Cea mai des utilizată formă de săvârșire a acestor infracțiuni este nepredarea bunului pentru care s-a licitat. În această situație, câștigătorul licitației va fi înștiințat prin e-mail de către casa de licitații on-line să contacteze vânzătorul pentru a se stabili detaliile tranzacției (forma de plată, modalitatea de trimitere a bunului). În toate cazurile, făptuitorul va solicita plata în întregime sau în parte a sumei, ce reprezintă contravaloarea bunului înainte de trimiterea bunului, dar cumpărătorul de bună-credință va constata că, la data stabilită, nu a primit bunul pentru care a licitat.

Instrumentarea cauzelor care implică, ca modalitatea de săvârșire, nepredarea bunului pentru care s-a licitat, poate porni, ca mod de sesizare, de la plângerile formulate de persoanele păgubite, de la înștiințările primite de la instituțiile statelor ai căror cetățeni au fost înșelați în acest mod sau chiar de la sesizări din oficiu (de exemplu, în situația în care din investigarea unei reclamații vor rezulta date despre săvârșirea altor fapte de aceeași natură).

Fraudele comise cu prilejul organizării unor licitații prin internet au căpătat o amploare deosebită pe teritoriul României, în ultimii ani, aceste tipuri de infracțiuni fiind identificate și documentate cu sprijinul autorităților americane și al altor state ai căror cetățeni au fost prejudiciați.

În investigarea cazurilor care implică săvârșirea unei fraude în legătură cu mijloacele de plată electronică, trebuie în primul rând reconsiderate mijloacele criminalistice clasice, cum ar fi analiza amprentelor și examinarea documentelor, precum și folosirea experților în domeniu.

Verificarea amprentelor, în vederea identificării suspectului, mai ales atunci când există suspiciunea că titularul cardului este implicat în săvârșirea fraudei, va porni de la analizarea instrumentului de plată (dacă acesta a fost reținut), a formularelor completate de făptuitor și a oricărui obiect care ar fi putut păstra impresiuni papilare. Prelevarea acestor probe trebuie făcută cu maximă atenție, iar examinarea lor se va desfășura în cadrul unui laborator criminalistic, de către personalul specializat.

De asemenea, documentele scrise de suspect reprezintă probe importante a căror analiză se va face tot de către experți în materie (de exemplu, formele de înregistrare completate cu ocazia cazării la o unitate hotelieră, formularele tipizate semnate sau completate în parte de făptuitor).

Modelele de comparație, necesare verificării grafologice, se pot obține prin prelevarea unor probe de scris sau prin percheziționarea reședinței făptuitorului, unde se pot identifica și alte documente sau probe incriminatorii (agende cu însemnări referitoare la carduri bancare, cecuri sau facturi anulate, produsele achiziționate prin folosirea frauduloasă a unui card).

Verificarea criminalistică a înscrisurilor se poate face numai pe baza documentelor originale și, de aceea, investigatorii trebuie să acționeze cu operativitate în vederea asigurării acestor mijloace de probă, find cunoscut faptul că există posibilitatea distrugerii sau dispariției acestora din diverse cauze (de exemplu, instituțiile financiare, emitente de carduri de credit, păstrează documentele originale privind eliberarea unui card pentru o perioadă de cel mult 3 luni, timp suficient pentru identificarea unei fraude, ulterior arhivându-se prin fotocopiere pe film).

Totuși, pentru alte categorii de documente, care nu necesită verificări criminalistice, este foarte important să se obțină aceste înscrisuri indiferent de forma în care se găsesc: original, copie, microfilm, document printat cu ajutorul unei imprimante etc.

În funcție de natura fraudei investigate , se disting mai multe locuri, ce trebuie avute în atenție, în vederea identificării unor înscrisuri cu valoare probatorie și anume:

• asupra titularului cardului sau la reședința acestuia;
• la sediul comerciantului implicat în tranzacție sau la punctele de lucru unde acesta își desfășoară activitatea;
• la instituția emitentă a cardului bancar;
• la oficiile poștale;
• la reședința suspectului.

Documentele necesare pentru a proba un anumit gen de fraudă, implicând folosirea unui card bancar (cum ar fi furtul sau utilizarea neautorizată a unui card) variază de la caz la caz, în funcție de modul propriu-zis de săvârșire și de încadrare juridică a faptei.

Probarea acestui gen de fraudă se poate face pornind de la următoarele documente:

• cardurile bancare implicate: contractul încheiat între titularul cardului și instituția financiară emitentă (acolo unde este cazul);
• formularele completate de suspect (acolo unde este cazul);
• formularele imprimate, originale sau copii, păstrate de titularul cardului, comerciant, compania emitentă sau de către făptuitor;
• înregistrările și facturile existente la oficiile poștale, alte înscrisuri incriminatorii – formularele „în alb”, acte de identitate false sau „în alb”, probe scrise – identificate în posesia suspectului.

Folosirea mijoacelor criminalistice și a experților în materie este mai mult decât utilă și în investigarea cazurilor de falsificare a cardurilor bancare prin contrafacere sau alterare (de exemplu, prin examinare cu raze laser se poate identifica numărul de cont original sau alte date inscripțioate pe un card, care a fost falsificat prin modificarea acestor informații).

Din verificările efectuate, mai ales cu ocazia perchezițiilor, se poate stabili folosirea de către suspecți a unor sisteme informatice permanente, pentru punerea în aplicare, în mod direct, a rezoluțiilor infracționale sau pentru dinamizarea procesului infracțional. Este necesar ca aceste echipamente să fie asigurate împotriva oricăror modificări, ce ar putea interveni, și ridicate în vederea cercetării amănunțite, cu ajutorul unor programe pentru calculator adecvate, pentru a identifica eventualele informații incriminate sau aplicațiile software folosite în scopuri frauduloase (de exemplu, la reinițializarea benzilor magnetice ale cardurilor).

Pe parcursul cercetărilor se pot identifica dispozitive de codificare a benzilor magnetice utilizate la recodificarea informațiilor stocate pe benzile magnetice ale cardurilor pierdute sau furate. Aceste dispozitive pot fi identificate atașate prin cablu la un calculator personal, comunicând printr-un software adecvat. Dacă un astfel de dispozitiv este identificat cu prilejul executării unei autorizații de percheziție, trebuie acordată atenție listelor sau mediilor de stocare cu numere de conturi, care reprezintă indicii temeinice cu privire la săvârșirea unei fraude cu carduri bancare.

Întrucât aceste date ar putea fi stocate în fișiere ascunse, parolate sau protejate prin alte modalități, atât pe parcursul percheziției, cât și ulterior, se impune ca verificările să fie efectuate de personal calificat, în prezența investigatorului și a persoanei suspecte sau a reprezentanților acesteia.

Pe parcursul derulării unei investigații referitoare la fraude cu carduri bancare, trebuie realizate, de la caz la caz, cel puțin următoarele activități:

• stabilirea procedurilor pe baza cărora se efectuează tranzacția;
• stabilirea procedurilor pe baza cărora se efectuează tranzacția;
• identificarea tuturor înregistrărilor care s-au făcut în sistem (pornind de la titularul cardului până la instituția financiară emitentă);
• ridicarea în original sau în copie a formularelor completate și a oricărui alt material scris cu prilejul tranzacției;
• verificarea grafologică a înscrisurilor identificate;
• cercetarea la fața locului (dacă este cazul), identificarea și audierea persoanelor implicate și a martorilor;
• alcătuirea de portrete robot, pe baza descrierilor furnizate de partea vătămată și martori (dacă este cazul);
• verificarea sistemelor informatice implicate.

Toate aceste activități menționate vor fi documentate prin închierea actelor procedurale, solictate de legislația în materie.

Cercetarea fraudelor din domeniul telecomunicațiilor este aparent foarte dificilă. Unul dintre cei mai importanți factori care pot conduce la o investigație cu rezultate nesatisfăcătoare este lipsa de cunoștințe tehnice a persoanelor implicate în desfășurarea verificărilor privind această relativ nouă modalitate infracțională.

În scopul combaterii acestor amenințări, este necesară o strânsă cooperare cu furnizorii de servicii de telecomunicații și cu autoritățile responsabile cu autorizarea și verificarea operatorilor de rețele, precum și cu furnizorii de echipamente hardware si software pentru aceștia.

În acest sens, se pot stabili puncte de contact, identificându-se individual persoanele care pot furniza informații tehnice și modalități de contactare a acestora. În lipsa unui personal calificat în rândul polițiștilor criminaliști, ar putea fi atrași tehnicieni din companiile de telecomunicații, cu acordul angajatorilor acestora, pentru efectuarea unor activități operative, precum cercetarea la fața locului, verificări tehnice, percheziții, putând fi identificate astfel probe foarte importante.

Cercetarea acestor fapte solicită acțiuni operative, întrucât săvârșirea infracțiunii nu va dura mai mult decât timpul necesar autorului să asculte sau să utilizeze serviciile de telecomunicații. De aceea, probele trebuie identificate și indisponibilizate cât mai repede, asigurându-se că datele solicitate companiilor de telecomunicații acoperă întreaga perioadă a activității infracționale.

Primele verificări presupun contactarea reprezentanților companiilor de telecomunicații în scopul:

• înțelegerii modului de funcționare a sistemului;
• obținerii tuturor înregistrărilor referitoare la incidentul infracțional (facturi telefonice, fișiere jurnal ale sistemelor informatice etc.)
• analizării în comun a datelor deținute, precum și a înregistrărilor de sistem;
• obținerii de sprijin în activitățile ce urmează a fi întreprinse (percheziții, analize ale echipamentului capturat);
• verificării personalului implicat;
• verificării, activării sau schimbării măsurilor de siguranță;
• obținerea unei reclamații (în funcție de natura cazului investigat, dacă paguba urmează a fi suportată de furnizorul de servicii).

Analiza fraudelor în legătură cu telefonia mobilă

Unii operatori de rețele de comunicații mobile înregistrează încercările de accesare a unor telefoane mobile parolate, cât și a numărului de pe cardul SIM pe baza numărului IMSI (International Mobile Subscriber Identity), emitentului cardului SIM, putând astfel fi identificat deținătorul contului.

În cazul clonării unui telefon mobil analog, acesta va funcționa pe două frecvențe radio diferite în același timp, una fiind folosită de proprietarul legitim, cealaltă de infractor. Prin triangulație se poate identifica telefonul ilegal, folosit cu ajutorul unui dispozitiv (radio compas), localizat la stația de radio de bază radio (RBS), prin care comunică telefonul respectiv.

Analiza fraudelor referitoare la hacking și manipularea rețelelor de telecomunicații

Aceste tipuri de fraude sunt comise de persoane specializate în folosirea frauduloasă a rețelelor de telecomunicații și de aceea, investigatorul trebuie să stabilească dacă este vorba despre un grup infracțional organizat. Și în acest caz, eficiența verificărilor depinde de rapiditatea depistării și reclamării fraudei de către persoanele fizice sau juridice prejudiciate, precum și de posibilitatea folosirii unor mijloace tehnice adecvate de urmărire și supraveghere a conexiunilor realizate.

De asemenea, se vor efectua verificări în vederea identificării unor eventuale legături infracționale situate în interiorul companiei furnizoare de servicii telefonice sau a altor persoane (foști angajați, personal de întreținere etc.) care au avut acces la rețeaua în cauză.

Datorită naturii fraudelor, care implică folosirea programelor malițioase sau a virușilor informatici, investigarea acestora este foarte dificil de realizat.

În acest sens, este necesară formarea unei imagini complete asupra incidentului, în primul rând, prin audierea victimei, cu privire la următoarele aspecte:

• ce se cunoaște despre originea software-ului malițios sau a virusului – cum a ajuns acesta în sistemul infectat – de pe e-mail, dischete, internet etc.;
• ce program malițios (ce variantă a acestuia) este implicat în alterarea sistemului victimă – cal troian, virus, viermi etc.;
• modul de realizare a infectării și producerii replicării programului malițios / virusului – prin fișiere .EXE, COMBAT, comenzilor MACRO etc.;
• modul de manifestare a programului malițios / virusului – apariția unor erori ale tastaturii, modificări ale display-ului, afișarea unor instrucțiuni, schimbarea datelor sistemului, schimbarea dimensiunilor unor fișiere etc.;
• programul malițios / virusul a afectat mediile de memorare ale sistemului – sistemul operează mult mai încet sau are probleme de încărcare a fișierelor de boot;
• cum s-a declanșat programul malițios / virusul – care a fost evenimentul care a generat inițializarea;
• ce pierderi / distrugeri s-au cauzat sistemului;
• cum a fost detectat programul malițios / virusul, dacă s-a luat vreo măsură de prevenire a infectării sistemului sau de reparare a pagubelor produse.

Cea mai bună probă, în cazul acestor fraude, va fi realizarea unei copii a sistemului infectat („image copy”) și a dischetelor sau a altor medii de stocare virusate.

Atunci când se fac aceste copii, trebuie respectată o serie de reguli de bază:

• se vor întocmi procese-verbale cu toate activitățile desfășurate, în care se vor consemna, în mod detaliat, datele legate de tipul sistemului, locația calculatorului infectat, procedurile folosite pentru obținerea probelor etc.;
• se vor folosi dischete noi, formatate, folosindu-se calculatoare neinfectate, pentru a se realiza copii ale fișierelor infectate;
• în funcție de situație, se vor copia (în cazul sistemelor IBM sau compatibile) și fișierele .COM, .EXE, laolaltă cu fișierele de sistem COMMAND.COM, AUTOEXEC.BAT și CONFIG.SYS;
• dischetele respective vor fi protejate împotriva scrierii și inscripționate cu informații referitoare la virusul sau programul malițios identificat, data la care s-au făcut copiile etc.;
• în toate situațiile, se vor efectua copii duble (probă și contraprobă).

Pe baza informațiilor obținute din studierea probelor prelevate și din analizarea fișierelor jurnal ale sistemului se poate trece la efectuarea altor activități, în vederea identificării sursei infectării.

O data aduse in laborator, componentele trebuie asamblate pentru a reconstitui sistemul original. Pentru aceasta se vor folosi fotografiile sau casetele video filmate inainte de ridicarea probelor, respectandu-se conexiunile originale, precum si informatiile obtinute de la martori in legatura cu practicile de utilizare a sistemului informatic respectiv.

Primul pas in analiza probelor de natura electronica este legat de necesitatea asigurarii veridicitatii lor. Pentru a putea dovedi veridicitatea probelor, este necesara ambalarea si sigilarea acestora in modul amintit mai sus .

Primul pas in asigurarea protectiei impotriva modificarii datelor din sistemele informatice trebuie facut chiar in timpul perchezitiei, prin luarea masurilor de protejare fizica ala scriere a mediilor de stocare.

Se recomanda ca analiza criminalistica a continutului discului sa se realizeze pe o copie fidela aa discului original, realizata ain laborator cu ajutorul unor programe si dispozitive speciale. Procedeul nu presupune doar copierea tuturor fisierelor aflate pe disc, ci a intregului continut al discului, sector cu sector, inclusiv fisierele temporare, fisierele de schimb, fisierele sterse, chiar informatia aflata pe portiunile avariate ale discului, etc. O asemenea copiere de aceasta natura se realizeaza acu ajutorul unor programe speciale. Se recomanda realizarea a doua acopii, pe una dintre ele realizandu-se analiza propriu-zisa, cealalta fiind o copie de rezerva.

Copierea trebuie realizata dupa un procedeu demn de incredere. Pentru a putea avea aceasta caracteristica, copierea trebuie:

• sa asigure posibilitatea verificarii de catre terti; instanta de judecata sau partea adversa      trebuie sa poata sa verifice acuratetea copiei realizate.
• sa aiba ca rezultat copii sigure, ce nu pot fi falsificate.

Este recomandata consemnarea detaliata a intregului proces de copiere, indicand echipamentele, programele si mediile de stocare utilizate.

Pastrarea in siguranta a probelor se realizeaza in primul rand prin copierea continutului sistemelor informatice originale, si desfasurarea investigatiei criminalistice asupra unei copii de lucru, avand aceleasi caracteristici cu originalul.

Ca o metoda de siguranta in plus, se poate realiza autentificarea matematica a continutului unui mediu de stocare, fie el hard-disc sau discheta, mediu optic, etc. Acest procedeu consta ain realizarea prin procedee matematice a unei imagini a mediului de stocare respectiv, imagine ce poate servi ca referinta ain cazul in care este contestata integritatea acestuia. Autentificarea se realizeaza cu ajutorul unor programe speciale ce ofera un grad de siguranta de 1 la cateva milioane.

O data ajunsi la locul in care se afla sistemele informatice ce fac obiectul perchezitiei, investigatorii se vor asigura de accesul la acestea. Recomandarea Consiliului Europei (95) 13 mentioneaza ca necesara includerea in legislatiile nationale penale a obligatiei de a permite accesul la sistemele informatice, atat din partea celor care raspund de, cat si a oricaror persoane ce au cunostinta de modul de functionare a acestora. Pe langa accesul fizic, aceste persoane au datoria de a furniza si informatii referitoare la securitatea sistemului, informatii care sa permita investigatorilor accesul la datele stocate in sistemele informatice respective.

Inainte de a trece la examinarea sistemelor informatice, nu trebuie neglijate procedurile criminalistice traditionale de analiza a spatiului perchezitionat, cum ar fi prelevarea probelor fizice (amprente, alte urme materiale). De asemenea poate avea relevanta imaginea aflata pe ecranul monitorului in momentul patrunderii organelor de cercetare penala. Aceasta poate fi pastrata prin fotografiere, filmare, etc.

O prima decizie ce trebuie luata priveste analiza sistemului informatic la fata locului, sau ridicarea acestuia si analiza in laborator.

In luarea acestei decizii, trebuie avute in vedere urmatoarele aspecte:

1. calitatea superioara a analizei efectuate in conditii de laborator;
2. masura in care ridicarea sistemului informatic afecteaza activitatea suspectului.

In acest sens, trebuie retinute recomandarile Camerei Internationale de Comert ce mentioneaza regula evitarii ridicarii sistemelor informatice ale intreprinderilor, daca aceasta ar duce la afectarea desfasurarii activitatilor lor normale.

Urmatoarele criterii sunt utile in aprecierea oportunitatii ridicarii sistemelor informatice:

1. criteriul volumului probelor.
   Particularitatea sistemelor informatice de a permite stocarea unui volum foarte mare de informatie intr-un spatiu de dimensiuni fizice reduse face ca investigatia sa necesite un volum mare de timp pentru obtinerea probelor relevante. Astfel de cercetari pe o perioada ade timp mare pot fi conduse mult mai eficient in laborator.
2. criteriul dificultatilor de natura tehnica.
   1. problema evitarii distrugerii datelor in decursul investigatiei. Analiza sistemelor informatice de catre investigatori ce nu au cunostinte suficiente asupra echipamentului sau programelor utilizate poate duce la distrugerea din greseala a datelor.
   2. problema reconstituirii sistemului in laborator. Datorita avarietatii foarte mari a componentelor tehnice ale calculatoarelor, pentru ca sistemul sa poata functiona corect in laborator, este necesara ridicarea tuturor echipamentelor prezente la locul perchezitiei. In cazul ridicarii partiale a componentelor sistemului, este posibila prezenta unor incompatibilitati fie intre echipamentele sistemului informatic ridicat si cele din laborator (de exemplu incompatibilitatea calculatorului cu echipamentele periferice – imprimante, etc.), fie intre programele de pe sistemul ridicat si echipamentele din laborator.

O data decisa ridicarea sistemului informatic aflat la locul perchezitiei, trebuie luate unele masuri care sa permita reconstituirea exacta a acestuia in laborator. In primul rand, trebuie consemnat modul de aranjare in spatiu a echipamentelor sistemului informatic ridicat. Aceasta se poate face fie prin fotografierea sistemului din toate unghiurile, fie prin filmare video. In procesul de fotografiere sau filmare, este necesar sa se insiste asupra cablajelor ce conecteaza diferitele componente ale echipamentului. Consemnarea, in varianta foto sau video, are relevanta asi pentru a arata starea in care se gasea echipamentul in momentul ridicarii, prevenind astfel plangerile legate de o eventuala deteriorare a acestuia in decursul anchetei.

In procesul de ridicare a componentelor sistemului trebuie sa fie avuta in vedere necesitatea pastrarii integritatii si identitatii datelor. Orice avariere a suportului pe care se afla datele duce in mod inevitabil la distrugerea acestora. Organele de cercetare penala atrebuie instruite in mod special pentru a proteja probele de natura electronica.

Procedura ridicarii sistemelor informatice este urmatoarea:

Etapa 1: inchiderea sistemului. Daca sistemul a fost gasit inchis in momentul patrunderii investigatorilor, nu trebuie sub nici un motiv pornit. Se va proceda in continuare trecand la celelalte etape. Daca sistemul a fost gasit deschis, el trebuie inchis pentru a se putea proceda la ridicarea lui. Pentru inchiderea sistemului se pot folosi urmatoarele procedee:

• deconectarea de la alimentarea cu energie electrica;
• inchiderea conform procedurii normale.

Prima alternativa este de preferat in cazul in care investigatorul nu are cunostinte de informatica. Unele calculatoare dispun de surse de alimentare neinteruptibile (UPS). In acest caz, pe langa deconectarea de la sistemul de alimentare cu energie electrica, trebuie oprit si acest sistem. Deconectarea nu va produce, in cele mai multe cazuri, pierderea de date, dar poate evita stergerea unor informatii relevante, cum ar fi fisierele temporare, care se pot sterge in cadrul procesului normal de inchidere a calculatorului.

Cea de-a doua alternativa este de preferat atunci cand calculatorul este conectat in retea, sau atunci cand investigatorul este asistat de o persoana ce are cunostinte asupra modului de functionare a sistemului respectiv, precum si asupra procedurilor ce sunt folosite pentru inchiderea lui.

Etapa a 2-a: etichetarea componentelor. In cazul in care se impune dezasamblarea fiecare componenta a sistemului trebuie etichetata inainte de modificarea configuratiei in vederea ridicarii probelor. In cazul cablurilor, se eticheteaza atat cablul, cat si suporturile de unde a fost debransat. In cazul existentei unor suporturi care nu au conectate cabluri, este recomandabil ca sa fie etichetate “neocupat”. Se poate realiza si o schita a componentelor, cu precizarea simbolurilor folosite pentru etichetare.

Etapa a 3-a: protejarea la modificare. Toate suporturile magnetice de stocare a datelor trebuie protejate impotriva modificarii continutului lor. Unele tipuri de hard-discuri au contacte speciale care realizeaza protejarea la scriere. In cazul dischetelor, protejarea se va face prin mutarea martorului de permitere a modificarilor in pozitia “inchis”.

Etapa a 4-a: ridicarea propriu-zisa. Ridicarea probelor trebuie facuta cu multa agrija, evitandu-se orice avariere a componentelor. Este recomandabila aimpachetarea componentelor in ambalajul original, daca aacesta poate fi gasit, sau in ambalaj special ce asigura protectia electrostatica aa acestora. De asemenea, toate suporturile magnetice de stocare a datelor, vor fi ambalate si sigilate in asa fel incat accesul la ele nu este permis, pana la desfacerea in laborator.

Scopul analizarii mediilor de stocare indisponibilizate pe parcursul verificarilor este de a identifica probe care sa confirme sau sa inlature suspiciunile referitoare la savarsirea unei fraude informatice.

Un mediu de stocare poate contine in mod normal urmatoarele tipuri de fisiere:

• fisiere ale unor programe pentru calculator;
• fisiere generate de utilizator;
• fisiere temporare de diferite tipuri,create de sistemul de operare.

Probele legate de comiterea unei infractiuni trebuie intotdeauna cautate in ultimele doua categorii enuntate, dar nu trebuie uitat faptul ca date importante pot fi identificate in fisiere „ascunse” printre fisierele unor programe sau aplicatii.

Fisierele sterse ar putea fi recuperate in totalitate cu ajutorul unor instrumente special concepute in acest sens.

Analizarea datelor stocate necesita cunostinte tehnice de specialitate dar si rabdare, concentrare si un mediu de lucru corespunzator, ferit de factori perturbanti.

Datele stocate pe mediile originale (hard-disk, CD-ROM-uri, dischete, etc.) trebuie transferate prin copiere pe alte medii de stocare similare, acestea urmand sa fie folosite in vederea studierii fisierelor. Aceasta este o regula importanta ce trebuie respectata pentru a evita deteriorarea sau modificarea involuntara a informatiilor si folosirea acestei imprejurari de catre faptuitor in apararea sa.

In vederea efectuarii acestor lucruri trebuie ca pregatirea unei verificari sau perchezitii intr-un mediu informatic sa se faca alaturi de persoane cu calificare tehnica adecvata in domeniul informatic.

La finalizarea analizei datelor cuprinse in diferitele fisiere enuntate, se va elabora un raport cu descrierea desfasurarii verificarilor, cuprinzand, in mod obligatoriu, urmatoarele date:

• cine a efectuat analiza, locul unde a avut loc, intervalul de timp in care s-a desfasurat si obiectul analizei;
• ce software s-a folosit in analiza;
• indicarea documentelor care au fost printate, cu mentionarea locului unde au fost identificate.

Spre deosebire de IRC, discutiile in cadrul grupurilor de Usenet nu se desfasoara in timp real. O persoana care doreste sa trimita un mesaj unui anumit grup o poate face utilizand un software similar celui de e-mail („group mail”) iar raspunsurile sau reply-urile se pot transmite pe aceeasi cale sau alternativ printr-un e-mail adresat direct persoanei care a trimis mesajul initial.

Grupurile de discutii specializate in subiecte ilegale, precum pornografia infantila, sunt gazduite de servere ce se afla in alte tari decat cea de origine a membrilor grupului

Aceste grupuri de discutii sunt un mediu propice si pentru comercializarea unor produse rezultate din activitati infractionale sau materiale audio, video sau software „piratat”.

Analizarea mesajelor de Usenet, care sunt similare cu cele de e-mail, se va face in acelasi mod ca in cazul acestora din urma, in special in privinta „header-ului”, cu ajutorul unor programe pentru calculator specializate.

Internetul ofera si alte servicii de comunicatie precum ICQ – „I Seek You” (o varianta mai avansata de IRC, care permite notificarea utilizatorului in momentul in care o anumita persoana este conectata la Internet) sau Netmeeting (un program care ofera posibilitatea comunicarii in timp real prin imagine si sunet).

IRC este un serviciu care permite comunicarea in scris intre doua sau mai multe persoane in timp real. Utilizatorii, cunoscuti sub un anumit nume („nickname”), ruleaza un program, denumit client (de exemplu mIRC etc.), cu ajutorul caruia se conecteaza la serverele sau reteaua IRC unde vor intra pe unul din multele „canale” existente, unde pot comunica cu celelalte persoane.

Conversatia respectiva poate sa fie publica (situatie in care toate persoanele aflate pe canalul in cauza vor putea citi ceea ce scriu ceilalti) sau privata(intre doua sau mai multe persoane, fara ca celelalte persoane aflate pe canalul respectiv sa poata citi mesajele transmise).

Exista foarte multe canale, fiecare fiind impartit intre toate serverele si retelele IRC, astfel incat un utilizator nu trebuie sa fie conectat la acelasi server cu persoanele cu care corespondeaza. Unele din aceste canale sunt secrete, in sensul ca accesul va fi permis numai unor indivizi selectati in prealabil.

Conversatiile pe chat se desfasoara folosindu-se anumite prescurtari sau simboluri ce trebuie cunoscute de investigator pentru a intelege ce se discuta.

Investigarea fisierelor log ce se pot identifica in computerul suspectului sau in serverele de IRC pot scoate la iveala date foarte importante in legatura cu activitatea infractionala a celui in cauza.

Multe organizatii sau persoane isi creeaza pagini de web speciale, cu informatii referitoare la scopurile urmarite de structura respectiva, interesele individuale, etc. Atunci cand continutul unor asemenea locatii prejudiciaza ordinea publica (propaganda rasista, pornografie infantila) sau interesele altor persoane (incalcarea drepturilor de proprietate intelectuala) se impune identificarea entitatilor aflate in spatele acestora.

Prima etapa in desfasurarea investigatiei consta in observarea directa a site-ului prin vizualizarea acestuia pentru a stabili daca datele prezentate in paginile acestuia aduc atingere ordinii de drept sau intereselor publice sau personale. Cu aceasta ocazie, pe baza linkurilor prezentate in pagina principala se poate crea o „harta” a site-ului, cu indicarea paginilor care contin date in cauza.

Urmatorul pas consta in stabilirea locatiei fizice a site-ului, mai precis in identificarea serverului care il gazduieste. Aceasta operatie se face pe baza numelui de sau pe baza adresei de IP asociata numelui de domeniu.

Pentru stabilirea locatiei site-ului se pot folosi programe pentru calculator dedicate acestui scop (VisualRoute, SamSpade, etc.).

In vederea asigurarii materialului probator, investigarea on-line a site-ului in cauza poate necesita copierea (prin download) a unei parti a informatiilor continute de paginile acestuia sau a intregului site, operatie ce se poate realiza, de asemenea, cu ajutorul unor programe pentru calculator specializate.

Paginile web (in sectiunea „Contact” si nu numai) pot oferi, prin continutul propriu-zis al acestora, informatii importante pentru identificarea celui care a creat site-ul (adrese de e-mail si chiar numere de telefon pentru eventualitatea in care vizitatorul doreste sa il contacteze pe „titularul” site-ului).

Daca se constata ca suspectul a creat site-ul respectiv folosind calculatorul personal (ce trebuie identificat si indisponibilizat in urma unei perchezitii), inainte ca acesta sa fie incarcat (upload) pe serverul care il gazduieste, atunci informatiile prezentate pe paginile web investigate vor fi regasite pe mediile de stocare ale acestui computer. Mai mult, prin verificarea browser-ului folosit si a directoarelor „History”, „Favourites”, „Cache/Temporary Internet Files” si „Cookies”, anchetatorul va putea stabili locatiile de Internet vizitate in mod uzual, determinand profilul suspectului.