電信網(wǎng)絡(luò)詐騙犯罪信息流偵查方法探析

王曉偉

【摘要】信息流偵查是電信網(wǎng)絡(luò)詐騙犯罪偵查的基本途徑，是獲取犯罪證據(jù)、查明嫌疑人身份的必要措施。電信網(wǎng)絡(luò)詐騙犯罪的信息流具有信息傳遞工具種類多、手段技術(shù)更新快、信息構(gòu)成復(fù)雜、信息存儲(chǔ)分散、信息容易滅失等特點(diǎn)，開展電信網(wǎng)絡(luò)詐騙犯罪信息流偵查應(yīng)重視從點(diǎn)到線、從點(diǎn)到面、同種數(shù)據(jù)比對(duì)碰撞、異種數(shù)據(jù)拓展關(guān)聯(lián)、與資金流調(diào)查并行等研判思路，根據(jù)案件具體情況分別采用注冊(cè)信息追蹤法、IP信息分析法、交易數(shù)據(jù)關(guān)聯(lián)法、設(shè)備信息關(guān)聯(lián)法、勘查比對(duì)法等偵查方法。

【關(guān)鍵詞】電信網(wǎng)絡(luò)詐騙? 信息流? 信息流偵查

【中圖分類號(hào)】D631.2? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)識(shí)碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2022.15.011

電信網(wǎng)絡(luò)詐騙是典型的非接觸式犯罪，犯罪嫌疑人在實(shí)施過程中利用通信、網(wǎng)絡(luò)工具與技術(shù)發(fā)布虛假信息，繼而與被害人發(fā)生通聯(lián)以獲取被害人的信任，實(shí)現(xiàn)其犯罪目的。在這一過程中，嫌疑人和被害人之間必然會(huì)產(chǎn)生大量的交互信息。這些信息依托相應(yīng)的通信、網(wǎng)絡(luò)工具進(jìn)行傳遞，并完整記錄著嫌疑人虛構(gòu)事實(shí)、捏造真相詐騙被害人的全過程。在電信網(wǎng)絡(luò)詐騙犯罪偵查實(shí)踐中，一般將犯罪嫌疑人騙取被害人信任過程中涉及到的信息傳遞工具、通信號(hào)碼、網(wǎng)絡(luò)賬戶及其所產(chǎn)生的信息記錄總和稱為電信網(wǎng)絡(luò)詐騙犯罪的信息流。對(duì)信息流開展偵查是電信網(wǎng)絡(luò)詐騙犯罪偵查的基本途徑，是查證、還原詐騙嫌疑人作案過程的必要手段，是獲取犯罪證據(jù)、查明嫌疑人身份的有力措施。

電信網(wǎng)絡(luò)詐騙犯罪信息流的特點(diǎn)

信息傳遞工具種類多。信息傳遞工具是詐騙嫌疑人實(shí)施電信網(wǎng)絡(luò)詐騙犯罪的手段，是電信網(wǎng)絡(luò)詐騙犯罪中重要的作案工具，是詐騙嫌疑人實(shí)施騙術(shù)的載體。基于不同通信、網(wǎng)絡(luò)技術(shù)的信息傳遞其工具形式多樣。從電信網(wǎng)絡(luò)詐騙犯罪的發(fā)展演變過程和當(dāng)前的犯罪實(shí)際看，只要是具備通話、會(huì)話功能的通信工具和網(wǎng)絡(luò)工具，都可以被詐騙嫌疑人用于犯罪。只不過基于不同的騙術(shù)，詐騙嫌疑人在作案時(shí)會(huì)選取不同的信息傳遞工具。

手段技術(shù)更新快。隨著通信、網(wǎng)絡(luò)技術(shù)的快速發(fā)展與普及應(yīng)用，越來越多形式多樣、功能各異的通信、網(wǎng)絡(luò)工具不斷出現(xiàn)在人們的生活中。詐騙嫌疑人也隨之不斷更新其信息流作案工具，從傳統(tǒng)的電話、短信發(fā)展到VoIP網(wǎng)絡(luò)電話、任意顯號(hào)軟件、偽基站群發(fā)短信、釣魚網(wǎng)站、即時(shí)通訊工具，又到嗅探、GoIP設(shè)備、寶類設(shè)備，再到如今的各類社交軟件和專門定制的詐騙網(wǎng)站、虛假App等，犯罪工具不斷迭代升級(jí)，更新速度快。

信息構(gòu)成復(fù)雜。在電信網(wǎng)絡(luò)詐騙犯罪信息流的構(gòu)成中，不僅包含詐騙嫌疑人與被害人之間的交互信息，也包含信息傳遞工具的屬性信息、號(hào)碼信息和賬戶信息等眾多信息類型。同時(shí)，單個(gè)詐騙案件中往往包含多個(gè)信息傳遞工具，詐騙嫌疑人也是多人參與其中，環(huán)節(jié)多、流程復(fù)雜。

信息存儲(chǔ)分散。電信網(wǎng)絡(luò)詐騙犯罪的信息流信息類型眾多，有些是信息傳遞工具使用時(shí)留下的固有記錄，有些是工具與工具、詐騙嫌疑人與被害人通聯(lián)過程中產(chǎn)生的交互信息。因類型不同、性質(zhì)不同、工具使用時(shí)所在位置不同，其存儲(chǔ)非常分散。有些存儲(chǔ)在不同的信息傳遞工具中，有些存儲(chǔ)在不同物理位置、不同權(quán)屬關(guān)系的服務(wù)器中，調(diào)取手續(xù)繁瑣、耗時(shí)長(zhǎng)。

信息容易滅失。電信網(wǎng)絡(luò)詐騙犯罪嫌疑人的反偵查意識(shí)普遍較強(qiáng)，為了逃避偵查，會(huì)在作案后及時(shí)銷毀、丟棄手機(jī)卡、手機(jī)等犯罪工具，定時(shí)刪除存儲(chǔ)于服務(wù)器中的涉案信息。有的詐騙嫌疑人會(huì)在詐騙過程中誘導(dǎo)被害人刪除手機(jī)上的相關(guān)信息，而有些詐騙嫌疑人會(huì)直接選用帶有“閱后即焚”功能的信息傳遞工具，在作案過程中直接抹去相關(guān)信息。詐騙嫌疑人的這些作案手段致使電信網(wǎng)絡(luò)詐騙案件中的信息流信息極易滅失，大大增加了公安機(jī)關(guān)調(diào)查取證的難度。

電信網(wǎng)絡(luò)詐騙犯罪信息流研判思路

“從點(diǎn)到線”的研判思路。當(dāng)調(diào)取到一些基礎(chǔ)信息，如注冊(cè)信息、登錄日志后，可從這些基礎(chǔ)信息（點(diǎn)）出發(fā)，對(duì)嫌疑人使用該服務(wù)的過程（線）進(jìn)行還原，查清詐騙嫌疑人如何租用服務(wù)器、與承租商的關(guān)系等問題，以達(dá)到“由點(diǎn)及線、縱向深挖”的效果，實(shí)現(xiàn)對(duì)案件的局部突破。

“從點(diǎn)到面”的研判思路。當(dāng)調(diào)取到一些基礎(chǔ)信息，如話單IMEI、登錄IP、注冊(cè)人員信息等，可從這些基礎(chǔ)信息（點(diǎn)）出發(fā)對(duì)嫌疑人所掌握的所有設(shè)備、所有號(hào)碼、注冊(cè)的所有賬戶等（面）進(jìn)行拓展，以達(dá)到“由點(diǎn)及面、橫向拓展”的效果，實(shí)現(xiàn)對(duì)案件的局部突破。

同種數(shù)據(jù)比對(duì)碰撞的研判思路。在從不同途徑調(diào)取到相同屬性的數(shù)據(jù)時(shí)，可將同屬性數(shù)據(jù)進(jìn)行交叉碰撞，以判斷不同的信息傳遞工具是否在同設(shè)備或同網(wǎng)絡(luò)環(huán)境使用等相關(guān)情況。

異種數(shù)據(jù)拓展關(guān)聯(lián)的研判思路。對(duì)于調(diào)取到的不同類型的數(shù)據(jù)，如網(wǎng)絡(luò)IP與設(shè)備MAC、注冊(cè)信息與支付信息、設(shè)備IMEI與話單IMSI等，同樣需要進(jìn)一步的信息挖掘，分析不同類型數(shù)據(jù)之間是否存在信息關(guān)聯(lián)。

信息流調(diào)查與資金流調(diào)查并行的研判思路。電信網(wǎng)絡(luò)詐騙犯罪的信息流信息與資金流信息總會(huì)相互交織，因此，在具體的案件偵辦中，信息流調(diào)查也要始終與資金流調(diào)查并行。通過資金流調(diào)查可以更好地推進(jìn)信息流調(diào)查，查清相關(guān)信息流信息也可助力資金流偵查。例如，資金賬戶中出現(xiàn)的人員信息、IP信息、設(shè)備信息、金額、時(shí)間節(jié)點(diǎn)，等等，都需與信息流線索相核驗(yàn)，以便更好地查明案件事實(shí)，鎖定嫌疑人身份。

電信網(wǎng)絡(luò)詐騙犯罪信息流偵查方法

注冊(cè)信息追蹤法。注冊(cè)信息追蹤法，是指根據(jù)調(diào)取的涉案工具賬戶的注冊(cè)人信息，通過分析案件規(guī)律和人員特點(diǎn)，根據(jù)相關(guān)信息的關(guān)聯(lián)性確認(rèn)嫌疑人身份，從而直接開展打擊的方法。隨著通信、互聯(lián)網(wǎng)監(jiān)管的逐步加強(qiáng)，犯罪嫌疑人在使用通信、網(wǎng)絡(luò)服務(wù)時(shí)，一般都需完成“實(shí)名認(rèn)證”從而獲取完整的服務(wù)內(nèi)容。公安機(jī)關(guān)在偵查過程中，雖偶爾也能發(fā)現(xiàn)使用真實(shí)身份完成“實(shí)名認(rèn)證”的嫌疑人，但多數(shù)情況下，嫌疑人在“實(shí)名認(rèn)證”過程中，都會(huì)通過借用他人身份信息、冒用他人身份完成“實(shí)名認(rèn)證”，因而嫌疑賬號(hào)一般并不具有直接的“‘實(shí)名即‘實(shí)人”特征。但這并不意味著信息流中的注冊(cè)人、使用人信息就毫無偵查價(jià)值。實(shí)際上，雖然注冊(cè)人、使用人信息中的姓名、身份證件等有偽造、冒用的情況，但一些賬號(hào)在使用過程中，需要手機(jī)號(hào)碼、郵箱號(hào)碼、即時(shí)通訊工具等用于接收驗(yàn)證碼、登錄認(rèn)證等操作，這些注冊(cè)時(shí)登記的手機(jī)號(hào)碼、郵箱號(hào)碼、即時(shí)通訊工具賬號(hào)等真實(shí)掌握在嫌疑人手中，通過對(duì)這部分賬號(hào)數(shù)據(jù)進(jìn)一步查實(shí)使用人身份信息，即可完成信息流中從“實(shí)名”信息到“實(shí)人”信息的轉(zhuǎn)化，從而發(fā)現(xiàn)嫌疑人身份并對(duì)其進(jìn)行打擊。注冊(cè)信息追蹤法本質(zhì)上是通過對(duì)注冊(cè)信息的順線追查實(shí)現(xiàn)涉案人員“虛擬身份”到“真實(shí)身份”的轉(zhuǎn)化，其在一些專業(yè)化程度不太高的電信網(wǎng)絡(luò)詐騙案件中往往能取得較好效果。

IP信息分析法。IP信息分析法，是指通過調(diào)取涉案賬戶的網(wǎng)絡(luò)登錄日志即IP信息進(jìn)行溯源和研判，發(fā)現(xiàn)并確認(rèn)嫌疑人的偵查方法。在電信網(wǎng)絡(luò)詐騙案件中，主體身份信息往往都是虛假身份信息，難以提供有效研判參考，但網(wǎng)絡(luò)登錄日志記錄的則是工具或賬號(hào)使用人的真實(shí)網(wǎng)絡(luò)使用信息，這是偵查機(jī)關(guān)第一時(shí)間確定嫌疑人位置信息的數(shù)據(jù)參照。在條件允許的情況下，偵查機(jī)關(guān)可直接對(duì)涉案的IP信息進(jìn)行溯源分析，從而發(fā)現(xiàn)嫌疑人真實(shí)身份。通過對(duì)相同IP信息下的其他信息流要素進(jìn)行碰撞分析，還可進(jìn)一步對(duì)IP信息拓展運(yùn)用。比如，對(duì)其他登錄相同IP的終端設(shè)備數(shù)據(jù)進(jìn)行分析，并通過提取多個(gè)時(shí)間節(jié)點(diǎn)的IP終端設(shè)備數(shù)據(jù)分析碰撞，從而發(fā)現(xiàn)與嫌疑人網(wǎng)絡(luò)登錄日志基本相符的終端設(shè)備信息，并進(jìn)一步通過終端設(shè)備明確嫌疑人身份。再比如，對(duì)同時(shí)段登錄相同IP的其他網(wǎng)絡(luò)賬戶或通信賬號(hào)進(jìn)行數(shù)據(jù)分析，并通過提取多個(gè)時(shí)間節(jié)點(diǎn)的IP賬號(hào)數(shù)據(jù)分析碰撞，從而發(fā)現(xiàn)與嫌疑人網(wǎng)絡(luò)登錄日志基本相符的其他賬號(hào)信息，再進(jìn)一步通過賬號(hào)明確嫌疑人身份。IP信息分析法是信息流中最具特色的偵查方法，其通過對(duì)IP信息的數(shù)據(jù)分析和碰撞完成嫌疑人“虛擬地址”向“現(xiàn)實(shí)地址”的轉(zhuǎn)化、“虛擬軌跡”向“真實(shí)軌跡”的轉(zhuǎn)化，是將線上與線下、虛擬世界與現(xiàn)實(shí)世界相結(jié)合的偵查方法。

交易數(shù)據(jù)關(guān)聯(lián)法。交易數(shù)據(jù)關(guān)聯(lián)法，是指通過對(duì)在信息流偵查中調(diào)取到的交易訂單數(shù)據(jù)、充值數(shù)據(jù)、綁定銀行賬戶、支付賬戶數(shù)據(jù)等進(jìn)行研判分析，從而借由資金信息關(guān)聯(lián)發(fā)現(xiàn)犯罪嫌疑人的偵查方法。在電信網(wǎng)絡(luò)詐騙犯罪的信息流中，一些信息傳遞工具的使用，如域名注冊(cè)、服務(wù)器租賃、工商信息有償查詢、App封裝等，需要嫌疑人有償購(gòu)買服務(wù);部分與資金賬戶相關(guān)聯(lián)的強(qiáng)實(shí)名網(wǎng)絡(luò)賬戶、通信賬戶，也會(huì)要求使用人綁定銀行卡賬戶、支付賬戶等。通過對(duì)這類交易訂單或綁定賬戶的資金來源、賬戶使用情況進(jìn)行研判，偵查機(jī)關(guān)可發(fā)現(xiàn)嫌疑人的資金賬戶，從而明確嫌疑人身份。交易信息關(guān)聯(lián)法是信息流偵查中資金流偵查思路的體現(xiàn)，實(shí)現(xiàn)的是從“資金”到“賬戶”、從“賬戶”到“實(shí)人”的層層轉(zhuǎn)化，其在一些有償使用類工具、賬戶的偵查中往往具有較好的偵查效果。

設(shè)備信息關(guān)聯(lián)法。設(shè)備信息關(guān)聯(lián)法，是指通過對(duì)調(diào)取到的涉案設(shè)備信息進(jìn)行關(guān)聯(lián)分析，以設(shè)備為關(guān)聯(lián)要素在虛擬與現(xiàn)實(shí)世界進(jìn)行雙向拓展，從而發(fā)現(xiàn)嫌疑人身份的偵查方法。設(shè)備信息關(guān)聯(lián)法的實(shí)施基礎(chǔ)是設(shè)備硬件地址的全球唯一性特征?；诖?，在具體案件偵辦中，偵查機(jī)關(guān)可以對(duì)與涉案設(shè)備的硬件地址產(chǎn)生關(guān)聯(lián)的其他設(shè)備進(jìn)行拓展，并對(duì)與這些設(shè)備相關(guān)聯(lián)的IP地址、網(wǎng)絡(luò)賬號(hào)、網(wǎng)絡(luò)通信工具等進(jìn)行同步分析，從而實(shí)現(xiàn)從“工作機(jī)”到“生活機(jī)”、從“設(shè)備”到“實(shí)人”的轉(zhuǎn)化，最終發(fā)現(xiàn)嫌疑人身份。

勘查比對(duì)法?？辈楸葘?duì)法，是指公安機(jī)關(guān)通過對(duì)受害人或嫌疑人設(shè)備進(jìn)行現(xiàn)場(chǎng)勘查，完成電子數(shù)據(jù)的提取、分析、比對(duì)，通過電子物證的結(jié)構(gòu)化分析發(fā)現(xiàn)嫌疑人身份的偵查方法。具體實(shí)施中，是以公安機(jī)關(guān)刑事技術(shù)部門為偵查主體，將受害人手機(jī)或計(jì)算機(jī)視為電信網(wǎng)絡(luò)詐騙犯罪的“第一犯罪現(xiàn)場(chǎng)”，利用現(xiàn)勘設(shè)備對(duì)電子數(shù)據(jù)進(jìn)行提取、固定，并通過結(jié)構(gòu)化的電子數(shù)據(jù)分析，對(duì)嫌疑人身份進(jìn)行比對(duì)、分析，進(jìn)而鎖定嫌疑人身份。

（本文系中國(guó)人民公安大學(xué)2022年度研究生課程建設(shè)項(xiàng)目“新型犯罪偵查專題”的階段性成果，項(xiàng)目編號(hào)：2022yjskcjs020）

責(zé) 編∕桂 琰