ВВЕДЕНИЕ

Настоящее пособие разработано на основе анализа следственной практики и «Практического руководства по выявлению, расследованию и судебному рассмотрению преступлений, совершаемых с использованием сети Интернет» (утв. Программой SMART, 2022), а также с учетом актуальных изменений законодательства РК в сфере цифровых активов.

Цель документа: вооружить сотрудников территориальных подразделений четкими алгоритмами действий при реагировании на киберпреступления и наркоправонарушения, совершаемые дистанционным способом.

РАЗДЕЛ 1. ОБЩИЕ ПРАВИЛА РАБОТЫ С ЦИФРОВЫМИ ДОКАЗАТЕЛЬСТВАМИ

Соблюдение данных правил гарантирует допустимость доказательств в суде (ст. 112, 122 УПК РК).

1. Обнаружение включенного персонального компьютера

• Правильные действия:

  1. Сфотографировать экран с отображением даты и времени.

  2. Вызвать специалиста для снятия дампа оперативной памяти (если есть возможность).

  3. Выключить компьютер путем удержания кнопки питания в течение 5–10 секунд.

• Категорически запрещено: выключать компьютер через меню «Пуск» (приводит к изменению системных файлов и временных меток), оставлять включенным без присмотра.

2. Изъятие мобильного телефона

• Правильные действия:

  • Немедленно активировать «Авиарежим» или поместить устройство в клетку Фарадея (спецпакет).

  • Сфотографировать экран с открытыми приложениями и наклейку с IMEI.

• Категорически запрещено: оставлять включенными Wi-Fi или мобильную сеть (высок риск удаленной блокировки или очистки устройства через сервисы Find My Device).

3. Упаковка носителей информации (HDD, SSD, флеш-накопители)

• Правильные действия: использовать антистатические пакеты или плотные бумажные конверты. Исключить воздействие магнитных полей, повышенной влажности и прямых солнечных лучей.

• Категорически запрещено: размещать носители на динамиках радиостанций, вблизи источников электромагнитного излучения, носить в карманах рядом с магнитными ключами.

4. Осмотр цифрового контента (переписка, фото, видео)

• Правильные действия: проводить осмотр в рамках протокола осмотра предмета (телефона/компьютера) с обязательным указанием IMEI, номера SIM-карты, абонентского номера. Ход осмотра фиксировать фотосъемкой или видеозаписью.

• Категорически запрещено: делать скриншоты экрана на личный телефон и приобщать их к делу как «фотографии» без составления процессуального документа.

РАЗДЕЛ 2. ИНТЕРНЕТ-МОШЕННИЧЕСТВО (п. 4 ч. 2 ст. 190 УК РК)

2.1. Наиболее распространенные способы совершения

• Звонок от лже-сотрудника банка: потерпевшего убеждают перевести деньги на «безопасный» или «резервный» счет под предлогом предотвращения несанкционированного списания.

• Фишинг на торговых площадках (OLX, Kolesa.kz): покупателю направляется ссылка на поддельный сайт курьерской службы, где он вводит данные своей банковской карты.

• Взлом аккаунтов (WhatsApp, Instagram): от имени владельца аккаунта производится рассылка контактам с просьбой одолжить деньги.

• Инвестиционное мошенничество: вовлечение в фейковые брокерские платформы с демонстрацией ложной прибыли.

2.2. Алгоритм действий сотрудника при приеме заявления

Шаг 1. Сбор первичной информации

• Установить номер телефона мошенника.

• Зафиксировать номер банковской карты или счета получателя денежных средств.

• При наличии — указать URL фишингового сайта.

• Примечание: обязательно сверить номер карты получателя с данными, отраженными в чеке или истории мобильного приложения потерпевшего.

Шаг 2. Осмотр телефона заявителя

• Составить протокол осмотра предмета (мобильного телефона) в соответствии со ст. 219-221 УПК РК.

• Зафиксировать в протоколе: модель телефона, IMEI, номер SIM-карты.

• Подробно описать содержание переписки с мошенником (мессенджер, никнейм, текст сообщений). Скриншоты приложить к протоколу в виде фототаблицы.

Шаг 3. Срочные запросы

• В банк-получатель: запрос о блокировке счета, предоставлении выписки о движении денежных средств и видеозаписей с банкоматов (если производилось снятие наличных).

• Оператору сотовой связи: запрос о принадлежности абонентского номера, детализации соединений и IMEI-устройств, использовавшихся с данным номером.

• Важно: запросы направлять незамедлительно, так как денежные средства обычно выводятся в течение 15–30 минут с момента перевода.

РАЗДЕЛ 3. БЕСКОНТАКТНЫЙ СБЫТ НАРКОТИКОВ (п. 5 ч. 3 ст. 297 УК РК)

3.1. Структура преступной группы (знать обязательно)

• Организатор (Склад): осуществляет общее руководство, управляет процессом удаленно, зачастую находится за пределами Казахстана.

• Диспетчер (Оператор): ведет переписку с покупателями и курьерами, подтверждает поступление оплаты, выдает адреса тайников.

• Курьер (Закладчик / Кладмен): фасует наркотические средства и размещает их в тайниках-закладках. Является основной целью при проведении оперативно-розыскных мероприятий и задержаний.

• Кассир: обеспечивает конвертацию полученных от покупателей фиатных денег (тенге) в криптовалюту через дропперов и нелегальные обменники.

3.2. Тактические особенности документирования

• При личном досмотре и обыске подлежат изъятию: мобильный телефон, банковские карты, блокноты и записи, изолента, магниты, полимерные пакеты с зип-лок, электронные весы.

• Осмотр телефона задержанного: проверить наличие приложений Telegram, Tor Browser, VPN-сервисов, «Заметки», GPS Camera. Внимательно изучать галерею на предмет наличия фотографий участков местности с координатами и описанием мест закладок.

• Фиксация тайника: в протоколе осмотра места происшествия обязательно указывать GPS-координаты, делать фото места до и после изъятия закладки с привязкой к стационарным объектам.

3.3. Работа с платежными системами (Qiwi, Kaspi)

Для установления личности «Кассира» или «Курьера» необходимо:

1. Получить в банке или платежной системе детализированную историю пополнения счета / кошелька.

2. Установить точное время и адрес расположения терминала, через который вносились денежные средства.

3. Изъять видеозаписи с камер наблюдения (магазин, банк, уличные камеры) за указанный период времени.

4. Сравнить полученные изображения с имеющимися ориентировками и данными подозреваемых.

РАЗДЕЛ 4. ОСОБЕННОСТИ РАБОТЫ С КРИПТОВАЛЮТОЙ

Криптовалюта признается в Республике Казахстан имуществом. Подразделения АФМ РК (управление «Криптон») обладают необходимой компетенцией по аресту цифровых активов и взаимодействию с криптобиржами.

4.1. Что искать при обыске?

• Сид-фразы (Seed-фразы): набор из 12 или 24 английских слов, записанных на бумаге, в блокноте, на стикерах или сохраненных в виде скриншота в памяти телефона. Это прямой ключ доступа ко всем средствам на криптовалютном кошельке.

• Приватные ключи: файлы wallet.dat или строки символов в текстовых файлах.

• Приложения: Binance, Bybit, OKX, Trust Wallet, MetaMask, Blockchain.com и аналогичные.

4.2. Алгоритм фиксации криптоследа

• Если телефон разблокирован и открыто приложение кошелька:

  • Немедленно сфотографировать экран с отображением публичного адреса (строка символов, начинающаяся с 0x..., T..., 1... или 3...).

  • Зафиксировать текущий баланс и список последних транзакций.

  • В протоколе осмотра указать: полный адрес кошелька, тип криптовалюты (BTC, USDT, ETH), название биржи или приложения-кошелька.

• Взаимодействие:

  • Направить запрос в АФМ РК с указанием выявленных криптоадресов для проведения блокчейн-анализа и, при необходимости, наложения ареста на активы.

4.3. Блокчейн-аналитика (памятка для следователя)

• Транзакцию нельзя удалить. Вся история движения средств публично и навсегда зафиксирована в распределенном реестре (блокчейне).

• Слабые места преступников: для конвертации криптовалюты в фиатные деньги (тенге) им необходимо воспользоваться услугами P2P-площадок или централизованных криптобирж, где обязательно проводится процедура верификации личности (KYC) с предоставлением паспортных данных и ИИН.

• Действие: запрос в криптобиржу, направленный через АФМ РК, позволяет установить реальную личность владельца кошелька.

РАЗДЕЛ 5. ВЗАИМОДЕЙСТВИЕ С СОЦИАЛЬНЫМИ СЕТЯМИ И МЕССЕНДЖЕРАМИ

Meta (Facebook, Instagram)

• Что можно получить официально: IP-адреса входа в аккаунт, историю регистрации, контент учетной записи (по решению суда).

• Особенности: запрос осуществляется через Министерство информации и общественного развития РК или в рамках международного поручения. Срок ответа может быть длительным.

Telegram

• Что можно получить официально: содержание переписки серверы Telegram НЕ ВЫДАЮТ.

• Особенности: вся надежда на физическое изъятие устройства подозреваемого. Если чат удален или использовался «секретный чат» с таймером удаления сообщений, восстановление данных крайне затруднено.

WhatsApp

• Что можно получить официально: ограниченную информацию о профиле пользователя.

• Особенности: резервные копии чатов могут храниться в облачных сервисах iCloud или Google Drive. При осмотре изъятого телефона обязательно проверяйте настройки аккаунта на предмет подключенного резервного копирования.

РАЗДЕЛ 6. НАЗНАЧЕНИЕ СУДЕБНЫХ ЭКСПЕРТИЗ

При вынесении постановления о назначении экспертизы избегайте общей формулировки «Исследовать содержимое диска». Эксперту необходимо ставить конкретные, проверяемые вопросы.

Типовые вопросы для компьютерно-технической экспертизы:

1. Имеется ли на представленном накопителе информации программное обеспечение, предназначенное для доступа к сети «Интернет» через анонимайзеры (Tor Browser, Psiphon, VPN-приложения)?

2. Содержатся ли в памяти мобильного телефона (указать модель и IMEI) текстовые файлы или графические изображения, в которых встречаются ключевые слова: «клад», «закладка», «скорость», «соль», «кристаллы», «фас»?

3. Имеются ли в истории браузера сведения о посещении интернет-ресурса (указать конкретный URL-адрес) за период с … по …?

4. Сохранились ли в кэш-памяти устройства или служебных файлах мессенджера Telegram данные переписки с пользователем, имеющим никнейм @nickname?

5. Имеются ли на носителе файлы, содержащие последовательности из 12 или 24 слов, характерные для сид-фраз (seed-фраз) криптовалютных кошельков, или строки символов, соответствующие формату приватных ключей?

РАЗДЕЛ 7. ТИПИЧНЫЕ ОШИБКИ И ПРАКТИЧЕСКИЕ СОВЕТЫ

Ошибка: «Суд не принял скриншот как доказательство»

• Как правильно: Скриншот — это не самостоятельный документ, а лишь иллюстрация. Необходимо провести осмотр интернет-страницы с составлением протокола (в присутствии понятых или с видеозаписью) либо осмотреть телефон как вещественное доказательство (ст. 220 УПК РК) и уже в рамках этого протокола приложить скриншоты.

Ошибка: «Не могу установить владельца номера телефона»

• Как правильно: Номер может быть оформлен на подставное лицо. Запрашивайте у оператора сотовой связи детализацию соединений с указанием IMEI-устройств. Анализ IMEI покажет, с какими еще номерами контактировал подозреваемый, и позволит установить его реальное местонахождение через данные базовых станций.

Ошибка: «Включил компьютер подозреваемого, чтобы посмотреть что там»

• Как правильно: Категорически запрещено. Даже кратковременное включение и корректное завершение работы изменяет временные метки файлов, записи реестра и уничтожает доказательственную ценность цифрового носителя. Работать с диском должен только эксперт на аппаратно-программном комплексе с применением блокираторов записи.

Ошибка: «Криптовалюта ушла в неизвестном направлении»

• Как правильно: Направьте запрос в АФМ РК (управление «Криптон») с указанием известных вам криптовалютных адресов или хэшей транзакций. Ведомство обладает специализированным программным обеспечением для отслеживания движения средств по блокчейну и каналами связи с администрациями криптобирж даже постфактум.

ЗАКЛЮЧЕНИЕ

Эффективность раскрытия преступлений в сфере информационно-коммуникационных технологий напрямую зависит от трех составляющих:

1. Скорость реакции — незамедлительная блокировка банковских счетов, своевременное изъятие техники до уничтожения данных.

2. Соблюдение норм УПК — правильная фиксация цифровых следов в протоколах следственных действий.

3. Межведомственное взаимодействие — оперативный обмен информацией с АФМ РК, КНБ РК, банками второго уровня и операторами сотовой связи.

Используйте данную методичку как настольный справочник при выезде на происшествия, связанные с использованием интернета, мессенджеров и криптовалют.