网络诈骗中目标网站的调查取证方法研究
2022-10-14张雪王云峰
◆张雪 王云峰
(甘肃政法大学(兰州) 甘肃 730070)
从公安部的数据获悉,目前,网络诈骗已经成为国内发展最快的刑事犯罪,网络诈骗案件占比快速上升,已经达到了85%以上。网络诈骗的手法也是千变万化,层出不穷,使人民群众遭受了巨大的经济损失,并且严重影响了整个社会治安的和谐稳定和繁荣发展。
1 网络诈骗的含义及特点
1.1 网络诈骗的含义
网络诈骗犯罪严重危害了公民的合法财产利益、破坏了诚信体系建设,已经成为当今社会的一大“毒瘤”。网络诈骗通常是指行为人带有非法占有目标对象财物的目的,使用现代通信技术和手段在互联网上实施诈骗的一种违法犯罪行为[1]。它是一种非接触性、智能、网络化程度较高的一种新型犯罪方式。它的社会危害性远远大于传统的诈骗。
1.2 网络诈骗犯罪的特点
我国互联网的普及率一直在持续增长,21 世纪已经全面进入了全民互联网时代。根据,中国互联网络信息中心(CNNIC)第48 次《中国互联网络发展状况统计报告》显示,截至2021 年6 月份,我国网民的总体规模超出10 亿。与2020 年12 月份相比较增长了2175 万,中国城乡地区互联网的普及率分别达到78.3%和59.2%。
随着我国互联网普及率的提升,网络诈骗犯罪随处可见。这些网络犯罪案件也表现出一些共同的特点,简单来说主要包括以下几点:
(1)隐蔽性
犯罪分子利用互联网的虚拟性这一特点,以不真实的身份在互联网平台实施违法犯罪活动。在实施犯罪行为的过程中不直接与受害人直接面对面接触,作案时间以及地点难以准确认定,作案时间和犯罪结果相互分离。因为人们获取的信息具有不对称性、不透明性等一些特点,所以犯罪分子充分利用这些特点使得网络诈骗的过程更加具有隐蔽性[2],在实际案例中,给公安部门的调查取证工作增加了很大的技术上的难度。
(2)技术性
随着互联网技术的持续进步和升级,实施网诈的犯罪分子也不断地在提高和改进自己的诈骗技术手段[3]。一般来讲,网络诈骗犯罪人员的知识储备中有计算机方面以及网络技术方面的一些专业基础知识。不管是在网络刷单诈骗中盗取目标对象登录的账户和密码,还是以受害人点击钓鱼网站链接诈骗中建设与真实的网站,极度相似的虚假网站等,都需要储备一定程度的网络计算机方面的技术。
(3)跨国性
犯罪分子的诈骗手法跟随着最新的技术、最新的应用以及新型的产业形态的出现而出现并且不断地迭代升级。由于目前我国对网络诈骗的打击力度的进一步加大,网络诈骗的窝点、据点迅速地向境外发展转移。大部分实施网络诈骗的行为人,往往都是采用通互联网这一网络媒介,跨国进行作案。这种网络犯罪方式,它可以跨越国界,超大幅度地发送各种诈骗信息,不同于传统意义上的诈骗,传送到目标地点的这些诈骗信息不会被空间与时间所限制。不管与存在互联网的地点有相隔万里的距离,只要此时有人正在使用互联网,那么受害人就很可能是正在使用互联网的每一个人。因此,遭受网络诈骗的受害者范围相当的广泛且复杂[4]。
2 网络诈骗的主要类型
我国每天都有庞大数量的诈骗案件发生,在这些形形色色的网络诈骗犯罪案件中可以看出,犯罪分子使用的网络诈骗的手段也是五花八门,但万变不离其宗,犯罪分子的目的都是一致的,都是以非法占有受害人财物为目的。其中,最常见的网络诈骗类型有以下几种。
2.1 “杀猪盘”类诈骗
“杀猪盘”这种类型的诈骗是目前我国最常见的电信网络诈骗类型之一[5],所谓的“猪”是指受害人,“猪圈”,指的是婚恋交友的一种软件工具。“猪饲料”是指聊天的脚本。诈骗的犯罪分子首先在一些比较火热的婚恋网站、交友APP 上筛选出容易上当受骗的对象,然后再通过和目标进行聊天、“恋爱”,最后,通过确认“恋爱”关系,再引诱受害人参与网络赌博或者以其他投资的方式来诈骗受害人的财物。
2.2 刷单类诈骗
在校学生、文化水平低且薪资不高的社会青年以及待业在家的人往往会是网络刷单诈骗的目标对象。犯罪分子通常借助目标网站、微信聊天群等平台发布虚假招聘兼职信息的方式,以低投入高回报为口号,等到交易成功后,再提高投入金额,诱惑受害人,最后,以网络或者网站系统发生故障等理由要求受害人连续多次打款,以这种诈骗手段来骗取财产。
2.3 网赌类诈骗
犯罪分子通过开设虚拟的网络赌博平台、广告、社交软件等,伪装成“富豪”、“千金”等有钱多金的人物形象,以投资理财为诱饵,实际为网络诈骗,有针对性、有目的性地诱导受害人登录虚拟网站平台或者安装虚假软件,从而迅速转移受害人的财产。
3 网络犯罪调查取证的流程
面对网络犯罪案件,要对其进行调查取证时,一定要非常清楚调查取证的手续流程。确保做到合法取证。一方面,由计算机生成的证据都是以二进制码反映出来并且以数字信号的方式存在的。数字信号并非是连续的。所以,如果对计算机产生的数据进行篡改,比如:删除、添加、修改、合成等形式形成的数据,利用技术手段去分辩识别它们目前还是存在相当大的难度。另外一方面,网络犯罪绝大多数都是犯罪分子借助互联网这一途径,犯罪结果的发生并不需要犯罪分子和受害人直接接触。由于互联网的全球性发展,还有不同的地域在法律法规、规章制度、公民的道德观念以及意识形态上良莠不齐,使得大部分案件不能够继续侦查的,无法侦破案件,查明真相。因此,明确网络犯罪调查取证的流程对公安机关侦破案件具有非常重要的意义和作用。
图2 调查取证流程图
第一,要划分作案群体。根据网络诈骗犯罪的类型,以及当前已经掌握的部分案件详情,分析可能的犯罪人员,这一步是侦查人员在勘查现场前一定要提前完成的一步。
第二,查找第一现场。查找第一现场是为了明确实际发生网络犯罪的地址。在发生网络犯罪时,查找犯罪分子的IP 地址时首先要根据ISP 系统日志,同时按照DHCP 记录,查找主叫号码(发起呼叫的号码)。如果显示为境内的号码,要确定实际的犯罪地址可以依据查找到的主叫号码。如果是在金融领域发现了专用网络的犯罪,首先,要及时查看报案人提供的明细账目信息,其次,依据此再去查询银行的主机日志,精准查找具体的案发的营业门所,然后根据路由器、MODEM、交换机等设备的工作状态正常与否,正确判定有无外部入侵的存在。最后,以主机的日志,确定具体的作案终端设备和详细的作案时间。
第三,公安机关要在第一时间赶到现场,立即采取保护现场的措施,然后再使用技术手段进行现场勘查和证据提取。在勘查现场前,一定要详细记录电子证据的一些重要的信息。比如:电子证据的状态、网络设置参数、位置等信息。可以采取拍照录像的方式记录下犯罪现场或者计算机设备的在拆解前的状态,要尽快及时的固定好这些相关的网络证据,保证收集的证据是合法的、真实的,确保收集到的证据内容完整真实并且与案件的事实有着紧密的联系[5]。最简易的方式就是可以主动要求现场的证人、犯罪嫌疑人配合侦查人员的取证工作,可以通过他们去更深入的了解计算机系统、存储数据的硬盘位置、可疑文件等等。不能忽略的一点,因为在网络诈骗犯罪中,作案人就是现场的内部人员的比例往往是很高的,所以,通过调查现场的犯罪嫌疑人就能够知道作案人。
进行查找和提取电子证据的步骤时。在第一阶段,要重点查找可疑软件的日志,查找出最近时间点使用过该计算机系统的情况。并且仔细勘查计算机的每一个文件的目录、子目录。对发现的可疑文件的内容以及属性更深入的了解,来查找被隐藏的文件。在第二阶段,借助专业的工具设备及软件,以搜索关键词的方式从储存介质上查找有关犯罪的信息。实施这一步操作时,要重点查找被加密的、被隐藏的以及被删除的电子数据,找到后将这些信息归纳整理。最后,再将与案件有关联的信息提取出来。
现场勘查时,也要进行外部的搜查与取证。所谓外部搜查取证是指对计算机系统以外进行检查。比如:显示器、计算机连接的打印机、周围环境等等。不能遗忘检查外部设备,因为这些设备也有可能会成为网络犯罪的证据。例如:计算机系统外部的一些设备包括缓冲器和媒介、网络中的多路调制器、中继器以及一些接口设备中的存储器等,侦查的规范标准按照一般的刑事案件处理,此外,要着重检查现场发现的各种存储介质、纸质材料、显示器上的内容以及计算机系统外接设备的状态,并做好相应的记录。标记注明收集的与案件情况所有相关的文件材料、磁盘、计算机系统的硬件,留意寻找被加密的文件以及含有用户标识的文件。犯罪现场的计算机是开机状态时,可以使用拍照或者录像的方式将计算机显示的内容记录下来,复制一切与案件有关的原始数据并且记录相应的参数。
第四,在完成上一步的操作后,进行最重要的一步,也是网络犯罪调查取证最关键的一步——数据分析。在进行数据分析时,重点是要分析判断犯罪分子使用的计算机的操作系统是否存在两个以上的用户,以及操作系统或存在被隐藏的分区,是否存在可疑外设,是否存在远程操控、木马病毒以及当前环境下的计算机系统的网络环境。进行开关机的操作需要特别谨慎,对于正在运行的一些进程数据、不可恢复的强删除程序及软件要最大限度地避免丢失或损坏问题的发生。分析收集到的某个磁盘特殊区域的全部相关数据时,首先要对收集到的数据,利用闲置磁盘的存储空间进行深度恢复,从而收集一些文件被篡改的痕迹。要寻找被篡改过的数据痕迹,需要将收集到的一些程序数据的备份以及当前状态下正在运行的程序数据进行比对分析。再借助此计算机的用户或电子签名、浏览记录、交易记录、Email 记录、收发邮件服务器的日志、上网IP 地址等计算机特有的信息来全方位地进行取证分析。
第五,定位跟踪。定位跟踪是一种动态的取证分析手段。针对特殊的一些网络犯罪案件,比如:遭受黑客攻击的网络,在进行证据的收集时,重点要收集的证据包括:系统登录文件、应用登录文件、AAA 登录文件(RADIUS 登录)、网络单元登录(Network Element logs)、防火墙登录、磁盘驱动器、文件备份、通讯记录等等。侦查取证人员在取证时,如果犯罪分子干扰取证工作,比如:持续入侵操作系统,企图删掉有关数据。此时,对这种网络攻击行为采取入侵检测系统进行监测的方法是十分必要的或者还可以利用一些设备设置网站陷阱去定位追踪犯罪分子。
第六,总结输出结果。在具体的分析取证结果基础上,得出分析结论。需要注意的是,现场勘查时,勘查人员必须严格按照计算机设备规范和流程操作,并且要知道每一步操作的后果同时把实施的每一个步骤及遇到的情况记录下来,以便后续可以合理解释操作的结果,从而帮助公安机关尽早侦破案件。在实践中,是不能使用现场的任何计算机设备以及工具软件。调查取证时,不能使用盗版软件,使用盗版软件很可能让收集的信息损坏。如果现场的勘查人员不能够使用当前现有的技术进行访问犯罪嫌疑人的计算机,可以商聘行业领域的专家进行指导,最大程度保护好原始数据不因技术操作的失误而损坏或丢失。
4 建立多部门联动机制
近年来,网络诈骗案件的频繁地发生,每一个案件都关系着群众的基本权利,每一个案件都影响着国家安全[6]。为了消除、有效预防和减少网络犯罪的发生,必须要建立一套完善的多部门联动机制,这对于尽早解决案件、保障公民的合法权益起着关键性的作用。建立多部门联动机制,需要从以下几个方面展开。(1)细化职责分工,建立打击网络犯罪协调工作机制,就调查取证、资产冻结、操作等不同工作内容明确职责分工,提升破案工作的统筹协调。(2)建立各部门信息共享制度,全面排查网络安全风险隐患,通过联席会议制度,预防和打击网络诈骗行为。(3)建立系统完备、逻辑严密的联动处置平台,对有关网络诈骗的违法犯罪活动要及时展开调查取证工作,凡是涉嫌诈骗的网站和注册的诈骗信息用户账号以及在诈骗网站发布的虚假信息要对其及时进行清理并且关停相关的网站。
5 结束语
网络诈骗犯罪的频繁发生,不仅侵害了公民的合法权益,更是严重影响了网络环境的安全、社会秩序的稳定。杜绝网络诈骗问题,是每个公民的责任,更是社会的责任。因此,有关部门必须提高预防诈骗的工作能力、完善工作机制,加强多部门联动。大力宣传反诈骗的知识,给人民群众普及一些防诈骗的方法和知识。另外,要重视相关的立法建设。争取在不久的未来,构建一个安全洁净的网络环境。