電信網絡新型詐騙案件中“網絡流”數據的勘查要點研究

譚宇軒 黃娟娟

湖南警察學院，湖南 長沙 410138

21世紀，網絡在日常生活中發揮著越來越不可取代的作用，但隨著網絡普及率的升高和信息時代的到來，關于網絡的相關犯罪也愈發猖獗。電信網絡詐騙案發案多損失大，已成為社會公害。根據公安部公布的最新數據顯示，2020年，全國公安機關共破獲電信網絡詐騙案件25．6萬起，抓獲犯罪嫌疑人26．3萬名，攔截詐騙電話1．4億個、詐騙短信8．7億條，為群眾直接避免經濟損失1200億元。[1]公安機關破案效率再高，還是有人民群眾在上當受騙，人們的日常網絡使用也因電信網絡詐騙受到沖擊。現如今電信網絡詐騙已成為刑事犯罪的主流，將會成為公安機關長期面臨的主要挑戰。根據現今電信網絡詐騙案件的形勢，本文重點討論電信網絡詐騙案件中“網絡流”數據勘查的相關問題。

一、網絡流

（一）網絡流的概念

網絡流，其表面意思即網絡數據，網絡證據即正在網上傳輸的計算機證據，其存在形式依賴于網絡傳輸協議，采用不同的傳輸協議，網絡流的格式也不相同。但無論采用何種傳輸協議，都可以將網絡流分為文本、視頻、音頻、圖片。

（二）網絡流特點

1．實時動態性

網絡流指的是正在傳輸的證據，即流動數據，當數據從源地址已通過某種介質傳輸到目的地址時，就不再屬于網絡流的范疇。

2．數據類型復雜

網絡上傳輸的數據流有的是文本，有的是視頻，且隨著時代的發展，網絡帶寬不斷增加，傳輸數據成倍增長，形成量大又繁瑣的數據。

（三）“網絡流”在研判新型電詐案件中的作用

1．提供偵查線索，明確偵查方向

前文提到，“網絡流”即網絡數據具有實時動態性、數據類型復雜等特點，如何從復雜的網絡信息中找尋突破口，確定偵查方向是提高破案效率的關鍵。同時，在偵查線索的發現上也需要依靠“網絡流”的信息研判。

2．串并同類案件，提高并案效率

電信詐騙案件往往是隱蔽的，人員是相對分散的，從現實中分析犯罪人或犯罪團伙的同類案件難度較高，但從網絡上串并案件更能反映出作案人或者作案團伙的特點。通常情況下，我們從網上串并的依據有：（1）通過涉案的通信工具進行串并；（2）利用涉案的銀行賬戶進行串并；（3）對從通信工具、銀行賬戶查詢獲取的信息開展的綜合串并。

3．掌握犯罪動態，實現精準打擊

隨著科技的發展，犯罪嫌疑人的犯罪手法也不斷升級，越來越依靠于高科技手段，因此我們的偵查工作也應與時俱進，以適應信息化時代偵查工作的需要，從各種繁雜的網絡數據中提煉出有價值的信息。掌握犯罪動態就是掌握行動的主動權，才能對網絡犯罪有效地進行精確打擊。

4．探索防范機制，及時預警止損

通過研究“網絡流”的特點，加強與銀行等金融機構的協作，共同探討如何對電信網絡詐騙案件采取防范措施，加大對網絡工具的管理力度，提高對網絡平臺的日常監管效率，捕捉電信網絡詐騙的可能性前兆，探索研發防控預警、延時到賬等新軟件，為人民的財產安全畫上止損線，以規避更多的損失。

二、“網絡流”的勘查

在現場勘查環節中，“網絡流”電子數據勘查的重要對象是網絡數據。多數案件需要在現場對系統數據、文件等進行分析和處理，以便快速得到案件線索，推進勘查進度。對復雜的數據處理、大量文件恢復、全盤文件查找、復雜文件密碼破解等需耗費大量時間，可帶回實驗室進行。

（一）現場勘查流程

1．制定周密的勘查計劃

涉及對計算機網絡數據的勘查是一項非常復雜的工作，為獲取犯罪證據和犯罪人員信息，需制定周密的勘查計劃，以便最大限度地獲取犯罪現場遺留信息。為使勘查工作順利進行，在遇到疑難問題時可集體討論、協商，需要對人員進行簡單分工；為明確勘查目的，做到在現場臨場不亂，需制定預定目標，并做好緊急預案，隨著現場勘查的不斷深入，預定目標也會隨之調整；為使在現場勘查思路明確，做到有的放矢，不至于到達現場無從下手，需制定簡單的實施步驟。

2．準備勘查工具，應準備相關硬件工具和軟件工具。

硬件工具包括功能齊全的計算機，必要的通信電纜、打印機、電源保護器、光盤刻錄機和帶有分析系統的硬盤及其相關設備。還需準備計算機拆卸工具，以便提取、固定硬件證據時使用。軟件工具一般都包含在現場工作人員計算機內，用于分析被勘查計算機系統，通常包括操作系統軟件、工具軟件和應用軟件。操作系統軟件有通用的微機軟件、小型機軟件和網絡軟件。工具軟件和應用軟件又包括數據信息回復、診斷和清除病毒功能的軟件，數據庫軟件和備份軟件等。

3．現場保護

（1）確認計算機信息網絡系統的設備運行狀態。現場保護人員應當準確判斷現場，特別注意記錄變化的情況。

（2）控制現場人員。無論是嫌疑人、被害人還是現場無關人員，特別是犯罪嫌疑人，所有人都不得觸碰計算機系統、其外圍設備及電源總成，以防止系統狀態被改變、文件數據被刪改，防止現場證據被破壞或滅失。無論是在場人員或者嫌疑人，不管出于何種目的都不得靠近計算機系統，防止毀壞計算機及硬盤、刪除硬盤里的數據，控制所有現場人員身邊的電源開關，防止其關閉電源使計算機因斷電而丟失數據。

（3）不開啟或關閉計算機信息網絡系統，保持現場“靜態”。保持現場“靜態”即保持系統的原始狀態，開關機狀態、網絡連接狀態和系統運行狀態。如果開機狀態屏幕中有顯示信息，則應晃動鼠標或按ctrl鍵，避免激活屏幕保護。

（4）及時查看網絡連接情況。若該計算機系統使用無線局域網，記錄好該局域網名稱和地址；對于有網線連接的電腦、服務器應直接拔除網線，防止其他窩點的同伙遠程刪除重要數據。

（5）保護原始物證。未經案件偵查人員允許，不得將任何電子儲存介質及其他有關證據帶離現場。

4．實施勘查

（1）對現場環境進行勘查。環境勘查即對對象計算機信息網絡系統的工作環境進行勘查。勘查的主要內容有監視器、工作記錄、工作日志、通信網絡、辦公環境、外界環境。

（2）對計算機網絡系統的設備進行勘查，主要檢查計算機的運行情況、操作情況，確認可能犯罪的手法；檢查打印機上有無留下的印痕；檢查網絡通信設備看有無異常連接，通信日志是否正常。對設備勘查主要是發現殘留痕跡和可能犯罪手段。

（3）進行數據勘查。計算機信息網絡系統中有許多有價值的證據，有的能反映機器設備運行情況，有的能反映程序文件的操作情況，有的能記錄操作人員的操作對象和過程。特別是特殊系統所設置的不為外人所知的系統記錄更能獲取有價值的線索，認真收集、分析對案件偵破將有極大作用。

（4）進行軟件勘查。軟件勘查的主要目的是檢查應用軟件是否被人非法修改過。許多改動程序才能實施的犯罪只有進行軟件勘查能發現，進行軟件勘查的方法即使用應用程序的原拷貝比對即可。發現應用程序存在問題后，可由技術人員分析源程序，解讀更改后的程序功能，查找犯罪線索、提取犯罪證據。

（5）進行存儲介質的勘查。存儲介質中的信息能反映計算機信息網絡系統的運行情況，也能反映系統發生問題前的狀況，更可能存在犯罪偵查線索。由于存儲介質上的信息看不見摸不著，必須通過某種方法顯現或恢復，這就存在極大的風險，有可能在顯現時破壞原信息。為減少風險可考慮備份信息，并將備份安裝至有檢查工具軟件的機器上勘驗。存在可疑問題時，應提取保存數據的存儲介質，這一方面是深入偵查的要求，另一方面也為收集犯罪證據做準備。

（6）制作勘查筆錄。筆錄是記載犯罪現場勘查的重要文字材料，內容主要包括基本資料、現場概況、現場保護情況、勘查過程、勘查結果等等。

（二）勘查中的數據采集

1．采集內容

勘驗時，注意采集以下內容：

（1）網絡身份活動情況。網絡身份具有隱蔽性、多樣性、一致性等特點。常見的網絡身份有QQ昵稱、論壇ID、網站的用戶名、郵箱地址等。而通過這些網絡身份的活動情況可串聯出一系列信息，如聊天時間，地域地區等。

（2）網站域名注冊信息。通常網站域名的注冊信息有：注冊公司的名稱、注冊地址、域名注冊人、聯系方式、技術維護人員、域名到期日等信息。根據以上信息可研判該域名所屬人，若所屬人身份為假，可通過其他方式調查。

（3）網站日志。網站服務器日志文件中記錄了用戶訪問該網站的一些信息，包括登錄網址時間、IP地址等，這為判定犯罪嫌疑人作案時間，定位犯罪嫌疑人都提供了有利線索。

（4）網銀操作記錄。查詢網銀操作記錄包括管理員操作記錄、操作員交易記錄兩種查詢方式。查詢記錄需起始日期及截止日期，操作類型及管理員或操作員姓名、證件號碼點擊查詢按鈕，查詢結果會顯示符合操作類型的信息。

（5）網上購買的虛擬貨幣消費記錄、手機充值卡充值去向，購買人的登錄賬號信息和登錄IP。

（6）電商賬號的交易記錄。[2]

2．采集要點

采集時，注意以下要點：

（1）在案發后，刑偵人員和計算機專業技術人員應當保護好現場，保護好犯罪發生時與計算機系統相關的軟硬件以及數據的狀態，包括設備的配置和各種電纜的連接情況，然后，由計算機技術人員將各種存儲介質（包括硬盤、軟盤、磁帶和光盤）中的相關系統軟件、應用程序和所有數據進行備份。

（2）封存涉案計算機和資料。在備份完成后，為保證涉案計算機系統的完整性，應封存好涉案的計算機及其相關設備。對不能停止運行的計算機系統，如果要求必須在短時間內恢復運行則應采用鏡像備份，將系統的狀態及環境等進行詳細記錄。

（3）收集相關資料。刑偵人員和計算機技術人員應當一同收集一切與案件有關的材料，清理現場，提取證據。

（4）詢問當事人。刑偵人員和計算機技術人員應一同詢問知情人和犯罪嫌疑人，犯罪嫌疑人在實施詐騙時所處的工位及工位對應的電腦、手機、賬本、電話資料、銀行卡和其他相關物品，并要求犯罪嫌疑人提供一切與犯罪和計算機系統相關的所有信息。如系統的密碼和口令，與犯罪相關的計算機軟件等等。

（5）物證分析、提取。分析案件發生前后系統的狀態、數據的情況以及日志記錄，提交分析結果。

（6）按照法律程序進行計算機模擬測試。

三、“網絡流”勘查的難點

（一）取證難度高

現場作案人大多警惕性強，“網絡流”在網絡上留下的是數據痕跡，為了逃避打擊，犯罪人員通過數據處理可使痕跡最小化甚至不留痕跡，給我們的現場勘查取證增加了難度。

（二）采集信息難

現場作案人往往會將特定類型的數據文件加密，加密方式往往很復雜，再加以電信網絡詐騙新型犯罪涉及到數字化資金轉移，這一系列操作需要專業技術手段來進行證據的判別、固定、分辨和采集。[3]

四、總結

電信詐騙已成為當前危害社會穩定和威脅人民財產安全的重要犯罪行為。對“網絡流”數據的勘查是整個打擊網絡電信詐騙案件的一個重要環節，也是對電信網絡詐騙案件打擊的一部分。在提出、找出、解決問題的同時我們應規范對“網絡流”數據的勘查，制定有效的策略，使電信詐騙案件能得到有效預防與處置。