Как менялся «телефонный терроризм»?

По России движется очередная волна ложных минирований. Бомбы «закладывают» повсюду – в детских садах, школах, больницах, метро, аэропортах, торговых центрах, судах, на вокзалах. С конца 2019 года полицейские и специальные службы проверили уже более 16 тысяч объектов. В МВД неоднократно указывали, что часто подобные сообщения поступают из-за рубежа. А если точнее, то, как правило, с Украины. «Мы можем говорить, что есть система со стороны определенных сил на Украине постоянно нас тренировать с точки зрения общественной безопасности», – говорил замглавы министра внутренних дел Игорь Зубов. Однако определить источник сообщения с развитием цифровых технологий все сложнее, из-за чего падает и раскрываемость таких дел. На это указывает официальная статистика МВД. В 2018 году следователи нашли больше половины ложных «минеров»: было раскрыто 797 дел из 1530. Год спустя дела ухудшились – за январь-ноябрь 2019-го две трети ложных сообщений так и остались безнаказанными (1475 из 2187 случаев). Во всем виноваты новые технологии. В 90-е телефонным терроризмом занимались в основном уволенные сотрудники, обозленные на школу или вуз ученики, просто различные желающие насолить кому-либо. Вычислить таких хулиганов не составляло никакого труда – достаточно было просто узнать номер звонящего. Затем ситуация ухудшилась. Число звонков росло, и в Госдуме сначала разрешили полицейским без суда запрашивать у мобильных операторов номер абонента и блокировать его, а затем еще и ужесточили 207-ю статью УК, посвященную ложным минированиям – с декабря 2017 года за них можно сесть на пять лет. А если вдруг из-за сообщения кто-то погиб – то и на 10. С недавних пор даже школьники знают, что номер теперь можно подменить – это позволяют сделать технологии IP-телефонии. Три года назад в Госдуме задумывались о том, чтобы штрафовать операторов за подмену, однако закона из проекта не получилось – чисто технически перекладывать всю вину на операторов было неправильно. Все потому, что при любом телефонном звонке вызывающей стороне присваиваются два разных идентификатора – первому, он называется ANI (Automated Number Identification), оператор выставляет счет за услуги, а второй – Caller ID – высвечивается на устройстве абонента. Так вот – менять первый противозаконно, а что касается второго, то тут возможностей гораздо больше. Поскольку у операторов нет обязанности соотносить два этих идентификатора, они этого, как правило, и не делают. В связи с этим на рынке сейчас обилие абсолютно разных программ и мобильных приложений, позволяющих манипулировать с номером телефона – вплоть до выбора произвольного. И все они законны. Если упрощать, то схема следующая – человек звонит со своего номера, со своей сим-карты, а приложение, используя специальные протоколы IP-телефонии, отправляет на принимающее устройство сигнал с другим Caller ID – и все. Некоторые программы и вовсе предлагают замаскироваться под один из контактов телефонной книги – ради шутки позвонить маме от лица бабушки, например. В ноябре 2018 года, когда по Москве прокатилась серия «минирований» торговых центров, правоохранители выяснили, что все звонки шли с номера пенсионерки из Балашихи – злоумышленники действовали по тому же принципу. Однако возникает вопрос – если оператор отслеживает первый идентификатор, ANI, то почему не удается вычислить звонящего? Удается – полицейским достаточно сделать запрос, и источник звонка будет открыт для них. Но это работает только с самыми простодушными «минерами», подменяющими номер с использованием своей сим-карты. Другие же пользуются услугами операторов-посредников – таковых в интернете довольно много. Достаточно лишь зарегистрировать у них временный аккаунт, пополнить счет, не указывая при этом никаких своих данных, и можно звонить. С любого выбранного номера и с кодом любой страны. Звонок идет либо через фиксированный коммутатор оператора, либо через принадлежащий ему шлюз с сим-картами различных компаний. Конечная схема может выглядеть примерно так. При этом многие их этих посредников не сохраняют никаких данных ни о звонках, ни даже об абонентах. То есть найти «минера» будет очень сложно. Зацепки могут быть в виде банковских карт или сохранившегося IP-адреса, но и они - не гарантия успеха. «IP-провайдеры даже предоставляют данные «да, вот с такой-то карты производилась оплата, с такого-то IP-адреса осуществлялся звонок». Но потом выясняется, что эта карта похищена, скомпрометирована или выпущена где-то на кокосовых островах, а IP-адрес первый из цепочки тоннелей, зашифрованных в разных странах мира», – заявил газете ВЗГЛЯД заместитель руководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин. Кроме того, в последние годы стал популярен способ почтовых минирований. Вот такие письма пришли в январе 2019 года в ряд школ, больниц и торговых центров сибирских городов: «Здравствуйте! Хотим сообщить, в вашем здании бомба. А также в ряде других учебных заведений по всему городу. Времени мало, поэтому советуем поспешить эвакуироваться. Не повторяйте судьбу магнитогорцев, мы их оповещали ... Внимательно подумайте, прежде чем игнорировать сигнал, ведь может, что этим вы сохраните жизни». Сотрудникам не остается ничего иного, кроме как вызвать полицию с проверкой. Нынешние «минирования» проходят по той же схеме. Злоумышленники сначала используют специальные бот-программы, чтобы собрать базу из email-адресов различных учреждений - защита от таких ботов есть далеко не на всех сайтах, - затем заводят аккаунт на каком-нибудь славящемся своим шифрованием почтовом сервисе – вроде заблокированного Роскомнадзором голландского StartMail, и отправляют письмо. Принципы работы этих сервисов схожи – они дают возможность запаролить свое письмо или даже отправить его с временного, автоматически сгенерированного адреса – причем у адреса будет «срок годности», то есть через указанное время он самоустранится, станет неактивным. Сервис хранит некоторые данные об отправителе и письме – IP-адрес, тип и версию используемого браузера, время и срок пользования, содержание отправления. Но если удалить письмо и аккаунт, в течение максимум трех дней вся информация исчезнет и с серверов компании. При этом понять, что письмо пришло с определенного клиента, совсем не сложно – практически во всех случаях даже сгенерированные временные адреса в качестве домена все равно имеют название сервиса – то есть он будет примерно следующего вида: mjjkqnvwbs@use.startmail.com. Интересно, что тот же StartMail, к примеру, в декабре 2019-го зарегистрировался в российском реестре организаторов распространения информации, и согласно соответствующему закону обязан хранить все данные пользователей и по запросу передавать их госорганам. Между тем в правилах приватности, указанных на сайте сервиса, говорится следующее: «Мы не подчиняемся требованиям каких-либо структур кроме властей Голландии. Если мы получим запрос от любого иностранного представителя власти, мы откажемся выполнять требования и вместо этого посоветуем делающему запрос обратиться с формальным заявлением о сотрудничестве к властям Голландии». То есть, строго говоря, полицейским нужно будет сначала получить разрешение от голландских властей, затем направить его оператору почтового сервиса, и тогда, возможно, будет какой-то результат. И то – при условии, что удастся уложиться в трехдневный срок. При таких условиях на передний план выходят даже не компетенции следствия, а скорее качество международных отношений и возможность быстрого обмена данными между странами.