Форензик что это простыми словами

Форензик: как выявить корпоративное мошенничество в компании

Коррупция и мошенничество могут процветать как на крупных предприятиях, так и в небольших компаниях. При этом собственники бизнеса часто даже не догадываются об утечке денежных средств. Определить, существует ли такая опасность, помогают форензик-специалисты

Однажды руководство российского автомобильного завода обратилось к специалистам нашего бюро с просьбой провести внутреннюю проверку и выявить инциденты корпоративного мошенничества и коррупции. Во время аудита мы обнаружили в документах парадоксальные вещи – в них было указано, что на производство одной машины требуется два кузова. Это яркий пример того, каким образом недобросовестные сотрудники крупного производства могут вступить в сговор и выводить денежные средства из компании.

Вместе с тем многие предприниматели даже не догадываются об утечке средств. Обычно она грамотно замаскирована. Тем не менее существуют индикаторы, которые позволяют выявить мошенничество в компании. А справиться с ним помогают форензик-специалисты.

Что такое форензик?

Форензик – это комплекс услуг, направленных на выявление корпоративного мошенничества и коррупции в компании. Форензик-специалисты проводят адвокатские расследования, позволяющие обнаружить недобросовестных работников и отдать их под следствие. То есть владелец бизнеса не просто узнает, кто из сотрудников, например, продает или приобретает продукцию по невыгодной для предприятия цене, но и с помощью специалистов привлечет их к административной или уголовной ответственности. А это позволит взыскать с виновных подчиненных выведенные деньги.

Какие услуги включает в себя форензик?

• проверка благонадежности юридических и физических лиц;
• выявление аффилированности проверяемого с иными лицами;
• информационное сопровождение сделок и переговоров;
• информационное сопровождение разрешения судебных споров;
• поиск и идентификация активов в России и за рубежом;
• анализ рисков при выходе на новые рынки.

Внутреннее расследование инцидентов:

• мошенничества контрагентов, сотрудников и других лиц;
• внутренней коррупции и нарушения этики;
• торговли инсайдерской информацией и манипулирования рынком;
• отмывания денег и финансирования терроризма;
• несанкционированного использования конфиденциальной информации;
• вывода денежных средств и активов.

Какие индикаторы указывают на корпоративное мошенничество?

• Закупка все большего количества товара при неизменных объемах производства.
• Обнаружение на складах при случайных проверках контрафактной или некачественной продукции.
• Снижение объемов продаж.
• Систематические жалобы клиентов на качество продукции.
• Резкое увеличение продаж при снижении стоимости товара.
• Несоответствие расходов сотрудника его доходам. Например, если менеджер среднего звена приезжает на работу на Ferrari.
• Резкое увеличение представительских расходов у персонала и т.п.

Наличие даже одного пункта из этого списка служит поводом обратиться за помощью к специалистам по форензику.

Каким бывает мошенничество в компании?

Чтобы показать, что собой представляет форензик, давайте рассмотрим наиболее распространенные виды корпоративного мошенничества в компании-производителе. Оно встречается в зонах закупок, производства и продаж. Сюда также можно отнести две дополнительные зоны расходов – персонал и непроизводственные издержки.

В каждом из этих звеньев возможна утечка средств. Но прежде чем приступить к проверке перечисленных зон, форензик-специалист проводит ориентацию поискового процесса. Она представляет собой составление списка людей, которые могут быть причастны к инцидентам корпоративного мошенничества и коррупции.

По каким критериям проводится проверка физического лица?

• Идентификация лица (поиск и сбор информации для точной идентификации);
• проверка паспортных данных;
• проверка на наличие совершенных ранее уголовных преступлений;
• проверка на наличие ранее совершенных административных правонарушений;
• анализ архивной информации;
• проверка по особым реестрам учета негативной информации;
• перечень движимого и недвижимого имущества;
• перечень расчетных счетов и НДФЛ за последние три года;
• налоговая задолженность;
• аффилированность лица (в качестве руководителя, учредителя, ИП и т.п.);
• родственные связи и информация по персоналиям;
• круг общения, репутация (социальная, деловая и др.);
• анализ медиаактивности;
• кредитная история.

После того как ориентация поискового процесса закончена, форензик-специалисты переходят к аудиту каждого звена в структуре компании.

Как форензик-специалисты выявляют мошенничество в зоне закупок?

Распространенной схемой мошенничества является закупка излишков сырья, чтобы в сговоре с другими сотрудниками продавать неучтенную продукцию. Часто используется схема, когда сотрудник приобретает товар у своего поставщика по завышенной цене, а сумму переплаты делит с ним пополам. Сюда же относится приобретение товаров ненадлежащего качества.

Такой пример: к нам обратились акционеры крупной компании, чтобы провести расследование инцидента на производстве. Специалист, монтировавший электрическое оборудование, в ходе работ сгорел. Выяснилось, что поставщик продал контрафактные средства индивидуальной защиты, что и привело к гибели человека. В результате нам удалось привлечь к ответственности недобросовестного подрядчика и спасти репутацию руководства компании.

Форензик-специалисты проводят тщательный поиск, который позволяет выявить:

1. Выбор своего поставщика на невыгодных для предприятия условиях, а также махинации при проведении тендеров:

• закупка продуктов и сырья низкого качества;
• закупка по завышенным ценам;
• фиктивные, двойные или избыточные закупки.

• необоснованное авансирование поставок, работ или услуг контрагентов, в том числе при невыполнении обязательных для этого условий;
• намеренное авансирование поставок, работ или услуг с целью последующего планового признания кредиторской задолженности безнадежной и невозвратной.

Как борются с мошенничеством в зоне производства?

Чаще всего в компаниях, где процветает корпоративное мошенничество, необоснованно списывают брак либо производят манипуляции с классификаторами и справочниками.

Еще одной распространенной схемой является параллельный бизнес. Допустим, в организации два учредителя. Один из них делами компании не занимается. Второй при получении заказа, вместо того чтобы выполнить его силами компании, нанимает субподрядчика. При этом в качестве субподрядчика выступает фирма, которая является его же собственностью. В вопиющих случаях штат основной компании является штатом параллельной. Так выводятся средства из бизнеса в обход одного из учредителей.

Рассмотрим пример из нашей практики. Компания занимается поставкой энергооборудования. Ей поступил заказ условно на 1 млн долларов. 15–20% от этой суммы, т. е. 200 тыс. долларов, занимало гарантийное и постгарантийное обслуживание. Один из учредителей оформил документы так, будто в компании недостаточно собственных ресурсов для выполнения работ. После этого была нанята фирма-субподрядчик, которая принадлежала этому учредителю. Ей отдали 199 тыс. долларов. То есть прибыль получил субподрядчик, при этом оборудование обслуживали сотрудники компании, изначально принявшей заказ.

Нередко мошенничество в компании процветает за счет накопления и реализации неучтенной готовой продукции, излишков сырья, полуфабрикатов и прочих материалов (запчастей, деталей, ГСМ). Обычно это делается посредством:

• манипуляций с производственными нормативами, нормами отходов и брака;
• искажения показаний или намеренной поломки контрольно-измерительного оборудования, включая видеонаблюдение;
• искажения данных складского или производственного учета;
• недостаточной детализации в документах, подтверждающих списание сырья, полуфабрикатов или брака;
• намеренных ошибок планирования.

Форензик-специалисты выявляют, где формируются неучтенная готовая продукция и излишки материалов. Совместно с основными методами проверки на данном этапе используются и дополнительные:

• специализированные и настроенные с учетом потребностей клиента аналитические тесты (Forensic Data Analytics), помогающие сузить периметр для проведения более детальной проверки;
• анализ аффилированности сотрудников и контрагентов;
• компьютерная криминалистика, в том числе анализ интегрированности и прав доступа к различным базам данных.

Как нейтрализуют мошенничество в зоне продаж?

Менеджер по продажам может сбывать товар по заниженной цене и за это получать откат. Эта схема является основной. Нередко встречаются и ее вариации.

В качестве примера можно рассмотреть такую ситуацию: компания занимается закупкой шин в Японии. В ходе форензик-расследования были выявлены излишние траты: слишком большое складское помещение, которое не соответствовало объему поставок, раздутый штат ЧОПа и т.д. При этом оказалось, что склад был полностью заполнен шинами. В результате специалисты обнаружили, что менеджер по продажам закупал через теневых посредников за полцены контрабандные шины, а затем продавал их со скидкой за откат, используя отдел продаж и другие ресурсы компании.

Форензик-специалисты выявляют факты предоставления отдельным покупателям и подрядчикам преимуществ, дискриминирующих интересы собственника:

• продажи по заниженным ценам, необоснованное предоставление скидок и бонусов;
• фиктивные, двойные или избыточные продажи;
• необоснованные отсрочки поставок, выполнения работ или оказания услуг контрагентам, в том числе при невыполнении обязательных для этого условий;
• намеренное предоставление отсрочки поставок, выполнения работ или оказания услуг для последующего планового признания дебиторской задолженности безнадежной и невозвратной и ее списания.

Какие риски форензик-специалисты выявляют в зонах «Персонал» и «Непроизводственные расходы»?

Форензик-специалисты ориентированы на выявление необоснованных расходов, противоречащих интересам собственника бизнеса:

• необоснованные выплаты бонусов и премий сотрудникам, в частности посредством искажения фактических значений КПЭ;
• выплата заработной платы и прочих вознаграждений неработающим сотрудникам («мертвые души»);
• завышение расходов на проведение строительно-монтажных или ремонтных работ;
• осуществление инвестиционной деятельности, дискредитирующей интересы собственника, включая выдачу займов и операции с ценными бумагами;
• заключение договоров аренды, осуществление благотворительной деятельности, страхование имущества, прием на работу сотрудников на невыгодных условиях при наличии более подходящих вариантов.

Владельцам каких компаний следует опасаться корпоративного мошенничества?

Принято считать, что коррупция и мошенничество встречаются только в крупных компаниях, где труднее контролировать процессы. Между тем маленькому бизнесу и стартапам управление рисками необходимо ничуть не меньше. Это связано с тем, что дело просто не будет развиваться, если деньги станут утекать сквозь пальцы. Кроме того, бизнес будет трудно продать, ведь если покупатель увидит, что в компании не все в порядке, то сделка не состоится.

Как обезопасить бизнес?

Поможет комплаенс. Он является составной частью форензика и представляет собой комплекс мер, корректирующих или вводящих новую систему контроля во избежание повторения или возникновения инцидентов корпоративного мошенничества и коррупции.

Комплаенс-услуги включают в себя:

• анализ и оценку рисков коррупции и взяточничества в соответствии с российским и международным антикоррупционным законодательством (FCPA, UKBA);
• разработку рекомендаций по совершенствованию системы управления рисками коррупции и взяточничества;
• содействие во внедрении антикоррупционной комплаенс-системы;
• предоставление услуг независимой, анонимной и конфиденциальной горячей линии (позвонить могут все сотрудники компании);
• содействие в проведении проверок по анонимным сообщениям о нарушении требований антикоррупционного законодательства;
• оценку рисков мошенничества с последующими разработкой рекомендаций по совершенствованию системы внутреннего контроля и содействием в ее внедрении.

Если у владельцев компании нет возможности нанять специалистов в области форензика и комплаенса, необходимо в первую очередь обратить внимание на индикаторы риска, указанные в начале статьи. Обнаружение одного из перечисленных факторов является поводом провести внимательную проверку. Кроме того, крайне нежелательно, чтобы в компании осуществлялась оплата наличными. Это увеличивает риск злоупотреблений.

Член АЮР рассказал, что такое форензик по-русски

Как ни парадоксально, но в российском сегменте Интернета материалов, отвечающих на вопрос, что такое «форензик» (forensic), на удивление мало. В этом отношении нас обошли даже некоторые страны СНГ. На сайтах, посвященных юридической проблематике, и в профильных СМИ публикаций на эту тему тоже довольно мало.

Что такое форензик

Как и в любой другой профессиональной области, по мере ее развития раз в несколько лет (или чаще) появляется новый модный термин типа KPI, digital, blockchain, вокруг которого не может пройти ни один уважающий себя специалист.

Так и в случае с форензик, который к нам, как и полагается, был привезен западными коллегами, в российских реалиях оброс сразу несколькими определениями.

Часто под форензик подразумевают расследования мошенничества, а также независимые финансовые расследования, адвокатские финансовые расследования.

Форензик – это целый комплекс услуг, включающих в себя элементы аудита, юриспруденции, сложнейших информационных и бухгалтерских технологий, использование психологических техник.

С чем связана сложность предоставляемой услуги? Стоит понимать, что совершаемые в XXI веке финансовые преступления (например, вывод и сокрытие активов) существенным образом отличаются от тех преступлений, которые совершались в мире, где не было Интернета, офшоров, биткоинов и социальных сетей.

Нельзя сказать, что данная услуга широко распространена. Форензик по-прежнему предоставляется «большой четверкой» (Deloitte, PWC, Ernst & Young, KPMG) и рядом юридических фирм.

Мнение эксперта

По мнению члена Ассоциации юристов России Дмитрия Штукатурова, стоит все же отличать форензик в качестве независимого расследования от адвокатского финансового расследования, результаты которого позже могут быть задействованы в суде.

В первом случае под форензик понимается корпоративное расследование, когда его результаты не используются судом и правоохранительными органами. Во втором случае форензик является инструментом в рамках судебного процесса и при подготовке к нему.

Почему форензик невозможен без юристов?

Предположим, в компании N имел место вывод активов одним из ее топ-менеджеров. Если стоит задача не по-тихому попрощаться с топ-менеджером, а наказать его, да еще и вернуть активы, то заказчики обращаются именно в адвокатское бюро, где решить вопросы, лежащие в плоскости трудового, уголовного, гражданского и корпоративного права, удается оперативнее.

В таких случаях обычно подключаются коллеги, специализирующиеся на решении задач информационного характера, например, так называемые computer forensics и forensic accounting. Именно эти люди раскрывают схемы вывода активов и аффилированные лица.

После чего подключаются юристы, которые облекают результаты расследования в «процессуальную форму».

Российские реалии

В отличие от западных стран, где наиболее распространенными экономическими преступлениями являются киберпреступления, в России этот тип преступлений занимает лишь пятое место. А вот незаконное присвоение активов остается самым распространенным видом преступлений в России и на постсоветском пространстве.

Тем не менее, согласно исследованию PwC, респонденты поставили киберпреступления на второе место, отвечая на вопрос о том, какие виды мошенничества потенциально могут нанести ущерб их бизнесу в ближайшие два года.

Это объясняет рост числа компаний, разработавших операционные планы по защите от киберпреступлений (с 26% в 2016 году до 62% в 2018 году).

Банки и закупки

В России именно в сфере строительства услуги форензик-специалистов наиболее актуальны. Это неудивительно, ведь именно на стройке найдется место и «откатам», и другим коррупционным преступлениям, и уж тем более если речь идет о крупных инфраструктурных проектах.

Второй по популярности нишей для форензик-специалистов остается банковская сфера. Изощренность преступлений здесь иногда поражает воображение. Нужно понять: какие схемы по выводу средств были изобретены, кем они были выведены, где осели и как эти активы вернуть.

«Хотелось бы отметить, что крупные российские компании все реже полагают, что коррупция и мошенничество – это нормальные издержки работы в России, что-то вроде неотъемлемой части российской ментальности. К нам все чаще обращаются владельцы крупных компаний, которые не готовы мириться с тем, что топ-менеджмент ворует. Последний пример: мы расследовали факты мошенничества, связанные с тем, что ряд менеджеров крупного звена, как это часто бывает, в качестве контрагентов “пролоббировали” аффилированные с собой компании. Выявить подконтрольность нам удалось благодаря нашим специалистам по работе с информационным технологиями, которые “прошерстили” все возможные носители информации, открытые источники, в том числе социальные сети», – сообщил Дмитрий Штукатуров.

По его словам, позже к проекту подключились специалисты, работа которых заключалась в грамотном интервьюировании участников конфликта. В свою очередь, сведением собранных доказательств воедино и выработкой грамотной правовой позиции занимались юристы.

Своим опытом для сайта Ассоциации юристов России поделился партнер URUS ADVISORY Алексей Панин.

«Самый интересный собственный опыт: поиск активов, заработанных группой, как бы их назвали в России, “черных риэлторов” из благополучной страны Западной Европы, которые якобы продали знаковый объект недвижимости иностранцам. Преступники, занимавшие престижные “легальные” должности – юристы, специалисты по земельным отношениям – выручили несколько миллионов долларов от этого мошенничества и попытались спрятать их в разных странах. Интересно, что средний возраст в преступной группе был более 60 лет, то есть у преступления явно была весьма нетривиальная психологическая составляющая», – сообщил Алексей Панин.

Стоит отметить, что рынок форензик в России, по оценкам специалистов, внушает оптимизм: антикоррупционное законодательство совершенствуется, информационные технологии тоже не стоят на месте. Это значит, что спрос на услуги форензик-специалистов будет лишь расти.

Форензика и всё о ней

UnderPrivate

Если ты когда-нибудь садился за чужой компьютер, восклицал «Елки-палки, да что же тут творилось-то?!» и пытался разобраться (а не начисто форматировал винт), то поздравляю: ты уже занимался форензикой. Только у специалистов круг задач намного шире: они расследуют инциденты, анализируют трафик, ищут сокрытые данные и прочие улики. Хочешь стать одним из таких спецов? Тогда давай посмотрим на основы этого мастерства и соберем коллекцию утилит и ссылок на ресурсы, которые помогут прокачать скилл.

Форензика как наука о расследовании киберпреступлений

Вообще, «форензика» — это калька с английского слова forensics, которое, в свою очередь, является сокращенной формой от forensic science, «судебная наука», то есть наука об исследовании доказательств. В русском это понятие чаще называют криминалистикой, а слово «форензика» закрепилось за компьютерной ее частью.

Форензика — это удел спецов из групп быстрого реагирования, которые включаются в работу, если произошел инцидент, например взлом веб-сервера или утечка конфиденциальной информации, шифрование ценных данных и тому подобные проблемы. Перед экспертами-криминалистами в таком случае ставятся следующие задачи:

• понять, как была реализована атака;
• построить сценарий взлома;
• восстановить хронологию (таймлайн) атаки;
• собрать артефакты (в смысле, не меч Армагеддона и не святой Грааль, а оставшиеся после атаки следы);
• предложить превентивные защитные меры, чтобы такого впредь не повторилось.

Отдельно в этой цепи существует этап формирования экспертного заключения по факту инцидента ИБ. К примеру, для судебных органов или иных компетентных в расследовании инцидента структур.

Сейчас все больше крупных компаний из тех, что имеют свой бренд услуг ИБ, в обязательном порядке заводят специализированную лабораторию и штат из нескольких экспертов по форензике. Также форензика часто идет в составе услуг компаний, которые далеки от сферы ИТ и занимаются, к примеру, финансовым аудитом. Ведь при расследовании финансового мошенничества до 100% всех доказательств может содержаться в компьютерных системах (ERP, CRM, BI, BPM и так далее).

Ну и конечно, эксперты по форензике — это неотъемлемая часть «управления К». Ведь чтобы возбудить уголовное дело по фактам компьютерных преступлений, сначала по нормам законодательства необходимо подтвердить сам факт преступления и определить его состав. Аналогично, если пострадавшая сторона обращается в суд за взысканием ущерба, возникшего из-за взлома, — тут уже без экспертизы никак не обойтись.

Отдельная тема — расследование целенаправленных атак, или APT. Их суть сводится к взлому целевых систем с использованием разнообразных векторов атак, инструментов, изощренных техник и методов, неизвестных до настоящего момента.

Стоит ли говорить, что таски на форензику традиционно присутствуют и в CTF? Поэтому без знания хотя бы базовых техник расследований не обойтись. А некоторые часто используемые тулзы, идущие в ход на CTF, мы рассмотрим чуть ниже.

Классификация

Любая наука склонна делиться на более мелкие темы. Чтобы окончательно почувствовать себя в институте, давай прикинем карту классификации нашего предмета.

• Computer forensics — к ней относится все, что связано с поиском артефактов взлома на локальной машине: анализ RAM, HDD, реестра, журналов ОС и так далее.
• Network forensics, как понятно из названия, имеет отношение к расследованиям в области сетевого стека — например, дампу и парсингу сетевого трафика для выявления таких интересных вещей, как RAT, reverse shell, backdoor-туннели и тому подобное.
• Forensic data analysis посвящена анализу файлов, структур данных и бинарных последовательностей, оставшихся после атаки или использовавшихся при вторжении.
• Mobile device forensics занимается всем, что касается особенностей извлечения данных из Android и iOS.
• Hardware forensic — экспертиза аппаратного обеспечения и технических устройств (примеры тут, тут и еще тут, все ссылки — на PDF). Это направление наименее популярно и наиболее сложно. Сюда входит разбор данных на низком уровне (микроконтроллера, прошивки или BIOS), ресерч специфических особенностей работы устройства, к примеру диапазона частот работы Wi-Fi-передатчика или внутреннего устройства скиммера, устанавливаемого на банкоматы.

Методы и техники экспертизы

Как и в случае с анализом малвари, есть два основных подхода к экспертизе взломанной машины — статический и динамический анализ. Задачи статического анализа — создать (скопировать) образ жесткого диска или дампа оперативной памяти, выявить и восстановить удаленные файлы, остатки аномальных файлов в %TEMP% и системных директориях, собрать историю серфинга веб-браузера, системные логи (события авторизации, аудит доступа к файлам и директориям и так далее), получить список запущенных в памяти процессов и открытых коннектов сети.

Динамический анализ, или live-анализ, использует нарезку из снапшотов системы, запускаемой в различных условиях для получения полной картины происходящего. К примеру, малварь склонна удалять свой код и следы инфицирования после определенных действий. И если снапшот взломанной системы был снят до этого момента, есть реальный шанс получить данные о том, что эта малварь делала на компьютере жертвы. Соответственно, в качестве подшивки электронных свидетельств здесь могут выступать скриншоты, логи коннектов в сеть, передаваемый трафик, сравнение состояния файловой системы ОС до и после инцидента.

Есть неплохая статейка (PDF) на английском языке, где вкратце описываются и сравниваются эти методы. И еще одна обзорная публикация — на небезызвестном портале InfoSec Resources.

Основные инструменты

Первое, что нужно сделать в начале экспертизы, — это собрать и сохранить информацию, чтобы затем можно было восстанавливать хронологию и поведенческую картину инцидента.

Давай посмотрим, какие инструменты по умолчанию должны быть в «походном чемодане» эксперта. Начнем с самого главного — снятия образа диска для последующего ресерча в лабораторных условиях.

Создаем образы диска, раздела или отдельного сектора

— неплохой инструмент для клонирования носителей данных в Windows. (а также adulau/dcfldd) — улучшенные версии стандартной консольной утилиты dd в Linux. — специализированное приложение для создания точных копий носителей (написано на C++, на базе Qt). или Acronis — комбайны «все в одном» для просмотра, создания, изменения, копирования любых данных, разделов, отдельных секторов.

Обработка сформированных образов дисков

— утилита на Python, которая работает из командной строки и помогает быстро монтировать образы дисков. — тулза и вместе с ней библиотека для обработки форматов EWF (Encase Image file Format). — крохотная CLI-утилитка для конвертирования образов дисков в удобный формат с сохранением всей инфы и метаданных.

Сбор данных с хардов

— утилита для создания дампа оперативной памяти машины. Проста и удобна. — софтинка для создания базы доказательных файлов. — еще одна тулза для криптоаналитиков, помогает искать зашифрованные тома TrueCrypt, PGP и Bitlocker. — специальный браузер, предназначенный для захвата веб-страниц и последующего расследования. — годная утилитка для извлечения дампа RAM, в том числе приложений, защищенных антиотладочной или антидампинговой системой. — как и прошлая тулза, предназначена для снятия RAM всех версий Windows — от старушки XP до Windows 10 (включая и релизы Windows Server).

Анализ файлов

помогает в получении информации о сетевых процессах и списков двоичных файлов, связанных с каждым процессом. Помимо этого, линкуется к VirusTotal и другим онлайновым сервисам анализа вредоносных программ и службам репутации. преобразует разные типы данных в значения даты и времени. — программа для поиска в двоичных данных, есть поддержка регулярных выражений. рекурсивно анализирует заголовки каждого файла eCryptfs в выбранном каталоге или диске и выводит список шифрованных файлов. — утилитка для анализа защищенных паролем и зашифрованных другими алгоритмами файлов, которая заодно анализирует сложность шифрования и предлагает варианты дешифровки. — программа для онлайнового анализа типа файлов по собственной базе сигнатур, которых уже больше двух тысяч. — тулза для анализа образов оперативной памяти, включая анализ файлов подкачки и извлечения оттуда данных. — утилита для просмотра и дальнейшего извлечения файлов из теневых копий в системе Windows. — маленький и быстрый HEX-редактор. — HEX-редактор с поддержкой шаблонов, при этом быстр и в нем нет ничего лишнего. — кросс-платформенный HEX-редактор с возможностью сравнивать файлы и кучей других фич.

Извлечение данных из файлов

— утилитка для вылавливания email, IP-адресов и телефонов из файлов. — утилита для извлечения данных и файлов изображений.

Обработка данных в оперативной памяти (RAM)

— крутой и навороченный фреймворк, который при этом быстро работает. — опенсорсный набор утилит для разностороннего анализа образов физической памяти. — скрипт для анализа дампов RAM, написанный на Python. — прога для извлечения паролей KeePass из памяти.

Анализ сетевого стека и браузеров

— прога для сбора, хранения и анализа данных сетевого потока. Идеально подходит для анализа трафика на магистрали или границе крупного распределенного предприятия или провайдера среднего размера. — всемирно известный сетевой анализатор пакетов (сниффер). Имеет графический пользовательский интерфейс и широкий набор возможностей сортировки и фильтрации информации. — инструмент сетевого анализа для обнаружения ОС, имени хоста и открытых портов сетевых узлов с помощью перехвата пакетов в формате PCAP. — крошечная программа для извлечения информации из браузера Google Chrome. — еще одна утилитка для анализа истории Chrome.

Анализ email-сообщений

— мощная утилита для просмотра файлов Outlook (EDB) без подключения сервера Exchange. — утилита для просмотра файлов Outlook Express, Windows Mail / Windows Live Mail, базы данных сообщений Mozilla Thunderbird и отдельных файлов EML. — утилита для просмотра файлов OST Outlook, опять же без привязки к серверу Exchange. — вариант предыдущей утилиты, служит для просмотра файлов PST Outlook.

Поиск артефактов на HDD и периферии

— мощный функциональный сборщик информации о системе Windows (реестр, файловая система, сервисы, процессы, настройка окружения, автозагрузка и так далее). — кросс-платформенный быстрый анализатор реестра для ОС Windows. — парсер журналов USN для томов NTFS. — утилита для восстановления данных NTFS.

Специализированные паки и фреймворки

— платформа с открытым исходным кодом для извлечения и исследования данных. Есть варианты для CLI и GUI. — еще одна библиотека с открытыми исходниками и коллекция инструментов командной строки для анализа образов дисков. — универсальный криминалистический инструмент для исследования данных мобильных устройств. Пак входящих в него утилит позволяет выполнять полное извлечение данных, проводить исчерпывающий анализ данных, хранящихся на телефонах и в облачных хранилищах. В наличии есть Forensic Cloud Extractor — встроенная служебная программа, собирающая данные из облачных служб хранения данных; средство Forensic Maps — программа, работающая с данными геоинформационных систем (GPS); Forensic Call Data Expert — программа для импорта записей данных о вызовах (так называемые CDR-файлы) любого поставщика услуг беспроводной связи и визуального анализа соединений абонентов.

Конечно, это далеко не все инструменты, которые могут пригодиться, а только известные и часто встречающиеся программы. Более полный список тулз можно посмотреть в Wiki Forensic. На русском языке есть очень неплохой обзор 23 бесплатных инструментов на «Хабре», а также на страницах этого блога и еще вот здесь.

Собираем свою лабораторию

Для ресерча и сбора артефактов нам будет нужна специальная лаборатория. Поскольку мы будем акцентироваться только на софтовой составляющей экспертизы, то есть без ковыряния железок, нам в качестве основы вполне хватит пула из нескольких виртуальных машин и специализированных дистрибутивов с необходимыми тулзами. Гипервизор я тебе предлагаю выбрать на свой вкус, это может быть и бесплатный VirtualBox, и VMware.

Ясное дело, можно собрать и свой, но зачем, если есть специализированные? Лично я предпочитаю DEFT или, как вариант, Remnux, но CAINE и Parrot OS тоже достойны внимания, не говоря уже о платных Encase и SMART Linux.

Материалы для изучения

Книги

Так вышло, что русскоязычной литературы по нашей теме практически нет. Да оно и неудивительно, форензика как прикладная деятельность стала популярна относительно недавно.

, официальный сайт с материалами книги и PDF, доступная для загрузки. Это единственный на русском языке и наиболее полный труд, системно рассказывающий о форензике. Из минусов — многие вещи, описанные в книге, на сегодня устарели. Однако это все-таки must read как для начинающих, так и для тех, кто уже занимается криминалистикой в сфере высоких технологий. — этот труд посвящен особенностям экспертизы систем на сетевом уровне. Хорошее пособие, с основ и по шагам рассказывающее о сетевом стеке и методах его анализа. — труд, аналогичный предыдущему, но посвященный исключительно анализу файлов и файловой системы взломанных машин. — хороший вариант для новичков, желающих заняться мобильной форензикой. — еще одна книга, которую можно порекомендовать новичкам для уверенного старта. — само название книги говорит о продвинутых техниках экспертизы и особенностей применения именно в Windows 8. — неплохое пособие по форензике ОС, файловой системы, реестра, сети и съемных носителей. — можно сказать, это гайд по встроенным утилитам из раздела форензики дистрибутива Kali Linux. — книга концентрируется на особенностях парсинга системного реестра Windows, извлечении данных и особенностях, появившихся с Windows 8. — официальный мануал по курсу обучения CHFI с уклоном на исследование артефактов Wi-Fi-сетей и носителей данных. — хоть эта книга и не имеет прямого отношения к «классической» форензике, но все же стоит ее почитать, особенно если ты расследуешь инциденты с уклоном в сторону малвари. — официальное издание по курсу обучения CHFI. Рассмотрены все основные темы и вопросы с экзамена. — книга, целиком посвященная правильному подходу к созданию корректного образа взломанной системы для ее дальнейшего ресерча в лабораторных условиях. Считаю, что это must read для тех, кто начинает заниматься ремеслом криминалистической хай-тек-экспертизы.

Материалы и курсы

— курс обучения основам форензики от авторитетного института SANS. — еще один вариант курса по программе CHFI. — материалы к курсу обучения по мобильной форензике. — базовый курс обучения на площадке Udemy, заявленная стоимость — 50 долларов, однако по акции — 14 долларов. — еще один курс на площадке Udemy для продвинутых, стоимость 200 долларов, в дни распродаж — всего 14. — курс профессиональной подготовки с дальнейшей сертификацией по программе CHFI.

Для тех, кто хочет проверить свои знания в деле форензики, доступен бесплатный онлайновый тест Computer Forensics Fundamentals.

Полезные ссылки

Мобильная форензика

Остальные направления

Площадки для тренировки

После изучения матчасти, я уверен, ты готов ринуться в бой, чтобы проверить свои навыки. Но вряд ли у каждого будет возможность сразу попасть на «живое» расследование. Начинать тренировки лучше, как говорилось в классическом фильме, «на кошках». В данном случае в роли фарфоровых кошек из «Операции Ы» выступают заранее подготовленные образы с артефактами, которые нужно извлечь и проанализировать.

— набор дампов памяти от Windows до Linux с зашитыми в них артефактами. В качестве небольшого гайда — статья из наших архивов. — набор свободно скачиваемых заданий на темы web sleuthing и deleted file recovery. — репозиторий дампов сетевого трафика.

Краткие руководства и примеры парсинга дампов сетевого трафика можно найти тут, вот тут и на русском вот еще тут.

Форензик. Как защитить бизнес и выявить мошенничество

Форензик — это новое понятие для российского бизнеса. Форензик состоит из совокупности действий для выявления и предотвращения фактов корпоративного мошенничества в отношении менеджеров компании. Расследование представляет собой комплекс направлений из финансовых, юридических, информационных и даже психологических методов.

Похожее понятие «форензика» является подразделом криминалистики, которая занимается раскрытием компьютерных преступлений и изучении цифровых доказательств, методов их поиска и применения.

Проверка может проводиться в отношении любого сотрудника, от топ-менеджера до рядового работника. Внутренних ресурсов компании не всегда достаточно для проведения полноценного расследования, к тому же к коррупции могут быть причастны различные вертикальные и горизонтальные структуры.

Независимые эксперты покажут сильные и слабые стороны бизнеса, помогут найти пути выхода из кризиса, проведут оценку рисков потерь финансовых ресурсов. При этом надо быть готовым к неприятным открытиям и ситуациям.

Форензик или аудит

На первый взгляд, аудиторская проверка тоже занимается изучением правильности проведения бизнес-процессов. Однако ее основной целью является подтверждение соответствия ведения учета и отчетности требованиям нормативных актов. Порядок проведения аудита строго регламентирован на законодательном уровне и является обязательным к выполнению. Потребителем аудиторского заключения являются внешние лица и контролирующие органы.

Форензик представляет собой более широкий спектр действий. Он задействует не только официальные, но и неофициальные каналы информации, дополнительно к первичной документации и отчетности анализируются показания контрагентов, бизнес-партнеров, сотрудников и экспертов. Отчет может быть подготовлен по запросу одного заинтересованного лица, например, собственника в отношении другого партнера или руководителя компании.

Причины корпоративных нарушений

Наиболее распространенными видами злоупотреблений в бизнесе являются присвоение и растрата, закупка по завышенной стоимости, махинации с расходами и непосредственные хищения материальных ценностей. Киберпреступления также становятся более частыми видами мошенничества.

Если же смотреть на экономическую деятельность в целом , то, пожалуй, нельзя найти сферу, полностью свободную от хищений и злоупотреблений. Понятно, и как выделяются «печальные» лидеры в этой среде — чем большие суммы денежных средств вращаются в бизнесе, тем больше соблазна для недобросовестных сотрудников попытаться ими завладеть.

К появлению противоправных действий приводят следующие причины:

• Отсутствие внутреннего контроля и локальных нормативных актов;
• Отсутствие информирования о фактах нарушения;
• Отсутствие регулярного аудита финансовой деятельности;
• Устранение собственника от управления компанией;
• Низкая мотивация персонала;
• Слабая корпоративная этика.

Цели и задачи форензика

Корпоративное мошенничество возникает не только в крупных компаниях, но и в сегменте малого и среднего бизнеса. Утечка денежных средств возможна на многих этапах: закупки, производство, продажи, персонал, непроизводственные затраты.

На первом этапе производится проверка лиц, которые могут быть причастны к нарушениям. Изучается вся жизненная и финансовая история:

• Идентификация и проверка документов;
• Наличие административных и уголовных правонарушений, иной негативной информации;
• Анализ имущества, счетов и налогов;
• Родственные и аффилированные связи;
• Кредитная история;
• Социальная репутация.

Далее форензик-специалисты изучают каждое структурное звено компании:

• Выявление конфликта интересов и нарушения деловой этики;
• Несоблюдение установленных требований и стандартов;
• Изучение информации о нарушениях и вероятном мошенничестве;
• Расследование фактов хищений активов и принятие мер к их возврату;
• Разработка и внедрение программ по борьбе с мошенничеством и коррупцией.

Виды и направления форензика

Закупки

Первые риски возникают в отделе закупок. Используется приобретение излишков материалов для самостоятельной реализации и сырья либо закупка их по завышенной цене. Также возможна поставка продукции ненадлежащего качества. Прибыль делится с поставщиком или другими сотрудниками, участвующими в преступной схеме.

Форензик-специалисты находят факты:

• Заключения договора с поставщиком на невыгодных условиях;
• Манипуляции при участии в тендерах;
• Фиктивных или избыточных закупок;
• Предоставление контрагентам нерациональных преимуществ в виде необоснованных авансов и отсрочек.

Производство

В производственном отделе нарушения заключаются в списании брака, изменении в классификации и сортах продукции. Недобросовестные сотрудники в собственных целях искажают учет готовых изделий, излишков сырья и полуфабрикатов.

Используются следующие противоправные способы:

• Изменение производственных нормативов по браку и отходам;
• Намеренная поломка или исправление показаний оборудования;
• Исправление данных складского учета;
• Фиктивное списание сырья;
• Искажение планирования.

Сюда же относится ведение параллельного бизнеса одним из учредителей. Привлечение в качестве исполнителя работ или субподрядчика сторонней компании, которая находится у него же в собственности, приводит к неправомерному выводу средств.

Продажи

В сфере продаж основным видом мошенничества стала реализация товара по низкой цене за получение отката.

Отдельным покупателям предоставляются необоснованные преференции, которые приводят к убыткам собственника:

• Излишние скидки и бонусы;
• Заниженные цены;
• Фиктивные или избыточные продажи;
• Отсрочка оплаты и поставок;
• Намеренные отсрочки для последующего списания безнадежной задолженности.

Персонал и иные расходы

В этих структурах форензик-анализ часто находит необоснованные расходы:

• Выплаты бонусов и премий, не подтвержденных фактическими результатами;
• Выплаты вознаграждений неработающим сотрудникам;
• Увеличенные затраты на ремонтные работы;
• Невыгодные условия по договорам аренды, страхования, оказание благотворительной помощи.

Порядок проведения форензика

Этапы проверки могут отличаться в зависимости от отрасли и цели проведения. Основной алгоритм заключается в следующем:

1. Оценка рисков
2. Анализ финансовой отчетности, аудиторских заключений и иной официальной информации
3. Оценка финансовых показателей компании, размера дебиторской и кредиторской задолженности
4. Изучение налогового профиля, задолженности перед бюджетом и работниками
5. Наличие судебных разбирательств
6. Разбор контрагентов на наличие фирм-однодневок

Дополнительно проводятся опросы руководства и сотрудников, проверка поставщиков и подрядчиков, выявление связанности или конфликтов интересов.

Форензик выявляет и анализирует различные виды рисков:

• Нелогичная организационная структура при отсутствии разграничения обязанностей между подразделениями и отдельными сотрудниками;
• Наличие большого количества различного программного обеспечения;
• Несоблюдение процедур при приеме на работу;
• Отсутствие контроля выполнения функций, переданных на аутсорсинг;
• Недостаточное или излишнее количество внутренних нормативных документов;
• Несовпадение темпов роста бизнеса и производственных процессов;
• Недостаточность управленческого учета;
• Архаичная система мотивации персонала.

В отчет о работе включается вся возможная открытая информация. Источниками могут быть сайты государственных органов, аналитические сведения, различные реестры и средства массовой информации. Косвенные данные используются для выводов при условии подтверждения своей достоверности.

Результаты форензика

Форензик поможет оценить эффективность функционирования активов фирмы, обнаружить вывод денег, проанализирует электронную базу документов. Внешняя проверка актуальна для изучения данных о контрагентах, при осуществлении крупных сделок и контрактов. Итоги расследования помогут в ситуациях:

• Расходы растут, а выручка остается прежней;
• Рост расходов на персонал при сокращении численности;
• Наличие просроченной задолженности по выданным займам;
• Отсутствие четких критериев выбора поставщиков;
• Условие полной предоплаты при закупках;
• Увеличение дебиторской задолженности при снижении выручки;
• Необоснованные скидки и отсрочки контрагентам.

Защита от корпоративного мошенничества

Эффективный порядок осуществления всех бизнес-процессов, логичная структура документооборота, проверка сотрудников при трудоустройстве и постоянное обучение приведут к снижению рисков. Информация в электронном виде должна преимущественно храниться на облачных ресурсах. Минимизация наличного денежного оборота снизит риск хищений.

Немаловажным фактором является надежная и компетентная служба собственной безопасности. Разработанная современная политика конфиденциальности поможет улучшению корпоративного климата в компании.

Комплаенс-контроль поможет избежать фактов возникновения коррупции и внутреннего мошенничества:

1. Оценка рисков на основании российских и международных антикоррупционных законов;
2. Разработка и внедрение рекомендаций по улучшению внутреннего контроля;
3. Внедрение антикоррупционной системы;
4. Организация конфиденциальной горячей линии для всех сотрудников компании;
5. Проверка всех сообщений о нарушениях.

Заключение

В настоящее время рынок форензик в России растет и увеличивается спрос на всестороннюю проверку бизнеса. Использование наряду с официальными данными о компании сведений из различных источников позволяет представить заказчику полную ситуацию в проверяемой организации. При правильном и своевременном выполнении рекомендаций форензик-специалистов коррупционные риски значительно снижаются.

Кейсы

Определить реальную стоимость доли участника ООО при выходе его из состава учредителей (дело А19-12983/2014).

Определить чистые активы ООО по состоянию на 31.12.2021 г и по состоянию на 01.10.2022 г.