作者:任留存、戴奎
来源:节选自任留存、戴奎《网络犯罪办案手册》,法律出版社2021
(一)全面排查被害人报案资料,顺藤摸瓜
网络诈骗类案件虽区分不同种类,但一般情况均系因被害人报案而案发,且犯罪行为人多采用虚假身份作案。故在被害人报案后,应及时收集、提取被害人处的聊天记录等电子数据,及时调取被害人资金转移情况,将聊天记录中对应的人员、资金接受账户对应的人员落地,包括是用谁的身份信息注册的账户,使用人的IP地址,使用人的实际地址等。再由这些关联信息进一步向上推导,抽丝剥茧,明确可疑人员。
(二)做好虚拟账户的落地
打击电信网络诈骗犯罪,首先要解决的问题就是虚拟世界的数据和现实社会人员身份落地关联的问题。网络环境下可通过IP、MAC等信息,解决设备关联的问题。比如服务器定位,可通过网站域名获取网站IP地址、网站备案,对IP地址为反向代理(VPN)的,还需进行分析才能定位真实的IP服务器地址。然后通过调取网络注册信息、身份认证信息、网络社区登录密码以及相关技术手段,明确犯罪工具所包含的账号、网络流量、恶意代码、设备指纹信息等是犯罪嫌疑人使用的或所有的,被害人资金是流向犯罪嫌疑人的,包括相关银行卡在犯罪嫌疑人处扣押,或相关被害人信息、通讯账号信息等在犯罪嫌疑人处被发现。
(三)注重有关资金链条证据的收集
资金流的梳理是网络诈骗案件的关键。应及时调取银行转账凭证、交易流水、第三方支付交易记录以及其他关联账户交易记录、现场书证的查扣、与犯罪关联的银行卡及申请资料等,从中审查相关银行卡信息与被害人存款、转移赃款等账号有无关联,资金交付支配占有过程;犯罪嫌疑人的短信以及QQ、微信、skype等即时通讯工具聊天记录等与犯罪有关的信息,用于查明是否出现涉案银行卡账号、资金流转等犯罪信息,赃款是否由犯罪嫌疑人取得。对犯罪团伙类网络诈骗,还应注意用于诈骗的银行卡、记账本、表格等,这些往往是后续继续寻找被害人以及明确整个犯罪团伙犯罪数额的关键。
(四)注重有关信息链条证据的收集
侦查机关对有远程勘验条件的,应第一时间根据被害人报案开展远程证据提取,收集犯罪行为人用于犯罪的软件、工具等,明确犯罪使用的CDR电话清单、手机IMEI串号、语音网关设备、路由设备、交换设备、手持终端等。要注意审查诈骗窝点物理IP地址是否与所使用电话CDR数据清单中记录的主叫IP地址或IP地址所使用的线路(包括此线路的账号、用户名称、对接服务器、语音网关、手持终端等设备的IP配置)一致,电话CDR数据清单中是否存在被害人的相关信息资料,改号电话显示号码、呼叫时间、电话、IP地址是否与被害人陈述及其他在案证据印证。在电信网络诈骗窝点查获的手机IMEI串号以及其他电子作案工具,是否与被害人所接到的诈骗电话显示的信息来源一致;在诈骗窝点查获的纸质和电子账目报表,是否与被害人陈述的时间、金额等细节相互印证。
(五)注重有关人员链条证据的收集
电信网络诈骗多为共同犯罪,在审查刑事责任年龄、刑事责任能力方面的证据基础上,应重点审查犯罪嫌疑人供述和辩解、手机通信记录、犯罪嫌疑人之间的聊天记录、诈骗脚本、内部分工、培训资料、监控视频等证据,通过自供和互证,以及与其他证据之间的相互印证,查明各自的分工和作用,以区分主、从犯。对于分工明确、有明显首要分子、较为固定的组织结构的3人以上固定的犯罪组织,应当认定为犯罪集团。注意审查犯罪嫌疑人供述的行为方式与被害人陈述的被骗方式、交付财物过程或者其他证据是否一致。对于团伙作案的,还要重视对同案犯罪嫌疑人供述和辩解的审查,梳理各个同案犯罪嫌疑人的指证是否相互印证。
(六)及时扣押、收集、提取电子数据
在电子数据取证中,应首先尽可能地收集和保全与电子数据相关的存储介质,以免介质出现毁损、灭失等情况而导致电子数据无法收集。除传统犯罪案件办理过程中的扣押程序外,还可采取网络远程勘验的方式,分析服务器网站数据,找到网站及其数据库数据所在路径,获取对应的网站数据及数据库数据;可采取电子数据检查的方式,通过本地镜像,获取与案件相关的网站数据及数据库数据。在提取时,应做到依法、全面提取与案件相关的通话记录、即时社交软件上的聊天记录、支付宝等支付工具上的交易记录,且应注重调取IP地址、MAC地址、银行交易明细、网上支付平台的数据、上网记录、电子邮件等数据,提取上述电子数据后,应将收集到的证据备份,将扣押的证据封存。需要提交鉴定的证据应及时委托鉴定。
(七)以电子数据为中心开展讯问工作
网络诈骗犯罪多呈现公司化运作,组织结构严密,分工精细。讯问前应注重对电子数据的审查,通过电子数据明确作案手法、人员分工、大致的犯罪数额等,以便掌握讯问的主动性,确保讯问工作有的放矢,提高讯问效率。同时,网络犯罪案件,行为人的作案方式多样,根据不同作案方式,案件的定性也会有所区别。在确保办案安全的情况下,侦查机关可以在讯问犯罪嫌疑人时即让其操作演示作案经过并截图保存;由侦查人员操作的,应当将操作经过交犯罪嫌疑人核实,操作过程可采取同步录音录像的方式固定。
(八)从认罪态度好的人员开始讯问
公司型诈骗集团人员众多,层级也较多。新加入人员虽对犯罪集团了解不深,但一般态度相对较好,属于相对容易讯问突破的人选。在犯罪中处于从属地位的人员、有立功意愿的人员,大都会如实供述相关犯罪事实,可优先讯问,了解更多犯罪细节后,再去讯问组织者、领导者,往往也能起到较好的效果。对于网站数据库内容,还可通过有关责任人员或管理、技术人员了解网站管理路径和用户密码、网站数据库相关表项结构和功能等技术细节,进一步获取注册用户数量、交易金额统计及更改交易金额查询等。实践中,常用的数据库查询工具为Navicat,它是一套数据库管理工具,主要功能包括支持对象列表在SQL编辑器、简化SQL、数据库范围搜索、ER图表查看等。
(九)输赢的确定性和考题的一致性也是侦查中应当关注的要点
网络赌博诈骗应对涉案赌局输赢的确定性进行侦查,赌博具有随机性而诈骗要求确定性,故应对犯罪嫌疑人实施行为的控制性展开侦查,明确盈利是否为犯罪嫌疑人掌控;同时,考试、考题类案件之所以能够以诈骗罪定罪处罚,其前提是行为人虚构了拥有真实考题等内容,一旦比对下来考题具有一致性,虚构事实的前提也就不存在了。
(十)订单信息的真实性可作为刷单类诈骗的切入点
兼职刷单诈骗和薅羊毛式诈骗都是通过虚假刷单实现的,均不存在真实的消费者,故此类案件订单信息的人员和金额信息均会呈现相对集中的特点,可结合订单信息展开侦查。
声明:本文来自网安杂谈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。