Подстава с хищением денег с и-банка

В общем дела такие. Обратился клиент (физик): его милиционеры начали мучить: выемкой забрали с домашнего адреса системник, пригласили пообщаться (сам он чем приедет в рашу только через несколько дней). Я пообщался со следователем предварительно, он сообщил что:
1) Банк давал ответ что платежка пришла с определенного ай-пи
2) данный ай-пи принадлежит конкретному Провайдеру
3) Провайдер сказал, что ай-пи закреплен за конкретным адресом в Екате.
4) По данному адресу располагается мой клиент (живет)
5) Милиция пришла на этот адрес

Я асболютно хорошо знаю как человека (он инженер-техник, работает с немецкой техникой, часто ездит по стране, неплохо зарабатывает), тырить бабло не его профиль...

Я прошу помочь с постановкой вопросов в технической части для установления реального мошенника и исключения вины человека...

Мои мысли такие:
1) Реальный злодей мог зацепиться к машине чувака по вай-фай.
2) Злодей мог удаленно использовать комп человека через инет
3) Злодей мог пользоваться дубликатом ай-пи адреса (?)

4) помимо ай-пи можно наверно посмотреть какие мак-адреса сетевого оборудования фиксировал провайдер, банк, в случае ?3 несовпадение мак адресов доказывает именно такую версию....

5) реально все сеансы доступа прочитать с системника и сколько для этого надо времени спецам ? В случае удаленного использования это конечно не будет оправдывающим обстоятельством, но тогда должны быть следы удаленного использования ?

В общем, помочь человеку надо, а сфера такая, что без спеца не разобраться, просто пассивно ждать как то не интересно, я слишком знаком со статистикой ошибок следствия, которые потом приводят к обвинительным приговорам.

Только уточните сначала у этого человека историю - потом окажется, что какая-нибудь племянница обратилась за помощью по снятию денег для своего друга, который по каким-то причинам не может/хочет этого сделать сам.

неа... Такие глупости исключены...
Провадер у них - Планета... Т.е. даже привязки к мак адресу может не быть...
Можно с щитка инет взять через свитч на другой девай....

сняли у юрика...

ИМХО, эти вопросы лучше задавать специалистам по информационной безопасности, работающим у провайдеров или обратится в специализированную контору, типа УЦСБ

90%, что на компе стоит троянчег, тырит криптоключи и отправляет платёжки

8( чувак вообще не имеет никакого отношения к бизнесу и и-банку... обычный юзер 1 левела... его комп просто как железо использовали (возможно).

а во время отправки через ИБ несанкционированной платежки у него комп был включен? был подключен к Инету?
з.ы. это вполне конкретное время с точными минутами-секундами.

Есть у них привязка к MAC, чтобы поменять железо нужно зайти в личный кабинет, либо позвонить и назвать паспортные данные и номер договора.

с вероятностью 99% что да... он болел дома как раз...
а логи виндуса позволяют сеансы, факты включения - выключения системы определять ?

да, конечно. Программы -> Администрирование -> Просмотр событий
Эксплоревские логи. хотя если был троян, тут могут быть неправильные логи или просто нет, того что было

вы случаем не журналист? :-D

нет, программист

программист или системный администратор? это разные специальности

спортивный интерес? в о пользователе указан мой возраст, реальный. Наверное, к этому времени я в состоянии понять как называется моя должность, и чем я вообще по жизни занимаюсь ;-)

1) Компьютер подключен к интернету через wifi посредством роутера? Роутер тоже забрали или оставили? Проверить роутер на наличие логов, и сохранить, ловит ли wifi за пределами квартиры - соседи, улица или лестничная площадка. wifi запоролен или открыт?
2) Установлены ли на компьютере какие-либо программы безопасности - файрволлы, антивирусы и т.п.?
3) Запросить логи у провайдера
4) mac -адрес можно подделать
5) Банк чисто местный или федеральный, что за система у них - своя или покупная? Федеральный или покупная система - больше шансов что делалось всё удалённо, что-то типа троянов, если что-то местное - становится более вероятен wifi или какая-то социальная инженерия :-)

может я что и пропустил, но за 10 лет (!) И-Б от БСК таких случаев не было ни разу!!! :ultra:

системой кабель в сетевуху


нет. антивирус скорее всего полуживой. завтра все узнаю точно.


принято. сроки хранения какие то есть. инцидент случился в сентябре.


ок. я предполагал !


завтра узнаю у следователя

зы. созвонился с УЦСБ. в понедельник передадут наш случай спецу, пока не буду озвучивать кому, вероятно получится проконсультироваться и пообщаться на предмет их участия, если оно будет кстати.


в смысле подстава как бы не подстава ? двуликий янус ? :-)

троян. системник изъяли, проанализируют и мы узнаем, что через его комп ходили в инет.

не знаю как у планеты, а у кабинета инетом можно пользоваться в любом месте сегмента сети, воткнул вай-фай с авторизатором в соседнем доме и качаешь :-D Главное добыть логин/пароль, но это не проблема ;-)

отпадает. кабель шел сразу в сетевую карту

а разве это уже сейчас 100% и так не известно (не следует из вводных данных )?
1) при отсутствии роутера, 2)комп был включен (почти 100% вероятность) в момент
икс, 3)ай-пи совпадает, значит, технически в сеть вышло железо, стоящее в квартире, в которую проведен кабель...другое дело по его воле или супротив :-)

Либо где в сегменте (или другом сегменте) кто то параллельно влез в сеть под его ай-пи...., это вообще возможно технически ?

Сегодня господин следователь был весьма занят, пригласил в понедельник, новости опубликую. Как я понял на экспертизу пока ничего не отправлено... стоит в кабинете, пылиться... а ведь по идее можно образ системы снять... или винт просто забрать .... :-( ничего не меняется в нашей раше...

Разве не проще мошенникам использовать какой-то анонимный прокси, расположенный в Бразилии? К чему такие сложности? Имхо, что-то тут не так. Надо искать среди родственников подросткового возраста

Я бы вам не советовал :-) считать, что анонимный прокси на самом деле анонимен....в обычной, бытовой жизни, да - обычного сисадмина анализирующего трафик ...провести можно. Но если сильно припрет и ресурс будет государственный...все концы подымут....


Наиболее "правильно" ломать чужой WiFi - работать быстро и не на виду видеокамер :-)

я же написал про кабинет. Берешь роутер, втыкаешь в любую дырку сегмента, вводишь логин и пароль и вуаля :-D Как добыть логин и пароль описывать не надо? ;-)


удаленный рабочий стол наше все :super:

зачем ломать? в многих кафе куча бесплатного вай-фая ;-)

Тоже верно. Да и не только в кафе. Много где, включая автосалоны, автомойки, да вон в тот же алатырь пойти наверх и сиди грабь сколько хочешь и никто никогда тебя не найдет. Так что история со взломом квартирного инета ради этого очень сомнительно выглядит. Неоправданные трудозатраты

в этом случае следствию предоставляется "готовый" субъект, есть человек - есть статья. кафе же фигурантом быть не может.