“网络兼职刷单”诈骗案件的取证方法

2018-03-06汤艳君李嘉奇斯嘉懿英宏程

中国刑警学院学报 2018年1期

关键词：聊天记录QQ号文件夹

汤艳君李嘉奇斯嘉懿英宏程

（中国刑事警察学院网络犯罪侦查系辽宁沈阳 110035）

1 “网络兼职刷单”诈骗案件概述

随着科技的进步和网络的发展，网上购物十分流行，有些商家会雇佣“水军”进行刷单，提高销量和店铺的信誉。犯罪分子以提供“网络兼职刷单”为名，利用人们急于寻求兼职且贪图小利的心理，通过QQ等即时聊天工具实施诈骗。

2017年6月，某地派出所联合分局网警在其辖区内破获一起“网络兼职刷单”诈骗案件，然而不到一周，该所仅在一天时间内又接到了另外两起同类型案件受害人的报警。通过对此类案件的梳理和总结，“网络兼职刷单”诈骗案件的作案过程及手段如下：

1.1 作案过程

在“网络兼职刷单”诈骗案件中，犯罪嫌疑人大多使用QQ聊天软件为媒介，以招聘各大网上商城刷单兼职为由，通过伪造营业证书和公司报表来骗取受害者信任。犯罪嫌疑人通过以派发任务的形式让受害人刷单骗取受害人钱财，第一次骗取成功后继续通过文字游戏告知受害人需要继续投入资金做刷单任务。

图1 犯罪嫌疑人通过文字游戏诱使受害人进一步刷单

如图1所示，犯罪嫌疑人总是在强调“3次任务总共3单”，其实首次刷单就将受害人可用的流动资金都骗光了，受害人按照要求完成3次刷单后，犯罪嫌疑人会强调这3次只是第一单任务，还有两单任务才能结算，其实一共进行9次刷单。

这时受害人为了完成所谓的任务，基本都是通过借钱来周转资金，在完成所谓的9次任务应该结算时，犯罪嫌疑人会说因为操作超时，出现了卡单现象，需要再拍商品才能解卡。

受害人按照要求继续付款一次后，犯罪嫌疑人会称订单只激活了50%，要求受害人继续付款，完成又一次付款后，犯罪嫌疑人发来图片显示订单激活到了95%，需要受害人继续付款（见图2），而无论受害人进行多少次付款，订单激活状态都只会变成98%、99%，永远不会显示100%激活完成。

图2 犯罪嫌疑人编造的理由进行连环诈骗

当受害人发现受骗不再继续投入想要退出要回本金时，犯罪嫌疑人会说因未完成任务需要支付违约金，而且是采用先支付违约金再返回本金的形式。而当受害人不再打款后，犯罪嫌疑人都会将受害人拉黑，不再联系。

1.2 作案手段

通过对多起同类案件进行总结，归纳出5种具有特征性的作案手段。

1.2.1 垫付刷单，另付违约金

从案件来看，犯罪嫌疑人都是以返佣金为幌子，要求受害者先行支付订单中货品的钱款，即垫付刷单，只有这样犯罪嫌疑人才能将受害者的财产骗到手。当受害人要求申请退款时，都是以违约为由要求受害人另外支付违约金，这也是犯罪嫌疑人诈骗受害人钱款的最后一个阶段。所以，垫付单和支付违约金是“网络兼职刷单”型诈骗案件非常明显的一个作案手段。

1.2.2 扫描二维码付款

几乎在所有通过刷单进行诈骗的案件中，受害人刷单的方式均不同于正常的网购流程。提交订单后并不是在网页上通过第三方支付平台进行支付，而是用手机扫描网页上显示的或者犯罪嫌疑人发过来的二维码以直接转账的形式支付钱款，转账后受害人钱款直接转入对方账户，即使受害人发觉受骗也无法通过网上商城退货退款的方式退回钱款。

1.2.3 发送付款截图

在支付环节，犯罪嫌疑人要求受害人完成转账后把转账的截图发给他，受害人钱款转入的账户是犯罪嫌疑人洗钱的账户。这些账户使用天猫、京东等各大网上商城的图片作为头像，以假乱真，受害人难辨真假。根据已侦破案件中犯罪嫌疑人的供述，他们在境外有专门负责洗钱的团伙，犯罪嫌疑人要的受害人转账截图，就是与洗钱的团伙结算时的凭证。也正是这些转账截图成了公安机关侦查取证时认定诈骗金额和犯罪事实的重要依据。

1.2.4 使用钓鱼网站

通过对案例的梳理，发现犯罪嫌疑人在诈骗时，给受害人发送的网上商城的链接多数为假冒的钓鱼网站。犯罪嫌疑人使用钓鱼网站的目的是在支付环节使支付页面自动出现需要扫描转账的二维码，扫二维码支付更具有迷惑性。

1.2.5 从网上购买QQ号码和公民个人信息

犯罪嫌疑人诈骗使用的QQ号均是从网上购买，然后通过改名换头像包装成为兼职公司的客服人员进行诈骗，QQ号绑定的手机号多半为虚拟手机号，手机卡在买卖QQ号时一起打包出售。其次，根据广东警方破获的买卖公民个人信息注册淘宝店铺的案件发现，这些店铺出售后很多被用来进行诈骗。网店链接中的网店大多是冒用他人身份信息注册。另外，犯罪嫌疑人前期使用的钓鱼网站大多是购买的，因此，会涉及到制作钓鱼网站牟利的违法产业链。

2 “网络兼职刷单”诈骗案件侦查方向

侦查是打击犯罪的有效手段，但由于犯罪嫌疑人作案手段的不断升级给侦查带来了很多困难。对于此类型案件，应在传统侦查方法的基础上，不断探索新的侦查方向。

2.1 信息流方向的侦查

网络诈骗犯罪嫌疑人的反侦查意识不断提高。目前此类诈骗案件中，犯罪嫌疑人不再使用宽带上网，转而采用4G无线网卡的上网方式，IP地址不固定，难以定位。可以结合下面的信息进行侦查：

2.1.1 购物网站的信息

犯罪嫌疑人在作案时会给受害者发送商品链接，这些链接有的是钓鱼网站的链接，有的是真实网店的商品链接。如果是钓鱼网站链接，可以在命令提示符中使用ping命令，测试与网站域名连通性，得到网站服务器的IP地址，从而可以得知服务器的所在地；同时利用http：//whois.chinaz.com/等域名查询的网站，查询该域名注册人的信息，既可能关联到实施诈骗的犯罪嫌疑人，也可能关联到编写售卖钓鱼网站的人，进而通过其上下线的关系追查实施诈骗的犯罪嫌疑人。如果是真实网店商品的链接，可以向商城服务商查询该网店的注册和登录信息，若是用他人信息注册的网店，可以根据非法买卖公民个人信息的上下线关系追查犯罪嫌疑人。

2.1.2 犯罪嫌疑人的社交信息

目前在侦查办案中，对于犯罪嫌疑人的通话、短信以及微信等社交信息的利用已经非常普遍。同时从事网络诈骗案件的犯罪嫌疑人呈地域集中性的特点，以福建安溪、广西宾阳和海南儋州三地为主，同类型犯罪的犯罪嫌疑人在同乡之间已经形成了集团化、组织化的作业模式，相互之间比较熟悉，可以根据已经侦破案件中犯罪嫌疑人QQ、微信以及手机中联系人的信息，发现其他案件的线索。也可以根据此类诈骗衍生出的违法产业链条，在破获的其他类型案件中，梳理上下线关系，既而发现该类案件的线索。

2.1.3 改进串并案件的方法，加强对串并案件平台的应用

可以根据犯罪嫌疑人QQ号、网名、手机号、银行卡号、网站地址、第三方支付账号等多种信息进行关联分析和碰撞[1]。通过对此类已侦破案件的梳理发现犯罪嫌疑人通常有上百个QQ号码，这些QQ号码多以相同的名称作为网名，只是以数字的不同加以区分，如“36客服——媛媛”、“37客服——媛媛”等，有的还以“人事部——某某”作为网名，不同的犯罪嫌疑人有各自起网名的习惯，网名的重复概率也不高，所以，可以通过每个案件中犯罪嫌疑人的网名进行串并案，为侦查提供更多的线索。

2.2 资金流方向的侦查

在此类诈骗案件中，受害人的资金流向大致如图3所示，受害人将钱转至洗钱团伙控制的第三方支付平台，洗钱团伙将赃款洗“白”后再返给犯罪嫌疑人。

图3 受害人钱款流向图

为此公安机关接到受害人的报警后，应该在第一时间采取紧急止付措施，冻结第三方支付平台的账户，确保受害人的资金不被转出。其次，通过对第三方支付平台的账户信息挖掘，找出更多受害人，摸清犯罪嫌疑人的洗钱方式。目前支付宝和微信不支持绑定国外银行卡，所以，犯罪嫌疑人无论是通过购买点卡还是银行卡提现等方式进行洗钱，都可以找到线索，确定下一步侦查方向。

3 “网络兼职刷单”诈骗案件取证方法

“网络兼职刷单”诈骗案件的取证涉及受害人和犯罪嫌疑人两个方面。对受害人的电子数据取证主要包括QQ聊天记录、转账记录和浏览器记录等内容；对犯罪嫌疑人的电子数据取证主要包括QQ聊天记录、聊天剧本和浏览器记录等内容。

3.1 受害人方面的取证

公安机关在接到该类型案件的报警时，应该从以下3个方面对受害人能提供的数据进行取证：

3.1.1 QQ聊天记录

如果受害人是在电脑登录QQ时被骗的，可以在QQ消息管理器中导出与犯罪嫌疑人的聊天记录。如果受害人是操作手机时被骗的，一方面因为目前QQ可以同步不同设备的聊天，可以让受害人在电脑上登录QQ，进而导出与犯罪嫌疑人的聊天记录，另一方面也可以通过手机截屏的方式，将受害人与犯罪嫌疑人的聊天记录截屏保存。

3.1.2 转账记录

如果受害人是从支付宝或微信等第三方支付平台的零钱中转给对方账户的，可以对相应的转账记录截屏固定证据；如果受害人的资金是从银行卡通过第三方支付平台转给对方账户的，应该到银行将对应银行卡的流水账单打印出来，作为案件材料进行保存。

3.1.3 浏览器记录

对于犯罪嫌疑人给受害人发送的钓鱼网站链接或店铺商品链接，可以在受害人手机或者电脑的浏览器历史记录中搜索犯罪嫌疑人所发送的链接的记录，并对该记录进行证据固定。如果犯罪嫌疑人发送的是真实店铺商品的链接，受害人进行下单肯定要登录自己购物网站的账户，也可以对受害人账户中浏览商品的记录或是订单记录进行取证。

3.2 对犯罪嫌疑人方面的取证

在抓获犯罪嫌疑人时，若其作案电脑正在开机状态，应对电脑中系统时间、QQ使用记录、IP地址、访问网站等数据进行现场固定，随后将犯罪嫌疑人作案电脑断电固定封存。如果有需要可以依据法发〔2016〕22号规定对电子数据进行进一步的检查和挖掘。

3.2.1 QQ聊天记录

目前，各个主流版本QQ的聊天记录以及接收的文件在Windows系统中均是默认存储在“我的文档Tencent Files”文件夹中，此文件夹存储了犯罪嫌疑人电脑登录过的QQ的全部未删除记录，以图4为例。若犯罪嫌疑人反取证意识比较强，会对上述文件夹中的聊天记录文件进行删除，还应通过数据恢复技术来恢复犯罪嫌疑人删除过的聊天记录。

图4 单台电脑登录过的所有QQ号情况

对QQ聊天记录的提取，首先根据上述文件夹中的内容以及数据恢复的结果确定犯罪嫌疑人使用过的、能提取证据的QQ号码；随后，因为犯罪嫌疑人买来QQ号码后会将号码与密码存于TXT文本或Word文档中，可以按照其中的QQ号和密码逐个登录犯罪嫌疑人的QQ查看聊天记录。犯罪嫌疑人诈骗成功后通常会将受害人的号码拉黑，所以要重点关注消息管理器“已删除/拉黑”名单中的聊天记录。

若未能根据QQ号码获得相对应的密码，则可以通过3种方法尝试登录QQ。一是犯罪嫌疑人在QQ登录界面有可能会设置为“记住密码”；二是犯罪嫌疑人设置此类密码通常是几个简单的数字和字母的组合，可以通过取证软件对相关密码进行破解；三是可以根据社会工程学的原理，使用已掌握的相关的密码、电话号码、手机号码等进行破解。

QQ聊天记录存储在后缀名为.db的数据文件中，该文件是加密文件，在无法获取或者破解QQ密码的情况下，聊天内容无法获取。但聊天过程中传输的文件、截屏等信息是不加密的。打开“我的文档Tencent Files”目录下每个QQ号码的文件夹对应的是该QQ号的相关数据，主要内容如图5所示，每个文件夹中存储的文件均可以直接提取和分析。

图5 某一个QQ号文件夹下的内容

Audio文件夹用于存储音频文件，即通过手机聊天时发送或接收的录音信息就存在该文件夹中；FileRecv文件夹用于存储接收好友发送的文件；QQ文件夹存储的是后缀名为.db的数据文件，里面有QQ好友列表、密码设置、界面设置等，该文件夹中还有一个Photo文件夹，主要用来记录视频聊天时用拍照功能记录的照片；Image文件夹则是取证时要重点关注的文件夹，这里存储了聊天时发送的图片[2]。其中MarktingMsgCachePic文件夹存储的是聊天图片的缓存，WBlog文件夹存储的是微博图片的缓存，Group文件夹中存储的是群聊天图片记录。犯罪嫌疑人诈骗时点对点聊天的图片在高版本中存储在C2C文件夹中，低版本中则存在了Image文件夹根目录下。有时受害者也会发送网购下单的截图给犯罪嫌疑人，从中可以找到姓名、电话和地址（见图6）。如果这些信息为真，便可以联系到受害人。

3.2.2 诈骗剧本

犯罪嫌疑人在作案时都是使用固定的聊天套路，诈骗的剧本都是早已编写好的，可以对犯罪嫌疑人电脑中的诈骗剧本进行取证，诈骗剧本主要包括聊天剧本、付款二维码等聊天图片以及犯罪嫌疑人发送的网站链接。聊天剧本多以TXT文本文档形式存储，这是犯罪嫌疑人常用的文件类型。依照多数人的使用习惯多存在桌面等较为显眼、方便使用的地方，也可以根据找出的聊天记录中的内容，以搜索关键字的方式查找。犯罪嫌疑人作案时频繁更换收款账户的二维码，所以其电脑中应该有一个专门存放二维码的文件夹，并且使用仿造的营业执照和大量的系统卡单等图片，企图骗取受害人信任进行多次诈骗。所以聊天中使用的图片也很可能会集中存储于某一处，可以通过取证大师等取证工具对电脑中的图片进行检索，或是在系统中过滤“.jpg”、“.png”等图片格式的文件，或以“二维码”、“营业执照”、“卡单”等关键字对相关图片文件名进行搜索。对于网站链接，可以用犯罪嫌疑人发送的具体链接为关键字进行搜索，来查找犯罪嫌疑人存储于电脑中让受害人下单的商品链接。

3.2.3 浏览器记录

对于涉案的钓鱼网站链接以及网上商城商品链接，可以通过Cookies、History和Temporary Internet Files等文件夹的相关文件进行提取与分析。3个文件夹的相关文件在不同的操作系统版本存储位置不同，如Cookies文件在Windows XP系统中保存在“C：Documents and settingsUsernameCookies”文件夹中，在Windows 7以上操作系统中保存在“C：Users Username AppDataRoamingMicrosoftWindowsCookies”文件夹中，同时Cookies数据还将被写入一个名字为Index.dat的文件中，该文件和各个的Cookies文件在一起可以提供很多非常重要的信息，如访问的网址、访问频率、访问时间信息等。访问历史记录文件在Windows XP系统中保存在“C：Documents and settingsUsernameLocal SettingsHistory”文件夹中，在Windows 7以上操作系统中保存在“C：UsersUsernameAppDataLocalMicrosoftWindowsHistory”文件夹中，历史记录不仅包含了上网记录还包括打开过的文件信息。Internet临时文件在Windows XP系统中保存在“C：Documents and settingsUsernameLocal SettingsTemporary Internet Files”文件夹中，在Windows 7以上操作系统中保存在“C：UsersUsernameAppDataLocalMicrosoftWindowsTemporary Internet Files”文件夹中，对于没有删除的临时文件可直接通过资源管理器查看。

3.3 案件取证的难点

3.3.1 QQ号码众多

此类诈骗案件犯罪嫌疑人以QQ作为工具，因此其通过购买窃取等途径获取大量QQ号码，单台电脑使用过的QQ号码多达数百个，每个QQ号码中又有与数百个联系人的聊天记录，在取证过程中主要通过查找犯罪嫌疑人电脑与受害人电脑的聊天记录，证明犯罪事实、核实诈骗金额。因此，取证时面对的工作通常是几十万条的聊天记录，工作量巨大。

3.3.2 TXT文本文档易被覆盖

犯罪嫌疑人购买了众多QQ号用于诈骗，这些QQ号以及密码大部分存储在了TXT文本文档中。因为文本文档的特殊结构，没有文件头，文件长度比较短。所以在删除后容易被新的数据覆盖，给取证带来了一定困难，也难以形成完整的证据链。因此，抓捕此类案件犯罪嫌疑人时，进入现场后一定要第一时间控制犯罪嫌疑人的电脑，保证相关证据不被销毁。

3.3.3 受害者不愿配合

在侦办此类诈骗案件时，以犯罪嫌疑人电脑中找出的聊天记录为依据，将网上虚拟身份与现实身份进行关联，寻找受害人。而在实际工作中发现，一方面受害人被骗后戒备心高，公安机关找到受害人询问调证时，不相信是公安机关，不愿意配合公安机关的调查取证工作，另一方面有的受害人或是由于单笔诈骗金额小或是因为对公安机关存在偏见等原因，不愿意配合调查。很多案件中虽然有犯罪嫌疑人的聊天记录作为证据但缺少实际的受害人，无法查证属实，网上与网下的证据衔接不充分，证据链不完整，总体诈骗金额也无法准确认定，无法使犯罪嫌疑人受到应有的惩罚[3]。

4 防范对策

针对此类犯罪的特点，结合目前的法律规定及相关技术，提出以下防范对策：

4.1 社会对策

加强宣传与教育，增强公众的反诈骗意识。第一，该类型诈骗的犯罪嫌疑人都有统一的聊天模板，只要把对方说的话粘贴到百度里进行搜索，就会发现很多相似案例的新闻报道等信息。第二，虽然刷单行为不道德并且也违反相关法律规定，但是真正的刷单很少有垫付单，可以认为只要是以垫付的方式进行刷单，都是诈骗。第三，以扫描二维码的方式进行支付的刷单，这是诈骗中最明显的一个特征。犯罪嫌疑人以刷单为由让受害人购买商品而不在商城中进行支付，一个未支付的订单又如何提高所谓的销量和信誉呢？所以，只要受害人稍加思考即能发现犯罪嫌疑人逻辑问题，避免被诈骗的发生。第四，要明确辨别真假网站链接。有的犯罪嫌疑人使用钓鱼网站制作相当简单，有的开页面上还出现了“welcome”、“hello world”等信息，只要稍加留意，看一下浏览器或者页面最顶端是否有非正常的标题或代码，就能辨别出来。

4.2 技术对策

互联网企业及相关运营商应该加强监管。目前在已侦破的案件中，犯罪嫌疑人通常是使用QQ群登器在一台电脑上同时登录数十个QQ账号。腾讯公司应从技术上禁止多个QQ号使用同一个IP登录，禁止类似群登器软件使用，从源头上减少该类案件的发生。另一方面，支付宝和淘宝应该加强监管，从违法产业链着手，杜绝盗用他人信息注册账户的发生。在注册新账户时增加人脸识别，采集人像数据再与实名认证时提交的身份证照片进行比对，从而确保真正的实名注册。

4.3 法律对策

两高一部在2016年12月联合出台了《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》，但是定罪量刑的金额还是以3000元以上、3万元以上、50万元以上为3个起点，分别认定为刑法第266条规定的“数额较大”“数额巨大”“数额特别巨大”。不够刑事立案标准的，根据《中华人民共和国治安管理处罚法》第49条的规定，最高也只是处10日以上15日以下拘留，可以并处1000元以下罚款。综合来看，目前法律规定的量刑相比电信网络诈骗造成的恶劣影响还是比较轻的，致使犯罪成本太低，犯罪分子肆无忌惮。所以，应该加大刑法处罚力度，对犯罪起到震慑的作用。