А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

(том № 8, л. д. 334–340)

Показания свидетеля П. Н. П., начальника сектора платежных систем отдела защиты информационных технологий управления защиты информации службы (департамента) безопасности «Г…банк» (OAO), который пояснил, что в соответствии с поступившим запросом № 17/сч-6077 от 11 апреля 2008 г. на криптографическом модуле произведена генерация значений ПиВиВи по предоставленным в запросе значениям ПИН-кодов и их сравнение со значениями ПиВиВи, записанными на вторых дорожках магнитной полосы банковских карт, эмитированных банком, предоставленных в запросе. Вычисленные и представленные в запросе значения ПиВиВи оказались идентичными. Обладая указанной в запросе информацией о вторых дорожках на магнитной полосе и о ПИН-кодах при проведении операций в банкоматах с использованием поддельных банковских карт, возможно осуществить несанкционированный доступ к банковским счетам с целью хищения денежных средств.

(том № 12, л. д. 240–242)

Заключение программно-технической судебной экспертизы № 54/3 от 26 июля 2007 г., из выводов которой следует, что представленные на экспертизу накладка на картридер и накладка на клавиатуру к штатным элементам банкомата не относятся. Корпус и печатная плата накладки на клавиатуру изготовлены промышленным способом, монтаж электронных компонентов и доработка клавиатуры выполнены кустарным способом. Накладка на картридер изготовлена кустарным способом, устанавливается в углубление перед штатным картоприемником банкомата. Накладка на картридер и накладка на клавиатуру представляют собой электронные устройства, которые являются частями программно-аппаратного комплекса, предназначенного для получения конфиденциальной информации об учетно-регистрационных данных владельцев банковских карт, копирование которой происходит следующим образом: при нажатии клавиш на клавиатуре происходит запись последовательности их нажатия в память микроконтроллера; при прохождении банковской карты через накладку на картридер информация, содержащаяся на магнитной полосе карты, считывается и регистрируется в памяти микроконтроллера. Оба микроконтроллера позволяют сохранять скопированную информацию и в последующем считывать ее при помощи ПЭВМ со специальным программным обеспечением.

(том № 2, л. д. 51–56)

Заключение программно-технической судебной экспертизы № 54/8 от 26 июля 2007 г., из выводов которой следует, что представленный на экспертизу ЭВМ (ноутбук) с техническими характеристиками: процессор — «Джениен Интел» («Genuine Intel») T2500 @ 2.000Ггц, 2000Ггц; оперативная память — 1Гб; привод чтениязаписи компактDVDRAM дисков — «HL-DT-ST DVDRAM GMA-4082N»; жесткий диск — «Хитачи Тревелста» («HITACHI Travelstar»), модель — «HTS721080G9SA00», серийный номер — «Y4GJWH3E», объем — 80 Гб; видеоадаптер — «Эйти Мобилити Рейдиун» («ATI Mobility Radeon») X1300; сетевая карта, аудиоконтроллер, блютуз-адаптер (Bluetooth-адаптер), Вай-фай-карта (Wi-Fi-карта), модем интегрированы в системную плату, — исправен, является машинным носителем информации, предназначенным для записи и хранения данных, представленных в виде, пригодном для обработки автоматическими средствами при возможном участии человека.

В качестве средств для ограничения доступа к информации использовались пароли, установленные на учетные записи операционной системы, а также пароль, установленный на просмотр информации, генерируемой программами специального назначения.

При помощи данной ЭВМ осуществлялся доступ к ресурсам сети «Интернет», о чем свидетельствуют заполненные директории, содержащие в себе авторизационные файлы интернет-страниц. Доступ осуществлялся посредством сетевых подключений, взаимодействующих с модемом, встроенным в мобильный телефон, предположительно марки «Нокиа» («Nokia»), и с помощью подключения к беспроводным сетям посредством встроенного в материнскую плату WiFi-контроллера с идентификаторами сети — «нетпоинт» («netpoint») и «водафоун» («vodafone»).

При помощи данной ЭВМ осуществлялось общение через сеть Интернет при помощи программы «иБэй-Скайп тм Версион» («eBay — Skype tm Version») 3.0.41.216, позволяющей вести голосовой и текстовый чат — обмен мгновенными сообщениями на болгарском языке.

На жестком диске ноутбука обнаружены программы специального назначения: «джиРап. иксе» («gRap.exe»), «КеБиДи1.иксе» («KBD1.exe») и «Р_ПиЕсВикли. иксе» («R_PSWcli.exe»), предназначенные для считывания информации с внешнего микроконтроллера посредством КОМ-порта (COM-порта).

В директории «C: WINDOWSsystem32» обнаружена программа специального назначения — «КОКО^». Данный программный продукт предназначен для считывания информации с внешнего микроконтроллера посредством COM-порта и преобразования полученных данных в файл, а также считывания сохраненных данных из файла. Функция отображения информации из файла защищена паролем.

В директории «C: Program FilesxeroxEKBG» обнаружены файлы «доло1105a1» («dolo1105a1») и «горе1105a1» («gore1105a1»), сгенерированные вышеперечисленным программным обеспечением специального назначения.

Представленная на экспертизу флеш-карта исправна и является машинным носителем информации. На флеш-карте обнаружены файлы, сгенерированные с помощью программ специального назначения, обнаруженных на жестком диске ноутбука — «dolo1105a1», «gore1105a1».

Файлы «gore1105а1», «dolo1105a1» выявлены в ходе проведения анализа флеш-карты на наличие удаленных файлов.

Файлы «dolo1105a1», «gore1105a1» идентичны файлам, найденным на жестком диске ноутбука в директории «C: Program FilesxeroxEKBG».

(том № 2, л. д. 173–193)

Заключение комплексной судебной экспертизы № 9036э от 20 марта 2008 г. с приложениями, из выводов которой следует, что на представленном на исследование ноутбуке имеются файлы, содержащие информацию, касающуюся изготовления и сбыта банковских платежных карт, а также информация о подключении ноутбука к сети Интернет, файлы, содержащие информацию о контактах пользователя, историю электронной переписки и передаваемых файлов.

Также в ноутбуке и на флеш-накопителе имеются файлы, совпадающие по содержанию: файл «dolo1105a1», вероятно, содержащий данные о нажатии клавиш, фиксируемых накладкой на клавиатуру банкомата, и файл «gore1105a1», вероятно, содержащий данные, фиксируемые накладкой на приемник картридера.

Для считывания и обработки данных из накладки на клавиатуру банкомата, вероятно, использовались программы «KOKO», «KBD1». Для считывания данных, фиксируемых накладкой на приемник картридера, вероятно, использовались программы «gRap», «Майти_кли» («Mitu_Cli»).

На представленном на исследование ноутбуке имеется информация о временных характеристиках одновременной работы программ «gRap» и «KOKO» в период с 29 апреля 2007 г. по 15 ч. 39 мин. 12 мая 2007 г.