В большинстве случаев заведомо ложные сообщения об актах терроризма отправляются по электронной почте. Наиболее распространенными сервисами электронной почты для направления заведомо ложных сообщений об актах терроризма являются: yandex.com; yandex.ru; gmail.com; ro.ru; mail.ru; hotmail.com; aol.com. Реже – protonmail.com; protonmail.ch. Доступ к последним двум из указанных выше сервисов электронной почты на основании требования Генеральной прокуратуры Российской Федерации был ограничен Роскомнадзором 29 января 2020 г.
В 17 % случаев сообщение поступало посредством телефонной связи (при этом в 78 % – номер телефона был определен), реже – путем размещения сообщений в социальных сетях и направления сообщений посредством сервисов мгновенных сообщений (мессенджеров).
Чаще всего сообщение отправляется в то учреждение, в котором якобы должен произойти взрыв или иной акт терроризма. Как правило, это школы, детские сады, торговые центры, иные организации с массовым пребыванием людей. Администрации объектов транспортной инфраструктуры являются получателями подобных сообщений в 5 % изученных случаев.
Зачастую подобные сообщения поступают в правоохранительный орган (МВД России, ФСБ России, Росгвардию), иной государственный орган (МЧС России), органы местного самоуправления; общественные приемные политических деятелей или политических партий; средства массовой информации. При этом установлена следующая закономерность: сообщение, как правило, дублируется в различные правоохранительные органы. Для такого способа характерны направление нескольких сообщений с одного адреса, отправка одинакового текста с разных адресов, одинаковые имена почты, но разные домены.
Определенные предпосылки для роста числа заведомо ложных сообщений об актах терроризма, направляемых через формы обратной связи на официальных сайтах государственных органов, складываются в связи с тем, что большинство официальных сайтов не предполагают не только обязательную верификацию пользователей через портал «Госуслуги», но даже не имеют встроенного средства для получения cookie-файлов, благодаря котором можно было бы получить данные об устройстве и соединении злоумышленника.
В процессе исследования выявлены единичные случаи передачи сообщения через личное обращение, а также посредством факсимильной связи.
Анализ сообщений показывает, что в большинстве случаев (около 75 %) они не содержат каких-либо требований.
Примерно в 9 % случаев преступники демонстрируют корыстные мотивы – требуют перевести деньги на банковскую карту, номер телефона, электронный кошелек, а также криптовалюту.
В отдельных случаях (около 5 %) встречаются требования, направленные на получение максимального общественного резонанса: вызвать полицию, эвакуировать людей, сообщить в средства массовой информации, указать конкретные данные лиц (организации, взявшей ответственность), сжечь 1 млн руб. на центральной площади города, записать видео и выложить в Интернет.
Примерно в 10 % исследованных случаев преступники в сообщениях обозначают, что они передадут дальнейшие инструкции через свою страницу социальной сети, или информируют о необходимости ожидания получения последующих указаний. В единичных случаях выдвигаются требования зайти на определенный сайт в целях повышения рейтинга, получения голосов за клип в YouTube, возбуждения уголовного дела в отношении сотрудников правоохранительных органов.
До 24 февраля 2022 г. – начала специальной военной операции на территории Украины – требования политического характера, выдвигаемые злоумышленниками при передаче заведомо ложного сообщения об акте терроризма, являлись единичными (например, освободить лидера оппозиционеров, не проводить референдум и пр.). С началом специальной военной операции наблюдается резкий скачок числа подобных преступлений. При этом в сложившейся обстановке требования, выдвигаемые при передаче заведомо ложных сообщений об актах терроризма, в большей степени носят негативный эмоциональный окрас.
В 70 % случаев способ террористического акта, о котором содержится информация в сообщении, не конкретизирован: преступники используют общие фразы (заложена бомба, объект заминирован, заложено взрывное устройство или взрывчатое вещество и т. п.).
В 7 % – содержатся указания на то, что взрывное устройство имеет механизм самоликвидации, который будет приведен в действие в случае неисполнения требований. В отдельных случаях (3,5 %) в сообщении содержится информация о наименовании конкретного взрывчатого вещества. Единичными являются случаи упоминания использования дронов.
Что касается времени совершения террористического акта (взрыва, поджога, совершения иных действий, устрашающих население и создающих опасность гибели человека, причинения значительного имущественного ущерба либо наступления иных тяжких последствий), то в 56 % случаев время предполагаемого взрыва в сообщении вообще не указывается. В 20 % – указывается временной интервал после получения сообщения о готовящемся взрыве (например, в течение суток, определенного промежутка времени). Лишь в 5 % случаев обозначается точное время взрыва. Единичны случаи указания на конкретное событие, после которого произойдет взрыв: когда тронется поезд, взлетит
самолет и пр.
В 34 % – информация в тексте сообщения содержала сведения о причастном к совершению преступления лице, либо данная информация содержалась в адресе электронной почты, с которой было отправлено сообщение, либо лицо представилось по телефону.
Личность преступника.
В процессе исследования выявлены три принципиально разные группы лиц, совершающие подобные преступления:
1) подростки – учащиеся общеобразовательных школ и колледжей (для сообщений характерно выдвижение требований не вызывать оперативные службы; отсутствие материальных требований; объектами являются в большинстве случаев школы);
2) лица с провокационными склонностями и низкой социальной ответственностью, для которых мотивом чаще всего является стремление вызвать максимальный общественный резонанс;
3) представители криминальных колл-центров, находящиеся за пределами территории Российской Федерации, на профессиональной основе стремящиеся к оказанию информационно-психологического воздействия на государственные органы и население с целью вызвать панику и неуверенность.
Распространители ложных сообщений об акте терроризма могут использовать персональные данные, а также никнеймы третьих лиц для распространения своих угроз. Чаще всего это делается в качестве мести или в целях вымогательства денежных средств.
В этом случае злоумышленник «подкидывает» правоохранительным органам возможность идентифицировать себя по никнейму, ФИО или иным признакам. Его конечная цель заключается в том, чтобы оперативные службы задержали подставляемое им лицо. На Западе такой прием известен под названием «сватинг».
Большинство подобных деяний совершается несовершеннолетними лицами в возрасте 10–15 лет. Часть их игнорируют наличие в сети Интернет своих ранее созданных аккаунтов в социальных сетях, оформленных на их настоящие данные. Обнаружение данных аккаунтов позволяет примерно в половине случаев успешно идентифицировать личности «минеров».
Характерно, что сватеры объединяются в сообщества в социальных сетях и мессенджерах. Эти сообщества часто публикуют сведения о «минируемых» объектах заранее. Между сообществами существует конкуренция, включая размещение в публичном доступе идентифицирующих данных на участников таких групп.
Многие сватеры сообщали о «минировании» собственных учебных заведений. В частности, это было в Екатеринбурге и Красноярске. Проведение опроса педагогов учебных заведений позволило выявить учащихся, склонных к девиантному поведению. Последующая проверка их аккаунтов и электронных устройств позволила подтвердить их причастность к распространению подобных сообщений.
Объектами заведомо ложных сообщений об актах терроризма являются места с массовым пребыванием людей. В большинстве случаев (33 %) это образовательные организации (школы, гимназии, лицеи). Детские сады значительно реже становятся объектами заведомо ложных сообщений об актах терроризма – в 4 % случаев.
Примерно такое же количество случаев «минирования» колледжей, высших учебных заведений. Торговые объекты являлись объектами заведомо ложных сообщений об актах терроризма в 15 % случаев.
В 10 % – объектом заведомо ложных сообщений об актах терроризма являлось здание органа государственной власти, местного самоуправления. Причем здания правоохранительных органов выступали объектами «минирования» лишь в 2 % случаев. Высокую распространенность получили заведомо ложные сообщения об актах терроризма в отношении объектов транспортной инфраструктуры: здание аэропорта, самолет – 6 %, вокзал, станция метро, автовокзал – 5 %, общественный транспорт (поезд, поезд метро, электробус) – 1 %.
Среди социальных объектов выделяются больницы (5 %), объекты жизнеобеспечения – коммунальные предприятия (2 %), дома престарелых (1 %), детские дома (1 %).
Среди коммерческих организаций объектами заведомо ложных сообщений об актах терроризма в 3 % случаев являлись банки.
Открытая местность выступает в качестве объекта заведомо ложных сообщений об актах терроризма лишь в 1 % случаев. Также среди объектов таких сообщений встречались жилые дома (3 %), гостиницы, исправительные учреждения, офисы компаний, театры, рестораны, отделения связи, музеи. Единичны случаи минирования центров помощи детям, а также пожарной безопасности.
В 1 % – объектом преступного посягательства выступали отделение политической партии либо избирательные комиссии. Распространенность подобных объектов при заведомо ложных сообщениях об актах терроризма находится в пределах статистической погрешности.
Распространение ложных сообщений о минировании часто используется правонарушителями в целях вымогательства денежных средств у организаций, деятельность которых простаивает и теряет доход в связи с необходимостью проведения эвакуации и иных антитеррористических мероприятий. Это торговые центры, магазины, клубы, театры, кинотеатры и т. п. Орудия и средства совершения преступлений.
Как указывалось выше, в настоящее время широкое распространение получила передача заведомо ложных сообщений об акте терроризма посредством современных цифровых технологий: с использованием электронной почты, социальных сетей, сервисов мгновенных сообщений, IP-телефонии с функцией подмены номера.
Применительно к перечисленным выше интернет-сервисам общим является то, что организации, индивидуальные предприниматели и физические лица, являющиеся их владельцами и обеспечивающие их функционирование, обязаны соблюдать требования законодательства Российской Федерации, предъявляемые к организаторам распространения информации.
В соответствии со ст. 10.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» организатором распространения информации в сети Интернет является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет.
Организаторы распространения информации обязаны осуществлять идентификацию своих пользователей, хранить в течение 6 месяцев текстовые сообщения своих пользователей, голосовую информацию, изображения, звуки, видео-, иные электронные сообщения, а в течение 12 месяцев – информацию о фактах передачи данных сообщений, и предоставлять данную информацию уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами.
Социальные сети представляют собой интерактивные многопользовательские сайты, контент (содержание) которых наполняется их посетителями с возможностью указания какой-либо информации об отдельном человеке, по которой аккаунт (страницу) пользователя смогут найти другие участники сети.
Под мессенджером понимается сервис в сети Интернет, предназначенный для обмена электронными сообщениями между пользователями.
IP-телефония отличается от привычной мобильной связи тем, что для ее использования не требуется телефонного аппарата (оконечного оборудования пользователя), идентификационного модуля абонента (сим-карты), а также подключения к базовой станции подвижной связи. Соединение устанавливается через специальное приложение по протоколу IP. При применении анонимайзеров установление реального IP-адреса, использованного для соединения, носит затруднительный характер.
Следы.
Под следами преступления в криминалистике понимаются любые изменения окружающей среды, находящиеся в причинноследственной связи с событием преступления. Для преступлений, совершаемых с использованием информационно-телекоммуникационных технологий, характерно оставление в результате их совершения особой категории следов – цифровых. Под цифровыми следами понимаются результаты преобразования компьютерной информации в форме уничтожения, копирования, блокирования или модификации, а также соответствующие им изменения физических характеристик ее носителя, причинно связанные с событием преступления. Заведомо ложное сообщение об акте терроризма не является исключением.
Существенные свойства цифровых следов:
1) относятся к категории материальных следов;
2) существуют исключительно на электронных носителях информации;
3) механизм их образования находится в зависимости от применяемой технологии записи информации на электронный носитель;
4) их возникновение детерминировано как технологическими процессами, возникающими в информационной системе при уничтожении, копировании, блокировании или модификации компьютерной информации, так и правовыми требованиями, предъявляемыми к субъектам, обеспечивающим функционирование информационно-телекоммуникационной инфраструктуры, и кредитно-финансовым организациям;
5) для их восприятия участниками расследования требуется их преобразование с использованием аппаратно-программного обеспечения.
К числу цифровых следов, позволяющих установить личность отправителя электронного сообщения, относятся: никнейм (сетевой псевдоним пользователя), адрес электронной почты и номер телефона, привязанный к нему при регистрации, фотография или аватар (изображение, графический объект), рекламные идентификаторы, геолокационная информация, данные о соединении и устройстве пользователя, платежные реквизиты, публичные переписки и участие в сообществах, иные связанные вебузлы и уникальные идентификаторы.
Совокупность перечисленных данных составляет обобщенный цифровой образ пользователя, включающий в себя индивидуальные, социальные и технические сведения, а также результат их анализа. Централизованный сбор и исследование цифрового образа личности представляют перспективное направление криминалистики и оперативно-розыскной деятельности. При этом в основе методологии исследования цифрового образа личности находятся
методы анализа больших данных.
Говоря о цифровых следах в информационных системах, возникающих в процессе совершения заведомо ложных сообщений об акте терроризма, следует отметить их дуалистическую природу. С одной стороны, их возникновение обусловлено технологическими особенностями записи информации на соответствующий электронный носитель (карта памяти, флеш-накопитель, CD-диск, жесткий диск компьютера, встроенная память иного цифрового устройства). С другой стороны, возникновение цифровых следов связано с требованиями действующего законодательства к субъектам информационно-телекоммуникационной инфраструктуры.
Так, как уже отмечалось выше, в соответствии с подп. 1 п. 4.2 ст. 10.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» организаторы распространения информации в сети Интернет обязаны осуществлять идентификацию своих пользователей по абонентскому номеру оператора подвижной радиотелефонной связи в порядке, установленном Правительством Российской Федерации. Кроме того, они обязаны хранить на территории Российской Федерации значительный объем сведений о передаваемых ими сообщениях и представлять уполномоченным государственным органам в установленном законом порядке.
Источник: Ю. В. Гаврилин, Н. Э. Мартыненко, И. С. Бедеров ОРГАНИЗАЦИЯ РАССЛЕДОВАНИЯ ЗАВЕДОМО ЛОЖНЫХ СООБЩЕНИЙ ОБ АКТАХ ТЕРРОРИЗМА. Учебное пособие. — М., 2023. Гл. 2, публ. в сокращении.
