電信網(wǎng)絡(luò)詐騙犯罪數(shù)據(jù)采集分析研究

袁寶中

電信網(wǎng)絡(luò)詐騙犯罪運(yùn)用通信信息網(wǎng)絡(luò)開展犯罪活動，其虛擬性和易篡改性的特點導(dǎo)致犯罪證據(jù)非常容易被犯罪分子毀滅，不易于取證和保存。犯罪團(tuán)伙所使用的犯罪工具往往是通過被害人的資金或者以懸賞做任務(wù)的方式引導(dǎo)普通群眾購買所得，以此達(dá)到規(guī)避實名認(rèn)證審核的目的。隨著境內(nèi)打擊電信網(wǎng)絡(luò)詐騙犯罪的力度不斷增強(qiáng)，犯罪團(tuán)伙窩點向境外逐步轉(zhuǎn)移，通過遠(yuǎn)程利用國內(nèi)的黑灰產(chǎn)業(yè)鏈條進(jìn)行跨地域?qū)嵤┓缸?。犯罪團(tuán)伙之間形成了明確的組織分工，經(jīng)過長期與公安機(jī)關(guān)的對抗具備了很強(qiáng)的反偵察意識和能力，在一起詐騙犯罪作案成功后，立即開始通過關(guān)閉涉詐網(wǎng)址、更換服務(wù)器、注銷通信賬戶等措施著手毀滅詐騙犯罪證據(jù)，因此，獲取一手全面的信息對于詐騙案件的偵辦及審判至關(guān)重要[1]。本文通過梳理相關(guān)偵查辦案的方法，如被害人筆錄采集，通信數(shù)據(jù)、通聯(lián)軟件、涉詐網(wǎng)址、服務(wù)器信息的采集和分析，以期對確定詐騙窩點位置，確定詐騙犯罪嫌疑人的真實信息，精準(zhǔn)打擊電信網(wǎng)絡(luò)詐騙有所助力。

一、被害人筆錄采集

電信網(wǎng)絡(luò)詐騙犯罪嫌疑人在實施詐騙犯罪過程中通過利用通信、網(wǎng)絡(luò)工具技術(shù)發(fā)布虛假信息，繼而才能夠與被害人發(fā)生通聯(lián)以此獲取被害人的信任，實現(xiàn)其犯罪目的。在這一過程中，詐騙犯罪嫌疑人和被害人之間會產(chǎn)生大量的交互信息，而被害人筆錄是獲取詐騙犯罪團(tuán)伙向被害人暴露的所有信息以及詐騙團(tuán)伙從被害人處獲取的所有信息的重要途徑，因此盡可能詳細(xì)地收集被害人提供的信息能夠幫助偵查人員盡快開展相應(yīng)的信息流偵查和資金流追蹤。被害人筆錄數(shù)據(jù)收集主要包括以下重要內(nèi)容：

通過了解被害人是如何受到引誘與犯罪嫌疑人進(jìn)行接觸來了解詐騙信息的發(fā)布途徑(網(wǎng)絡(luò)、電話、短信)；通過詐騙信息的內(nèi)容確定詐騙的類型；通過被害人手機(jī)數(shù)據(jù)信息確定犯罪嫌疑人使用的涉詐網(wǎng)址、通信設(shè)備、社交軟件、資金交易的信息和賬戶。根據(jù)詐騙類型判斷是否存在“二殺”情形，“二殺”是犯罪嫌疑人對被害人進(jìn)行的第二次詐騙，通常是依據(jù)被害人錢財遭受損失后急于挽回或者利用被害人心存恐懼心理從而對被害人實施詐騙，“二殺”的詐騙作案手法、犯罪團(tuán)伙成員通常與“一殺”不相同，因此判斷是否存在“二殺”犯罪行為有利于偵查人員對犯罪團(tuán)伙的規(guī)模和數(shù)量進(jìn)行初步的判斷。同時，第一時間根據(jù)資金的交易信息，找出詐騙犯罪團(tuán)伙進(jìn)行資金轉(zhuǎn)移所使用的金融賬戶，明確轉(zhuǎn)賬的方式和時間，幫助偵查人員盡快對涉案的賬戶進(jìn)行止付、凍結(jié)操作，幫助被害人減少財產(chǎn)損失。

二、通信數(shù)據(jù)信息采集和分析

(一)通信設(shè)備信息追蹤法

通信設(shè)備信息追蹤法是通過分析嫌疑人所使用手機(jī)號機(jī)主信息以及通話歷史記錄，分析嫌疑人使用手機(jī)進(jìn)行通話的位置以及重點通話對象，以此判定嫌疑人實施犯罪行為時的活動軌跡及社會關(guān)系，通過輔助社會監(jiān)控等手段落實犯罪嫌疑人身份的方法。為了盡可能地獲取嫌疑人的通信設(shè)備，可采取設(shè)備串碼反查的方式獲取嫌疑人更多或仍在使用的通話設(shè)備和號碼信息。詐騙犯罪團(tuán)伙的窩點多設(shè)置在境外，因使用境外通信成本較高且容易引起被害人警覺，同時為了提高詐騙成功的概率，往往會設(shè)置專業(yè)從事網(wǎng)絡(luò)通話的話務(wù)窩點。在話務(wù)窩點中，嫌疑人多使用網(wǎng)絡(luò)電話進(jìn)行撥號，在獲取電話時可能會出現(xiàn)被害人接聽電話與犯罪嫌疑人使用的詐騙號碼不相符的情況，因為嫌疑人為了逃避打擊可能會使用改號軟件將主叫號碼改號的情況。在該情形下，偵查人員需要掌握詐騙嫌疑人所使用的網(wǎng)絡(luò)電話主叫號碼、通話時間、通話時長，通過對被害人進(jìn)行回訪或者是話單分析進(jìn)行確認(rèn)，找出犯罪嫌疑人實際使用的號碼，以免發(fā)生遺漏。因手機(jī)號碼是注冊金融服務(wù)、社交服務(wù)的重要媒介，在獲取嫌疑人使用的號碼之后通過查詢嫌疑人手機(jī)號碼的充值記錄，獲取充值渠道，根據(jù)獲取的充值渠道追蹤嫌疑人充值時使用的微信、QQ等社交賬戶、支付寶、銀行卡、云閃付等金融賬戶，以此分析嫌疑人身份并對位置進(jìn)行落地[2]。事實上，犯罪團(tuán)伙在詐騙過程中需要大量的通聯(lián)工具，為了能夠便利地實施詐騙犯罪或者出于僥幸心理，犯罪分子會存在為個人生活用的社交賬戶或者手機(jī)號碼進(jìn)行充值的情況，偵查人員可以此作為突破口，確定犯罪嫌疑人的真實身份。

(二)通信設(shè)備、賬戶購買途徑追蹤法

通信設(shè)備、賬戶購買途徑追蹤法是在明確犯罪分子所使用通信設(shè)備和賬戶后，通過調(diào)取的涉案工具賬戶的注冊人信息，分析案件規(guī)律和人員特點，確定犯罪嫌疑人活動的位置和空間范圍，找出其通訊設(shè)備購買渠道，有針對性地對銷售渠道逐級進(jìn)行排查，以獲取嫌疑人購得手機(jī)號的途徑，同批次購買電話號碼以及支付費(fèi)用的賬號，以此分析嫌疑人身份和落地位置的方法。詐騙團(tuán)伙所使用的通信設(shè)備和賬戶通常情況下是通過黑灰產(chǎn)業(yè)鏈條途徑購買所得，其綁定的身份可能是虛假的，但是偵查人員可以通過其購買的通聯(lián)工具渠道掌握其購買通聯(lián)工具的產(chǎn)業(yè)鏈條，再沿著購買途徑順線追蹤找出詐騙犯罪團(tuán)伙的位置以及人員信息，同時打擊出售通聯(lián)工具的黑灰產(chǎn)業(yè)鏈條，鏟除電信網(wǎng)絡(luò)詐騙犯罪的土壤。在獲取通信賬戶后，為了進(jìn)一步擴(kuò)大線索也可對未啟用的手機(jī)號碼進(jìn)行監(jiān)控，為落地抓捕創(chuàng)造條件。針對詐騙短信群發(fā)情況可以向通信運(yùn)營商調(diào)取群發(fā)短信通道的渠道和代理商信息，在對發(fā)送短信手機(jī)號銷售、流轉(zhuǎn)的調(diào)查中，重點關(guān)注專門為詐騙團(tuán)伙提供作案手機(jī)號的團(tuán)伙線索，尋找直接操作發(fā)送短信的推廣公司人員，這些人員為詐騙團(tuán)伙實施詐騙提供引流幫助，往往會和詐騙團(tuán)伙會有直接的聯(lián)系，在對引流人員進(jìn)行打擊后，從而可以追蹤詐騙團(tuán)伙窩點人員。

三、通聯(lián)軟件信息采集和分析

(一)IP信息分析法

IP信息分析法是指通過調(diào)取涉案通聯(lián)軟件賬戶、網(wǎng)絡(luò)支付軟件、客服接口等信息的網(wǎng)絡(luò)登錄日志，對其登錄的IP地址信息進(jìn)行溯源、研判，從而確定嫌疑人的真實身份信息的偵查方法。盡管詐騙團(tuán)伙內(nèi)部通常都會嚴(yán)格要求作案機(jī)與生活機(jī)的物理隔離，但由于其詐騙團(tuán)伙均處于封閉管理狀態(tài)，個別嫌疑人總會出現(xiàn)僥幸心理，使用窩點WIFI或工作機(jī)登錄淘寶、抖音、愛奇藝等熱門APP進(jìn)行娛樂活動，而這些APP在登錄過程中會留下網(wǎng)絡(luò)日志，因此可以以此作為突破口，通過調(diào)取網(wǎng)絡(luò)登錄日志，快速鎖定嫌疑人使用的網(wǎng)絡(luò)登錄IP地址[3]。通過登錄IP地址的反查找出其對應(yīng)的注冊手機(jī)號碼以及手機(jī)設(shè)備串碼、MAC地址等信息，獲取其他作案或者生活用的微信、QQ、手機(jī)、電腦、上網(wǎng)卡等信息，甄別嫌疑人使用的境內(nèi)網(wǎng)絡(luò)或境外網(wǎng)絡(luò)，對所獲得的數(shù)據(jù)進(jìn)行信息的碰撞和比對，判斷嫌疑人實施犯罪行為的地點以及犯罪窩點的位置，鎖定嫌疑人的身份。數(shù)據(jù)碰撞的準(zhǔn)確性是和獲得的數(shù)據(jù)的數(shù)量呈正相關(guān)的，在對嫌疑人虛擬身份進(jìn)行拓線的過程中要盡可能找到嫌疑人所使用的所有設(shè)備信息和賬戶信息，通過同環(huán)境下運(yùn)行的設(shè)備信息和登錄賬戶進(jìn)行拓展，增加比對的準(zhǔn)確性。

(二)微信、QQ群聊擴(kuò)線法

微信、QQ群聊擴(kuò)線法是通過排查嫌疑人作案微信、QQ及反查發(fā)現(xiàn)的微信、QQ加入的群，以此找出詐騙窩點內(nèi)部工作群、與上下游黑灰產(chǎn)聯(lián)絡(luò)的工作群，從而突破嫌疑人虛擬身份信息的方法。此類工作群及群內(nèi)成員所使用的通聯(lián)工具號碼相對穩(wěn)定，交流內(nèi)容多與詐騙直接關(guān)聯(lián)，在群內(nèi)聊天過程中可能在不經(jīng)意間會流露出嫌疑人的真實身份信息，根據(jù)其群聊的信息內(nèi)容可以對犯罪團(tuán)伙進(jìn)行初步刻畫，找出關(guān)聯(lián)的社會關(guān)系，判定詐騙犯罪團(tuán)伙的規(guī)模特點、位置，排查嫌疑人身份。詐騙犯罪團(tuán)伙在群內(nèi)存在嚴(yán)格的等級關(guān)系，在群聊的稱呼，聊天的語言中會有所體現(xiàn)，據(jù)此就可以判斷詐騙團(tuán)伙的層級結(jié)構(gòu)，以及各成員在詐騙過程中所起到的作用進(jìn)行佐證，有助于在審判過程中確定主犯、從犯，從而定罪量刑。詐騙犯罪團(tuán)伙各成員之間的聯(lián)系比較緊密，其共同生活居住的痕跡明顯，偵查人員可以依據(jù)群聊內(nèi)流露出的住宿和出行信息，通過同行、同住等社會關(guān)系和行蹤軌跡信息進(jìn)行拓展研判詐騙團(tuán)伙其他成員身份信息和上下游黑灰產(chǎn)業(yè)人員身份信息。

(三)詐騙信息數(shù)據(jù)關(guān)聯(lián)法

詐騙信息數(shù)據(jù)關(guān)聯(lián)法是通過對嫌疑人在QQ空間、微信朋友圈、貼吧、58同城等平臺發(fā)布詐騙的信息進(jìn)行分析，找出嫌疑人關(guān)聯(lián)的生活信息以及發(fā)布詐騙信息時的位置信息，并根據(jù)關(guān)聯(lián)的數(shù)據(jù)碰撞比對確定嫌疑人的身份的方法。鎖定嫌疑人使用的社交軟件賬戶后，可向相關(guān)網(wǎng)絡(luò)平臺調(diào)取信息發(fā)布者的注冊信息、聯(lián)絡(luò)方式、登錄方式(手機(jī)、電腦)、登錄時間、網(wǎng)絡(luò)日志、IP地址、過往發(fā)布信息，結(jié)合涉案賬戶的充值情況進(jìn)，對充值費(fèi)用的支付工具進(jìn)行梳理分析，同歷史登錄IP地址、生活信息碎片等信息進(jìn)行碰撞比對，查明涉及該環(huán)節(jié)人員的情況，找出該社交軟件賬戶及網(wǎng)絡(luò)平臺的實際使用者，綜合研判鎖定嫌疑人窩點的位置。無論詐騙犯罪嫌疑人通過何種途徑發(fā)布詐騙信息，獲取的登錄時間和IP地址，均要與詐騙犯罪嫌疑人直接實施詐騙使用的微信、QQ號的登錄時間和IP地址進(jìn)行比對，確定是否為詐騙犯罪的嫌疑人還是涉嫌幫助信息網(wǎng)絡(luò)犯罪的推廣引流人員，如果詐騙團(tuán)伙嫌疑人使用的是通過黑灰產(chǎn)途徑購買的賬戶，則可能存在不一致的情況，從而對案件的偵辦和犯罪人員的確認(rèn)起到一定的誤導(dǎo)。

四、涉詐網(wǎng)址的信息收集

(一)涉詐域名解析法

涉案域名解析法主要是通過查明涉詐網(wǎng)址域名的租賃和使用人，獲取案件偵查線索。在對涉詐域名解析時一般需要通過專業(yè)域名解析網(wǎng)站(如站長之家、“whois”、中國工信部的網(wǎng)站備案平臺)查明涉詐域名的歸屬域名公司(如阿里云、新網(wǎng)、西部數(shù)碼等)，通過該域名公司可以調(diào)取域名的注冊人信息，如姓名、聯(lián)系電話、郵箱、地址、租賃時間段、涉詐域名綁定的服務(wù)器IP地址等信息。由于域名的銷售途徑比較復(fù)雜，在實際的調(diào)證過程中會存在域名服務(wù)商層層代理的情況，偵查人員可以通過公司查詢涉詐域名的銷售渠道，查明最終銷售給嫌疑人的代理商，向代理商查明涉案域名購買人身份以及涉詐域名使用情況等信息。購買涉詐域名人員以及頻繁登錄涉詐網(wǎng)址的人員往往可能從事涉詐網(wǎng)站的搭建、維護(hù)，非法獲取公民信息，涉詐、涉賭的網(wǎng)絡(luò)推廣等犯罪行為，通過其資金關(guān)系、頻繁通聯(lián)對象進(jìn)行調(diào)查，可順線發(fā)現(xiàn)詐騙嫌疑人的工作賬號、資金賬戶、通聯(lián)軟件賬戶等信息，為進(jìn)一步確認(rèn)其真實身份做準(zhǔn)備。

(二)涉詐APP、網(wǎng)站嵌入聊天工具分析法

涉詐APP、網(wǎng)站嵌入聊天工具分析法是通過解析涉詐APP、網(wǎng)站嵌入聊天工具確定詐騙犯罪嫌疑人的服務(wù)訂閱者的信息、支付信息、網(wǎng)站聊天內(nèi)容從而確認(rèn)詐騙犯罪嫌疑人真實身份的方法。犯罪團(tuán)伙為規(guī)避偵查，方便和被害人溝通獲取被害人的信任，會通過聊天工具的API接口使用公司的通信聊天服務(wù)，在搭建涉詐APP和涉詐網(wǎng)站時會采用嵌入式的聊天工具，如網(wǎng)易云信、CC客服等。在使用公司的服務(wù)時需要提供使用者的真實身份信息，其購買方式，如支付寶、微信等支付方式，為查明犯罪團(tuán)伙所使用的信息來源提供了突破路徑。偵查人員可通過網(wǎng)站解析的方式找到該聊天工具的提供商，以及嫌疑人使用的賬號，進(jìn)而通過提供商獲取該賬號對應(yīng)的服務(wù)器數(shù)據(jù)信息、全部聊天信息、登陸IP信息，為偵查破案提供新的途徑及證據(jù)[4]。

(三)涉詐APP、網(wǎng)站滲透法

涉詐APP、網(wǎng)站滲透法是利用網(wǎng)絡(luò)專業(yè)技術(shù)偵查手段、請求互聯(lián)網(wǎng)企業(yè)或利用網(wǎng)絡(luò)特情人員協(xié)助利用專業(yè)的掃描工具和爆破工具對涉詐后臺登錄網(wǎng)址以及涉詐APP進(jìn)行分析，從而獲取詐騙犯罪嫌疑人真實IP地址登錄地址的方法。通過此方式對涉詐APP和涉詐網(wǎng)址進(jìn)行掃描，獲取涉詐后臺網(wǎng)址的IP地址區(qū)域分布、設(shè)備以及部分身份、賬號信息，并根據(jù)獲取的線索開展針對性的落地、偵控工作。由于涉詐網(wǎng)址屬于詐騙犯罪團(tuán)伙重要的詐騙工具，因此能夠控制和使用后臺管理網(wǎng)站人員應(yīng)為詐騙團(tuán)伙核心人員，對其身份的落地具有較大的偵查價值，可實現(xiàn)規(guī)模化的打擊效應(yīng)。針對采取了防護(hù)措施的涉詐APP和涉詐網(wǎng)址，也可以采用網(wǎng)絡(luò)特情進(jìn)行滲透，獲取后臺登錄日志，追蹤網(wǎng)站維護(hù)人員IP地址，獲取相關(guān)黑灰產(chǎn)業(yè)的人員身份信息，獲取其他投資客戶信息用于核查案件、預(yù)警疑似受害人員。因涉詐APP和涉詐網(wǎng)址的服務(wù)器通常會存有嫌疑人與受害人之間一一對應(yīng)關(guān)系的數(shù)據(jù)，是案件偵破后犯罪嫌疑人與涉案事實之間一一進(jìn)行對應(yīng)的關(guān)鍵性證據(jù)，因此在獲取后臺應(yīng)用權(quán)限時，必須及時、定期地對該服務(wù)器數(shù)據(jù)進(jìn)行遠(yuǎn)程勘驗，固定犯罪嫌疑人的犯罪證據(jù)[5]。

五、服務(wù)器信息收集

詐騙犯罪嫌疑人為了隱匿涉詐網(wǎng)址的真實服務(wù)器信息，同時為了避開互聯(lián)網(wǎng)上有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸和環(huán)節(jié)，使內(nèi)容傳輸?shù)酶?、更穩(wěn)定，便于位于中國境內(nèi)的被害人訪問使用境外服務(wù)器搭建的涉詐網(wǎng)址，會通過訂閱CDN服務(wù)達(dá)到目的。為了獲取詐騙犯罪嫌疑人所使用的真實服務(wù)器，首先要確定涉詐APP、網(wǎng)站平臺域名解析IP是否使用了CDN服務(wù)，若使用CDN加速服務(wù)則通過域名解析得出的IP地址為跳轉(zhuǎn)IP地址，不能確定嫌疑人所使用的真實IP地址。在判定犯罪嫌疑人是否使用CDN服務(wù)時可采用CDN判定解析工具，如“whois”的Ping工具，如果多地Ping同一網(wǎng)站，出現(xiàn)多個解析IP地址，那么說明使用了CDN進(jìn)行內(nèi)容分發(fā)，或者使用nslookup命令查看域名解析對應(yīng)的IP地址，如果解析到多個IP地址則說明使用了CDN。若服務(wù)器使用了境內(nèi)的CDN服務(wù)則可以通過CDN服務(wù)商調(diào)取涉詐網(wǎng)址的真實服務(wù)器以及購買CDN服務(wù)的支付信息和使用者信息。得到真實的服務(wù)器IP地址后可向服務(wù)器所屬公司或服務(wù)器所在地電信運(yùn)營部門調(diào)取服務(wù)器存儲的數(shù)據(jù)，獲取服務(wù)器管理、使用賬號的登錄IP以及服務(wù)器內(nèi)存儲的關(guān)于涉詐的相關(guān)信息，采取電子勘驗檢查或電子物證鑒定的方式進(jìn)行固定。針對境外服務(wù)器，可通過網(wǎng)絡(luò)技術(shù)專業(yè)人才進(jìn)行IP跳轉(zhuǎn)倒查，尋找頻繁從境內(nèi)IP鏈接的涉詐服務(wù)器，并對該IP地址進(jìn)行關(guān)聯(lián)查詢，從而獲取有用的身份、賬號等信息。

結(jié)語

任何犯罪都會留下蛛絲馬跡，而這些蛛絲馬跡正是打擊電信網(wǎng)絡(luò)詐騙犯罪的突破口。在對此類犯罪的打擊的過程是和犯罪嫌疑人斗智斗勇的過程，偵查員必須盡可能地在首次接到報案時充分收集信息，發(fā)現(xiàn)犯罪團(tuán)伙在實施詐騙過程中留下的痕跡信息，通過充分利用數(shù)據(jù)，不斷地擴(kuò)展線索，揭露詐騙犯罪分子在虛擬網(wǎng)絡(luò)世界的面紗，鎖定詐騙犯罪團(tuán)伙的真實身份，給予犯罪團(tuán)伙嚴(yán)厲的打擊。