手机信息侦查中的反侦查行为及对策
2016-04-11□郭萍,梅蓉
□郭 萍,梅 蓉
(南京森林警察学院,江苏 南京 210023)
【刑事侦查与技术】
手机信息侦查中的反侦查行为及对策
□郭 萍,梅 蓉
(南京森林警察学院,江苏 南京 210023)
手机信息侦查作为一种技术性的侦查措施,已在侦查实践中广泛应用。犯罪嫌疑人为了逃避打击,会实施专机专卡作案、异常通信联络、频换手机等多种反侦查行为。作为侦查人员可以通过仔细勘验,分析反侦查行为,采取遥毙手机、手机话单频率分析排除干扰、移动定位等方式,以应对犯罪嫌疑人的反侦查行为。
手机信息侦查;反侦查行为;对策
反侦查行为是犯罪嫌疑人在进行犯罪活动过程中,为了掩盖其犯罪行为、逃避侦查和法律的制裁,妄图使侦查工作无法进行或者误入歧途,而采取的一系列措施和手段。犯罪是一种社会行为,罪犯也是社会的一员,更有其特殊的社会属性,侦查的过程实际上是侦查人员与犯罪嫌疑人之间斗智斗勇的过程,在斗争中推进着侦查与反侦查的理论和技术的发展。手机作为人们必不可少的移动通信终端,其重要性不言而喻,对于犯罪嫌疑人,手机同样重要。无论是涉及手机犯罪还是非涉及手机犯罪,手机信息中均蕴含有大量与案件有关的信息,分析处理这些信息能为侦查破案提供证据和线索。因此,利用手机信息为侦查破案服务已经成为广大侦查人员必须掌握的技能。随着手机信息侦查的广泛应用,再加上媒体的广泛报道,犯罪嫌疑人对手机信息在侦查中的作用也越发了解,因此在犯罪活动过程中使用手机时实施反侦查行为的现象越来越普遍。侦查人员对此必须引起足够的重视,充分了解犯罪嫌疑人实施反侦查行为的常用手段,采取有针对性的应对策略。
一、针对手机信息的反侦查行为
针对手机信息的反侦查行为与其它反侦查行为有着显著的区别,具体的反侦查行为如下:
(一)使用他人手机作案
在绑架勒索案件中,犯罪嫌疑人一般不会使用自己的手机与被害人家属联系,他会使用被害人的手机与其家属联系。另外,犯罪嫌疑人会使用盗、抢的手机与同伙联系,以防止手机信息泄露行踪。使用他人手机作案,对于侦查人员来说,无法直接通过手机信息获取到关于犯罪嫌疑人的相关信息。
(二)专机专卡作案
近年来,一些具有较强反侦查行为的犯罪嫌疑人作案时,为了方便联系,他们会选择专机专卡作案,基本不与生活手机交叉使用,且更换联系方式非常频繁,这种情况下对于侦查人员利用手机通信信息侦查提高了难度。
(三)异常通信联络
为了混淆侦查视线,一些嫌疑人有意拨打很多无意义的电话,使得侦查人员在进行话单分析时找不到重点,拖延分析的时间;或者频繁开关机,不拨打电话,只是发短信。
(四)频换手机
很多犯罪嫌疑人知道手机会泄露自己的行踪,作案之后立刻换手机,认为换了手机,自己犯下的罪恶就会被隐藏。
(五)不携带手机
手机就如同一颗炸弹,随时会暴露行踪,一些犯罪嫌疑人了解手机通信原理,知道手机会留下痕迹,因此作案时不携带手机。
(六)任意显号功能
“任意显号功能”的出现,本意为人际交往中的一种调侃或游戏性质,但自从被违法犯罪分子利用以来,成为案件侦查中的一个难题。目前“任意显号”出现的方式有两种:一是类似非法网络电话运营商出于逃避打击以及降低资费、吸引用户的需要(以市话费用打长途电话)而设置。二是一款“任意显号软件”被下载到手机上以后,由手机用户随意手动设置虚拟号码。这种方式是通过系统来实现的,因此仍然与网络有着关系。这两种方式,除了可以随机产生虚拟的主叫电话号码以外,甚至还可以人为地设置一些政府和社会公共行业的特服号码,甚至与被叫号码相一致的号码,具有极大的欺骗性。近几年来,全国各地大量出现的“固定电话欠费”诈骗案件就较多地使用了这款软件与功能,成为这类犯罪活动真正的“帮凶”。
(七)利用手机卡非法复制功能
目前,在许多手机非法短信广告中,有一种自称“可复制手机卡、窃听电话、拦截短信”的广告流传较广。从技术角度来讲,在未拿到原卡的情况下,是不具有这种现实可能的。但事实上,各地的通信市场中,在提供卡的基础上,手机卡复制(俗称“烧卡”)服务的情况比比皆是。目前,市场上能够提供的“烧卡”服务有两种,对侦查工作而言,都具有极大的挑战性。一是“一卡多号”,就是同一个手机号被复制成多张卡同时使用。这种情况下,当多张卡都处于待机服务状态时,往往信号强的卡会优先接到电话或短信,而不会同时接到。但是,当其被犯罪嫌疑人当成一种反侦查手段,有意识地分布于几个地区,由不同的人分别连贯操控使用时,侦查部门的工作会受到极大干扰。二是“一卡多号”,这是指将多个手机号复制在一张卡上。这一方式的原理基本等同于“一机双号”的双模手机原理。在“一卡多号”的情况下,不同的手机号可以随意切换使用。对侦查工作产生了一定影响。
(八)删除手机信息
随着移动互联网的普及,手机已经成为互联网的终端。利用手机中的软件如微信、QQ作案的案件数量逐渐增多。犯罪嫌疑人为了逃避打击、躲避侦查,常采用在移动的情况下作案且作案后立刻删除微信、QQ、短信、通话记录等手机信息。
二、手机通信信息的反侦查行为的应对
探讨反侦查行为的应对策略有着重要的实践意义,可以更好地指导实践应用和推进侦查发展。具体的应对方法如下:
(一)遥毙手机
犯罪嫌疑人使用涉案手机,其情景主要有两种:一是直接使用犯罪所得手机(手机与号码都用);二是换新卡后使用。第一种情景可以通过调取话单分析,发现其关系人进而发现犯罪嫌疑人。第二种情景则可以先获取手机串号,进而获取新号码的使用情况以发现犯罪嫌疑人。针对使用他人手机作案的情况,侦查人员在取得通信部门的支持下,可以针对犯罪嫌疑人使用被害人手机与家属通话的情况,对该手机进行遥毙,使得手机不具备接收信息和发送信息的功能,让犯罪嫌疑人意识到手机可能欠费停机,从而改用自己的手机或者固定电话通话联络。若改用固定电话,利用固定电话的定位、定人功能,很快确定犯罪嫌疑人的落脚地。若改用自己的手机联系,那么可以通过分析话单,机主信息等获取犯罪嫌疑人的身份。一些犯罪嫌疑人为了与家人、朋友随时联系,在作案时会携带手机,只是与被害人家属联系会使用盗来或者被害人的手机。这种情况下,可以通过技侦部门分析出被害人或者盗来手机的轨迹,再根据这个轨迹分析出伴随轨迹,从而确定犯罪嫌疑人的手机号。
(二)专机专卡作案的应对
专机专卡作案的案件可以分为两类:一类是以手机作为通信联系的专机专卡案件,一类是以手机为作案工具的专机专卡案件。第一类案件如果犯罪嫌疑人只是在实施作案时才打开手机,作完案立即关机,利用手机侦查破案的难度就很大。一般可以从购机购卡的渠道发现犯罪嫌疑人,无论犯罪嫌疑人是或者不是在作案本地购卡购机,可以与高危地区人员分析相结合,缩小侦查的范围。如果犯罪嫌疑人多次作案,并没有换机换卡,可以根据这个轨迹,结合高危地区人员、治安卡口、住宿登记信息等综合分析,发现犯罪嫌疑人。如果犯罪嫌疑人每次作案均换机换卡,那就要从串并案角度分析,结合其他侦查措施发现犯罪嫌疑人。
第二类案件由于是以手机作为作案工具,手机必须长时间开机,所以很容易获取手机的运行轨迹,那么结合其他侦查手段很容易确定犯罪嫌疑人。为了应对专机专卡作案,公安部门不断探索侦破方法,下面将常州市局总结的经验介绍一下:
1.活动轨迹重合分析法
活动轨迹重合分析法是指作案专机专卡话单时空与高危地区人员活动轨迹重合分析的网上技战法。针对一些特殊手段有明显高危地区特征的案件,分析犯罪嫌疑人作案专机专卡话单基站位置,从中发现落脚区域,然后搜索该区域内具备实名登记条件的旅馆、网吧等场所中出现的高危地区人员,从中发现其真实身份,为打击违法犯罪提供研判支撑的网上技战法。
2.卡口轨迹重合分析法
卡口轨迹重合分析法是指作案专机专卡话单时空与卡口轨迹重合分析,通过对犯罪嫌疑人通话轨迹分析,从中发现嫌疑人通话轨迹中必经的高清卡口、高速路出入口,调阅相关时间段的卡口轨迹数据,从而发现嫌疑人所驾车辆。
3.生活轨迹关联分析法
生活轨迹关联分析法是指作案专机专卡话单内容与特殊号码通话关联分析的方法,通过分析作案专机专卡通话对象,从中发现特殊号码,从关联信息中发现犯罪嫌疑人踪迹。
(三)手机话单频率分析排除干扰
对于犯罪嫌疑人作案频繁拨打电话试图扰乱侦查人员视线的情况,侦查人员可以进行话单频率分析,掌握出重点关系人,由重点关系人反查犯罪嫌疑人的信息。有时犯罪嫌疑人会拨打特服号码,可以根据特服号码的使用情况分析使用者的情况,对这些特定号码进行查询,可以掌握其习性,刻画行为特征,为进一步开展侦查工作提供依据。如果有拨打114、10086、电话银行等声讯客服电话的记录,调取语音信息可掌握犯罪嫌疑人的口音、地域,并从通话内容中预测、分析下一步的可能活动轨迹。
(四)新号码分析法
有些犯罪嫌疑人会经常更换号码,但其通话特征不会变,可通过联系多的关系人号码(两个以上)话单中,比对其号码停用后的通话特征,找出相同的通话号码,此号码在其前一个号码话单中没有,在关系人话单中前一个号码停用之后出现,一般就是案犯的新号码。侦查人员可以通过以下几种途径,获得更多的线索。
1.通过犯罪嫌疑人旧号码的通话记录确定停止使用的时间点,通过犯罪嫌疑人旧号码的频率分析发现其多个经常联系的关系人号码。
2.调取关系人号码的通话记录,对关系人号码通话记录进行分析,选择犯罪嫌疑人旧号码停止使用的时间点后仍正常使用的关系人号码。
3.根据旧号码停止使用的时间点,对关系人在话单中进行的关系人选择进行分析,发现关系人话单中出现的新号码,可能就是犯罪嫌疑人的新号码。
4.新号码分析。通过新、旧号码的通话基站、通话对象相似度进行分析,发现两个号码的相似程度。再对新、旧号码话单中特殊的通话对象进行分析,如旧号码中的单位、家庭固定电话以及家庭成员的移动号码等有无在新号码中出现。
(五)移动定位法
移动定位作为一种移动通信业务,是通过移动通信网,获取移动用户的位置信息然后提供相应服务的一种增值业务。“任意显号功能”虽然对侦查有着一定的混淆,但这种方式依然是通过系统来实现的,因此仍然与网络有着关系。无线定位技术为移动通信开辟了更大的发展空间,在侦查工作中,有着十分广阔的应用前景。目前,新一代GSM手机的定位精度可达100米以内,我国国内CDMA手机定位精度可高达30-50米,有的甚至最小定位误差为15米。在侦查工作中,定位技术可为侦查部门所用。侦查部门在通过侦查掌握了犯罪嫌疑人的手机号码而未发现其踪迹的情况下,可利用移动电话网络定位技术对其所在的大致位置进行定位,即便犯罪嫌疑人使用“任意显号功能”,但只要其使用手机就可以使用此方法,确定其大致位置,为接下来的侦查工作提供方向和范围。通过应用移动电话网络定位技术,侦查人员可以发现潜逃的犯罪分子的手机大致位置。进一步,如果追踪这类号码,则需要在相关网络运营商的帮助下,以步步倒推的方式追查最源头的交换服务器,从而确定犯罪嫌疑人。
针对手机卡非法复制这种反侦查行为,也可用这种方法得到更多的线索。
(六)数据复原分析法
针对一些犯罪嫌疑人删除通信信息的情况,侦查人员可以利用数据复原技术或者数据恢复工具恢复被删除的信息。犯罪嫌疑人删除信息就意味着被删除的信息与案件有关的可能性非常大,可以对恢复的信息进行重点分析。在犯罪嫌疑人破坏一些认为可能会招致危险的数据信息时,也产生了新的信息,要注意对新信息的分析,如犯罪嫌疑人利用手机上网删除QQ空间信息、或者网站的一些信息,在进行这些破坏操作的同时,QQ服务器、网站服务器等日志信息会记录删除的时间、IP地址等信息。因此,侦查人员不能只重视破坏信息的恢复,也要从破坏信息这个举动分析出隐藏的信息。
(七)其它侦查措施追踪分析法
在信息化社会,即使不携带手机作案,犯罪嫌疑人的轨迹都会被各种电子设备记录下来。现如今,任何一个人出门,人车机网卡信息均会被记录下来,如果你不乘车、不上网、不带手机、不消费,但是你的身影会被无数个视频探头拍下来,并能刻画出你的行动轨迹。所以,犯罪嫌疑人再怎么狡猾,也无法逃脱隐形的电子网络。
[1]陈 刚.信息化侦查教程[M].北京:中国人民公安大学出版社,2012.
[2]李双其,曹文安,黄云峰.法治视野下的信息化侦查[J].中国检察,2011(1).
[3]孙展明,尹伟中.视频图像侦查中反侦查行为的识别和应对[J].江苏警官学院学报,2011(3).
(责任编辑:黄美珍)
Anti-investigation Behaviors in Cell Phone Message Investigation and Countermeasures
GUO Ping, MEI Rong
(NanjingForestPoliceCollege,Nanjing210023,China)
Cell-phone message investigation is widely applied as a technical investigation measure in investigation practice. The suspect will implement kinds of anti-investigation behaviors such as committing a crime with specific cell phone and card, exception communication and frequent change of cell phone in order to escape attack. Investigators could investigate and analyze these anti-investigation behaviors and take measures of distant stop of cell-phone, interference suppressing through frequency analysis of their cell-phone ticket, and mobile location to stop suspect’s anti-investigation behaviors.
cell phone investigation; anti-investigation behavior; countermeasures
2016-03-11
中央高校基本科研业务费专项资金项目(RWYB201501)
郭 萍(1977-),女,陕西大荔人,林学硕士,南京森林警察学院通信指挥中心教研室主任,副教授,主要研究方向:电子与通信工程;梅 蓉(1978-),女,江苏南通人,控制科学与工程博士,南京森林警察学院副教授,主要研究方向:电子与通信工程。
D918
A
1671-685X(2016)03-0071-04
