Розкриття фінансового злочину

  • Дата 21/05/2020

Наступний коротенький пост стосуватиметься участі спеціаліста з цифрової криміналістики у розслідуваннях фінансових злочинів, розкриємо деякі методи досліджень програмного забезпечення, яке використовується фінансовими установами для ведення господарської діяльності та спробуємо оцінити значення результатів, отриманих під час нашого дослідження.

Спеціалісти нашої лабораторії залучалися для дослідження інформації за зверненням одного із учасників кримінального провадження. Суть справи наступна.

Існує мережа торгових об'єктів, в кожній, локально використовується програмне забезпечення, у якому ведеться облік товару та рух грошових коштів. Зі слів замовників, у кожному торговому об'єкті працює до 3-х працівників, яким наданий доступ для внесення змін до програмного забезпечення - кожному надані власний логін та пароль. Під час чергового аудиту було виявлено нестачу у значному розмірі. Перед нами була поставлена задача з'ясувати: чи вносилися дані про укладання договорів і видачі готівки в період 2016-2019 років; коли і ким із користувачів  вносилися такі зміни. Нам в розпорядження були надані системні блоки персональних комп'ютерів.

В першу чергу, дотримуючись методичних рекомендацій зі збереження цілісності інформації, нами були виготовлені копії накопичувачів, що використовувалися у системних блоках. Лише після цього ми приступили до дослідження інформації. 

Насамперед, що нам потрібно - це з'ясувати, яке програмне забезпечення встановлено на накопичувачах. Для цього, ми вивчили файли операційної системи, з'ясували, яке прикладне програмне забезпечення найчастіше використовувалося, яке встановлене, яке являє собою портабельні версії. Проаналізували файли цих прикладних програм, вивчили їхнє функціональне призначення.

Ми встановили, що на накопичувачах встановлено програмне забезпечення для віддаленого керування комп'ютером та автоматизована система для ведення обліку господарської діяльності. Таким чином ми визначили, на яких типах даних нам слід сфокусуватися.

Наступним етапом для нас стало з'ясувати, які "цифрові сліди" залишаються в системі у випадках: початку роботи програми; процесу авторизації; внесення інформації про укладання договору; внесення інформації про видачу готівки клієнту. Для цього ми провели ряд експериментів.

Перш за все, в лабораторних умовах ми створили аналогічне середовище, в якому використовувалися об'єкти дослідження, запустили роботу лабораторних робочих станцій та приступили до експериментів із програмою для обліку господарської діяльності підприємства.

Всі операції, які проводилися з програмою, записувалися в окремий журнал, щоб з'ясувати джерела інформації, які потрібні для відповідей на питання. Таким чином, ми з'ясували, які файли створюються або змінюються програмою під час проведення конкретних операцій. В результаті аналізу цих файлів ми отримали важливу інформацію, якого роду дані створюються в результаті роботи програми, як ці дані кодуються, структуру даних, завдяки чому отримали можливість дати відповіді на поставлені нам питання, гарантуючи при цьому високий рівень достовірності.

Отже, маючи чітке уявлення, які типи даних нам потрібні, ми приступили до дослідження речового доказу. У файлах програми ми відшукали інформацію про дату і час запуску, авторизації користувачів, проведення операцій із укладання договорів та руху грошових коштів за період 2018-2019 років. Знаючи структури даних, ми змогли відновити видалену інформацію про роботу програми, серед якої виявили таку ж саму інформацію за 2016-2017 років в необробленому вигляді. Завдяки результатам експерименту, ми знали, як зберігається інформація про комерційну діяльність підприємства, тому швидко та якісно змогли відфільтрувати великий масив даних, виділивши із нього ту частину, яка потрібна замовнику, змогли систематизувати всі записи і привели у зручний для читання вигляд. За результатами аналізу цієї інформації ми змогли відповісти на всі питання, які ставила нам сторона кримінального провадження.

Приклад фрагменту необроблених даних про фінансові операціїneobrobleni-danyx-pro-finansovi-operaciyi

Приклад оброблених даних про фінансові операціїobrobleni-danyx-pro-finansovi-operaciyi

Свої результати дослідження, відповідно до процесуальних норм, ми відобразили у висновку спеціаліста, який приєднано до матеріалів кримінального провадження.

У підсумку, ми позбавили учасників провадження від перегляду сотні гігабайтів непотрібної  інформації, склавши послідовність дій користувачів у програмі надали можливість сфокусувати увагу на потрібних даних та полегшили аналіз руху грошових коштів.

Read 2111 times Last modified on Четвер, 04 червня 2020 12:10

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Карбишева 2, оф. 238

  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

  • 0733 406 100

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top