电信网络诈骗犯罪数据采集分析研究

袁宝中

电信网络诈骗犯罪运用通信信息网络开展犯罪活动，其虚拟性和易篡改性的特点导致犯罪证据非常容易被犯罪分子毁灭，不易于取证和保存。犯罪团伙所使用的犯罪工具往往是通过被害人的资金或者以悬赏做任务的方式引导普通群众购买所得，以此达到规避实名认证审核的目的。随着境内打击电信网络诈骗犯罪的力度不断增强，犯罪团伙窝点向境外逐步转移，通过远程利用国内的黑灰产业链条进行跨地域实施犯罪。犯罪团伙之间形成了明确的组织分工，经过长期与公安机关的对抗具备了很强的反侦察意识和能力，在一起诈骗犯罪作案成功后，立即开始通过关闭涉诈网址、更换服务器、注销通信账户等措施着手毁灭诈骗犯罪证据，因此，获取一手全面的信息对于诈骗案件的侦办及审判至关重要[1]。本文通过梳理相关侦查办案的方法，如被害人笔录采集，通信数据、通联软件、涉诈网址、服务器信息的采集和分析，以期对确定诈骗窝点位置，确定诈骗犯罪嫌疑人的真实信息，精准打击电信网络诈骗有所助力。

一、被害人笔录采集

电信网络诈骗犯罪嫌疑人在实施诈骗犯罪过程中通过利用通信、网络工具技术发布虚假信息，继而才能够与被害人发生通联以此获取被害人的信任，实现其犯罪目的。在这一过程中，诈骗犯罪嫌疑人和被害人之间会产生大量的交互信息，而被害人笔录是获取诈骗犯罪团伙向被害人暴露的所有信息以及诈骗团伙从被害人处获取的所有信息的重要途径，因此尽可能详细地收集被害人提供的信息能够帮助侦查人员尽快开展相应的信息流侦查和资金流追踪。被害人笔录数据收集主要包括以下重要内容：

通过了解被害人是如何受到引诱与犯罪嫌疑人进行接触来了解诈骗信息的发布途径(网络、电话、短信)；通过诈骗信息的内容确定诈骗的类型；通过被害人手机数据信息确定犯罪嫌疑人使用的涉诈网址、通信设备、社交软件、资金交易的信息和账户。根据诈骗类型判断是否存在“二杀”情形，“二杀”是犯罪嫌疑人对被害人进行的第二次诈骗，通常是依据被害人钱财遭受损失后急于挽回或者利用被害人心存恐惧心理从而对被害人实施诈骗，“二杀”的诈骗作案手法、犯罪团伙成员通常与“一杀”不相同，因此判断是否存在“二杀”犯罪行为有利于侦查人员对犯罪团伙的规模和数量进行初步的判断。同时，第一时间根据资金的交易信息，找出诈骗犯罪团伙进行资金转移所使用的金融账户，明确转账的方式和时间，帮助侦查人员尽快对涉案的账户进行止付、冻结操作，帮助被害人减少财产损失。

二、通信数据信息采集和分析

(一)通信设备信息追踪法

通信设备信息追踪法是通过分析嫌疑人所使用手机号机主信息以及通话历史记录，分析嫌疑人使用手机进行通话的位置以及重点通话对象，以此判定嫌疑人实施犯罪行为时的活动轨迹及社会关系，通过辅助社会监控等手段落实犯罪嫌疑人身份的方法。为了尽可能地获取嫌疑人的通信设备，可采取设备串码反查的方式获取嫌疑人更多或仍在使用的通话设备和号码信息。诈骗犯罪团伙的窝点多设置在境外，因使用境外通信成本较高且容易引起被害人警觉，同时为了提高诈骗成功的概率，往往会设置专业从事网络通话的话务窝点。在话务窝点中，嫌疑人多使用网络电话进行拨号，在获取电话时可能会出现被害人接听电话与犯罪嫌疑人使用的诈骗号码不相符的情况，因为嫌疑人为了逃避打击可能会使用改号软件将主叫号码改号的情况。在该情形下，侦查人员需要掌握诈骗嫌疑人所使用的网络电话主叫号码、通话时间、通话时长，通过对被害人进行回访或者是话单分析进行确认，找出犯罪嫌疑人实际使用的号码，以免发生遗漏。因手机号码是注册金融服务、社交服务的重要媒介，在获取嫌疑人使用的号码之后通过查询嫌疑人手机号码的充值记录，获取充值渠道，根据获取的充值渠道追踪嫌疑人充值时使用的微信、QQ等社交账户、支付宝、银行卡、云闪付等金融账户，以此分析嫌疑人身份并对位置进行落地[2]。事实上，犯罪团伙在诈骗过程中需要大量的通联工具，为了能够便利地实施诈骗犯罪或者出于侥幸心理，犯罪分子会存在为个人生活用的社交账户或者手机号码进行充值的情况，侦查人员可以此作为突破口，确定犯罪嫌疑人的真实身份。

(二)通信设备、账户购买途径追踪法

通信设备、账户购买途径追踪法是在明确犯罪分子所使用通信设备和账户后，通过调取的涉案工具账户的注册人信息，分析案件规律和人员特点，确定犯罪嫌疑人活动的位置和空间范围，找出其通讯设备购买渠道，有针对性地对销售渠道逐级进行排查，以获取嫌疑人购得手机号的途径，同批次购买电话号码以及支付费用的账号，以此分析嫌疑人身份和落地位置的方法。诈骗团伙所使用的通信设备和账户通常情况下是通过黑灰产业链条途径购买所得，其绑定的身份可能是虚假的，但是侦查人员可以通过其购买的通联工具渠道掌握其购买通联工具的产业链条，再沿着购买途径顺线追踪找出诈骗犯罪团伙的位置以及人员信息，同时打击出售通联工具的黑灰产业链条，铲除电信网络诈骗犯罪的土壤。在获取通信账户后，为了进一步扩大线索也可对未启用的手机号码进行监控，为落地抓捕创造条件。针对诈骗短信群发情况可以向通信运营商调取群发短信通道的渠道和代理商信息，在对发送短信手机号销售、流转的调查中，重点关注专门为诈骗团伙提供作案手机号的团伙线索，寻找直接操作发送短信的推广公司人员，这些人员为诈骗团伙实施诈骗提供引流帮助，往往会和诈骗团伙会有直接的联系，在对引流人员进行打击后，从而可以追踪诈骗团伙窝点人员。

三、通联软件信息采集和分析

(一)IP信息分析法

IP信息分析法是指通过调取涉案通联软件账户、网络支付软件、客服接口等信息的网络登录日志，对其登录的IP地址信息进行溯源、研判，从而确定嫌疑人的真实身份信息的侦查方法。尽管诈骗团伙内部通常都会严格要求作案机与生活机的物理隔离，但由于其诈骗团伙均处于封闭管理状态，个别嫌疑人总会出现侥幸心理，使用窝点WIFI或工作机登录淘宝、抖音、爱奇艺等热门APP进行娱乐活动，而这些APP在登录过程中会留下网络日志，因此可以以此作为突破口，通过调取网络登录日志，快速锁定嫌疑人使用的网络登录IP地址[3]。通过登录IP地址的反查找出其对应的注册手机号码以及手机设备串码、MAC地址等信息，获取其他作案或者生活用的微信、QQ、手机、电脑、上网卡等信息，甄别嫌疑人使用的境内网络或境外网络，对所获得的数据进行信息的碰撞和比对，判断嫌疑人实施犯罪行为的地点以及犯罪窝点的位置，锁定嫌疑人的身份。数据碰撞的准确性是和获得的数据的数量呈正相关的，在对嫌疑人虚拟身份进行拓线的过程中要尽可能找到嫌疑人所使用的所有设备信息和账户信息，通过同环境下运行的设备信息和登录账户进行拓展，增加比对的准确性。

(二)微信、QQ群聊扩线法

微信、QQ群聊扩线法是通过排查嫌疑人作案微信、QQ及反查发现的微信、QQ加入的群，以此找出诈骗窝点内部工作群、与上下游黑灰产联络的工作群，从而突破嫌疑人虚拟身份信息的方法。此类工作群及群内成员所使用的通联工具号码相对稳定，交流内容多与诈骗直接关联，在群内聊天过程中可能在不经意间会流露出嫌疑人的真实身份信息，根据其群聊的信息内容可以对犯罪团伙进行初步刻画，找出关联的社会关系，判定诈骗犯罪团伙的规模特点、位置，排查嫌疑人身份。诈骗犯罪团伙在群内存在严格的等级关系，在群聊的称呼，聊天的语言中会有所体现，据此就可以判断诈骗团伙的层级结构，以及各成员在诈骗过程中所起到的作用进行佐证，有助于在审判过程中确定主犯、从犯，从而定罪量刑。诈骗犯罪团伙各成员之间的联系比较紧密，其共同生活居住的痕迹明显，侦查人员可以依据群聊内流露出的住宿和出行信息，通过同行、同住等社会关系和行踪轨迹信息进行拓展研判诈骗团伙其他成员身份信息和上下游黑灰产业人员身份信息。

(三)诈骗信息数据关联法

诈骗信息数据关联法是通过对嫌疑人在QQ空间、微信朋友圈、贴吧、58同城等平台发布诈骗的信息进行分析，找出嫌疑人关联的生活信息以及发布诈骗信息时的位置信息，并根据关联的数据碰撞比对确定嫌疑人的身份的方法。锁定嫌疑人使用的社交软件账户后，可向相关网络平台调取信息发布者的注册信息、联络方式、登录方式(手机、电脑)、登录时间、网络日志、IP地址、过往发布信息，结合涉案账户的充值情况进，对充值费用的支付工具进行梳理分析，同历史登录IP地址、生活信息碎片等信息进行碰撞比对，查明涉及该环节人员的情况，找出该社交软件账户及网络平台的实际使用者，综合研判锁定嫌疑人窝点的位置。无论诈骗犯罪嫌疑人通过何种途径发布诈骗信息，获取的登录时间和IP地址，均要与诈骗犯罪嫌疑人直接实施诈骗使用的微信、QQ号的登录时间和IP地址进行比对，确定是否为诈骗犯罪的嫌疑人还是涉嫌帮助信息网络犯罪的推广引流人员，如果诈骗团伙嫌疑人使用的是通过黑灰产途径购买的账户，则可能存在不一致的情况，从而对案件的侦办和犯罪人员的确认起到一定的误导。

四、涉诈网址的信息收集

(一)涉诈域名解析法

涉案域名解析法主要是通过查明涉诈网址域名的租赁和使用人，获取案件侦查线索。在对涉诈域名解析时一般需要通过专业域名解析网站(如站长之家、“whois”、中国工信部的网站备案平台)查明涉诈域名的归属域名公司(如阿里云、新网、西部数码等)，通过该域名公司可以调取域名的注册人信息，如姓名、联系电话、邮箱、地址、租赁时间段、涉诈域名绑定的服务器IP地址等信息。由于域名的销售途径比较复杂，在实际的调证过程中会存在域名服务商层层代理的情况，侦查人员可以通过公司查询涉诈域名的销售渠道，查明最终销售给嫌疑人的代理商，向代理商查明涉案域名购买人身份以及涉诈域名使用情况等信息。购买涉诈域名人员以及频繁登录涉诈网址的人员往往可能从事涉诈网站的搭建、维护，非法获取公民信息，涉诈、涉赌的网络推广等犯罪行为，通过其资金关系、频繁通联对象进行调查，可顺线发现诈骗嫌疑人的工作账号、资金账户、通联软件账户等信息，为进一步确认其真实身份做准备。

(二)涉诈APP、网站嵌入聊天工具分析法

涉诈APP、网站嵌入聊天工具分析法是通过解析涉诈APP、网站嵌入聊天工具确定诈骗犯罪嫌疑人的服务订阅者的信息、支付信息、网站聊天内容从而确认诈骗犯罪嫌疑人真实身份的方法。犯罪团伙为规避侦查，方便和被害人沟通获取被害人的信任，会通过聊天工具的API接口使用公司的通信聊天服务，在搭建涉诈APP和涉诈网站时会采用嵌入式的聊天工具，如网易云信、CC客服等。在使用公司的服务时需要提供使用者的真实身份信息，其购买方式，如支付宝、微信等支付方式，为查明犯罪团伙所使用的信息来源提供了突破路径。侦查人员可通过网站解析的方式找到该聊天工具的提供商，以及嫌疑人使用的账号，进而通过提供商获取该账号对应的服务器数据信息、全部聊天信息、登陆IP信息，为侦查破案提供新的途径及证据[4]。

(三)涉诈APP、网站渗透法

涉诈APP、网站渗透法是利用网络专业技术侦查手段、请求互联网企业或利用网络特情人员协助利用专业的扫描工具和爆破工具对涉诈后台登录网址以及涉诈APP进行分析，从而获取诈骗犯罪嫌疑人真实IP地址登录地址的方法。通过此方式对涉诈APP和涉诈网址进行扫描，获取涉诈后台网址的IP地址区域分布、设备以及部分身份、账号信息，并根据获取的线索开展针对性的落地、侦控工作。由于涉诈网址属于诈骗犯罪团伙重要的诈骗工具，因此能够控制和使用后台管理网站人员应为诈骗团伙核心人员，对其身份的落地具有较大的侦查价值，可实现规模化的打击效应。针对采取了防护措施的涉诈APP和涉诈网址，也可以采用网络特情进行渗透，获取后台登录日志，追踪网站维护人员IP地址，获取相关黑灰产业的人员身份信息，获取其他投资客户信息用于核查案件、预警疑似受害人员。因涉诈APP和涉诈网址的服务器通常会存有嫌疑人与受害人之间一一对应关系的数据，是案件侦破后犯罪嫌疑人与涉案事实之间一一进行对应的关键性证据，因此在获取后台应用权限时，必须及时、定期地对该服务器数据进行远程勘验，固定犯罪嫌疑人的犯罪证据[5]。

五、服务器信息收集

诈骗犯罪嫌疑人为了隐匿涉诈网址的真实服务器信息，同时为了避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输得更快、更稳定，便于位于中国境内的被害人访问使用境外服务器搭建的涉诈网址，会通过订阅CDN服务达到目的。为了获取诈骗犯罪嫌疑人所使用的真实服务器，首先要确定涉诈APP、网站平台域名解析IP是否使用了CDN服务，若使用CDN加速服务则通过域名解析得出的IP地址为跳转IP地址，不能确定嫌疑人所使用的真实IP地址。在判定犯罪嫌疑人是否使用CDN服务时可采用CDN判定解析工具，如“whois”的Ping工具，如果多地Ping同一网站，出现多个解析IP地址，那么说明使用了CDN进行内容分发，或者使用nslookup命令查看域名解析对应的IP地址，如果解析到多个IP地址则说明使用了CDN。若服务器使用了境内的CDN服务则可以通过CDN服务商调取涉诈网址的真实服务器以及购买CDN服务的支付信息和使用者信息。得到真实的服务器IP地址后可向服务器所属公司或服务器所在地电信运营部门调取服务器存储的数据，获取服务器管理、使用账号的登录IP以及服务器内存储的关于涉诈的相关信息，采取电子勘验检查或电子物证鉴定的方式进行固定。针对境外服务器，可通过网络技术专业人才进行IP跳转倒查，寻找频繁从境内IP链接的涉诈服务器，并对该IP地址进行关联查询，从而获取有用的身份、账号等信息。

结语

任何犯罪都会留下蛛丝马迹，而这些蛛丝马迹正是打击电信网络诈骗犯罪的突破口。在对此类犯罪的打击的过程是和犯罪嫌疑人斗智斗勇的过程，侦查员必须尽可能地在首次接到报案时充分收集信息，发现犯罪团伙在实施诈骗过程中留下的痕迹信息，通过充分利用数据，不断地扩展线索，揭露诈骗犯罪分子在虚拟网络世界的面纱，锁定诈骗犯罪团伙的真实身份，给予犯罪团伙严厉的打击。