Мусорная корзина пользователя может стать настоящей сокровищницей, скрывающей улики с места преступления другого человека, особенно, если речь идёт о поиске мошенников посредством анализа электронной почты. С помощью аналитического алгоритма «Бигль», разработанного в Инженерной школе Тандона в Нью-Йоркском университете (NYU Tandon, далее в тексте используется это наименование), криминалисты могут отслеживать связи между и находить зацепки в сообщениях электронной почты киберпреступников, чьи фишинговые схемы и фейковые рассылки, попадающие в фильтры наших ящиков и отправляющиеся прямиком в спам.

Что касается электронных писем, которые не попадают в фильтры, они могут привести к потере денег или ценной, конфиденциальной информации. Поскольку чаще всего целью онлайн-мошенников становятся компании, то это может привести к очень большим потерям. Несмотря на то, что такая разновидность киберпреступлений сегодня буквально «на волне», у киберкриминалистов мало инструментов для понимания (и, главное, – предотвращения) мошеннических схем. Вот почему команда NYU Tandon, возглавляемая доцентом кафедры информатики и инженерии Энрико Бертини, стремилась создать более эффективную систему сбора и анализа информации из тысяч электронных писем, с которыми работает криминалист, имея под рукой только почтовый клиент и текстовый редактор.

Как Бигль облегчает работу криминалистов

Работать с программой Бигль несложно. У нее понятный интерфейс с фильтрами, которые позволяют пользователю осуществлять поиск, а также работать с ключевыми словами, контактами, датами, адресатами и текстами электронных писем в пределах одного экрана.

По центру расположены фильтры, отображающие тематики и заголовки писем, слева – адресатов, справа – список писем с анонсами содержимого, которые можно развернуть, внизу – временная шкала со столбцами, показывающими число сообщений в течение интересуемого диапазона (годы, месяцы, недели или дни).

Основное поле в интерфейсе программы – поисковая строка, куда пользователь вводит запрос (ключевые слова, наименование адресата, номер соцстрахования и пр.). Поиск осуществляется за выбранный временной отрезок. Криминалисты могут искать по одному ключевому слову либо создавать тэги (группы ключевых слов или адресатов).

Как Бигль выискивает в массивах данных ценную информацию

Программу разрабатывали в течение двух лет. На старте разработчики консультировались с правоохранительными органами и экспертами-криминалистами. Текущая версия была усовершенствована, благодаря тесному сотрудничеству с Agari, компанией по защите данных.

«Нашей первоочередной задачей было понять, какую именно информацию ищут криминалисты», – рассказывает доктор NYU Tandon и ведущий разработчик Джей Ковен. – Различия были даже в терминологии: нашей и экспертов-криминалистов. Например, эксперты указали нам на важность понятия сети (network) в информационном массиве. Мы это поняли так: следователи, обладая некоторой информацией, хотят проследить различные взаимосвязи между различными людьми. Позже мы выяснили то, что эксперты подразумевали другое: их волнует не общая картина коммуникаций, а возможность разворачивать цепочку контактов от одного адресата».

Вместо того, чтобы копаться в куче электронных писем и искать что-то полезное, следователям был нужен инструмент, который можно было бы использовать для ответа на конкретные запросы, основываясь на конкретных деталях.

Agari смогла предоставить идеальную площадку для тестирования программы – 78 учетных записей электронной почты (это почти 60 тысяч писем), принадлежащих мошенникам, которые пытались обмануть клиентов компании. Тестируя алгоритм, Бигль узнала больше о потребностях криминалистов, а компания Agari – о неизвестных ранее видах мошенничества и преступных схемах.

Как Бигль пронюхал о новых схемах и группе мошенников

Разработчики рассказывают об одной показательной ситуации во время их совместной работы с Agari. В центре внимания криминалистов был мошенник, которого газетчики прозвали Скотт. Благодаря Биглю удалось обнаружить не только данные о самом мошеннике, но и о его сети. Следователи Agari начали поиск с запросов по ключевым словам («счет», «деньги», «банк» и «депозит») и заметили активность учетной записи Майк. Раскручивая цепочку Скотт-Майк криминалисты обнаружили еще одно звено – мошенника, известного как Джонс.

Дальнейшая детализация поиска по мере поступления новой информации помогла Agari обнаружить множество данных, вплоть до реальных почтовых адресов Джонса и Майка, их вероятных личностей, их потенциальных жертв, а также сведения о банковском счете, который использовали мошенники. Эта информация позволила Agari связаться с банком, который смог закрыть счет преступников.

Мошенничество с электронной почтой трудно преследовать по закону, так как преступники «работают» из стран, недоступных правоохранительным органам. Однако Agari удалось предпринять значительные шаги, благодаря знаниям, полученным с помощью Бигль.

Например, обнаружить новые виды мошенничества, которое акцентирует своё «внимание» на конкретные социальные группы и профессии, например, нянечек, риелторов и пр.

Партнерство команды NYU Tandon с Agari позволило получить доступ к реальной переписке между мошенниками и жертвами, мошенниками и другими мошенниками, а также мошенниками и службами, такими как Google и PayPal. Разработчикам позволили работать с базой Enron Corpus (600 000 электронных писем, созданных 158 сотрудниками корпорации), которую получила Федеральная Комиссия по регулированию энергетики в ходе расследования финансовых преступлений после краха компании.

Разработчики уверены, что потребность в таких инструментах, как Бигль, будет только расти, и это мотивирует их на совершенствование программы.

«Сегодня очень мало примеров криминалистического анализа больших данных, в основном из-за того, что у разработчиков нет доступа к таковым. Используя наше партнёрство с Agari, мы можем работать с массивом информации и поделиться результатами с экспертным сообществом. Пока мы видимо только верхушку айсберга, – делится мнением ведущий разработчик Джей Ковен.

Источник: https://www.forensicmag.com/, статья Virtual Case Notes: ‘Beagle’ Tool Helps Fetch Clues About Email Scammers от 14.12.2018

Перевод выполнен редакцией Института судебных экспертиз и криминалистики