Три года назад со взлома используемого организованной преступностью мессенджера EncroChat началась совместная операция правоохранительных органов Франции и Нидерландов. К настоящему моменту в результате расследования арестованы более 6500 человек и конфискованы почти €900 млн.

Источник изображений: europol.europa.eu

Следственная бригада перехватила и проанализировала более 115 млн зашифрованных текстовых сообщений и изображений, отправленных пользователями EncroChat — материалы были переданы правоохранительным органам нескольких стран, разрабатывавшим деятельность наркоторговцев по всей Европе. В результате операций выявлены несколько ОПГ, предлагавших «преступление как услугу»: похищения людей, вымогательства, пытки и заказные убийства. К настоящему моменту по группе дел изъято более 100 т кокаина, 160 т марихуаны, 3 т героина, более 900 единиц оружия и 21 000 единиц боеприпасов.

Европол осуществлял мониторинг сообщений в зашифрованных чатах, в реальном времени реагируя на угрозы для жизни людей — в том числе судье в одной из стран региона. Взлом EncroChat «изменил правила игры» и укрепил международное сотрудничество в борьбе с организованной преступностью, заявил глава оперативного управления Европола Жан-Филипп Лекуфф (Jean-Philippe Lecouffe). В сети EncroChat было более 60 000 пользователей, что позволило правоохранительным органам воссоздать карту организованной преступности в Европе.

Расследование деятельности EncroChat началось в 2017 году, когда Национальная жандармерия Франции изъяла у членов ОПГ, причастных к незаконному обороту наркотиков, телефоны с зашифрованным мессенджером. В результате расследования выяснилось, что в центре обработки данных OVH во французской коммуне Рубе были размещены серверы EncroChat. Создатели зашифрованного мессенджера продавали Android-криптофоны BQ Aquaris X2 и X3 по €1000, а полгода годового обслуживания с глобальным покрытием стоили €1500. Телефон предлагал пользователям безопасную зашифрованную связь и анонимность — была также опция удаления всех данных при вводе PIN-кода.

Следователям удалось реконструировать сеть EncroChat из 72 виртуальных машин, которые управляли ключами шифрования, содержали журналы событий, осуществляли мониторинг использования SIM-карт и их назначения нужным устройствам, производили настройки новых телефонов, управляли голосовыми вызовами, оперировали данными об обслуживании клиентов и выполняли другие задачи. Генеральный директорат внешней безопасности (разведслужба) Франции внедрил в сеть программный модуль, который устанавливался на телефоны под видом обновления ПО — он собирал данные из памяти заражённых устройств: сохранённые сообщения чата, адресные книги, заметки и номера IMEI.

На втором этапе модуль перехватывал входящие и исходящие сообщения чатов и передавал их на сервер под управлением Центра по борьбе с цифровой преступностью при жандармерии во французском Понтуазе — на обоих этапах к работе привлекались скомпрометированные серверы в ЦОД Рубе.

На пике расследования в 2020 году в операции были задействованы сто сотрудников французской жандармерии. Были выявлены глава проекта EncroChat, разработчики решений, менеджеры по логистике, специалисты по отмыванию денег и менеджеры по продаже устройств и услуг. Были установлены факты незаконных поставок криптографических устройств во Францию, Канаду, Доминиканскую Республику, Испанию, Нидерланды, Великобританию, Германию, Гонконг и Панаму. Во Франции до сих пор продолжаются 84 судебных разбирательства, в том числе 8 «случайных», которые не имеют отношения к основному расследованию. Только по этим делам были произведены 165 арестов, изъято 2 т марихуаны, 118 кг кокаина, 155 кг героина, 5 единиц оружия, 110 транспортных средств и €4 млн во Франции.

В штаб-квартире Европола в Гааге была создана оперативная группа под кодовым именем «Эмма» (Emma), занимающаяся анализом данных из EncroChat — в неё вошли следователи и эксперты самого Европола, правоохранительных органов входящих в ЕС и других стран, в том числе Великобритании. Были проанализированы более 115 млн текстовых сообщений и единиц данных из зашифрованной сети — в общей сложности 1,3 Тбайт, которые объединили с информацией из собственных баз правоохранительных органов. В результате были сформированы почти 700 пакетов данных, которые передали правоохранительным органам по всему миру. Расследование охватило 123 страны.

Верховный суд Нидерландов 13 июня 2023 года постановил, что суды в стране могут на законных основаниях использовать материалы, собранные в результате расследования деятельности сети EncroChat и аналогичной ей Sky ECC, в качестве доказательств по уголовным делам в Нидерландах. Схожие решения вынесли и другие европейские суды — в частности, Коллегия по уголовным делам Верховного суда Франции и Кассационный суд в Париже. В рамках первого решения от 11 октября 2022 года захват и модификация любой компьютерной системы были признаны соответствующими французскому законодательству, а привлечение ресурсов госбезопасности для взлома устройств — соответствующими конституции. В решении от 10 мая 2023 года говорится, что за отсутствием данных и описания процесса взлома французские следователи не обязаны документально подтверждать достоверность информации, используемой в судебном преследовании. В мае Следственный трибунал Великобритании постановил, что Национальное агентство по борьбе с преступностью на законных основаниях получило ордер на изъятие данных с телефонов EncroChat. Но ряд судов в стране продолжает оспаривать допустимость доказательств, связанных с EncroChat.

По итогам первого полугодия 2022 года впервые с 2017 года в России упало число преступлений, совершённых с помощью информационных технологий. По статистике МВД, за полгода в стране зарегистрировано 249 тыс. соответствующих дел, на 8,2 % меньше, чем в аналогичном периоде прошлого года. Как сообщают «Известия», львиная доля подобных преступлений по-прежнему приходится на телефонные мошенничества, а положительная динамика объясняется повышением осведомлённости потенциальных жертв и другими факторами.

Источник изображения: yang miao/unsplash.com

К числу преступлений, совершённых с использованием информационно-телекоммуникационных технологий, относятся правонарушения, в которых, в числе прочего, отмечено использование пластиковых карт, мобильной связи, компьютерной техники. В первом полугодии 2018 года зарегистрирован активный рост подобных правонарушений — на 100,4 % (80 тыс. дел), 2019 года — на 46,8 % (117,6 тыс.), 2020 — на 91,7 % (225,5 тыс.), 2021 года — на 20,3 % (271,1 тыс.).

Снижение активности впервые за пять лет зарегистрировано и отдельно, по наиболее распространённым инструментам в сфере IT, используемым злоумышленниками. Больше всего снизилось число преступлений, совершённых с использованием пластиковых карт — с 89,9 тыс. до 61,9 тыс. год к году. Сократилось и число деяний, совершённых с помощью средств мобильной связи — с 108,9 тыс. до 95,1 тыс. Число преступлений с использованием компьютерной техники упало с 18,7 тыс. до 15,6 тыс. Наблюдается снижения числа зарегистрированных преступлений и в других сферах преступной активности.

Как сообщают «Известия» со ссылкой на крупные банки, активность мошенников действительно снизилась. Во многом это связывается с уходом международных платёжных систем и ограничениями, возникшими при оплате на международных сайтах. В банках считают, что немалую роль сыграло и то, что банкам удалось «отбить» львиную долю атак. Впрочем, в некоторых банках отмечают даже рост агрессивности и активности мошенников с началом лета.

По данным Центробанка РФ основным методом хищения по-прежнему является телефонное мошенничество с использованием социальной инженерии. Сообщается, что в первом полугодии ЦБ РФ выступил инициатором блокировки более 190 тыс. номеров мошенников — против 180 тыс. за весь 2021 год.

Эксперты IT-отрасли подтверждают, что снижение числа преступлений действительно может быть связано с ростом осведомлённости граждан. Кроме того, реальное число жертв может быть значительно выше, поскольку не всегда жертвы сообщают о кражах, а массовые сливы баз в последние месяцы, включая «Яндекс», СДЭК и другие случаи, возможно, будут способствовать росту числа «социотехнических» атак — многие эксперты считают, что объективные причины для снижения активности с учётом масштабных утечек данных отсутствуют.