APP下载

电信网络诈骗犯罪人员流的构成与侦查方法研究

2022-10-04王晓伟

关键词:犯罪集团诈骗犯罪

王晓伟 ,赵 照

(1.中国人民公安大学,北京 100038;2.长沙市公安局,湖南 长沙 410005)

随着电信网络诈骗犯罪的持续高发多发,其已经成为我国当前的第一大类案,严重侵害着广大人民群众的财产安全,干扰着正常的生产生活秩序。为了有效打击此类犯罪,公安机关在近些年联合工信、银行、互联网公司等多个部门和行业,持续开展专项打击,取得了良好的效果,但是,该类犯罪的多发高发势头却依然没有得到根本遏制。作为一种新型犯罪,电信网络诈骗的集团化、产业化特点突出,犯罪链条长、参与人员众多,这也是该类犯罪打击治理难度大的原因所在。为了加强预防治理和犯罪打击,全国人大常委会于2021年启动了《反电信网络诈骗法》的立法程序,并于2021年10月23日公布了《反电信网络诈骗法(草案)》向全社会广泛征集意见[1],这表明了国家彻底根治电信网络诈骗的决心。从草案的内容看,其重心在于预警防范、源头治理和综合治理,为切断电信网络诈骗的黑灰产业源头,铲除滋生电信网络诈骗的温床和土壤提供法律依据,而这也正是近一段时期公安机关打击该类犯罪的重点。近年来,公安机关持续开展的“断卡”“断流”“断链”等专项行动,目的就在于打击电信网络诈骗的黑灰产业群体。不过,电信网络诈骗的犯罪团伙构成形式多样,黑灰产业从业人员类型众多,人员之间的相互关系复杂,给公安机关的侦查打击工作带来了不小的困难。为了厘清电信网络诈骗犯罪团伙人员和黑灰产业从业人员的构成情况,以及众多涉诈人员之间的相互关系,为公安机关的侦查打击提供思路参考,笔者不揣浅陋,结合当前电信网络诈骗犯罪的实际情况,尝试对电信网络诈骗犯罪的“人员流”进行解构,并对“人员流侦查方法”进行归纳提炼,以期能对公安机关提升打击电信网络诈骗犯罪的能力有所裨益。

一、电信网络诈骗犯罪人员流与人员流侦查

(一)电信网络诈骗犯罪人员流的概念

与“信息流”“资金流”的称谓不同,电信网络诈骗犯罪的“人员流”并非从其他领域借鉴来的概念,而是在长期打击治理电信网络诈骗犯罪的实践中逐渐形成的。根据电信网络诈骗犯罪侦查实践中对人员流的理解,我们可以从以下几个方面认识其内涵:其一,人员流首先指向的是电信网络诈骗犯罪的“参与人员”。人员流中所包含的人员类型,不仅有诈骗集团的成员,也有众多黑灰产业群体的从业人员。其二,人员流其次指向的是与众多参与人员相关的“涉案信息”。人员流中所蕴含的涉案信息,不仅有涉案人员的人员信息,也有这些涉案人员之间的通联、资金往来信息。其三,人员流最后指向的是众多参与人员之间的相互关系。人员流所揭示的人员关系,不仅有诈骗集团内部人员之间的相互关系,也有诈骗集团与众多黑灰产业群体之间的相互关系。

从上述侦查实践中对电信网络诈骗犯罪人员流的理解不难发现,电信网络诈骗犯罪的人员流不仅揭示了诈骗集团的组织形式、人员构成,也揭示了电信网络诈骗犯罪产业链的生态和从业人员构成,以及诈骗集团和黑灰产业链的相互关系。基于此,笔者认为,可将电信网络诈骗犯罪的人员流界定为:在电信网络诈骗犯罪准备、实施、完成的整个过程中,参与其中的诈骗团伙成员、黑灰产从业人员等所有参与人员及其组织框架、相互关系、人身信息的总和。

(二)电信网络诈骗犯罪人员流的特征

1.诈骗犯罪人员集团化、跨境化

近年来,在经济全球化的大背景下,移动互联网逐步成为主流,网络基础设施迅速完善,这为人民群众随时随地接入互联网提供了方便,但同时也给诈骗分子提供了更多的可乘之机。依靠网络提供的便利条件,犯罪分子可以打破空间限制,跨地区、跨国境实施诈骗犯罪,尤其是国内逐步加大对电信网络诈骗犯罪的打击力度之后,境内电信网络诈骗活动空间明显压缩,诈骗犯罪分子向境外尤其是部分东南亚经济低迷、法制不完善的国家加速转移。

这些诈骗犯罪分子在境外以现金网公司、博彩公司、科技公司等为掩护实施电信网络诈骗活动,公司分为金主、部门经理、业务组长、组员等多个层级,制定有员工守则、绩效考核标准、奖励惩罚标准等完善的公司规章制度,设有人力资源部、后勤保障部、技术部、业务部、财务部等公司部门,并通过代理、参股等形式发展分公司、办事处,扩大团队业务,人员分工明确、组织形式严密、协调配合高效,呈现明显的集团化特征。

2.关联犯罪人员专业化、专门化

电信网络诈骗犯罪的成功实施,离不开上下游黑灰产业链为其提供作案工具和相关服务支持。这些黑灰产业从业人员虽不直接参与电信网络诈骗犯罪,但他们为电信网络诈骗犯罪推波助澜,已然成为电信网络诈骗犯罪屡打不绝的帮凶,故也须将其作为关联犯罪人员与诈骗分子一同进行侦查打击。在网络黑灰产业中,黑产是以网络为媒介、以网络技术为主要手段的违法犯罪活动;灰产则游走于法律边缘,为黑产提供辅助。网络黑产和灰产相互交织,形成门类齐全、分工精细、合作紧密的产业链条,具备高度专业化特征。同时,黑灰产业链条各环节人员分工明确,均长期专门从事某项具体黑灰产业务,具有明显的专业化、专门化特征。

3.犯罪人员低龄化、区域化

在电信网络诈骗犯罪及其关联犯罪中,涉案的违法犯罪行为人呈现明显的低龄化特征。一方面,是由于青少年群体社会阅历不足,法治观念薄弱,在金钱利益面前容易迷失自我;另一方面,也是因为电信网络诈骗犯罪及其关联犯罪的实施需要使用网络、通讯及各类支付工具,相对中老年群体有较高门槛,却与青少年群体的日常工作、生活联系更加紧密,因此犯罪人员呈现明显的低龄化趋势。同时,由于犯罪人员参与电信网络诈骗往往以同乡、宗族等形式出现,犯罪人员的籍贯和活动区域也呈现地域、区域化特点。

4.身份信息隐匿化、记名化

电信网络诈骗犯罪是远程的、非接触式的新型犯罪,犯罪分子通过生活/工作机隔绝、购买他人名下的“两卡”及各类互联网账号、支付账号、通信账号等手段,并采用数字货币、口令红包、代付等支付形式,使资金流、信息流中的相关注册者信息无法再进一步识别出实际使用人,从而实现了身份信息的隐匿化。相关行业和责任单位虽已加强对用户信息的实名监管,但仍无法全部有效落实“实人”,大量虚假注册信息仍然存在,“实名”不“实人”,记名化问题严重。

5.犯罪产业分离化、分散化

电信网络诈骗犯罪的实施涉及环节众多,为其提供服务支持的黑灰产业也非常多。不过,这些黑灰产业之间却是分离的,是彼此独立的职业犯罪群体,在不同的犯罪环节为电信网络诈骗犯罪提供支持和服务。犯罪产业链上的人员,通过暗网、数字货币、小众通联工具等建立联系、发布信息、达成交易,但彼此并不知道对方的真实身份。这些人员在交易完成后,往往及时清空通讯记录、更换作案设备、消灭作案证据,极难直接关联到其他产业链人员。同时,网络的便利使产业链的参与者只需通过网络联系即可完成交易与协作,不受空间限制,可以分布于全国或境内外各处,人员分布非常分散。

(三)作为电信网络诈骗犯罪基本侦查途径的人员流侦查

侦查途径是侦查机关查清犯罪事实、确认犯罪嫌疑人的方法与路径,是案件侦查的方向和切入点。每种侦查途径往往也与刑事案件的某种构成要素相对应。如传统案件侦查中常用的从特定的嫌疑对象入手开展侦查、从人身形象入手开展侦查、从作案手段入手开展侦查、从因果关系入手开展侦查、从现场痕迹入手开展侦查、从控制赃物开展侦查等侦查途径,均与犯罪嫌疑人、犯罪手段、犯罪痕迹、犯罪工具等案件构成要素直接相关。电信网络诈骗犯罪案件的构成与传统案件存在较大不同,按照传统的侦查途径侦查电信网络诈骗案件显然是行不通的。在电信网络诈骗犯罪的实施过程中,诈骗分子、黑灰产业从业人员等犯罪“参与人员”借助现代通信、网络工具、技术等“信息传递工具”和银行、非银行支付机构提供的自助存兑、线上支付等“资金转移渠道”实施诈骗,因此侦查中也均是以这些“参与人员”“信息传递工具”和“资金转移渠道”为入手点开展侦查,而且在实践中也逐渐形成了从参与人员信息入手的“人员流侦查”、从信息流信息入手的“信息流侦查”和从资金流信息入手的“资金流侦查”三个基本侦查途径。

信息流侦查、资金流侦查和人员流侦查(以下简称“三流”侦查)作为电信网络诈骗犯罪侦查的三个基本侦查途径,既相互独立,又相互交叉。

首先,“三流”侦查的目的一致,都是为了查清犯罪事实,确认犯罪嫌疑人;但切入角度不同,信息流侦查的切入点是具体案件中涉及的信息传递工具、通信号码和网络账户,资金流侦查的切入点是具体案件中涉及的资金转移渠道、资金账户和交易账户,而人员流侦查的切入点是具体案件中涉及的参与人员的人身信息、组织框架和相互关系。

其次,“三流”信息的产生阶段存在交叉,但所基于的构成要素不同。从作案的发生发展阶段来看,信息流信息产生于“获取被害人信任”阶段,资金流信息产生于“获取被害人财物”阶段,两个阶段在具体案件中往往又存在交叉。比如在投资理财类诈骗中,诈骗分子为了吸引被害人继续投资,往往会在前期给被害人返利,而返利所用钱款很多时候又是其他案件中的被骗资金,其中的资金往来既可以理解为骗术的一部分,是为了“获取被害人信任”,也可以理解为转移洗白的一种模式,是为了“获取被害人财物”。而人员流信息的产生贯穿于诈骗犯罪的整个过程,与信息流信息、资金流信息也都存在不同程度的交叉。但无论“三流”信息的产生交叉情况如何,其各自产生所对应的构成要素却完全不同。其中,信息流信息是基于信息传递工具而产生的,资金流信息是基于资金转移渠道而产生的,而人员流信息则是基于参与人员而产生的。

再次,“三流”侦查的内容存在交叉,但所指向的犯罪事实不同。从侦查的内容上看,“三流”侦查所针对的均是通联交互信息、资金往来信息,存在交叉。比如,信息流侦查要调查诈骗分子与被害人之间的通联信息,资金流侦查中也要调查诈骗团伙与洗钱团伙之间的通联信息;资金流侦查中要调查被骗资金的转移情况,人员流侦查中也要调查诈骗团伙与黑灰产团伙之间的资金往来。不过,虽然都是通联信息或者资金流动信息,但它们在“三流”侦查中所指向、所能证明的犯罪事实却是不同的。都是通联信息,信息流侦查所调查的诈骗分子与被害人之间的通联信息指向的是诈骗犯罪事实;资金流侦查所调查的诈骗团伙与洗钱团伙之间的通联信息指向的却是诈骗团伙与洗钱团伙之间的相互关系。都是资金流动信息,资金流侦查所调查的被骗资金转移情况指向的是被骗资金的流向和诈骗嫌疑人非法占有被害人财物的主观目的;人员流侦查所调查的诈骗团伙与黑灰产团伙之间的资金往来指向的却是诈骗团伙与黑灰产团伙之间的相互关系。

最后,“三流”侦查的调证途径存在交叉,但研判思路不同。由于“三流”侦查所针对的信息类型存在交叉,因此在调取证据的途径上也会存在交叉,比如都会通过国家反诈大数据平台调取相关银行账户、第三方支付账户的信息,都会通过合成作战调取相关网络账户的信息等。但是,由于“三流”侦查所指向的犯罪事实不同,其在研判思路上自然也会存在较大不同。其中,信息流侦查主要是以被害人的通联工具和记载于其上的涉案通联信息为起点所进行的逆向溯源式侦查;资金流侦查主要是以被害人银行、支付账户为起点所进行的顺线追踪式侦查;人员流侦查则是以已经发现的涉案人员信息为起点所进行的横向拓展式侦查。

综合来看,信息流侦查、资金流侦查和人员流侦查各有特点,在实践中也往往需要“三流”同步开展侦查,但“三流”侦查也各有其独特的价值。人员流侦查作为电信网络诈骗犯罪侦查的基本途径之一,在很大程度上体现了电信网络诈骗犯罪侦查的最终目的。电信网络诈骗案件最突出的特点就在于利用虚拟空间环境和高新技术手段进行“非接触”式作案,犯罪嫌疑人善于利用“虚拟身份”隐匿于网络世界,冒用他人“电子身份”实施违法犯罪,使用有效的“生活/工作身份隔绝”手段逃避侦查,如何透过犯罪嫌疑人的层层身份掩盖,查明犯罪集团组织架构和运作模式,锁定犯罪嫌疑人真实身份,是我们开展电信网络诈骗案件侦查工作的最终目的。同时,人员流侦查是以具体案件中的诈骗犯罪参与人员的人身信息、组织框架、相互关系为切入点和侦查对象,以其中所显现、记录的涉案信息为调查内容,最终查明所有诈骗犯罪参与人员的身份以及在诈骗犯罪中的地位和作用,最终实现全案打击,这也体现了全链条打击电信网络诈骗犯罪的基本理念。

二、电信网络诈骗犯罪人员流的构成

如前所述,电信网络诈骗犯罪的人员流是由犯罪参与人员及其相互关系、人身信息共同构成。其中,犯罪参与人员包括了诈骗集团成员和黑灰产业群体从业人员。人身信息包括姓名、家庭住址、住所地、职业、前科情况等个人身份信息,出入境、乘车、乘机、住宿等行踪轨迹记录,汇款转账等资金往来信息,外卖、快递、旅游购票、缴纳水电费、充话费等生活消费,电话、短信、微信、微博等通讯网络信息,还有如人像、指纹、声纹、虹膜、DNA、足迹等个体生物信息等。相互关系既指诈骗团伙与各个黑灰产业群体之间的合作关系,也指个体犯罪参与人员与其他犯罪参与人员在实施犯罪过程中所产生的上述信息中的关联。不同角色的犯罪参与人员在犯罪过程中产生的人员流信息不尽相同,要在电信网络诈骗案件侦查中有针对性地开展人员流研判,首先就需要我们对诈骗集团和黑灰产业群体的人员构成有充分的了解和掌握。

(一)电信网络诈骗犯罪集团的人员构成

电信网络诈骗犯罪集团的人员构成中,主要包括电信网络诈骗犯罪的出资者、筹划者、组织者、实施者和其他参与者,其组织形式一般表现为境外大型的诈骗犯罪集团和境内小型的诈骗犯罪团伙。

1.境外大型诈骗犯罪集团的人员构成

境外大型诈骗犯罪集团,是指建立于境外,以现金网公司、博彩公司、科技公司等名义获取特许经营牌照,以定期缴纳保护费或当地势力入股分红的形式谋求保护,长期从事电信网络诈骗犯罪活动的诈骗犯罪组织。境外大型诈骗犯罪集团的参与人员众多,一般由金主、代理商、管理团队、人力资源部、后勤保障部、技术部、业务部、财务部、保安部等组成(见图1)。

图1 境外大型犯罪集团人员构成图

(1)金主。金主指在诈骗犯罪集团创建初期投入所需资金或其他关键技术、必要保障的人,是诈骗犯罪集团的实际控制人,也是诈骗犯罪所得的主要受益人。金主可以是一人或多人,可以是自然人或公司法人,其常常通过幕后操作、遥控指挥的形式控制一到多个犯罪窝点,既可以以投入资金、人员、技术的形式参与入股,也可以以提供犯罪场所、安全保护、经营执照的形式参与犯罪集团的收益分配。

(2)代理商。代理商是平台类诈骗犯罪加盟代理制下的产物,指通过获得电信网络诈骗犯罪集团授权,借用其诈骗平台“品牌”实施诈骗的人员。平台类电信网络诈骗犯罪中的“平台”,主要有虚假投资理财平台、“杀猪盘”平台、“杀羊盘”平台、网络直播诈骗平台等。诈骗犯罪集团通过搭建平台,发布广告初步建立平台“品牌”;之后与代理商达成协议,为代理商在平台开设代理账号;代理商自行募集资金,招募诈骗人员,组建诈骗窝点,通过将受害人“引流”至平台实施诈骗;完成诈骗后,代理商与平台按照协议约定进行犯罪收益的分成。代理商本质也是金主,与搭建诈骗平台的犯罪集团是代理合作关系;一个诈骗平台下往往有多个代理商,同时,一个代理商往往也代理多家诈骗平台开展业务。

(3)管理团队。管理团队是金主在诈骗犯罪集团的代言人,负责诈骗集团在窝点地的日常运营、管理。管理团队直接接受金主指挥,执行金主决策,维持诈骗集团正常运营,保障诈骗集团收益和分配,是诈骗窝点的管理执行者。

(4)人力资源部。诈骗集团的人力资源部主要负责犯罪集团的人员招募和管理。通常情况下,其通过网站或通讯群组发布招聘信息,招募到人员后再联系蛇头组织人员偷渡。同时,人力资源部也对新员工进行洗脑和培训,制定内部的员工守则、绩效考核标准、奖励惩罚标准并具体实施。

(5)后勤保障部。诈骗集团的后勤保障部主要负责犯罪集团人员的工作及生活物资采购、供应、保障。工作物资包含实施诈骗所需的手机、电脑、两卡(电话卡、银行卡)、POS机、通讯账号、社群账号、工具账号、办公用品等;生活物资包括诈骗集团人员的办公场所、住所、饮食、通行车辆等。

(6)技术部。诈骗集团的技术部主要负责犯罪过程中所需的网络、网站、APP、话务线路、客服系统、客户管理系统等技术环节的准备和维护,并保障诈骗窝点各类设备的正常运行,同时检测、监督组织内人员对网络、账号、设备的使用情况,定期清理、篡改内部使用数据,预防因操作不当暴露身份而被侦查机关发现。

(7)业务部。诈骗集团的业务部即具体负责以话术诱导受害人掉入诈骗陷阱并实施诈骗的人员,我们通常所说的“键盘手”“话务组”“狗推”就是不同类型电信网络诈骗犯罪的业务部人员。作为电信网络诈骗犯罪的具体实施者,业务部是诈骗犯罪集团的最底层,同时也是人员最多的部门。大型的诈骗犯罪集团往往按照“业务一部”“业务二部”的形式设置数十个业务部门,每个业务部人员从数人到数十人不等,由业务组长统一协调管理,他们分工明确、相互配合,在诈骗过程中分别扮演不同角色,使用不同话术诱导受害人上当受骗。业务部人员服从诈骗集团的统一管理,严格区分工作机和生活机的使用,工作时间只允许使用公司设备进行诈骗业务,生活机只允许特定时间段在公司监督下使用。每个业务部门都有相应的诈骗任务,完成任务后可按比例提取分成,未完成任务者则可能遭受惩罚。

(8)财务部。诈骗集团的财务部主要负责诈骗集团资金通道的维护和保障,联系“水房”或地下钱庄完成诈骗所得资金的出入金,并保证洗白后的资金按照指定方式交给金主。同时,财务部也统一管理和调配诈骗集团的资金,负责发放员工工资,支付日常开销费用,完成日常收支和记账工作。

(9)保安部。诈骗集团的保安部主要负责维护诈骗窝点的管理秩序,对不服从安排、业绩不达标或企图逃跑、举报的人员进行恐吓和殴打。同时,负责诈骗窝点管理人员、核心部门人员的人身安全、诈骗所得资金的财产安全,防止其他诈骗集团进行骚扰或黑吃黑。

2.境内小型诈骗犯罪团伙的人员构成

境内小型诈骗犯罪团伙,指建立于境内,专门从事电信网络诈骗犯罪活动的诈骗犯罪组织。受制于公安机关持续高压的打击态势和多部门联动的治理措施,境内小型诈骗犯罪团伙的生存空间较小,难以长期稳定经营。相较境外大型诈骗犯罪集团,其规模较小,一般团伙人数在一人至十余人不等。团伙人员主要分为组织者、领导者、骨干成员、参与者四类(见图2)。

图2 境内小型诈骗犯罪团伙人员构成图

其中,组织者是指诈骗犯罪团伙的发起者、创建者、资助者。领导者是指在诈骗犯罪团伙组织中处于领导地位,具体负责诈骗团伙运行的犯罪分子。实践中,境内小型诈骗犯罪团伙的领导者同时也多为组织者。但在部分团伙中,其领导者是由组织者招募而来,两者并非同一人。骨干成员,是指直接听命于组织者、领导者,参与诈骗犯罪的组织指挥与管理或长期参与诈骗犯罪活动,在诈骗犯罪团伙的犯罪活动中发挥重要作用的犯罪分子。参与者,是指仅短暂加入诈骗团伙或临时加入诈骗团伙,尚未参与或仅参与少量诈骗犯罪活动,尚未形成严重后果的团伙成员。

境内小型诈骗犯罪团伙虽有明确的组织结构,但人员构成相对简单,没有严格的人员分工、层级管理和考核、奖惩机制,诈骗成功后按照事先口头约定进行诈骗所得的资金分配。对于诈骗犯罪活动所需的作案工具、必要服务和技术支持,则由专人负责通过黑灰产业链获取。

(二)电信网络诈骗犯罪黑灰产业链的人员构成

电信网络诈骗犯罪的黑灰产业链人员,在人员流中主要指诈骗集团成员以外的,为电信网络诈骗犯罪提供帮助和支持,获得非法利益的人员。电信网络诈骗犯罪黑灰产业众多,按照在诈骗犯罪中发挥作用的环节不同,可将电信网络诈骗犯罪的黑灰产业分为上、中、下三游。按照产业存在的形式不同,可将电信网络诈骗犯罪的黑灰产业分为网络黑灰产业和线下黑灰产业。其中,网络黑灰产业主要包括四大类:(1)技术类黑灰产业;(2)包括虚假账号注册等在内的源头性黑灰产业;(3)用于进行非法交易、交流的平台类黑灰产业;(4)实施各类违法犯罪行为的黑灰产业。①参见《2018网络黑灰产治理研究报告》。该报告由南都大数据研究院、南都新业态法治研究中心联合阿里巴巴集团安全部,于2018年8月21日在由公安部、工信部、网信办指导的2018网络安全生态峰会上发布,参见https://www.sohu.com/a/249292950_161795。线下黑灰产业主要包括“两卡”交易、人员偷渡、赃款取款等。按照提供帮助支持的内容不同,可将电信网络诈骗犯罪的黑灰产业分为提供作案工具和提供非法服务两大类。为了便于理解,本文将采用提供作案工具和提供非法服务的划分方法,对电信网络诈骗犯罪黑灰产业链的人员构成进行介绍(见图3)。

图3 黑灰产业链人员构成图

1.提供作案工具类黑灰产业的人员类型

(1)卡商。卡商即非法组织开办、贩卖、流转“两卡”,用于电信网络诈骗犯罪的人员。“两卡”,即银行卡和电话卡。其中,银行卡包括但不限于借记卡、贷记卡、对公账户及其结算卡等银行机构账户和支付宝、财付通等非银行支付类机构账户;电话卡包括但不限于电话卡、物联网卡、流量卡、境外卡等。“两卡”是电信网络诈骗犯罪赖以生存的“土壤”和“水源”,打击“两卡”犯罪是斩断电信网络诈骗犯罪帮助链条,遏制电信网络诈骗犯罪高发态势,加强源头治理的关键,而打击“两卡”犯罪本质就在于打击卡商。

卡商内部的产业链相对传统单一,组织形式较为简单,没有其他伴生的黑灰产业。按照规模大小以及与诈骗犯罪团伙联系的密切程度,可将卡商分为大卡商、小卡商、“卡头”“卡农”四个层级。其中,“卡农”是指开办并出卖自己名下“两卡”的人;“卡头”是指组织开办、转卖“两卡”的人;小卡商是指转卖“两卡”的人,其与“卡头”的区别在于是否组织人员开卡;大卡商是指直接和境外“水房”或者诈骗窝点联系贩卖“两卡”的人,其处于境内贩卖“两卡”产业链的最顶端,向下对接着众多卡商、“卡头”。

(2)号商。号商即非法注册、控制、使用、买卖各类网站、APP账号,获取非法利益的人员。号商按照其经营的账号种类可分为通讯号商(如微信、QQ账号等)、交友号商(如陌陌、世纪佳缘账号等)、电商号商(如淘宝、拼多多账号等)等。同卡商一样,号商产业链中也存在多个层级。一个账号也需通过小号商、大号商等多层级流转,才最终流入电信网络诈骗犯罪团伙手中用来实施诈骗。同时,号商产业链内部由于账号来源、使用目的的不同,产业链非常复杂,伴生有多种其他黑灰产业。以微信号商为例,其账号来源就涉及盗号产业和接码平台产业;在养号阶段,又涉及猫池、手机云控等非法设备;为保证账号的正常使用,还需提供解封服务、解绑服务和保号服务的黑灰产业支持。

(3)设备商。设备商即非法生产、销售、运营、使用各类黑灰产业网络、通信设备,帮助电信网络诈骗犯罪及其衍生犯罪,获取非法利益的人员。在电信网络诈骗及其衍生犯罪中常见的设备主要有:①提供话务服务的GoIP、VoIP、宝类设备(多卡宝、络漫宝、苹果皮等);②提供短信服务的猫池、伪基站、短信嗅探设备;③提供资金服务的USB Server、点击器;④提供批量控制的手机群控、手机云控、云手机(虚拟设备)等。设备商是一个相对纯粹的灰产产业链,除部分如伪基站、短信嗅探设备是专门用于犯罪外,其他多数设备都有正常的生产生活应用场景,较难直接实施打击。目前针对设备商多以监督生产、流向管控为主。

2.提供非法服务类黑灰产业的人员类型

(1)蛇头。蛇头即组织、运送偷渡客偷越国境获取非法利益的人员。蛇头大都为边境本地人,通常由组织者负责联系并统筹安排偷渡客的路线和行程,之后由境内的运输者即“黑司机”将偷渡客运送至边境线附近,再由境外人员接手偷渡客继续转运至境外目的地;偷渡客主要分为四类:到境外观光的“黑游客”、到境外务工的边民、到境外参与博彩的赌客和到境外参与电信网络诈骗、卖淫、贩毒等违法犯罪活动的违法犯罪人员。

(2)引流团伙。引流团伙即按照电信网络诈骗犯罪集团的要求,通过非法途径获取公民信息或通过在网站、社交媒体、通讯群组内以发布广告的形式,吸引特定人群流入诈骗组织预设的陷阱,并由此获取非法利益的人员。引流是诈骗犯罪的“前端”环节,其目标人群按照诈骗犯罪的具体类型而有所区别,目前电信网络诈骗犯罪的引流主要分为“金流”和“色流”。“金流”主要指有一定资产并有投资意愿的人群,引流团伙通常冒充投资机构,以“荐股”“理财”等形式诱骗该人群加入诈骗团伙控制的投资群、交流群,并按照进群人数与诈骗团伙结算费用。“色流”主要指有生理或感官需求的男性群体,引流团伙通常以发布具有色情或性暗示内容的广告、图片、视频诱骗该人群加入黄色网站、网络色情直播平台、招嫖网站、性产品购物平台等,并按照人数与上游产业结算费用。诈骗团伙通常利用“金流”实施荐股诈骗、投资诈骗等,利用“色流”实施刷单诈骗、色情直播诈骗、网络招嫖诈骗、裸聊敲诈等。

(3)料商。料商通常指非法收集、买卖公民信息和数据的人员。①关于黑灰产中的“料”,有广义和狭义两种理解。广义上,“料”可以包括电信网络诈骗中所需的“两卡”、账号、设备、工具、公民信息、数据和非法资金等所有用于诈骗的辅助信息、工具和账户;狭义上,则特指公民信息和数据。结合打击治理电信网络诈骗犯罪的具体实践和本文对于黑灰产业链人员的分类,本文采用狭义理解。料商通常与各行业内鬼相勾结或采用技术手段,非法收集公民信息和相关的交易数据,通过数据清洗和处理后,将其出售给所需的电信网络诈骗犯罪团伙。作为电信网络诈骗犯罪的上游环节,料商所出售的“料”的好坏,直接决定了下游电信网络诈骗犯罪的成功率。故而在电信网络诈骗犯罪黑灰产业中,将被诈骗成功的人数与所使用的“料”的数据条数的之比,称为“转化率”,转化率越高,“料”的价格也越高。

(4)包网服务商。包网服务商指为电信网络诈骗团伙实施犯罪提供全套网络服务和技术支持的人员,包括制作、开发、分发和维护诈骗网站、网页、APP、直播平台、即时通信工具和客服系统、后台管理系统,以及提供VPN或VPS、秒拨、隐蔽上网、加密通信、销毁数据等反侦查措施服务。包网服务商主要是在电信网络诈骗犯罪的准备阶段提供网络技术帮助,是电信网络诈骗犯罪的“智囊”和“温床”,其从业人员多具备丰富的网络知识和经验,有很强的网络反侦查能力。

(5)线路商。线路商指为电信网络诈骗团伙实施犯罪提供话务、短信等通信服务和技术支持的人员。话务线路商提供的通信服务包括:GoIP、VoIP、宝类设备的线路服务器、线路搭建、插卡、跑机、改号等;短信线路商提供的通信服务包括:国际短信、1069、1065等短信群发通道。线路商在电信网络诈骗犯罪中主要是服务前端引流环节,起到与受害者建立联系并将其诱骗至网站或网络通联工具上的作用,以便诈骗团伙进一步实施诈骗。

(6)洗钱团伙。洗钱团伙指为电信网络诈骗犯罪提供资金结算、转移、隐匿、混淆、洗白等服务,掩饰犯罪所得资金与犯罪之间的关系,并将其合法化的人员。不同的洗钱团伙提供的资金转移洗白服务也不尽相同,常见的有:非法支付通道接口、“水房”、地下钱庄、跑分平台、跑U平台、代付、“车手”、核销平台、背包客、盗刷等。洗钱是电信网络诈骗犯罪的“末端”环节,也是必经环节,通过对洗钱团伙上线的深挖拓展,通常都能直接关联到境内外诈骗犯罪团伙人员,是当前人员流侦查打击的主要对象。

三、电信网络诈骗犯罪人员流的组织形式与构成逻辑

(一)电信网络诈骗犯罪人员流的组织形式

从上文可知,电信网络诈骗犯罪人员流中所包含的人员类型众多,相互关系也错综复杂,其中最为核心的关系是电信网络诈骗犯罪集团与黑灰产业群体之间的相互关系,这两者之间的不同关系决定了电信网络诈骗犯罪人员流不同的组织形式。

1.集团型

集团型的人员流组织形式,常见于境外大型电信网络诈骗犯罪集团。此类诈骗犯罪集团具有稳定的人员组织结构,拥有强大财力,因其庞大的业务量和资金量,一般的上下游产业链很难长期稳定地满足其需求,故而这类犯罪集团更多通过自身建立相关部门和渠道收集作案工具和提供非法服务。如台湾系的冒充公检法诈骗犯罪集团,要求话务线路稳定、通话质量清晰,黑灰产中的GoIP一体机跑机模式难以满足其需求。故而其选择在境内招募人员,发放工资,提供GoIP设备和卡槽,搭建机卡分离式的GoIP设备窝点。此种机卡分离式的GoIP部署模式,设备成本高,运营成本高,技术门槛高,对组织协同能力要求高,独立的黑灰产业链根本无法满足,故而诈骗犯罪集团只能选择自己建设并统一运作。

2.代理型

代理型的人员流组织形式,常见于虚假平台类诈骗,通常由境外的诈骗犯罪平台运营方和境内的代理商组成。平台方和代理商通过事先共谋,约定合作模式和分配形式。平台方在境外服务器搭建虚假投资平台,并负责运营和广告投放;代理商则设立引流窝点,以交友、荐股、理财等为借口,吸引受害人至平台投入资金,并实施诈骗。诈骗成功后,平台方和代理商按照约定的分配比例进行分成。境外的诈骗犯罪平台方通过招募代理商,可以快速吸引更多的渠道成员,在不增加自身投入的情况下,赚取更多非法利益。诈骗成功后,平方迅速关闭旧平台,并搭建新平台继续招募代理商实施诈骗。

3.产业型

产业型的人员流组织形式,是当前电信网络诈骗犯罪的主流形式。在此种组织形式中,诈骗犯罪团伙和黑灰产业链人员,按照犯罪产业的上下游关系,彼此分工协作,密切配合。在犯罪实施流程层面,他们呈现出单链条或多链条的链条式组织结构;在犯罪产业结构层面,他们又呈现出相互交错的网络状组织结构。这种链上有网、网上有链的复杂结构形式,也是当前电信网络诈骗犯罪治理难、管控难的主要原因,对犯罪产业网链中的任何一环甚至一个链条实施打击,都不影响整个犯罪产业的链网继续保持高效运转。

(二)电信网络诈骗犯罪人员流的构成逻辑

1.谋取非法利益的核心构成逻辑

谋取非法利益是电信网络诈骗犯罪人员流最核心的构成逻辑。在电信网络诈骗犯罪所涉及到的众多人员中,无论是诈骗犯罪集团人员,还是为诈骗犯罪提供支持和服务的黑灰产业从业人员,其从事或参与诈骗犯罪的目的都是为了谋取非法利益。围绕非法利益的获取,众多黑灰产业人员通过各自不同的渠道和方式与诈骗犯罪集团联系在一起,并在各自的业务领域内不断提升支持和服务电信网络诈骗犯罪的水平,以便获取更多的非法利益。也正因如此,各黑灰产业人员与诈骗犯罪集团之间,甚至是各个犯罪产业环节人员之间,都必然存在着资金联系,通过资金的流向和资金分配形式,我们不仅可以发现相关人员的身份,还可以进一步明确犯罪组织结构。

2.逃避侦查打击的基本构成逻辑

无论人员流以何种形式构成,如何逃避侦查打击始终是电信网络诈骗犯罪众多参与人员要考虑的问题,这也成为了电信网络诈骗犯罪人员流的基本构成逻辑。从司法实践的具体情况看,电信网络诈骗犯罪参与人员逃避侦查打击的手段众多,如使用“实名而不实人”的人头账户割裂诈骗行为人与作案工具之间的身份关联,使用GoIP设备掩藏真实的电话呼出位置,使用虚拟设备掩藏真实的上网位置,各犯罪环节人员之间通过网络联系、相互不知真实身份,作案后及时删除涉案数据、销毁作案工具等等。这些逃避侦查打击的手段,有些是通过黑灰产业链提供的技术和服务实现的,有些则是各环节参与人员在通联来往过程中故意设置的。可以说,黑灰产业群体提供的技术支持和服务满足了诈骗犯罪集团逃避侦查打击的基本现实需求;而环节众多、相互关系复杂的电信网络诈骗犯罪人员流构成,则进一步使各个犯罪环节之间形成了相互掩护,共同构筑了一张对抗侦查打击的防护网。

3.规避行业企业风控的外部构成逻辑

对相关行业企业风控的规避是电信网络诈骗犯罪人员流构成的外部逻辑。风控是指各行业管理者和企业主体,为消灭或减少风险事件发生的各种可能性,或减少风险事件发生时造成的损失所采取的各种防护措施和方法。风控分为事前风控、事中风控、事后风控。事前风控,一般包括手机验证、身份核查等;事中风控,一般包括大数据模型分析、抽样检查等;事后风控,一般包括账户监管、止付冻结等。如何在风控监管下保证作案工具和非法服务的正常运行,顺利实施诈骗犯罪,是诈骗犯罪集团无法回避的问题,是诈骗集团选择合作的黑灰产时的重要参考,同时也是黑灰产业链自身发展的基本指引。从侦查打击的角度看,风控是既定规则,犯罪分子只能利用规则的漏洞或变相欺骗规则以获取自己所需的工具和服务。在规避风控的过程中,犯罪分子会在某些关键环节与现实世界产生真实联系,致使其无法继续隐匿身份,找到这些关键环节,是进行人员流侦查的重要突破口。

4.防止黑吃黑的内部构成逻辑

在电信网络诈骗犯罪人员流的内部相互关系上,也存在着防止黑吃黑的构成逻辑。黑吃黑,是指各犯罪团伙或团伙内部成员之间为了争夺利益或巩固地位,吞噬其他犯罪团伙、人员利益的行为。诈骗犯罪集团和黑灰产业链人员在协作过程中,由于彼此都隐匿身份,且没有可靠的中介交易平台,在产生高价值的交易过程中,如何保持彼此信任,保证交易安全,防止黑吃黑是整个犯罪产业链中不可回避的问题,也在一定程度上决定了人员流内部的相互关系。防止黑吃黑可以理解为电信网络诈骗犯罪上下游产业链的“犯罪风控”问题,尤其是在洗钱环节,洗钱团伙通过“黑吃黑”的形式将诈骗犯罪所得据为己有的案例屡见不鲜,问题尤为突出。为解决洗钱环节的“黑吃黑”问题,大多数洗钱团伙与诈骗犯罪集团都有相应的担保或抵押关系,主要形式有扣押人质、缴纳保证金、同台摆现、中间担保人四种。在进行人员流侦查时,可以通过这些防止黑吃黑的环节发现相关人员之间的联系,确定人员身份和组织结构。

四、电信网络诈骗犯罪人员流侦查方法

作为电信网络诈骗犯罪侦查的基本途径之一,人员流侦查的目的就是要通过综合运用线上和线下、传统和新型的侦查手段,对电信网络诈骗犯罪的各个环节、各类人员之间的相互关系、组织结构、运作模式以及人员身份信息进行查证,最终查清犯罪事实,查明并抓获犯罪嫌疑人,打掉整个犯罪产业链。因此,电信网络诈骗犯罪人员流所体现的侦查途径,不仅是传统的“从案到人”和“从人到案”侦查模式在涉网新型犯罪侦查中的新发展,也是全链条打击理念在侦查工作中的具体展开。

(一)“从案到人”的人员流侦查方法

“从案到人”,是指在特定刑事案件发生后,侦查人员通过接报案、现场勘查、调查访问、研判分析、摸底排队、抓捕审讯等逐步推进侦查工作,从而发现、确定、抓获犯罪嫌疑人的侦查方法。从案到人的侦查方法以案件中客观显现的犯罪事实为逻辑起点,以各种侦查措施的综合运用为支撑,以回溯式侦查为基本思路,是刑事侦查中最为常用的侦查方法。在电信网络诈骗犯罪案件的侦查中应用“从案到人”侦查方法,需与电信网络诈骗犯罪案件的特点、特定案件的情况密切结合,选择适当的侦查切入点。具体而言,在电信网络诈骗犯罪案件侦查中,“从案到人”的侦查方法主要有以下几种:

1.资金追踪法

资金追踪法,是指通过对诈骗参与人员之间资金往来情况的查证、梳理,进而查清诈骗犯罪集团人员、黑灰产业链人员及其组织框架、相互关系、人员信息的侦查方法。如前文所述,谋取非法利益是电信网络诈骗犯罪人员流的核心构成逻辑。诈骗犯罪集团人员与上下游的黑灰产业链人员之间必然存在资金来往与关联,非法资金的流向也必然能够在一定程度上反映出整个诈骗犯罪团伙和黑灰产业链的组织框架与相互关系。资金追踪法正是以此为依据,围绕在初侦初查中发现的涉案资金流动情况,通过对涉案嫌疑人实际控制的和与其存在关联的全账户(银行账户、支付账户、数字货币账户等)的资金变动情况进行分析研判,确定嫌疑人在犯罪产业链中的角色和地位,找出与其存在资金关系的其他涉案犯罪嫌疑人,并最终通过资金的流向、金额、频率等梳理出诈骗犯罪集团、犯罪产业链的人员及其组织结构、相互关系。

资金追踪法与资金流侦查的区别在于,资金流侦查的主要目的是通过对涉案资金交易对手账户逐级查询,查清涉案资金转移的工具和方式,追踪资金去向。而资金追踪法的主要目的是通过对涉案嫌疑人的账户资金变动情况,在其资金关系人中发现其他犯罪嫌疑人,并通过资金的流向确定犯罪集团和产业链人员及其组织结构、相互关系。

2.轨迹碰撞法

轨迹碰撞法,即通过犯罪嫌疑人的活动轨迹,找出与其轨迹线有时空关联的其他犯罪嫌疑人的侦查方法。轨迹碰撞法属于传统侦查方法,但电信网络诈骗犯罪侦查为其赋予了全新的内涵。在电信网络诈骗犯罪案件的侦查中,轨迹碰撞不仅包括嫌疑人轨迹在“线下”的时空关联,同时也包括“线上”的时空关联以及“线上”与“线下”的时空关联,轨迹碰撞将“线上”与“线下”“虚拟”与“现实”紧紧联系到一起,使我们能从更多维度挖掘数据,拓展关系。

传统的“线下”轨迹主要包括民航、火车、客运、旅馆业、寄递业信息等;新型的“线上”轨迹则主要包括登录日志、操作IP、话单轨迹等。通过以上多个数据维度,对犯罪嫌疑人的真实身份与虚拟身份、生活轨迹与线上轨迹进行对冲碰撞,确定和印证虚实身份是否具有同一性,线上活动轨迹和侦查掌握的IP、登录日志是否吻合,从而实现侦查定人和定位。

3.设备关联法

设备关联法,即通过犯罪嫌疑人所使用的设备或工具,对其历史关联要素进行筛查拓展,从而发现和确定其他嫌疑人的侦查方法。这些设备或工具包括嫌疑人所使用的车辆、手机、电脑、POS机、ATM取款机等;关联要素则包括人员信息、电话卡、银行卡、支付账号、通联账号、IP地址等。通过特定时空内多台设备与同一要素的关联,或多个要素与同一设备的关联,进而拓展出其他嫌疑人员及其组织框架、相互关系。

4.网络渗透法

网络渗透法,即不直接破坏涉诈网络硬件系统的物理性能而穿过防火墙,控制或监视其服务器网络的技术手段。一般用于网站类、APP类诈骗案件的侦查,通过获取诈骗网站或诈骗APP后台的技术数据,从而发现开发、使用和维护网站运行的犯罪嫌疑人。

5.刑技比对法

刑技比对法,即通过对刑事技术部门在现场勘查中采集的电子信息、网络数据内包含的“数字指纹”“声纹”等技术数据的比对分析,发现和确定嫌疑人的侦查方法。随着电信网络诈骗犯罪及其他涉网型新型犯罪的快速增长,手机等电子设备已经成为了犯罪的“第一现场”。通过现场勘查设备对手机、电脑、GoIP等设备内的电子数据、网络数据进行提取和存储,并做结构化分析比对,是当前通过刑事技术手段发现和确认犯罪嫌疑人的有效途径之一。其中常见的刑事技术有声纹比对技术和数字指纹比对技术。

6.审讯攻坚法

审讯攻坚法,即在抓获犯罪嫌疑人后,通过讯问查清涉案人员身份、相互关系和团伙组织框架的侦查方法。在电信网络诈骗犯罪中,犯罪分子会在作案后及时销毁作案工具,删除相关数据,导致大量犯罪证据灭失,因此,口供在一些电信网络诈骗案件中就会成为至关重要的证据。犯罪嫌疑人到案后,侦查机关应及时组织专门力量进行突审,从嫌疑人交代的诈骗剧本、冒充身份、受害人基本情况、诈骗金额、资金转账方式、上下游通联方式、交易情况等多维度细节信息入手,逐步重塑作案过程、还原团伙架构。同时,也要注意针对关键环节获取各犯罪嫌疑人间相互印证的口供,形成证据闭环,为案件的起诉审判打好基础。

(二)“从人到案”的人员流侦查方法

“从人到案”,是指通过各项侦查基础业务、专门侦查手段,从个体或群体在特定或不特定场所暴露出的、与已知或未知的犯罪相关联的嫌疑活动或嫌疑信息入手,确认其行为性质、与特定案件之间的联系以及与其存在关联的其他犯罪嫌疑人的侦查方法。“从人到案”的侦查方法以“人”所暴露出的嫌疑活动或嫌疑信息为入手点,以各项侦查基础业务、专门侦查手段为依托,以关联性侦查为基本思路,是应对涉网新型犯罪的有效侦查方法。在电信网络诈骗犯罪案件的侦查中应用从人到案的侦查方法,需与电信网络诈骗犯罪案件的特点、特定嫌疑活动或嫌疑信息的情况密切结合,选择适当的侦查切入点。具体而言,在电信网络诈骗犯罪案件侦查中,“从人到案”的侦查方法主要有以下几种:

1.刑嫌调控法

刑嫌调控是重要的刑事侦查基础工作之一,是刑事犯罪嫌疑人调查控制的简称,是指侦查机关为了主动掌握犯罪动向,控制预谋犯罪、抓获现行犯罪,而针对有犯罪迹象或者潜在犯罪危险的人,采取专门、秘密的调查、控制措施,收集其犯罪线索和有关信息资料的侦查方法。在电信网络诈骗犯罪案件的侦查中,可以通过逐步完善涉诈地区重点人员信息以及涉“两卡”犯罪、偷渡犯罪、电信网络诈骗犯罪等重点前科人员信息,对重点人员的户籍地、年龄、性别、住宿、乘车、快递、出入境次数、境外滞留时间、出境口岸及出境机场、资金信息、社会关系等信息进行多维度碰撞分析,从中发现生活流、犯罪流等特征,建立“人员流”数据模型,主动发现重大可疑人员,根据人员轨迹碰撞和分布实施高危预警,及时掌握动态。

2.特征分析法

特征分析法,即根据电信网络诈骗犯罪的相关特征,利用大数据建立量化分析模型,进而筛查出犯罪嫌疑人或犯罪窝点,并通过特定行为特征判断人员类型和犯罪行为性质,展开有针对性的侦查打击。电信网络诈骗犯罪嫌疑人及与其相关联的黑灰产业链人员,因其所从事的犯罪业务不同,因而在犯罪过程中所显现出来的特定行为特征也不同。掌握这些特定行为特征,可以帮助我们建立模型,高效开展研判和打击。以打击对公账户开贩链条为例,由于一个自然人只能注册设立一个个人有限责任公司,所以同一个人要注册更多公司的话,就必须引入其他自然人作为股东,因此在非法买卖的对公账户中,涉案企业法人经常有集中时间段开户且交叉持股的特征。依据此行为特征,就可以建立异常对公账户模型,主动发现涉嫌非法买卖的对公账户,并对背后法人及股东开展股权穿透拓展,进而发现更多涉嫌买卖对公账户的企业和法人。又如,犯罪嫌疑人所使用的设备、工具、账号因犯罪需要或掩饰犯罪的需要会出现一些异常特征,比如用于转移非法资金的银行卡、支付账号在案发后短时间内往往会发生测试交易,然后再进行高频高额的资金转账交易,通过对这些异常特征的监测和发现,可以帮助我们在研判中有效识别、追踪涉案账户。

猜你喜欢

犯罪集团诈骗犯罪
公园里的犯罪
春节前夕小心“实名诈骗”
诈骗
Televisions
警惕电信诈骗
简析“恶势力”犯罪的成因特点
环境犯罪的崛起
诈骗
“犯罪”种种
关于犯罪集团首要分子若干疑难问题探析