網(wǎng)絡(luò)詐騙中目標(biāo)網(wǎng)站的調(diào)查取證方法研究

◆張雪 王云峰

（甘肅政法大學(xué)（蘭州） 甘肅 730070）

從公安部的數(shù)據(jù)獲悉，目前，網(wǎng)絡(luò)詐騙已經(jīng)成為國(guó)內(nèi)發(fā)展最快的刑事犯罪，網(wǎng)絡(luò)詐騙案件占比快速上升，已經(jīng)達(dá)到了85%以上。網(wǎng)絡(luò)詐騙的手法也是千變?nèi)f化，層出不窮，使人民群眾遭受了巨大的經(jīng)濟(jì)損失，并且嚴(yán)重影響了整個(gè)社會(huì)治安的和諧穩(wěn)定和繁榮發(fā)展。

1 網(wǎng)絡(luò)詐騙的含義及特點(diǎn)

1.1 網(wǎng)絡(luò)詐騙的含義

網(wǎng)絡(luò)詐騙犯罪嚴(yán)重危害了公民的合法財(cái)產(chǎn)利益、破壞了誠(chéng)信體系建設(shè)，已經(jīng)成為當(dāng)今社會(huì)的一大“毒瘤”。網(wǎng)絡(luò)詐騙通常是指行為人帶有非法占有目標(biāo)對(duì)象財(cái)物的目的，使用現(xiàn)代通信技術(shù)和手段在互聯(lián)網(wǎng)上實(shí)施詐騙的一種違法犯罪行為[1]。它是一種非接觸性、智能、網(wǎng)絡(luò)化程度較高的一種新型犯罪方式。它的社會(huì)危害性遠(yuǎn)遠(yuǎn)大于傳統(tǒng)的詐騙。

1.2 網(wǎng)絡(luò)詐騙犯罪的特點(diǎn)

我國(guó)互聯(lián)網(wǎng)的普及率一直在持續(xù)增長(zhǎng)，21 世紀(jì)已經(jīng)全面進(jìn)入了全民互聯(lián)網(wǎng)時(shí)代。根據(jù)，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）第48 次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2021 年6 月份，我國(guó)網(wǎng)民的總體規(guī)模超出10 億。與2020 年12 月份相比較增長(zhǎng)了2175 萬，中國(guó)城鄉(xiāng)地區(qū)互聯(lián)網(wǎng)的普及率分別達(dá)到78.3%和59.2%。

隨著我國(guó)互聯(lián)網(wǎng)普及率的提升，網(wǎng)絡(luò)詐騙犯罪隨處可見。這些網(wǎng)絡(luò)犯罪案件也表現(xiàn)出一些共同的特點(diǎn)，簡(jiǎn)單來說主要包括以下幾點(diǎn)：

（1）隱蔽性

犯罪分子利用互聯(lián)網(wǎng)的虛擬性這一特點(diǎn)，以不真實(shí)的身份在互聯(lián)網(wǎng)平臺(tái)實(shí)施違法犯罪活動(dòng)。在實(shí)施犯罪行為的過程中不直接與受害人直接面對(duì)面接觸，作案時(shí)間以及地點(diǎn)難以準(zhǔn)確認(rèn)定，作案時(shí)間和犯罪結(jié)果相互分離。因?yàn)槿藗儷@取的信息具有不對(duì)稱性、不透明性等一些特點(diǎn)，所以犯罪分子充分利用這些特點(diǎn)使得網(wǎng)絡(luò)詐騙的過程更加具有隱蔽性[2]，在實(shí)際案例中，給公安部門的調(diào)查取證工作增加了很大的技術(shù)上的難度。

（2）技術(shù)性

隨著互聯(lián)網(wǎng)技術(shù)的持續(xù)進(jìn)步和升級(jí)，實(shí)施網(wǎng)詐的犯罪分子也不斷地在提高和改進(jìn)自己的詐騙技術(shù)手段[3]。一般來講，網(wǎng)絡(luò)詐騙犯罪人員的知識(shí)儲(chǔ)備中有計(jì)算機(jī)方面以及網(wǎng)絡(luò)技術(shù)方面的一些專業(yè)基礎(chǔ)知識(shí)。不管是在網(wǎng)絡(luò)刷單詐騙中盜取目標(biāo)對(duì)象登錄的賬戶和密碼，還是以受害人點(diǎn)擊釣魚網(wǎng)站鏈接詐騙中建設(shè)與真實(shí)的網(wǎng)站，極度相似的虛假網(wǎng)站等，都需要儲(chǔ)備一定程度的網(wǎng)絡(luò)計(jì)算機(jī)方面的技術(shù)。

（3）跨國(guó)性

犯罪分子的詐騙手法跟隨著最新的技術(shù)、最新的應(yīng)用以及新型的產(chǎn)業(yè)形態(tài)的出現(xiàn)而出現(xiàn)并且不斷地迭代升級(jí)。由于目前我國(guó)對(duì)網(wǎng)絡(luò)詐騙的打擊力度的進(jìn)一步加大，網(wǎng)絡(luò)詐騙的窩點(diǎn)、據(jù)點(diǎn)迅速地向境外發(fā)展轉(zhuǎn)移。大部分實(shí)施網(wǎng)絡(luò)詐騙的行為人，往往都是采用通互聯(lián)網(wǎng)這一網(wǎng)絡(luò)媒介，跨國(guó)進(jìn)行作案。這種網(wǎng)絡(luò)犯罪方式，它可以跨越國(guó)界，超大幅度地發(fā)送各種詐騙信息，不同于傳統(tǒng)意義上的詐騙，傳送到目標(biāo)地點(diǎn)的這些詐騙信息不會(huì)被空間與時(shí)間所限制。不管與存在互聯(lián)網(wǎng)的地點(diǎn)有相隔萬里的距離，只要此時(shí)有人正在使用互聯(lián)網(wǎng)，那么受害人就很可能是正在使用互聯(lián)網(wǎng)的每一個(gè)人。因此，遭受網(wǎng)絡(luò)詐騙的受害者范圍相當(dāng)?shù)膹V泛且復(fù)雜[4]。

2 網(wǎng)絡(luò)詐騙的主要類型

我國(guó)每天都有龐大數(shù)量的詐騙案件發(fā)生，在這些形形色色的網(wǎng)絡(luò)詐騙犯罪案件中可以看出，犯罪分子使用的網(wǎng)絡(luò)詐騙的手段也是五花八門，但萬變不離其宗，犯罪分子的目的都是一致的，都是以非法占有受害人財(cái)物為目的。其中，最常見的網(wǎng)絡(luò)詐騙類型有以下幾種。

2.1 “殺豬盤”類詐騙

“殺豬盤”這種類型的詐騙是目前我國(guó)最常見的電信網(wǎng)絡(luò)詐騙類型之一[5]，所謂的“豬”是指受害人，“豬圈”，指的是婚戀交友的一種軟件工具?！柏i飼料”是指聊天的腳本。詐騙的犯罪分子首先在一些比較火熱的婚戀網(wǎng)站、交友APP 上篩選出容易上當(dāng)受騙的對(duì)象，然后再通過和目標(biāo)進(jìn)行聊天、“戀愛”，最后，通過確認(rèn)“戀愛”關(guān)系，再引誘受害人參與網(wǎng)絡(luò)賭博或者以其他投資的方式來詐騙受害人的財(cái)物。

2.2 刷單類詐騙

在校學(xué)生、文化水平低且薪資不高的社會(huì)青年以及待業(yè)在家的人往往會(huì)是網(wǎng)絡(luò)刷單詐騙的目標(biāo)對(duì)象。犯罪分子通常借助目標(biāo)網(wǎng)站、微信聊天群等平臺(tái)發(fā)布虛假招聘兼職信息的方式，以低投入高回報(bào)為口號(hào)，等到交易成功后，再提高投入金額，誘惑受害人，最后，以網(wǎng)絡(luò)或者網(wǎng)站系統(tǒng)發(fā)生故障等理由要求受害人連續(xù)多次打款，以這種詐騙手段來騙取財(cái)產(chǎn)。

2.3 網(wǎng)賭類詐騙

犯罪分子通過開設(shè)虛擬的網(wǎng)絡(luò)賭博平臺(tái)、廣告、社交軟件等，偽裝成“富豪”、“千金”等有錢多金的人物形象，以投資理財(cái)為誘餌，實(shí)際為網(wǎng)絡(luò)詐騙，有針對(duì)性、有目的性地誘導(dǎo)受害人登錄虛擬網(wǎng)站平臺(tái)或者安裝虛假軟件，從而迅速轉(zhuǎn)移受害人的財(cái)產(chǎn)。

3 網(wǎng)絡(luò)犯罪調(diào)查取證的流程

面對(duì)網(wǎng)絡(luò)犯罪案件，要對(duì)其進(jìn)行調(diào)查取證時(shí)，一定要非常清楚調(diào)查取證的手續(xù)流程。確保做到合法取證。一方面，由計(jì)算機(jī)生成的證據(jù)都是以二進(jìn)制碼反映出來并且以數(shù)字信號(hào)的方式存在的。數(shù)字信號(hào)并非是連續(xù)的。所以，如果對(duì)計(jì)算機(jī)產(chǎn)生的數(shù)據(jù)進(jìn)行篡改，比如：刪除、添加、修改、合成等形式形成的數(shù)據(jù)，利用技術(shù)手段去分辯識(shí)別它們目前還是存在相當(dāng)大的難度。另外一方面，網(wǎng)絡(luò)犯罪絕大多數(shù)都是犯罪分子借助互聯(lián)網(wǎng)這一途徑，犯罪結(jié)果的發(fā)生并不需要犯罪分子和受害人直接接觸。由于互聯(lián)網(wǎng)的全球性發(fā)展，還有不同的地域在法律法規(guī)、規(guī)章制度、公民的道德觀念以及意識(shí)形態(tài)上良莠不齊，使得大部分案件不能夠繼續(xù)偵查的，無法偵破案件，查明真相。因此，明確網(wǎng)絡(luò)犯罪調(diào)查取證的流程對(duì)公安機(jī)關(guān)偵破案件具有非常重要的意義和作用。

圖2 調(diào)查取證流程圖

第一，要?jiǎng)澐肿靼溉后w。根據(jù)網(wǎng)絡(luò)詐騙犯罪的類型，以及當(dāng)前已經(jīng)掌握的部分案件詳情，分析可能的犯罪人員，這一步是偵查人員在勘查現(xiàn)場(chǎng)前一定要提前完成的一步。

第二，查找第一現(xiàn)場(chǎng)。查找第一現(xiàn)場(chǎng)是為了明確實(shí)際發(fā)生網(wǎng)絡(luò)犯罪的地址。在發(fā)生網(wǎng)絡(luò)犯罪時(shí)，查找犯罪分子的IP 地址時(shí)首先要根據(jù)ISP 系統(tǒng)日志，同時(shí)按照DHCP 記錄，查找主叫號(hào)碼（發(fā)起呼叫的號(hào)碼）。如果顯示為境內(nèi)的號(hào)碼，要確定實(shí)際的犯罪地址可以依據(jù)查找到的主叫號(hào)碼。如果是在金融領(lǐng)域發(fā)現(xiàn)了專用網(wǎng)絡(luò)的犯罪，首先，要及時(shí)查看報(bào)案人提供的明細(xì)賬目信息，其次，依據(jù)此再去查詢銀行的主機(jī)日志，精準(zhǔn)查找具體的案發(fā)的營(yíng)業(yè)門所，然后根據(jù)路由器、MODEM、交換機(jī)等設(shè)備的工作狀態(tài)正常與否，正確判定有無外部入侵的存在。最后，以主機(jī)的日志，確定具體的作案終端設(shè)備和詳細(xì)的作案時(shí)間。

第三，公安機(jī)關(guān)要在第一時(shí)間趕到現(xiàn)場(chǎng)，立即采取保護(hù)現(xiàn)場(chǎng)的措施，然后再使用技術(shù)手段進(jìn)行現(xiàn)場(chǎng)勘查和證據(jù)提取。在勘查現(xiàn)場(chǎng)前，一定要詳細(xì)記錄電子證據(jù)的一些重要的信息。比如：電子證據(jù)的狀態(tài)、網(wǎng)絡(luò)設(shè)置參數(shù)、位置等信息?？梢圆扇∨恼珍浵竦姆绞接涗浵路缸铿F(xiàn)場(chǎng)或者計(jì)算機(jī)設(shè)備的在拆解前的狀態(tài)，要盡快及時(shí)的固定好這些相關(guān)的網(wǎng)絡(luò)證據(jù)，保證收集的證據(jù)是合法的、真實(shí)的，確保收集到的證據(jù)內(nèi)容完整真實(shí)并且與案件的事實(shí)有著緊密的聯(lián)系[5]。最簡(jiǎn)易的方式就是可以主動(dòng)要求現(xiàn)場(chǎng)的證人、犯罪嫌疑人配合偵查人員的取證工作，可以通過他們?nèi)ジ钊氲牧私庥?jì)算機(jī)系統(tǒng)、存儲(chǔ)數(shù)據(jù)的硬盤位置、可疑文件等等。不能忽略的一點(diǎn)，因?yàn)樵诰W(wǎng)絡(luò)詐騙犯罪中，作案人就是現(xiàn)場(chǎng)的內(nèi)部人員的比例往往是很高的，所以，通過調(diào)查現(xiàn)場(chǎng)的犯罪嫌疑人就能夠知道作案人。

進(jìn)行查找和提取電子證據(jù)的步驟時(shí)。在第一階段，要重點(diǎn)查找可疑軟件的日志，查找出最近時(shí)間點(diǎn)使用過該計(jì)算機(jī)系統(tǒng)的情況。并且仔細(xì)勘查計(jì)算機(jī)的每一個(gè)文件的目錄、子目錄。對(duì)發(fā)現(xiàn)的可疑文件的內(nèi)容以及屬性更深入的了解，來查找被隱藏的文件。在第二階段，借助專業(yè)的工具設(shè)備及軟件，以搜索關(guān)鍵詞的方式從儲(chǔ)存介質(zhì)上查找有關(guān)犯罪的信息。實(shí)施這一步操作時(shí)，要重點(diǎn)查找被加密的、被隱藏的以及被刪除的電子數(shù)據(jù)，找到后將這些信息歸納整理。最后，再將與案件有關(guān)聯(lián)的信息提取出來。

現(xiàn)場(chǎng)勘查時(shí)，也要進(jìn)行外部的搜查與取證。所謂外部搜查取證是指對(duì)計(jì)算機(jī)系統(tǒng)以外進(jìn)行檢查。比如：顯示器、計(jì)算機(jī)連接的打印機(jī)、周圍環(huán)境等等。不能遺忘檢查外部設(shè)備，因?yàn)檫@些設(shè)備也有可能會(huì)成為網(wǎng)絡(luò)犯罪的證據(jù)。例如：計(jì)算機(jī)系統(tǒng)外部的一些設(shè)備包括緩沖器和媒介、網(wǎng)絡(luò)中的多路調(diào)制器、中繼器以及一些接口設(shè)備中的存儲(chǔ)器等，偵查的規(guī)范標(biāo)準(zhǔn)按照一般的刑事案件處理，此外，要著重檢查現(xiàn)場(chǎng)發(fā)現(xiàn)的各種存儲(chǔ)介質(zhì)、紙質(zhì)材料、顯示器上的內(nèi)容以及計(jì)算機(jī)系統(tǒng)外接設(shè)備的狀態(tài)，并做好相應(yīng)的記錄。標(biāo)記注明收集的與案件情況所有相關(guān)的文件材料、磁盤、計(jì)算機(jī)系統(tǒng)的硬件，留意尋找被加密的文件以及含有用戶標(biāo)識(shí)的文件。犯罪現(xiàn)場(chǎng)的計(jì)算機(jī)是開機(jī)狀態(tài)時(shí)，可以使用拍照或者錄像的方式將計(jì)算機(jī)顯示的內(nèi)容記錄下來，復(fù)制一切與案件有關(guān)的原始數(shù)據(jù)并且記錄相應(yīng)的參數(shù)。

第四，在完成上一步的操作后，進(jìn)行最重要的一步，也是網(wǎng)絡(luò)犯罪調(diào)查取證最關(guān)鍵的一步——數(shù)據(jù)分析。在進(jìn)行數(shù)據(jù)分析時(shí)，重點(diǎn)是要分析判斷犯罪分子使用的計(jì)算機(jī)的操作系統(tǒng)是否存在兩個(gè)以上的用戶，以及操作系統(tǒng)或存在被隱藏的分區(qū)，是否存在可疑外設(shè)，是否存在遠(yuǎn)程操控、木馬病毒以及當(dāng)前環(huán)境下的計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)環(huán)境。進(jìn)行開關(guān)機(jī)的操作需要特別謹(jǐn)慎，對(duì)于正在運(yùn)行的一些進(jìn)程數(shù)據(jù)、不可恢復(fù)的強(qiáng)刪除程序及軟件要最大限度地避免丟失或損壞問題的發(fā)生。分析收集到的某個(gè)磁盤特殊區(qū)域的全部相關(guān)數(shù)據(jù)時(shí)，首先要對(duì)收集到的數(shù)據(jù)，利用閑置磁盤的存儲(chǔ)空間進(jìn)行深度恢復(fù)，從而收集一些文件被篡改的痕跡。要尋找被篡改過的數(shù)據(jù)痕跡，需要將收集到的一些程序數(shù)據(jù)的備份以及當(dāng)前狀態(tài)下正在運(yùn)行的程序數(shù)據(jù)進(jìn)行比對(duì)分析。再借助此計(jì)算機(jī)的用戶或電子簽名、瀏覽記錄、交易記錄、Email 記錄、收發(fā)郵件服務(wù)器的日志、上網(wǎng)IP 地址等計(jì)算機(jī)特有的信息來全方位地進(jìn)行取證分析。

第五，定位跟蹤。定位跟蹤是一種動(dòng)態(tài)的取證分析手段。針對(duì)特殊的一些網(wǎng)絡(luò)犯罪案件，比如：遭受黑客攻擊的網(wǎng)絡(luò)，在進(jìn)行證據(jù)的收集時(shí)，重點(diǎn)要收集的證據(jù)包括：系統(tǒng)登錄文件、應(yīng)用登錄文件、AAA 登錄文件（RADIUS 登錄）、網(wǎng)絡(luò)單元登錄（Network Element logs）、防火墻登錄、磁盤驅(qū)動(dòng)器、文件備份、通訊記錄等等。偵查取證人員在取證時(shí)，如果犯罪分子干擾取證工作，比如：持續(xù)入侵操作系統(tǒng)，企圖刪掉有關(guān)數(shù)據(jù)。此時(shí)，對(duì)這種網(wǎng)絡(luò)攻擊行為采取入侵檢測(cè)系統(tǒng)進(jìn)行監(jiān)測(cè)的方法是十分必要的或者還可以利用一些設(shè)備設(shè)置網(wǎng)站陷阱去定位追蹤犯罪分子。

第六，總結(jié)輸出結(jié)果。在具體的分析取證結(jié)果基礎(chǔ)上，得出分析結(jié)論。需要注意的是，現(xiàn)場(chǎng)勘查時(shí)，勘查人員必須嚴(yán)格按照計(jì)算機(jī)設(shè)備規(guī)范和流程操作，并且要知道每一步操作的后果同時(shí)把實(shí)施的每一個(gè)步驟及遇到的情況記錄下來，以便后續(xù)可以合理解釋操作的結(jié)果，從而幫助公安機(jī)關(guān)盡早偵破案件。在實(shí)踐中，是不能使用現(xiàn)場(chǎng)的任何計(jì)算機(jī)設(shè)備以及工具軟件。調(diào)查取證時(shí)，不能使用盜版軟件，使用盜版軟件很可能讓收集的信息損壞。如果現(xiàn)場(chǎng)的勘查人員不能夠使用當(dāng)前現(xiàn)有的技術(shù)進(jìn)行訪問犯罪嫌疑人的計(jì)算機(jī)，可以商聘行業(yè)領(lǐng)域的專家進(jìn)行指導(dǎo)，最大程度保護(hù)好原始數(shù)據(jù)不因技術(shù)操作的失誤而損壞或丟失。

4 建立多部門聯(lián)動(dòng)機(jī)制

近年來，網(wǎng)絡(luò)詐騙案件的頻繁地發(fā)生，每一個(gè)案件都關(guān)系著群眾的基本權(quán)利，每一個(gè)案件都影響著國(guó)家安全[6]。為了消除、有效預(yù)防和減少網(wǎng)絡(luò)犯罪的發(fā)生，必須要建立一套完善的多部門聯(lián)動(dòng)機(jī)制，這對(duì)于盡早解決案件、保障公民的合法權(quán)益起著關(guān)鍵性的作用。建立多部門聯(lián)動(dòng)機(jī)制，需要從以下幾個(gè)方面展開。（1）細(xì)化職責(zé)分工，建立打擊網(wǎng)絡(luò)犯罪協(xié)調(diào)工作機(jī)制，就調(diào)查取證、資產(chǎn)凍結(jié)、操作等不同工作內(nèi)容明確職責(zé)分工，提升破案工作的統(tǒng)籌協(xié)調(diào)。（2）建立各部門信息共享制度，全面排查網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，通過聯(lián)席會(huì)議制度，預(yù)防和打擊網(wǎng)絡(luò)詐騙行為。（3）建立系統(tǒng)完備、邏輯嚴(yán)密的聯(lián)動(dòng)處置平臺(tái)，對(duì)有關(guān)網(wǎng)絡(luò)詐騙的違法犯罪活動(dòng)要及時(shí)展開調(diào)查取證工作，凡是涉嫌詐騙的網(wǎng)站和注冊(cè)的詐騙信息用戶賬號(hào)以及在詐騙網(wǎng)站發(fā)布的虛假信息要對(duì)其及時(shí)進(jìn)行清理并且關(guān)停相關(guān)的網(wǎng)站。

5 結(jié)束語

網(wǎng)絡(luò)詐騙犯罪的頻繁發(fā)生，不僅侵害了公民的合法權(quán)益，更是嚴(yán)重影響了網(wǎng)絡(luò)環(huán)境的安全、社會(huì)秩序的穩(wěn)定。杜絕網(wǎng)絡(luò)詐騙問題，是每個(gè)公民的責(zé)任，更是社會(huì)的責(zé)任。因此，有關(guān)部門必須提高預(yù)防詐騙的工作能力、完善工作機(jī)制，加強(qiáng)多部門聯(lián)動(dòng)。大力宣傳反詐騙的知識(shí)，給人民群眾普及一些防詐騙的方法和知識(shí)。另外，要重視相關(guān)的立法建設(shè)。爭(zhēng)取在不久的未來，構(gòu)建一個(gè)安全潔凈的網(wǎng)絡(luò)環(huán)境。