Вы находитесь на странице: 1из 59

Главное Управление Министерства Внутренних дел

Российской Федерации по г. Москве

Управление уголовного розыска

Методические рекомендации
по раскрытию хищений (мошенничеств и краж), совершенных
с использованием средств телефонной связи и сети
Интернет

г. Москва, 2019 год


2

Оглавление:
Введение 4
1. Общие сведения и понятия 4
1.1 Понятие сотовой связи и базовых станций 4
1.2 Понятие абонентского номера 5
1.3 Понятие IMEI 6
1.4 Понятие IP-адреса и средства анонимизации в сети (VPN) 7
1.5 Ресурсы, используемые для хранения и перевода денежных средств 9
1.6 Понятие интернет сайта. Схема получения информации 12
1.7 SIP-телефония. Звонки через интернет 14
1.8 Понятие Cookie-файлов, как средство деанонимизации в сети 16
2. Алгоритм действия сотрудников следственно-оперативной группы и дежурных
частей при поступлении сообщения о дистанционном хищении 18
Действия сотрудников дежурных частей при получении заявлений (сообщений)
2.1 о дистанционном хищении 18
Действия следователей (дознавателей) по прибытию на место происшествия. На
2.2 месте происшествия следователь (дознаватель) 20
Действия сотрудников оперативных подразделений при получении заявлений
2.3 (сообщений) о дистанционном мошенничестве 21
Действия сотрудников оперативных подразделений при получении заявлений
2.4 (сообщений) о дистанционном мошенничестве 27
Алгоритм контроля за принятием процессуальных решений по сообщениям о
преступлениях (происшествиях), совершенных дистанционным способом, по
2.5 которым уголовные дела не возбуждены в дежурные сутки 27
3. Сведения, представляющие интерес для раскрытия и расследования
уголовного дела
3.1 Сведения, которые необходимо запрашивать у сотовых операторов 28
3.2 Сведения, которые необходимо запрашивать по банковским карта и расчетным 29
счетам
3.3 Сведения, которые необходимо запрашивать по электронным кошелькам 30
3.4 Сведения, которые необходимо запрашивать по сайтам объявлений 31
3.5 Сведения, которые необходимо запрашивать по социальным сетям 31
3.6 Сведения, которые необходимо запрашивать по доменному имени сайта 32
3.7 Сведения, которые необходимо запрашивать по хостингу сайта 32
3.8 Сведения, которые необходимо запрашивать по IP-адресу 33
3.9 Сведения, которые необходимо запрашивать по электронной почте 33
3.10 Сведения, которые необходимо запрашивать у SIP-провайдера 34
4. Алгоритм анализа совершенных преступлений в области информационно-
коммуникационных технологий общеуголовной направленности
квалифицированных по п.п. «в,г» ч. 3 ст. 158, п. «б» ч. 4 ст. 158, ст. 159 УК РФ. 34
4. Схемы расследования наиболее распространённых телефонных и интернет 38
мошенничеств
5.1 Схема №1. Мошенничество, совершенное через сайты объявлений. Мошенник- 38
Продавец

5.2 Схема №2. Мошенничество, совершенное через сайты объявления. Мошенник- 39


покупатель
3

5.3 Схема №3. Мошенничество со взломом страниц социальной сети 40


5.4 Схема №4. Мошенничество, совершенное с использованием интернет сайтов 41
5.5 Схема №5. Мошенничество, совершенное под предлогом заказа банкета 42
5.6 Схема №6. Мошенничество, совершенное под предлогом совершения операций 43
по банковским картам
5.7 Схема №7. Мошенничество, совершенное под предлогом помощи 44
родственнику, попавшему в беду
5.8 Схема №8. Мошенничество, совершенное под предлогом компенсации за ранее 45
приобретенные БАДы (биологически активные добавки).
5.9 Схема №9. Мошенничество, совершенное с использованием вредоносных 46
программ на ОС «Android»
5.10 Схема №10. Мошенничество, совершенное с использованием социальных 47
сетей (интернет магазин «Вконтакте»)
Образцы запросов 48
Заключение 55
4

Введение

Хищения (кражи и мошенничества), совершенные


дистанционным способом – один из самых распространённых видов
преступной деятельности в наше время. Начиная с 2015 года
наблюдается ежегодный рост количества совершенных преступлений
указанной категории, вот почему так остро стоит вопрос об ответных
мерах реагирования со стороны правоохранительных органов.
Данные методические рекомендации разработаны с целью
обучения сотрудников органов внутренних дел методам и алгоритмам
раскрытия и расследования преступлений данной категории, а также
направлены на ориентирование сотрудников к творческому и
индивидуальному подходу при работе с каждым преступлением.
Сами по себе алгоритмы и схемы расследования краж и
мошеннических действий, совершенных с использованием средств
сотовой связи и сети интернет, не дадут положительного результата,
если сотрудник не имеет представления о запрашиваемой им
информации.
Стоит отметить, что настоящие методические рекомендации могут
быть использованы и в иных оперативных и следственных целях.

1. ОБЩИЕ СВЕДЕНИЯ И ПОНЯТИЯ

1.1 Понятие сотовой связи и базовых станций

Большинство схем дистанционных мошеннических действий


основаны на использовании средств радиосвязи.
Одним из самых распространенных видов радиосвязи является
«Сотовая связь». Ее также называют «Сеть подвижной связи», так как
она предоставляет свои услуги без использования кабеля. Ключевая
особенность «Сотовой связи» заключается в том, что общая зона
покрытия делится на ячейки (секторы), определяющиеся зонами
покрытия отдельных базовых станций – комплекса
приемопередающей аппаратуры, которая обслуживает абонентов в
своей зоне действия.
5

Базовые станции устанавливают на крышах высоких зданий, а


также вышках, и делят зону их покрытия на три или шесть секторов:

Базовые станции могут покрывать территорию от 0,5 км до 15


км вокруг места установки. При этом, чем выше плотность населения,
тем ближе к друг другу их располагают – в черте города они могут
располагаться даже на расстоянии 100 метров друг от друга, в
сельской же местности – 10-15 км.
В этой связи представляется целесообразным запрашивать
у оператора сотовой связи наряду с детализацией телефонных
разговоров информацию о характеристиках используемых
базовых станций с указанием азимута их действия, количества
секторов (антенных блоков). Указанная информация поможет
определить узкий сектор, в котором может проживать мошенник.

1.2 Понятие абонентского номера

Под «абонентским номером» следует понимать – номер,


идентифицирующий оконечный элемент сотовой связи. Он состоит из
11 последовательных цифр, 1-ая из которых определяет код страны,
2,3,4-ая определяют принадлежность абонентского номера к региону
или оператору сотовой связи, остальные – определяющий номер
клиента.
Для установления принадлежности абонентского номера к тому
или иному сотовому оператору необходимо получить выписку из
ресурса нумерации «Федерального агентства связи», который
находится в открытом доступе на сайте www.rossvyaz.ru (прямая
ссылка: www.rossvyaz.ru/activity/num_resurs/registerNum).
К примеру, необходимо установить принадлежность абонентского
номера 8-900-123-45-67, на сайте это выглядит следующим образом:
6

Установлено, что абонентский номер 8-900-123-45-67 принадлежит оператору


сотовой связи «Теле2» в Ростовской области.

Самыми распространенными сотовыми операторами являются


«Мобильные ТелеСистемы» (МТС), «Т2 Мобайл» (Теле2), «Вымпел
Коммуникации» (Билайн), «Мегафон» и «Скартел» (Йота).

1.3 Понятие IMEI

IMEI (International Mobile Equipment Identity – международный


идентификатор мобильного оборудования) – уникальный номер
сотового аппарата.
Данный номер состоит из 15 последовательных чисел, из
которых первые 14 определяют происхождение, модель и серийные
номер сотового устройства, а 15-ая – контрольная цифра. В
предоставляемых сотовыми операторами детализациях последняя
контрольная цифра всегда обозначается как «0». Она не имеет
целевого значения, поэтому идентификация сотового аппарата при его
изъятии всегда происходит по первым 14 цифрам.
Зная IMEI, посредством множества онлайн-сервисов мы можем
определить марку и модель сотового телефона. Одним из самых
удобных сервисов является www.imei.info. Рассмотрим на примере
алгоритм определения модели сотового телефона с IMEI
353315071569370:
7

подбираем последнюю контрольную цифру методом «тыка» (пока не


исчезнет надпись «Invalid IMEI») и жмем кнопку «CHECK».

И получаем результат

Информация о конкретной модели и марке телефона


облегчит работу при проведении обысков и осмотров, а также
позволит определить стоимость телефона. Чем дороже телефон,
тем меньше вероятность того, что злоумышленник избавится от
него после совершения мошеннических действий, а следовательно
будет продолжать его использовать.

1.4 Понятие IP-адреса и средства анонимизации


сети (VPN)

Понять о том, что такое IP-адрес и как он работает


первостепенно важно, так как использование сети интернет является
краеугольным камнем во многих мошеннических схемах.
IP-адрес (Internet Protokol address) – это уникальный
идентификационный номер, который присваивается каждому
компьютеру при выходе в сеть интернет. Он представляет собой
последовательность из 4 цифр в диапазоне от 0 до 255, чередующихся
через точку. Например, 178.218.36.0.
IP-адрес выдается компьютеру его интернет провайдером в
момент начала интернет сессии – открытия первой интернет-
страницы, и заканчивается закрытием интернет-сессии – закрытием
последней интернет-страницы. Процесс соединения компьютера с
сайтом в упрощенном виде выглядит следующим образом:
8

Компьютер, нажатием клавиши мышки, по протоколу IP


делает запрос сайту

Сайт, по протоколу IP, предоставляет ответ в виде


отобразившейся страницы

Таким образом, на каждом сайте («Вконтакте», «Авито»,


«Юла» и др.) хранится история соединений с его пользователями, а
следовательно и их IP-адреса. При каждом выходе в интернет
мошенник оставляет свой «след», по которому его можно вычислить.
Также как и абонентский номер, IP-адрес имеет свой ресурс
нумерации, то есть каждому интернет провайдеру выделено
определенное количество IP-адресов в конкретном диапазоне.
При помощи интернет ресурса www.2ip.ru (прямая ссылка:
www.2ip.ru/whois/), зная IP-адрес, можно легко определить
провайдера. Рассмотрим на примере IP-адреса: 178.218.36.0:

Установлено, что IP-адрес 178.218.36.0 принадлежит провайдеру «Атэкс


плюс» в г. Рыбинске (в адрес указанного провайдера и нужно направлять
запрос).
ВЫВОД: установив IP-адрес и точное время его
использования в сети интернет, сотрудник может узнать адрес
нахождения персонального компьютера, с которого работал
злоумышленник (адрес квартиры, частного дома или кафе).
Получение сведений по IP-адресам усложняет использование
мошенниками легкодоступных средств анонимизации в сети, которые
9

называются VPN (виртуальная частная сеть). Смысл виртуальной


частной сети заключается в том, что пользователь интернета, перед
тем как выйти на сайт, подключается к серверу третьего лица, как
правило локализующегося на территории иного государства.
Схематично работа виртуальной частной сети выглядит следующим
образом

По сути, запрос на интернет-сайт проходит аналогичным


образом, какой был описан ранее, однако в истории соединений сайта
остается не реальный IP-адрес пользователя, а IP-адрес
использованного им VPN-сервера, который, как показывает практика,
в большинстве случаев принадлежит иностранным интернет
провайдерам, которым направить запрос в рамках Российского
правового поля не представляется возможным.
том, каким образом можно обойти данную попытку мошенника
скрыть себя в сети, мы поговорим после в подразделе «Понятие
Cookie-файлов».

1.5 Ресурсы, используемые для хранения и перевода


похищенных денежных средств

Основной целью любого мошенничества является хищение


материальных ценностей. В случае телефонных и интернет
мошенничеств – денежных средств.
Для хранения, использования и вывода похищенных
денежных средств злоумышленники используют:

банковские карты; счета абонентских номеров;


расчетные счета;
электронные кошельки; наличные переводы.
Существует множество сервисов наличных переводов –
«Колибри», «Вестерн Юнион», «Золотая корона» и др. Работа
указанных сервисов заключается в передаче денежных средств на
ФИО получателя с указанием контрольной информации – кода или
пароля. Таким образом, получить переведенные деньги сможет только
10

лицо, предъявившее удостоверяющий личность документ, а также


сообщившее кодовое слово или комбинацию.
С понятием расчетного счета знаком каждый обыватель,
однако при расследовании уголовного дела следует обратить
внимание на следующее: в большинстве случаев мошенники
используют расчетные счета, открытые на подставных лиц, поэтому
они не могут лично обратиться в банк с просьбой снять денежные
средства или перевести их на другой счет или банковскую карту – для
этого они используют онлайн-ресурсы (ДБО – дистанционное
банковское обслуживание) на сайте банка, тем самым оставляя свой
след в виде IP-адреса.
Следует иметь в виду, что мошенники, с целью ввести в
заблуждение потерпевших и сотрудников полиции, зачастую
сообщают ложные сведения о принадлежности карты к банку.
Например: «Переведите предоплату на счет банковской карты ВТБ
4276 6100 0000 0000». Не смотря на указание мошенника на
принадлежность карты к банку ВТБ, фактически указанная банковская
карта выпущена и обслуживается ПАО «Сбербанк». Для того, чтобы
верно направить запрос и не терять драгоценное время в ожидании
отрицательного ответа, следует проверять банковские карты на
принадлежность. Это сделать довольно просто, если вы знаете что
такое БИН.

БИН банка – банковский


идентификационный номер. Это
первые шесть цифр номера
банковской карты. Через
множество интернет сервисов
по БИН можно узнать
принадлежность банковской
карты. Самые распространенные
из них – www.binov.net и
www.fraudassets.com. Рассмотрим на примере банковских карт №4890
4900 0000 0000 (сайт www.binov.net) и №5106 2100 0000 0000 (сайт
www.fraudassets.com).
11

БИН №489049 принадлежит «Киви Банк», таким образом, все карты,


начинающиеся на эти цифры, принадлежат этой организации.

БИН №510621 принадлежит банку «Яндекс.Деньги», таким образом, все


карты, начинающиеся на эти цифры, принадлежат этой организации.

Электронные кошельки, наиболее популярными


представителями которых являются «Киви банк», «Яндекс.Деньги»,
«ВэбМани» и «Тинькофф – мобильный кошелек», излюбленные
ресурсы интернет мошенников, так как для их создания необходим
только абонентский номер. Данные организации не имеют
представительств, поэтому все операции производят онлайн.
Обычный не идентифицированный кошелек имеет мало возможностей
– хранение не более 15 000 рублей, оборот не более 40 000 рублей в
месяц, запрет на вывод денежных средств в иные платежные сервисы,
способен совершать только интернет покупки и онлайн платежи.
Полностью же идентифицированный кошелек имеет все возможности
банковских карт. Кроме того, на один электронный кошелек можно
открыть бесконечное множество виртуальных платежных карт, то есть
сервис электронных кошельков номинально выдает пользователю
контрольные данные по платежной карте без ее пластикового
носителя. Основная информация, которую возможно получить по
электронному кошельку (помимо установочных данных владельца и
движения денежных средств) – это привязанные к нему абонентские
номера и использованные IP-адреса.
Многие мошенники принимают денежные средства на счет
абонентских номеров. У каждого сотового оператора есть свои
особенности по указанному направлению:
1) расчетные операции по абонентским номерам «Билайн»
проводит ЗАО «Национальная сервисная компания». Поэтому данные
12

о движении денежных средств можно запросить как у самого


оператора «Билайн», так и у ЗАО «НСК»;
2) расчетные операции по абонентским номерам «МТС»
ПАО «Мобильные ТелеСистемы» проводят самостоятельно, поэтому
данные о движении денежных средств можно запросить только у
самого сотового оператора;
3) расчетные операции по абонентскому номеру
«Мегафон» проводит ООО «банк Раунд». Данные о движении
денежных средств можно запросить только у данной организации;
4) у оператора сотовой связи «теле2» нет устоявшегося
корреспондента и для проведения расчетных операций он может
использовать много сторонних организаций. Информацию о движении
денег нужно запрашивать у самого оператора, а после – у
корреспондента.

1.6 Понятие интернет сайта. Схема получения информации


Интернет сайт - это совокупность страниц, объединенных
одной тематикой, дизайном, а также взаимосвязанной системой
ссылок. Каждая страница может содержать в себе видео- и
фотоизображения, аудиофайлы, рекламные блоки и много другое.
Часто встречается такая схема мошеннических действий, при
которой злоумышленник создает сайты в виде интернет-магазинов, и
похищает денежные средства, «продавая воздух».

Чтобы получить
Интернет сайт
значимую для уголовного дела
информацию следует понимать,
что для работоспособности сайта
необходимо выполнить два
Доменное имя Аренда хостинга
условия: зарегистрировать
доменное имя и арендовать
хостинг.
1) Хостинг. Как вы храните документы, фотографии,
музыку на жестком диске своего компьютера, так и интернет сайт
должен иметь свое место для хранения на физическом носителе. Для
этого используется специальное оборудование – серверы,
подключенные к сети интернет 24 часа в сутки. Аренда хостинга –
аренда части пространства на данном сервере. Следовательно, чтобы
арендовать хостинг необходимо составить соответствующий договор
13

и оплатить предоставляемые услуги. Так как мошенники всегда


стараются оставаться в тени, аренду они делают отдаленно – через
сайты хостинг-арендодателей. Направив запрос хостинг-
арендодателю, возможно получить следующую значимую для
расследования дела информацию: данные о лице, осуществившем
аренду, а также используемые им банковские карты и счета для
оплаты аренды, IP-адреса, электронные почты, абонентские
номера и многое другое.
2) Доменное имя. «Доменное имя» - численно-буквенное
обозначение, следующее за обозначение всемирной сети («www»). К
примеру «vk.com», «youtube.com», «2ip.ru» и др. Доменное имя, также
как и хостинг, регистрируется у специальных организаций, и требует
регулярной абонентской платы. Направив запрос в организацию-
регистратор, возможно получить информацию, аналогичную
информации, предоставляемой хостинг-арендодателем.
Организаций-арендодателей хостинга и организаций-
регистраторов огромное множество, поэтому для верного направления
запроса необходимо правильно получать первоначальные сведения по
сайту, или WHOIS-сведения. Это довольно просто - в этом нам
поможет интернет ресурс www.reg.ru. Рассмотрим на примере сайта-
мошенника www.psou.site:

Заходим на сайт www.reg.ru, вводим доменное имя интересующего


сайта, нажимаем кнопку «Whois» и получаем нужную информацию:
14

Среди предоставленной информации интерес для


расследования уголовного дела представляют фактически следующие
две графы:
1) Строка «Registrar» (или «регистратор») – обозначает
данные организации, у которой было зарегистрировано доменное имя.
2) случае с сайтом www.psou.site – это ООО «Регистратор
доменных имен Рег.Ру». Указанному юридическому лицу следует
направлять соответствующий запрос.
3) Строка «Name Server» (или «DNS сервер») - указывает
сайт организации, предоставляющей хостинг для сайта. Для
рассматриваемого нами сайта это все тот же ООО «Регистратор
доменных имен Рег.Ру».
Одним щелчком мышки мы получили нужную информацию –
установили, что доменное имя сайта www.psou.site было
зарегистрировано у организации ООО «Рег.Ру», а также что у данной
организации был арендован хостинг.
Кроме того, использованный ресурс www.reg.ru, может
предоставить сведения WHOIS в виде справки, которую следует
приобщить к материалам уголовного дела – для этого необходимо
нажать кнопку «Скачать в PDF» (см. фото ранее).

1.7 SIP-телефония. Звонки через интернет

Мы часто встречались в своей повседневной жизни с


абонентскими номерами, которые начинались на «8-800-…». Эти
номера наиболее яркие представителя SIP-телефонии.
SIP-телефония отличается от привычной сотовой связи тем, что
она не требует от стороны наличия сотового аппарата или
подключения к базовой станции – все звонки поступают на
персональный компьютер или смартфон через специальное
приложение по протоколу IP, подобно «звонку» на сайт (см. раздел
1.4). Схема связи такого телефонного разговора в упрощенном виде
такова:
SIP-провайдер
При звонке вы изменяет
передаете голосовые голос в цифровой код и
данные SIP-провайдеру передает клиенту по
протоколу IP
15

При этом для звонящего каких-либо видимых изменений не


происходит – он набирает номер и говорит по телефону, однако для
мошенника это больше похоже на входящий вызов в «Skype», «Viber»
или «WhatsApp».
Абонентский номер, который использует мошенник при
использовании SIP-телефонии, не имеет физического носителя (Sim-
карты), он виртуальный, при таких обстоятельствах получить
информацию в виде привязки к конкретной базовой станции
невозможно. Возможно получить лишь сведения об использованных
мошенником IP-адресах, которые он использовал для подключения к
приложению (сайту) по работе с SIP-провайдерами.
Виртуальный номер – это основная услуга SIP-провайдера,
которая работает через интернет по принципу переадресации звонков.
Виртуальные номера бывают 3 видов: номер для приема звонков,
номер для приема SMS, номер для приема факса. Каждый имеет свой
вид переадресации.
Отличительными особенностями SIP-телефонии являются:
- входящие звонки могут поступать на несколько компьютеров
одновременно, при условии, что все они подключены к одному
аккаунту (стандартная работа всех Call-центров, когда вам отвечает
первый освободившийся специалист);
- на один аккаунт можно зарегистрировать бесконечное
количество виртуальных номеров, но каждый из них требует оплаты;
в случае, если звонки были переадресованы с виртуального
номера на реальный, мы имеем возможность получить сведения об
использованных базовых станциях и IMEI последнего;
- виртуальные номера могут иметь любой вид, как привычный
нам (800) 000-00-00, так и 8 (499) 000-00-00, 8 (475) 20-00-00 и др. В
редких случаях – даже абонентский номера операторов сотовой связи
(МТС, Мегафон и т.д.).
Поэтому если мошенником был использован абонентский
номер, внешне похожий на стационарный (с указанием кода любого
города), можете быть уверены – это виртуальный номер SIP-
провайдера. Ни один мошенник не может быть на столько глуп, чтобы
звонить с домашнего телефона.
Таким образом, от SIP-провайдера можно получить
следующую информацию: установочные данные владельца
виртуального номера, информацию об иных номерах, арендованных
им, реальный абонентский номер и адрес электронной почты,
16

использованные мошенником IP-адреса, банковские карты и счета, и


другую значимую информацию.
Осталось ответить на один вопрос – как понять какому
SIP-провайдеру принадлежит тот или иной виртуальный номер?
Очень просто, для этого необходимо воспользоваться ресурсом
нумерации «Федерального агентства связи», про который мы
говорили ранее в разделе 1.2 (www.rossvyaz.ru).

1.8 Понятие Cookie-файлов как средства деанонимизации


мошенника в сети интернет

В разделе 1.4 мы говорили о понятии IP-адреса и наиболее


популярном сервисе анонимизации в сети интернет – VPN. В данном
разделе будет разъяснено понятие Cookie-файлов, как способ обойти
защиту мошенника.
Я думаю многие замечали, что стоит вбить в поисковую строку
«Яндекс» или «Google» запрос об определенном типе товара, как
браузер начинает выдавать рекламу именно о нем. К примеру, написав
«Купить коляску недорого», появляется куча всплывающих окон с
рекламой колясок, детского питания, игрушек и прочих вещей по
данной тематике. Все дело в том, что множество интернет сайтов
(но не все) хранят информацию о своих пользователях. Сбор и
анализ этой информации происходит посредством Cookie-файлов.
Cookie-файл – это фрагмент данных, который интернет сайт
передает в интернет-браузер (Google Chrome, Mozilla Firefox и др.)
своего нового пользователя, чтобы «запомнить» его. При следующем
посещении данного сайта, он уже будет «знать» о подключившемся
пользователе ряд информации, которая будет расти с каждым
последующем посещением:
сайт запоминает ваши логины и пароли – именно благодаря
Cookie-файлам вам не нужно каждый раз заново вводить пароли в
социальных сетях и других сайтах;
- сайт запоминает предпочитаемый вами язык;
сайт запоминает последние просматриваемые вами страницы;
сайт запоминает историю ваших посещений (данная функция
Cookie и имеет для нас ключевое значение).
Схематично Cookie работает следующим образом:
17

При первом посещении сайта он передает вашему


браузеру Cookie-файл. При всех последующих входах на
данный сайт браузер обозначает полученный от него
Cookie-файл для идентификации

Важной особенностью Cookie-файлов является их


неизменность – мошенник сколько угодно раз может менять свой IP-
адрес через VPN, проходить регистрацию с разных абонентских
номеров, но сайт все равно поймет, что все это время к нему
подключается один и тот же пользователь, то есть используется
браузер одного и того же персонального компьютера.
Каким же образом это может помочь при расследовании
уголовного дела? Рассмотрим ответ на данный вопрос на примере
мошеннической схемы через сайт «Авито»:
Иванов И.И. регулярно размещает на сайте «Авито»
мошеннические объявления о продаже автомобильных запчастей, при
этом перед входом на сайт подключается к VPN, чтобы его реальный
IP-адрес оставался неизвестным. По одному из таких объявлений ему
звонит мужчина из Москвы и вносит предоплату на счет указанной
банковской карты или абонентского номера, тем самым став жертвой
мошеннических действий.
Делает запрос на сайт «Авито» о предоставлении информации
о лице, разместившем данное мошенническое объявление,
необходимо также запросить провести анализ Cookie-файлов
мошенника с целью установления всех объявлений, которые
размещались с браузера данного персонального компьютера, а также
информацию о всех IP-адресах, использованных для посещения
сайта.
Таким образом, имея изначально информацию лишь по одному
объявлению мошенника, возможно получить сведения по всем
объявлениям, размещенным указанным лицом. Целесообразно
провести анализ всех объявлений мошенника с целью определения
реальных объявлений, выложенных с данного персонального
компьютера, с указанием личных IP-адресов и личного абонентского
18

номера. Эти объявления мог разместить сам Иванов И.И. до того, как
начал заниматься мошенничеством, или же их мог создать один из
членов его семьи, воспользовавшись его компьютером, тем самым
раскрыв реальные персональные данные мошенника.
Также давайте не будем забывать о человеческом факторе –
возможно при создании одного из мошеннических объявлений Иванов
И.И. просто забыл подключится к VPN.

2. Алгоритм действия сотрудников следственно-


оперативной группы и дежурных частей при поступлении
сообщения о дистанционном хищении

2.1 Действия сотрудников дежурных частей при получении


заявлений (сообщений) о дистанционном хищении.

- при поступлении заявления, сообщения о дистанционном


хищении сотрудник дежурной части производит все необходимые
действия, предусмотренные нормативно-правовыми актами,
регламентирующими порядок приема, регистрации и разрешения в
органах внутренних дел заявлений, сообщений и иной информации о
происшествиях;
- выясняет у заявителя путем опроса место и обстоятельства
преступления, абонентские номера с которых заявителю поступили
звонки, либо смс-сообщения, а также на которые перечислялись
денежные средства;
- незамедлительно организует выезд на место происшествия
дежурной СОГ, состав который определяет исходя из категории
совершенного преступления, в соответствии с требованиями
нормативно-правовых актов МВД России, регламентирующих
деятельность дежурных частей органа внутренних дел, обеспечивает
выезжающих сотрудников средствами связи, криминалистической
техникой и транспортом для доставления к месту происшествия и
обратно;
- о совершении дистанционного хищения и принятых мерах
незамедлительно докладывает начальнику органа внутренних дел или
ответственному от руководящего состава органа внутренних дел с
последующим информированием их о результатах работы дежурной
СОГ и организует выполнение полученных указаний;
19

- поддерживает связь с дежурной СОГ для постоянного


получения объективной информации по оперативной обстановке с
целью принятия дополнительных мер по организации работы на месте
происшествия;
- передает в случае подтверждения информации о
преступлении в дежурную часть вышестоящего органа внутренних
дел и докладывает о результатах проведенных следственных
действий;
- при формировании оперативной сводки (информации)
необходимо обращать внимание, на способ совершения преступления:
- мошенничество/кража в сети интернет (интернет-
магазины, электронные площадки по продаже товара, Вконтакте,
Одноклассники и тд.), при заполнении информации о данном виде
преступления, в обязательном порядке вносит в оперативную сводку
следующие сведения: абонентские номера телефонов потерпевшего и
преступника; номер счета (карты) потерпевшего и преступника;
электронный адрес сайта преступника, на котором размещаются
сведения о продаже товара (ссылка на электронное объявление «Из
Рук в Руки», Авито и тд.); адрес электронной почты преступника, с
помощью которой осуществлялась переписка (если таковой имеется);
анкетные данные преступника, которыми он представлялся
потерпевшему;
- мошенничество, совершенное с использованием средств
сотовой связи (когда потерпевший не предоставлял преступнику
данные о своей банковской карте, пароли и тд.), при заполнении
информации о данном виде преступления, в обязательном порядке
вносит в оперативную сводку следующие сведения: абонентские
номера телефонов потерпевшего и преступника; номер счета (карты)
потерпевшего и преступника; номер IMEI устройства потерпевшего;
сведения о преступнике, которыми он представлялся потерпевшему;
содержание смс-сообщений поступивших потерпевшему от
преступника (если таковые имеются);
- кража, совершенная с использованием средств сотовой
связи (когда потерпевший лично предоставил преступнику
данные о своей банковской карте, пароли из смс-сообщений,
CVV-код и тд.), при заполнении информации о данном виде
преступления, в обязательном порядке вносит в оперативную сводку
следующие сведения: абонентские номера телефонов потерпевшего и
преступника; номер счета (карты) потерпевшего и преступника; номер
20

IMEI устройства потерпевшего; сведения о преступнике, которыми он


представлялся потерпевшему; содержание смс-сообщений
поступивших потерпевшему от преступника (если таковые имеются).
Также должностному лицу, формирующему оперативную
сводку в обязательном порядке необходимо вносить в фабулу слова
«маркеры»:

- по кражам ст. 158 УК РФ:


с банковской карты;
с банковской карты – с похищенного телефона;
с банковской карты – покупка/продажа через интернет;
с банковской карты – социальная служба/медицина;
c банковской карты – сотрудник банка.
- по мошенничествам ст. 159 УК РФ:
с банковской картой;
попал в беду;
медицина;
социальная служба;
социальные сети;
сайт с частным объявлением.

2.2 Действия следователей (дознавателей) по прибытию на


место происшествия. На месте происшествия следователь
(дознаватель):
- осуществляет руководство СОГ, определяет порядок ее
работы, обеспечивает согласованные действия всех ее членов;
- совместно со всеми членами СОГ изучает обстановку на
месте происшествия, на основе полученной информации планирует,
осуществляет неотложные мероприятия по раскрытию преступления;
- дает поручение сотрудникам оперативных подразделений
о производстве оперативно-розыскных мероприятий;
- обеспечивает качество, полноту и результативность осмотра
места происшествия, применения криминалистических средств и
методов, изъятие, упаковку, сохранность изъятых следов
преступлений. В рамках осмотра места происшествия следователем
(дознавателем) с письменного согласия заявителя может быть
произведен осмотр его мобильного телефона с целью отыскания
и закрепления необходимой информации. Такой осмотр
целесообразно проводить с участием специалиста. Информация,
21

полученная в ходе осмотра мобильного устройства, подлежит


занесению в протокол, а фотоматериалы необходимо приобщить
фототаблицей;
- при наличии поводов и оснований предусмотренных ст. 140
УПК РФ принимает решение о возбуждении уголовного дела в
порядке ст.ст. 146-147 УПК РФ и проводит необходимые неотложные
следственные действия, а именно, составляет план следственных
действий и оперативно-розыскных мероприятий, в который включает
версии подлежащие проверки, следственные действия и оперативно-
розыскные мероприятия со сроками их выполнения.
2.3. Действия сотрудников оперативных подразделений при
получении заявлений (сообщений) о дистанционном
мошенничестве:
2.3.1. Осуществляет мероприятия в соответствии с
действующими нормативно правовыми актами МВД России по
установлению обнаружению и задержанию лиц подозреваемых в
совершении преступления.
2.3.2. По поручению оперативного дежурного принимает меры
к сбору материала проверки, а именно: получает подробное
объяснение у гражданина, в отношении которого совершены
преступные действия, в котором обращает внимание на способ
совершения преступления:
- мошенничество/кража в сети интернет (интернет-магазины,
электронные площадки по продаже товара, Вконтакте, Одноклассники
и тд.), при получении объяснения о данном виде преступления,
должностному лицу в обязательном порядке необходимо указывать
следующие сведения:
 абонентские номера телефонов потерпевшего и
преступника;
 номер счета (карты) потерпевшего и преступника;
 электронный адрес сайта преступника, на котором
размещаются сведения о продаже товара (ссылка на электронное
объявление «Из Рук в Руки», «Авито», «Вконтакте» и тд.);
 адрес электронной почты преступника, с помощью
которой осуществлялась переписка (если таковой имеется);
 анкетные данные преступника, которыми он
представлялся потерпевшему.
- мошенничество, совершенное с использованием средств
сотовой связи (когда потерпевший не предоставлял преступнику
22

данные о своей банковской карте, пароли и тд.), при получении


объяснения о данном виде преступления, должностному лицу в
обязательном порядке необходимо указывать следующие сведения:
 абонентские номера телефонов потерпевшего и
преступника;
 номер счета (карты) потерпевшего и преступника;
 номер IMEI устройства потерпевшего;
 сведения о преступнике, которыми он представлялся
потерпевшему;
 содержание смс-сообщений поступивших потерпевшему
от преступника (если таковые имеются);
- кража, совершенная с использованием средств сотовой связи
(когда потерпевший лично предоставил преступнику данные о своей
банковской карте, пароли из смс-сообщений, CVV-код и тд.), при
получении объяснения о данном виде преступления, должностному
лицу в обязательном порядке необходимо указывать следующие
сведения:
 абонентские номера телефонов потерпевшего и
преступника;
 номер счета (карты) потерпевшего и преступника;
 номер IMEI устройства потерпевшего;
 сведения о преступнике, которыми он представлялся
потерпевшему;
 содержание смс-сообщений поступивших потерпевшему
от преступника (если таковые имеются).
2.3.3. Истребует у заявителя и приобщает к материалу
проверки:
- детализацию телефонных соединений за период его общения
с подозреваемым;
- расширенную выписку о движении денежных средств по
счету потерпевшего, а также сведения о наличии, либо отсутствии
подключенной услуги «Мобильный банк», с указанием абонентских
номеров;
- все чеки, квитанции, интернет переписку, выписки по
банковскому счету, банковскую карту, со счета которой похищались
денежные средства, скриншот переписки с мошенником,
сохранившиеся у потерпевшего.
2.3.4. Устанавливает, куда перечислены денежные средства,
месторасположение банка, кто и где снял денежные средства, на кого
23

зарегистрирован счет, направляет соответствующий запрос в


установленные кредитные организации.
2.3.5. Приобщает видеозаписи с камер уличного
видеонаблюдения, где непосредственно была осуществлена передача
денежных средств, камер видеонаблюдения установленных в банках,
торговых центрах, банкоматах и т.д., где осуществлялся перевод.
2.3.6. Сообщает в дежурную часть сведения об обстоятельствах
совершенного преступления, приметах подозреваемых лиц, а также
другие данные имеющие доказательственное значение для
дальнейшего внесения данных сведений в оперативную сводку и
проведения качественного анализа.
2.3.7. Принимает процессуальное решение по материалу
предварительной проверки в соответствии с приказом Министра
внутренних дел Российской Федерации генерала полиции Российской
Федерации В.А. Колокольцева № 196 от 3 апреля 2018 года
«О некоторых мерах по совершенствованию организации раскрытия и
расследования отдельных видов хищений», если иное не
предусмотрено действующим законодательством.
2.3.8. При получении поручения следователя (дознавателя)
по уголовному делу о дистанционном мошенничестве запрашивает
сведения у сотовых операторов:
 паспортные данные владельца абонентского номера;
 детализацию звонков за последние три-шесть месяцев (эти
сведения позволяют определить, сколько у мошенника сотовых
аппаратов (IMEI), как часто он меняет абонентские номера, а также
избавляется ли он от Sim-карты после совершения мошеннических
действий или же использует повторно;
 использованные для связи абонентские устройства (IMEI);
 использованные для связи базовые станции с указанием адреса
расположения и технических характеристик;
 информацию о входящих и исходящих платежах по лицевому
счету абонентского номера;
 информацию об IP-адресах, использованных для входа в
личный кабинет сотового оператора по управлению данным номером.
Так как в большинстве случаев мошенник использует абонентские
номера, зарегистрированные на подставных лиц, и все операции по
управлению абонентским номером проводит через личный кабинет,
тем самым оставляя «след» в виде своего
IP-адреса;
24

– копию регистрационной формы – документ, который


заполняет продавец Sim-карты при ее регистрации. Помимо
установочных данных в нем мы узнаем данные об адресе торговой
точки, где она была реализована, а также данные продавца.
2.3.9. При получении поручения следователя (дознавателя) по
уголовному делу о дистанционном мошенничестве запрашивает
сведения по банковским картам и расчетным счетам:
По банковской карте:
- информацию о паспортных данных владельца банковской
карты;
- информацию о движении денежных средств по банковской
карте и местах их обналичивания за последние полгода с указанием
точного времени проведения приходных и расходных операций,
номера и коды транзакций и др.
Проанализировав полученную информацию за последние
полгода, возможно определить наиболее часто используемые
банкоматы, которые, как показывает практика, находятся рядом с
домом мошенника или местом частого посещения (работа, торговый
центр, адрес родственников и т.д.), информацию о регулярно
оплачиваемых абонентских номерах (личный номер, номер
родственников или друзей), а также о торговых точках или интернет
магазинах, на которых совершались покупки. Каждый интернет-
магазин предоставит информацию об адресе мошенника, на который
почтовым переводом был отправлен приобретенный товар.
- информацию об абонентских номерах, привязанных к данной
банковской карте услугой «мобильного банка», где и каким образом
они были подключены;
- информацию об адресе офиса банка, в котором была открыта
банковская карта;
- информацию об IP-адресах, использованных для входа в
он-лайн сервис по управлению данной банковской картой.
По расчетному счету в дополнение к указанным выше сведениям
необходимо запрашивать информацию о банковских картах,
открытых по данному расчетному счету.
2.3.10. При получении поручения следователя (дознавателя) по
уголовному делу о дистанционном мошенничестве запрашивает
сведения по электронным кошелькам (Qiwi, Яндекс.Деньги и др.):
- о паспортных данных владельца электронного кошелька;
- о способе и месте идентификации электронного кошелька;
25

- об абонентском номере, с использованием которого был


создан электронный кошелек;
- об абонентских номерах, привязанных к электронному
кошельку;
- о виртуальных банковских картах, которые были выпущены
по данному электронному кошельку;
- о пластиковых картах, выпущенных по данному кошельку,
способ их получения (адрес почтового отправления);
- о входящих и исходящих платежах по электронному
кошельку с момента его регистрации;
- об IP-адресах, использованных для совершения денежных
транзакций, а также администрирования электронного кошелька.
2.3.11. При получении поручения следователя (дознавателя) по
уголовному делу о дистанционном мошенничестве запрашивает
сведения по сайтам объявлений (Авито, Авто и др.):
Если мошенник выступает как продавец:
2.3.12. Информацию о лице, разместившем объявление о
продаже (наименование товара) с абонентского номера (номер
мошенника):
- установочные данные;
- абонентские номера и электронные почты;
- IP-адреса;
использованные для регистрации, создания и
администрирования объявлений.
2.3.13. Аналогичную информацию об иных объявлениях
данного лица, созданных с использованием того же абонентского
номера или электронной почты;
2.3.14. Аналогичную информацию об иных объявлениях
данного лица, установленных при анализе Cookie-файлов.

Если мошенник выступает как покупатель:

2.3.15. Информацию об IP-адресах пользователей сайта,


просматривавших объявление потерпевшего (номер объявления).
Запрашивать сведения по социальным сетям:

2.3.16. Информацию о пользователе страницы социальной сети


(ссылка на страницу, например https://vk.com/id410077130):
- установочные данные;
26

- использованные им для регистрации абонентские номера и


электронные почты;
- IP-адреса использованные для создания и доступа к странице
за последние два месяца;
2.3.17. Аналогичную информацию по иным страницам
социальной сети «Вконтакте» данного пользователя, установленных
при анализе Cookie-файлов (данный пункт не запрашивается в случае
взлома страницы потерпевшего или страниц его друзей.
2.3.18. запрашивает сведения по доменному имени сайта:
- о паспортных данных регистратора доменного имени;
- об использованных для регистрации абонентских номерах
и электронных почтах;
- каким образом была произведена регистрация пользователя;
- об IP-адресах, использованных для регистрации доменного
имени;
- об IP-адресах, использованных для входа в личный кабинет
или панель управления для администрирования доменного имени;
- об оплате услуг регистрации и аренды доменного имени,
с указанием полных реквизитов плательщика.
2.3.19. Запрашивает сведения по арендуемому хостингу:
- о паспортных данных арендатора хостинга;
- об использованных для аренды абонентских номерах и
электронных почтах;
- каким образом была произведена регистрация пользователя;
- об IP-адресах, использованных для аренды хостинга;
- об IP-адресах, использованных для входа в личный кабинет
или панель управления для администрирования хостинга;
- об оплате услуг аренды хостинга, с указанием полных
реквизитов плательщика.
2.3.20. Запрашивает сведения у Интернет-провайдера:
Информацию о пользователе и адресе использованного
оборудования, которому был выдан интересующий IP-адрес в
интересующий промежуток времени.
2.9.21. Запрашивает сведения по электронной почте:
- о паспортных данных владельца электронной почты;
- об использованных для регистрации абонентских номерах;
- об IP-адресах, использованных для доступа к электронной
почте за максимально известный период.
2.3.22. Запрашивает сведения у провайдера SIP- телефонии:
27

- о паспортных данных владельца абонентского номера;


- об использованных для регистрации абонентских номерах,
электронных почтах;
- каким образом была произведена регистрация пользователя;
- об IP-адресах, использованных для регистрации абонентского
номера;
- об IP-адресах, использованных для входа в личный кабинет,
панель управления по администрированию данным абонентским
номером;
- об IP-адресах, использованных для осуществления звонков;
- об абонентских номерах, на которые осуществлялась
переадресация звонков;
- статистика звонков за интересующий период; информацию об
оплате услуг связи, с указанием полных реквизитов плательщика.
2.4. Сотрудник экспертно-криминалистического
подразделения при осмотре осуществляет процессуальные
полномочия специалиста по обнаружению, закреплению и изъятию
предметов в порядке, установленном статьей 58 УПК РФ.
Кроме того, оказывает содействие следователю (дознавателю)
в обнаружении, фиксации, изъятии, упаковке, а также сохранении
предметов и следов преступления. Проводит исследования предметов
и следов на месте происшествия для получения сведений об
обстоятельствах преступления и о лицах, причастных к его
совершению; обсуждает со следователем (дознавателем), исходя из
особенностей места происшествия, необходимость, целесообразность
и последовательность применения тех или иных технических средств.
Оказывает содействие в полном и точном отражении в протоколе
осмотра сведений, полученных в результате применения технических
средств. Принимает участие в выдвижении версий относительно
произошедшего события, лиц, их совершивших;

2.5. Алгоритм контроля за принятием процессуальных


решений по сообщениям о преступлениях (происшествиях),
совершенных дистанционным способом, по которым уголовные
дела не возбуждены в дежурные сутки

2.5.1. Начальник дежурной части территориального органа


МВД России по г. Москве на районном уровне, ежедневно
осуществляет доклад начальнику штаба подразделения о сообщениях
28

(происшествиям), совершенных дистанционным способом, по


которым уголовные дела не возбуждены в дежурные сутки;
2.5.2. Начальник штаба территориального органа МВД России
по г. Москве на районном уровне, ежедневно предоставляет
начальнику подразделения сведения о зарегистрированных на
территории оперативного обслуживания сообщениях о преступлениях
указанной категории, процессуальное решение по которым не
принято в течение 3-х суток;
2.5.3. Начальник территориального органа МВД России по
г. Москве на районном уровне по истечении 3-х суток с момента
регистрации сообщений организует заслушивание руководства
подразделения уголовного розыска и следственного подразделения,
определяет перечень мероприятий, необходимых для принятия
решения о возбуждении уголовного дела, недопущения продления
срока процессуальной проверки свыше 10 суток, их ответственных
исполнителей;
2.5.4. Начальник штаба УВД по АО ГУ МВД России по
г. Москве еженедельно анализирует сообщения о преступлениях
указанной категории и докладывает начальнику подразделения о
результатах работы по принятию решений о возбуждении уголовных
дел, недопущению продления срока проверки свыше 10 суток, их
ответственных исполнителей;
2.5.5. Начальник ДЧ ГУ МВД России по г. Москве докладывает
ежедневно заместителю начальника полиции ГУ МВД России по
г. Москве о наличии сообщений о преступлении указанной категории,
по которым уголовные дела не возбуждены в дежурные сутки,
направляет ежемесячно, до 5 числа в УУР и ГСУ ГУ МВД России по
г. Москве сведения о сообщениях о преступлениях указанной
категории, по которым не приняты процессуальные решения в срок
свыше 10-ти суток.

3. Сведения, представляющие интерес для расследования


уголовного дела

3.1 Сведения, которые необходимо запрашивать у сотовых


операторов

С информацией о запрашиваемых сведениях можно


ознакомиться в разделах 1.1 – 1.5:
29

паспортные данные владельца абонентского номера;


детализация звонков за последние три месяца – эти сведения
позволяют определить, сколько у мошенника сотовых аппаратов
(IMEI), как часто он меняет абонентские номера, а также избавляется
ли он от Sim-карты после совершения мошеннических действий или
же использует повторно;
- использованные для связи IMEI за последние три месяца;
использованные для связи базовые станции за последние три
месяца с указанием следующих технических характеристик:
количество секторов (антенных блоков в месте установки), азимут
направленности использованных антенных блоков и угол
охватываемой ими территории;
информацию о входящих и исходящих платежах по
лицевому счету абонентского номера;
информацию об IP-адресах, использованных для входа
в личный кабинет сотового оператора по управлению данным
номером. Так как в большинстве случаев мошенник использует
абонентские номера, зарегистрированный на подставных лиц, и все
операции по управлению абонентским номером проводит через
личный кабинет, тем самым оставляя «след» в виде своего IP-адреса;
копию регистрационной формы – документ, который
заполняет продавец Sim-карты при ее регистрации. Помимо
установочных данных в нем мы узнаем данные о адресе торговой
точки, где она была реализована, а также данные продавца. К этому
лицу у следствия также должны возникнуть обоснованные вопросы.

3.2 Сведения, которые необходимо запрашивать по банковским


картам и расчетным счетам

С информацией о запрашиваемых сведениях можно


ознакомиться в разделах 1.4 – 1.5.
По банковской карте:
информацию о паспортных данных владельца банковской
карты;
информацию о движении денежных средств по банковской
карте и местах их обналичивания за последние полгода с указанием
точного времени проведения приходных и расходных операций,
номера и коды транзакций и др. Проанализировав полученную
информацию за последние полгода, возможно определить наиболее
30

часто используемые банкоматы, которые, как показывает практика,


находятся рядом с домом мошенника или местом частого посещения
(работа, торговый центр, адрес родственников и т.д.), информацию о
регулярно оплачиваемых абонентских номерах (личный номер, номер
родственников или друзей); а также о торговых точках или интернет
магазинах, на которых совершались покупки. Каждый интернет-
магазин предоставит информацию об адресе мошенника, на который
почтовым переводом был отправлен приобретенный товар.
информацию об абонентских номерах, привязанных к
данной банковской карте услугой «мобильного банкинга», где и
каким образом они были подключены;
информацию об адресе офиса банка, в котором была открыта
банковская карта;
информацию об IP-адресах, использованных для входа в
онлайн-сервис по управлению данной банковской картой.
По расчетному счету необходимо запрашивать аналогичную
информацию, а также:
информацию о банковских картах, открытых по данному
расчетному счету.

3.3. Сведения, которые необходимо запрашивать по электронным


кошелькам (Qiwi, Яндекс.Деньги и др.)

С информацией о запрашиваемых сведениях можно


ознакомиться в разделах 1.4 и 1.5:
информацию о паспортных данных владельца электронного
кошелька;
информацию о способе и месте идентификации
электронного кошелька;
информацию об абонентском номере, с использованием
которого был создан электронный кошелек;
информацию об абонентских номерах, привязанных к
электронному кошельку;
информацию о виртуальных банковский картах, которые
были выпущены по данному электронному кошельку;
информацию о пластиковых картах, выпущенных по
данному кошельку, способ их получения (адрес почтового
отправления);
31

информацию о входящих и исходящих платежах по


электронному кошельку с момента его регистрации;
информацию об IP-адресах, использованных для совершения
денежных транзакций, а также администрирования электронного
кошелька.

3.4 Сведения, которые необходимо запрашивать по сайтам


объявлений (Авито, Юла и др.)

С информацией о запрашиваемых сведениях можно


ознакомиться в разделах 1.4 и 1.8:

Если мошенник выступает как продавец:


информацию о лице, разместившем объявление о продаже
(наименование товара) с абонентского номера (номер мошенника):
 установочные данные;
 использованные им для регистрации абонентские номера и
электронные почты;
 использованные для создания и администрирования
объявлений IP-адреса.
 аналогичную информацию о иных объявлениях данного лица,
созданных с использованием того же абонентского номера или
электронной почты;
 аналогичную информацию о иных объявлениях данного лица,
установленных при анализе Cookie-файлов.
 Если мошенник выступает как покупатель:
 информацию об IP-адресах пользователей сайта,
просматривавших объявление потерпевшего (номер
объявления).

3.5. Сведения, которые необходимо запрашивать по социальным


сетям.

С информацией о запрашиваемых сведениях можно


ознакомиться в разделах 1.4 и 1.8:
информацию о пользователе страницы социальной сети
(ссылка на страницу, например https://vk.com/id410077130):
 установочные данные,
32

 использованные им для регистрации абонентские номера и


электронные почты;
 IP-адреса использованные для создания и доступа к странице
за последние два месяца;
 аналогичную информацию по иным страницам социальной
сети «Вконтакте» данного пользователя, установленных при
анализе Cookie-файлов (данный пункт не запрашивается в
случае взлома страницы потерпевшего или страниц его
друзей).

3.6. Сведения, которые необходимо запрашивать по


доменному имени сайта

С информацией о запрашиваемых сведениях можно ознакомиться


в разделах 1.4, 1.6 и 1.8:
 информацию о паспортных данных регистратора доменного
имени;
 информацию об использованных для регистрации абонентских
номерах и электронных почтах;
 информацию о том, каким образом была произведена
регистрация пользователя;
 информацию об IP-адресах, использованных для регистрации
доменного имени;
 информацию об IP-адресах, использованных для входа в
личный кабинет или панель управления для
администрирования доменного имени;
 информацию об оплате услуг регистрации и аренды доменного
имени, с указанием полных реквизитов плательщика;
 аналогичную информацию по иным доменным именам,
зарегистрированным данным пользователем, установленным
при анализе Cookie-файлов.

3.7 Сведения, которые необходимо запрашивать по арендуемому


хостингу

С информацией о запрашиваемых сведениях можно


ознакомиться в разделах 1.4, 1.6 и 1.8:
 информацию о паспортных данных арендатора хостинга;
33

 информацию об использованных для аренды абонентских


номерах и электронных почтах;
 информацию о том, каким образом была произведена
регистрация пользователя;
 информацию об IP-адресах, использованных для аренды
хостинга;
 информацию об IP-адресах, использованных для входа в
личный кабинет или панель управления для
администрирования хостинга;
 информацию об оплате услуг аренды хостинга, с указанием
полных реквизитов плательщика;
 аналогичную информацию по иным хостингам, арендуемым
данным пользователем, установленным при анализе Cookie-
файлов.
3.8 Сведения, которые необходимо запрашивать у нтернет-
провайдера

С информацией о запрашиваемых сведениях можно


ознакомиться в разделах 1.4:
информацию о пользователе и адресе использованного
оборудования, которому был выдан интересующий нас IP-адрес в
интересующий нас промежуток времени.

3.9. Сведения, которые необходимо запрашивать по


электронной почте

С информацией о запрашиваемых сведениях можно


ознакомиться в разделах 1.4:
 информацию о паспортных данных владельца электронной
почты;
 информацию об использованных для регистрации
абонентских номерах;
 информацию об IP-адресах, использованных для доступа к
электронной почте за максимально известный период;
 аналогичную информацию по иным электронным почтам,
зарегистрированным данным пользователем, установленным
при анализе Cookie-файлов.
34

3.10 Сведения, которые необходимо запрашивать у провайдера


SIP- телефонии.

С информацией о запрашиваемых сведениях можно


ознакомиться в разделах 1.4, 1.6-1.8:
 информацию о паспортных данных владельца абонентского
номера;
 информацию об использованных для регистрации абонентских
номерах, электронных почтах;
 информацию о том, каким образом была произведена
регистрация пользователя;
 информацию об IP-адресах, использованных для регистрации
абонентского номера;
 информацию об IP-адресах, использованных для входа в
личный кабинет, панель управления по администрированию
данным абонентским номером;
 информацию об IP-адресах, использованных для
осуществления звонков;
 информацию об абонентских номерах, на которые шла
переадресация звонков;
 статистика звонков за интересующий период; информацию об
оплате услуг связи, с указанием полных
 реквизитов плательщика.

4. Алгоритм анализа совершенных преступлений в области


информационно-коммуникационных технологий общеуголовной
направленности квалифицированных по п.п. «в,г» ч. 3 ст. 158, п.
«б» ч. 4 ст. 158, ст. 159 УК РФ.

4.1. Открыть сервис СОДЧ ИСОД МВД России, кликнуть по синей


кнопке с надписью «Воспользоваться сервисом».
35

4.2. В открывшемся окне, в левой части экрана на панели задач


открыть раздел «Сводка» и выбрать пункт «Журнал».

4.3. Нажать на зеленую кнопку с надписью «Расширенный поиск».

4.4. В поле «Дата передачи в сводку с:» вводим дату и время, справа
ставим галочку «Экспорт в файл».

4.5. Выбираем территориальный орган в поле «Тер. Орган», в поле


«Статья» выбираем «п. "в" ч. 3 ст. 158, п."г" ч. 3 ст. 158, п. «б» ч. 4
ст. 158, ст. 159», в поле «Раскрытие» выбираем «Не раскрыто».
36

4.6. В правом нижнем углу экрана нажимаем на кнопку «Выгрузить в


Excel».

4.7. В левой части экрана на панели задач открыть раздел «Сводка»,


выбрать пункт «Отчеты» и скачать выгруженный файл.

4.8. Открываем загруженную таблицу Excel и удаляем столбцы с


названиями: «Вид преступления», «Тип происшествия», «Дата
происшествия», «Тер.орган», «Тяжесть», «Решение», «Дата
принятия решения», «Раздел сводки», «Служба раскрытия»,
«Раскрытие», «Принятые меры».
4.9. В загруженную таблицу Excel добавляем столбцы со следующими
названиями: «аб. № преступника», «аб. № потерпевшего»,
«сайт/почта», «р/с преступника», «р/с потерпевшего», «№
банковской карты потерпевшего», «№ банковской карты
преступника», «предлог».
4.10. Для заполнения добавленных столбцов указанных в п. 9
необходимо открывать и просматривать информацию в столбце
«Фабула происшествия».
4.11. Преступления, указанные в таблицы Excel не относящееся к
категории «дистанционное хищение» необходимо удалять из
таблицы.
4.12 Правила заполнения данных таблицы
37

 Вносить абонентские номера в столбце «аб.№ преступника» и


«аб.№ потерпевшего» слитно без префикса (7,+7, 8) в формате
4951234567, 9261155115.
 В столбец «сайт/почта» вводить данные без кавычек в формате
www.primer.ru, primer@mail.ru.
 В столбец «р/с преступника», «р/с потерпевшего» вносить
номера расчётных счетов в формате №
111111110000000111111, обязательно перед цифрами ставить
«№» и пробел после него, все цифры писать слитно без
пробелов.
 Столбцы «№ банковской карты потерпевшего», «№ банковской
карты преступника» заполнять по аналогии с пунктом 3.
 В столбец «предлог» вносить данные в зависимости от
информации указанной в фабуле строго определенными
предложениями, если лицо представлялось сотрудником
любого банка, кроме «ВТБ» и «Сбербанк» то записывается
«представляется сотрудником банка» (без кавычек, не
используя склонения и сокращения).
 В случае, когда лицо представляется сотрудником «Сбербанка»
или «ВТБ» записывается «представляется сотрудником
"Сбербанка"» или «представляется сотрудником "ВТБ"».
 Когда указано что мошеннические действия были произведены
с использованием частных объявлений в сети интернет, в
столбце «предлог» указывать «сайты частных объявлений».
 Столбцы, по которым отсутствуют данные в фабуле
заполняются формулировкой «н/у» (без кавычек).
38

5. Схемы расследования наиболее частых


телефонных и интернет мошенничеств.

5.1. Схема 1. Мошенничества через сайты объявлений.


Мошенник-продавец

Мошенник размещает на сайтах объявлений (Авито, Юла, Циан и


др.) информацию о продаже какого-либо товара, сдаче в аренду жилых
помещений или же оказании тех или иных услуг, за которые в последующем
получает предоплату, тем самым похищая деньги.
поручение на допрос
владельца абонентского далее по
номера и продавца Sim- обстоятельствам
карты

Запрос по IP-адресу постановление на обыск

запрос по абонентскому запрос на дальнейшее


номеру мошенника запрос по банковской
движении денежных карте или электронному
средств (если деньги кошельку мошенника
переводили на номер)
запрос на получение
анализ детализации образца голоса при звонке
на горячие линии
звонков и
расположения базовой
поручение на установение
станции ранее судимых и цыган,
проживающих в секторе
потерпевшего и свидетелей

запрос по
запрос по установленному IP-
установленной
адресу
электронной почте

запрос по объявлению запрос по постановление на обыск


мошенника установленному IP-
адресу
Допрос

анализ дополнительных далее по


объявлений, обстоятельствам
установленных при
помощи Cookie
запрос на видео с
банкомата (в случае
снятия)
запрос на дальнейшее
движение денежных запрос по покупке (в
средств случае покупки в
интернет магазинах)
запрос по банквской
карте или электронному запрос по постановление на обыск
кошельку мошенника установленному IP-
адресу

запросы по новым
далее по аналогии
установленным
ресурсам (абонентские
номера, эл.почты, и др.)
39

5.2. Схема 2. Мошенничества через сайты объявлений.


Мошенник-покупатель.

Мошенник звонит по объявлению потерпевшего, размещенному на


сайте (Авито, Юла, Циан и др.) и говорит, что желает приобрести его товар и
готов внести задаток, для чего просит продиктовать контрольные данные по
банковской карте и поступивший код. Получив данные сведения
осуществляют перевод через онлайн сервисы или совершая покупку. Или же
мошенник просит подойти к банкомату и выполнить ряд комбинаций,
подключая мобильный банк, и в последующем похищая денежные средства.
поручение на допрос
владельца абонентского далее по обстоятельствам
номера и продавца Sim-
карты

запрос на дальнейшее
запрос по банковской карте
движении денежных
или электронному кошельку
средств (если деньги
мошенника
переводили на номер)
запрос по абонентскому
номеру мошенника
Запрос по IP-адресу постановление на обыск

запрос на получение
образца голоса при звонке
анализ детализации звонков на горячие линии
и расположения базовой
потерпевшего и свидетелей

станции поручение на
установление ранее
судимых и цыган,
проживающих в секторе
запрос на установление
пользователей запрос по установленному
просматривавших IP-адресу постановление на обыск
объявление
Допрос

запрос на видео с
запрос на дальнейшее банкомата (в случае снятия)
движение денежных
средств
запрос по покупке (в случае
покупки в интернет
магазинах)
запрос по банковской карте
или электронному кошельку запрос по установленному
мошенника IP-адресу постановление на обыск

анализ наиболее частых


мест снятие денежных
средств, интернет покупок далее по обстоятельствам
и др.
40

5.3. Схема 3. Мошенничества со взломом страниц социальных


сетей

Мошенник покупает в сети интернет взлом страницы социальной


сети (Вконтакте, Одноклассники, Друг Вокруг и др.) или осуществляет его
самостоятельно. В последующем пишет всем друзьям из списка сообщения
мошеннического характера с просьбой занять денежные средства под
различными предлогами (заболел родственник, не хватает на срочную
покупку и т.д.).

Запрос по
Запрос по постановление
взломанной
установленным
странице на обыск
IP-адресам
социальной сети
потерпевшего и свидетелей

запрос на видео
с банкомата (в
запрос на случае снятия)
дальнейшее
движение запрос по
денежных покупке (в
средств случае покупки
в интернет
Допрос

магазинах)
запрос по постановление
запрос по установленному
банковской на обыск
IP-адресу
карте
или
анализ наиболее
электронному частых мест снятие
кошельку денежных средств, далее по
мошенника интернет покупок и обстоятельствам
др.

Запрос по новым
установленным
ресурсам
далее по аналогии
(абонентские
номера, эл. почты и
др.)
41

5.4 Схема 4. Мошенничества, совершенное с использованием


интернет сайтов (Интернет магазинов)

Мошенник создает (или покупает) интернет сайт по продаже товара


различной тематики. Регистрирует несколько виртуальных номеров (8-800-…, 8-
495-... и др.) у SIP-провайдера и указывает их на сайте в качестве контактов. В
последующем принимает покупателей, получая от них денежные средства за
покупку товара с сайта.

запрос по установленным IP-


постановление на обыск
адресам

Запрос по установленным
абонентским номерам и эл. далее по аналогии
почтам
Запрос SIP-провайдеру по
абонентскому номеру
мошенника поручение на допрос
владельца абонентского далее по обстоятельствам
номера

запросы по установленным
запрос по счетам, с которых
ресурсам (видео с
оплачивались услуги
банкоматов, IP-адреса,
телефонии
абонентские номера и др.)

поручение на допрос
регистратора доменного далее по обстоятельствам
имени
потерпевшего и свидетелей

Запрос по установленным
абонентским номерам и эл. далее по аналогии
почтам
запрос по регистратору
доменного имени сайта запросы по установленным
запрос по счетам, с которых
ресурсам (видео с
оплачивались услуги
банкоматов, IP-адреса,
Допрос

телефонии
абонентские номера и др.)

запрос по установленным IP-


постановление на обыск
адресам

запрос по установленным IP-


постановление на обыск
адресам

Запрос по установленным
абонентским номерам и эл. далее по аналогии
почтам
запрос по арендатору
хостинга сайта запросы по установленным
запрос по счетам, с которых
ресурсам (видео с
оплачивались услуги
банкоматов, IP-адреса,
телефонии
абонентские номера и др.)

поручение на допрос
регистратора доменного далее по обстоятельствам
имени
42

5.5 Схема 5. Мошенничество, совершенное под предлогом


заказа банкета (или связь с курьером).

Мошенник звонит в организацию и говорит, что желает воспользоваться ее


услугами по заказу банкета, заказу крупной партии товара или прочих услуг. Далее
он сообщает адрес, где бы он хотел встретиться в представителем компании и
спрашивает его телефон. В последующем он связывается с представителем и просит
последнего по пути полонить счет абонентского номера (или банковской карты) на
неопределенную сумму, которую он отдаст при встрече.

поручение на допрос
владельца абонентского далее по обстоятельствам
номера и продавца Sim-
карты

Запрос по IP-адресу постановление на обыск

запрос по абонентским
номерам мошенника запрос на дальнейшее
запрос по банковской
движении денежных
карте или электронному
средств (если деньги
переводили на номер) кошельку мошенника

запрос на получение
образца голоса при звонке
потерпевшего и свидетелей

анализ детализации на горячие линии


звонков и расположения
базовой станции поручение на
установление ранее
судимых и цыган,
проживающих в секторе
Допрос

запрос на видео с
запрос на дальнейшее банкомата (в случае снятия)
движение денежных
средств
запрос по покупке (в случае
покупки в интернет
магазинах)
запрос по банковской карте
или электронному кошельку запрос по установленному
мошенника IP-адресу постановление на обыск

запросы по новым
установленным ресурсам
(абонентские номера, далее по аналогии
эл.почты, и др.)
43

5.6 Схема 6. Мошенничество, совершенное под предлогом


разблокировки банковской карты или предотвращения списания
денежных средств.
Мошенник осуществляет рассылку SMS-сообщений с текстом о списании
денежных средств или блокировке банковской карты. В данном сообщении
указывает свой другой абонентский номер (иногда виртуальный 8-800-…, 8-495-…
и др.), который может проинформировать о произошедшем. Потерпевший звонит по
данному номеру, после чего мошенник либо просит сообщить контрольные данные
банковской карты, либо просит подойти к банкомату (аналогично схеме 2).
поручение на допрос
владельца абонентского далее по обстоятельствам
номера и продавца Sim-
карты

Запрос по IP-адресу постановление на обыск

запрос по абонентским
номерам мошенника запрос на дальнейшее
запрос по банковской
движени денежных
карте или электронному
средств (если деньги
кошельку мошенника
переводили на номер)
запрос на получение
образца голоса при
анализ детализации звонке на горячие линии
звонков и расположения
базовой станции поручение на
установление ранее
судимых и цыган,
проживающих в секторе
потерпевшего и свидетелей

запрос на видео с банкомата


запрос на дальнейшее (в случае снятия)
движение денежных
средств запрос по покупке (в
случае покупки в
интернет магазинах)
запрос по банквской
карте или электронному запрос по
Допрос

постановление на обыск
кошельку мошенника установленному IP-адресу

запросы по новым
установленным ресурсам далее по аналогии
(абонентские номера,
эл.почты, и др.)

запрос на установленные постановление на обыск


IP-адреса

запрос на установленные
абонентские номера и эл. далее по аналогии
запрос SIP-провайдеру почты
(в случае наличия
виртуального номера) поручение на допрос
лица, на кого далее по обстоятельствам
зарегистрирован номер

запрос по счетам, с запросы по установленным


которых оплачивались ресурсам (видео, , IP-адреса и
услуги телефонии абонентские номера и др.)
44

5.7 Схема 7. Мошенничество, совершенное под предлогом помощи


родственнику, попавшему в беду

На стационарный или абонентский номер потерпевшего звонит


мошенник, который обращается под видом родственника (привет мама,
привет бабушка и т.д.). Сообщает, что попал в ДТП и сбил человека, с кем-
то подрался и т.д., а после передает трубку сотруднику полиции, который за
отдельную плату предлагает решить вопрос об отказе в возбуждении
уголовного дела.

поручение на допрос
владельца абонентского далее по обстоятельствам
номера и продавца Sim-
карты

Запрос по IP-адресу постановление на обыск

запрос по абонентским
номерам мошенника запрос на дальнейшее
запрос по банковской
движении денежных
средств (если деньги
карте или электронному
переводили на номер) кошельку мошенника

запрос на получение
образца
потерпевшего и свидетелей

анализ детализации голоса при звонке на


звонков и расположения горячие линии
базовой станции поручение на установление
ранее судимых и цыган,
проживающих в секторе

запрос на видео с
Допрос

банкомата (в случае снятия)


запрос на дальнейшее
движение денежных
средств запрос по покупке (в случае
покупки в интернет
магазинах)

запрос по банковской карте


или электронному кошельку запрос по установленному постановление на обыск
мошенника IP-адресу

запросы по новым
установленным ресурсам далее по аналогии
(абонентские номера,
эл.почты, и др.)
45

5.8 Схема 8. Мошенничество, совершенное под предлогом


компенсации за ранее приобретенные БАДы

На стационарный или абонентский номер потерпевшего звонит


мошенник, который, представляется сотрудником прокураторы или
правоохранительных органов. Он сообщает, что в настоящий момент
задержана группа мошенников, продававших некачественный БАДы, и что
потерпевшему положена компенсация. Однако для ее получения необходимо
оплатить государственную пошлину или налоговый сбор.

поручение на допрос
владельца абонентского далее по обстоятельствам
номера и продавца Sim-
карты

Запрос по IP-адресу постановление на обыск

запрос по абонентским
номерам мошенника запрос на дальнейшее
запрос по банковской
движении денежных
средств (если деньги
карте или электронному
переводили на номер) кошельку мошенника

запрос на получение
образца
потерпевшего и свидетелей

анализ детализации голоса при звонке на


звонков и расположения горячие линии
базовой станции поручение на установление
ранее судимых и цыган,
проживающих в секторе

запрос на видео с
Допрос

банкомата (в случае снятия)


запрос на дальнейшее
движение денежных
средств запрос по покупке (в случае
покупки в интернет
магазинах)

запрос по банковской карте


или электронному кошельку запрос по установленному постановление на обыск
мошенника IP-адресу

запросы по новым
установленным ресурсам далее по аналогии
(абонентские номера,
эл.почты, и др.)
46

5.9 Схема 9. Мошенничество, совершенное с использованием


вредоносных программ на ОС «Android»

Потерпевшему на сотовый телефон с операционной системой «Android» с


неизвестного номера приходят SMS-сообщения с текстом: «Здравствуйте, я по
Вашему объявлению. Не интересует обмен с доплатой? Ссылка:
www.avit.o.ru/FriZksk)», или SMS-сообщение с текстом: «Смотри как мы здорово
получились на этой фотографии. Ссылка www.bit.ly/ZreizЕ1eaАа)». Потерпевший
проходит по данной ссылке, в результате чего загружает на свой телефон вирус
(чаще всего используются вирусы под названием «Triada» и «Marcher»),
предоставляющий злоумышленнику доступ к SMS-командам. В дальнейшем
мошенник похищает деньги, путем направления сообщений на номер «900».
поручение на допрос
владельца абонентского далее по обстоятельствам
номера и продавца Sim-
карты

Запрос по IP-адресу постановление на обыск

запрос по абонентским
номерам мошенника запрос на дальнейшее
запрос по банковской
движении денежных
средств (если деньги
карте или электронному
переводили на номер) кошельку мошенника

запрос на получение
образца голоса при звонке
анализ детализации на горячие линии
звонков и расположения
базовой станции поручение на установление
ранее судимых и цыган,
проживающих в секторе
потерпевшего и свидетелей

запрос на видео с
банкомата (в случае снятия)
запрос на дальнейшее
движение денежных
средств запрос по покупке (в
случае покупки в интернет
магазинах)
Допрос

запрос по банковской карте


или электронному кошельку запрос по установленному
мошенника постановление на обыск
IP-адресу

запросы по новым
установленным ресурсам далее по аналогии
(абонентские номера,
эл.почты, и др.)

назначение компьютеро- запрос по IP-адресу


технической экспертизы сервера, с которым Запрос по установленному
по сотовому аппарату вирус обменивается IP-адресу
потерпевшего пакетами данных
47

5.10 Схема 10. Мошенничество, совершенное с использованием


социальных сетей (интернет магазин «Вконтакте»)

Мошенник создает страницу или группу в социальной сети,


позиционирующую себя как интернет-магазин. В последующем принимает
покупателей, получая от них денежные средства за покупку товара с сайта
Запрос по
установленным IP- постановление на обыск
адресам
Запрос по установленным
Запрос по странице ресурсам (абонентским
(группе) социальной далее по аналогии
номерам, электронной
сети почте и др.)

анализ дополнительных
страниц, установленных с далее по аналогии
использованием Cookie

запрос на видео с банкомата


(в случае снятия)
запрос на дальнейшее
движение денежных запрос по покупке (в
средств случае покупки в
интернет магазинах)
потерпевшего и свидетелей

запрос по постановление на обыск


запрос по банковской установленному IP-
карте или электронному адресу
кошельку мошенника
анализ наиболее частых далее по
мест снятие денежных обстоятельствам
средств, интернет
Допрос

покупок и др.

Запрос по новым далее по аналогии


установленным
ресурсам (абонентские
номера, эл. почты и др.)
далее по
поручение на допрос обстоятельствам
владельца и продавца
Sim-карты
запрос по постановление на обыск
установленному IP-
адресу
запрос на дальнейшее
Запрос по абонентскому запрос на дальнейшее движении денежных средств
номеру мошенника движении денежных (если деньги переводили на
(если таковой имеется) средств (если деньги номер)
переводили на номер)
запрос для получения
образца голоса при звонке
на горячую линию
анализ детализации
поручение на
звонков и расположения установление ранее
базовой станции судимых и цыган,
проживающих в секторе
48
49
50
51
52
53
54
55
56
57
58
59

Заключение

Расследование мошенничеств, совершенных с использованием


средств сотовой связи и сети интернет, требует углубленного анализа
поступающей информации, индивидуального и творческого подхода к
каждому факту совершенного преступления, а также пусть не глубоких, но
специфических познаний, расширение объема которых будет приходить с
опытом.
Целесообразно организовать работу по данному направлению путем
закрепления сотрудников уголовного розыска, дознания и следствия, по
линейному принципу работы, обособленно в каждом отделе полиции.
В дополнении хотелось бы напомнить, что мы живем в 21 веке, и
помимо традиционных почтовых отправлений имеем в своем распоряжении
такие вещи как электронная почта и факс. Множество организаций
понимают, как важно максимально оперативно получить информацию по
преступлениям данного характера, поэтому соглашаются на получение
запросов и предоставления ответов посредством электронного
документооборота или факса.
Общеизвестно, что телефонные и интернет мошенничества часто
носят межрегиональный характер, поэтому для достижения положительных
результатов необходимо поддерживать взаимодействие и осуществлять
обмен информацией с представителями правоохранительных органов иных
субъектов Российской Федерации.