网络诈骗电子数据取证技术研究
2022-05-30季晨瑜
季晨瑜
摘要:随着互联网技术的飞速发展,网络诈骗案件迅速增加,犯罪手法隐蔽且多样,给电子数据取证鉴定带来诸多难题,该文从计算机取证和手机取证两方面,详细分析了国内外主流的电子数据取证软硬件装备的技术特点及应用情况,就电子数据取证技术应用于网络诈骗犯罪侦查面临的难题进行了分析,并提出了相应的解决方案。
关键词:网络诈骗;电子数据;取证鉴定
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2022)29-0067-04
随着计算机与互联网技术的飞速发展,人们对计算机和网络技术的依赖性日益严重,互联网技术给人们的日常生活带来便利的同时也为犯罪分子提供了可乘之机,网络诈骗案件迅速增加。网络诈骗成功率高,犯罪手法隐蔽且多样,不受距离的限制,涉及领域广泛,造成的损失十分严重。电子数据取证技术伴随网络犯罪应运而生,包括计算机及所有与数字技术相关的取证技术。本文主要阐述网络诈骗相关电子取证技术的相关研究。
1 网络诈骗
网络诈骗,包括交友诈骗、信贷类诈骗、冒充客服、公职人员诈骗、刷单诈骗等。网络诈骗通常跨境操作,给打击诈骗和追回赃款造成了困难。网络诈骗通常涉及虚假网站、手机、聊天软件(QQ、微信)、新型网络支付应用(支付宝)等新兴科技手段。网络诈骗团伙的潜在电子证据源主要包括:计算机、语音网关、移动存储介质(移动硬盘、U盘、光盘、SD卡等)、手机、银行卡、服务器、网络电话运行支撑系统等。与传统犯罪不同,网络诈骗的案发场地是在互联网这种虚拟化的平台上,数据量大、信息流动频繁,需要运用先进的电子取证技术对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据,进而打击网络犯罪。
2 相关取证技术
2.1 计算机取证技术
网络诈骗的实施离不开计算机和互联网,计算机会存储用户在各类平台上发布的信息、网络中通信类信息、用户行为痕迹信息和各类保存的电子文档等。在受害人将其个人信息告诉网络诈骗分子之后,网络诈骗分子登录受害人的网上银行账户,登录账户时便会留下访问记录、痕迹、足迹。而且每一个电脑都有其唯一的IP地址,IP地址定位便在定位犯罪嫌疑人中发挥了关键性作用,因此计算机取证在网络诈骗案件中起着重要作用。
目前常用的计算机取证技术包括数字时间取证、Windows取证、Mac OS取证、聊天应用取证、移动终端取证、密码破解、硬件修复、Office文件取证、数字图像取证、数据库取证、系统环境仿真取证等。
(1)计算机取证硬件设备
硬盘复制、只读、取证分析等是电子数据取证过程中常用的手段。目前国内的计算机取证设备有Data Copy King多功能复制擦除检测一体机、Data Compass数据指南针司法取证专版等。
Data Copy King(DCK)是融合了硬盘高速拷贝、数据高速复制、安全擦除和故障自动检测的多功能一体设备。DCK硬盘复制机不仅硬盘复制速度快,同时还具备数据快速销毁功能以及硬盘检测、Log日志记录生成、只读口设计等,可自动发现解锁HPA、DCO隐藏数据区,在确保取证数据全面客观的情况下,将嫌疑硬盘中的数据完整复制到目标硬盘。
Data Compass司法取证专版是一款高度智能化的专业电子物证恢复、获取设备,它将大量先进技术完美集成于其中,对于目标电子物证快速固定、获取、分析及人为删除、人为格式化、人为软件破坏电子证据等情况均能实现电子物证获取,广泛用于犯罪现场计算机及相关存储的电子物证勘验取证、文证审查、检验鉴定[1]。
(2)计算机取证分析软件
常用计算机取证软件有美国Guidance Software公司的EnCase、美国Access Data公司的FTK,还有德国X-Ways的X-Ways Forensics,中国美亚柏科 “取证大师”等。
EnCase是一款应用广泛的多功能取证平台,拥有强大的脚本功能,可增强取证分析的针对性,根据个案需求进行二次开发,但需要取证人员拥有一定的脚本编写技术,是政府执法机构常用的取证工具,也被广泛地运用于司法、军队、公司监察等部门。相比之下,FTK操作简单,可以调查个人电脑、网络和手机,搜索速度比其他工具快。可以对取证结果集中汇总进行查看,相当直观,无须过多的培训即可实现数据分析目的。X-Ways Forensics是一款计算机综合取证分析工具,与其他竞争产品相比,X-Ways Forensics具有设备轻巧、成本低廉、运行高效等优势,可运行在Windows版本上。
计算机在线法庭科学证据提取器(Computer Online Forensic Evidence Extractor, COFEE)是Microsoft专为计算机取证专家开发设计的一款工具包,用于从Windows系统收集证据。COFEE包含了超过150个信息收集、密碼破解、网络嗅探等工具。而且它的分析速度也非常快,大概在20分钟就可以完成对目标系统的完整分析。Open Computer Forensics Architecture(OCFA)是由荷兰国家警察局负责开发的分布式开源计算机取证框架,主要用于自动化数据取证过程。SIFT是SANS推出的一个多用途的取证操作系统,SIFT以VMware虚拟映像的形式发布,包含数字取证分析所有必需的工具。
取证大师(Forensics Master)是国内最具有代表性的计算机取证工具,由厦门市美亚柏科信息股份有限公司自主研发而成。取证大师提供电子数据证据固定、分析、报告生成等取证功能,该软件可独立使用,也可以内嵌于其他综合取证设备,应用于现场勘验及计算机取证实验室的检验鉴定等不同应用场景,目前已成为公安机关、司法机关、行政执法单位、电子数据司法鉴定中心以及国内大中型企业必备的分析系统。
2.2 手机取证技术
智能化时代的到来使得人们的衣食住行越来越依赖手机,智能手机存储着银行卡、通讯录、照片等大量隐私,成为网络犯罪分子的主要工具。所以手机取证也是网络诈骗电子取证的重要组成部分。智能手机取证,是指获取、分析并固定智能手机的SIM卡、手机存储卡以及移动网络运营商数据中存储的信息的过程。
(1)手机取证硬件
UFED是以色列Cellebrite研发的最新手机司法取证设备,支持对各种品牌、型号的手机、GPS和移动设备进行物理镜像获取、逻辑提取和文件系统获取,包括已经删除的数据和密码,可应用于近95%的山寨机。支持对黑莓所有操作系统的实时解密和解析以及对iOS各版本系统的用户密码获取,兼容越狱和非越狱各版本系统。Secure View是手机取证市场上唯一能提供获取、分析(处理)和报告3个具体调查流程的产品。其优势在于技术支持、数据管理和报告制作等方面,并且Secure View可獲取超过10000多种类型手机的联系人信息、通话记录、短信以及其他类型的数据。
国内电子数据取证装备主要有厦门美亚柏科研发的DC-8811取证魔方和大连睿海信息科技有限公司RH-6900手机取证分析仪。DC-8811取证魔方是具备全面勘查取证能力的便携式装备,特点在于一键式智能取证模式。同时标配万兆网卡,可以快速完成现场计算机、手机、视频的快速勘查,还可对接大屏或投影仪应用于实验室的固定、分析、仿真等取证分析工作。RH-6900的优势在于支持国产非智能手机的取证分析,支持硬件状态正常的手机免拆机、数据线连接提取方式,同样支持JTAG技术提取和芯片读取技术提取数据。
(2)手机取证软件
普通的不加密备份取证、加密备份取证和逻辑镜像取证3种不同的取证方法在IOS系统涉案设备的取证中使用最多。通过多次验证和研究发现,苹果手机IOS系统逻辑镜像提取的数据量是最大的,其次是加密备份解析,再次是不加密备份[2]。
安卓智能手机取证至今没有一个统一的标准,传统的取证方法多是从系统中获取数据,然后由鉴定人进行手工分析和提取。目前我国在对安卓智能手机系统进行取证时多是在线取证、Recovery 模式取证和芯片级取证[3]。
瑞典XRY Complete完整版是MSAB公司开发的一体化手机取证系统,XRY的软件应用在windows系统中运行,并且符合司法调查人员的所有模式要求,用户界面简单友好,使其成为司法手机取证的首要选择。
Oxygen Forensic手机取证软件是世界领先的移动设备数据提取和检验软件之一。Oxygen Forensic是一款全方位的取证分析软件,包括XRY、BitPIM等。XRY是一个便携式取证盒,用于手机内存转储和数据采集,可以方便地完成手机数据的分析、采集及查看。BitPIM是一款电话管理软件,可以查看电话簿、日历、壁纸、铃声等数据。Oxygen Forensic能不经过手机设备屏幕锁,直接定位备份密码,从加密的应用程序中提取数据并恢复已删除信息。
3 网络诈骗犯罪电子数据取证技术面临的难题及解决措施
网络诈骗犯罪电子取证过程主要包括电子证据的调取和分析,网络诈骗犯罪电子痕迹存在于整个犯罪过程中,电子痕迹包含了客体的特征信息。在提取过程中,需要保障信息痕迹的完整性,将储存信息、处理信息和计算环境提取出来,并整理成相应的数据链。电子取证需遵循合法性、及时性、全面性、无损害性原则,实际情况中网络诈骗犯罪电子数据取证技术面临着不少难题。现就从证据留痕、固定及去伪存真三个方面进行阐述。
(1)留痕
网络诈骗犯罪留下的痕迹是网络诈骗犯罪侦查证据收集的切入口,该证据可以在调查嫌疑人信息的同时为调查人员提供有用的信息。例如从嫌疑人的计算机中恢复缓存、历史记录、cookies和下载列表等数据后,可以知道嫌疑人访问的网站、访问的时间和频率。但很多犯罪分子对网络留痕已经有所防备,会使用各种匿名网络或匿名引擎如Tor、Freenet、DuckDuckGo和Invisible Internet Project以及传统社交网站的替代品如Bit message、Diaspora来刻意隐匿或消除自己的犯罪痕迹。此外诈骗人员还会利用跳板主机、局域网、虚假IP地址、僵尸网络来隐藏自身,因此各种网络痕迹追踪软件应运而生。网络攻击源追踪技术主要有在数据包中打标记、在数据流中加入流水印、日志记录、渗透测试等方法[4]。一些取证软件也可以追踪网络痕迹,例如COFEE就可以用来探查目标电脑的信息痕迹。基于Win Hex和Disk Imager的集成计算机取证软件X-Ways Forensics也可以找到其他取证软件会错过的已删除文件和搜索结果。
(2)固定
电子数据存在易失性和时效性,内存数据在关机时会丢失,已删除的内容会被反复地擦写利用,电子证据几乎无时无刻不在变化,因此需要对数据及时进行固定,以保证获得的数据的完整性和真实性。固定证据是否确凿、全面,能否形成完整的证据链,往往对案件的成败起决定性作用。
保全固定证据一般包括扣押电子数据的原始储存介质,及时封存,并切断电源,屏蔽信号以保证其完整性,对于不能扣押的存储设备可以通过Encase软件、镜像、硬盘等将原始储存介质备份下来,辅以拍照录像和记录[5]。在实际案例中,具体证据固定方法的选择取决于案件背景、取证难易程度、证据重要性等综合因素。要在取证前确定好取证步骤,尽可能多方位地取证,使证据之间相互印证,形成完整数据链条。
与传统犯罪数据相比,电子数据形式多样且具有脆弱性,因此对于专业技术有更高的要求。近年来,区块链取证平台已经运行,电子数据区块链通过分布式记账、数字签名、哈希运算等算法和程序来防止入链电子数据被修改或者替换,在电子数据的固定、保存和提取方面具有优势。厦门美亚柏科公司研发的存证云“公证+司法鉴定”电子证据综合服务平台就是基于区块链技术的电子数据固定设备,实现电子证据采集、固定、应用一站式服务。同时基于 Hyperledger Fabric的概念,Sathyaprakasan等提出使用区块链技术维护监管链以保持证据完整性[6]。然而区块链存证也存在局限性,仅能保障入链电子数据的实质真实性,无法保障电子数据本身的真实性和入链之前电子数据的真实性[7-8]。唐昕淼等提出数字摘要技术(Digital Digest)通过对任意长度的数字信息生成消息摘要计算,产生信息的“指纹”数量,确保数据未被修改,用于保证信息的完整性[9]。为了及时固定违法犯罪行为留下的痕迹,IBM i2情报分析系统等可视化分析环境已被用于电子数据取证。
除了选择合适的证据固定方法外,证据固定过程的合法性和严谨性也很重要。不少侦查人员缺乏正确的数据固定理念,人为破坏现场导致数据缺损,影响后续的案件办理。为保证电子数据在收集、保存、检查和转移等过程中的准确性和可靠性,取证鉴定机构在提取电子数据的过程中需要建立规范的文档、使用广为认可的设备和材料、使用具有资质认定的取证人员等。对于网络犯罪,调查取证应尽可能提前定位,尤其是网络取证和远程取证活动。否则,一旦诈骗分子提前销毁证据,办案人员极有可能无功而返。
(3)去伪存真
有效电子数据自身的体量巨大且杂乱无章,往往潜藏于海量数据之中,如何在全面分析的基础上进行数据挖掘和整合,将关联的信息从海量的数据中提取出来并审查其真实性,对于快速进行溯源取证尤为重要。为此,有研究者[10]提议采用Last-on-Scene(LoS)算法来提高可追溯性并缩小数字取证调查員的工作范围以及数字取证分析的复杂性。计算机动态取证技术是重要的取证技术,常被用于获取实时信息数据,有研究提出将数据挖掘技术与动态取证技术相结合,以解决动态取证技术无法完成大量实时更新的数据取证问题,更加完整、准确、智能地提取有效信息[9]。Singh G[11]设计新的通用图像操作检测网络(An effective General-purpose Image Manipulation Detection Network, GIMD-Net),利用局部密集连接和全局残差学习,通过使用稳健的残差密集块 (RDB) 进行更好地分类,可以识别图像的真实性和处理历史。
此外犯罪分子会利用物联网卡、VPN代理等方式来隐匿身份,加密、删除或篡改电子证据。随着各种加密技术的发展和社会各界对个人隐私保护的普遍重视,电子数据取证的难度也越来越大,特别是对涉及的加密文件进行解密。由于破解难度太大,取证成本过高等问题,给网络犯罪侦查取证的工作带来一定的难度。例如WhatsApp的“为所有人删除”功能,使用户能够从两端(发送者和接收者)删除消息,导致网络犯罪调查过程复杂化[12]。前文提到的Encase、Final Forensics、X-way Forensics 等都可以用来提取有效信息。例如,Encase可以帮助调查人员构建脚本进行详细有效的分析。Kim H使用EnCase分析PowerPoint中隐藏信息的类型,找出隐写技术隐藏的信息[13]。Final Forensics通过不同层次扫描证据,还原文件的真实属性。X-way Forensics 是一款功能强大的工具,它支持十六进制代码,帮助侦查人员手动恢复被删除的数据[14]。Magnet Axiom具有从智能手机、计算机和云中恢复数据的功能,还可以在一个案例文件中检查所有来源的证据。国内一些取证技术如搜索及修复数据、日志运行等与发达国家相比水平还比较低,许多侦查取证工作还需要借助其他的专业软件来进行。数据获取、恢复、保存技术以及基于数据挖掘的海量数据取证技术有待进一步研究,急需开发符合中国本土需求的高速取证分析软件。
目前,人工取证承担了绝大部分工作,工作人员在取证中表现出的专业性会对取证结果产生直接影响,这就要求侦查人员对相关信息具有较高的敏感性。与此同时,单个数据所代表的信息量非常小,需要工作人员具有一定的数据处理和分析能力,结合其他通联数据形成系统化的数据信息。但针对计算机取证人员的培养仍然较为滞后,有关工作人员技术存在计算机技能不高、技术不熟练等问题,难以满足社会实际发展需求,需要不断促进相关人员素质的提升,实现对专业性人才队伍的组建。
参考文献:
[1] 张鹤.电子数据取证勘查调研综述[J].电脑知识与技术,2020,16(28):34-38.
[2] 刘枧,邱平,苏顺华.苹果手机IOS系统3种取证方法测评对比研究[J].中国人民公安大学学报(自然科学版),2020,26(4):62-67.
[3] 王前.Android智能手机的取证有效方法探究[J].信息技术与信息化,2020(7):216-218.
[4] 姜建国,王继志,孔斌,等.网络攻击源追踪技术研究综述[J].信息安全学报,2018,3(1):111-131.
[5] 马立军.刑事案件中的电子证据相关问题探讨[J].法制博览,2021(21):63-64.
[6] Sathyaprakasan R,Govindan P,Alvi S,et al.An implementation of blockchain technology in forensic evidence management[C]//2021 International Conference on Computational Intelligence and Knowledge Economy (ICCIKE)2021:208-212.
[7] 谢登科.电子数据区块链存证的法律本质与适用边界[J].兰州学刊,2021(12):5-15.
[8] Patil S,Kadam S,Katti J.Security enhancement of forensic evidences using blockchain[C]//2021 Third International Conference on Intelligent Communication Technologies and Virtual Mobile Networks (ICICV),2021:263-268.
[9] 唐昕淼.数据挖掘在计算机动态取证技术中的应用分析[J].信息通信,2020,33(3):160-161.
[10] Harbawi M,Varol A.An improved digital evidence acquisition model for the Internet of Things forensic I:a theoretical framework[C]//2017 5th International Symposium on Digital Forensic and Security (ISDFS),2017:1-6.
[11] Singh G,Goyal P.GIMD-Net:an effective General-purpose Image Manipulation Detection Network,even under anti-forensic attacks[C]//2021 International Joint Conference on Neural Networks (IJCNN),2021:1-8.
[12] Mirza M M,Salamh F E,Karabiyik U.An android case study on technical anti-forensic challenges of WhatsApp application[C]//2020 8th International Symposium on Digital Forensics and Security (ISDFS),2020:1-6.
[13] Kim H,Bruce N,Park S,et al.EnCase forensic technology for decrypting stenography algorithm applied in the PowerPoint file[C]//2016 18th International Conference on Advanced Communication Technology (ICACT),2016:1.
[14] Wu Y B,Xiang D W,Gao J M,et al.Research on investigation and evidence collection of cybercrime Cases[J].Journal of Physics:Conference Series,2019,1176:042064.
【通联编辑:代影】
