все попытки узнать пароль - компьютер отправляют на экспертизу.



Заметка про экспертизу: Вы думаете эксперты будут подбирать пароль? Нет. Они вытаскивают хард, подключают его к своему компуктеру и тупо смотрят файлы. Если на HDD найден криптоконтейнер - его никто не будет расшифровывать, у них нет суперкомпьютеров под это дело.



Почему я уволился: не буду рассказывать ванильные истории, всё на много проще - я нашёл другую работу с достойной зарплатой. На моё место пришли хорошие ребята которых я обучил перед уходом. Связи не потерял...



P.S. Если преступник скрывается за VPN или публичным прокси другой страны - можно считать дело висяком, расследовать их будут только если попросят сверху или что то действительно стоящее и важное. На такое может уйти и год и два.



На этом всё, история получилась очень длинной, многое пришлось умолчать по понятным причинам.


 
Работа на отвали если нет указивки сверху и повальное игнорирование процессуальных норм - вот основополагающие принципы работы отечественных правоохранительных структур((
Ну, а если серьезно - Никогда нельзя недооценивать противника - Сунь Цзы
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Ощущение, что статья от 2012 года, никак не позже
 
Теперь будет пост про работу кардером (тем кто ворует деньги с карт). Я напишу откуда берут материал для работы, как вбивают ЦЦ, шипают вещи на дропов и как ловят таких личностей. Воспринимайте это как информацию для обеспечения собственной безопасности, а не инструкцию к действию. И да, я не работал кардером, просто очень хорошо в этом разбираюсь.



Начало начал: нужно где то раздобыть мат (материал для работы), в случае с палкой (PayPal) - это обычный брут/чек (подбор пароля к аккаунту если его нет/проверка пароля если он есть) по слитым базам с сайтов. Если работать по БА (банковские аккаунты) то там практически такая же схема. Есть схема с фишингом (поддельная страница банка) где пользователь сам вводит свои данные от банковского счёта.



Существующая защита: практически все магазины не отправляют товар в СНГ если он был заказан со счёта PayPal который принадлежит гражданину США/Канады/Франции/etc. Есть так же антифрод системы которые блокируют подозрительные транзакции. Но как же тогда мошенники заказывают себе технику за чужой счёт? Об этом дальше...



Ловкость рук: Так как же нам заказать товар на себя с чужой карты? Всё достаточно просто: мы заказываем подарочную карту (так называемый e-gift) на КХ (держателя карты) и имея доступ к почте просто копируем номер подарочной карты что бы уже со своего аккаунта заказать товар на дропа.

Обойти антифрод тоже достаточно просто: при покупке БА его регистрируют в PayPal вписывая свой номер телефона, почту и адрес, такой аккаунт называется саморегом, на него можно взять кредит и задонатить в онлайн игрушечку.



Путь товара: Большинство забугорных магазинов не отправляют товар в РФ, по этому кардеры используют посредников, есть большой шанс что посредник развернёт посылку обратно как только ему позвонят, по этому многие кардеры "ошибаются" в номере телефона посредника, за это есть штраф баксов 20, но шанс прохода посылки увеличивается. Далее посредник отправляет товар в РФ на дропа, дроп получает товар и уже отправляет его по стране без участия кардера. К слову сказать, посредник может спокойно развернуть посылку обратно.



Путь денег: Кардеры занимаются не только вещами, а ещё и выводом денег. Сделать это можно через казино, онлайн игры и подобные места где есть возможность ввода, "передачи" и вывода денег. Через казино проще простого, для этого деньги просто проигрывают своему человеку.



Заметание следов: для вбива используют взломанные компьютеры обычных граждан, по этому после сделанного дела их просто чистят от логов и выкидывают на форумы в раздачи, где толпа школьников набегает на них и оставляет кучу следов. Так же кардеры работают с виртуальных машин и эмуляторов android телефонов, но тут достаточно просто удалить их.



Поиски кардеров: Наша полиция как пингвин - пока не пнёшь не полетит. Начинается расследование если только была украдена большая сумма денег (более $100k) и пришёл запрос из ФБР, запрос - это готовые данные на блюдечке с голубой каёмочкой. Осталось только пробить IP адреса и найти преступника, ФИО и адреса дропов уже есть в запросе. Найти преступников через дропов - не реально, они не контактируют с дропами на прямую и могут быть из другой страны. Если ФБР повезло распутать всю цепочку VPN серверов, прокси и SSH туннелей - кардера найдут, но доказать вину будет сложно, по этому за время моей работы было поймано кардеров чуть меньше чем ни..уя.
 
Сверху Снизу