電信網絡詐騙犯罪信息流偵查方法探析

王曉偉

【摘要】信息流偵查是電信網絡詐騙犯罪偵查的基本途徑，是獲取犯罪證據、查明嫌疑人身份的必要措施。電信網絡詐騙犯罪的信息流具有信息傳遞工具種類多、手段技術更新快、信息構成復雜、信息存儲分散、信息容易滅失等特點，開展電信網絡詐騙犯罪信息流偵查應重視從點到線、從點到面、同種數據比對碰撞、異種數據拓展關聯、與資金流調查并行等研判思路，根據案件具體情況分別采用注冊信息追蹤法、IP信息分析法、交易數據關聯法、設備信息關聯法、勘查比對法等偵查方法。

【關鍵詞】電信網絡詐騙? 信息流? 信息流偵查

【中圖分類號】D631.2? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2022.15.011

電信網絡詐騙是典型的非接觸式犯罪，犯罪嫌疑人在實施過程中利用通信、網絡工具與技術發布虛假信息，繼而與被害人發生通聯以獲取被害人的信任，實現其犯罪目的。在這一過程中，嫌疑人和被害人之間必然會產生大量的交互信息。這些信息依托相應的通信、網絡工具進行傳遞，并完整記錄著嫌疑人虛構事實、捏造真相詐騙被害人的全過程。在電信網絡詐騙犯罪偵查實踐中，一般將犯罪嫌疑人騙取被害人信任過程中涉及到的信息傳遞工具、通信號碼、網絡賬戶及其所產生的信息記錄總和稱為電信網絡詐騙犯罪的信息流。對信息流開展偵查是電信網絡詐騙犯罪偵查的基本途徑，是查證、還原詐騙嫌疑人作案過程的必要手段，是獲取犯罪證據、查明嫌疑人身份的有力措施。

電信網絡詐騙犯罪信息流的特點

信息傳遞工具種類多。信息傳遞工具是詐騙嫌疑人實施電信網絡詐騙犯罪的手段，是電信網絡詐騙犯罪中重要的作案工具，是詐騙嫌疑人實施騙術的載體。基于不同通信、網絡技術的信息傳遞其工具形式多樣。從電信網絡詐騙犯罪的發展演變過程和當前的犯罪實際看，只要是具備通話、會話功能的通信工具和網絡工具，都可以被詐騙嫌疑人用于犯罪。只不過基于不同的騙術，詐騙嫌疑人在作案時會選取不同的信息傳遞工具。

手段技術更新快。隨著通信、網絡技術的快速發展與普及應用，越來越多形式多樣、功能各異的通信、網絡工具不斷出現在人們的生活中。詐騙嫌疑人也隨之不斷更新其信息流作案工具，從傳統的電話、短信發展到VoIP網絡電話、任意顯號軟件、偽基站群發短信、釣魚網站、即時通訊工具，又到嗅探、GoIP設備、寶類設備，再到如今的各類社交軟件和專門定制的詐騙網站、虛假App等，犯罪工具不斷迭代升級，更新速度快。

信息構成復雜。在電信網絡詐騙犯罪信息流的構成中，不僅包含詐騙嫌疑人與被害人之間的交互信息，也包含信息傳遞工具的屬性信息、號碼信息和賬戶信息等眾多信息類型。同時，單個詐騙案件中往往包含多個信息傳遞工具，詐騙嫌疑人也是多人參與其中，環節多、流程復雜。

信息存儲分散。電信網絡詐騙犯罪的信息流信息類型眾多，有些是信息傳遞工具使用時留下的固有記錄，有些是工具與工具、詐騙嫌疑人與被害人通聯過程中產生的交互信息。因類型不同、性質不同、工具使用時所在位置不同，其存儲非常分散。有些存儲在不同的信息傳遞工具中，有些存儲在不同物理位置、不同權屬關系的服務器中，調取手續繁瑣、耗時長。

信息容易滅失。電信網絡詐騙犯罪嫌疑人的反偵查意識普遍較強，為了逃避偵查，會在作案后及時銷毀、丟棄手機卡、手機等犯罪工具，定時刪除存儲于服務器中的涉案信息。有的詐騙嫌疑人會在詐騙過程中誘導被害人刪除手機上的相關信息，而有些詐騙嫌疑人會直接選用帶有“閱后即焚”功能的信息傳遞工具，在作案過程中直接抹去相關信息。詐騙嫌疑人的這些作案手段致使電信網絡詐騙案件中的信息流信息極易滅失，大大增加了公安機關調查取證的難度。

電信網絡詐騙犯罪信息流研判思路

“從點到線”的研判思路。當調取到一些基礎信息，如注冊信息、登錄日志后，可從這些基礎信息（點）出發，對嫌疑人使用該服務的過程（線）進行還原，查清詐騙嫌疑人如何租用服務器、與承租商的關系等問題，以達到“由點及線、縱向深挖”的效果，實現對案件的局部突破。

“從點到面”的研判思路。當調取到一些基礎信息，如話單IMEI、登錄IP、注冊人員信息等，可從這些基礎信息（點）出發對嫌疑人所掌握的所有設備、所有號碼、注冊的所有賬戶等（面）進行拓展，以達到“由點及面、橫向拓展”的效果，實現對案件的局部突破。

同種數據比對碰撞的研判思路。在從不同途徑調取到相同屬性的數據時，可將同屬性數據進行交叉碰撞，以判斷不同的信息傳遞工具是否在同設備或同網絡環境使用等相關情況。

異種數據拓展關聯的研判思路。對于調取到的不同類型的數據，如網絡IP與設備MAC、注冊信息與支付信息、設備IMEI與話單IMSI等，同樣需要進一步的信息挖掘，分析不同類型數據之間是否存在信息關聯。

信息流調查與資金流調查并行的研判思路。電信網絡詐騙犯罪的信息流信息與資金流信息總會相互交織，因此，在具體的案件偵辦中，信息流調查也要始終與資金流調查并行。通過資金流調查可以更好地推進信息流調查，查清相關信息流信息也可助力資金流偵查。例如，資金賬戶中出現的人員信息、IP信息、設備信息、金額、時間節點，等等，都需與信息流線索相核驗，以便更好地查明案件事實，鎖定嫌疑人身份。

電信網絡詐騙犯罪信息流偵查方法

注冊信息追蹤法。注冊信息追蹤法，是指根據調取的涉案工具賬戶的注冊人信息，通過分析案件規律和人員特點，根據相關信息的關聯性確認嫌疑人身份，從而直接開展打擊的方法。隨著通信、互聯網監管的逐步加強，犯罪嫌疑人在使用通信、網絡服務時，一般都需完成“實名認證”從而獲取完整的服務內容。公安機關在偵查過程中，雖偶爾也能發現使用真實身份完成“實名認證”的嫌疑人，但多數情況下，嫌疑人在“實名認證”過程中，都會通過借用他人身份信息、冒用他人身份完成“實名認證”，因而嫌疑賬號一般并不具有直接的“‘實名即‘實人”特征。但這并不意味著信息流中的注冊人、使用人信息就毫無偵查價值。實際上，雖然注冊人、使用人信息中的姓名、身份證件等有偽造、冒用的情況，但一些賬號在使用過程中，需要手機號碼、郵箱號碼、即時通訊工具等用于接收驗證碼、登錄認證等操作，這些注冊時登記的手機號碼、郵箱號碼、即時通訊工具賬號等真實掌握在嫌疑人手中，通過對這部分賬號數據進一步查實使用人身份信息，即可完成信息流中從“實名”信息到“實人”信息的轉化，從而發現嫌疑人身份并對其進行打擊。注冊信息追蹤法本質上是通過對注冊信息的順線追查實現涉案人員“虛擬身份”到“真實身份”的轉化，其在一些專業化程度不太高的電信網絡詐騙案件中往往能取得較好效果。

IP信息分析法。IP信息分析法，是指通過調取涉案賬戶的網絡登錄日志即IP信息進行溯源和研判，發現并確認嫌疑人的偵查方法。在電信網絡詐騙案件中，主體身份信息往往都是虛假身份信息，難以提供有效研判參考，但網絡登錄日志記錄的則是工具或賬號使用人的真實網絡使用信息，這是偵查機關第一時間確定嫌疑人位置信息的數據參照。在條件允許的情況下，偵查機關可直接對涉案的IP信息進行溯源分析，從而發現嫌疑人真實身份。通過對相同IP信息下的其他信息流要素進行碰撞分析，還可進一步對IP信息拓展運用。比如，對其他登錄相同IP的終端設備數據進行分析，并通過提取多個時間節點的IP終端設備數據分析碰撞，從而發現與嫌疑人網絡登錄日志基本相符的終端設備信息，并進一步通過終端設備明確嫌疑人身份。再比如，對同時段登錄相同IP的其他網絡賬戶或通信賬號進行數據分析，并通過提取多個時間節點的IP賬號數據分析碰撞，從而發現與嫌疑人網絡登錄日志基本相符的其他賬號信息，再進一步通過賬號明確嫌疑人身份。IP信息分析法是信息流中最具特色的偵查方法，其通過對IP信息的數據分析和碰撞完成嫌疑人“虛擬地址”向“現實地址”的轉化、“虛擬軌跡”向“真實軌跡”的轉化，是將線上與線下、虛擬世界與現實世界相結合的偵查方法。

交易數據關聯法。交易數據關聯法，是指通過對在信息流偵查中調取到的交易訂單數據、充值數據、綁定銀行賬戶、支付賬戶數據等進行研判分析，從而借由資金信息關聯發現犯罪嫌疑人的偵查方法。在電信網絡詐騙犯罪的信息流中，一些信息傳遞工具的使用，如域名注冊、服務器租賃、工商信息有償查詢、App封裝等，需要嫌疑人有償購買服務;部分與資金賬戶相關聯的強實名網絡賬戶、通信賬戶，也會要求使用人綁定銀行卡賬戶、支付賬戶等。通過對這類交易訂單或綁定賬戶的資金來源、賬戶使用情況進行研判，偵查機關可發現嫌疑人的資金賬戶，從而明確嫌疑人身份。交易信息關聯法是信息流偵查中資金流偵查思路的體現，實現的是從“資金”到“賬戶”、從“賬戶”到“實人”的層層轉化，其在一些有償使用類工具、賬戶的偵查中往往具有較好的偵查效果。

設備信息關聯法。設備信息關聯法，是指通過對調取到的涉案設備信息進行關聯分析，以設備為關聯要素在虛擬與現實世界進行雙向拓展，從而發現嫌疑人身份的偵查方法。設備信息關聯法的實施基礎是設備硬件地址的全球唯一性特征。基于此，在具體案件偵辦中，偵查機關可以對與涉案設備的硬件地址產生關聯的其他設備進行拓展，并對與這些設備相關聯的IP地址、網絡賬號、網絡通信工具等進行同步分析，從而實現從“工作機”到“生活機”、從“設備”到“實人”的轉化，最終發現嫌疑人身份。

勘查比對法。勘查比對法，是指公安機關通過對受害人或嫌疑人設備進行現場勘查，完成電子數據的提取、分析、比對，通過電子物證的結構化分析發現嫌疑人身份的偵查方法。具體實施中，是以公安機關刑事技術部門為偵查主體，將受害人手機或計算機視為電信網絡詐騙犯罪的“第一犯罪現場”，利用現勘設備對電子數據進行提取、固定，并通過結構化的電子數據分析，對嫌疑人身份進行比對、分析，進而鎖定嫌疑人身份。

（本文系中國人民公安大學2022年度研究生課程建設項目“新型犯罪偵查專題”的階段性成果，項目編號：2022yjskcjs020）

責 編∕桂 琰