电信网络诈骗犯罪信息流侦查方法探析
2022-05-30王晓伟
王晓伟
【摘要】信息流侦查是电信网络诈骗犯罪侦查的基本途径,是获取犯罪证据、查明嫌疑人身份的必要措施。电信网络诈骗犯罪的信息流具有信息传递工具种类多、手段技术更新快、信息构成复杂、信息存储分散、信息容易灭失等特点,开展电信网络诈骗犯罪信息流侦查应重视从点到线、从点到面、同种数据比对碰撞、异种数据拓展关联、与资金流调查并行等研判思路,根据案件具体情况分别采用注册信息追踪法、IP信息分析法、交易数据关联法、设备信息关联法、勘查比对法等侦查方法。
【关键词】电信网络诈骗 信息流 信息流侦查
【中图分类号】D631.2 【文献标识码】A
【DOI】10.16619/j.cnki.rmltxsqy.2022.15.011
电信网络诈骗是典型的非接触式犯罪,犯罪嫌疑人在实施过程中利用通信、网络工具与技术发布虚假信息,继而与被害人发生通联以获取被害人的信任,实现其犯罪目的。在这一过程中,嫌疑人和被害人之间必然会产生大量的交互信息。这些信息依托相应的通信、网络工具进行传递,并完整记录着嫌疑人虚构事实、捏造真相诈骗被害人的全过程。在电信网络诈骗犯罪侦查实践中,一般将犯罪嫌疑人骗取被害人信任过程中涉及到的信息传递工具、通信号码、网络账户及其所产生的信息记录总和称为电信网络诈骗犯罪的信息流。对信息流开展侦查是电信网络诈骗犯罪侦查的基本途径,是查证、还原诈骗嫌疑人作案过程的必要手段,是获取犯罪证据、查明嫌疑人身份的有力措施。
电信网络诈骗犯罪信息流的特点
信息传递工具种类多。信息传递工具是诈骗嫌疑人实施电信网络诈骗犯罪的手段,是电信网络诈骗犯罪中重要的作案工具,是诈骗嫌疑人实施骗术的载体。基于不同通信、网络技术的信息传递其工具形式多样。从电信网络诈骗犯罪的发展演变过程和当前的犯罪实际看,只要是具备通话、会话功能的通信工具和网络工具,都可以被诈骗嫌疑人用于犯罪。只不过基于不同的骗术,诈骗嫌疑人在作案时会选取不同的信息传递工具。
手段技术更新快。随着通信、网络技术的快速发展与普及应用,越来越多形式多样、功能各异的通信、網络工具不断出现在人们的生活中。诈骗嫌疑人也随之不断更新其信息流作案工具,从传统的电话、短信发展到VoIP网络电话、任意显号软件、伪基站群发短信、钓鱼网站、即时通讯工具,又到嗅探、GoIP设备、宝类设备,再到如今的各类社交软件和专门定制的诈骗网站、虚假App等,犯罪工具不断迭代升级,更新速度快。
信息构成复杂。在电信网络诈骗犯罪信息流的构成中,不仅包含诈骗嫌疑人与被害人之间的交互信息,也包含信息传递工具的属性信息、号码信息和账户信息等众多信息类型。同时,单个诈骗案件中往往包含多个信息传递工具,诈骗嫌疑人也是多人参与其中,环节多、流程复杂。
信息存储分散。电信网络诈骗犯罪的信息流信息类型众多,有些是信息传递工具使用时留下的固有记录,有些是工具与工具、诈骗嫌疑人与被害人通联过程中产生的交互信息。因类型不同、性质不同、工具使用时所在位置不同,其存储非常分散。有些存储在不同的信息传递工具中,有些存储在不同物理位置、不同权属关系的服务器中,调取手续繁琐、耗时长。
信息容易灭失。电信网络诈骗犯罪嫌疑人的反侦查意识普遍较强,为了逃避侦查,会在作案后及时销毁、丢弃手机卡、手机等犯罪工具,定时删除存储于服务器中的涉案信息。有的诈骗嫌疑人会在诈骗过程中诱导被害人删除手机上的相关信息,而有些诈骗嫌疑人会直接选用带有“阅后即焚”功能的信息传递工具,在作案过程中直接抹去相关信息。诈骗嫌疑人的这些作案手段致使电信网络诈骗案件中的信息流信息极易灭失,大大增加了公安机关调查取证的难度。
电信网络诈骗犯罪信息流研判思路
“从点到线”的研判思路。当调取到一些基础信息,如注册信息、登录日志后,可从这些基础信息(点)出发,对嫌疑人使用该服务的过程(线)进行还原,查清诈骗嫌疑人如何租用服务器、与承租商的关系等问题,以达到“由点及线、纵向深挖”的效果,实现对案件的局部突破。
“从点到面”的研判思路。当调取到一些基础信息,如话单IMEI、登录IP、注册人员信息等,可从这些基础信息(点)出发对嫌疑人所掌握的所有设备、所有号码、注册的所有账户等(面)进行拓展,以达到“由点及面、横向拓展”的效果,实现对案件的局部突破。
同种数据比对碰撞的研判思路。在从不同途径调取到相同属性的数据时,可将同属性数据进行交叉碰撞,以判断不同的信息传递工具是否在同设备或同网络环境使用等相关情况。
异种数据拓展关联的研判思路。对于调取到的不同类型的数据,如网络IP与设备MAC、注册信息与支付信息、设备IMEI与话单IMSI等,同样需要进一步的信息挖掘,分析不同类型数据之间是否存在信息关联。
信息流调查与资金流调查并行的研判思路。电信网络诈骗犯罪的信息流信息与资金流信息总会相互交织,因此,在具体的案件侦办中,信息流调查也要始终与资金流调查并行。通过资金流调查可以更好地推进信息流调查,查清相关信息流信息也可助力资金流侦查。例如,资金账户中出现的人员信息、IP信息、设备信息、金额、时间节点,等等,都需与信息流线索相核验,以便更好地查明案件事实,锁定嫌疑人身份。
电信网络诈骗犯罪信息流侦查方法
注册信息追踪法。注册信息追踪法,是指根据调取的涉案工具账户的注册人信息,通过分析案件规律和人员特点,根据相关信息的关联性确认嫌疑人身份,从而直接开展打击的方法。随着通信、互联网监管的逐步加强,犯罪嫌疑人在使用通信、网络服务时,一般都需完成“实名认证”从而获取完整的服务内容。公安机关在侦查过程中,虽偶尔也能发现使用真实身份完成“实名认证”的嫌疑人,但多数情况下,嫌疑人在“实名认证”过程中,都会通过借用他人身份信息、冒用他人身份完成“实名认证”,因而嫌疑账号一般并不具有直接的“‘实名即‘实人”特征。但这并不意味着信息流中的注册人、使用人信息就毫无侦查价值。实际上,虽然注册人、使用人信息中的姓名、身份证件等有伪造、冒用的情况,但一些账号在使用过程中,需要手机号码、邮箱号码、即时通讯工具等用于接收验证码、登录认证等操作,这些注册时登记的手机号码、邮箱号码、即时通讯工具账号等真实掌握在嫌疑人手中,通过对这部分账号数据进一步查实使用人身份信息,即可完成信息流中从“实名”信息到“实人”信息的转化,从而发现嫌疑人身份并对其进行打击。注册信息追踪法本质上是通过对注册信息的顺线追查实现涉案人员“虚拟身份”到“真实身份”的转化,其在一些专业化程度不太高的电信网络诈骗案件中往往能取得较好效果。
IP信息分析法。IP信息分析法,是指通过调取涉案账户的网络登录日志即IP信息进行溯源和研判,发现并确认嫌疑人的侦查方法。在电信网络诈骗案件中,主体身份信息往往都是虚假身份信息,难以提供有效研判参考,但网络登录日志记录的则是工具或账号使用人的真实网络使用信息,这是侦查机关第一时间确定嫌疑人位置信息的数据参照。在条件允许的情况下,侦查机关可直接对涉案的IP信息进行溯源分析,从而发现嫌疑人真实身份。通过对相同IP信息下的其他信息流要素进行碰撞分析,还可进一步对IP信息拓展运用。比如,对其他登录相同IP的终端设备数据进行分析,并通过提取多个时间节点的IP终端设备数据分析碰撞,从而发现与嫌疑人网络登录日志基本相符的终端设备信息,并进一步通过终端设备明确嫌疑人身份。再比如,对同时段登录相同IP的其他网络账户或通信账号进行数据分析,并通过提取多个时间节点的IP账号数据分析碰撞,从而发现与嫌疑人网络登录日志基本相符的其他账号信息,再进一步通过账号明确嫌疑人身份。IP信息分析法是信息流中最具特色的侦查方法,其通过对IP信息的数据分析和碰撞完成嫌疑人“虚拟地址”向“现实地址”的转化、“虛拟轨迹”向“真实轨迹”的转化,是将线上与线下、虚拟世界与现实世界相结合的侦查方法。
交易数据关联法。交易数据关联法,是指通过对在信息流侦查中调取到的交易订单数据、充值数据、绑定银行账户、支付账户数据等进行研判分析,从而借由资金信息关联发现犯罪嫌疑人的侦查方法。在电信网络诈骗犯罪的信息流中,一些信息传递工具的使用,如域名注册、服务器租赁、工商信息有偿查询、App封装等,需要嫌疑人有偿购买服务;部分与资金账户相关联的强实名网络账户、通信账户,也会要求使用人绑定银行卡账户、支付账户等。通过对这类交易订单或绑定账户的资金来源、账户使用情况进行研判,侦查机关可发现嫌疑人的资金账户,从而明确嫌疑人身份。交易信息关联法是信息流侦查中资金流侦查思路的体现,实现的是从“资金”到“账户”、从“账户”到“实人”的层层转化,其在一些有偿使用类工具、账户的侦查中往往具有较好的侦查效果。
设备信息关联法。设备信息关联法,是指通过对调取到的涉案设备信息进行关联分析,以设备为关联要素在虚拟与现实世界进行双向拓展,从而发现嫌疑人身份的侦查方法。设备信息关联法的实施基础是设备硬件地址的全球唯一性特征。基于此,在具体案件侦办中,侦查机关可以对与涉案设备的硬件地址产生关联的其他设备进行拓展,并对与这些设备相关联的IP地址、网络账号、网络通信工具等进行同步分析,从而实现从“工作机”到“生活机”、从“设备”到“实人”的转化,最终发现嫌疑人身份。
勘查比对法。勘查比对法,是指公安机关通过对受害人或嫌疑人设备进行现场勘查,完成电子数据的提取、分析、比对,通过电子物证的结构化分析发现嫌疑人身份的侦查方法。具体实施中,是以公安机关刑事技术部门为侦查主体,将受害人手机或计算机视为电信网络诈骗犯罪的“第一犯罪现场”,利用现勘设备对电子数据进行提取、固定,并通过结构化的电子数据分析,对嫌疑人身份进行比对、分析,进而锁定嫌疑人身份。
(本文系中国人民公安大学2022年度研究生课程建设项目“新型犯罪侦查专题”的阶段性成果,项目编号:2022yjskcjs020)
责 编∕桂 琰