电信网络诈骗案件数字化调查途径研究*
2023-04-21刘洋洋辽宁警察学院
刘洋洋 辽宁警察学院
引言
电信网络诈骗犯罪是随着通信行业、金融行业以及网络信息技术飞速发展而出现的新型诈骗犯罪,是指犯罪嫌疑人利用电话、短信、网络等通信工具以及现代化的网银技术、新型支付技术等手段,编造虚假事实和身份信息,以空中信号为载体对不特定对象实施的非接触式诈骗犯罪活动,已经成为严重危害社会治安秩序和人民财产安全的热点和难点问题。相对于传统侵财案件,电信网络诈骗案件的特点是受害人群广泛、涉案财产价值高、作案方式隐蔽,其呈现出的科技化、智能化及多元化的特点,给案件侦破打击带来诸多困难。
本文以笔者近几年对电信网络诈骗犯罪的研究经验为基础,以多起网上公开的典型案例资源为素材,围绕公安机关在侦办此类案件过程中存在的突出难点问题展开分析,总结基本思路及方法,以期为公安机关更加有效、精准打击此类犯罪活动提供参考和帮助。
一、电信网络诈骗犯罪实施技术手段的演变
当前,电信网络诈骗犯罪呈现专业化、产业化以及跨国境趋势,整个犯罪过程实施形成了成熟的、流水线式的上下游犯罪链条。
(一)上游群呼手段的演变
电信网络诈骗犯罪属于非接触性的新型犯罪,其犯罪实施首先需要利用短信、电话等通讯手段对不特定对象发送诈骗信息,骗取被害人信任。从整个犯罪链条来看该阶段属于上游犯罪,采用群呼技术手段,从最初的利用伪基站群发诈骗短信,逐渐演变到利用虚拟拨号类设备拨打电话。
1.VOIP设备
VOIP技术最初用于运营商的内部线路测试,被犯罪团伙利用后成为其上游犯罪的群呼手段。但由于VOIP设备自身特点,比如其网络结构复杂、需要专业人员进行专业化的网络配置、选择线路提供商等;同时其组网软硬件较多,涉及到语音网关、软交平台、群呼系统等,搭建一个VOIP网关系统相对来说成本很高且涉及诸多中间节点的维护;最主要的原因是该种方式容易在运营商层面通过切号信令对改号功能进行封堵,且可以通过逐级溯源追踪到是在哪个层面进行的改号,因此在近两年全国打击电信网络诈骗犯罪的大形势下,逐渐很少被使用。
2.GOIP设备
随着网络科技的迅速发展及电讯网络工具的更新换代,GOIP设备成为近年来电信网络诈骗分子的新宠。一台GOIP 设备可配备多条线路,支持接入大量手机卡,实现多个手机号同时通话,并可以通过服务器远程控制。对于犯罪嫌疑人来说,GOIP设备最突出的特点是可以实现人、机、卡分离,即有专门的卡池,专门的GOIP设备。嫌疑人可以随时启动所需卡池,随机配对。该方式灵活性极高,追踪难度极大,侦查人员往往只能追踪到GOIP设备本身,卡池和卡就很难被缴获,人就更难,导致犯罪团伙很难被打掉。正是由于可以隐藏身份、对其反制拦截和信号溯源难度都非常大,GOIP逐渐取代VOIP成为目前犯罪团伙使用最多的作案工具。
但对于嫌疑人来讲,GOIP设备也有其局限,这些局限可以成为侦查人员打开侦查思路的参考点。首先,GOIP需使用220V交流电,通常需要在固定的位置,因此很多嫌疑人会选择出租屋、宾馆、废弃的房屋等,即诈骗的中继窝点相对比较固定;其次,GOIP必须使用电脑控制端,没有手机APP。因此通过电脑连接的网络信息,可以实现追踪溯源;再次,GOIP设备在使用的时候,各个IMEI和不同的IMSI随机配对,会产生大量数据交互,运营商层面容易及时监测到异常。另外,嫌疑人在搭建运营交换支撑系统时,大部分数据会在租用的服务器上有留存。
3.多卡宝
近年来,很多电信网络诈骗案件的嫌疑人会利用一类被称做“多卡宝”的设备建立服务点,为犯罪活动提供话务技术支持。多卡宝本质上也是GOIP设备,每个多卡宝只有4个卡槽,但却可以进行最多64个设备的级联。该类设备典型特点是运营商层面只登记首次插入的IMEI和IMSI的配对关系,因此当嫌疑人大量更换SIM卡时,运营商层面不易发现异常,这无疑为犯罪团伙逃避打击提供了方便;此外,多卡宝类设备价格低廉,操作简单,对电源的稳定性要求不高,且可以使用手机端APP控制,灵活机动,便于车载和移动,很难追踪溯源。
(二)下游洗钱手段的演变
在电信网络诈骗犯罪链条中,下游团伙充当洗钱的角色且手法日趋专业。嫌疑人会在诈骗既遂后迅速将非法资金通过网上银行、移动支付等方式不停地进行拆分和流转,并在不同地方取现、藏匿、分赃,资金流向异常复杂。
随着移动支付的迅速普及和应用,第三方支付和第四方支付成为目前我国的主流支付方式。相较于取得支付牌照的第三方支付,第四方支付没有支付许可牌照的要求,因此合法的第四方支付不允许进行资金清算业务。正是由于目前第四方支付“无门槛、无牌照、低成本”的状态,导致其在行业竞争中逐渐偏离自身定位,很多第四方支付平台逐渐走向灰色地带,成为电信网络诈骗、网络赌博等犯罪团伙漂白非法资金的“绿色通道”,为其提供支付和资金结算业务。
2020年以来,随着国家对电信网络新型违法犯罪的打击力度日益加大,依托非法第四方支付技术的跑分平台应运而生。所谓跑分,即是披着网络兼职的外衣,给犯罪团伙洗钱的手段。通过对众多电信网络诈骗案例的研究可见,这种跑分平台大都是“多对多”的,即利用同一批跑分客,同时为多个上游团伙提供资金清算服务,导致在很多案件查处过程中,对涉案资金流的调查很难理清;此外,目前越来越多诈骗团伙利用区块链技术引入虚拟货币跑分模式,该方式隐蔽性更强,打击查证难度更高。同时由于各国司法体制不同,对于涉及跨国(境)的电信网络诈骗犯罪活动,其追赃挽损工作更难。
二、电信网络诈骗案件侦查难点分析
溯源取证难是电信网络诈骗案件侦查实务中最突出的问题所在。电信网络诈骗犯罪实施过程中,处于犯罪链条不同环节上的团伙成员各司其职,给公安机关的调查取证工作带来极大挑战。该类案件中,嫌疑人大多使用多卡宝、络漫宝等GOIP类设备,采用人、机、卡分离的方式隐藏自己,实施跨地区甚至跨境诈骗。从网络流角度看,嫌疑人已从最初的虚假链接、木马链接等方式逐渐衍生为利用社交软件、视频会议软件、屏幕共享、虚假APP等来实施诈骗,致使公安机关在案件侦查时很难查明嫌疑人的真实位置及身份;从人员流角度看,犯罪团伙逐渐趋于组织化、集团化、跨国境作案,链条上各个环节之间互不相识,即便打掉某一环节,也很难继续挖出其他团伙成员,尤其是想打击境外首脑或幕后金主更是难上加难;从资金流角度看,嫌疑人往往通过黑灰产人员高价购买他人身份来注册银行卡、手机卡以及利用第三方、第四方支付平台、虚拟货币等方式建立洗钱通道。
此外,电信网络诈骗涉及多个犯罪环节,所涉罪名复杂多样,形成其一系列罪名体系。在司法实践中,一方面要根据嫌疑人在犯罪实施过程中的具体行为以及所发挥的实际作用准确认定其罪名,同时,还要注意解决不同罪名之间的争议问题。对此,电信网络诈骗案件侦查过程中,侦查人员应从嫌疑人所处地位、具体分工、实施行为、利益分配等细节着手予以判断和认定,并在调查过程中及时调取聊天记录、资金流水、后台数据等电子数据证据,强化证据意识。这些都是精准打击电信网络诈骗犯罪的需要。
三、电信网络诈骗案件基本侦查途径
电信网络诈骗犯罪的实施离不开“参与人员”“信息传递工具”和“资金转移通道”三个核心要素,因此对人员流、信息流和资金流的查证是该类犯罪侦查的三个基本途径,“三流”侦查目的一致,但切入点不同,既相互独立,又相互交叉。
(一)信息流调查
从信息传递工具的角度,信息流的查证工作通常从犯罪嫌疑人作案过程中使用的通讯工具、网络身份、涉案网址等展开调查。本文所指的信息流包括通讯流和网络流。
1.通讯流
通讯流查证主要从嫌疑人使用的涉案通讯工具入手,包括固话、手机、网络电话、400电话等,对于不同类型的通讯号码,除了基本的通话记录及电子话单等信息外,还需分别向相应运营商、运营公司、代理销售公司等对应采集相关数据并进一步分析研判。此外,对于固话和手机号码,还包括号码归属地、号码属性等信息的调查;对于网络电话、400电话等,还包括代理公司、绑定号码、维护信息、登录IP等的调查;对于170、171虚拟运输商的数据查询,既可以通过号码通话所在地所属基础运营商查询,也可以通过类似“虚商在线”等网站查询。
2.网络流
网络流数据是对嫌疑人进行身份确认及实施落地抓捕的关键环节。其调查涉及内容复杂,主要包括社交类信息、网站类信息、应用程序(APP)类信息、金融支付类信息等。
社交类信息中嫌疑人更多已不再使用微信、QQ、抖音等主流软件,而是采用类似蝙蝠、Telegram等小众加密聊天软件,调查时应重点关注涉案账号的注册信息、登陆IP、加入群组、关联好友等,并对其关联对象进行拓展查询和落地查证。
网站类信息可以首先对网址进行落地调查,发现其对应服务器的IP,同时还可以通过WHOIS查询等方式对域名进行解析,了解该域名所属注册商、注册时间等公共信息。如果域名没有进行WHOIS信息保护,还可发现域名所有者信息、支付信息等。此外还可以对同一注册人注册的其他域名信息进行调查。
对应用程序(APP)类信息应及时提取受害人手机或电脑中的恶意程序或控制软件,并对其进行专业的分析或反编译等,发现数据流转的服务器或电子邮箱等。
金融支付类信息可以从网银登录的IP或支付宝、财付通、百度钱包等第三方支付平台的使用信息入手,尤其应将关注点放到嫌疑人消费类网购信息的痕迹上,进而去发现其生活账号、交易记录以及极有可能暴露其真实居住地的信息,从而顺线追查发现破案线索。
(二)资金流调查
从资金转移通道的角度,资金流调查是电信网络诈骗犯罪侦查过程中具有核心地位的一条主线。
1.涉案银行信息的查证
涉案资金流的侦查工作,可以从受害人处获得的涉案银行账户或第三方支付平台账号入手进行突破。对于涉案银行账户可以首先至发卡行调查其基本信息情况,包括开户信息、账户余额、手机号码等,同时调查该账户有哪些电话对其进行过查询、转账等,该账户是否在何时何IP登录过网银或者是否有使用手机银行、电话银行等。此外,还可以利用获得的手机号码在银行数据库中进行查找,发现该号码注册的其他账户信息或者参与过哪些账户的转账,这对发现嫌疑人的生活账户很有帮助。对于第三方支付账号可以通过查询交易明细调取电子订单号,进而查询收款账户具体信息,同时为后期的止付、冻结做准备。
2.资金转移方式的研判
通过综合分析涉案银行账户信息掌握其资金流转情况后,可根据出金入金特征进一步研判嫌疑人资金转移、洗白方式及主要调查攻坚方向,明确其属于洗钱环节上的买卖“两卡”行为、“跑分”行为或是“水房”还是“地下钱庄”等。例如,“水房”一般是专门负责资金转移的团伙,他们出金速度快,转款时间常在夜间,且账户通常产生构造性交易;而“地下钱庄”一般是专门负责资金洗白的团伙,其账户为了伪造正常交易的假象,通常出金时间比较分散,且金额和频率也不固定。
3.调查的基本思路
对于采用一、二、三级等多级分销方式进行卡卡转账的嫌疑人,基本调查思路是顺线追踪。从调查一级账户的交易明细开始,根据受害人交易的时间及金额,找出其转入资金,然后顺线查清资金最终流向,直至取现、消费或转入第三方支付机构。
犯罪链条上的专业取款团伙被称为“车手”,一般为未成年人,负责最终的银行ATM机提现和反存。调查时首先根据交易明细中的交易网点代码查询具体取款地点,并查询具体位置。确定位置后可调取嫌疑人取款录像、ATM设备交易明细等取款信息,并根据取款人面部特征、视频追踪等发现嫌疑人身份、手机号码等线索。
(三)人员流调查
人员流信息的产生贯穿于电信网络诈骗犯罪的整个过程,与信息流、资金流都存在不同程度的交叉。人员流查证的切入点是具体案件中涉及参与人员的人身信息、组织架构以及与链条上其他人员的相互关系等。
1.人身信息的查证
电信网络诈骗犯罪参与人员的人身信息包括个人身份信息、出行轨迹信息、资金往来信息、生活消费信息、通讯信息、网络信息,以及个体生物信息。
2.组织架构及相互关系的调查
在对犯罪团伙内部人员组织架构进行侦查时,方法较为灵活。如果已经抓获其中一员,则以其为起点通过讯问横向拓展,摸清犯罪链条上的其他人员是最基本的侦查思路。此外,可通过人员流与信息流、资金流的交叉来进行侦查。
(1)通过信息流截取的嫌疑人关键信息如登录日志、操作IP、寄递物流、话单信息等时空轨迹进行综合研判。通过上述多个维度的数据信息,对犯罪嫌疑人的线上轨迹与线下轨迹进行数据碰撞,来印证多个虚拟身份是否关联到同一物理身份,线上活动轨迹与掌握的IP地址、登录日志等是否吻合,从而实现定人与定位。
(2)结合资金流线索中嫌疑人的开户信息、资金变动情况(如资金流向、金额、频率等)进行推断。电信网络诈骗犯罪人员流的核心构成逻辑是谋取非法收益,因此犯罪团伙内部人员与上下游黑灰产人员之间必然存在资金往来与关联,非法资金的流向也必然能在一定程度上反映出犯罪团伙的组织架构及与黑灰产的相互关系。此处对资金线索的追踪主要目的是在涉案嫌疑人的资金关系人中发现其他犯罪嫌疑人,并研判其在犯罪产业链中的角色和地位。
3.其他人员的查证
首先是关注黑灰产业群体的从业人员,主要包括卡商、号商、设备商等提供作案工具类的黑灰产人员和料商、线路商、引流团伙、洗钱团伙等提供非法服务类的黑灰产人员。
此外,还要关注境外重点地区电信诈骗犯罪回流人员。在回流人员中,存在许多可经营、可深挖的有效线索,甚至可能包含犯罪团伙关键人员。因此及时加强对回流人员相关可疑线索的分析研判和落地查实至关重要。
(四)案例分析
在L省J市侦破的一起虚假网络贷款诈骗案件中,被害人均为接到自称是京东金融贷款客服的香港号码来电,被询问其是否有贷款需求,进而被引流至即时聊天工具并下载贷款类涉诈APP,导致最终被骗。
本案信息流侦查阶段首先通过运营商数据对涉诈香港号码的聚集特征进行分析,对符合GOIP等群呼设备的相关特征进行筛选,并进一步对同机频繁换号、日呼叫频繁号码以及某一时段呼叫频繁号码等进行碰撞。互联网数据一方面通过购买端发现,获取淘宝、京东、拼多多等商家店铺出售境外号码信息以及相关寄递物流信息;另一方面对嫌疑人使用的蝙蝠等小众即时聊天工具的登录及聊天等信息进行重点关注。
本案中诈骗团伙主要通过第三方收付款账号进行非法资金转移,侦查人员在对涉案资金流进行侦查时发现,有70余个可疑第三方收付款账户存在分散式转款等异常行为,进一步调查发现其绑定的虚拟身份及银行卡信息与已掌握的虚拟身份能够对应,且部分第三方支付账户中有多笔生活消费。
以上侦查过程中,人员流的分析研判始终贯穿其中。侦查人员以手机数据、话单数据、网络数据等为基础,通过数据挖掘获取了嫌疑人的资金流转、交往关系等衍生数据,进而分析研判出诈骗犯罪团伙人员的组织架构。
综合来看,信息流、资金流和人员流的侦查都有其各自的指向和特点,在实践中往往需要“三流”同步开展侦查,但研判思路各有侧重,最终实现全链条打击。
四、结语
电信网络诈骗大案要案频发,已成为我国当前第一大类案,严重侵害人民群众财产安全,影响社会和谐稳定。反诈法及相关法律政策的出台加强了重点行业的治理,对互联网平台、运营商与金融机构等都有了更为明确的要求,对进一步完善我国治安防控体系,提升公安机关对电信网络诈骗犯罪活动的综合打击、防范监控能力,具有重要的社会意义。