李双其

（福建警察学院，福建 福州 350007）

人们通常称之为的“电诈”从早期的单一利用电信工具演变到现在的电信网络工具共用。由于犯罪空间的拓展、犯罪工具的多样、犯罪链条的延伸，电信网络诈骗也变得日益复杂多样，呈现在人们面前的是五花八门的诈骗类别、眼花缭乱的犯罪手法、纷繁复杂的犯罪链条、稀奇古怪的犯罪动机……刷单、贷款，杀猪盘、荐股、虚拟币、理财，校园贷清理、冒充公检法、裸聊，冒充领导同事等诈骗轮番上阵或齐头并进。

当下电信网络诈骗占了全部刑事犯罪总量的50%以上，成了主流犯罪。为此，全国上下高度重视电信网络诈骗。全民反诈，研究电信网络诈骗的人越来越多，也面世了不少研究成果。进入知网查询，涉及电信网络诈骗的论文数千篇，然而，从笔者的视角，众多论文中，能对电信网络侦查实务工作起实质指导作用的却是寥寥无几。

将种类繁多的电信网络诈骗犯罪进行梳理，主流的电信网络诈骗均可归入投资营利类、获得机会类、消除隐患类、碍于面子类、其他类五种。在不同的时期，五种诈骗会有不同程度的表现，而当下，投资营利类是最为盛行的诈骗类别。杀猪盘、荐股、虚拟币投资、理财均可归属投资营利类。本文选择投资类电信网络诈骗正是基于这样的考量。

作为电信网络诈骗的一种类别，投资类电信网络诈骗同样是一种跨越物理与虚拟空间的有组织犯罪。这种犯罪的犯罪行为发生地错综复杂①犯罪行为发生地会涉及用于电信网络诈骗犯罪的平台、工具所在地，网站服务器、通讯关联工具、移动终端所在地，APP、网站平台建立者所在地，APP及各类诈骗工具制作者使用者所在地，APP、网站平台管理者所在地，被害人及使用的工具所在地，诈骗电话、语音、图片、视频、短信息、电子邮件、即时通信信息等拨打地、发送地、到达地、接受地，诈骗行为持续发生的实施地、预备地、开始地、途径地、结束地等。犯罪结果发生地也很复杂，它会涉及到被害人被骗时所在地，会涉及被骗资金流出、注入地址，资金取得地、藏匿地、转移地、使用地等。。这种犯罪具有很强的组织性、专业性。它与黑社会性质组织犯罪相类似，结构严密、分工负责、专业化程度高。它与纯粹的网络犯罪相类似，具有“主体多样化，犯罪结构组织化，犯罪手法专业化，犯罪行为科技化，犯罪时空交错化，犯罪环境数字化，侵害对象精准化，犯罪结果产业化”[1]等特征。这种犯罪涉及上游、中游和下游。与投资类电信网络诈骗相关的上游犯罪有帮信犯罪、侵犯公民信息犯罪①常见方式有嗅探、拖库、伪基站、木马链接、WIFI/二维码使用等。等，中游犯罪表现为具体化的网络诈骗，下游犯罪涉及到洗钱②当下常见的形式有第三方支付、第四方支付、对敲账户、多级转账、跨国交易的使用与交错。、数字货币犯罪。

从组织架构看，投资类电信网络诈骗犯罪组织与公司的结构相类似。在犯罪组织运作过程中，犯罪组织也被称为公司。犯罪公司通常由三层构成。上层——犯罪团伙的老板，实践中习惯称其为“金主”。老板可能是一人，也可能是多人③老板会以不同的形态体现。他们是出资人，有的也为犯罪公司提供犯罪场所、平台、工具。老板可能投资数家“公司”。这样，由这位或这几位老板组织领导下的犯罪公司就构成了一种犯罪集团。老板是组织者、策划者，他们通常不会在前台露脸。老板与其他人实行单线联系。。中层——公司负责人及主管、专业团队负责人及成员④公司负责人负责某一犯罪公司的具体运营。主管是负责人选定的中层管理干部。不同的犯罪公司主管的设置有所不同。通常设置有平台、行政、后勤、人力资源、人员培训、客服投诉等主管。专业团队负责人是老板直接聘请的，归老板直接领导，职别与公司负责人相同。专业团队负责人根据工作需要请一些专业人士加入，组成团队。。投资类电信网络诈骗犯罪公司通常还会设置技术、财务两个专业团队⑤技术团队负责公司的技术支持，财物团队负责赃款的转移、洗白。技术团队、财务团队负责人及成员通常不与公司负责人、中层管理干部住在一起。技术团队主要承担通讯升级与解决技术障碍问题。当需要进行网络线路的转化与升级，或当公司遇到技术障碍时由老板通知出现。而财务团队始终不用在公司出现。技术团队与财务团队服务于同一老板经营的集团下的所有公司。。下层——组长及成员⑥公司的组长是公司负责人选定的。组长对公司负责人负责。组员是公司负责人、组长共同选定的，由组长直接负责管理。不同犯罪公司会根据他们经营的诈骗业务设置小组，如网络博彩组、数字货币组、贷款组等。小组成员会有所控制，一般控制在10人左右。公司不同层级之间有明确的界限，并佩戴不同颜色的标志。。

从各类成员在投资诈骗犯罪组织中所起的作用看，老板是组织者、领导者，他或他们投资组建公司，招募公司负责人、专业负责人，搭建诈骗平台，让其他人在平台上表演。公司负责人、专业负责人、主管是管理者。不同的主管负责平台维护、升级，行政管理，后勤保障，人员招募培训，客服投诉等业务。技术、财务专业团队负责公司的技术支持与赃款的洗白。其他具体诈骗业务则由组长领导下的团队来承担。有的充当“菜商”，在分析数据的基础上，设计编写剧本；有的充当“话房”，根据剧本拨打电话，分步诱骗；有的充当“演员”，根据剧本进行直播；有的充当“客服”，以实现公司运营的真实；有的充当“卡商”，为诈骗犯罪提供大量银行卡、电话卡；有的充当“车手”，负责提现分赃；有的充当“水房”，将赃款汇总整理分流再转出。

投资类电信网络诈骗犯罪手法五花八门，但投资类电信网络新型诈骗通常都包含以下重要环节：一是搭好平台APP或网站⑦含平台搭建、技术支撑、运营维护。。二是推广引流⑧骗子申请微信号或其他号，推广团队通过社交平台电话销售、网络实名推广等方式推广圈粉。。三是炒群造神⑨骗子假扮成“老师”“专家”定期在群里发布股票走势、投资建议、投资心得等，诈骗助理、水军大肆吹捧，吸引粉丝关注，博得信任。。四是转换主题⑩助理、水军故意误传投资盈利截图等，引发粉丝好奇，使其暗自相信投资可以暴利。。五是鼓动入金⑪编造投资获利故事，挑起粉丝投资欲望，鼓动粉丝投入资金。。六是下饵套牢⑫骗子指导粉丝尝试开始小额交易。公司平台对投资进行操控，让初投粉丝小有盈利，且允许将盈利提现，继续获取其信任。。七是操盘杀猪⑬粉丝大量入金后，平台通过人为操纵，对粉丝实施“杀猪”，让其产生巨额亏损。。八是转移犯罪所得⑭通过小水房、银行卡、第三方支付、聚合支付、虚拟币交易等方式实现。。九是安抚退场⑮粉丝投入的资金亏损到一定程度后，以行情不好、运气不佳等理由安抚粉丝，并让粉丝将余额提现，营造确实属于投资亏损的假象，避免“粉丝”察觉被骗。。

本文将在遵循侦查原理、侦查规律的基础上，根据电信网络诈骗犯罪特征，抓住投资类电信网络诈骗侦查的难点，基于最先进的犯罪手法，立足最复杂的犯罪结构，依照法律的相关规定探讨投资类电信网络诈骗犯罪侦查的相关问题。

一、受案与初步取证

和侦查其他类案件相同，投资类电信网络诈骗犯罪侦查也是从受理案件开始的。

当受理案件时，侦查人员应与受骗人直接接触，详细询问受骗过程，重点问清受骗人是通过怎样的渠道、方式与行骗人接上头的，是通过怎样的形式交流的，进行了哪些交流。这些交流可能涉及多种交流工具①各种APP、GOIP、多卡宝、猫池、苹果皮、络漫宝等交流通工具的操作日志、呼叫记录等。的操作日志、呼叫记录等。此外，还要询问受骗人是在怎样的平台上投资的，是怎样投资的，是什么时间转账的，是通过怎样的方式转账的，转账的银行账号或地址是什么。

在询问过程中，受骗人可能会提及或被问及行骗者引流所用的APP，会提及或被问及行骗人发布的软文，还会提及或被问及投资网站、投资用APP等，面对投资用APP时，侦查人员应问清APP的具体名称、APK安装包、注册的账户及密码等。在询问过程中，受骗人可能还会提及或被问及与骗子交流所用的手机号、验证码，会提及或被问及资金转账二维码、地址、转账号。

无论是引流、骗取信任、引导投资、资金转移，侦查人员都需第一时间初步调取被骗者手机空间里的交流、通话数据，这些数据以文字、语音、图片、视频等形式存在。

了解基本情况做好记录的同时，还要用适当的技术手段对包含服务器域名、服务器IP、所涉APP等在内的受案基本信息进行整理、存储，建立受理数据库。

了解基本情况后，符合立案条件的即可立案。立案后，具备条件的，侦查人员应第一时间进入相关APP空间，调取行骗者注册信息、行骗者与被骗者交流数据，侦查人员应第一时间进入投资网站，获取含网站页面、IP地址、MAC地址、上网记录、电子邮件、电子账册等在内的网站空间基础数据、行骗数据。在调取数据时，应校准工作系统时间，通过受害人权限登录网站或应用并完整运行网页及应用程序的全部功能，运行涉案应用程序、访问涉案网站，用抓包工具等对网站、应用中主要功能界面进行截屏提取，对抓取的数据包进行初步分析，剔除无关数据后保存数据包，对截屏文件、数据包文件压缩打包，计算压缩包电子数据的完整性校验值，在调取过程中应制作笔录与电子数据提取清单。

二、APP、网站的渗透

APP是投资类电信网络诈骗过程中必涉工具。APP或用于引流，或用于交流，或用作行骗平台。一些投资类电信网络诈骗也会用到网站，网站通常是投资平台的依托。有条件的应第一时间实施渗透，实现远程云取证。

渗透是个十分复杂的技术工作，要有专业技术支持，还要用到特定工具。

先要搞清行骗者是否还在相关的APP空间。如果行骗者尚在，可实时实施渗透、远程云勘。侦查人员用合适的工具进入行骗者使用的网站、APP所关联的服务器。对服务器里的数据进行调取。如果服务器勘验工作顺利，便可搞清服务器IP、服务器所在城市、行骗者的身份。这样该案件的侦查工作就大大地往前推进了一步。

投资类电信网络诈骗案件渗透的通常做法如下。

（一）收集与目标网络相关的信息，建立基础台账

收集目标网络信息通常从四个方面入手：一是利用各类网站信息收集平台查询；二是收集网站超链接；三是搜集目标IP地址信息；四是挖掘子域名。

通过以上路径收集的信息须建成基础台账。当主站突破遇到困难时可从其他边缘网络入手对目标开展工作，突破其内网边界，从而获得其内部系统访问权限。

（二）突破内网边界，获取关键系统权限

在完成对目标网络信息的分析后，需从中找到边界主机，并分析哪些数据在其内网中，接着对相应的目标网络进行攻击，获取控制权限。

网络攻击与获取控制权限的方法有三。一是突破网站边界。通过数据分析，分清主站与旁站，从防护较为薄弱的旁站入手实施突破。二是攻击硬件设备。对硬件设备，如“路由器”“网络交换机”“防火墙”“监控摄像头”等在互联网暴露的，且使用默认密码的，可直接获得内网访问权限，也可通过DNS劫持获取内网主机权限。三是内网渗透。在获得权限后，先使用端口转发工具将其流量代理至互联网跳板①并做好权限维持，在内网中找多台备用服务器，以防其安全人员发现之后权限丢失。，之后在摸清内网大致架构的基础上，进行漏洞扫描并抓取密码，获取关键系统权限，并从其配置文件中查找其内部数据库服务器以及文件服务器地址和访问方式，获取数据。

（三）巧妙利用社工攻击，打开突破口

通过与目标相关人员交流获取有效信息或诱导其访问准备好的钓鱼网站等，来获取其个人终端远程控制权限，方法有五。一是搜集人员信息，对犯罪团伙人员逐个分析，掌握犯罪组织架构。二是伪装供应商攻击。找准其信息项目建设负责人员，对其在各平台发布采购、招标等信息情况进行搜集，伪装为系统或服务提供商进行钓鱼。三是钓鱼攻击。发送欺骗性电子邮件诱使目标点击特定链接或附件，获取目标密码或电脑控制权限。四是中间人攻击。获取目标OA账号权限之后，在无法获取其OA服务器权限的情况下，可以利用OA账号进行中间人攻击。五是水坑攻击。在获取其常用系统服务器权限之后，可通过在某个页面插入JS代码，在页面运行时检测并提示其安装插件，并将插件下载链接指向木马文件，以此获取其管理员的电脑控制权限。以上攻击时，木马伪装是极其重要的一环。

（四）获取相关数据

通过以上措施可以获取目标系统或终端权限，从而在其系统中获取犯罪集团实施犯罪的相关数据。一是获取数据库数据。从源码配置文件中找到数据库地址、账号密码，获取数据库权限，利用“脱库”脚本获取全部数据。二是获取个人终端数据。大部分行骗者会在其个人电脑中存储大量犯罪收益记录文件以及犯罪过程记录等。三是提取浏览器数据。利用远程控制程序“cobalt strike”插件来提取浏览器记录、存储账号密码等，获取其内部系统权限及个人账号信息，还可对其键盘进行记录，获取其键盘输入信息。四是获取终端应用个人账号情况。例如，目标如果使用“telegram”，可以拖回其“telegram”相关文件直接登录其个人“telegram”账号，获取全部聊天信息。

三、调证

调证已成为侦查投资类电信网络诈骗案件十分常用的措施，或是不可或缺的措施。

调证之前应对已获线索进行汇聚，根据调证对象进行归集，实行批量调证。调证之前还应当判断调证对象是否属于正规公司，是否存在帮助犯罪主观故意，对涉嫌黑灰产或犯罪链条上的公司、单位、个人不能采用调证措施。

调证应根据《中华人民共和国刑事诉讼法》《公安机关办案刑事案件程序规定》之规定，需在案件侦查过程中实施，就是说，在立案之后实施。

（一）调证对象与调证内容

位于境内持有案件相关数据的公司、个人均有配合调取证据的义务，侦查中办案人员可以向相关公司调取注册人身份信息、联系方式、支付记录、登录 IP、业务数据等信息，在相关公司配合下还应尽量调取该注册人、支付信息下对应的其他相关业务往来数据。

（二）调证一般流程与调取证据的利用

1.调证一般流程。首先，备好调证材料。这些材料包括《立案决定书》《调取证据通知书》、人民警察证、《受案登记表》等，以下材料均需填写完整、手续完备。《立案决定书》应按规定制作。《调取证据通知书》需写明案件具体名称、调取的时间起止、充币具体地址、调取的具体证据类型、调取的具体证据内容、与证据相关的各类信息。《调取证据通知书》需提供正副本。人民警察证需要两人以上，可以是复印件。《受案登记表》也应填写完整，如果表中未包含线索，需补充工作情况说明，写明线索来源。实务部门通常把以上材料称为“调证四件套”。其次，向调证公司发送协查通知。可在当地网安部门协助下通过网安部门的129 协查系统发送，也可由专案组直接发送。再次，提交调证材料。可以线上提交，也可线下提交。接着，相关公司或交易所反馈调证结果。可以线上反馈，也可线下反馈。最后，补证。根据相关公司或交易所反馈结果，对证据提供不足的或有缺漏的可要求补充证据、信息。

2.调取证据的利用。对所调取的证据应进行综合梳理，应对登录 IP 进行综合分析。通过梳理分析用以查明落地地域、网络类型①含普通宽带、手机网络、物联网、专用网络出口等。、是否存在代理等情况，根据不同情况进一步采取措施，对人员身份信息、人像信息、通联信息、支付信息开展信息研判及技术反制措施。

四、网络空间数据获取

网络空间数据获取主要有两种情形，一是围绕涉案APP、网站的数据拓展，二是根据已知要素对网络空间的扫描。

（一）围绕涉案APP、网站的数据拓展

如果涉案APP、网站仍在使用可以直接进行渗透。但实战中常见的情形是行骗者行骗成功后，即将网站与服务器脱钩，或对所用的APP进行销号。如果行骗者进行了脱钩与销号处理，渗透与远程云勘就无法直抵网站、APP相关的服务器，也就无法直接获取行骗者的身份，这样，就须从其他途径切入。

1.进行网络交互数据查询与分析

浏览网页、运行 APP过程中均会与众多网站进行数据交互②如使用APP运行，则启动 CHARLS 抓包工具，抓取涉案网址主域名。，通过对网络交互数据的查询与分析能发现指向的服务器与相关联的服务。

操作时先应将网络数据流按一级域名进行分类解析，逐类明确各类域名指向服务器的性质，重点发现以下类型网站及服务。

（1）犯罪主网站。对犯罪主网站应当进行域名、IP备案查询，通过域名 WHOIS 查询查清域名注册人、联系方式、域名注册代理机构、注册时间。对指向IP进行查询，确定IP落地位置，DNS 解析服务提供商等信息，并对主网站域名及 IP进行PING、NMAP等扫描与检测，确定是否存在跳转或CDN 反向代理等情况。

（2）打包网站。对打包网站应当通过查询确定所属公司，在对应网络流数据中发现调用打包网站 API 的 KEYID 值。

（3）客服网站。对客服网站应当通过查询区分是否为正规客服，对正规客服应当确定所属公司，在对应网络流数据中发现调用网站API 的 KEYID 值。对美洽、CC 等客服网站可通过数据检查发现客服注册人相关信息。对黑灰产客服或者为犯罪单独搭建的网站应当按犯罪主网站查证内容开展查证分析。

（4）短信通道。短信通道一般是在注册涉案网站或APP 账号过程中发送短信验证码时发现，对短信通道要根据各号段确定短信运营商。

（5）其他网站、地址。包括第四方支付网站、消息推送网站、统计网站、地理定位网站、数据上传服务器、邮箱地址等。这些网站的查证方法与打包网站的查证分析方法类同。

2.分析安装文件

安装文件，又称APK。可通过反编译检查代码方式明确相关APK 所具有的功能，发现犯罪主网站及其他第三方服务。通过反编译发现的相关网站及服务可与网络流数据中发现的结果相互印证、互为补充。

（1）借助魔盾安全分析平台、腾讯哈勃分析系统等互联网安全平台进行辅助分析，发现APK中的高危权限、危险函数、URL及IP。

（2）用 JADX-GUI 等工具对APK进行反编译，基于安全分析平台在反编译文件中着重发现包名、高危权限、主网站、相关第三方服务及相应的 KEYID 等唯一性值、APK 签名及完整性校验值。

（3）对 APK 中的窃取隐私、拦截短信的恶意代码进行功能检查，利用安全平台发现危险函数，在JADX-GUI中快速定位到相关代码块，检查其实现的原理，并截图保存其代码内容。

3.分析分发源网站

分发源网站系为存储、分发涉案应用程序网站。侦查中应对分发源网站的域名、指向服务器进行查证，确定分发源网站的涉案情况，发现分发源网站的搭建、维护人员信息等。首先，打开工作电脑浏览器，仿真成安卓、苹果手机浏览器分别对分发源网站进行访问，记录访问过程的所有跳转网址及应用程序最终下载的网址。其次，比较安卓、苹果手机浏览器访问过程中所涉网址的差异，确定各个网址所对应网站的功能与性质。第三，对涉案的网站开展域名、IP、备案、DNS解析等查询，发现网站搭建人相关信息。最后查清公共分发平台所属公司，根据 URL中的参数向所属公司调证。

（二）根据已知要素对网络空间进行扫描

对作为投资平台的APP、网站相关空间的数据获取是个数据挖掘的过程。“数据挖掘，又称为数据库中知识的发现。它是一个从大量数据中抽取挖掘出未知值的模式或规律等知识的复杂过程。”[2]数据挖掘过程，往往伴随着数据的收集、提取、储存、分析。当面对的是大数据量级的数据时，需依抽样规则进行收集，并运用大数据工具、技术进行储存、分析。

数据挖掘应从已知要素入手，所谓已知要素即前期侦查中所获取的可以加以利用的信息、数据。比较常用的有安装文件（hash值）、同指向域名、IP、分发网站、APP 打包公司、短信通道、同客服公司、同客服注册信息等要素。数据挖掘应对已知要素进行归集，从已知信息、数据有针对性地推进。

数据挖掘还须使用专门工具。实战中通常使用特定工具进行线性回溯的VOS全球数据扫描技术。这种扫描是面向全球的，也是一种开放性的扫描，既面向明网，也面向暗网；既扫描网络电话服务器，也扫描其他敏感数据；既扫描涉案通讯工具，也扫描APP使用、资金流转情况；既扫描APP、网站内部空间，也扫描相关的云空间。通过开放性扫描，获取多样化数据，通过对数据的智能匹配分析，发现特征服务器、IP地址、支付信息及其他信息。当获取信息的同时也可能发现了相关犯罪嫌疑人，或为下一步侦查工作提供了条件。

五、通讯工具追验

近年来，APP类工具似有取代通讯工具之趋势，但从本质上讲，形成网络流的底层技术仍然离不开通讯，实施电信网络诈骗依然离不开通讯号码与工具。

投资类电信网络诈骗犯罪的通讯手法不断变化，所涉及的通讯工具五花八门。

（一）认识通讯工具

指的是被用于诈骗的通讯工具，含电话卡、传统通讯终端、网络电话设备。

1.认识电话卡。电话卡涉及的是电话号码，关系该号码能否加入通讯网络。不管是传统通讯终端，还是网络电话，都需要可入网的电话卡以支撑。电话号码还被用于各类APP、应用系统的注册①电话卡有中国电信卡、中国联通卡、中国移动卡、中国广电卡以及电信、移动、联通的虚拟运营商号卡，还有卫星通信号卡、物联网号卡、香港卡、国际卡等。不管是哪一种号卡都可能被用于诈骗。电话号码有实名注册的、有未实名注册的。在《依法清理整治涉诈电话卡、物联网卡以及关联互联网账号的通告》发布后，对电话卡的管控日益严厉，在此背景下非实名注册渐渐失去市场。而为了达到行骗之目的，行骗人通常通过收购他人身份证明，冒用他人身份进行入户登记或注册。。

2.认识网关通讯设备。常见的被用于诈骗的网关通讯设备有VOIP、GOIP等。多卡宝①又名SIMBOX，是一种可以插多张手机卡进行通话的设备，用户可以将多张手机卡插入1台“多卡宝”设备中，通过手机APP连接后，实现1部手机同时操作多张手机卡拨打电话。、苹果皮②“苹果皮”的设计初衷是满足IOS设备联网需求——多卡多待、帮助不能联网的IOS设备实现联网功能。因具有可与设备可分离、可通过APP远程操控、无需国际漫游费等特点被改造成诈骗工具。、络漫宝③可以实现在全球范围内拨打电话、收发短信，并且没有漫游费，具体的操作方法就是把手机卡插入络漫宝中，激活设备获得帐号密码后，再登陆手机APP就可以远程操控该电话卡。、WhatsApp④是WhatsApp Messenger的简称，是一款用于智能手机之间通讯的应用程序。借助推送通知服务，可以即刻接收亲友和同事发送的信息，可免费从发送手机短信转为使用WhatsApp程序，以发送和接收信息、图片、音频文件和视频信息。等呼叫设备也被用于诈骗。

（1）VOIP电话。亦被称为“虚拟电话”“网络电话”“IP电话”。VOIP是一种通过互联网传送语音的通话技术，通常采用SIP协议。VOIP通话过程中负责转换的服务器起了关键作用⑤VOIP通话过程中，主叫号码的归属地信息通常是由其租用的VOIP服务器所在的区域决定，主叫号码的归属信息就和呼叫者之间没什么关系。。使用VOIP通话的行骗者通常会利用改号软件等手段，将主叫号码修改为被叫号码的所在地⑥这样可以隐匿主叫方的真实情况以降低被电话系统风控检出的几率，也降低了被骗人的警觉性，更具欺骗性。。近年，相关政策禁止大批VOIP供应商并禁止改号行为。当下，除了黑灰色产业中的改号软件外，市面上几乎看不到拥有改号功能的VOIP软件，于是GOIP便应运而生。

（2）GOIP电 话。GOIP是GSM OVER IP的缩写，它是将GSM网络和VOIP网络连接的设备，又称“无线语音网关”。通过GOIP设备，用户可以实现GSM网络和VOIP之间的呼入呼出，并且支持呼入时主叫号码透传、支持短信和USSD收发，也支持SIP和H323协议。GOIP有着更高的隐蔽性。当顺着诈骗电话的IP地址找到所在地时，那里可能只有一堆插着SIM卡的GOIP设备，而真正的使用者可能在千里之外或境外。GOIP设备通常可以同时支持多张手机卡使用，如果配合卡池（猫池）则能形成十分庞大的呼叫集群。

GOIP电话由一个系统构成。GOIP系统一般由远程管理系统、呼叫中心、卡池及卡池管理系统、GOIP设备等构成。诈骗犯罪团伙为了逃避打击，这一系统所涉及的设备一般会被分散放置在各地。通常只有GOIP设备部署在境内，其他设置部署在境外。

（二）通讯工具追查

尽管投资类电话网络诈骗所涉及的通讯工具五花八门，但根据投资类电信网络犯罪通讯工具使用的特点，当下主要要追查的是GOIP电话。而且，在境内，重点要追查的是GOIP设备。

要追查GOIP设备须先弄清GOIP设备的架设场景。通过对已破案件的研究发现，用于投资类电信网络诈骗犯罪的GOIP设备的架设场景有以下几个特点：一是场所相对偏僻；二是场所是临时出租房；三是有互联网接入环境，比如ADSL宽带，有的用便携WiFi热点设备等；四是无人值守，但可利用远程摄像头进行监控；五是可根据犯罪时间有规律性地开启和关闭GOIP设备；六是设备搭建人负责租场地；七是设备搭建人与设备控制人一般较熟悉，通过专用手机联系。

侦查中，可根据以上特点，依托出租屋管理系统，综合租住人的性别、人数、职业、租后入住情况、入住前后购置GOIP设备、远程监控摄像头及与安装GOIP设备、远程监控摄像头相关的工具情况、入住后水电变化等要素建立数据模型，根据模型筛选排查出重点目标屋，确定重点目标屋后再由刑警、治安警或段警入户排查。

侦查实践中，办案人员也研发出了GOIP“猫池”实时捕捉技术并在实践中加以运用。GOIP设备被频繁使用的，可通过信号捕捉发现GOIP设备架设处。

（三）通讯工具勘验

对通讯工具的勘验主要是指对GOIP系统的勘验。对GOIP系统的勘验可分成GOIP设备勘验与GOIP系统其他内容勘验。GOIP设备与GOIP系统其他内容通常是分离的，因此，勘验GOIP设备与勘验GOIP系统其他内容经常会在不同的空间里进行，对GOIP设备与GOIP系统其他内容的勘验通常也会在侦查的不同阶段进行。

对通讯工具的勘验，既要勘验电子数据，也要勘验其他痕迹、物品。

1.GOIP设备及其所在空间的勘验

（1）勘验搭建GOIP设备空间里的痕迹物品。进入现场后，先观察是否有远程监控摄像头。如果有，应先断监控摄像头的电，接着断开GOIP设备网络。断监控摄像头电的目的是防止摄像头控制人对设备进行远程恢复出厂设置以销毁设备中的电子数据。断电断网后，对室内空间、设备等进行拍照录像固定，同时绘制现场图、制作现场勘验笔录，在图上标注设备位置，对设备上发现的指纹、DNA进行固定提取并记入笔录。

（2）勘验监控摄像设备。远程摄像头监控视频有本地存储和云存储两种方式，通常以云存储为常见。摄像设备控制人通常是通过手机APP来管理视频内容。勘验监控摄像设备时应重点收集在云端里保存的有关设备安装人或看守人视频、远程摄像头APP信息、绑定的手机号、使用的云存储缴费账号等①远程摄像头APP信息、绑定的手机号、使用的云存储缴费账号要通过远程摄像头公司调取。可以采用重置设备的办法获得设备序列号。用设备序列号可以调取设备注册信息、云存储视频和云存储缴费情况，还可能调取到购买的设备情况。。

（3）勘验无线路由器。在有路由器登录账号密码时，可现场提取宽带账号和密码、登录设备的MAC。通常现场的摄像头、智能插座和GOIP设备的MAC都在无线路由器登录数据中。如果没有路由器登录账号密码，可用物联网取证设备提取相关电子数据。

（4）勘验智能插座。GOIP设备场所的智能插座一般由设备搭建人或诈骗分子用手机远程控制。相关人在手机上安装APP，通过APP控制GOIP设备开关。智能插座APP一般用手机注册，如果能找到智能插座APP注册手机就能找到涉案人员②以小米WiFi版智能插座为例，通常是由米家APP远程控制。先是设备的序列号，设备序列号会标注在设备上，记录即可。其次是设备的MAC地址，可以通过在米家APP上添加涉案插座获得。。

（5）勘验GOIP设备。GOIP设备中存在多种电子数据。有设备基本信息：设备序列号、型号、MAC地址、网络连接模式、网络状态、软件版本信息、模式信息（卡槽imei)；网络配置信息：本地网络、ARP、VPN和访问控制信息；无线配置信息：SIM模式设置（本地、SIMBANK)、语音设置（编码、4G语音是否开通）、云服务器等设置信息；通话统计信息：主被叫电话号码、通话时间和时长信息；呼叫配置信息：SIP中心的IP地、端口信息等。

提取GOIP设备上数据的方法主要有三种。一是在掌握设备页面管理登录账号密码的情况下直接提取相关数据。先识别GOIP设备品牌，接着用管理口或USB口与计算机连接，最后利用网页管理进入设备，提取相关数据。二是没有掌握设备页面管理账号密码的取证。一般用管理口或USB口与计算机连接，并尝试用默认静态IP、账号、密码登录页面系统获得与上述一样的数据。三是物联网取证设备对GOIP设备直接提取数据。利用GOIP设备管理口或USB口与物联网取证设备联接。按取证设备提示操作就可以提取到相关的数据。相关设备信息有：设备型号、设备序列号、软件版本号、MAC地址、设备卡槽的IMEI号；主叫手机卡信息有：IMSI或手机号码、拨打日期时间；被叫手机信息有：手机号码或IMEI号或IMSI号；卡池参数设置信息和SIP中心参数设置信息等。

2.GOIP系统其他内容勘验

（1）云服务器IP和端口号。云服务器是指管理电话卡卡池的系统服务器。在无线配置数据中有云服务器参数配置，其中有服务器IP地址和端口号。云服务器受远程管理系统控制，可以为多个GOIP设备提供电话卡。如果能获得该服务器权限，便能从其配置信息里发现多个卡池和多个GOIP设备落地点线索。侦查中可试探运用特定技术手段获取。

（2）SIP服务器IP和端口号。SIP服务器系统也称呼叫中心，是GOIP系统的“指挥中心”。如果能获得该服务器权限，便可从其设置参数中发现多个GOIP设备落地点、远程管理服务器地址和服务器维护人员IP地址及电话窝点的IP地址。侦查中可试探运用特定技术手段获取。

（3）GOIP设备中的IMEI号。GOIP设备中IMEI号可用于关联手机卡的IMEI号和电话号码，分析该电话号码（主叫号）的通话单，可查找被骗人和关联案件线索，还可以通过主叫电话的基站位置追溯可能的多个GOIP设备窝点。侦查中可试探运用特定技术手段获取。

六、资金流溯源、查控

获取资金是投资类电信网络诈骗犯罪的最终目的。行骗者的诈骗方案都是围绕着骗取资金而设计的。为了达到目的，行骗者总是千方百计地变化手法，试图割断资金流向的关联，从而阻断侦查方对资金的溯源、查控。从早期的银行柜台、自动柜员机转账，到当下依托虚拟币交易平台的交易、洗白，资金流转的手法在不断升级，资金流的溯源与查控也面临着许多困难。在此，将根据资金流转手法的不同讨论对其溯源、查控的基本方法，并重点讨论依托虚拟币交易平台交易的资金溯源、查控。

（一）采用常规流转手法的资金溯源、查控

常规银行转账、第三方支付、合法第四方支付的溯源、查控主要通过以下两条路径实现。

1.依托公安部电信网络诈骗案件侦办平台（国家反诈平台）溯源、查控。目前此平台主要含银行卡查询、第三方查询两个模块。依托此平台可以实现对银行账号、部分第三方支付账号、交易的止付、冻结、查询①其中银行卡查询模块可以对涉案银行账号（含对公账号）发起开户主体及交易明细的查询。查询时对时间段有具体的要求。目前大部分银行账号查询功能都可正常实现，且反馈时间较快，交易明细可以EXCEL导出。第三方支付的查询功能分为：主体查询、交易明细查询、全账号查询、流水号查询。目前以上四条查询功能应用较多的是支付宝、财付通两家公司，接入的其他第三方支付公司尚无法有效查询。。

2.依托资金查控平台的溯源、查控。目前主要有利用经侦资金查控平台和利用JASS系统的溯源、查控。经侦资金查控平台目前能为电话网络诈骗案件资金查控提供支持的有两项。一是人行专线②可根据身份证号查询人员在所有银行网点的开户记录，可以反馈具体要到网点信息。借助此功能可以在明确犯罪嫌疑人身份的情况下获取该人在所有银行网点的开户记录，接着进一步到有开户记录的银行调取具体卡号。。二是归属行查询③因各个商业银行对公账户编码规则不同，目前反诈平台对公账户的归属行尚不能自动识别。在侦查中经常有对公账户归属行无法确定导致无法进一步追查资金。经侦资金查控平台归属行查询模块可对任意银行账户的归属行、开户网点进行查询。。JASS系统是银联司法协助系统的简称。此系统可以对银行卡的跨行交易进行查控，数据由银联提供。存在两种情形：一是银行卡跨行取款，可以获取跨行取款的网点、ATM机终端号④对于资金落地通过ATM跨行取款的案件可以通过此信息进一步追查调取取款监控等。。二是POS机消费。可以获取POS机商户名、商户代码、归属的收单公司等信息⑤对于犯罪嫌疑卡通过POS机刷卡转移资金的案件 可以通过此系统提供的信息进一步向具体收单机构调证。JASS系统还可以对银行卡的跨行交易实施动态查询（监控），有跨行交易、查询及POS机刷卡等操作时实时通过短信方式告知民警。。

此外，对无法通过国家反诈平台、经侦资金查控平台实现有效查控的第三方支付、合法第四方支付，可以通过调证的方式实现对有关信息、数据的获取⑥对于收单类第三方支付公司（POS）通常先通过JASS系统获取商户号、商户名称等信息，进而查询可疑交易对应的商户注册信息、结算账户及刷卡消费明细（个别公司可提供交易IP、LBS信息）。对于互联网支付类支付公司（主要为B2C交易）需到银行调取相关交易电子订单号，一般公司可据此反馈犯罪嫌疑资金入账的商户注册信息以及该商户入金出金记录。。

（二）涉及第四方支付的资金溯源、查控

1.第四方支付平台及在投资类电信网络诈骗中的运用

第四方支付平台可以分为境内与跨境两种。境内第四方支付平台还可分成合法与非法两种，被用于行骗的第四方支付平台通常是非法的，非法的第四方支付平台是指未获得国家支付结算许可，违反国家支付结算制度，依托支付宝、财付通等正规第三方支付平台，通过大量注册商户或个人账户非法搭建的支付通道①这种平台集合了各种第三方支付平台、合作银行、合作电信运营商、其他服务商接口，集合了各个第三方支付及多种支付渠道的优势，能够根据商户的需求进行个性化定制，形成支付通道资源的互补优势。与第三方支付比，第四方支付的优点：费率低、接入难度小、灵活性高。因此特点，第四方支付平台成了投资类电信网络诈骗资金流转的重要选择。。跨境第四方支付平台，是指通过其他国家货币进行支付，对接了相应国家的主流支付通道平台②如印度的主流支付方式有：BHIM UPI、freecharge 、Paytm，越南的主流支付方式有：momo、Deposit、ACB Bank。。投资类电信网络诈骗经常也选择跨境第四方支付平台进行资金结算。

诈骗时，行骗者鼓动投资人通过终端用户发起充值（赌博或博彩），投资平台会将该充值请求推送到第四方支付平台上，第四方支付平台会创建充值订单，并且第四方支付平台会主动推送支付二维码或支付充值页面到投资客户APP上，投资客户通过扫二维码或者填写支付账户信息提交支付，完成充值。与此同时，后台数据库里也留下了支付类型与第四方支付平台账户信息记录。

当投资用户要提现时，可在投资客户APP上发出提现申请，投资客户APP跳转到提现页面，客户在填写账户、金额等信息并提交，系统会自动推送给第四方支付平台，第四方支付平台创建提现订单，行骗方可向第四方支付平台发出进行审核提醒，经人工审核无误后，平台执行线下转账并在线上通知投资客户③支付通道费率是指：每产生一个支付订单，第四方支付平台收取一定比例的通道手续费。合法市场的第四方支付平台向商家收取的手续费为0.38%—0.5%，同时还需分出一部分利润给第三方支付平台。面向非法市场的第四方支付平台，收取的手续费在3%——6%左右。终端用户发起充值时，平台按照不同通道类型收取手续费。。

2.第四方支付平台取证

第四方支付平台取证主要涉及被骗用户提现账户、第四方支付平台账户、行骗者提现账户数据的提取与分析，回调地址验证与平台数据统计等。

（1）被骗用户提现账户的提取与分析。通过平台前端“代收查询”页面，分析发现终端用户提现账户以json格式数据展示。在“代收查询”页面点击“查看”按钮，在通用查询日志中会显示代付订单查询语句。接着，对数据库表“fm_order”执行查询，提取终端用户提现信息（json)格式。

（2）第四方支付平台收款账户提取与分析。第四方支付平台为终端用户提供多种收款方式，通常有收款二维码、银行卡及第三方账户等。通常在“订单查询”页面未发现平台的收款账户，但数据库中却有记录。通过点击“订单查询”页面，在通用查询日志中显示充值订单查询语句。接着，对数据库表fm_order执行查询，提取收款账户信息。

（3）行骗者提现账户提取与分析。通常在“商户管理”页面未发现平台的商户提现账户信息，但在数据库中却有信息记录。通过通用查询日志追踪发现数据库表“fm_company”的bankinfo字段，该字段记录了商户提现账户信息。

（4）回调地址验证与平台数据统计。当终端用户操作时，平台会跳转到充值页面，并将订单相关信息④比如充值金额、支付类型等。推送到充值接口地址，通常将此类地址称为回调地址。第四方支付平台通常会将此类地址记录，用于通知平台商户。回调地址的形式多样，有第四方支付平台支付接口地址、商城订单支付接口地址、营运商支付接口地址等。

在取证时，可通过对回调地址的提取、验证分析出疑似非法的第四方支付平台地址。

平台数据通常统计交易金额、涉案账户信息（银行卡、第三方账户、虚拟货币等）、与第四方平台建立资金结算通道的非法支付平台。

（三）依托虚拟货币交易平台交易的资金溯源、查控

1.虚拟货币交易基础

（1）虚拟币、密钥和地址、钱包、交易平台、资金模型。虚拟币有原生币（本币）、代币、稳定币、空气币几种。密钥和地址涉及地址、私钥、助记词。钱包有钱包APP、冷钱包、硬件钱包3种。交易所是一个连接虚拟货币与现实世界的中心化媒介。虚拟货币交易平台有三种：一是中心化交易所①加密货币在交易所存储，交易在交易所内部记账。经过中心化交易所交易的可以通过钱包地址、手机号、邮箱、交易信息等调证。，二是去中心化交易所②交易在链上发生，可以根据资金流向向后追踪。，三是闪兑平台③闪兑并不需要事先把加密货币充值到交易平台，而是直接通过钱包就可以完成兑换。就像24小时自动柜员机。闪兑平台的资金可能会出现跨链的情况，这会导致无法直接追踪。可以尝试对流入流出的资金进行人工拼接分析。。与交易平台相对应的虚拟币资金模型有三种：一是内盘模型④指通过人民币的方式入金和出金。在平台上会有虚拟币的交易显示，但所有交易均在平台内部完成。其本质还是通过法币进行流转。这种模型实际上并不属于虚拟币交易。，二是第三方交易模型⑤此模型的涉案平台并不提供虚拟币的购买或变现服务。需投资人自行到交易所购买虚拟币后将虚拟币转账到涉案平台的对应地址，同时涉案平台也不提供虚拟币的变现服务，仍需投资人将虚拟币转移到可提供变现的交易所进行变现。，三是自建交易所模型⑥此模型为诈骗团伙自行建立交易所。此类交易所除了发行自己的虚拟币外还会在交易所上架部分常见币种以博取用户信任。此模型中，骗子会引导用户在该交易所进行买币交易、实施提现等。在投资人交易、提现过程中，骗子实现了对资金的操控。。在正规的中心化交易所交易时会涉及充币地址、充值、热钱包地址、提币、用户地址等。

（2）区分真假虚拟货币投资类诈骗。如果投资人直接将人民币充值到对应的涉案平台，如果该平台仅提供提现人民币功能而不提供提币功能，此情形便是非真正意义上的虚拟币交易，而仅仅是以虚拟币投资为幌子的投资。虚拟币投资类诈骗需先获取投资人买币的平台信息、买币的交易记录、将虚拟币转出时收币方的地址信息及对应的交易信息等。

（3）基础信息收集。如果是通过交易所交易的虚拟币类诈骗，须查清涉案地址信息并加以收集。涉案地址包括相关入金地址、归集地址、返利地址、充币地址、提币交易等⑦入金地址是直接面对投资人的公开地址，也称充币地址。归集地址是作案人用来归集资金的地址。通常多个入金地址同时流入的地址为归集地址。分析时，还应从归集地址分析涉案返利地址及其他相关地址。返利地址是涉案平台用于给用户返利的地址。表现为由一个或多个归集地址的资金流到返利地址。流出的资金为小额多笔。充币地址与提币交易，充币地址是骗子在进行虚拟币提现过程中与交易所发生关系的地址。骗子通过充币地址将骗到的虚拟货币转到各大交易所从而将犯罪所得的虚拟币转换为法币。充币地址的特征是资金流出去向为交易所热钱包。需注意的是，如果不是流向交易所的热钱包该地址就不是充币地址。充币地址通常通过归集地址进一步分析资金流向得到。。涉案地址可能以常规形式（即数字字母组合）出现，也可能以二维码图片的形式存在⑧不同的币种其地址的表达方式不同。比特币地址是一个标识符（账号），包含27-34个字母数字拉丁字符（0，O,I除外），地址可以以QR码形式表示，匿名，有三种格式。一是以“1”开头，二是以“3”开头，三是以“bc1”开头（bc1开头的比特币地址无需区分大小写）；以太坊的地址是“Ox”开头的十六进制数字；波场币地址以”T”开头，Base58编码大小写字母与数字混合。。

通常在链上体现资金关系的只有入口和出口，也就是用户充值和提币交易，而发生在交易所内部的交易⑨使用法币购买币、兑换币和用户间转币。由交易所的中心化数据记录，因此在链上是不可见的，但是这些信息都记录在数据库里，侦查中可以通过调证获得。

此外，还须收集涉案平台、使用的交易平台①当前诈骗犯罪分子常用的主流交易所有火币交易所、币安交易所、OKEX交易所、抹茶交易所等。部分诈骗犯罪团伙还会自行组建交易所用于诈骗。、案发具体时间②对于案发时间除了询问受害人外，在侦查时还可以通过浏览器上的交易发生时间来判断。等。

2.依托虚拟货币交易平台交易的资金追踪、取证

（1）确定虚拟货币种类、数量及所在位置。在追踪之初便需确定涉案虚拟货币的种类数量以及它们所在的公链。一起案件通常会涉及多种虚拟货币③比如，会涉及比特币、以太坊、波场币等原生币，侦查实践中更多出现的是与原生币对应的USDT稳定币。。明确涉案虚拟币种类后，还要确定涉案虚拟货币数量，涉案虚拟币数量可以通过各虚拟货币相关浏览器查看相关地址余额及相关交易的金额大小进行初判。

针对犯罪项目方发行的代币，先要判断这个币是否在公链上，如果在链上没有相应的合约则需要获取项目方服务器和数字库里相关的数据进行分析，是犯罪项目方自行搭建的私链还仅是数据库里的数据。对于存在实际流通价值的代币，应作为证据，通常通过核实链上数据或取得真实的数据库信息以确认。针对有价值的虚拟货币，如比特币、以太坊、USDT，则需在公链上找出与之相关的资金流转，并通过这些资金的流向获得更多的后续线索。

（2）获取关联数据。虚拟币流入交易所的相关交易是获取关联数据的关键。链上数据的获取主要依据链上资金分析工具④成者链安、中科链安、知帆科技等。。需要关注犯罪地址与交易所相关的流入流出。流经犯罪地址后又流出至交易所的情况需重点关注。这种交易通常能发现与犯罪分子相关的充币地址，对确认犯罪嫌疑人身份有很大帮助。需要注意的是，并不是所有分析得到的充币地址和提币交易都是和案件直接相关或者是高度相关的地址或交易。一般而言，追查的资金或地址流向交易所时经过的地址层数越少，则该条资金线路上的充币地址或提币交易大概率与案件的相关度高一些，更值得重点关注和分析。其他相关数据通常通过调证实现。

（3）追踪虚拟币——泰达币钱包地址。泰达公司发行的USDT是目前最主流的稳定币，它与美元1：1锚定，也是目前运用最广泛的代币。USDT在目前虚拟货币犯罪中占据一大半。犯罪集团通过一番操作后资金通常以USDT的形态进行流通、兑换和存储。USDT在主流公链（比特、以太坊、波场）都有发行。追踪泰达币通常有两种方式：一是通过区块链浏览器，如http://usdt.tokenview.com/追踪，二是利用一些专业软件平台进行地址追踪。

其他虚拟币钱包地址的追踪与泰达币钱包地址追踪相同。

（4）手续费追踪。当代币在以太坊等交易所转账时，需缴纳燃料费（gas），而燃料费必须以相应的虚拟币支出，这样就导致犯罪嫌疑人需要转入一笔虚拟币作为燃料费。转入虚拟币的过程可为案件侦查提供线索。比如，基于以太坊的USDT就需要消耗燃料费，如果燃料费以太坊是嫌疑人充值的，那么就可以溯源到另一个以太坊地址，再进行关联扩线。

（5）调证、冻结。通过资金分析获取充币地址和提币交易情况后，即可将地址、交易提交到交易所进行调证。通过交易所调证可以获取的信息数据有：注册人员的身份信息数据、用户账户注册信息数据、内部交易信息数据、充提币记录数据、OTC交易信息数据、银行卡支付宝及微信绑定记录和登录IP等。

流入交易所还未流出的虚拟货币是较为特殊的情况，此时的虚拟货币在链上的所有者是交易所。在侦查时，如果掌握了账号密码和交易密码就可以在相应平台将嫌疑人账户中的资产直接提现到公管账户，或将虚拟币提币至公安钱包地址。如果没有掌握嫌疑人账号密码和交易密码，可发出协助冻结通知书至交易平台，冻结该账号，结案后出具相关证明文件后可将账户资产转移到公安指定账户。

涉及交易所的虚拟货币一定要结合该账号的调证结果来分析，因为办案人员只能在链上追查到涉案资金进入交易所，之后发生的交易并不与之前的信息关联，这就需要仔细分析其内部交易和OTC交易，判断账户余额是否涉案资金，以及流入的涉案资金有无分赃、通过OTC实现法币兑换情况。如果发现存在交易所内部转账情况，则需要继续追查犯罪分子的同伙，并结合调证重复分析步骤。如果发现涉案资金已经被转换为法币，则需要继续固定其银行卡和支付软件等证据。如果发现该账号提币到了个人地址，则要继续追查至个人地址，并没法获取。

（6）获取私钥、助记词、钱包。由于虚拟货币的特征，只要掌握了私钥或助记词，犯罪嫌疑人或同伙在世界上任何一个可以连网的角落便可将地址内的虚拟货币转出。因此，获取私钥、助记词是追查虚拟币交易资金的关键。

获取私钥、助记词通常发生在侦查的后期，在抓捕时，嫌疑人为了保留或掩饰非法所得可能会采用卸载钱包应用，或者直接销毁硬件等。为了避免上述情况的发生，在抓捕时应快速收缴现场所有犯罪嫌疑人的手机、电脑等电子设备，查看手机上是否有相关钱包应用，电脑端应用以及浏览器记录是否访问相关钱包软件插件，电子设备中的备忘录或文档中是否有疑似助记词的存档。有安装钱包应用的情况下可以经审讯获得私钥后将地址内的资产快速转移，获得助记词将其导入任意钱包应用后直接使用助记词即可完成资产转移。

在抓捕现场还要注意搜查是否有硬件钱包。硬件钱包一般表现为手机、U盘、专用设备等。搜查到硬件钱包后，需要判断其类型，是否可以通过设备直接转出，如果不能则需要审讯获得私钥或助记词，再导入钱包应用完成资产转移。

（7）固定证据。由于虚拟币是以区块链技术为基础在公链上发行，所有的交易信息都是公开可查并且不可篡改的，因此对于案件相关交易数据信息的真实性可以对照对应的区块链浏览器进行查看，但是由于虚拟币所具有的匿名性特征，固定证据需明确地址与人之间的联系。因此，链上数据及调证数据等有关虚拟币部分的数据需进行司法鉴定才能作为证据。

七、串并案件，拓展线索

并案是侦查投资类电信网络诈骗犯罪必须经历的环节。对投资类电信网络诈骗犯罪侦查而言，并案具备条件，且有必要。具备条件指的是投资类电信网络诈骗表现为系列犯罪，且在犯罪的人员流、网络流、通讯流、资金流等方面存在着相同、相似与交叉。有必要指的是，此类案件侦查到一定阶段后需通过并案发现同一犯罪团伙所作的案件，并依此扩线，发现更多用于推进侦查的事实与证据。“一起网络诈骗犯罪的线索可能是有限的，但是多起网络犯罪的线索积累起来就会非常丰富。在侦破网络犯罪时必须坚持串并案件的原则。串并案件不仅能够丰富侦破线索，而且能够积累诉讼证据，发现破案的契机。”[3]“电信网络诈骗犯罪分工合作，形成了错综复杂的关系，导致该类案件在管理确定方面十分复杂。在此种情形下，适应电信网络诈骗犯罪错综复杂的关联情形，允许公安机关对整个电信网络诈骗犯罪及关联犯罪并案侦查，是必然选择。”[4]因此，当对个案实施渗透、调证与相关侦查后，即需进行并案以拓展线索。

（一）投资类电信网络诈骗案件并案线索获取

并案是指将具有相同或相似要素的案件并成一案进行侦查。它是线索整理与归类的过程。投资类电信网络诈骗案件涉及的要素多，所以此类案件的并案比普通案件的并案要复杂得多。

要进行并案，需先获取并案线索。所谓并案线索是指已经发生、正在发生，已立案、未立案，与在侦专案可能存在关联，可以合并侦查的事件与案件。

电信网络诈骗犯罪的线索有显性和隐性的两种。显性的线索通常存储在各地“反诈”系统、受案系统、受案数据库及各类涉及电信网络诈骗犯罪平台数据库中，这些线索通常是受害人通过110、防骗热线提供公安机关予以整理、存储的。存储于“反诈”系统、受案系统、受案数据库及各类涉及电信网络诈骗犯罪平台数据库中的电信网络诈骗犯罪线索大量的会汇聚到国家反诈中心①2017年2月，公安部刑侦局为贯彻中央领导批示指示精神，按照公安部党委的部署要求，在国务院部际联席会议各成员单位和公安部相关业务局的大力支持下，创建国务院打击治理电信网络新型违法犯罪工作部际联席会议合成作战平台，即国家反诈中心。国家反诈中心是全国公安机关刑侦部门的资源整合中心、情报研判中心、实战指挥中心、新技术应用中心以及人才队伍培训中心，该中心成立以来，在打击、防范、治理跨区域犯罪和新型网络犯罪工作中发挥了中枢和引领作用。。也有少量的会因为时效或其他原因滞留在本地“反诈”系统或受案系统里。隐性的线索指的是尚未被受害人识破而存在于通信、网络平台上的诈骗信息，此类信息与招工、投资、理财、购物等信息混杂在一起。

获取并案线索主要途径就是根据已知条件从国家反诈骗中心、终结诈骗平台、金钟罩平台等各类涉及电信网络诈骗犯罪平台数据库及各地自建数据库中获取相关数据。所谓的已知条件是根据前期个案侦查从网络流、通讯流、资金流、人员流等数据里确认的相关要素。

获取线索的多寡，并不会直接影响后续的侦查。侦查中应力求最多地发现线索。发现的线索越多，可以用于证实、揭露犯罪的信息、证据也就越多，对推进侦查越有利。但是，侦查实践中有些案件本身还处于初发阶段，有些案件的线索并不容易获取。对于线索稀少的案件，侦查人员应根据现有的条件进行线索的拓展、数据的挖掘。

（二）投资类电信网络诈骗案件并案方法

对投资类电信网络诈骗犯罪而言，可用于并案的要素繁多。

对于特定时间段里发现的线索应通过一些要素将线索串连起来。这些要素包括引流手法、安装文件（hash值）、服务器域名、服务器IP、分发网站、APP 打包公司、短信通道、客服公司、客服注册信息、犯罪地、APP、投资平台、通讯工具、转账银行卡号、资金流水账号地址、电话卡号、微信号、身份证号、其他号、剧本、圈套特点、表演特征等。

对于符合并案条件的归为同一案件并案侦查，而对于无法串并的线索则归到另一案件。

并案时线索的整理与归类只是侦查人员基于对案件的初步认识作出的一个初始判断。随着侦查的深入，对归入的线索还需进行调整——新线索的并入，不合适线索的移出。

传统的并案通常只是一种大概的合并，就是把一些具有相同特征的案件并作一案进行侦查，并入的案件很多时候的确是同一作案人或同一犯罪组织所为，但有些并入的案件可能并不是同一作案人或同一犯罪组织所为，可以将这种并案称之软并案。投资类电信网络诈骗案件的并案差不多可以实现精准化，这种精准化的并案可以叫做硬并案。利用资金账户、通讯工具、投资平台等可以从已发的案件中精准地找到同一个电信网络诈骗组织所作的案件。当然，硬并案的实现离不开前期围绕个案对数据的深度挖掘与分析。

（三）并案后的数据拓展

并入的案件可能是已立案件，也可能是未立案件；并入的案件可能是在侦案件，也可能是未侦案件；并入的案件可能是显性案件，也可能是隐性案件；从时间上看，并入的案件可能是正在发生的，也可能是并案前1天至前几年里发生的案件。一个电信网络诈骗犯罪的团伙，可能在若干年的时间里骗了数人至成百上千人，涉及了几起至成百上千起案件。

从实践情况看，为了提升并案的效果，还得考虑提高立案级别。“在目前的状况下，我国基层公安机关的技术力量、装备等还处于较低水平，在侦破网络诈骗案时，往往力不从心，一旦犯罪人采用了更高的技术手段或是在国外遥控操作，公安机关在搜集证据方面便会面临很大的困难。基于此，可以考虑适当提高网络诈骗案件的立案级别，由技术水平较高、力量较强的地市级公安机关立案侦办，以便更有效地打击网络诈骗犯罪。”[5]

通过并案，可以对处于不同状态的同一伙犯罪所为的个案进行渗透、调证、相关勘验及其他深度侦查，发现更多的线索，查清更多的犯罪事实，获取更多犯罪证据。

通过对若干个案的深度侦查，犯罪嫌疑人、犯罪动机、犯罪行为、引流方式、施用的骗术、犯罪工具、涉案APP、投资平台、涉案手机号、通讯系统、转账账号地址、资金流水账号、金额与流转方式、犯罪组织结构、被骗人、犯罪结果等要素也渐渐清晰。在此条件下，案件、时间、空间、人、事、物也得到了一一的对应。

所有这些都为案件侦查顺利地向下一步迈进提供了重要的条件。

八、开展域外侦查

开展域外侦查涉及不同的法域，涉及国际关系、国际惯例、国际法，侦查成本高，因此，通常能不出境的便不出境。但是当下主流投资类电信网络诈骗犯罪团伙将犯罪窝点、通讯工具、网络设备等移到境外，利用CDN网络分发技术隐藏服务器真实IP地址，而网站能在境内快速访问，同时使用境外即时通讯工具“telegram”等勾联，境外网络集团面向国内搭建了一个巨大的地下网络世界，从境外向境内实施网络犯罪。主流投资类电信网络诈骗犯罪的手法特点决定了境外与境内关联的同时也出现了明显的侦查断层。投资类电信网络诈骗的特点决定了在侦查投资类电信网络诈骗犯罪时必须开展域外侦查。

开展域外侦查先要理清的是跨区域性管辖问题。“网络所具有的虚拟性特征使其突破了时间和空间对犯罪行为的限制，造成网络犯罪呈现出犯罪行为地与犯罪结果地分离、犯罪行为时与犯罪结果发生时分离的特点，从而给传统的刑事地域管辖理论带来了极大的冲击。”[6]就跨境电信网络诈骗而言，其管辖比一般网络犯罪更为复杂，出现国与国、国家与地区之间的管辖争议是无法避免的，急需探寻一种约定加以规制。

开展域外侦查通常分两个阶段实施，我们将其称为扩证阶段与破案阶段。扩证阶段是指通过侦查实现了并案，需要通过域外侦查进一步拓展侦查线索、获取犯罪证据之阶段。破案阶段是指破案时机成熟，需要对犯罪窝点实施勘验、捕获犯罪嫌疑人、追回赃款之阶段。

扩证阶段主要围绕摸清犯罪窝点，搞清涉案服务器、终端、投资平台、网络通讯系统情况，弄清境外涉案人员分工、居住地，案件人、事、物关系，涉案跨境地下钱庄、跨境第四方支付平台①跨境第四方支付平台，平台通过越南盾与印度卢比进行支付，对接了越南与印度主流支付通道，为黑灰产平台提供资金结算业务。运行情况等开展侦查。

破案阶段主要围绕捕获犯罪嫌疑人、勘验犯罪窝点、审讯犯罪嫌疑人、获取藏匿资金的密钥或助记词、起获赃款等开展侦查。

投资类电信网络诈骗犯罪的域外侦查与境内侦查是相互关联的。域外侦查应在境内侦查、前期线上侦查的基础上展开。不管是境内侦查还是域外侦查，都要求办案人员根据案件的具体情况采取具体的侦查措施。

当然，鉴于域外侦查的特殊性，在开展域外侦查时有一些不同于开展境内侦查的要求。

首先，要区分不同形态的域外侦查。域外侦查可能是公开的，也可能是秘密的。公开指的是侦查主体方之间的公开。有两种具体形式，一是通过国家中心局，在国际刑警组织的协调下进行的②根据我国2016年《公安机关侦办电信诈骗案件工作机制（试行）》的规定，涉及境外电信网络诈骗的案件，由公安部刑侦局统一负责组织侦办。在对跨境侦办电信诈骗案件时，或直接由公安部提出请求，或由地方公安机关将请求递交到外交部，通过外交部传达合作诉求。这种跨境案件的对接机制过于冗长，审批程序多，效率低下。在跨境电信网络多发、常态的背景下，须对此机制进行改变。建议在市一级的公安机关内部设立专门负责国际警务合作的部门，地方公安机关受案时，将跨境电信网络诈骗案件报至市一级的国际警务合作部门，再由市一级的国际警务合作部门上报至公安部国际合作部门，由其统筹协调。如此在专业性强的特殊部门内流转，可以提高跨境合作对接效率。。二是通过缔结双边、多边协定或安排开展。秘密是指开展侦查方隐匿身份进入犯罪窝点所在国开展秘密调查。

公开的形态是一种国际刑事警务合作。国际刑事警务合作是指两个以上的国家或地区就某一个或系列特定的跨国犯罪案件联合采取侦查措施、调查取证、缉捕犯罪人的一种侦查行动。国际刑事警务合作是国际警务合作的重要内容。“随着非传统安全问题的逐步凸显和新安全观的发展，‘安全’进入了合作领域，最终推动了‘国际警务合作’的概念向‘国际执法安全合作’的演变，并促成了‘国际执法安全合作’这一概念的形成。”[7]开展国际执法安全合作之核心内容的跨国联合侦查应遵循开展国际执法安全合作的原则，这些原则包括：国家主权、不干涉内政、互惠、双重犯罪、尊重合作方的法律和公共秩序、恪守国际法等原则。在进行国际执法安全合作时，可通过建立跨区域或全球性国际执法安全合作组织、建立执法安全专项合作机构、共同设立区域性专业纠纷调解机构等实现跨国联合侦查。

2000年11月15日在日内瓦通过的《联合国打击跨国有组织犯罪公约》是开展跨国联合侦查最基本的依据①《联合国打击跨国有组织犯罪公约》亦称《巴勒莫公约》，是联合国历史上制定的专门用于打击跨国有组织犯罪的第一部具有分水岭意义的国际刑法公约，也是国际社会以全球化手段对付全球化时代跨国有组织犯罪挑战的巨大成果。。

当前，国际社会在网络犯罪领域仅有几部区域性的多边条约。如欧洲委员会的《布达佩斯公约》②又称《网络犯罪公约》（Cyber-crime Convention），于2001年11月由欧洲理事会的26个欧盟成员国以及美国、加拿大、日本和南非等30个国家的政府官员在布达佩斯共同签署，是全世界第一部针对网络犯罪行为所制订的国际公约。、《阿拉伯国家联盟打击信息技术犯罪公约》、《上海合作组织成员国保障国际信息安全政府间合作协定》、《打击为犯罪目的使用信息通信技术》③2019年12月，第74届联大以79票赞成、60票反对、33票弃权，通过中国、俄罗斯等47国共同提出的《打击为犯罪目的使用信息通信技术》。等。这些区域性条约在打击网络犯罪方面发挥了一定作用，但侧重点各有不同，内容差别较大，缔约国家有限，无法成为打击网络犯罪的全球性解决方案。

“有效打击网络犯罪需要一个已经在国际层面统一且能有效应用的法律框架。还需要警察和司法当局诚心的国际合作。各国政府负责确保网络安全及网络空间的稳定。这不仅需要定义一个适当的法律框架，即一个在国家层面和国际层面上兼容且强制执行的法律框架，而且还涉及推广安全文化。”[8]已于2022年1月正式启动谈判的《联合国打击网络犯罪公约》④2021年5月27日，第75届联合国大会通过关于启动《联合国打击网络犯罪公约》谈判的决议，确定将于2022年1月正式启动公约谈判。这是继联合国大会审议通过第74/247号决议，决定在联大框架下成立特设政府间专家委员会，制定打击网络犯罪的全面国际公约之后，国际社会在迈向第一个互联网治理全球性公约的努力上取得的又一实质性进展。将成为最为重要的全球共同打击网络犯罪公约，将会在协调定罪、协调管辖权、协调国际合作、协调包括立法和执法措施、预防、国际交流和技术援助等四个重要方面发挥协调作用。

此外，《非传统安全领域合作谅解备忘录》、《关于落实〈中华人民共和国政府与东南亚国家联盟非传统安全领域合作谅解备忘录〉的行动计划》及《联合声明》也是中国与东南亚国家开展区域合作共同打击网络犯罪的重要依据。

秘密的形态体现为侦查方不以侦查员的身份出现而进行的调查与取证。投资类电信网络诈骗犯罪案件的跨境秘密调查、取证必须在海外耳目、海外110警侨办⑤为保护海外华侨利益，近年来由一些省市成立的机构。当那些受到非人待遇的，从电信网络诈骗犯罪窝点逃离的人可以在警侨办的协助下获取相关犯罪组织内部重要情报。的协助下依靠特定技术手段展开。

通常扩证阶段的侦查宜采用秘密形态，破案阶段的侦查宜采用公开形态。

在此，重点论述扩证阶段的侦查。

1.通过前期线上侦查与并案侦查已将犯罪的相关要素基本搞清。侦查人员到了境外后应先围绕已知犯罪嫌疑人开展侦查，通过侦查进一步搞清相关犯罪嫌疑人的基本情况，弄清他们的活动规律、犯罪地、居住地等。

对已知犯罪嫌疑人的调查可与偷越国边境犯罪关联起来。从已知偷越国边境从事电信网络诈骗犯罪的人员中去对应、关联已知的犯罪嫌疑人。

2.当查清已知犯罪嫌疑人的活动规律后，犯罪窝点也就暴露了出来。面对犯罪窝点应进一步弄清涉案服务器、终端、投资平台、网络通讯系统①GOIP系统一般由远程管理系统、呼叫中心、卡池及卡池管理系统、GOIP设备等构成。GOIP设备架设在境内，其他在境外，在境外也要追查除GOIP设备之外的GOIP系统其他设备在哪里。等的布建与运行情况。

3.查清犯罪窝点后，应进一步拓展，弄清相关人与相关案件、相关行为、相关客体物的关联。与此同时，查清涉案跨境地下钱庄、跨境第四方支付平台情况。

由于扩证侦查通常是一种秘密状态下的调查，因此，进行扩证侦查时应更多地采用手机定位、境外渗透、无人机使用、跟踪、耳目使用等技术侦查措施与秘密侦查手段。

九、破案

当案件、时间、空间、人、事、物的关系基本理清，且有证据证明时即可进入破案环节。投资类电信网络诈骗犯罪侦查破案阶段的主要任务有抓捕、勘验窝点、讯问、起获赃款等。

投资类电信网络诈骗犯罪侦查中的抓捕、窝点勘验、讯问、起获赃款应遵循境内外同步实施原则。同步是指在境内外同时破案，且在抓捕的同时即应勘验窝点，捕人的时候即应开展审讯，通过勘验、审讯起获赃款。

（一）破案方案拟定

当破案时机成熟时，办案人员须履行好相关破案手续，在取得国内派驻所在国外交机构及其他人员的支持下，确定破案的具体时间，明确涉案具体地点，锁定抓捕的具体对象，定下捕获对象的关押场所，备好所需的交通及其他工具。

（二）实施抓捕

国内、境外统一行动。抓捕的对象是已经锁定的目标。抓捕的对象应该是犯罪团伙的金主、经理、组长、骨干，底层打工人员可以不予抓捕。因此，一个电信网络诈骗犯罪团伙涉案人员可能达数百人，但要抓捕的犯罪嫌疑人却是有限的。

抓捕时要按照拟定的方案、使用特定的工具、分工明确、有序展开。

与抓捕其他类犯罪嫌疑人所不同的是，对于抓捕投资类电信网络诈骗犯罪嫌疑人，在快速收缴现场所有犯罪嫌疑人手机、电脑等电子设备时应查看手机上是否有相关钱包应用、电脑端应用、浏览器记录是否访问相关钱包软件插件。电子设备中的备忘录或文档中是否有疑似助记词的存档。同时要注意是否有通过手机、U盘、专用设备表现出来的硬件钱包。发现硬件钱包后，要判断其类型，是否可以通过设备直接转出。

（三）对窝点进行勘验

投资类电信网络诈骗犯罪的窝点有其自身的特点。不管是境内窝点还是境外窝点都须严格依照法定程序开展勘验工作。窝点是一个俗称，它是一个空间。就投资类电信网络诈骗犯罪而言，窝点空间就是犯罪现场，犯罪现场涉及多种场所，现场上需要勘验的对象十分复杂。除了现场空间外，空间里存在的与案件相关的电脑、服务器、通讯系统设备、电话机、手机、ADSL猫、光纤收发机、摄像头、路由器、网关、电源等硬件需要固定、提取、记录，而电脑、服务器、手机里的投资平台、各类APP等电子数据也需要勘验。现场勘验时，除了依照法定程序外，需依照现场勘查的步骤实施，还需遵循现场勘验规则，使用相关的设备进行科学化、规范化的电子数据及痕迹、物品的寻找发现、固定提取、分析研究。

（四）审讯

投资类电信网络诈骗犯罪结构的复杂化、要素的多元化决定了审查投资类电信网络诈骗犯罪嫌疑人的艰难。在审讯投资类电信网络诈骗犯罪嫌疑人时有以下一些不同于审讯其他类案件犯罪嫌疑人的要求。

1.绘出犯罪组织结构图

在弄清有证据证明的犯罪事实的基础上绘出犯罪组织结构图，将犯罪组织各阶层人员及已知的情况标注在图表中。通过图表形象地展示所审讯的对象在犯罪组织中的地位。

2.备好犯罪导图

在犯罪组织结构图的基础上绘出与该犯罪组织相关的四类导图：一是犯罪事实全要素导图，二是犯罪证据导图①证据导图可用XMIND等工具制作。，三是犯罪事实与犯罪证据关系导图，四是犯罪事实、犯罪证据与犯罪人关系导图。有条件的，还要将犯罪证据制作成证据册。

3.明确审讯对象在犯罪组织中所扮演的角色

根据对象在犯罪组织的地位罗列其所实施的犯罪行为——在什么时间、空间里，实施了怎样的行为，采用了怎样的犯罪手法，涉及到哪些犯罪工具，触及了哪些犯罪平台，说了哪些话。

4.围绕对象在犯罪组织中所起的作用问清犯罪事实

围绕投资类电信网络诈骗所涉及的引流方式、施用的骗术、犯罪工具、涉案APP、投资平台、涉案手机号、通讯系统、转账账号地址、资金流水账号、金额与流转方式、被骗人情况等要素问清犯罪事实。这是一种基于全要素的问清犯罪事实思路。

5.追问资金去向

对通过银行、第三方支付系统等常规渠道实现资金流转的，在侦查中通过资金溯源、查控工具已基本搞清资金的流向、通道。在审讯中追问资金动向主要是针对通过非法第四方支付、跨境第四方支付平台②跨境第四方支付平台通过越南盾与印度卢比进行支付，对接了越南与印度主流支付通道，为黑灰产平台提供资金结算业务。、跨境地下钱庄、虚拟币交易平台流转而言的。对利用虚拟币交易平台流转的，在审讯中要获取私钥与助记词。

对问清资金去向的，要即刻将地址内的资产有效转移。

6.讯问过程中的取证

投资类电信网络诈骗案件特点决定此类案件讯问阶段还要做相当数量的取证工作。此阶段的取证主要有两种情形：一是对从犯罪窝点扣押的电脑、手机及其他犯罪工具的取证。这些犯罪工具数量庞大，应在明确取证目标的前提下组织专门的力量才能及时完成。通过对犯罪工具中电子数据的取证，能够发现可以用于佐证犯罪事实、确认犯罪嫌疑人犯罪行为的新证据。这些新证据也是在审讯中可以加以利用的证据。二是基于通过讯问掌握了新线索、新事实、新证据的进一步扩证。通过讯问必然会有新的发现，这些新的发现可能涉及线索、事实，也可能涉及证据或其他，在这些新发现的指引下，办案人员可以进一步发现新的证据。

十、结案

投资类电信网络诈骗犯罪案件的特点决定了此类案件的侦查结案应把握以下一些要点。

（一）遵循“双基本”原则

笔者主张，同黑社会性质组织犯罪相同，投资类电信网络诈骗犯罪案件侦查结案也应遵循“双基本”原则——基本事实清楚，基本证据确凿。“从刑事证明理论来看‘两个基本’的实质是在使‘组织性’证据达到一定的数量，具有确凿的说服力，需要明确限定证明对象内容的前提下，为了做到快捕快诉快判，缩小证明对象的范围，抓大放小，有所为有所不为。‘两个基本’绝对没有降低刑事证明标准。”[9]投资类电信网络诈骗犯罪案件所涉及的事实、证据十分庞杂，用“双基本”来指引有利于犯罪事实调查、犯罪数据挖掘度的把控，有利于提升办案效率。

（二）立足全链条打击构建犯罪事实体系

投资类电信网络诈骗犯罪通常经历搭建运维平台APP或网站、推广引流、炒群造神、转换主题、鼓动入金、下饵套牢、操盘杀猪、转移犯罪所得、安抚退场等环节。这些环节涉及犯罪上游、中游与下游。犯罪的各个环节与犯罪上、中、下游的交错，使得投资类电信网络诈骗犯罪事实十分庞杂。不过，无论犯罪事实如何庞杂，在结案时均应从全链条打击视角去收集、整理犯罪事实。通过全链条事实的获取，做到犯罪基本事实完整、系统、清晰，符合犯罪基本事实清晰的结案条件。

（三)以“五流”为主线构建犯罪证据体系

投资类电信网络诈骗犯罪案件侦查结案的证据整理可以人员流、案件流①即所并入的案件。、网络流、通讯流、资金流为主线，构建相应的“五流”证据体系。“五流”证据体系的完整构建便能初步实现证据的体系化、清晰化。在以“五流”为主线构建犯罪证据体系的基础上，加上通过核心要素的关联，便能为证据的真实性、相关性，为证据的审查、鉴真打下扎实的基础。

（四）借助核心电子数据实现犯罪事实与证据的有机关联

投资类电信网络诈骗犯罪案件侦查结案时，在构建了犯罪事实与证据体系的前提下，还应选择某一个或几个要素，并依托某一个或几个要素实现犯罪事实体系与证据体系的关联。这里所指的依托要素便是核心电子数据。在结案时，可选择与某一个或几个与案件核心人物相关的电子数据②网络空间活动数据、通讯数据、转移资金数据或其他数据均可。，将证据与事实关联起来。核心电子数据的恰当选择将有利于犯罪事实与犯罪证据导图的绘制，可以避免事实不清、证据失真、要素散乱情况的出现，有利用于实现犯罪事实与证据关联的合理性、有机性与完整性。

结语

电信网络诈骗犯罪伴随信息技术革命而生。随着信息技术渗透加剧，电信网络诈骗犯罪也变得越发严重起来。在中国，应对电信网络诈骗犯罪已有二十多年历史，但不管是理论研究，还是实战应对，都是十分被动的。理论研究长期与实务脱节，研究成果未能对应对犯罪起到有效的指引作用。尽管很多人投入了很多时间与精力进行电信网络诈骗犯罪应对研究，但大量的研究一直只是处于初探阶段。本文选择电信网络诈骗犯罪中犯罪结构最为复杂、实战应对最难、占比最高的投资类电信网络诈骗犯罪进行研究，试图通过研究构建打击投资类电信网络诈骗犯罪方案，提出投资类电信网络诈骗犯罪侦查基本步骤、方法。如果构建的方案合理、科学，提出的基本步骤、方法可行，那么此研究成果自然也可成为侦查其他类电信网络诈骗犯罪的方案。笔者认为，本研究在方法论上是科学的，尤其是将所涉及的大量电子取证技术通俗化，所提出的方案对指导电信网络诈骗犯罪案件侦查是有效的。当然，提出的侦查方案、步骤方法还存在各种漏洞、不足，有待于通过实践的检验加以修正、提升。尤其是第四次工业革命即将带来的更大冲击，将直接影响电信网络诈骗犯罪的更迭，因此，投资类电信网络诈骗犯罪侦查的方案或步骤、方法也应随之调整。