Подделка компьютерной информации способы
Мошенничество в сфере компьютерной информации рассматривается судами как новая форма хищения, как это и предусмотрено законодательством, и большинство криминалистов разделяют данный подход.
Федеральным законом от 29 ноября 2012 г. N 207-ФЗ Уголовный кодекс дополнен нормой об ответственности за мошенничество в сфере компьютерной информации. В пояснительной записке к проекту авторы законопроекта так обосновали предложения о дополнении уголовного закона указанной нормой: «Предлагается также выделить в самостоятельный состав преступления мошенничество в сфере компьютерной информации ( статья 159.6 законопроекта), когда хищение или приобретение права на чужое имущество сопряжено с преодолением компьютерной защиты имущества (имущественных прав) и осуществляется путем ввода, удаления, модификации или блокирования компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей. Подобные преступления совершаются не путем обмана или злоупотребления доверием конкретного субъекта, а путем получения доступа к компьютерной системе и совершения вышеуказанных действий, которые в результате приводят к хищению чужого имущества или приобретению права на чужое имущество» .
Постановление Пленума Верховного Суда РФ от 5 апреля 2012 г. N 6 «О внесении в Государственную Думу Федерального Собрания Российской Федерации проекта Федерального закона «О внесении изменений в Уголовный кодекс Российской Федерации и иные законодательные акты Российской Федерации» // СПС «КонсультантПлюс».
Способом совершения преступления в ст. 159.6 УК РФ названы такие действия, как ввод, удаление, блокирование, модификация, иное вмешательство в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей. Таким образом, обман и злоупотребление доверием способами совершения компьютерного мошенничества не являются. Следовательно, законодатель предусмотрел ответственность за новую форму хищения.
Н., находясь в торгово-развлекательном центре, реализуя свой преступный умысел, направленный на хищение денежных средств, обратился с просьбой к С. воспользоваться его банковской картой с целью установления интернет-обслуживания. При этом Н. дезинформировал С., который, не подозревая о преступных намерениях Н., осуществил в банкомате с использованием своей карты операции, продиктованные Н., и предоставил ему две выданные банкоматом квитанции с данными о своей банковской карте и о находящихся на ней денежных средствах. Завладев конфиденциальной информацией, Н. перевел денежные средства в размере 12 тыс. руб. с банковской карты С. на банковскую карту своего знакомого З. через Интернет. Далее Н., используя банковскую карту З., получил похищенные денежные средства в банкомате. В результате тайного хищения потерпевшему С. причинен значительный ущерб.
Президиум Алтайского краевого суда переквалифицировал действия Н. с п. «в» ч. 2 ст. 158 УК РФ на ч. 2 ст. 159.6 УК РФ, в обоснование своего решения указав следующее.
Судом действия Н. квалифицированы по ч. 2 ст. 159 УК РФ как хищение чужого имущества, совершенное путем обмана, с причинением значительного ущерба потерпевшему. Решение кассационной инстанции о переквалификации действий Н. с ч. 2 ст. 159 УК РФ на ч. 2 ст. 158 УК РФ следует признать ошибочным. Судебная коллегия мотивировала свои выводы тем, что действие осужденного по изъятию денежных средств является тайным, а обман потерпевшего явился средством облегчения совершения хищения. При этом коллегией не учтен особый способ совершения хищения, выделенный законодателем в отдельный состав преступления и являющийся специальной нормой по отношению к ст. 159 УК РФ.
Как установлено судом, осужденный путем обмана завладел информацией о реквизитах банковской карты потерпевшего, после чего получил возможность посредством электронной системы через Интернет управлять счетом С. и перевел с его банковской карты денежные средства на другой счет. Таким образом, описанный способ хищения свидетельствует о вмешательстве в функционирование средств хранения, обработки, передачи компьютерной информации, что подпадает под действие ст. 159.6 УК РФ .
Постановление президиума Алтайского краевого суда от 3 сентября 2013 г. по делу N 44у224/13 // СПС «КонсультантПлюс».
Приведенный пример показывает, что обман как способ совершения хищения не характерен для компьютерного мошенничества . Обман выступил не способом изъятия и обращения чужого имущества в пользу виновного, а способом завладения конфиденциальной информацией, которая в последующем выступила средством совершения компьютерного мошенничества. В данном случае обман находился за рамками объективной стороны компьютерного мошенничества, он относится к подготовительной стадии хищения, а потому на квалификацию деяния не влияет. Само же хищение обоснованно признано оконченным не в момент получения виновным в банкомате наличных денег со счета З., а с момента зачисления их на указанный счет, когда денежные средства еще не обрели вещественную форму и потому не могли согласно доктрине и сложившейся судебной практике рассматриваться как предмет кражи.
Для краткости мы используем криминологическое понятие компьютерного мошенничества, которое с содержательной точки зрения отлично от уголовно-правового мошенничества в сфере компьютерной информации.
В отличие от первого примера в данном деле обман являлся обязательным признаком объективной стороны мошенничества. Даже если считать, что ввод компьютерной информации и иное вмешательство в функционирование средств хранения, обработки или передачи компьютерной информации со стороны ФИО1 имели место, то они относились не к объективной стороне завладения чужим имуществом, а опять-таки к его подготовительной стадии.
Согласно приговору Х., имея умысел на тайное хищение чужого имущества, а именно денежных средств ОАО АКБ «ХХХ» в крупном размере, приискал для совершения преступления необходимые комплектующие и материалы, из которых изготовил два приспособления. Первое устройство позволяло получать (перехватывать) информацию, вводимую держателями карт посредством клавиатуры банкомата, а именно ПИН-коды банковских карт, а второе обеспечивало получение (перехват) информации с магнитных полос банковских пластиковых карт.
Для реализации своих преступных намерений Х. прибыл в дополнительный офис ОАО АКБ «ХХХ», где под видом монтажа устройства, контролирующего доступ в помещение с банкоматом, установил на входную дверь изготовленное им приспособление для получения (перехвата) информации с магнитных полос банковских пластиковых карт. Таким образом, Х. умышленно создал условия, при которых доступ к банкомату дополнительного офиса ОАО АКБ «ХХХ» стал возможен лишь после копирования компьютерной информации с магнитной полосы банковской пластиковой карты в память указанного устройства. Второе изготовленное им приспособление Х. установил непосредственно над экраном лицевой панели банкомата для получения (перехвата) информации, вводимой клиентами банка с клавиатуры банкомата, а именно ПИН-кодов банковских карт, после чего с места преступления скрылся.
Для прохода к банкомату в вышеуказанном офисе клиенты ОАО АКБ «ХХХ» сканировали свои банковские карты через установленное на входной двери Х. приспособление, в результате чего записанная на магнитной полосе пластиковых карт компьютерная информация копировалась в память устройства. Остаток денежных средств на счетах, к которым были прикреплены сканированные карты, варьировался от нескольких рублей до нескольких сот тысяч рублей и составил в общей сумме 487521 (четыреста восемьдесят семь тысяч пятьсот двадцать один) рубль 10 копеек.
При попытке демонтировать установленные им устройства для того, чтобы использовать скопированную и сохраненную в их памяти компьютерную информацию с магнитных полос банковских карт и ПИН-коды к ним с целью тайного хищения в крупном размере находящихся на счетах денежных средств, принадлежащих ОАО АКБ «ХХХ», Х. был задержан и потому довести свой преступный умысел до конца не смог по независящим от него обстоятельствам. Х. осужден за приготовление к краже в крупном размере, а также за неправомерный доступ к охраняемой законом компьютерной информации, повлекший копирование компьютерной информации, совершенный из корыстной заинтересованности ( ч. 1 ст. 30 УК РФ, п. «в» ч. 3 ст. 158 УК РФ, ч. 2 ст. 272 УК РФ) .
Приговор Московского городского суда от 24 апреля 2013 г. по делу N 10-2268/2013 г. // СПС «КонсультантПлюс».
Обоснованность подобной квалификации вызывает сомнения в части квалификации по ст. 158 УК РФ. Попутно отметим, что деяние, предусмотренное ч. 2 ст. 272 УК РФ (по признаку «совершенное из корыстной заинтересованности») оценено судом верно как оконченное преступление вне зависимости от того, появилась ли у субъекта преступления реальная возможность воспользоваться неправомерно скопированной компьютерной информацией, преступление окончено согласно конструкции состава в момент наступления одного или нескольких из указанных в законе последствий, в нашем случае имело место копирование информации.
Что же касается посягательства на собственность, то в данном случае имел место прямой неконкретизированный (неопределенный) умысел. Виновный, стремясь похитить как можно больше денежных средств, не мог наверняка знать, каким будет преступный результат: скольким потерпевшим и в какой сумме им будет причинен ущерб. Исходя из теории квалификации, при наличии неконкретизированного прямого умысла содеянное квалифицируется по фактически наступившим последствиям . Если при неконкретизированном умысле последствия не наступили по причинам, не зависящим от воли виновного, то его общественно опасное поведение следует квалифицировать как приготовление (покушение) на причинение наименее опасного из всех желаемых вредных последствий . Такое правило квалификации при неконкретизированном умысле вытекает из принципа необходимости толкования любого сомнения в пользу обвиняемого .
Корнеева А.В. Теоретические основы квалификации преступлений: Учеб. пособие / Отв. ред. А.И. Рарог. 2-е изд. М.: Проспект, 2012. С. 69 — 70.
Если бы субъект преступления довел свой умысел до конца, то потерпевшим стала бы кредитная организация при условии, что физические лица, со счетов которых были бы похищены денежные средства, успели бы воспользоваться правом, закрепленным в п. п. 11 и 12 ст. 9 Федерального закона от 27 июня 2011 г. N 161 «О национальной платежной системе» . Но предположим, что кто-то из держателей пластиковых карт не успел своевременно оповестить кредитную организацию о неправомерном списании денежных средств, в таком случае потерпевшими будут и ООО АКБ «ХХХ», и указанное физическое лицо, которому банк, стало быть, не возместит утраченные средства. Как видно, квалификация будет зависеть от конкретных обстоятельств дела и фактически наступивших последствий.
Допустим, что в рассматриваемом нами случае виновному удалось достичь преступного результата он сумел получить доступ к неправомерно скопированной компьютерной информации, а затем, используя специальное техническое устройство «инкодер», подключенное к персональному компьютеру, а также соответствующее программное обеспечение, изготовил дубликаты банковских карт их владельцев и, имея ПИН-коды, получил в банкомате денежные средства. В этом случае охраняемая законом компьютерная информация, скопированная с магнитных полос банковских карт, выступила бы средством совершения преступления, а ввод ПИН-кода с клавиатуры банкомата выступил бы способом хищения.
В этом случае число самостоятельно квалифицируемых преступных эпизодов зависело бы от числа потерпевших. Если потерпевшим оказывается только банк, то все операции по введению информации имели бы результатом причинение ущерба лишь одному потерпевшему банку . Стало быть, содеянное образовывало бы единое продолжаемое преступление, совокупности здесь не будет. В этом случае содеянное квалифицировалось бы по ч. 1 ст. 159.6 УК РФ, так как крупный размер хищения должен превышать один миллион пятьсот тысяч рублей . Однако если потерпевшими в силу приведенных выше причин окажутся и банк, и физические лица, то содеянное надлежит квалифицировать по совокупности преступлений, предусмотренных ст. 159.6 УК РФ. Поскольку же криминальная деятельность лица была пресечена на подготовительном этапе, то его ответственность по ч. 1 ст. 30 и ч. 1 ст. 159.6 УК РФ исключается (с учетом, как обосновано нами выше, правил квалификации при неконкретизированном умысле) в силу ч. 2 ст. 30 УК РФ .
Согласно абзацу 2 п. 16 Постановления Пленума Верховного Суда РФ от 27 декабря 2002 г. N 29 «О судебной практике по делам о краже, грабеже и разбое» «От совокупности преступлений следует отличать продолжаемое хищение, состоящее из ряда тождественных преступных действий, совершаемых путем изъятия чужого имущества из одного и того же источника (выделено мной. — Л.Б.), объединенных единым умыслом и составляющих в своей совокупности единое преступление».
См.: примечание к ст. 159.1 УК РФ.
Даже если бы у лица в сходной ситуации был установлен прямой конкретизированный умысел (он точно знал бы, какая сумма у кого из потерпевших находится на счете), то уголовная ответственность с учетом направленности умысла за приготовление к преступлениям, предусмотренным ч. 2 и ч. 3 ст. 159.6 УК РФ, также исключалась бы в силу того же положения закона ( ч. 2 ст. 30 УК РФ).
ПИН-код был получен не посредством неправомерного доступа к компьютерной информации, а с помощью камеры, установленной над экраном лицевой панели банкомата. Следовательно, эти действия находились за рамками объективной стороны состава мошенничества в сфере компьютерной информации, предшествовали ей и требуют дополнительной квалификации.
Но даже если предположить, что неправомерный доступ к компьютерной информации охватывается таким признаком преступления, предусмотренного ст. 159.6 УК РФ, как иное вмешательство в функционирование средств хранения, обработки или передачи компьютерной информации, и является способом совершения данного преступления (мошенничества в сфере компьютерной информации), такой доступ, при условии, что он повлек указанные в ст. 272 УК РФ последствия, нуждается в самостоятельной уголовно-правовой оценке, поскольку данное деяние (хищение из банкомата) посягает на два различных объекта уголовно-правовой охраны.
Сравнение санкций ст. 272 УК РФ и ст. 159.6 УК РФ показывает, что неправомерный доступ является более общественно опасным преступлением. Следовательно, хищение из банкомата нуждается в дополнительной квалификации со ст. 272 УК РФ. Подавляющее большинство криминалистов сходятся во мнении, что объективная сторона мошенничества в сфере компьютерной информации не охватывает собою действия (бездействие), закрепленные в гл. 28 УК РФ .
Статья О.С. Гузеевой «Квалификация мошенничества в российском сегменте сети Интернет» включена в информационный банк согласно публикации — «Законность», 2013, N 3.
См.: Третьяк М.И. Правила квалификации компьютерного мошенничества и преступлений, предусмотренных гл. 28 УК РФ // Уголовное право. 2014. N 4. С. 69 — 74; Гузеева О.С. Квалификация мошенничества в Российском сегменте сети Интернет // Законы России: опыт, анализ, практика. 2014. N 6. С. 74 — 77; Шеслер А. Мошенничество: проблемы реализации законодательных новелл // Уголовное право. 2013. N 2. С. 70 — 71.
Судами мошенничество в сфере компьютерной информации рассматривается как новая форма хищения, как это и предусмотрено законодательством, и большинство криминалистов разделяют данный подход . И потому, по верному замечанию М.И. Третьяк, Верховному Суду в Постановлении Пленума от 27 декабря 2007 г. N 51 «О судебной практике по делам о мошенничестве, присвоении и растрате» необходимо пересмотреть позицию в части квалификации хищения из банкомата посредством поддельной платежной карты, признав, что в данном случае совершается не кража, а мошенничество в сфере компьютерной информации .
Хилюта В.В. Хищение с использованием компьютерной техники или компьютерное мошенничество? // Библиотека криминалиста. 2013. N 5 (10); Шумихин В.Г. Седьмая форма хищения чужого имущества // СПС «КонсультантПлюс».
В международной классификации подвидов компьютерного мошенничества, предложенной рабочей группой Интерпола, анализируемое деяние, связанное с хищением наличных денег из банкомата, также относится к компьютерному мошенничеству. См. об этом: Комаров А.А. Интернет-мошенничество: проблемы детерминации и предупреждения: Монография. М., 2013. С. 12.
Пристатейный библиографический список
КонсультантПлюс: примечание.
Статья О.С. Гузеевой «Квалификация мошенничества в российском сегменте сети Интернет» включена в информационный банк согласно публикации — «Законность», 2013, N 3.
1. Гузеева О.С. Квалификация мошенничества в Российском сегменте сети Интернет // Законы России: опыт, анализ, практика. 2014. N 6.
2. Комаров А.А. Интернет-мошенничество: проблемы детерминации и предупреждения: Монография. М., 2013.
3. Корнеева А.В. Теоретические основы квалификации преступлений: Учеб. пособие / Отв. ред. А.И. Рарог. 2-е изд. М.: Проспект, 2012.
4. Третьяк М.И. Правила квалификации компьютерного мошенничества и преступлений, предусмотренных гл. 28 УК РФ // Уголовное право. 2014. N 4.
5. Хилюта В.В. Хищение с использованием компьютерной техники или компьютерное мошенничество? // Библиотека криминалиста. 2013. N 5 (10).
6. Шеслер А. Мошенничество: проблемы реализации законодательных новелл // Уголовное право. 2013. N 2.
7. Шумихин В.Г. Седьмая форма хищения чужого имущества // СПС «КонсультантПлюс».
По-видимому, этот вид компьютерной преступности является одним из наиболее свежих. Он является разновидностью несанкционированного доступа с той разницей, что пользоваться им может, как правило, не посторонний пользователь, а сам разработчик, причем имеющий достаточно высокую квалификацию.
Идея преступления состоит в подделке выходной информации компьютеров с целью имитации работоспособности больших систем, составной частью которых является компьютер. При достаточно ловко выполненной подделке зачастую удается сдать заказчику заведомо неисправную продукцию.
6. Хищение компьютерной информации.
Если «обычные» хищения подпадают под действие существующего уголовного закона, то проблема хищения информации значительно более сложна. Присвоение машинной информации, в том числе программного обеспечения, путем несанкционированного копирования не квалифицируется как хищение, поскольку хищение сопряжено с изъятием ценностей из фондов организации. Не очень далека от истины шутка, что у нас программное обеспечение распространяется только путем краж и обмена краденым. При неправомерном обращении в собственность машинная информация может не изыматься из фондов, а копироваться.
Рассмотрим теперь вторую категорию преступлений, в которых компьютер является «средством» достижения цели.
1. Разработка сложных математических моделей, входными данными в которых являются возможные условия проведения преступления, а выходными данными - рекомендации по выбору оптимального варианта действий преступника.
2. Преступления с общим названием «воздушный змей». В простейшем случае требуется открыть в двух банках по небольшому счету. Далее деньги переводятся из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того, как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк, так чтобы общая сумма покрывала требование о первом переводе. Этот цикл повторяется большое число раз («воздушный змей» поднимается все выше и выше) до тех пор, пока на счете не оказывается приличная сумма (фактически она постоянно «перескакивает» с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются, а владелец счета исчезает. Этот способ требует очень точного расчета, но для двух банков его можно сделать и без компьютера. На практике в такую игру включают большое количество банков: так сумма накапливается быстрее и число поручений о переводе не достигает подозрительной частоты. Но управлять этим процессом можно только с помощью компьютера.[2]
1.2. Классификация компьютерных преступлений
Зарубежными специалистами разработаны различные классификации способов совершения компьютерных преступлений. Ниже приведены
названия способов совершения подобных преступлений, соответствующие
кодификатору Генерального Секретариата Интерпола. В 1991 году данный
кодификатор был интегрирован в автоматизированную систему поиска и в
настоящее время доступен НЦБ более чем 100 стран.
Все коды, характеризующие компьютерные преступления, имеют идентификатор, начинающийся с буквы Q. Для характеристики преступлений может использоваться до пяти кодов, расположенных в порядке убывания значимости совершенного.
QA - Несанкционированный доступ и перехват:
QAH - компьютерный абордаж,
QAT - кража времени,
QAZ - прочие виды несанкционированного доступа и перехвата.
QD - Изменение компьютерных данных:
QUL - логическая бомба,
QDT - троянский конь,
QDV - компьютерный вирус,
QDW - компьютерный червь,
QDZ - прочие виды изменения данных.
QF - Компьютерное мошенничество:
QFC - мошенничество с банкоматами,
QFF - компьютерная подделка,
QFG - мошенничество с игровыми автоматами,
QFM - манипуляции с программами ввода-вывода,
QFP - мошенничества с платежными средствами,
QFT - телефонное мошенничество,
QFZ - прочие компьютерные мошенничества.
QR - Незаконное копирование:
QRG - компьютерные игры,
QRS - прочее программное обеспечение,
QRT - топография полупроводниковых изделий,
QRZ - прочее незаконное копирование,
QS - Компьютерный саботаж:
QSH - с аппаратным обеспечением,
QSS - с программным обеспечением,
QSZ - прочие виды саботажа,
QZ - Прочие компьютерные преступления:
QZB - с использованием компьютерных досок объявлений,
QZE - хищение информации, составляющей коммерческую тайну, i
QZS - передача информации конфиденциального характера,
QZZ - прочие компьютерные преступления,
Кратко охарактеризуем некоторые виды компьютерных преступлений согласно приведенному кодификатору.
Несанкционированный доступ и перехват информации (QA) включает в себя следующие виды компьютерных преступлений.
QAH - «Компьютерный абордаж» (хакинг - hacking) - доступ в компьютер или сеть без права на то. Этот вид компьютерных преступлений обычно используется хакерами для проникновения в чужие информационные сети.
QAI - перехват (interception) - перехват при помощи технических средств без права на то. Перехват информации осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств.
При этом объектами непосредственного подслушивания являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи.
К данному виду компьютерных преступлений также относится электромагнитный перехват (electromagnetic pickup). Современные технические средства позволяют получать информацию без непосредственного подключения к компьютерной системе: ее перехват осуществляется за счет излучения центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществлять, находясь на достаточном удалении от объекта перехвата.
Для характеристики методов несанкционированного доступа и перехвата информации используется следующая специфическая терминология:
- "Жучок" (bugging) характеризует установку микрофона в компьютере с целью перехвата разговоров обслуживающего персонала;
- "Откачивание данных" (data leakage)отражает возможность сбора информации, необходимой для получения основных данных, в частности о технологии ее прохождения в системе;
- "Уборка мусора" (scavening) характеризует поиск данных, оставленных пользователем после работы на компьютере. Этот способ имеет две разновидности - физическую и электронную. В физическом варианте он может сводиться к осмотру мусорных корзин и сбору брошенных в них распечаток, деловой переписки и т.д. Электронный вариант требует исследования данных, оставленных в памяти машины;
- метод следования "За дуракам" (piggbacking), характеризующий несанкционированное проникновение как в пространственные, так и в электронные закрытые зоны. Его суть состоит в следующем. Если набрать в руки различные предметы, связанные с работой на компьютере, и прохаживаться с деловым видом около запертой двери, где находится терминал, то, дождавшись законного пользователя, можно пройти в дверь помещения вместе с ним;
- метод "За хвост" (between the lines entry), используя который можно подключаться к линии связи законного пользователя и, догадавшись, когда последний закончит активный режим, осуществлять доступ к системе;
- метод "Неспешного выбора" (browsing). В этом случае несанкционированный доступ к базам данных и файлам законного пользователя осуществляется путем нахождения слабых мест в защите систем. Однажды обнаружив их, злоумышленник может спокойно читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости;
- метод "Поиск бреши" (trapdoor entry), при котором используются ошибки или неудачи в логике построения программы. Обнаруженные бреши могут эксплуатироваться неоднократно;
- метод "Люк" (trapdoor), являющийся развитием предыдущего. В найденной "бреши" программа "разрывается", и туда вставляется определенное число команд. По мере необходимости "люк" открывается, а встроенные команды автоматически осуществляют свою задачу;
- метод "Маскарад" (masquerading). В этом случае злоумышленник с использованием необходимых средств проникает в компьютерную систему, выдавая себя за законного пользователя;
- метод «Мистификация» (spoofing), который используется при случайном подключении "чужой" системы. Злоумышленник, формируя правдоподобные отклики, может поддерживать заблуждение ошибочно подключившегося пользователя в течение какого-то промежутка времени и получать некоторую полезную для него информацию, например коду пользователя.
QAT - кража времени - незаконное использование компьютерной системы или сети с намерением неуплаты.
Изменение компьютерных данных (QD) включает в себя следующие виды преступлений:
QDL/QDT - логическая бомба (logic bomb), троянский конь (trojan horse) - изменение компьютерных данных без права на то путем внедрения логической бомбы или троянского коня.
Логическая бомба заключается в тайном встраивании в программа набора команд, который должен сработать лишь однажды, но при определенных условиях.
Троянский конь заключается в тайном введении в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность.
QDV - вирус (virus) - изменение компьютерных данных или программ без права на то путем внедрения или распространения компьютерного вируса.
Компьютерный вирус - это специально написанная программа, которая может «приписать» себя к другим программам (т.е. «заражать» их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на компьютере.
QDW - червь - изменение компьютерных данных или программ без права на то путем передачи, внедрения или распространения компьютерного червя в компьютерную сеть.
Компьютерные мошенничества (QF) объединяют в своем составе разнообразные способы совершения компьютерных преступлений:
QFC - компьютерные мошенничества, связанные с хищением наличных денег из банкоматов.
QFF - компьютерные подделки - мошенничества и хищения из компьютерных систем путем создания поддельных устройств (карточек и пр.).
QFG - мошенничества и хищения, связанные с игровыми автоматами.
QFM - манипуляции с программами ввода-вывода - мошенничества и хищения посредством неверного ввода или вывода в компьютерные системы или из них путем манипуляции программами. В этот вид компьютерных преступлений включается метод подмены данных кода (data diddling code change), который обычно осуществляется при вводе-выводе данных. Это простейший и потому очень часто применяемый способ.
QFP - компьютерные мошенничества и хищения, связанные с.платежными средствами. К этому виду относятся самые распространенные
компьютерные преступления, связанные с кражей денежных средств, которые составляют около 45% всея преступлений, связанных с использованием ЭВМ.
QFT - телефонное мошенничество - доступ к телекоммуникационным услугам путем посягательства на протоколы и процедуры компьютеров, обслуживающих телефонные системы.
Незаконное копирование информации (QR) составляют следующие виды компьютерных преступлений:
QRG/QRS - незаконное копирование, распространение или опубликование компьютерных игр и другого программного обеспечения, защищенного законом.
QRT - незаконное копирование топографии полупроводниковых изделий - копирование, без права на то защищенной законом топографии полупроводниковых изделий, коммерческая эксплуатация или импорт с этой целью без права на то топографии или самого полупроводникового изделия, произведенного с использованием данной топографии.
Компьютерный саботаж (QS) составляют следующие виды преступлении.
QSH - саботаж с использованием аппаратного обеспечения: ввод, изменение, стирание, подавление компьютерных данных или программ; вмешательство в работу компьютерных систем с намерением помешать функционированию компьютерной или телекоммуникационной системы.
QSS - компьютерный саботаж с программным обеспечением - стирание, повреждение, ухудшение или подавление компьютерных данных
или программ без права на то.
К прочим видам компьютерных преступлений (QZ) в классификаторе отнесены следующие:
QZB - использование электронных досок объявлений (BBS) для
хранения, обмена и распространения материалов, имеющих отношение к
преступной деятельности;
QZE -хищение информации, составляющей коммерческую тайну -приобретение .незаконными средствами или передача информации, представляющей коммерческую тайну без права на то или другого иконного обоснования с намерением причинить экономический ущерб иди получить незаконные экономические преимущества;
QZS - использование компьютерных систем или сетей для хранения, обмена, распространения или перемещения информации конфиденциального характера.
Некоторые специалисты по компьютерной преступности в особую группу выделяют методы манипуляции, которые имеют специфические жаргонные названия.
«Временная бомба» - разновидность логической бомбы, которая срабатывает при достижении определенного момента времени.
«Асинхронная атака» (asynchronous attack) состоит в смешивании и одновременном выполнении компьютерной системой команд двух или нескольких пользователей.
«Моделирование» (simulation modelling) используется как для анализа процессов, в которые преступники хотят вмешаться, так и для планирования методов совершения преступления. Таким образом, осуществляется «оптимизация» способа совершения преступления.[2]
Этот вид компьютерной преступности является одним из наиболее свежих. Он является разновидностью несанкционированного доступа с той разницей, что пользоваться им может, как правило, не посторонний пользователь, а сам разработчик, причем имеющий достаточно высокую квалификацию.
Идея преступления состоит в подделке выходной информации компьютеров с целью имитации работоспособности больших систем, составной частью которых является компьютер. При достаточно ловко выполненной подделке зачастую удается сдать заказчику заведомо неисправную продукцию.
Естественно, что подделка информации может преследовать и другие цели.
6. Хищение компьютерной информации
Если «обычные» хищения подпадают под действие существующего уголовного закона, то проблема хищения информации значительно более сложна. Присвоение машинной информации, в том числе программного обеспечения, путем несанкционированного копирования не квалифицируется как хищение, поскольку хищение сопряжено с изъятием ценностей из фондов организации. Не очень далека от истины шутка, что у нас программное обеспечение распространяется только путем краж и обмена краденым. При неправомерном обращении в собственность машинная информация может не изыматься из фондов, а копироваться. Следовательно, как уже отмечалось выше, машинная информация должна быть выделена как самостоятельный предмет уголовно-правовой охраны.
Собственность на информацию, как и прежде, не закреплена в законодательном порядке. На мой взгляд, последствия этого не замедлят сказаться.
Рассмотрим теперь вторую категорию преступлений, в которых компьютер является «средством» достижения цели. Здесь можно выделить разработку сложных математических моделей, входными данными в которых являются возможные условия проведения преступления, а выходными данными – рекомендации по выбору оптимального варианта действий преступника.
Другой вид преступлений с использованием компьютеров получил название «воздушный змей».
В простейшем случае требуется открыть в двух банках по небольшому счету. Далее деньги переводятся из одного банка в другой и обратно с постепенно повышающимися суммами. Хитрость заключается в том, чтобы до того, как в банке обнаружится, что поручение о переводе не обеспечено необходимой суммой, приходило бы извещение о переводе в этот банк, так чтобы общая сумма покрывала требование о первом переводе. Этот цикл повторяется большое число раз («воздушный змей» поднимается все выше и выше) до тех пор, пока на счете не оказывается приличная сумма (фактически она постоянно «перескакивает» с одного счета на другой, увеличивая свои размеры). Тогда деньги быстро снимаются, а владелец счета исчезает. Этот способ требует очень точного расчета, но для двух банков его можно сделать и без компьютера. На практике в такую игру включают большое количество банков: так сумма накапливается быстрее и число поручений о переводе не достигает подозрительной частоты. Но управлять этим процессом можно только с помощью компьютера.
Можно представить себе создание специализированного компьютера-шпиона, который будучи подключен к разведуемой сети, генерирует всевозможные запросы, фиксирует и анализирует полученные ответы. Поставить преграду перед таким хакером практически невозможно. Не трудно предположить, что организованная преступность давно приняла на вооружение вычислительную технику.
1.3 Предупреждение компьютерных преступлений
При разработке компьютерных систем, выход из строя или ошибки в работе которых могут привести к тяжелым последствиям, вопросы компьютерной безопасности становятся первоочередными. Известно много мер, направленных на предупреждение преступления.
Меры, направленные на предупреждение преступлений:
К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.
К организационным мерам отнесем охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.
К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение
1.4 Защита данных в компьютерных сетях
При рассмотрении проблем защиты данных в сети, прежде всего, возникает вопрос о классификации сбоев и нарушений прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных «угроз» можно выделить:
1. Сбои оборудования:
– сбои кабельной системы;
– сбои дисковых систем;
– сбои систем архивации данных;
– сбои работы серверов, рабочих станций, сетевых карт и т.д.
2. Потери информации из-за некорректной работы ПО:
– потеря или изменение данных при ошибках ПО;
– потери при заражении системы компьютерными вирусами;
3. Потери, связанные с несанкционированным доступом:
– несанкционированное копирование, уничтожение или подделка информации;
– ознакомление с конфиденциальной информацией оставляющей тайну, посторонних лиц;
4. Потери информации, связанные с неправильным хранением архивных данных.
5. Ошибки обслуживающего персонала и пользователей:
– случайное уничтожение или изменение данных;
– некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных;
В зависимости от возможных видов нарушений работы сети (под нарушением работы также понимается и несанкционированный доступ) многочисленные виды защиты информации объединяются в три основных класса:
– средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т.д.
– программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.
– административные меры защиты, включающие контроль доступа в помещения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т.д.
Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.
Концентрация информации в компьютерах – аналогично концентрации наличных денег в банках – заставляет все более усиливать контроль в целях защиты информации. Юридические вопросы, частная тайна, национальная безопасность – все эти соображения требуют усиления внутреннего контроля в коммерческих и правительственных организациях. Работы в этом направлении привели к появлению новой дисциплины: безопасность информации. Специалист в области безопасности информации отвечает за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности накопленной в организации информации. В его функции входит обеспечение физической (технические средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.
Сложность создания системы защиты информации определяется тем, что данные могут быть похищены из компьютера и одновременно оставаться на месте; ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении.
Обеспечение безопасности информации – дорогое дело, и не столько из-за затрат на закупку или установку средств, сколько из-за того, что трудно квалифицированно определить границы разумной безопасности и соответствующего поддержания системы в работоспособном состоянии.
Если локальная сеть разрабатывалась в целях совместного использования лицензионных программных средств, дорогих цветных принтеров или больших файлов общедоступной информации, то нет никакой потребности даже в минимальных системах шифрования / дешифрования информации.
Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока не произведен соответствующий анализ. Анализ риска должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь, снижение коэффициента готовности системы, общественные отношения, юридические проблемы) и предоставить информацию для определения подходящих типов и уровней безопасности. Коммерческие организации все в большей степени переносят критическую корпоративную информацию с больших вычислительных систем в среду открытых систем и встречаются с новыми и сложными проблемами при реализации и эксплуатации системы безопасности. Сегодня все больше организаций разворачивают мощные распределенные базы данных и приложения клиент / сервер для управления коммерческими данными. При увеличении распределения возрастает также и риск неавторизованного доступа к данным и их искажения.
Шифрование данных традиционно использовалось правительственными и оборонными департаментами, но в связи с изменением потребностей и некоторые наиболее солидные компании начинают использовать возможности, предоставляемые шифрованием для обеспечения конфиденциальности информации.
Финансовые службы компаний (прежде всего в США) представляют важную и большую пользовательскую базу и часто специфические требования предъявляются к алгоритму, используемому в процессе шифрования. Опубликованные алгоритмы, например DES, являются обязательными. В то же время, рынок коммерческих систем не всегда требует такой строгой защиты, как правительственные или оборонные ведомства, поэтому возможно применение продуктов и другого типа, например PGP (Pretty Good Privacy).
Согласно отчету специалистов Positive Technologies за II квартал 2019 года, целенаправленные атаки преобладают над массовыми. Более половины всех киберпреступлений совершаются с целью кражи информации. Персональные данные — основной тип украденной информации в атаках на юридические лица. Частные лица наиболее часто рискуют учетными записями и данными своих банковских карт.
Тактики, которые киберпреступники используют для реализации атак, описаны в матрице ATT&CK, разработанной корпорацией MITRE на основе анализа реальных APT-атак. Всего тактик двенадцать. Каждую тактику можно соотнести с соответствующим этапом атаки:
- Первоначальный доступ в систему (Initial access)
- Выполнение кода или команды (Execution)
- Закрепление (Persistence)
- Повышение привилегий в системе (Privilege escalation)
- Предотвращение обнаружения средствами защиты (Defense evasion)
- Получение учетных данных (Credential access)
- Разведка (Discovery)
- Перемещение внутри периметра (Lateral movement)
- Сбор данных (Collection)
- Управление и контроль (Command and control)
- Эксфильтрация данных (Exfiltration)
- Воздействие (Impact)
В статье мы рассмотрим техники, которые атакующие используют на этапе вывода (эксфильтрации) данных из целевой системы, после того как они проникли в систему, закрепились там и собрали всю интересующую их информацию. Также будут рассмотрены принципы обнаружения попыток вывода данных и методы их предотвращения.
Как злоумышленники крадут данные
Эксфильтрация, или кража, данных (exfiltration) — это несанкционированное копирование, передача или получение данных с компьютера или сервера жертвы. Эксфильтрация может осуществляться через интернет или по локальной сети. Как правило, при передаче данных атакующие сжимают и шифруют их, чтобы избежать обнаружения. Для эксфильтрации данных из целевой системы злоумышленники могут использовать командные серверы (часто обозначаемые как C&C или С2) и другие каналы передачи.
Матрица MITRE ATT&CK выделяет девять техник, которые злоумышленники используют для кражи данных:
Эксфильтрация через командный сервер (Exfiltration over command and control channel)
Эксфильтрация осуществляется через командный сервер с помощью того же протокола (канала связи), который используется для управления сбором данных, например через электронную почту или созданный бэкдор.
Предотвращение сетевых вторжений: для защиты на уровне сети используйте системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам определяют трафик, типичный для вредоносного ПО. Сигнатуры являются, как правило, уникальными для протокола и могут быть основаны на определенных методах обфускации (превращения кода в произвольный на первый взгляд набор данных), характерных для конкретного злоумышленника или инструмента. Они будут отличаться для каждого семейства или версии ВПО. Сигнатуры взаимодействия с командными серверами могут меняться, а злоумышленники могут изобретать новые способы обхода стандартных средств защиты.
Обнаружение
Рекомендуется использовать систему анализа трафика (например, PT NAD) для отслеживания нетипичных потоков данных в сети (к примеру, когда клиент отправляет значительно больше данных, чем получает от сервера). Если процесс использует сеть, но обычно (или никогда) этого не делал, следует считать такое поведение подозрительными. Также можно анализировать содержимое пакетов на предмет нетипичного использования протокола или конкретного порта.
Передача по расписанию (Scheduled transfer)
Эксфильтрация данных может осуществляться в определенные часы или с определенным интервалом. Подобный метод позволяет злоумышленникам скрыть свою активность на фоне стандартных рабочих операций. Например: передача данных осуществляется только по рабочим дням с 10 до 15 часов, когда основная масса работников пользуется интернетом, отправляя письма и файлы по сети.
Совместно с эксфильтрацией по расписанию для хищения данных могут использоваться и другие техники, такие как эксфильтрация через командный сервер и эксфильтрация через альтернативный канал.
Предотвращение сетевых вторжений: для защиты на уровне сети используйте системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам определяют трафик, типичный для связи с командным сервером и вредоносного ПО. Сигнатуры являются, как правило, уникальными для протокола и могут быть основаны на определенных методах обфускации, характерных для конкретного злоумышленника или инструмента. Они будут различаться для каждого семейства или версии ВПО. Сигнатуры взаимодействия с командными серверами могут меняться, а злоумышленники могут изобретать новые способы обхода стандартных средств защиты.
Обнаружение
Автоматизированная эксфильтрация (Automated exfiltration)
Конфиденциальная информация, полученная на этапе сбора данных, передается злоумышленникам с использованием специально созданных автоматизированных сценариев (скриптов). Для передачи информации за пределы сети могут также применяться дополнительные техники, например эксфильтрация через командный сервер или эксфильтрация через альтернативный протокол.
Защититься от подобных атак сложно, поскольку в каждой системе они будут иметь свои индивидуальные черты, будут иметь векторы, основанные на конфигурации и окружении этой конкретной системы.
Обнаружение
Рекомендуется отслеживать нетипичные обращения к файлам и сетевую активность. Подозрительными следует считать неизвестные процессы или скрипты, выполняющие сканирование файловой системы, например путем обращения к каталогам более высокого уровня, и отправляющие данные по сети.
Ограничение размера передаваемых данных (Data transfer size limits)
Злоумышленники могут проводить эксфильтрацию данных блоками фиксированного размера, а не целыми файлами, или задавать размер пакетов ниже определенного порога. Это помогает злоумышленникам обойти защитные механизмы, предупреждающие о превышении установленных объемов передачи данных.
Для защиты на уровне сети рекомендуется использовать системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам могут определить трафик, типичный для вредоносного ПО и командного сервера.
Обнаружение
Нужно анализировать сетевую активность на предмет необычных потоков данных (например, клиент отправляет значительно больше данных, чем получает от сервера). Если процесс долго поддерживает соединение и непрерывно отправляет пакеты данных определенного размера или если он открывает соединения и отправляет пакеты данных фиксированного размера через одинаковые интервалы времени, то, возможно, выполняется передача собранной информации. Если процесс использует сеть, хотя обычно (или вовсе никогда) этого не делал, следует считать такое поведение подозрительными. Также рекомендуется анализировать содержимое пакетов на предмет нетипичного использования протокола или конкретного порта; например, передача Tor-трафика может осуществляться под видом видеозвонка Skype.
Физическая эксфильтрация (Exfiltration over physical medium)
При определенных обстоятельствах, например в случае физической изоляции атакуемой сети, эксфильтрация данных может осуществляться с помощью физического устройства, например внешнего жесткого диска, флеш-карты, мобильного телефона или MP3-плеера. Физическое устройство может являться конечной точкой эксфильтрации данных или посредником между изолированной системой и системой, подключенной к интернету.
Отключение или удаление ненужной функции или программы: отключите автозапуск программ или сервисов, если в нем нет необходимости. Запретите или ограничьте использование съемных носителей на уровне корпоративной политики, если они не требуются для работы.
Обнаружение
Контролируйте доступ к файлам на съемных носителях, а также процессы, которые запускаются при подключении съемного носителя.
Заключение
Кража данных может привести не только к серьезным убыткам и потере репутации, но и к многомиллионным штрафам, как это было в случаях с Facebook, British Airways, Marriott и Ashley Madison.
Чтобы выявлять присутствие злоумышленника до того, как он причинит ущерб компании, важно постоянно следить за безопасностью инфраструктуры, оперативно реагировать на подозрительные события, строить гипотезы о компрометации и проверять их в инфраструктуре (проводить threat hunting). В этом помогают системы анализа трафика, которые выявляют признаки активности атакующих и хранят данные о сетевых взаимодействиях, что позволяет проверять гипотезы и проактивно искать угрозы.
Эксфильтрация через альтернативный протокол (Exfiltration over alternative protocol)
Фильтрация сетевого трафика: рекомендуется использовать для служб, таких как DNS, специальные и прокси-серверы; разрешите этим службам использовать только стандартные порты и протоколы.
Предотвращение сетевых вторжений: для защиты на уровне сети используйте системы обнаружения и предотвращения сетевых вторжений, которые по сигнатурам могут определить трафик, типичный для вредоносного ПО и командного сервера.
Сегментация сети: используйте рекомендации по безопасной настройке межсетевых экранов; ограничьте список используемых портов и типов данных для входящего и исходящего трафика.
Обнаружение
Рекомендуется использовать систему анализа трафика (например, PT Network Attack Discovery) для отслеживания нетипичных потоков данных в сети (к примеру, когда клиент отправляет значительно больше данных, чем получает от сервера). Если процесс использует сеть, но обычно (или вовсе никогда) этого не делал, следует считать такое поведение подозрительными. Также рекомендуется анализировать содержимое пакетов на предмет нетипичного использования протокола или конкретного порта, как в случае с передачей зашифрованных данных с использованием UDP и портов, открытых для Skype.
Эксфильтрация через альтернативный канал связи (Exfiltration over other network medium)
Для эксфильтрации данных злоумышленники могут использовать канал, отличный от канала связи с командным сервером. Например: если управление осуществляется через проводное интернет-соединение, то эксфильтрация может проводиться через Wi-Fi, модем, сотовую связь, Bluetooth или радиочастотный канал. Эти альтернативные каналы используются, если они не имеют защиты или защищены хуже, чем другие каналы сетевой среды. При использовании подобных методов эксфильтрации злоумышленник должен иметь соответствующий доступ к Wi-Fi-устройству или радиопередатчику (находиться в радиусе действия).
Настройка операционной системы: необходимо исключить возможность создания новых сетевых адаптеров, например путем ограничения прав.
Обнаружение
Отслеживайте процессы, которые обычно не используют сетевые подключения (или даже никогда не используют). Чтобы процесс обратился к сети, как правило, требуется некое действие со стороны пользователя, например нажатие клавиши. Доступ к сети без видимых причин считается подозрительным.
Отслеживайте изменения параметров основного адаптера, например добавление или дублирование интерфейсов связи.
Сжатие данных (Data compressed)
Злоумышленники могут сжимать собранные данные перед их эксфильтрацией, чтобы минимизировать трафик, передаваемый по сети. Сжатие выполняется с помощью специально созданных или, наоборот, общедоступных утилит, поддерживающих такие форматы сжатия, как 7Z, RAR и ZIP.
Если злоумышленники отправляют данные по незашифрованным каналам, то можно использовать любую доступную систему предотвращения сетевых вторжений или утечки данных, способную блокировать отправку определенных типов файлов. Однако необходимо учитывать, что злоумышленники могут обойти подобную защиту с помощью шифрования или инкапсуляции (внедрения передаваемых данных в легитимный трафик).
Обнаружение
Программы для сжатия файлов и сами сжатые файлы можно обнаружить разными способами. К примеру, распространенные утилиты для сжатия (такие как 7-Zip или WinRAR), установленные в системе или загруженные злоумышленниками, можно обнаружить, отслеживая соответствующие процессы и известные аргументы, которые используются при запуске утилит из командной строки. Однако необходимо учитывать, что количество срабатываний на легитимное использование подобных утилит может значительно превысить количество обнаруженных вредоносных операций.
Шифрование данных (Data encrypted)
Для передачи информации за пределы сети могут применяться дополнительные техники, например эксфильтрация через командный сервер или эксфильтрация через альтернативный протокол.
Защититься от подобных атак сложно, поскольку в каждой системе они будут иметь свои индивидуальные черты, будут иметь векторы, основанные на конфигурации и окружении этой конкретной системы.
Обнаружение
Программы для шифрования и зашифрованные файлы можно обнаружить разными способами. К примеру, распространенные утилиты для шифрования, установленные в системе или загруженные злоумышленниками, можно обнаружить, отслеживая соответствующие процессы и известные аргументы, которые используются при запуске утилит из командной строки. Однако необходимо учитывать, что количество срабатываний на легитимное использование подобных утилит может значительно превысить количество обнаруженных вредоносных операций.
Процесс, загружающий Windows-библиотеку crypt32.dll, может использоваться для шифрования, расшифровки или проверки подписи файла, а также служить маркером подготовки данных к эксфильтрации.
Читайте также: