《反电诈法》出台背景下“断流”行动创新研究
2023-10-27丁建伟
丁建伟
(郑州警察学院,河南 郑州 450053)
针对当前电信网络诈骗犯罪的高发态势以及相关灰黑产业蔓草难除的问题,公安部于2021 年5 月部署全国公安机关开展断流行动,剑指“人员流”,势必要死死掐住电信网络诈骗犯罪的“七寸”。公安机关若能在断流行动的基础上,深挖各类信息,扩大犯罪线索,落实和完善“落地侦查”制度,必定能将犯罪分子的嚣张气焰打下去,切实维护人民群众合法权益和社会治安大局稳定。
一、电信网络诈骗犯罪侦查难点及“断流”行动分析
(一)电信网络诈骗犯罪侦查难点
根据《反电诈法》第2 条,本文所研究的电信网络诈骗犯罪是组织者和管理者通过招募话务人员搭建完整犯罪组织架构,借助虚拟空间,勾结黑灰产业链,以通讯和网络技术为手段远程异地作案,诈取公私财物,并具有严重社会危害性、违反相关法律、应受刑法处罚并依法追究刑事责任的一系列违法行为的总和。
现阶段打击电信网络诈骗犯罪因为国内外差异、联合执法困难、窝点证据难保存等困境而陷入瓶颈。该困境的表现有三:其一,由于电信网络诈骗犯罪呈现鲜明的远程非接触性和匿名性。嫌疑人与被害人的交流往往发生于虚拟空间,且嫌疑人在作案过程中,习惯性采用异地登陆、频繁更换账号、加挂VPN、使用虚拟定位软件等方式进行身份、位置伪装,受制于技术和法律规定,侦查人员难以判断境外作案窝点位置、团伙架构,给电信网络诈骗犯罪的全链条打击造成了实际困难。其二,电信网络诈骗犯罪的隐蔽性和区域跨度大的特点造成取证和国际执法障碍重重,提高了公安机关的打击成本。其三,电信网络诈骗犯罪的瞬时性极大危害区域经济发展和社会稳定,而以往“由案到人”的侦查模式只是针对嫌疑人员实施事后打击,具有被动性和消极性,对于日益猖獗的电信网络诈骗犯罪往往无济于事。
电信网络诈骗犯罪的受害者数量庞大、涉及金额数量众多,对互联网安全和人民群众财产安全构成极大的威胁,冲击了社会既有运行制度,容易造成社会信任感缺失等其他次生问题,是数字时代风险对当下的法治安全与公民利益的挑战。当前和今后一段时期是以电信网络诈骗犯罪为代表的新型网络犯罪的集中高发期,这一现状将成为公安机关长期面临的主要挑战,因此,从国家机器顶层设计和宏观政策出发,吸收断流行动精华,是极有必要且十分重要的。
(二)“断流”行动系统分析
断流行动是由公安部部署全国公安机关的一次针对于电信网络诈骗犯罪、尤其是跨境电信网络诈骗犯罪的一项专项行动,本文从实施背景、实际构建、实效分析三个方面对该项行动进行系统的阐述。
1.“断流”专案行动实施背景
2021 年5 月21 日,公安部部署全国公安机关开展断流行动,紧盯目标任务,精心组织、周密部署,挂图作战、合成攻坚,迅速开展落地核查和收网抓捕,通过斩链条、断通道,挖“金主”打“蛇头”,向招募人员赴境外实施电信网络诈骗犯罪发起凌厉攻势。[1]“两卡”和“犯罪嫌疑人”,是电信网络诈骗得以延续的两大要素。过去,公安机关等主要部门打击电信网络诈骗犯罪主要是从断卡、断“信息流”“资金流”“网络流”这几个方面来入手,但是随着时间的推移,以上方法产生的效果已经不能满足现阶段打击电信网络诈骗犯罪的需求,所以在后疫情时代,开展以切断“人员流”为主的断流行动是非常切合时宜的。
2.“断流”专案行动实际构建
第一步,召开联席会议,统一部署,协同作战。2021 年,公安部召开联席会议,统一规划组织断流行动各个环节的运行,由公安部刑侦局组织协调各部属单位,发挥各单位管辖优势,强化整体作战能力。最后在各地形成一定基础的情况下,组建以业务骨干为基础的专门工作组,整合区域优势,坚持目标导向,发挥各部门能动性,深入开展断流行动。
第二步,着眼特殊人群,有效切断招募人员通道。各地公安机关以“一团伙一专班、一案一斩链”为行动指示,开拓境内外双战线,开展全链条侦查治理。F 省某市公安局立足实践,将数据研判与规模打击相结合,关联招募人员和话务人员并进行轨迹跟踪,待时机成熟,一举抓获并严厉打击相关人员,切断境外招募人员通道。
第三步,应用新式技战法,立足境内,以缅甸北部地区和东南亚国家为重点,锁定境外网络诈骗窝点和相关人员,全面掀起境外打击新高潮。国内应收集整理个别地区的先进经验再号召各地组织学习,向走私者组织及国内相关犯罪链条发起攻势,以查明、锁定境外电诈窝点和相关人员为目标,建设边境工作站,集中各地力量开展“定人、定位、定案”的“三定”侦查。S 省某市公安局通过对境外回国的人员甄别分析,发现犯罪团伙通常以高薪回报为诱饵,从江西、四川、云南、湖南、湖北等内陆地区招募、组织人员非法出境实施电信网络诈骗。公安机关通过应用新式技战法,查明多个团伙在东南亚国家郊区、农村等人迹罕至的地区租赁民房、工厂厂房,在其中实施境外电信网络诈骗相关活动,相关人员达1000 余人。因此,新式技战法的应用是“断流”行动不可或缺的一部分。
第四步,注重证据法定,串并案件,对类案、大案进行组合打击。各地通过审讯攻坚、固定证据,充分运用好《反电诈法》的政策支持,联合各部门及有关单位,严格把控各环节,对犯罪性质、犯罪手段与方法、侵害对象具有相似性的电信网络诈骗犯罪进行串并案组合打击。在具体实践中,某公安厅从全省各机关抽调人员组成专班队伍,集中研究学习法律文件及最高指示,统一开展案件研判以及审讯攻坚,以科技助能,收集境内外异常活动线索,深挖串联出境外电诈团伙实施电信网络诈骗案件百余起,对此类案件进行规模打击。
3.“断流”专案行动实效分析
断流行动是一项成熟的行动,是建立在“断卡”行动对涉电信网络诈骗案件的信息流、资金流实施了一定的控制的条件下的一次斩断电信网络诈骗犯罪“人员流”的行动。这项行动的重点不在于两卡、不在于信息研判,而在于如何控制电信网络诈骗犯罪中的“人”,并“由人到案”发现和确认未知的犯罪事实。经过我国公安机关及相关部门的努力,截至2022 年2 月,基于断流行动,全国公安机关针对跨境电信网络诈骗犯罪的打击取得重大成效。破获刑事案件5796 起,抓获犯罪嫌疑人48346 名,其中,组织招募者2614 名、运送接应者等黑灰产人员2466 名、非法出境人员43266 名,串并破获电诈案件1495 起,挖出境外窝点167个、“金主”82 名。[2]断流行动剑指境外,打击锋芒从源头贯穿至尾端,配合“断卡”行动的信息源支持可谓势如破竹。并且在断流行动的数据支持以及前期基础的帮助下,全国公安机关持续深入打击治理电信网络诈骗犯罪,破获电信网络诈骗案件46.4 万起,成功避免大量群众受骗,电信网络诈骗犯罪快速上升态势得到有效遏制。[3](见图1)
图1 全国破获电诈案件数量图
过去我们分析、研究、打击电信网络诈骗违法犯罪总是囿于“信息流”“资金流” 灰黑产业链条等。而如今从断流行动的实效来观察,从“人员流”入手才是更切合当今时代的打击电信网络诈骗违法犯罪的破局之道,因此基于《反电诈法》的背景,研究如何从“人员流”方向提取转化运用具有出奇制胜的重大意义。
二、《反电诈法》出台背景下“断流”行动创新研究
《反电诈法》自2022 年12 月1 日起施行。该法对电信网络诈骗犯罪的规制逻辑为以人民为中心,在电信、金融、互联网等领域作出特别规定,针对交叉领域运用综合措施补足,压实各方法律责任,为治理电信网络诈骗活动提供了有效的预防和惩罚措施,填补了以前一些环节的法律真空,打击各类涉诈黑灰产业,旨在从根本上铲除电信网络诈骗活动滋生土壤。《反电诈法》的制定契合犯罪治理实践的需要,对于电信网络诈骗犯罪综合治理有着里程碑式的重要意义。[4]并且《反电诈法》对于断流行动的创新性转化运用也极具推动作用。《反电诈法》在电信治理、金融治理、互联网治理、综合措施四个角度均阐述了对“人员流”把控的法律依据,并在第35 条、第36 条直接指出需要对电信网络诈骗涉诈人员重灾区重点管理,对出境可能从事电信网络诈骗犯罪的人员进行重点管控,对因从事电信网络诈骗犯罪收到刑事处罚的人员,刑罚结束后六个月起三年内不准出境。换而言之,在《反电诈法》出台的利好背景下,可以更好地汲取断流行动的法治营养,深挖其内在构建,并且在此基础上,对断流行动进行创新运用,以达到事半功倍的效果。
犯罪形态变迁呼吁侦查打击措施的转型。笔者根据《反电诈法》第27 条之规定“公安机关应当建立完善打击治理电信网络诈骗工作机制,加强专门队伍和专业技术建设,各警种、各地公安机关应当密切配合,依法有效惩处电信网络诈骗活动”。[5]借助断流行动的春风,以“人员流”为维度转化运用,判断出电信网络诈骗犯罪的三个阶段并延展出更多维度的侦查法,旨在结合实时动态抓取“人员流”“资金流”“信息流”“网络流”获取的信息,通过核心要素的关联,从侦查角度入手,创新性增加对犯罪预备阶段的关注,旨在防止嫌疑人出境造成的侦查被动局面,完成主动预防以及揭露和证实电信网络诈骗犯罪的任务,力求清楚全面地认定电信网络诈骗犯罪事实和行为人。因此,本文旨在研究由“人员流” 为主,“资金流”“信息流”“网络流”为辅多维联动的侦查模型,以期组成完整的线路模式,促进更深层次的研究。
(一)人员流维度策略论述
1.犯罪准备阶段。第一,立足境内,收集寻找境内实施人员相关情报。在收集汇总前期信息情报的基础上,通过技术手段和大数据分析研判出可疑服务器和IP 地址,并且筛选出已经抓获的犯罪嫌疑人原异常轨迹,判断形势、总结规律,据犯罪嫌疑人户籍、境内外串通时间、同行人数、实施方式、出境口岸等信息特征,搜索其他重点嫌疑目标情报,建立健全跟踪管控机制。第二,将所获得情报比对出入境管理系统中符合上述特征的人员信息,进行前期信息与人员研判的数据碰撞、进一步锁定犯罪嫌疑人,将其纳入侦查打击视线。第三,打好人员管控仗,将可疑人员加入“重点人员数据库”,在境内从法律层面发布“劝回公告”,劝导犯罪嫌疑人主动回国;或者在犯罪嫌疑人护照到期,被动回国时,对其展开布控。第四,通过模拟分析窝点构成、还原作案的时空信息,确定其电信网络诈骗的案件类型、窝点运作模式及规律、窝点人员构成、诈骗针对人群等重要案件事实。并根据已经获得的案件信息在公安大数据系统中进行案件串联,实现“人案关联”“人证关联”,最后,根据人员证言以及被害人的陈述,收集提取固定形成完整的证据链条和起诉所需的证据材料。
2.犯罪实施阶段。要通过实时抓取的动态监控数据筛选人员流、资金流、信息流、网络流,运用数据挖掘的方法来梳理可疑人员的行为模式,并及时进行劝阻和资金止付。一旦发现可疑呼叫或异常资金流动并确认正在实施犯罪后,一方面需要紧急止付,另一方面可以利用资金流维度提供的信息,寻找嫌疑人的银行账户,并调查其关联账户所有人的身份信息,将研判获得的信息与数据库内的可疑人员再进行比对挖掘,完成从虚拟空间到自然人的追溯,并将信息归入犯罪数据库中。[6]同时立足社区网格设立一套预防劝阻机制,使反诈工作实体化。建立科学的预防体系第一步是成立劝阻预防专班,坚持“以专对专,以快制快”,由地方分局成立专班,负责牵引指导全局的预警反制工作。反诈专班实行全天候24 小时运作,对大数据平台下发的紧急预警、上报的流转预警,进行即时分析研判,及时下发流转,确保信息的准确性和及时性。第二步是建立分局-派出所-社区的信息流转网。依托各县市建立的联合反诈中心,分局分派信息,派出所应当根据预防信息的重要程度决定是电话劝阻或是上门劝阻。同时各派出所设立派出所指挥室微信号,并将微信加入各街道社区的工作微信群,由该微信群中的街道社区领导,接受派出所下发的预防劝阻信息,再将预防劝阻信息流转到居民业主群中,争取做到不漏一户、不漏一人。
预防信息的收集和落地的重点就在于建立一套预防反制信息流转模式(见图2),该模式的运行主要是以各级的反诈中心信息平台为中心,将涉诈信息直接发送给所属辖区的派出所指挥室,指挥室再联系各街道社区,尤其是社区网格员,利用社区网格员的群众基础和手机通讯软件的传播速率,从而将下发来的涉诈信息核实区分为“低危、中危、高危”并将信息反馈至派出所指挥室,最终由辖区派出所派遣专业人员进行预防劝阻。该模式能帮助在预防治理的各个层级明确任务定位,分级联动预防劝阻,更高效地进行预防治理工作。
图2 预防反制信息流转图
预防劝阻模式主要探究三个方面,一是探究线上线下双路线,线上,对下发的预防劝阻信息,各派出所依托96110 全国反诈专用号码,对预防劝阻信息进行首次电话联系,消除群众顾虑,并同步开展信息流转与预防。线下,对社区网格员发现的线索,分局及时组织力量进行打击查处。二是警民联动同步工作模式。虽然上文明确了预防反制信息流转模式,但在现实工作中,上门劝阻工作往往是由警民联动同步开展的。村社干部、社区网格员充分发挥地域优势,派出所民警则发挥专业优势,强强联合,从而取得良好的工作实效。三是劝阻回访同步进行。分局反诈专班每日对发案进行分析,从案件笔录中,总结诈骗分子心理变化,通过常态化案后回访,了解被害人的心理变化,并将这些心理分析与全局民警和参与预警反制工作的网格员进行共享,让预防劝阻更有针对性。
3.犯罪完成阶段。一方面,进一步将犯罪实施阶段确定的嫌疑人信息与“数据库”中的人员信息进行比较,以跟踪其犯罪伙伴和上游组织者,另一方面,由于电信网络诈骗专业化、链条化、分工明确的特点,通过节点的联系频率和数量,利用社会网络分析结合对已侦案件的审讯攻坚,梳理整个组织的人员架构厘清该犯罪团伙成员间层级,寻找犯罪团伙组织架构的相关线索。在这一阶段,一般可以采用相关技术侦查措施与内外线侦查手段。
(二)资金流维度策略论述
1.犯罪准备阶段。要管控好潜在“卡农”,积极开展“断卡”行动。鉴于求财是电信网络诈骗犯罪的终极目标,为了达到目的,高层管理人员会通过招募“卡农”的手段割断资金流向的关联。当前,犯罪分子所使用的银行卡多是“人头卡”,这种具备实名信息的银行卡为犯罪分子从他人处收购而来,针对“人头卡”,可以开展实物追踪。通过查找银行账户的办理人,明确收卡人的联系方式及银行账户的寄售的邮寄信息,从而明确收卡人的位置及联系方式,研判洗钱的窝点。
2.犯罪实施阶段。要注意监控异常流动资金。犯罪进行中嫌疑人获取和转移的赃款以及受害者向嫌疑人帐户转账都会在银行流水中体现。根据《反电诈法》第18 条规定,侦查机关可以结合银行预警信息并根据以往案例中总结提取的“快进快出”“小额测试”“特殊金额交易”“特殊备注交易”“交易金额大”等异常流动资金特征,对可疑账户进行实时监控。同时公安机关对于犯罪的实施阶段的资金流动也可以采取相应的措施。如,《反电诈法》第20 条规定了五种公安机关有权依法决定采取的措施,包括即时查询、紧急止付、快速冻结、及时解冻和资金返还。[7]
3.犯罪完成阶段。要分析嫌疑人账户的资金流水。分析嫌疑人账户的整体交易特征,包括交易总额、交易对手数、交易次数、收支情况等,通过时空布局法以及数据的转换、拓展识别主要来源账户和主要去向账户,分析洗钱网络的结构和核心节点。在此基础上,可以向受害者询问向诈骗分子转账所用相关平台以及自身和对方的银行卡账号、资金转账二维码,进而分析与该账户发生过转账行为的关联银行账户,获取资金流向并梳理各级账户的关系以及承担角色,固定好电子证据。
(三)信息流维度策略论述
1.犯罪预备阶段。要加强对黑灰产业集群行为动向的预警监测。在本阶段,黑灰产业链相关主体会搜集潜在受害人信息,通过对恶意获取线下实体场所和线上网络媒介中留存的个人信息的行为进行分析倒溯,查清楚表层信息源头。结合日常案件研判和《反电诈法》出台的背景,笔者认为本阶段可以通过日常联合摸排相关场所进行阵地控制、注重网络身份活动情况,由一些黑话隐语锁定到固定的网络账号,再由网络账号锁定出一系列信息;筛选全民开放式投诉网上违法违规平台投诉名单、关键词和犯罪隐语搜索法,最终依靠化装侦查主动贴靠法对相关黑灰产业链进行打击监控。
2.犯罪实施阶段。要实时监控敏感字眼。目前电信网络诈骗过程中,嫌疑人在交流时一般使用某些特定字眼和术语以躲避侦查视线。但从隐蔽角度来看,目前嫌疑人也越来越狡猾,在沟通过程中均不使用正常字眼开展,而是选择使用同音不同形的文字替代,列如:网贷—wd、贷款—dk、网贷料—王带料、贷款料—带宽料。因此在犯罪实施阶段中,可通过一些关键词的盲搜去发现一些可能正在发生的电信网络诈骗案件。
3.犯罪完成阶段。需时刻关注服务器的信息来源,利用信息来源进一步反向侦查。信令器编码是信息流的关键因素,在前期准备充足的情况下,时刻紧盯境内为境外引流团伙及其设备。具体侦查思路,一是鉴于引流这一行为需要大面积的撒网,那么就一定会在网络上留下蛛丝马迹,可以与公安机关组织的打击黑灰产行动进行联通,在查获的黑灰产中获取引流信息的来龙去脉。二是利用引流组织所使用的设备特点进行重点摸排,可以重点对长期放在放置在办公区域,通讯基站等较为固定;主叫较多,被叫较少,通话短暂而频繁;短信量大;使用GOIP 设备辅助的设备进行回溯。信息流作为打击电信网路诈骗犯罪环节中流通性最强的部分,要时刻与资金流、人员流、网络流等资源时刻并联,以期能在电信网络诈骗犯罪完成后更快地锁定犯罪地、犯罪物以及犯罪嫌疑人。
(四)网络流维度策略论述
1.犯罪预备阶段。需要利用先前人员流、资金流、信息流积累下来的资源优势,使用类CIPAV 的资源查询器来对可能发生电信网络诈骗的网站、APP 等进行摸排,主要通过查询该虚拟地址的IP、MAC 接口、开放端口、基于的操作引擎以及最新登录的URL,并通过整合分析,定位至准确的物理地址上,再利用前期人员流的预警模型以及流转模型,对犯罪行为人或者是潜在受害人进行干涉。
2.犯罪实施阶段。一是要结合相关网站和账号多角度提取IP 地址。结合网侦技术查询,通过网警相关系统对涉案社交网络平台账号进行查询,获得该账号的登录日志及发言时的IP 情况。二是要全方位关联IP 地址。通过开源情报工具对域名进行解析,获取域名对应的IP 及该IP 的运营提供商,并通过IP 反查所关联的所有域名。常见的网站域名注册信息有:注册公司的名称、注册地址、域名注册人、联系方式、技术维护人员、域名到期日等信息,根据以上信息可研判该域名所属人,若所属人身份为假,可通过其他方式调查。[8]对于诈骗APP,通过抓包软件对APP 运行时的网络活动进行监控,从而查找出APP 访问的域名,再通过上述手段查找出APP 对应的服务器IP 数据。三是要深层次解读IP 地址。通过使用网警查询系统,对嫌疑人多次登录互联网的IP 进行提数,获取多个时间节点与登录IP 相关联的WiFi 或者移动互联网设备,再通过专业系统对WiFi 下设备或关联的移动互联网设备的APP 装机情况进行分析,以判断可疑设备与案件的相关联度,研判出高度作案嫌疑的设备,再通过对设备在作案时间的WiFi 环境及物理位置进行分析,从而明确嫌疑窝点的具体位置。
3.犯罪完成阶段。使用回溯信息侦查法迅速对涉诈信息和犯罪嫌疑人相关信息进行关联串并,整理思路。充分利用涉案APP、网站解析信息,拓展团伙架构、人员信息。一是利用数据分析系统对涉案APP 进行的提数分析,获得APP 全域安装分布,结合在资金、网络流中初查判断得到的窝点大致位置,对该位置区域内安装APP 设备的四码、经纬度、安装、行为习惯等进行数据分析,综合判定作案设备位置、环境,并由此入手来进行拓展、提数,明确窝点架构和人员情况。二是利用数据分析系统对案发时间段内从资金流、网络流中截取到的相对固定ip 进行提数分析,看是否有设备、wifi能精准比中,以此再进行wifi 位置、关联设备及设备持有人员信息、身份的拓展分析。三是通过对涉案APP 解析、作案网站实时数据抓包分析,获取APP、网站的客服座席ID,通过到对应科技公司对该ID 进行注册、支付、登陆数据调取,再利用数据分析系统对调取到的数据(设备imei、ip)进行分析、提数,获得使用客服座席设备的经纬度、关联wifi 等信息,之后再进行数据轨迹、实人轨迹匹配分析。需要注意的是,利用数据系统进行分析、提数,获取到精准匹配设备四码、关联wifi 存在一定概率,在获取到相关数据尤其是wifi 信息后,要通过相关数据、科技公司对该wifi 下登陆、关联账号进行环境反查、资金反查,以此来进一步印证窝点架构、涉案人员情况的准确性。
三、结语
《反电诈法》致力于维护社会和谐稳定,保障公私财产安全,满足发展与安全切实需求,为前瞻性、先导性地开展电信网络诈骗联查工作提供法律武器,是在法治轨道上打击治理电信网络诈骗犯罪的创新实践。面对电信网络诈骗“流水线”式作业分工的现状,笔者借助《反电诈法》的利剑,创新转化断流行动经验教训,延展打击电信网络诈骗的传统“四流”侦查法理论为支撑,致力于监控已知犯罪、监测异常行为、发掘潜在犯罪,总结出一套以“人员流”维度为主,“资金流”“信息流”“网络流”维度为辅的侦查模型,旨在为打击电信网络诈骗提供一种新思路,减少因诈骗分子出境造成的被动局面,争取打好情报信息的研判仗、境外窝点的清除仗、技术手段的反制仗,摧毁电信网络诈骗的犯罪生态,实实在在解决好人民群众最切身、最现实、最直接的利益问题。