电信网络新型诈骗案件中“网络流”数据的勘查要点研究
2022-11-21谭宇轩黄娟娟
谭宇轩 黄娟娟
湖南警察学院,湖南 长沙 410138
21世纪,网络在日常生活中发挥着越来越不可取代的作用,但随着网络普及率的升高和信息时代的到来,关于网络的相关犯罪也愈发猖獗。电信网络诈骗案发案多损失大,已成为社会公害。根据公安部公布的最新数据显示,2020年,全国公安机关共破获电信网络诈骗案件25.6万起,抓获犯罪嫌疑人26.3万名,拦截诈骗电话1.4亿个、诈骗短信8.7亿条,为群众直接避免经济损失1200亿元。[1]公安机关破案效率再高,还是有人民群众在上当受骗,人们的日常网络使用也因电信网络诈骗受到冲击。现如今电信网络诈骗已成为刑事犯罪的主流,将会成为公安机关长期面临的主要挑战。根据现今电信网络诈骗案件的形势,本文重点讨论电信网络诈骗案件中“网络流”数据勘查的相关问题。
一、网络流
(一)网络流的概念
网络流,其表面意思即网络数据,网络证据即正在网上传输的计算机证据,其存在形式依赖于网络传输协议,采用不同的传输协议,网络流的格式也不相同。但无论采用何种传输协议,都可以将网络流分为文本、视频、音频、图片。
(二)网络流特点
1.实时动态性
网络流指的是正在传输的证据,即流动数据,当数据从源地址已通过某种介质传输到目的地址时,就不再属于网络流的范畴。
2.数据类型复杂
网络上传输的数据流有的是文本,有的是视频,且随着时代的发展,网络带宽不断增加,传输数据成倍增长,形成量大又繁琐的数据。
(三)“网络流”在研判新型电诈案件中的作用
1.提供侦查线索,明确侦查方向
前文提到,“网络流”即网络数据具有实时动态性、数据类型复杂等特点,如何从复杂的网络信息中找寻突破口,确定侦查方向是提高破案效率的关键。同时,在侦查线索的发现上也需要依靠“网络流”的信息研判。
2.串并同类案件,提高并案效率
电信诈骗案件往往是隐蔽的,人员是相对分散的,从现实中分析犯罪人或犯罪团伙的同类案件难度较高,但从网络上串并案件更能反映出作案人或者作案团伙的特点。通常情况下,我们从网上串并的依据有:(1)通过涉案的通信工具进行串并;(2)利用涉案的银行账户进行串并;(3)对从通信工具、银行账户查询获取的信息开展的综合串并。
3.掌握犯罪动态,实现精准打击
随着科技的发展,犯罪嫌疑人的犯罪手法也不断升级,越来越依靠于高科技手段,因此我们的侦查工作也应与时俱进,以适应信息化时代侦查工作的需要,从各种繁杂的网络数据中提炼出有价值的信息。掌握犯罪动态就是掌握行动的主动权,才能对网络犯罪有效地进行精确打击。
4.探索防范机制,及时预警止损
通过研究“网络流”的特点,加强与银行等金融机构的协作,共同探讨如何对电信网络诈骗案件采取防范措施,加大对网络工具的管理力度,提高对网络平台的日常监管效率,捕捉电信网络诈骗的可能性前兆,探索研发防控预警、延时到账等新软件,为人民的财产安全画上止损线,以规避更多的损失。
二、“网络流”的勘查
在现场勘查环节中,“网络流”电子数据勘查的重要对象是网络数据。多数案件需要在现场对系统数据、文件等进行分析和处理,以便快速得到案件线索,推进勘查进度。对复杂的数据处理、大量文件恢复、全盘文件查找、复杂文件密码破解等需耗费大量时间,可带回实验室进行。
(一)现场勘查流程
1.制定周密的勘查计划
涉及对计算机网络数据的勘查是一项非常复杂的工作,为获取犯罪证据和犯罪人员信息,需制定周密的勘查计划,以便最大限度地获取犯罪现场遗留信息。为使勘查工作顺利进行,在遇到疑难问题时可集体讨论、协商,需要对人员进行简单分工;为明确勘查目的,做到在现场临场不乱,需制定预定目标,并做好紧急预案,随着现场勘查的不断深入,预定目标也会随之调整;为使在现场勘查思路明确,做到有的放矢,不至于到达现场无从下手,需制定简单的实施步骤。
2.准备勘查工具,应准备相关硬件工具和软件工具。
硬件工具包括功能齐全的计算机,必要的通信电缆、打印机、电源保护器、光盘刻录机和带有分析系统的硬盘及其相关设备。还需准备计算机拆卸工具,以便提取、固定硬件证据时使用。软件工具一般都包含在现场工作人员计算机内,用于分析被勘查计算机系统,通常包括操作系统软件、工具软件和应用软件。操作系统软件有通用的微机软件、小型机软件和网络软件。工具软件和应用软件又包括数据信息回复、诊断和清除病毒功能的软件,数据库软件和备份软件等。
3.现场保护
(1)确认计算机信息网络系统的设备运行状态。现场保护人员应当准确判断现场,特别注意记录变化的情况。
(2)控制现场人员。无论是嫌疑人、被害人还是现场无关人员,特别是犯罪嫌疑人,所有人都不得触碰计算机系统、其外围设备及电源总成,以防止系统状态被改变、文件数据被删改,防止现场证据被破坏或灭失。无论是在场人员或者嫌疑人,不管出于何种目的都不得靠近计算机系统,防止毁坏计算机及硬盘、删除硬盘里的数据,控制所有现场人员身边的电源开关,防止其关闭电源使计算机因断电而丢失数据。
(3)不开启或关闭计算机信息网络系统,保持现场“静态”。保持现场“静态”即保持系统的原始状态,开关机状态、网络连接状态和系统运行状态。如果开机状态屏幕中有显示信息,则应晃动鼠标或按ctrl键,避免激活屏幕保护。
(4)及时查看网络连接情况。若该计算机系统使用无线局域网,记录好该局域网名称和地址;对于有网线连接的电脑、服务器应直接拔除网线,防止其他窝点的同伙远程删除重要数据。
(5)保护原始物证。未经案件侦查人员允许,不得将任何电子储存介质及其他有关证据带离现场。
4.实施勘查
(1)对现场环境进行勘查。环境勘查即对对象计算机信息网络系统的工作环境进行勘查。勘查的主要内容有监视器、工作记录、工作日志、通信网络、办公环境、外界环境。
(2)对计算机网络系统的设备进行勘查,主要检查计算机的运行情况、操作情况,确认可能犯罪的手法;检查打印机上有无留下的印痕;检查网络通信设备看有无异常连接,通信日志是否正常。对设备勘查主要是发现残留痕迹和可能犯罪手段。
(3)进行数据勘查。计算机信息网络系统中有许多有价值的证据,有的能反映机器设备运行情况,有的能反映程序文件的操作情况,有的能记录操作人员的操作对象和过程。特别是特殊系统所设置的不为外人所知的系统记录更能获取有价值的线索,认真收集、分析对案件侦破将有极大作用。
(4)进行软件勘查。软件勘查的主要目的是检查应用软件是否被人非法修改过。许多改动程序才能实施的犯罪只有进行软件勘查能发现,进行软件勘查的方法即使用应用程序的原拷贝比对即可。发现应用程序存在问题后,可由技术人员分析源程序,解读更改后的程序功能,查找犯罪线索、提取犯罪证据。
(5)进行存储介质的勘查。存储介质中的信息能反映计算机信息网络系统的运行情况,也能反映系统发生问题前的状况,更可能存在犯罪侦查线索。由于存储介质上的信息看不见摸不着,必须通过某种方法显现或恢复,这就存在极大的风险,有可能在显现时破坏原信息。为减少风险可考虑备份信息,并将备份安装至有检查工具软件的机器上勘验。存在可疑问题时,应提取保存数据的存储介质,这一方面是深入侦查的要求,另一方面也为收集犯罪证据做准备。
(6)制作勘查笔录。笔录是记载犯罪现场勘查的重要文字材料,内容主要包括基本资料、现场概况、现场保护情况、勘查过程、勘查结果等等。
(二)勘查中的数据采集
1.采集内容
勘验时,注意采集以下内容:
(1)网络身份活动情况。网络身份具有隐蔽性、多样性、一致性等特点。常见的网络身份有QQ昵称、论坛ID、网站的用户名、邮箱地址等。而通过这些网络身份的活动情况可串联出一系列信息,如聊天时间,地域地区等。
(2)网站域名注册信息。通常网站域名的注册信息有:注册公司的名称、注册地址、域名注册人、联系方式、技术维护人员、域名到期日等信息。根据以上信息可研判该域名所属人,若所属人身份为假,可通过其他方式调查。
(3)网站日志。网站服务器日志文件中记录了用户访问该网站的一些信息,包括登录网址时间、IP地址等,这为判定犯罪嫌疑人作案时间,定位犯罪嫌疑人都提供了有利线索。
(4)网银操作记录。查询网银操作记录包括管理员操作记录、操作员交易记录两种查询方式。查询记录需起始日期及截止日期,操作类型及管理员或操作员姓名、证件号码点击查询按钮,查询结果会显示符合操作类型的信息。
(5)网上购买的虚拟货币消费记录、手机充值卡充值去向,购买人的登录账号信息和登录IP。
(6)电商账号的交易记录。[2]
2.采集要点
采集时,注意以下要点:
(1)在案发后,刑侦人员和计算机专业技术人员应当保护好现场,保护好犯罪发生时与计算机系统相关的软硬件以及数据的状态,包括设备的配置和各种电缆的连接情况,然后,由计算机技术人员将各种存储介质(包括硬盘、软盘、磁带和光盘)中的相关系统软件、应用程序和所有数据进行备份。
(2)封存涉案计算机和资料。在备份完成后,为保证涉案计算机系统的完整性,应封存好涉案的计算机及其相关设备。对不能停止运行的计算机系统,如果要求必须在短时间内恢复运行则应采用镜像备份,将系统的状态及环境等进行详细记录。
(3)收集相关资料。刑侦人员和计算机技术人员应当一同收集一切与案件有关的材料,清理现场,提取证据。
(4)询问当事人。刑侦人员和计算机技术人员应一同询问知情人和犯罪嫌疑人,犯罪嫌疑人在实施诈骗时所处的工位及工位对应的电脑、手机、账本、电话资料、银行卡和其他相关物品,并要求犯罪嫌疑人提供一切与犯罪和计算机系统相关的所有信息。如系统的密码和口令,与犯罪相关的计算机软件等等。
(5)物证分析、提取。分析案件发生前后系统的状态、数据的情况以及日志记录,提交分析结果。
(6)按照法律程序进行计算机模拟测试。
三、“网络流”勘查的难点
(一)取证难度高
现场作案人大多警惕性强,“网络流”在网络上留下的是数据痕迹,为了逃避打击,犯罪人员通过数据处理可使痕迹最小化甚至不留痕迹,给我们的现场勘查取证增加了难度。
(二)采集信息难
现场作案人往往会将特定类型的数据文件加密,加密方式往往很复杂,再加以电信网络诈骗新型犯罪涉及到数字化资金转移,这一系列操作需要专业技术手段来进行证据的判别、固定、分辨和采集。[3]
四、总结
电信诈骗已成为当前危害社会稳定和威胁人民财产安全的重要犯罪行为。对“网络流”数据的勘查是整个打击网络电信诈骗案件的一个重要环节,也是对电信网络诈骗案件打击的一部分。在提出、找出、解决问题的同时我们应规范对“网络流”数据的勘查,制定有效的策略,使电信诈骗案件能得到有效预防与处置。