谢 玲

(西南政法大学， 重庆 401121)

0 引言

电信网络诈骗犯罪是一种被现代互联网和信息通讯技术“改变”的诈骗犯罪类型。作为人类历史上最古老、最常见的犯罪形式之一，诈骗犯罪早在互联网出现之前就已经存在，随着网络通讯的全球覆盖与信息技术在社会生活应用中的泛化，犯罪人以计算机网络为犯罪工具，将骗术切入所有使用手机、电脑的社交网络、线上购物、网银支付时空场景，实现对不特定被害人财产的诈欺，由此形成了电信网络诈骗这一新型网络犯罪形式。在广泛使用互联网的现代社会，一个人的线上活动愈多，可能受害就愈频繁。2019年公安部、最高检查院发布的《电信网络诈骗治理研究报告》显示，作为网络用户主力军的18～28岁的90后被害人是受骗概率最高的群体，所占比例高达 54%。(1)依据公安部、最高检发布的 2019年上半年 《电信网络诈骗治理研究报告》统计，排名前10位的电信网络诈骗手法分别为交易诈骗、兼职诈骗、交友诈骗、返利诈骗、低价利诱诈骗、金融信用诈骗、仿冒诈骗、色情诈骗、免费送诈骗和盗号诈骗。可见，互联网和通讯技术不仅成为人们现代生活的一个重要组成部分，也构成了风险社会的某种“异化”威胁。可以预见，信息化时代的电信网络诈骗犯罪将会逐渐“替代”过去缺少技术手段的初级诈骗形式而呈现指数级增长，传统形式的诈骗犯罪将转变为网上犯罪与“传统+网上”混合犯罪。因此，针对这一“骗术与技术叠加”的新的犯罪形式，研究犯罪人利用“自由”的网络空间伪造指令，对正常数据信息包括个人身份数据进行抑制、更改和引入，从侦查和技术反制角度提出相应打击和防范对策，制止犯罪人非法利用网络通讯技术侵入和干扰生活场景极为紧迫且必要。

电信网络诈骗整个犯罪链条几乎都与互联网通讯技术相关。从黑灰产业获取用于诈骗的犯罪资源和技术服务、向被害人输入引发其错误表示的虚假信息、以非现金支付工具实现财产转移或非法占有、犯罪收益的藏匿与“合法化”清洗诈骗各环节都能在网络运用场景中得到支持、保障和变现。与传统诈骗犯罪相比，它的犯罪现场处于信息数字空间世界，实际落地之后可能是在现实世界任何一个地方,犯罪人惯常采取“境外窝点+国内大陆行骗+台湾洗钱”的作案路径逃避侦查打击。由于发出虚假资金转移指令，建立虚假链接将被害人导向诈骗站点；实施通讯网络信息干扰和拦截等作案手段、场所、技术支持都指向信通与网络虚拟空间，与犯罪有关的电子证据也是隐藏于互联网的各种信息管道、服务器列表中，因此，侦查活动必须围绕网络信息系统和电子数据展开，针对各种诈骗类型采取的“骗术与技术”特点及演变发展规律，以信息调查为技术方法从大数据中查找、挖掘、整理其存储的在线信息使用痕迹，对相互分离的网络数字身份与嫌疑人真实身份进行识别查验，追溯诈骗话务窝点的隐藏之处直至落地。

电信网络诈骗犯罪的信息调查具体是指从通讯线路、虚拟设备等已知信息出发，利用通讯和网络技术侦查手段，通过信息的逐级溯源查询、关联用户分析、窝点信息挖掘、信息虚实轨迹碰撞来查找诈骗窝点、作案设备及嫌疑人真实身份的侦查方法。由于互联网和通讯技术是电信网络诈骗犯罪的形成基础和技术支撑，其更新、变化在一定程度上决定了电信网络诈骗犯罪的案件类型、骗术升级与最新发展趋势，梳理“骗术与技术”信息手段的流行演变历史，分析通讯和网络技术在该类侵财犯罪中发挥的关键作用，调查大规模受害情况和被骗途径，有助于探讨相应作案方式的侦查破解方法和技术反制手段，提出具有针对性的犯罪防控策略。

1 电信网络诈骗犯罪信息手段的发展现状

电信网络诈骗的信息手段是指犯罪人利用互联网和通讯技术，向不特定被害人推送或推广以话术剧本为基础的诈骗信息，以实施诈骗行为的沟通方式。当前，电信网络诈骗手法虽然呈现出诈骗场景和剧本多样化的特点(2)依据公安部、最高检发布的 2019年上半年 《电信网络诈骗治理研究报告》统计，排名前10位的电信网络诈骗手法分别为交易诈骗、兼职诈骗、交友诈骗、返利诈骗、低价利诱诈骗、金融信用诈骗、仿冒诈骗、色情诈骗、免费送诈骗和盗号诈骗。，但作为有别于传统诈骗类型的“非接触”作案方式，不论是过去发案数量合计占比超过 70%的交易诈骗、兼职诈骗、交友诈骗等高发类型，还是与赌博黑产相互勾连的诱骗赌博、利用被害人转发“分享”带有诈骗链接或二维码的“杀熟”新类型，电信网络诈骗犯罪手法都离不开通过互联网或通讯方式向被害人输入诈骗信息。可以说，没有信息渠道的接触就没有基于个人身份、财产、电话等隐私信息的泄露、精准诈骗以及被骗财产在洗钱渠道中“转化”为难以追回的犯罪收益。而多年来犯罪人正是利用传统电话、平台通讯、网络电话、即时通讯等作为诈骗信息传递的工具。

1.1 以传统电话为信息手段的诈骗

利用传统电话实施诈骗是国内电信网络诈骗犯罪形式的雏形。如，2005年以广东茂名为犯罪高发地的“猜猜我是谁”诈编模式是以冒充被害人领导、亲友或客户的电话诈骗方式：犯罪人接通被害人电话后，让其猜自己是谁，根据被害人的猜定随机假冒为所指涉的身份，再以遇到特殊情况为由诱骗被害人向其转账。之后又衍生了“我是你领导”“我是你同学”等更为直接的电话诈骗形式。电话冒充类诈骗手法虽然简单，但电话拨打有利于对诈骗信息做撒网式的普遍推广，其成功率高，造成的受害范围较大。随着即时通讯手段的演变，近年来电话诈骗在案件类型中由最初的70%下降到30%[1]，逐渐被新的网络诈骗手段取代。

1.2 以电话平台为信息手段的诈骗

2009年冒充企事业单位专线“400”电话和“一号通”电话实施诈骗的案件数量俱增。“400”电话和“一号通”是由通讯运营商投入并运行的电话智能网络平台业务，是专为客服、营销及咨询的企事业单位设计的全国范围内统一号码的虚拟电话总机。其号码并非是真正的电话号码，而是登录电话平台的账号，平台背后绑定了固定座机、手机或其他电话专线。用户拨打“400”电话或“一号通”号码即可通过平台自动二次呼转至绑定号码。

以“一号通”电话为诈骗信息手段的案件中，犯罪人利用一些单位用户在办理“一号通”业务后往往继续沿用初始密码的安全漏洞，假冒该单位人员向客服申请改变电话号码绑定顺序，将自己的作案手机号提前至第一位，然后再冒充领导、亲友、企业客服等虚假身份给被害人打电话，以“有事急用钱”“新业务有优惠”等借口让对方向其指定银行卡上汇钱。被害人回拨 “一号通”电话时，犯罪人还可以优先接听电话，获取被害人的进一步信任，达到骗取钱财的目的。

以“400”电话为诈骗信息手段的案件中，犯罪人利用“400”电话外包代理商不断降低申请准入门槛和成本低、资料审核不严等情况，申请获取“400”电话号码，使用该号码实施机票改签、网络中奖和银行卡消费等诈骗活动：按照正规“400”业务的办理规定，个人不得申办“400”号码，企业必须提交营业执照、组织机构代码证复印件、机主身份证复印件、绑定的电话号码等申请材料才能办理开通，但这些电信代理商为了增加业务量，违规受理业务，在放号时并未履行严格的实名登记审核程序，让“400”号码落入诈骗团伙手中；待国内“400”电话申请登记制度完善之后，犯罪人又“另辟蹊径”，使用“山寨版“400”号码”绕开真实身份登记的申请限制：一些网上代理通讯公司利用自己研发的后台和服务器转接模型发展为可绑定多个号码的“山寨版“400”号码”，申请人在网上即可快速完成办理手续，以致电诈犯罪人大量使用该种非法业务行骗；还有一些犯罪人直接购买使用改号软件，将手机来电号码显示为“400”电话。

由于代表企业客服电话的“400”号码具有一定的公信力及广泛的认知度，诈骗电话披上“400”电话的外衣提高了电话接通率，而被害人很难识别400号码所绑定的是提供服务的正规企业还是罪犯，利用“400”号码行骗一度成为电话诈骗的流行手段。2016年以后，工信部采取措施整顿电信业务经营秩序和语音专线出租业务，规范用户实名登记制度，使通过“400”电话、“一号通”实施的虚假主叫传输与改号软件实施诈骗的电信网络诈骗案件大幅减少。

1.3 以VOIP系统为信息手段的诈骗

作为“400”和“一号通”电话诈骗的技术升级版，犯罪人通过VOIP网络电话技术随意改号为被害人亲友、领导、10086客服、110报警电话及其他特服号码实施诈骗。VOIP ( Voice Over Internet Protocol)电话，也称IP电话、互联网电话或者网络电话，是指按照国际互联网协议规定的网络技术内容开通的电话业务[2]。VOIP电话的语音传输服务是通过 Internet网作为媒介进行语音传输。狭义的IP电话就是指在使用IP协议的分组交换网上打电话；广义的IP电话不仅可以电话通信,还能实现话音、图像、IM( Instant Messaging) 即时通讯、应用程序共享等多媒体实时通信。作为一种互联网上的语音通信技术, VOIP电话通信价低,但通话质量取决于网络上的数据传输量，通信量负载过高的通信量会增加端到端的时延及抖动，互联网因不能承受大量同时数据传输导致通活质量达不到应用标准。为了保证其信息传输质量，国内《电信管理条例》规定，经营VOIP业务需要取得基础电信业务经营许可证。因此，只有极少数电信运营商才能取得经营许可。然而2010年以来，一些小运营商非法经营VOIP网络通信业务，导致地下网络电话通话量不断激增，诈骗集团开始利用地下VOIP作为网络通讯手段实施诈骗。

VOIP系统具有结构简单、便于维护、投资低廉等特征，适用于作为诈骗话务窝点，有利于窝点隐蔽和人员管理。首先，它支持对目标用户的点对点主叫拨号和批量网络群呼。在冒充公检法类诈骗案件(3)冒充公检法类诈骗案件的作案流程为：“一线”冒充被害人所在地民警给被害人打电话，虚构被害人名下“银行卡涉嫌洗钱犯罪”，需接受当地公安局调查，把电话转接至“二线”；“二线”使用改号座机电话冒充民警队长，以制作电话笔录为由套取其名下的银行卡账户、余额等信息，欺骗被害人其名下相关银行卡的资产需要“接受专案组检察官调查”，把电话转接至“三线”；“三线”假冒专案组检察官，虚构被害人资金需要通过调查以自证清白，诱骗被害人将钱存入指定的“安全公证账号”，随后将款项转移提现。中，一线电话除人工拨打外，还能以自动播报语音的方式群呼潜在被害人；其次，它可以任意修改主叫号码。冒充公检法办案的二线、三线人员，在与被害人接触前通常要将电话号码“修改”为网上能够公开查询到的公检法官方电话以骗取被害人的信任；再次，它通过计算机电话集成系统不间断转接人工坐席，能够实现一线、三线的话务分配与坐席“流水作业”。按照冒充公检法类诈骗作案流程，每一个人负责完成诈骗“流水作业”中的一个环节，一线任务结束后可将被害人电话转接至负责下一个行骗环节的二线，同时通过管理员转送记录着被害人相关信息的任务提示“传递单”，以便于二线、三线继续实施诈骗。这导致庭审证据认定时若要将被害人受骗情形、被骗金额与各线“话务员”一一对应极为困难；最后，它利用群呼服务器与语音网关连接，对侦查人员信息流溯源形成“物理隔断”。在VOIP系统中，可以将群呼服务器两端分别连接安装有客户端软件的电脑与语音网关，群呼平台的隔断功能让侦查人员难以获取诈骗窝点的真实IP。

1.4 以“GOIP网关+VOIP电话+ SIM BANK”为信息手段的诈骗

近年来，随着越来越多的诈骗团伙将犯罪窝点、中继站设置在境外，利用国际合作执法壁垒和各国刑事司法制度的差异逃避国内侦查，境外诈骗话务窝点线路设计出现新的变化：在VOIP系统基础上增加GOIP语音网关和SIM BANK，进一步实现作案窝点与呼叫设备的分离，以降低作案风险。

由于境外窝点使用VOIP群呼平台进行改号后，必须通过国际端口局进入国内语音网，2016年国内在国际通信线路上采取异常来电拦截等技术反制措施，规范和限制了国际出入口局主叫号码的改号传送，犯罪人又开始在国内加装GOIP设备，远程指令GOIP设备上某一号卡槽对应的国内手机号码，直接绕开国际端口局直接进入国内电话网络，通过GOIP设备所在地通信基站拨打犯罪人的电话。GOIP网关是一款融合语音电话业务和Internet数据业务的多功能通信设备，主要用于连接移动运营商网络与IP网络，实现运营商网络与IP网络无缝对接，广泛应用于虚拟运营、呼叫中心、企业接入、短信营销、无线移动等领域，支持GSM、CDMA、WCDMA、LTE等移动、联通、电信2G、4G卡的网络制式。GOIP设备上留有32个或64个专用卡槽，形成了一个由几十部手机集合在一起的通讯设备,每一个卡槽上的对应号码都可以拨打被害人电话，一台GOIP设备可同时支持多个手机号码通话，提高了单张SIM手机卡的使用率，并且它设置在国内直接向三大运营商提交上线认证，诈骗来电均被定位于国内基站，避开了境外异常来电筛查的公安技术反制。

从线路拓扑的结构和运用来看,IP电话注册到VOIP软交换系统，在软交换系统上建立一个GOIP网关账号，填入账号以后GOIP设备与VOIP软交换系统实现注册连接。在使用GOIP网关的犯罪场景中，犯罪人使用IP电话拨打手机号码或短信服务器发送短信，呼叫被送到软交换平台，软交换平台通过号码规则分配表呼叫GOIP网关侧对应的国内SIM手机卡，由该手机卡呼叫被害人，实现互联网端到语音端的转化；被害人若拨打犯罪人向其提供的回拨号码，则从相同的路径反向溯回，实现从语音端到互联网端的逆向转化。

犯罪人通常在境内出租屋设置GOIP网关设备，实施“无人看守”，但警方打击GOIP窝点后，插卡设备和高价SIM卡被查获会给诈骗集团带来较大损失，犯罪人利用GOIP设备远程控制和机卡分离的功能，在“VOIP电话+GOIP网关”模式下再次增加远程SIM卡的集成控制器(SIM BANK，也称卡池)的运用：犯罪人将32张或64张实体手机卡插入一个卡池中，将其安装在境外，由SIM卡管理服务器(SIM SERVER)对其进行控制，同时将GOIP线路接入国内租赁房宽带后离开，在境外搭建SIP服务器和换卡服务器，互相写入信息，形成一张SIM卡、一个手机机身与一个端口分别对应的关系。使用前，犯罪人预先通过协议绑定某一账号与GOIP相应端口，拨号时，用该账号在电脑上登陆SIP软电话，将被叫号码通过SIP服务器传送到GOIP设备对应端口，再通过该端口对应的一张SIM卡及其手机机身呼出被叫号码。由于GOIP设备与SIM卡远程分离，侦查人员对GIOP窝点实施落地查证时，只能找到GOIP设备而不能获取作案用的SIM实体卡，为打击电信网络诈骗犯罪增加了难度。

1.5 以短信犯罪技术为信息手段的诈骗

秘密窃取和侵犯他人银行卡信息、转移被害人财产是犯罪人实施侵财犯罪的另一种手段。过去，犯罪人在ATM取款机或者消费刷卡机上设置非法技术手段复制银行卡磁条信息，再用克隆银行卡取现金。磁条型银行卡升级为芯片型银行卡之后，银行卡磁条复制作案方式已经消失。近年来，银行业推出的“手机号码加上短信验证码”网上快捷支付方式为诈骗犯罪提供了新的侵财途径。犯罪人针对快捷支付手段身份识别的技术特点，采取木马短信、“嗅探+伪基站”等新的犯罪技术非法窃取被害人手机号码和验证码等隐私信息，在没有获取被害人实体卡的情况下非法盗刷他人银行卡。

获取银行卡主绑定手机号中的验证码信息，实现无实体卡交易是盗刷类骗术设计的关键环节。在采用木马短信实施电信网络诈骗犯罪案件中，犯罪人编写涉及银行卡主的家人、自身重要事项的短信，(4)如发布“你有一张交通罚单未处理，请点击这里”“我们的聚会视频，进入网址查看”等个人生活信息以及低价商品销售信息，引诱被害人点击查看。引诱被害人点击存放木马程序的网址链接，植入手机的木马程序会上传手机通讯录到指定邮箱，从而盗取被害人接收的验证码等银行短信。

这一犯罪手法通过反编译木马程序查证获取通讯录的邮箱、犯罪人的手机号码而被破解后，2016年又产生了以盗刷为目的获取被害者手机号码、短信验证码的短信嗅探作案方法。

诈骗团伙利用2G基站的GSM短信信道没有采取加密措施这一漏洞，使用短信嗅探技术窃取传输短信中的验证码信息。由于手机接收通信数据依赖于基站向四周发送下行信号，缺乏加密措施可能导致基站发出的数据被人截获：基站有一个或多个代表无线信号发射频率编号的频点，诈骗团伙使用操作软件将手机调整为接收器接入作案地基站信道，在电脑上处理和分析该基站频点发出的下行数据。一部手机可监听基站的一个频点，即一个无线工作频率段的无线信号，同时使用多部手机可监听一个基站全部频率段信号，该基站所有下行短信数据均会被捕获。与木马短信不同，犯罪人使用木马短信行骗时，被害人的短信被发送至木马指定邮箱之后，手机将不再接收短信，但短信嗅探属于静默监听，不会导致数据的转移和消失，被害人更难察觉其短信内容被人窃听和盗取，直至犯罪人盗刷银行卡导致资金变动才会意识到异常。以短信嗅探为资讯手段实施诈骗通常要经过以下步骤：

第一，探寻被害人及其手机号码。犯罪人可通过以下方式找到作案地点附近的2G手机号码：一是使用“号码采集设备+伪基站”主动寻找。犯罪人携带GSM号码采集设备，主动搜索附近的手机号。该方法成功率最高。二是静态监听被动寻找。犯罪人将嗅探设备带至基站附近保持长时间开启，窃听一些生活服务平台与手机用户的来往短信内容中附带机主号码的信息。三是购买获取。犯罪人通过黑灰产业链购买某个区域内包括小区、社区、单位人员的手机号码及身份信息。近年来，一些运营商工作人员利用职务之便将大量机主信息、通信记录非法出售以谋取利益，这些信息经过层层转手落入诈骗团伙。

第二，窃听被害人短信。以“号码采集设备+伪基站”作案方法为例，犯罪人事先准备一部克隆手机和一部显号手机。首先在无线信号覆盖的特定区域内，将一台2G伪基站功率调整到大于附近基站功率以吸附用户手机，成功后将目标手机SIM卡的电子串号IMSI码编写入克隆手机，然后在目标手机开机请求接入网络时，GSM网络通过基站信道发起一个例行RAND鉴权请求给“目标手机”SIM卡，复制过IMSI码的克隆手机接到鉴权请求后，通过伪基站将请求转移给目标手机，目标手机结合RAND与SIM卡的鉴权键通过计算得出响应数SRES，然后伪基站返回响应数，再经克隆手机到达基站，克隆手机顺利通过鉴权响应和注册，获得基站登录权限。接下来，克隆手机向显号手机打电话或发送短信，显示的就是探知到的目标手机号码，犯罪人再利用短信嗅探设备监听并截获发送至被害人手机的登录验证码。

第三，获取被害人身份证和银行卡等基本信息。过去一些网络应用程序存在技术漏洞，犯罪人在获取被害人手机号码后，通过自己手机以“手机+短信验证码”登录被害人实名注册的支付宝账号，利用一些APP应用程序的安全漏洞，查询支付宝绑定的被害人姓名及身份证号。接下来，犯罪人用“手机+短信验证码”的方式登录各类手机银行APP，查找被害人名下银行卡号，或是使用一些银行官网的服务定制功能，填入被害人姓名、身份证号等信息，获取短信验证码，登陆再注销，从网页源代码中套取银行卡号。此外，犯罪人也会通过互联网黑灰产的链条购买查询机主信息。

第四、盗刷被害人银行卡资金。在掌握被害人手机号、姓名、身份证号和银行卡号后，犯罪人在不需要提供银行卡密码就可以快捷支付的网购平台注册账号、绑定被害人银行卡，以消费、赌博、购买游戏币等方式盗刷银行卡套取资金，完成嗅探短信盗刷银行卡的最后流程。

2 电信网络诈骗犯罪信息调查的基本方法

针对电信网络诈骗犯罪团伙采取的传统电话、平台通讯、网络电话和短信犯罪技术等多种资讯手段和犯罪手法，需要以通讯和网络通信的信息流为调查切入口，依据各类诈骗案件的作案技术原理和技术应用特点，采取对应的侦查和技术反制措施，通过从大数据系统中打捞、监测与追踪涉案信息数据，形成打击电信网络诈骗犯罪特有的多种信息调查途径。

2.1 信令查询

对于利用传统电话作为诈骗资讯手段的案件主要采取信令查询方式展开调查。信令是指为了在通信网中完成相关通信节点之间的通信服务所建立的一条可以相互交换信息的传送通道[3]。犯罪人打电话给被害人输出诈骗信息这一通联过程，在通信网络中形成了一段由通信源点到目的节点的信令轨迹。

虽然传统电话话单记录了犯罪人与被害人之间包括通话时间点、时长和位置在内的信息，也能显示通话双方互通信息的关系轨迹，但犯罪人作案时通常使用隐藏或修改了来电显示的号码，从传统话单中并不能读出真实的犯罪人通讯信息。而信令查询反映了通讯网络中犯罪人到被害人的通讯信息运行路径，而不仅是传统话单所记录的两个电话号码之间的联系。沿着两点之间通话的信令通道，以被害人目的节点为起点，通过接听号码所在地运营商做反向查找，就能够查询到犯罪人的相关通讯信息。

信令查询的要素主要包括：诈骗电话来电显示号码、接听诈骗电话的号码和通话时间点。在进行信令查询时，以被叫号码结合通话的时间点，从被叫号码归属地开始，逐级反向调查电话的来源，最终通过主叫号码归属地运营商查询到犯罪人的真实主叫号码。

2.2 VOIP与GOIP窝点查证

对于利用VOIP平台电话作为资讯手段的案件主要采取CDR话单分析展开调查。由于VOIP网络平台电话以话务窝点为起点经过多个网络服务器输出信息到达被害人手机，所途经的多个网络电话通讯VOS服务器储存了网络电话CDR话单。

在话务窝点直接连接VOS网络服务器的情形下，从被害人提供的窝点主叫号码和回拨电话、侦查人员捣毁窝点所查获设备的拨打线路或侦查在控服务器平台出发，远程勘验传输线路上某一台服务器，可以从中提取CDR话单，该话单包括通话起始和终止时间、呼出主叫号码、呼出被叫号码、主被叫归属地、主被叫IP、GET IP、主叫设备名称等信息。其中，GET IP、主叫IP、被叫IP分别表示通话记录数据所在的服务器地址、上一级来源服务器地址与下一级到达服务器地址。通过服务器地址层层回溯查找窝点IP，实现对VOIP电话发出者的溯源。

话务窝点与VOS网络服务器之间接入群呼平台的情形下，群呼服务器并不保存与窝点有关的通话数据，VOS服务器与窝点的连接被群呼平台“物理隔断”，服务器溯及到群呼平台就无话单记录可查了，故能隐藏窝点IP。对此，侦查人员需要通过查找发现与群呼平台直接联系的那一台VOS服务器，分析出群呼平台的IP地址，追踪无线路由登录群呼平台时的登录痕迹以追溯至窝点，或者安装技术设备对该服务器进行登陆监测与可疑连接筛查，依据话务窝点拨打电话规律和特征，比如利用VOIP搭建的境外话务窝点需要使用包括自动批量呼叫的群呼线路、点对点拨打被害人电话的手拨线路以及犯罪人提供给受害人回拨号码的回拨线路在内的3条通信路径，从中甄别出符合窝点开工时间、诈骗周期、通话时长并具有线路测试、群呼后手拨的登陆设备，以发现可疑线索。

话务窝点的通讯线路中加入GOIP网关的情形下,可在公安大数据库中通过涉案电话号码、涉案VOS服务器等查询要素，对案件进行窝点溯源：从CDR话单中的“主叫设备名称”判断窝点采取何种网关设备；对于使用GOIP设备的，通过外部企业数据库将“主叫IP”和“主叫IP归属地”与账号做关联，获取窝点可能账户名；对嫌疑账户近期登陆其他生活应用软件IP与“主叫IP”在不同日期的错时登陆情况进行分析，对匹配率较高的账户实施长期上网设备侦查；对于有重大作案嫌疑的，锁定该账户作案使用的WIFI设备MAC码和基于位置服务的LBS码落地查证GOIP窝点。

2.3 嗅探设备和伪基站查证

在犯罪人使用“号码采集设备+伪基站”主动寻找目标号码的情形下，可以通过通讯运营商检测等手段发现作案设备：犯罪人利用号码采集设备和调整到大功率的伪基站吸附电话号码，鉴权通过后使用克隆手机拨打自己的显号手机，被吸附的目标手机从伪基站切回到基站时，会自动产生一次位置更新请求，并附带发送上一个连接基站的区域码LAC，即伪基站的LAC，侦查人员通过运营商内部数据可检测到“异常”基站区域代码从而发现伪基站的存在。同时，犯罪人为了获取手机号码，用被吸附的手机号码呼叫显号手机通常会留下一次呼叫记录。如果将作案时间条件设定在凌晨，作案地点为同一基站区域附近，作案方式表现为部分手机号码发送了同一个伪基站的区域码，并呼叫了同一个手机号码，将这3个条件相关联并建立伪基站识别模型，可提高“号码采集设备+伪基站” 作案的识别准确度。

在犯罪人利用已经取得的目标号码实施下一步犯罪的过程中，也会在运营商或互联网企业的应用数据库中留下作案痕迹，为侦查与构建技术反制模型打开突破口。犯罪人获取目标号码后通常会使用“手机号码+短信验证码”登录支付宝、手机银行等各类网络应用软件实施消费。如果将异常活动时间定为凌晨时分，异常活动地点设为在同一区域的基站附近，异常活动方式设定为一台手机或电脑设备多次以不同的“手机号码+短信验证码” 的方式登录网上应用进行消费、快捷支付等行为，多个异常活动特征关联建立起识别和反制模型，可通过运营商或互联网企业的内部数据库筛查出嫌疑手机，从而向被害人及时发出预警。

对于案发后被害人已经遭受财产损失的情形下，可以围绕被害人账户资金转移或消费的时间、犯罪人登录过的网络应用类型等情况，通过运营商和互联网公司倒查犯罪人使用被害人账号登录各种网络应用进行消费时，所使用的手机或电脑设备。犯罪人如果使用号码采集设备收集电话号码，并通过克隆手机拨打显号手机号码，也可以通过运营商查找显号手机发现犯罪人，通过并案处理查找到更多的被害人。

2.4 犯罪人上网活动特征分析与查证

犯罪人通过资讯手段向被害人输出诈骗信息、案发后登录网络应用实施个人消费、赃款的转移和藏匿，以及在同一台设备、同一WIFI网络环境下进行生活消费，必然会接触到电话通讯、网络即时通讯和网上快捷支付工具。在使用过程中，犯罪人的网络数字身份与真实身份相互交织，留下一些登录和浏览痕迹以及交错时间点，形成其特有的上网活动特征。在获取犯罪人网络IP信息、WIFI环境信息、设备MAC地址等相关上网信息后，可采取虚实结合的侦查策略，并联分析犯罪人在现实生活与虚拟世界中的活动关联点及信息轨迹的交叠情况，从多种类型的数据应用碰撞中寻找、定位话务窝点和犯罪人所在位置，实施落地查找、踩点和最后的抓捕工作。

第一，IP落地分析与查证。首先，调取联系被害人的作案QQ、微信、支付宝账号、银行账户、第三方支付账户的登陆日志；接下来，从登录日志判断犯罪人使用的网络IP属于流量IP、宽带IP或是专用线路IP等类型。一般来说，从登陆IP的时间、端口信息能够查询到IP归属地，即犯罪人使用账号行骗时的所在地，通过当地运营商或网安部门协助可对IP直接落地：在犯罪人使用宽带IP和专用线路IP的情形下，侦查人员可查询到使用人的注册信息、宽带账号信息；在犯罪人使用流量IP的情形下，侦查人员结合端口号、登陆时间点和IP地址，查询到上网手机号码、手机机身后，再对手机做落地分析；在犯罪人使用互联网卡IP的情形下，该IP地址是使用互联网卡上网时分配到的地址，其归属地与设备登录地并无关联。对此，需要侦查人员结合犯罪人其他上网特征，做进一步的查证后才能对话务窝点予以落地。

第二，账号关联分析与查证。账号关联主要是指犯罪人注册的网络应用工具账号与登陆设备之间的关联。对于侦查中发现的犯罪人使用的QQ、微信号码，可以通过软件开发运营企业或网安部门查询其近期登陆的设备码或手机号，从而查找到犯罪人个人信息和真实活动轨迹。

第三，虚实轨迹分析与查证。犯罪人实施话务诈骗的工作设备与生活上网设备往往具有同一性，即生活账号和作案账号使用的是同一套上网设备，只是出于不同的个人用途做了功能上的区分。通过对犯罪人使用的作案网络账号与手机、电脑等设备硬件码做账号关联分析，可以查找到犯罪人的生活网络设备和生活账号。

第四，网络应用拓展分析。根据犯罪人登录日志的IP线索，侦查人员通过公安与企业大数据应用，可以查找犯罪人购物类、金融类、生活类其他网络账号及其运用情况，进一步搜索到犯罪人开户信息、资金账户信息、所使用的关联设备，最后确定上网所在地的位置信息。

3 提升电信网络诈骗犯罪信息调查的综合对策

二十多年来，互联网、通讯技术的蓬勃发展及其创造的商业化和广泛的大众应用，增加了网络犯罪发生的风险概率[4]。电信网络诈骗犯罪充分利用了互联网、通讯技术跨国性、流动性和更新快的特点，不断在社会生活各种便捷的通联、支付技术应用中钻漏洞设“局”，每当有一项新的技术业务进入大众市场，就可能伴随诈骗团伙衍生的新骗术。随着骗术“创新”与公安反制、破解策略的往来较量，犯罪人在行骗过程中不断加强技术环节和反侦查对策，其犯罪资讯技术的运用显现出以下规律：

第一，以最复杂的技术设计推广最“傻瓜”的犯罪技术操作。主动式通话诈骗方面，从使用传统电话到平台通讯、网络电话和即时通讯，犯罪人在诈骗链条的话务窝点端与被害人端的通讯连接之间，不断增加了电话平台通讯的服务器、VOIP系统、GOIP落地网关、SIM BANK、SIP服务器和换卡服务器等中间环节，让侦查发现活动与窝点溯源越来越困难；被动式盗刷诈骗方面，从复制被害人银行卡磁条到短信木马、短信轰炸机和嗅探技术的应用，犯罪人由人工秘密窃取存款、诈骗短信规模化推送加入了嗅探设备，伪基站等自动窃取被害人账户相关信息的软硬件应用，犯罪手段所使用的技术原理趋向复杂化，技术攻击工具的自动化水平也越来越高。但由于研发和销售的犯罪产业链较为成熟，一线实施犯罪的人员并不需要具备特别高超的技术水平，设备的获取、诈骗平台的搭建、使用方法都可以向黑灰产业购买而实现，相关技术设备的使用实现了“傻瓜式操作”，犯罪实施门槛相对较低，只要一项新的诈骗技术研发推出，就会吸引诈骗团伙购买或模仿运用。

第二，利用电子证据的流动性和反侦查措施增加取证难度。电信网络诈骗案件的电子证据数据生命周期较短，比如VOS服务器中的CDR话单的查询范围有时间限制。为了阻截资讯调查的窝点地溯源，犯罪人采取了接入群呼平台“物理隔断”、GOIP窝点与话务窝点相分离、SIMBANK远程映射等反侦查措施，这使得法律规定的取证规则面对复杂易变的电子网络环境在适用时存在诸多现实障碍。

第三，多种技术措施并用与多条诈骗线路混用分散警方大数据查控。境外话务窝点的犯罪网络环境至少架设了拨号平台自动批量群呼、点对点手拨、被害人回拨号码3路通讯线路；VOIP电话作案现场的WIFI、语音网关、PC、手机设备甚至做了“工作”与“生活”用途的使用区分；嗅探设备的手机主板、数据转换模块、笔记本电脑等硬件、操作软件以及GOIP系统的组成部分可能来自不同的卖家或供应商，其目的是逃避警方大数据的严密监控，防止一个作案环节的发现、泄露牵连整个作案链条的全面查缉。

对此，为提升电信网络诈骗犯罪信息调查还须加大其他法律和技术对策的应用，以精准打击这一技术与骗术深度交融的新型互联网犯罪：

第一，依法打击泛滥的黑灰产业，切断技术演化骗术的源头。亟需通过立法将互联网黑灰产业链纳入依法监管，对提供侵入计算机信息系统的程序、工具，非法利用信息网络的工具罪名细化适用情形、扩大适用范围：对以撞库方式获取公民信息，掌握大量未做实名验证的QQ、微信等号码、以批量销售谋利的号商市场，以及盘活号码的接码平台市场进行严厉查处和取缔；要求涉及生产、销售电信网络诈骗常用网络软件硬件的厂家、销售单位和网络平台卖家建立实名购买与产品去向追溯制度，以减少来自诈骗犯罪链条上游环节的技术支持和推广，防止高级攻击技术自动化之后演变为批量式的低级作案工具之风险。

第二，剖析犯罪规律与新技术特点，建立和优化技术反制模型。在实施侦查过程中要加强与互联网企业、运营商的合作，根据窝点实施诈骗的规律与某一类新的犯罪技术运用的特点，建立可疑信息通过分析模型与预警系统，形成区域性的VOS服务器智能化动态实时监控网络，实现对诈骗行为规模化的主动发现、电子话单的及时有效提取、窝点的快速落地打击。

第三，综合研判诈骗链条的各个构成环节，通过警企大数据合作增加多维度数据的审视、理解与关联分析。资讯调查的对象主要是业务流数据，这些数据因犯罪人对作案设备和技术的分条块应用被分散在不同的企业数据池、卖家资源库中。实现企业数据共享与联动，增加资讯调查的数据来源，可以在不同维度的数据中关联分析出与作案手法紧密联系的各个环节要素，还原诈骗团伙的作案场景。同时侦查人员在进行资讯调查活动中不断累积、深化对于互联网、通讯新技术运用时所产生数据之理解，迅速从数据显示中读出异常信息、发现涉嫌诈骗的“蛛丝马迹”，多种数据的熟练应用与叠加分析能够更快地促进犯罪人真实身份与虚拟身份的同一性发现和认定。