電信網(wǎng)絡新型詐騙案件中“網(wǎng)絡流”數(shù)據(jù)的勘查要點研究

譚宇軒 黃娟娟

湖南警察學院，湖南 長沙 410138

21世紀，網(wǎng)絡在日常生活中發(fā)揮著越來越不可取代的作用，但隨著網(wǎng)絡普及率的升高和信息時代的到來，關(guān)于網(wǎng)絡的相關(guān)犯罪也愈發(fā)猖獗。電信網(wǎng)絡詐騙案發(fā)案多損失大，已成為社會公害。根據(jù)公安部公布的最新數(shù)據(jù)顯示，2020年，全國公安機關(guān)共破獲電信網(wǎng)絡詐騙案件25．6萬起，抓獲犯罪嫌疑人26．3萬名，攔截詐騙電話1．4億個、詐騙短信8．7億條，為群眾直接避免經(jīng)濟損失1200億元。[1]公安機關(guān)破案效率再高，還是有人民群眾在上當受騙，人們的日常網(wǎng)絡使用也因電信網(wǎng)絡詐騙受到?jīng)_擊。現(xiàn)如今電信網(wǎng)絡詐騙已成為刑事犯罪的主流，將會成為公安機關(guān)長期面臨的主要挑戰(zhàn)。根據(jù)現(xiàn)今電信網(wǎng)絡詐騙案件的形勢，本文重點討論電信網(wǎng)絡詐騙案件中“網(wǎng)絡流”數(shù)據(jù)勘查的相關(guān)問題。

一、網(wǎng)絡流

（一）網(wǎng)絡流的概念

網(wǎng)絡流，其表面意思即網(wǎng)絡數(shù)據(jù)，網(wǎng)絡證據(jù)即正在網(wǎng)上傳輸?shù)挠嬎銠C證據(jù)，其存在形式依賴于網(wǎng)絡傳輸協(xié)議，采用不同的傳輸協(xié)議，網(wǎng)絡流的格式也不相同。但無論采用何種傳輸協(xié)議，都可以將網(wǎng)絡流分為文本、視頻、音頻、圖片。

（二）網(wǎng)絡流特點

1．實時動態(tài)性

網(wǎng)絡流指的是正在傳輸?shù)淖C據(jù)，即流動數(shù)據(jù)，當數(shù)據(jù)從源地址已通過某種介質(zhì)傳輸?shù)侥康牡刂窌r，就不再屬于網(wǎng)絡流的范疇。

2．數(shù)據(jù)類型復雜

網(wǎng)絡上傳輸?shù)臄?shù)據(jù)流有的是文本，有的是視頻，且隨著時代的發(fā)展，網(wǎng)絡帶寬不斷增加，傳輸數(shù)據(jù)成倍增長，形成量大又繁瑣的數(shù)據(jù)。

（三）“網(wǎng)絡流”在研判新型電詐案件中的作用

1．提供偵查線索，明確偵查方向

前文提到，“網(wǎng)絡流”即網(wǎng)絡數(shù)據(jù)具有實時動態(tài)性、數(shù)據(jù)類型復雜等特點，如何從復雜的網(wǎng)絡信息中找尋突破口，確定偵查方向是提高破案效率的關(guān)鍵。同時，在偵查線索的發(fā)現(xiàn)上也需要依靠“網(wǎng)絡流”的信息研判。

2．串并同類案件，提高并案效率

電信詐騙案件往往是隱蔽的，人員是相對分散的，從現(xiàn)實中分析犯罪人或犯罪團伙的同類案件難度較高，但從網(wǎng)絡上串并案件更能反映出作案人或者作案團伙的特點。通常情況下，我們從網(wǎng)上串并的依據(jù)有：（1）通過涉案的通信工具進行串并；（2）利用涉案的銀行賬戶進行串并；（3）對從通信工具、銀行賬戶查詢獲取的信息開展的綜合串并。

3．掌握犯罪動態(tài)，實現(xiàn)精準打擊

隨著科技的發(fā)展，犯罪嫌疑人的犯罪手法也不斷升級，越來越依靠于高科技手段，因此我們的偵查工作也應與時俱進，以適應信息化時代偵查工作的需要，從各種繁雜的網(wǎng)絡數(shù)據(jù)中提煉出有價值的信息。掌握犯罪動態(tài)就是掌握行動的主動權(quán)，才能對網(wǎng)絡犯罪有效地進行精確打擊。

4．探索防范機制，及時預警止損

通過研究“網(wǎng)絡流”的特點，加強與銀行等金融機構(gòu)的協(xié)作，共同探討如何對電信網(wǎng)絡詐騙案件采取防范措施，加大對網(wǎng)絡工具的管理力度，提高對網(wǎng)絡平臺的日常監(jiān)管效率，捕捉電信網(wǎng)絡詐騙的可能性前兆，探索研發(fā)防控預警、延時到賬等新軟件，為人民的財產(chǎn)安全畫上止損線，以規(guī)避更多的損失。

二、“網(wǎng)絡流”的勘查

在現(xiàn)場勘查環(huán)節(jié)中，“網(wǎng)絡流”電子數(shù)據(jù)勘查的重要對象是網(wǎng)絡數(shù)據(jù)。多數(shù)案件需要在現(xiàn)場對系統(tǒng)數(shù)據(jù)、文件等進行分析和處理，以便快速得到案件線索，推進勘查進度。對復雜的數(shù)據(jù)處理、大量文件恢復、全盤文件查找、復雜文件密碼破解等需耗費大量時間，可帶回實驗室進行。

（一）現(xiàn)場勘查流程

1．制定周密的勘查計劃

涉及對計算機網(wǎng)絡數(shù)據(jù)的勘查是一項非常復雜的工作，為獲取犯罪證據(jù)和犯罪人員信息，需制定周密的勘查計劃，以便最大限度地獲取犯罪現(xiàn)場遺留信息。為使勘查工作順利進行，在遇到疑難問題時可集體討論、協(xié)商，需要對人員進行簡單分工；為明確勘查目的，做到在現(xiàn)場臨場不亂，需制定預定目標，并做好緊急預案，隨著現(xiàn)場勘查的不斷深入，預定目標也會隨之調(diào)整；為使在現(xiàn)場勘查思路明確，做到有的放矢，不至于到達現(xiàn)場無從下手，需制定簡單的實施步驟。

2．準備勘查工具，應準備相關(guān)硬件工具和軟件工具。

硬件工具包括功能齊全的計算機，必要的通信電纜、打印機、電源保護器、光盤刻錄機和帶有分析系統(tǒng)的硬盤及其相關(guān)設備。還需準備計算機拆卸工具，以便提取、固定硬件證據(jù)時使用。軟件工具一般都包含在現(xiàn)場工作人員計算機內(nèi)，用于分析被勘查計算機系統(tǒng)，通常包括操作系統(tǒng)軟件、工具軟件和應用軟件。操作系統(tǒng)軟件有通用的微機軟件、小型機軟件和網(wǎng)絡軟件。工具軟件和應用軟件又包括數(shù)據(jù)信息回復、診斷和清除病毒功能的軟件，數(shù)據(jù)庫軟件和備份軟件等。

3．現(xiàn)場保護

（1）確認計算機信息網(wǎng)絡系統(tǒng)的設備運行狀態(tài)。現(xiàn)場保護人員應當準確判斷現(xiàn)場，特別注意記錄變化的情況。

（2）控制現(xiàn)場人員。無論是嫌疑人、被害人還是現(xiàn)場無關(guān)人員，特別是犯罪嫌疑人，所有人都不得觸碰計算機系統(tǒng)、其外圍設備及電源總成，以防止系統(tǒng)狀態(tài)被改變、文件數(shù)據(jù)被刪改，防止現(xiàn)場證據(jù)被破壞或滅失。無論是在場人員或者嫌疑人，不管出于何種目的都不得靠近計算機系統(tǒng)，防止毀壞計算機及硬盤、刪除硬盤里的數(shù)據(jù)，控制所有現(xiàn)場人員身邊的電源開關(guān)，防止其關(guān)閉電源使計算機因斷電而丟失數(shù)據(jù)。

（3）不開啟或關(guān)閉計算機信息網(wǎng)絡系統(tǒng)，保持現(xiàn)場“靜態(tài)”。保持現(xiàn)場“靜態(tài)”即保持系統(tǒng)的原始狀態(tài)，開關(guān)機狀態(tài)、網(wǎng)絡連接狀態(tài)和系統(tǒng)運行狀態(tài)。如果開機狀態(tài)屏幕中有顯示信息，則應晃動鼠標或按ctrl鍵，避免激活屏幕保護。

（4）及時查看網(wǎng)絡連接情況。若該計算機系統(tǒng)使用無線局域網(wǎng)，記錄好該局域網(wǎng)名稱和地址；對于有網(wǎng)線連接的電腦、服務器應直接拔除網(wǎng)線，防止其他窩點的同伙遠程刪除重要數(shù)據(jù)。

（5）保護原始物證。未經(jīng)案件偵查人員允許，不得將任何電子儲存介質(zhì)及其他有關(guān)證據(jù)帶離現(xiàn)場。

4．實施勘查

（1）對現(xiàn)場環(huán)境進行勘查。環(huán)境勘查即對對象計算機信息網(wǎng)絡系統(tǒng)的工作環(huán)境進行勘查?？辈榈闹饕獌?nèi)容有監(jiān)視器、工作記錄、工作日志、通信網(wǎng)絡、辦公環(huán)境、外界環(huán)境。

（2）對計算機網(wǎng)絡系統(tǒng)的設備進行勘查，主要檢查計算機的運行情況、操作情況，確認可能犯罪的手法；檢查打印機上有無留下的印痕；檢查網(wǎng)絡通信設備看有無異常連接，通信日志是否正常。對設備勘查主要是發(fā)現(xiàn)殘留痕跡和可能犯罪手段。

（3）進行數(shù)據(jù)勘查。計算機信息網(wǎng)絡系統(tǒng)中有許多有價值的證據(jù)，有的能反映機器設備運行情況，有的能反映程序文件的操作情況，有的能記錄操作人員的操作對象和過程。特別是特殊系統(tǒng)所設置的不為外人所知的系統(tǒng)記錄更能獲取有價值的線索，認真收集、分析對案件偵破將有極大作用。

（4）進行軟件勘查。軟件勘查的主要目的是檢查應用軟件是否被人非法修改過。許多改動程序才能實施的犯罪只有進行軟件勘查能發(fā)現(xiàn)，進行軟件勘查的方法即使用應用程序的原拷貝比對即可。發(fā)現(xiàn)應用程序存在問題后，可由技術(shù)人員分析源程序，解讀更改后的程序功能，查找犯罪線索、提取犯罪證據(jù)。

（5）進行存儲介質(zhì)的勘查。存儲介質(zhì)中的信息能反映計算機信息網(wǎng)絡系統(tǒng)的運行情況，也能反映系統(tǒng)發(fā)生問題前的狀況，更可能存在犯罪偵查線索。由于存儲介質(zhì)上的信息看不見摸不著，必須通過某種方法顯現(xiàn)或恢復，這就存在極大的風險，有可能在顯現(xiàn)時破壞原信息。為減少風險可考慮備份信息，并將備份安裝至有檢查工具軟件的機器上勘驗。存在可疑問題時，應提取保存數(shù)據(jù)的存儲介質(zhì)，這一方面是深入偵查的要求，另一方面也為收集犯罪證據(jù)做準備。

（6）制作勘查筆錄。筆錄是記載犯罪現(xiàn)場勘查的重要文字材料，內(nèi)容主要包括基本資料、現(xiàn)場概況、現(xiàn)場保護情況、勘查過程、勘查結(jié)果等等。

（二）勘查中的數(shù)據(jù)采集

1．采集內(nèi)容

勘驗時，注意采集以下內(nèi)容：

（1）網(wǎng)絡身份活動情況。網(wǎng)絡身份具有隱蔽性、多樣性、一致性等特點。常見的網(wǎng)絡身份有QQ昵稱、論壇ID、網(wǎng)站的用戶名、郵箱地址等。而通過這些網(wǎng)絡身份的活動情況可串聯(lián)出一系列信息，如聊天時間，地域地區(qū)等。

（2）網(wǎng)站域名注冊信息。通常網(wǎng)站域名的注冊信息有：注冊公司的名稱、注冊地址、域名注冊人、聯(lián)系方式、技術(shù)維護人員、域名到期日等信息。根據(jù)以上信息可研判該域名所屬人，若所屬人身份為假，可通過其他方式調(diào)查。

（3）網(wǎng)站日志。網(wǎng)站服務器日志文件中記錄了用戶訪問該網(wǎng)站的一些信息，包括登錄網(wǎng)址時間、IP地址等，這為判定犯罪嫌疑人作案時間，定位犯罪嫌疑人都提供了有利線索。

（4）網(wǎng)銀操作記錄。查詢網(wǎng)銀操作記錄包括管理員操作記錄、操作員交易記錄兩種查詢方式。查詢記錄需起始日期及截止日期，操作類型及管理員或操作員姓名、證件號碼點擊查詢按鈕，查詢結(jié)果會顯示符合操作類型的信息。

（5）網(wǎng)上購買的虛擬貨幣消費記錄、手機充值卡充值去向，購買人的登錄賬號信息和登錄IP。

（6）電商賬號的交易記錄。[2]

2．采集要點

采集時，注意以下要點：

（1）在案發(fā)后，刑偵人員和計算機專業(yè)技術(shù)人員應當保護好現(xiàn)場，保護好犯罪發(fā)生時與計算機系統(tǒng)相關(guān)的軟硬件以及數(shù)據(jù)的狀態(tài)，包括設備的配置和各種電纜的連接情況，然后，由計算機技術(shù)人員將各種存儲介質(zhì)（包括硬盤、軟盤、磁帶和光盤）中的相關(guān)系統(tǒng)軟件、應用程序和所有數(shù)據(jù)進行備份。

（2）封存涉案計算機和資料。在備份完成后，為保證涉案計算機系統(tǒng)的完整性，應封存好涉案的計算機及其相關(guān)設備。對不能停止運行的計算機系統(tǒng)，如果要求必須在短時間內(nèi)恢復運行則應采用鏡像備份，將系統(tǒng)的狀態(tài)及環(huán)境等進行詳細記錄。

（3）收集相關(guān)資料。刑偵人員和計算機技術(shù)人員應當一同收集一切與案件有關(guān)的材料，清理現(xiàn)場，提取證據(jù)。

（4）詢問當事人。刑偵人員和計算機技術(shù)人員應一同詢問知情人和犯罪嫌疑人，犯罪嫌疑人在實施詐騙時所處的工位及工位對應的電腦、手機、賬本、電話資料、銀行卡和其他相關(guān)物品，并要求犯罪嫌疑人提供一切與犯罪和計算機系統(tǒng)相關(guān)的所有信息。如系統(tǒng)的密碼和口令，與犯罪相關(guān)的計算機軟件等等。

（5）物證分析、提取。分析案件發(fā)生前后系統(tǒng)的狀態(tài)、數(shù)據(jù)的情況以及日志記錄，提交分析結(jié)果。

（6）按照法律程序進行計算機模擬測試。

三、“網(wǎng)絡流”勘查的難點

（一）取證難度高

現(xiàn)場作案人大多警惕性強，“網(wǎng)絡流”在網(wǎng)絡上留下的是數(shù)據(jù)痕跡，為了逃避打擊，犯罪人員通過數(shù)據(jù)處理可使痕跡最小化甚至不留痕跡，給我們的現(xiàn)場勘查取證增加了難度。

（二）采集信息難

現(xiàn)場作案人往往會將特定類型的數(shù)據(jù)文件加密，加密方式往往很復雜，再加以電信網(wǎng)絡詐騙新型犯罪涉及到數(shù)字化資金轉(zhuǎn)移，這一系列操作需要專業(yè)技術(shù)手段來進行證據(jù)的判別、固定、分辨和采集。[3]

四、總結(jié)

電信詐騙已成為當前危害社會穩(wěn)定和威脅人民財產(chǎn)安全的重要犯罪行為。對“網(wǎng)絡流”數(shù)據(jù)的勘查是整個打擊網(wǎng)絡電信詐騙案件的一個重要環(huán)節(jié)，也是對電信網(wǎng)絡詐騙案件打擊的一部分。在提出、找出、解決問題的同時我們應規(guī)范對“網(wǎng)絡流”數(shù)據(jù)的勘查，制定有效的策略，使電信詐騙案件能得到有效預防與處置。