Subiect examen

Din probele administrate în cauză reiese că inculpatul N.D. s-a conectat prin internet la

mai multe calculatoare din întreaga lume, fără ca vreunul dintre acestea să-i aparţină. Inculpatul a

folosit aceste calculatoare în tentativa de a-şi ascunde identitatea şi de a desfăşura activităţi

ilegale. Astfel inculpatul a creat mai multe website-uri false în numele victimei, Vystar Credit

Union, cu sediul în Jacksonville, Florida, Statele Unite ale Americii. Unul dintre website-urile

false construite în numele companiei Vystar Credit Union, a fost găzduit pe un server de email

compromis din Danemarca. Conform conectărilor de la server-ul de email din Danemarca,

compromiterea a fost facilitată de un cont AOL (America Online) creat pe serverele AOL în

Dulles, Virginia din Statele Unite ale Americii. Contul a fost creat de o adresă IP din Bucureşti,

Romania înregistrată pe numele inculpatului N.D.

În datele de 12 şi 13 decembrie 2005, Vystar Credit Union a înregistrat opt adrese IP care

accesau server-ul de bază de date VWEB01 al companiei Vystar Credit Union, care găzduieşte

pagina de web a companiei, www.vystarcu.org. Analiza înregistrărilor indică faptul că au fost

operate comenzi de computer de la adresele IP de mai sus pe website-ul companiei Vystar Credit

Union, pentru a identifica vulnerabilităţile şi punctele slabe ale securităţii reţelei. Astfel,, un

hacker care folosea adresa IP xx.xx.xxx.xx a extras date personale şi informaţii confidenţiale din

tabele de date de pe server-ul companiei Vystar Credit Union. Datele extrase cuprindeau

aproximativ 28.600 numere de cont de asigurări sociale, nume de membri, adrese, date de

naştere, nume de familii dinaintea căsătoriei, numere de telefon şi adrese de email.

Expertiza legală a computerelor efectuată de personalul de control al securităţii

companiei Vystar Credit Union şi de consultanţi a arătat că hacker-ul a obţinut accesul

neautorizat la datele confidenţiale ale companiei Vystar Credit Union printr-un atac de tip sequel

injection pe pagina de web dedicată locurilor de muncă şi localizată pe website-ul companiei.

Scopul paginii web pentru locuri de muncă este de a afişa toate poziţiile disponibile din

companie, deschise publicului; persoanele pot alege numărul unui loc de muncă pentru a vedea

informaţiile suplimentare. Hacker-ul a folosit un exploit împotriva paginii web care i-a permis

accesul fără validare la datele de bază ale calculatoarelor companiei Vystar Credit Union şi

executarea comenzilor pentru a extrage informaţii din baza de date ca de ex. numere de asigurări

sociale, nume de membrii, etc.

1

Începând cu 19.12.2005, membrii Vystar Credit Union, dintre care unii făceau parte din

personalul de securitate a informaţiilor companiei Vystar Credit Union, au primit un email de tip

phishing, care i-a direcţionat spre un website Vystar Credit Union fals.

În 21.03.2006 Vystar Credit Union a identificat un website de tip phishing care conţinea

informaţii specifice despre membrii Vystar Credit Union. Membrii erau direcţionaţi spre website,

http://66.28.200.70/home/?pageLabel=reactivate&id=an, unde spaţiul pentru numele întreg al

membrilor, adresa, strada, oraşul, statul, codul şi adresa email era completat anterior cu

informaţiile corecte. Personalul de securitate al sistemelor de informaţii a analizat website-ul

phishing pentru a identifica sursa informaţiilor adăugate anterior. Când au intrat în două teste de

adrese email pe website, datele de nume şi adresă pentru ambele adrese de email au fost afişate

în mod corect. Testul de date se află în tabelul bazei de date Homebanking al companiei Vystar

Credit Union, DI_LOANS, ceea ce demonstra că una din bazele de date a fost accesată

neautorizat.

În data de 25.04.2006 a fost identificat un website fals al companiei Vystar Credit Union.

Website-ul phishing a fost găzduit la adresa IP xxx.xxx.xxx.xxx, înregistrată la ISP Comendo

localizat în Danemarca.

În urma cercetărilor s-a stabilit că adresa IP xxx.xxx.xx.x a obţinut accesul neautorizat la

server-ul de mail de la Comendo în aprilie 2006, de la această adresă fiind realizat website-ul fals

al companiei Vystar Credit Union pe server-ul de mail al Comendo. AOL a informat că adresa IP

xxx.xxx.xx.x a condus la numărul de cont AOL xxx-xxxx-xxx, înfiinţat la 26.04.2006 plătit cu

cardul VISA 4482 xxxx xxxxx xxxx, aparţinând J.F., PO Box, Poway California. Numele şi

adresa asociate cu contul cărţii de credit au fost C. L. Green, PO Box, Poway, California.

Contul AOL xxx-xxxx-xxx a fost accesat de adresa IP xx.xxx.xx.xxx începând cu

20.04.2006, orele 12:48:04 EDT până în 25.04.2006 orele 17:35:47 EDT. În urma cercetărilor s-

a stabilit că adresa IP xx.xxx.xx.xxx era înregistrată la SC … SRL, Zalău, Sălaj, Romania şi a

fost alocată inculpatului N.D., domiciliat în Mun. Zalău. Prin aceste fapte inculpatul a obţinut

fraudulos date de identificare a unor persoane, în vederea inscripţionării de instrumente

electronice de plată false şi retrageri de numerar de la bancomate aflate pe teritoriul României.

Compania Vystar Credit Union a suferit o prejudiciu total în valoare de 278.742 dolari

SUA.

2

Din declaraţia învinuitului reiese ca acesta a construit alte pagini similare şi la alte

instituţii, printre care: EBAY, AMAZON, PAYPAL, BANK OF AMERICA, MILITARY

BANK, CHASE, CAPITAL ONE, LLOYDS, TD CANADA, WESTERN UNION, REGIONS

WACHOVIA, HSBC, ABBEY .

Din interceptările convorbirilor telefonice efectuate pe telefoanele mobile aparţinând

inculpatului K.P., precum şi din procesele- verbale de supraveghere operativă rezultă că în data

de 13.12.2007, inculpatul K.P. s-a deplasat în mun. Zalău la reşedinţa inculpatului N.D. Între

orele 13,00- 21,00, în timp ce inculpatul N.D. asigura paza, inculpatul K.P. a retras numerar de la

bancomate Banc Post, BCR, Raiffeisen Bank, ROMEXTERA BANK. Cu ocazia efectuării

operaţiunilor de retragere de numerar de la bancomatul BCR, inculpatului K. P. i-a fost capturat

un card inscripţionat “Galeria”, cod “6249 S”, cu cod de bare “2408955634581”. În data de

14.12.2007, între orele 07,00-16,00, în timp ce inculpatul N.D. asigura paza, inculpatul K. P. a

retras numerar de la bancomate Raiffeisen Bank.

Din interceptările convorbirilor telefonice efectuate pe telefoanele mobile aparţinând

inculpatului K.P., reiese că în data de 04.01.2008, ora 16,45, inculpatul G. M., i-a cerut mai

multe carduri blank (goale), iar K. P. a afirmat că îi dă 50 de carduri. Ulterior, inculpatul G. M. l-

a contactat telefonic pe K. P., spunându-i că are 20 de bucăţi scrise şi vrea să le încerce în

străinătate. K.P. a afirmat că-i va obţine bilet de avion prin fraudă pe internet.

În data de 08.01.2008 inculpatul K. P. s-a deplasat din nou, împreună cu inculpatul N. D.

la mai multe bancomate de pe raza mun. Zalău, de unde au încercat să retragă numerar cu un

număr de 5 carduri clonate, primite de la o persoană neidentificată până în prezent care foloseşte

pentru comunicare pe internet id-ul “BAIESDORF89”, însă nu au reuşit să finalizeze nici o

operaţiune.

Totodată din discuţiile purtate de inculpatul N. D., cu id-ul “upirinet” pe canalul yahoo

messenger cu persoana menţionată mai sus şi cu o altă persoană neidentificată cu id-ul

“kocakola83”, reiese că aceştia aveau preocupări constante în realizarea de pagini SCAM, atacuri

de tip “phishing”, scanarea de servere şi reţele de calculatoare prin internet, în vederea obţinerii

de date de identificare a utilizatorilor de carduri şi ulterior, inscripţionarea pe carduri blank a

acestor date şi efectuarea de retrageri frauduloase de numerar de la diverse bancomate.

În data de 17.01.2008 inculpatul K. P. a achiziţionat un aparat de inscripţionat carduri.

3

În data de 26.01.2008 inculpatul K. P. a discutat cu M. V. pe canalul yahoo messenger,

acesta spunându-i că vrea să achiziţioneze o “pisicuţă”, spunând că are nevoie de el, învinuitul

B. A.. K. P. a afirmat că un astfel de dispozitiv costă între 6-7 mii Euro şi că ar putea încerca să

procure unul. De asemenea, inculpatul K. P. susţine în declaraţiile sale, că M. V. şi C. A. i-au dat

aproximativ 3-4 conturi de card primite de pe internet dar acestea nu erau valide.

În data de 30.01.2008, între orele 14,26- 15,26, în timp ce inculpatul N. D. asigura paza,

inculpatul K. P. a retras numerar de la bancomate Raiffeisen Bank, BCR, Banca Transilvania.

Dintr-o discuţie purtată în data de 09.02.2008 pe programul yahoo messenger între K. P.,

cu nickname-ul “papyti” şi C. A. cu nickname-ul “bai3tzasu”, reiese că inculpatul K.P. a reuşit să

extragă suma de 16 milioane ROL de la un bancomat din Şimleu-Silvaniei, suma de 4 milioane

ROL şi suma de 500 USD de la bancomate din Satu-Mare. În aceeaşi discuţie inculpatul C. A. i

se plânge lui K. P. că se află în Olanda, unde s-a deplasat împreună cu învinuitul B. A. cu

intenţia de a clona carduri şi de a extrage sume de bani din bancomate, însă până la acea dată nu

au reuşit să ridice nici o sumă de bani. K. P. îl sfătuieşte să folosească datele de card pe care i le-

a trimis el prin internet şi i-a trimis totodată 5 conturi de card (3 MASTERCARD şi 2 VISA),

împreună cu codurile PIN, pentru a le folosi la extrageri de numerar.

Dintr-o discuţie purtată în data de 15.02.2008 pe programul yahoo messenger între K. P.,

cu nickname- ul “papyti” şi C. A. cu nickname-ul “bai3tzasu”, reiese că aceştia s-au înţeles să

creeze împreună o pagină SCAM, iar apoi să provoace un atac de tip “phishing” asupra unei

bănci din Europa pentru a obţine date de identificare a utilizatorilor de carduri.

Între data de 29.02.2008 si 01.03.2008 inculpatul N. D. împreună cu inculpatul K. P. s-au

deplasat la un număr de 10 ATM-uri de pe raza mun. Zalău, aparţinând BCR, Banca Transilvania

şi Raiffeisen Bank, unde K. P. a retras numerar de la ATM-uri în timp ce N. D. asigura paza. Din

declaraţia învinuitului G. S. Reiese că inculpatul N. D. a avut preocupări constante în clonarea

cardurilor în vederea retragerii ulterioare de numerar. Astfel N. D. obţinea conturi de card prin

tehnica SPAM folosind pagini SCAM, conturi de card pe care ulterior le punea la dispoziţia lui

K. P. care le inscripţiona pe carduri. Cu aceste carduri cei doi se deplasau să ridice bani la

diferite ATM-uri de pe raza municipiului Zalău.

În data de 03.03.2008, inculpatul K. P. a revenit în mun. Zalău la locuinţa inculpatului N.

D.. În aceeaşi zi, inculpatul s-a întâlnit cu coinculpaţii C. A. şi M. V. şi împreună s-au deplasat

cu autoturismul Opel Vectra, număr de înmatriculare SJ-------, condus de M. V., la locuinţa

4

acestuia, K. P. având asupra sa un notebook şi dispozitivul de inscripţionat carduri. În locuinţa

inculpatului M. V., K. P. a inscripţionat un număr de 5 carduri blank cu date de identificare

obţinute fraudulos pe internet cu intenţia de a retrage numerar. În data de 03.03.2008 -

04.03.2008, K. P. împreună cu M. V. şi C. A. au efectuat operaţiuni de retragere de numerar de

la 6 ATM-uri aparţinând BCR, Banca Raiffeisen, Banca Carpatica.

Inculpatul K. P. a corespondat pe canalul de internet MIRC cu inculpatul G. M.,

întâlnindu-se de mai multe ori în mun. Satu-Mare. Inculpatul G. M. îl aproviziona periodic, la

aproximativ 2 săptămâni cu carduri clonate pe care inculpatul K. P. le folosea la retrageri de

numerar din ATM-uri. După ridicarea sumelor de bani, inculpaţii se întâlneau din nou iar K. P. îi

preda lui G. M. 85% din sumele de bani ridicate. La începutul lunii martie 2008, K. P. a retras de

pe aceste carduri suma totală de 80 milioane lei vechi din care G. M. i-a dat 5 milioane.

În data de 10.03.2008, K. P. s-a întâlnit cu inculpatul G. M. şi M. V. la localul “XX”. G.

M. i-a pus la dispoziţia lui K. P. carduri clonate în vederea ridicării de sume de bani fraudulos de

la ATM-uri. De acolo K. P. şi M. V. s-au deplasat la diverse ATM-uri aparţinând Băncii

Transilvania, Banc Post şi Raiffeisen Bank de pe raza localităţilor Zalău şi Simleu Silvaniei, de

unde au retras sume de bani folosind carduri clonate. Inculpatul M. V. a încercat să retragă, în

data de 10.03.2008, sume de bani cu carduri primite de la inculpatul K. P., de la un bancomat

Banc Post din or. Şimleu-Silvaniei, însă nu a reuşit nici o operaţiune. Cu aceeaşi ocazie

bancomatul i-a capturat un număr de 5 carduri blank de culoare albă, inscripţionate cu numerele:

“6863”, “2209”, “1203”, “2305”, “1765”.

În data de 17.03.2008, inculpatul G. M. i-a propus inculpatului K. P. să se întâlnească

pentru a-i preda un nr. de 50 de carduri “colorate” adică pregătite pentru retrageri de numerar.

Inculpatul K. P. s-a deplasat la restaurant însoţit de inculpatul C. A., unde, în jurul orei 22,00, s-

au întâlnit cu inculpatul G M. În acea împrejurare inculpatul G. M. i-a predat inculpatului K. P.

un număr de 50 carduri clonate, sugerându-i să retragă numerar de la bancomate situate în mun.

Cluj-Napoca. În aceeaşi seară, în jurul orelor 24,00, inculpaţii K. P. şi C. A. au ajuns în mun.

Cluj-Napoca, unde inculpatul C. A. au retras 800 RON de la un bancomat Banc Post, folosind

carduri primite de la inculpatul G. M.

În data de 18.03.2008 inculpatul K. P. a fost contactat telefonic de către C. A. care l-a

întrebat dacă nu vor opera în Zalău. Inculpatul K. P. i-a transmis acestuia să vină în mun. Zalău

urmând să se întâlnească în intersecţia din apropierea blocului lui N. D. Ulterior inculpatul K. P.

5

a fost întâmpinat de C. A.. Asupra inculpatului K. P. se aflau un număr de 17 carduri colorate,

restul cardurilor rămânând la N. D.. Împreună cu C. A. s-au deplasat la ATM-ul BCR, situat în

clădirea AJOFM Zalău. C. A. având asupra lui mai multe carduri colorate pe care i le-a predat K.

P. a încercat să sustragă sume de bani din acel ATM, moment în care a fost legitimat şi

percheziţionat de către procuror şi de organele de poliţie.

La percheziţia corporală asupra inculpatului C. A. au fost găsite un nr. de 11 carduri

clonate şi un formular “western union” pentru suma de 1.000 euro iar asupra inculpatului K. P.

au fost găsite un nr. de 14 carduri ascunse într-un pachet de ţigări.

La percheziţia domiciliară efectuată la locuinţa inculpatului N. D. au fost găsite un număr

de 82 de carduri clonate, un laptop şi un dispozitiv de inscripţionare a cardurilor despre care

acesta a afirmat că aparţin inculpatului K. P.. De asemenea au fost găsite 2 calculatoare, un

laptop care aparţin inculpatului N. D. Cu ocazia efectuării percheziţiilor informatice în

calculatoarele deţinute de inculpaţii N. D., K. P., M. V., C. A. au fost descoperite date

informatice, respectiv fişiere conţinând mii de date de identificare (conturi de card şi coduri PIN)

ale utilizatorilor de carduri, clienţi ai diferitelor bănci asupra cărora au fost lansate atacuri de tip

“phishing”. De asemenea, au fost descoperite discuţiile purtate de inculpaţi referitoare la

obţinerea acestor date, prelucrarea şi inscripţionare lor pe instrumente de plată electronică.

Din declaraţia inculpatului M. V. reiese că, începând cu anul 2001 a început să intre pe

internet pe canalul MIRC cu nickname-ul #LICA. La început a folosit acest canal pentru diverse

discuţii online şi să cunoască alte persoane. Din anul 2005 a început să acceseze neautorizat

servere din afara ţării, pe acestea făcea BNC-uri, scana alte servere pentru a le testa

vulnerabilitatea şi a intra în ele. Nu ştie exact câte servere a accesat până în prezent. Conturile şi

datele de identificare a deţinătorilor de instumente de plată electronice identificate pe

calculatorul său le-a primit de la mai multe persoane şi le-a dat în continuare mai multor

cunoscuţi de ai săi.

Inculpatul M. V. arată că log-urile pe servere descoperite cu ocazia percheziţiei

informatice în calculatorul său îi aparţin, el încercând să acceseze calculatoarele care aveau IP-

urile respective. În paginile 887-903 din raportul de percheziţie apar mai multe conturi de card pe

care le-a primit pe internet de la K. P. şi de la alte persoane pe care nu le cunoaşte şi pe care le-a

întâlnit doar în urma unor discuţii ONLINE pe internet. Inculpatul susţine că a dat şi la alte

6

persoane cunoscute pe internet denumirea unor servere pe care le avea salvate în fişiere TEXT pe

calculator sau pe DVD, precum şi parolele de acces la aceste servere.

În anul 2008, inculpatul M. V. a primit o pagină SCAM a Companiei PAYPAL precum şi

o scrisoare PAYPAL de la K. P. Inculpatul M. V. a pus această pagină pe ROOT iar C. A. a dat

SPAM de pe această pagină. Rezultatele mesajelor SPAM erau direcţionate spre căsuţa de E-

mail pokeri@inbox.com şi în continuare informaţiile cu numere de cont şi coduri PIN erau

trimise de către C. A. la K. P. Inculpatul M. V. arată că a folosit un program pentru a scana

căsuţe de EMAIL de pe internet, datele lor, respectiv denumirea, salvându-le într-un fişier text,

obţinând un număr de aproximativ 200.000 de denumiri de căsuţe de EMAIL pe care i le-a dat

lui C. A. să trimită SPAM pe ele.

În prezenţa organelor de urmărire penală, inculpatul C. A. a accesat adresa de email

coolace@inbox.com unde se aflau datele obţinute în urma spam-ului:

- un număr de 30 de fişiere fiecare conţinând: număr de card, PIN, data expirării, date de

identificare ale titularilor acestora (nume, adresă, număr telefon), cont de paypal şi parola de

acces la acesta, email PayPal, tip card, IP folosit, data ultimei accesări a contului.

- un număr de 749 de fişiere conţinând fiecare: cont PayPal, parolă de acces la acesta, IP

folosit

- 4 email-uri de la pay-pro.com referitoare la unele plăţi pe site-ul pkrser.com

Învinuitul K. F. este tatăl vitreg al inculpatului K. P.

În cursul anilor 2007- 2008, învinuitul K. F. s-a deplasat în repetate rânduri în mun.

Zalău, pentru a-l transporta pe K. P. la locuinţa inculpatului N. D., acesta având nevoie de

discreţie din partea transportatorului deoarece avea asupra sa aparatură de clonare a cardurilor.

De asemenea, în aceeaşi perioadă inculpatul a efectuat retrageri de numerar de la diverse

bancomate din mun. Satu-Mare şi din or. Şimleu-Silvaniei, în timp ce învinuitul K. F. asigura

paza, acesta transportându-l totodată pe inculpat cu autoturismul său. Aceste aspecte reies din

interceptarea convorbirilor telefonice precum şi din discuţia purtată pe canalul yahoo messenger,

în data de 09.02.2008 între K. P., cu nickname-ul “papyti” şi C. A. cu nickname-ul “bai3tzasu”,

în care K. P. arată că a încercat să retragă în perioada respectivă o sumă de bani dintr-un

bancomat Raiffeisen Bank, în timp ce învinuitul K. F. asigura paza. Inculpatul K. P. a afirmat că

a încercat să retragă numerar de pe 20 de carduri, având asupra sa 100 de carduri iar la un

7

moment dat s-a declanşat alarma şi în continuare atât el cât şi învinuitul K. F. au fost urmăriţi de

organele de poliţie, însă nu au fost ajunşi.

În cursul lunilor ianuarie-februarie 2008, inculpatul C. A. s-a deplasat împreună cu

învinuitul B. A. în Olanda la Amsterdam, cu intenţia de a falsifica instrumente de plată

electronice şi de a efectua retrageri de numerar de la diverse bancomate. Aceştia s-au cazat în

chirie, fiind ajutaţi de o persoană neidentificată care le-a pus la dispoziţie 2 notebook-uri şi un

aparat pentru inscripţionat carduri. În perioada respectivă inculpatul C. A. şi învinuitul B. A., au

încercat să falsifice instrumente de plată electronice, folosind o pagină SCAM a Companiei

PAYPAL şi o scrisoare PAYPAL de la K. P., precum şi date de identificare a unor utilizatori de

carduri, trimise de inculpatul M. V.

Din probele administrate în cauză reiese că inculpatul C.A. şi învinuitul B. A. nu au

reuşit să retragă nici o sumă de bani din bancomate situate pe teritoriul Olandei.

Întrebări:

1. Încadrarea juridică a faptelor inculpaţilor: 3p.

2. Ce este o adresă IP?: 1p.

3. Definiţi atacul de tip phishing şi cel de tip sequel injection: 1p.

4. Care sunt etapele investigării criminalistice a infracţiunilor în mediul digital?: 2p.

5. Investigarea infracţiunilor informatice în domeniul telefoniei mobile. Descrieţi faza

culegerii datelor din telefonul mobil: 2p.

Nota: Se acordă un punct din oficiu.

8