投資類電信網絡詐騙犯罪偵查
——實現全鏈條打擊的聯查智能化偵查方案

李雙其

（福建警察學院，福建 福州 350007）

人們通常稱之為的“電詐”從早期的單一利用電信工具演變到現在的電信網絡工具共用。由于犯罪空間的拓展、犯罪工具的多樣、犯罪鏈條的延伸，電信網絡詐騙也變得日益復雜多樣，呈現在人們面前的是五花八門的詐騙類別、眼花繚亂的犯罪手法、紛繁復雜的犯罪鏈條、稀奇古怪的犯罪動機……刷單、貸款，殺豬盤、薦股、虛擬幣、理財，校園貸清理、冒充公檢法、裸聊，冒充領導同事等詐騙輪番上陣或齊頭并進。

當下電信網絡詐騙占了全部刑事犯罪總量的50%以上，成了主流犯罪。為此，全國上下高度重視電信網絡詐騙。全民反詐，研究電信網絡詐騙的人越來越多，也面世了不少研究成果。進入知網查詢，涉及電信網絡詐騙的論文數千篇，然而，從筆者的視角，眾多論文中，能對電信網絡偵查實務工作起實質指導作用的卻是寥寥無幾。

將種類繁多的電信網絡詐騙犯罪進行梳理，主流的電信網絡詐騙均可歸入投資營利類、獲得機會類、消除隱患類、礙于面子類、其他類五種。在不同的時期，五種詐騙會有不同程度的表現，而當下，投資營利類是最為盛行的詐騙類別。殺豬盤、薦股、虛擬幣投資、理財均可歸屬投資營利類。本文選擇投資類電信網絡詐騙正是基于這樣的考量。

作為電信網絡詐騙的一種類別，投資類電信網絡詐騙同樣是一種跨越物理與虛擬空間的有組織犯罪。這種犯罪的犯罪行為發生地錯綜復雜①犯罪行為發生地會涉及用于電信網絡詐騙犯罪的平臺、工具所在地，網站服務器、通訊關聯工具、移動終端所在地，APP、網站平臺建立者所在地，APP及各類詐騙工具制作者使用者所在地，APP、網站平臺管理者所在地，被害人及使用的工具所在地，詐騙電話、語音、圖片、視頻、短信息、電子郵件、即時通信信息等撥打地、發送地、到達地、接受地，詐騙行為持續發生的實施地、預備地、開始地、途徑地、結束地等。犯罪結果發生地也很復雜，它會涉及到被害人被騙時所在地，會涉及被騙資金流出、注入地址，資金取得地、藏匿地、轉移地、使用地等。。這種犯罪具有很強的組織性、專業性。它與黑社會性質組織犯罪相類似，結構嚴密、分工負責、專業化程度高。它與純粹的網絡犯罪相類似，具有“主體多樣化，犯罪結構組織化，犯罪手法專業化，犯罪行為科技化，犯罪時空交錯化，犯罪環境數字化，侵害對象精準化，犯罪結果產業化”[1]等特征。這種犯罪涉及上游、中游和下游。與投資類電信網絡詐騙相關的上游犯罪有幫信犯罪、侵犯公民信息犯罪①常見方式有嗅探、拖庫、偽基站、木馬鏈接、WIFI/二維碼使用等。等，中游犯罪表現為具體化的網絡詐騙，下游犯罪涉及到洗錢②當下常見的形式有第三方支付、第四方支付、對敲賬戶、多級轉賬、跨國交易的使用與交錯。、數字貨幣犯罪。

從組織架構看，投資類電信網絡詐騙犯罪組織與公司的結構相類似。在犯罪組織運作過程中，犯罪組織也被稱為公司。犯罪公司通常由三層構成。上層——犯罪團伙的老板，實踐中習慣稱其為“金主”。老板可能是一人，也可能是多人③老板會以不同的形態體現。他們是出資人，有的也為犯罪公司提供犯罪場所、平臺、工具。老板可能投資數家“公司”。這樣，由這位或這幾位老板組織領導下的犯罪公司就構成了一種犯罪集團。老板是組織者、策劃者，他們通常不會在前臺露臉。老板與其他人實行單線聯系。。中層——公司負責人及主管、專業團隊負責人及成員④公司負責人負責某一犯罪公司的具體運營。主管是負責人選定的中層管理干部。不同的犯罪公司主管的設置有所不同。通常設置有平臺、行政、后勤、人力資源、人員培訓、客服投訴等主管。專業團隊負責人是老板直接聘請的，歸老板直接領導，職別與公司負責人相同。專業團隊負責人根據工作需要請一些專業人士加入，組成團隊。。投資類電信網絡詐騙犯罪公司通常還會設置技術、財務兩個專業團隊⑤技術團隊負責公司的技術支持，財物團隊負責贓款的轉移、洗白。技術團隊、財務團隊負責人及成員通常不與公司負責人、中層管理干部住在一起。技術團隊主要承擔通訊升級與解決技術障礙問題。當需要進行網絡線路的轉化與升級，或當公司遇到技術障礙時由老板通知出現。而財務團隊始終不用在公司出現。技術團隊與財務團隊服務于同一老板經營的集團下的所有公司。。下層——組長及成員⑥公司的組長是公司負責人選定的。組長對公司負責人負責。組員是公司負責人、組長共同選定的，由組長直接負責管理。不同犯罪公司會根據他們經營的詐騙業務設置小組，如網絡博彩組、數字貨幣組、貸款組等。小組成員會有所控制，一般控制在10人左右。公司不同層級之間有明確的界限，并佩戴不同顏色的標志。。

從各類成員在投資詐騙犯罪組織中所起的作用看，老板是組織者、領導者，他或他們投資組建公司，招募公司負責人、專業負責人，搭建詐騙平臺，讓其他人在平臺上表演。公司負責人、專業負責人、主管是管理者。不同的主管負責平臺維護、升級，行政管理，后勤保障，人員招募培訓，客服投訴等業務。技術、財務專業團隊負責公司的技術支持與贓款的洗白。其他具體詐騙業務則由組長領導下的團隊來承擔。有的充當“菜商”，在分析數據的基礎上，設計編寫劇本；有的充當“話房”，根據劇本撥打電話，分步誘騙；有的充當“演員”，根據劇本進行直播；有的充當“客服”，以實現公司運營的真實；有的充當“卡商”，為詐騙犯罪提供大量銀行卡、電話卡；有的充當“車手”，負責提現分贓；有的充當“水房”，將贓款匯總整理分流再轉出。

投資類電信網絡詐騙犯罪手法五花八門，但投資類電信網絡新型詐騙通常都包含以下重要環節：一是搭好平臺APP或網站⑦含平臺搭建、技術支撐、運營維護。。二是推廣引流⑧騙子申請微信號或其他號，推廣團隊通過社交平臺電話銷售、網絡實名推廣等方式推廣圈粉。。三是炒群造神⑨騙子假扮成“老師”“專家”定期在群里發布股票走勢、投資建議、投資心得等，詐騙助理、水軍大肆吹捧，吸引粉絲關注，博得信任。。四是轉換主題⑩助理、水軍故意誤傳投資盈利截圖等，引發粉絲好奇，使其暗自相信投資可以暴利。。五是鼓動入金?編造投資獲利故事，挑起粉絲投資欲望，鼓動粉絲投入資金。。六是下餌套牢?騙子指導粉絲嘗試開始小額交易。公司平臺對投資進行操控，讓初投粉絲小有盈利，且允許將盈利提現，繼續獲取其信任。。七是操盤殺豬?粉絲大量入金后，平臺通過人為操縱，對粉絲實施“殺豬”，讓其產生巨額虧損。。八是轉移犯罪所得?通過小水房、銀行卡、第三方支付、聚合支付、虛擬幣交易等方式實現。。九是安撫退場?粉絲投入的資金虧損到一定程度后，以行情不好、運氣不佳等理由安撫粉絲，并讓粉絲將余額提現，營造確實屬于投資虧損的假象，避免“粉絲”察覺被騙。。

本文將在遵循偵查原理、偵查規律的基礎上，根據電信網絡詐騙犯罪特征，抓住投資類電信網絡詐騙偵查的難點，基于最先進的犯罪手法，立足最復雜的犯罪結構，依照法律的相關規定探討投資類電信網絡詐騙犯罪偵查的相關問題。

一、受案與初步取證

和偵查其他類案件相同，投資類電信網絡詐騙犯罪偵查也是從受理案件開始的。

當受理案件時，偵查人員應與受騙人直接接觸，詳細詢問受騙過程，重點問清受騙人是通過怎樣的渠道、方式與行騙人接上頭的，是通過怎樣的形式交流的，進行了哪些交流。這些交流可能涉及多種交流工具①各種APP、GOIP、多卡寶、貓池、蘋果皮、絡漫寶等交流通工具的操作日志、呼叫記錄等。的操作日志、呼叫記錄等。此外，還要詢問受騙人是在怎樣的平臺上投資的，是怎樣投資的，是什么時間轉賬的，是通過怎樣的方式轉賬的，轉賬的銀行賬號或地址是什么。

在詢問過程中，受騙人可能會提及或被問及行騙者引流所用的APP，會提及或被問及行騙人發布的軟文，還會提及或被問及投資網站、投資用APP等，面對投資用APP時，偵查人員應問清APP的具體名稱、APK安裝包、注冊的賬戶及密碼等。在詢問過程中，受騙人可能還會提及或被問及與騙子交流所用的手機號、驗證碼，會提及或被問及資金轉賬二維碼、地址、轉賬號。

無論是引流、騙取信任、引導投資、資金轉移，偵查人員都需第一時間初步調取被騙者手機空間里的交流、通話數據，這些數據以文字、語音、圖片、視頻等形式存在。

了解基本情況做好記錄的同時，還要用適當的技術手段對包含服務器域名、服務器IP、所涉APP等在內的受案基本信息進行整理、存儲，建立受理數據庫。

了解基本情況后，符合立案條件的即可立案。立案后，具備條件的，偵查人員應第一時間進入相關APP空間，調取行騙者注冊信息、行騙者與被騙者交流數據，偵查人員應第一時間進入投資網站，獲取含網站頁面、IP地址、MAC地址、上網記錄、電子郵件、電子賬冊等在內的網站空間基礎數據、行騙數據。在調取數據時，應校準工作系統時間，通過受害人權限登錄網站或應用并完整運行網頁及應用程序的全部功能，運行涉案應用程序、訪問涉案網站，用抓包工具等對網站、應用中主要功能界面進行截屏提取，對抓取的數據包進行初步分析，剔除無關數據后保存數據包，對截屏文件、數據包文件壓縮打包，計算壓縮包電子數據的完整性校驗值，在調取過程中應制作筆錄與電子數據提取清單。

二、APP、網站的滲透

APP是投資類電信網絡詐騙過程中必涉工具。APP或用于引流，或用于交流，或用作行騙平臺。一些投資類電信網絡詐騙也會用到網站，網站通常是投資平臺的依托。有條件的應第一時間實施滲透，實現遠程云取證。

滲透是個十分復雜的技術工作，要有專業技術支持，還要用到特定工具。

先要搞清行騙者是否還在相關的APP空間。如果行騙者尚在，可實時實施滲透、遠程云勘。偵查人員用合適的工具進入行騙者使用的網站、APP所關聯的服務器。對服務器里的數據進行調取。如果服務器勘驗工作順利，便可搞清服務器IP、服務器所在城市、行騙者的身份。這樣該案件的偵查工作就大大地往前推進了一步。

投資類電信網絡詐騙案件滲透的通常做法如下。

（一）收集與目標網絡相關的信息，建立基礎臺賬

收集目標網絡信息通常從四個方面入手：一是利用各類網站信息收集平臺查詢；二是收集網站超鏈接；三是搜集目標IP地址信息；四是挖掘子域名。

通過以上路徑收集的信息須建成基礎臺賬。當主站突破遇到困難時可從其他邊緣網絡入手對目標開展工作，突破其內網邊界，從而獲得其內部系統訪問權限。

（二）突破內網邊界，獲取關鍵系統權限

在完成對目標網絡信息的分析后，需從中找到邊界主機，并分析哪些數據在其內網中，接著對相應的目標網絡進行攻擊，獲取控制權限。

網絡攻擊與獲取控制權限的方法有三。一是突破網站邊界。通過數據分析，分清主站與旁站，從防護較為薄弱的旁站入手實施突破。二是攻擊硬件設備。對硬件設備，如“路由器”“網絡交換機”“防火墻”“監控攝像頭”等在互聯網暴露的，且使用默認密碼的，可直接獲得內網訪問權限，也可通過DNS劫持獲取內網主機權限。三是內網滲透。在獲得權限后，先使用端口轉發工具將其流量代理至互聯網跳板①并做好權限維持，在內網中找多臺備用服務器，以防其安全人員發現之后權限丟失。，之后在摸清內網大致架構的基礎上，進行漏洞掃描并抓取密碼，獲取關鍵系統權限，并從其配置文件中查找其內部數據庫服務器以及文件服務器地址和訪問方式，獲取數據。

（三）巧妙利用社工攻擊，打開突破口

通過與目標相關人員交流獲取有效信息或誘導其訪問準備好的釣魚網站等，來獲取其個人終端遠程控制權限，方法有五。一是搜集人員信息，對犯罪團伙人員逐個分析，掌握犯罪組織架構。二是偽裝供應商攻擊。找準其信息項目建設負責人員，對其在各平臺發布采購、招標等信息情況進行搜集，偽裝為系統或服務提供商進行釣魚。三是釣魚攻擊。發送欺騙性電子郵件誘使目標點擊特定鏈接或附件，獲取目標密碼或電腦控制權限。四是中間人攻擊。獲取目標OA賬號權限之后，在無法獲取其OA服務器權限的情況下，可以利用OA賬號進行中間人攻擊。五是水坑攻擊。在獲取其常用系統服務器權限之后，可通過在某個頁面插入JS代碼，在頁面運行時檢測并提示其安裝插件，并將插件下載鏈接指向木馬文件，以此獲取其管理員的電腦控制權限。以上攻擊時，木馬偽裝是極其重要的一環。

（四）獲取相關數據

通過以上措施可以獲取目標系統或終端權限，從而在其系統中獲取犯罪集團實施犯罪的相關數據。一是獲取數據庫數據。從源碼配置文件中找到數據庫地址、賬號密碼，獲取數據庫權限，利用“脫庫”腳本獲取全部數據。二是獲取個人終端數據。大部分行騙者會在其個人電腦中存儲大量犯罪收益記錄文件以及犯罪過程記錄等。三是提取瀏覽器數據。利用遠程控制程序“cobalt strike”插件來提取瀏覽器記錄、存儲賬號密碼等，獲取其內部系統權限及個人賬號信息，還可對其鍵盤進行記錄，獲取其鍵盤輸入信息。四是獲取終端應用個人賬號情況。例如，目標如果使用“telegram”，可以拖回其“telegram”相關文件直接登錄其個人“telegram”賬號，獲取全部聊天信息。

三、調證

調證已成為偵查投資類電信網絡詐騙案件十分常用的措施，或是不可或缺的措施。

調證之前應對已獲線索進行匯聚，根據調證對象進行歸集，實行批量調證。調證之前還應當判斷調證對象是否屬于正規公司，是否存在幫助犯罪主觀故意，對涉嫌黑灰產或犯罪鏈條上的公司、單位、個人不能采用調證措施。

調證應根據《中華人民共和國刑事訴訟法》《公安機關辦案刑事案件程序規定》之規定，需在案件偵查過程中實施，就是說，在立案之后實施。

（一）調證對象與調證內容

位于境內持有案件相關數據的公司、個人均有配合調取證據的義務，偵查中辦案人員可以向相關公司調取注冊人身份信息、聯系方式、支付記錄、登錄 IP、業務數據等信息，在相關公司配合下還應盡量調取該注冊人、支付信息下對應的其他相關業務往來數據。

（二）調證一般流程與調取證據的利用

1.調證一般流程。首先，備好調證材料。這些材料包括《立案決定書》《調取證據通知書》、人民警察證、《受案登記表》等，以下材料均需填寫完整、手續完備。《立案決定書》應按規定制作。《調取證據通知書》需寫明案件具體名稱、調取的時間起止、充幣具體地址、調取的具體證據類型、調取的具體證據內容、與證據相關的各類信息。《調取證據通知書》需提供正副本。人民警察證需要兩人以上，可以是復印件。《受案登記表》也應填寫完整，如果表中未包含線索，需補充工作情況說明，寫明線索來源。實務部門通常把以上材料稱為“調證四件套”。其次，向調證公司發送協查通知。可在當地網安部門協助下通過網安部門的129 協查系統發送，也可由專案組直接發送。再次，提交調證材料。可以線上提交，也可線下提交。接著，相關公司或交易所反饋調證結果。可以線上反饋，也可線下反饋。最后，補證。根據相關公司或交易所反饋結果，對證據提供不足的或有缺漏的可要求補充證據、信息。

2.調取證據的利用。對所調取的證據應進行綜合梳理，應對登錄 IP 進行綜合分析。通過梳理分析用以查明落地地域、網絡類型①含普通寬帶、手機網絡、物聯網、專用網絡出口等。、是否存在代理等情況，根據不同情況進一步采取措施，對人員身份信息、人像信息、通聯信息、支付信息開展信息研判及技術反制措施。

四、網絡空間數據獲取

網絡空間數據獲取主要有兩種情形，一是圍繞涉案APP、網站的數據拓展，二是根據已知要素對網絡空間的掃描。

（一）圍繞涉案APP、網站的數據拓展

如果涉案APP、網站仍在使用可以直接進行滲透。但實戰中常見的情形是行騙者行騙成功后，即將網站與服務器脫鉤，或對所用的APP進行銷號。如果行騙者進行了脫鉤與銷號處理，滲透與遠程云勘就無法直抵網站、APP相關的服務器，也就無法直接獲取行騙者的身份，這樣，就須從其他途徑切入。

1.進行網絡交互數據查詢與分析

瀏覽網頁、運行 APP過程中均會與眾多網站進行數據交互②如使用APP運行，則啟動 CHARLS 抓包工具，抓取涉案網址主域名。，通過對網絡交互數據的查詢與分析能發現指向的服務器與相關聯的服務。

操作時先應將網絡數據流按一級域名進行分類解析，逐類明確各類域名指向服務器的性質，重點發現以下類型網站及服務。

（1）犯罪主網站。對犯罪主網站應當進行域名、IP備案查詢，通過域名 WHOIS 查詢查清域名注冊人、聯系方式、域名注冊代理機構、注冊時間。對指向IP進行查詢，確定IP落地位置，DNS 解析服務提供商等信息，并對主網站域名及 IP進行PING、NMAP等掃描與檢測，確定是否存在跳轉或CDN 反向代理等情況。

（2）打包網站。對打包網站應當通過查詢確定所屬公司，在對應網絡流數據中發現調用打包網站 API 的 KEYID 值。

（3）客服網站。對客服網站應當通過查詢區分是否為正規客服，對正規客服應當確定所屬公司，在對應網絡流數據中發現調用網站API 的 KEYID 值。對美洽、CC 等客服網站可通過數據檢查發現客服注冊人相關信息。對黑灰產客服或者為犯罪單獨搭建的網站應當按犯罪主網站查證內容開展查證分析。

（4）短信通道。短信通道一般是在注冊涉案網站或APP 賬號過程中發送短信驗證碼時發現，對短信通道要根據各號段確定短信運營商。

（5）其他網站、地址。包括第四方支付網站、消息推送網站、統計網站、地理定位網站、數據上傳服務器、郵箱地址等。這些網站的查證方法與打包網站的查證分析方法類同。

2.分析安裝文件

安裝文件，又稱APK。可通過反編譯檢查代碼方式明確相關APK 所具有的功能，發現犯罪主網站及其他第三方服務。通過反編譯發現的相關網站及服務可與網絡流數據中發現的結果相互印證、互為補充。

（1）借助魔盾安全分析平臺、騰訊哈勃分析系統等互聯網安全平臺進行輔助分析，發現APK中的高危權限、危險函數、URL及IP。

（2）用 JADX-GUI 等工具對APK進行反編譯，基于安全分析平臺在反編譯文件中著重發現包名、高危權限、主網站、相關第三方服務及相應的 KEYID 等唯一性值、APK 簽名及完整性校驗值。

（3）對 APK 中的竊取隱私、攔截短信的惡意代碼進行功能檢查，利用安全平臺發現危險函數，在JADX-GUI中快速定位到相關代碼塊，檢查其實現的原理，并截圖保存其代碼內容。

3.分析分發源網站

分發源網站系為存儲、分發涉案應用程序網站。偵查中應對分發源網站的域名、指向服務器進行查證，確定分發源網站的涉案情況，發現分發源網站的搭建、維護人員信息等。首先，打開工作電腦瀏覽器，仿真成安卓、蘋果手機瀏覽器分別對分發源網站進行訪問，記錄訪問過程的所有跳轉網址及應用程序最終下載的網址。其次，比較安卓、蘋果手機瀏覽器訪問過程中所涉網址的差異，確定各個網址所對應網站的功能與性質。第三，對涉案的網站開展域名、IP、備案、DNS解析等查詢，發現網站搭建人相關信息。最后查清公共分發平臺所屬公司，根據 URL中的參數向所屬公司調證。

（二）根據已知要素對網絡空間進行掃描

對作為投資平臺的APP、網站相關空間的數據獲取是個數據挖掘的過程。“數據挖掘，又稱為數據庫中知識的發現。它是一個從大量數據中抽取挖掘出未知值的模式或規律等知識的復雜過程。”[2]數據挖掘過程，往往伴隨著數據的收集、提取、儲存、分析。當面對的是大數據量級的數據時，需依抽樣規則進行收集，并運用大數據工具、技術進行儲存、分析。

數據挖掘應從已知要素入手，所謂已知要素即前期偵查中所獲取的可以加以利用的信息、數據。比較常用的有安裝文件（hash值）、同指向域名、IP、分發網站、APP 打包公司、短信通道、同客服公司、同客服注冊信息等要素。數據挖掘應對已知要素進行歸集，從已知信息、數據有針對性地推進。

數據挖掘還須使用專門工具。實戰中通常使用特定工具進行線性回溯的VOS全球數據掃描技術。這種掃描是面向全球的，也是一種開放性的掃描，既面向明網，也面向暗網；既掃描網絡電話服務器，也掃描其他敏感數據；既掃描涉案通訊工具，也掃描APP使用、資金流轉情況；既掃描APP、網站內部空間，也掃描相關的云空間。通過開放性掃描，獲取多樣化數據，通過對數據的智能匹配分析，發現特征服務器、IP地址、支付信息及其他信息。當獲取信息的同時也可能發現了相關犯罪嫌疑人，或為下一步偵查工作提供了條件。

五、通訊工具追驗

近年來，APP類工具似有取代通訊工具之趨勢，但從本質上講，形成網絡流的底層技術仍然離不開通訊，實施電信網絡詐騙依然離不開通訊號碼與工具。

投資類電信網絡詐騙犯罪的通訊手法不斷變化，所涉及的通訊工具五花八門。

（一）認識通訊工具

指的是被用于詐騙的通訊工具，含電話卡、傳統通訊終端、網絡電話設備。

1.認識電話卡。電話卡涉及的是電話號碼，關系該號碼能否加入通訊網絡。不管是傳統通訊終端，還是網絡電話，都需要可入網的電話卡以支撐。電話號碼還被用于各類APP、應用系統的注冊①電話卡有中國電信卡、中國聯通卡、中國移動卡、中國廣電卡以及電信、移動、聯通的虛擬運營商號卡，還有衛星通信號卡、物聯網號卡、香港卡、國際卡等。不管是哪一種號卡都可能被用于詐騙。電話號碼有實名注冊的、有未實名注冊的。在《依法清理整治涉詐電話卡、物聯網卡以及關聯互聯網賬號的通告》發布后，對電話卡的管控日益嚴厲，在此背景下非實名注冊漸漸失去市場。而為了達到行騙之目的，行騙人通常通過收購他人身份證明，冒用他人身份進行入戶登記或注冊。。

2.認識網關通訊設備。常見的被用于詐騙的網關通訊設備有VOIP、GOIP等。多卡寶①又名SIMBOX，是一種可以插多張手機卡進行通話的設備，用戶可以將多張手機卡插入1臺“多卡寶”設備中，通過手機APP連接后，實現1部手機同時操作多張手機卡撥打電話。、蘋果皮②“蘋果皮”的設計初衷是滿足IOS設備聯網需求——多卡多待、幫助不能聯網的IOS設備實現聯網功能。因具有可與設備可分離、可通過APP遠程操控、無需國際漫游費等特點被改造成詐騙工具。、絡漫寶③可以實現在全球范圍內撥打電話、收發短信，并且沒有漫游費，具體的操作方法就是把手機卡插入絡漫寶中，激活設備獲得帳號密碼后，再登陸手機APP就可以遠程操控該電話卡。、WhatsApp④是WhatsApp Messenger的簡稱，是一款用于智能手機之間通訊的應用程序。借助推送通知服務，可以即刻接收親友和同事發送的信息，可免費從發送手機短信轉為使用WhatsApp程序，以發送和接收信息、圖片、音頻文件和視頻信息。等呼叫設備也被用于詐騙。

（1）VOIP電話。亦被稱為“虛擬電話”“網絡電話”“IP電話”。VOIP是一種通過互聯網傳送語音的通話技術，通常采用SIP協議。VOIP通話過程中負責轉換的服務器起了關鍵作用⑤VOIP通話過程中，主叫號碼的歸屬地信息通常是由其租用的VOIP服務器所在的區域決定，主叫號碼的歸屬信息就和呼叫者之間沒什么關系。。使用VOIP通話的行騙者通常會利用改號軟件等手段，將主叫號碼修改為被叫號碼的所在地⑥這樣可以隱匿主叫方的真實情況以降低被電話系統風控檢出的幾率，也降低了被騙人的警覺性，更具欺騙性。。近年，相關政策禁止大批VOIP供應商并禁止改號行為。當下，除了黑灰色產業中的改號軟件外，市面上幾乎看不到擁有改號功能的VOIP軟件，于是GOIP便應運而生。

（2）GOIP電 話。GOIP是GSM OVER IP的縮寫，它是將GSM網絡和VOIP網絡連接的設備，又稱“無線語音網關”。通過GOIP設備，用戶可以實現GSM網絡和VOIP之間的呼入呼出，并且支持呼入時主叫號碼透傳、支持短信和USSD收發，也支持SIP和H323協議。GOIP有著更高的隱蔽性。當順著詐騙電話的IP地址找到所在地時，那里可能只有一堆插著SIM卡的GOIP設備，而真正的使用者可能在千里之外或境外。GOIP設備通常可以同時支持多張手機卡使用，如果配合卡池（貓池）則能形成十分龐大的呼叫集群。

GOIP電話由一個系統構成。GOIP系統一般由遠程管理系統、呼叫中心、卡池及卡池管理系統、GOIP設備等構成。詐騙犯罪團伙為了逃避打擊，這一系統所涉及的設備一般會被分散放置在各地。通常只有GOIP設備部署在境內，其他設置部署在境外。

（二）通訊工具追查

盡管投資類電話網絡詐騙所涉及的通訊工具五花八門，但根據投資類電信網絡犯罪通訊工具使用的特點，當下主要要追查的是GOIP電話。而且，在境內，重點要追查的是GOIP設備。

要追查GOIP設備須先弄清GOIP設備的架設場景。通過對已破案件的研究發現，用于投資類電信網絡詐騙犯罪的GOIP設備的架設場景有以下幾個特點：一是場所相對偏僻；二是場所是臨時出租房；三是有互聯網接入環境，比如ADSL寬帶，有的用便攜WiFi熱點設備等；四是無人值守，但可利用遠程攝像頭進行監控；五是可根據犯罪時間有規律性地開啟和關閉GOIP設備；六是設備搭建人負責租場地；七是設備搭建人與設備控制人一般較熟悉，通過專用手機聯系。

偵查中，可根據以上特點，依托出租屋管理系統，綜合租住人的性別、人數、職業、租后入住情況、入住前后購置GOIP設備、遠程監控攝像頭及與安裝GOIP設備、遠程監控攝像頭相關的工具情況、入住后水電變化等要素建立數據模型，根據模型篩選排查出重點目標屋，確定重點目標屋后再由刑警、治安警或段警入戶排查。

偵查實踐中，辦案人員也研發出了GOIP“貓池”實時捕捉技術并在實踐中加以運用。GOIP設備被頻繁使用的，可通過信號捕捉發現GOIP設備架設處。

（三）通訊工具勘驗

對通訊工具的勘驗主要是指對GOIP系統的勘驗。對GOIP系統的勘驗可分成GOIP設備勘驗與GOIP系統其他內容勘驗。GOIP設備與GOIP系統其他內容通常是分離的，因此，勘驗GOIP設備與勘驗GOIP系統其他內容經常會在不同的空間里進行，對GOIP設備與GOIP系統其他內容的勘驗通常也會在偵查的不同階段進行。

對通訊工具的勘驗，既要勘驗電子數據，也要勘驗其他痕跡、物品。

1.GOIP設備及其所在空間的勘驗

（1）勘驗搭建GOIP設備空間里的痕跡物品。進入現場后，先觀察是否有遠程監控攝像頭。如果有，應先斷監控攝像頭的電，接著斷開GOIP設備網絡。斷監控攝像頭電的目的是防止攝像頭控制人對設備進行遠程恢復出廠設置以銷毀設備中的電子數據。斷電斷網后，對室內空間、設備等進行拍照錄像固定，同時繪制現場圖、制作現場勘驗筆錄，在圖上標注設備位置，對設備上發現的指紋、DNA進行固定提取并記入筆錄。

（2）勘驗監控攝像設備。遠程攝像頭監控視頻有本地存儲和云存儲兩種方式，通常以云存儲為常見。攝像設備控制人通常是通過手機APP來管理視頻內容。勘驗監控攝像設備時應重點收集在云端里保存的有關設備安裝人或看守人視頻、遠程攝像頭APP信息、綁定的手機號、使用的云存儲繳費賬號等①遠程攝像頭APP信息、綁定的手機號、使用的云存儲繳費賬號要通過遠程攝像頭公司調取。可以采用重置設備的辦法獲得設備序列號。用設備序列號可以調取設備注冊信息、云存儲視頻和云存儲繳費情況，還可能調取到購買的設備情況。。

（3）勘驗無線路由器。在有路由器登錄賬號密碼時，可現場提取寬帶賬號和密碼、登錄設備的MAC。通常現場的攝像頭、智能插座和GOIP設備的MAC都在無線路由器登錄數據中。如果沒有路由器登錄賬號密碼，可用物聯網取證設備提取相關電子數據。

（4）勘驗智能插座。GOIP設備場所的智能插座一般由設備搭建人或詐騙分子用手機遠程控制。相關人在手機上安裝APP，通過APP控制GOIP設備開關。智能插座APP一般用手機注冊，如果能找到智能插座APP注冊手機就能找到涉案人員②以小米WiFi版智能插座為例，通常是由米家APP遠程控制。先是設備的序列號，設備序列號會標注在設備上，記錄即可。其次是設備的MAC地址，可以通過在米家APP上添加涉案插座獲得。。

（5）勘驗GOIP設備。GOIP設備中存在多種電子數據。有設備基本信息：設備序列號、型號、MAC地址、網絡連接模式、網絡狀態、軟件版本信息、模式信息（卡槽imei)；網絡配置信息：本地網絡、ARP、VPN和訪問控制信息；無線配置信息：SIM模式設置（本地、SIMBANK)、語音設置（編碼、4G語音是否開通）、云服務器等設置信息；通話統計信息：主被叫電話號碼、通話時間和時長信息；呼叫配置信息：SIP中心的IP地、端口信息等。

提取GOIP設備上數據的方法主要有三種。一是在掌握設備頁面管理登錄賬號密碼的情況下直接提取相關數據。先識別GOIP設備品牌，接著用管理口或USB口與計算機連接，最后利用網頁管理進入設備，提取相關數據。二是沒有掌握設備頁面管理賬號密碼的取證。一般用管理口或USB口與計算機連接，并嘗試用默認靜態IP、賬號、密碼登錄頁面系統獲得與上述一樣的數據。三是物聯網取證設備對GOIP設備直接提取數據。利用GOIP設備管理口或USB口與物聯網取證設備聯接。按取證設備提示操作就可以提取到相關的數據。相關設備信息有：設備型號、設備序列號、軟件版本號、MAC地址、設備卡槽的IMEI號；主叫手機卡信息有：IMSI或手機號碼、撥打日期時間；被叫手機信息有：手機號碼或IMEI號或IMSI號；卡池參數設置信息和SIP中心參數設置信息等。

2.GOIP系統其他內容勘驗

（1）云服務器IP和端口號。云服務器是指管理電話卡卡池的系統服務器。在無線配置數據中有云服務器參數配置，其中有服務器IP地址和端口號。云服務器受遠程管理系統控制，可以為多個GOIP設備提供電話卡。如果能獲得該服務器權限，便能從其配置信息里發現多個卡池和多個GOIP設備落地點線索。偵查中可試探運用特定技術手段獲取。

（2）SIP服務器IP和端口號。SIP服務器系統也稱呼叫中心，是GOIP系統的“指揮中心”。如果能獲得該服務器權限，便可從其設置參數中發現多個GOIP設備落地點、遠程管理服務器地址和服務器維護人員IP地址及電話窩點的IP地址。偵查中可試探運用特定技術手段獲取。

（3）GOIP設備中的IMEI號。GOIP設備中IMEI號可用于關聯手機卡的IMEI號和電話號碼，分析該電話號碼（主叫號）的通話單，可查找被騙人和關聯案件線索，還可以通過主叫電話的基站位置追溯可能的多個GOIP設備窩點。偵查中可試探運用特定技術手段獲取。

六、資金流溯源、查控

獲取資金是投資類電信網絡詐騙犯罪的最終目的。行騙者的詐騙方案都是圍繞著騙取資金而設計的。為了達到目的，行騙者總是千方百計地變化手法，試圖割斷資金流向的關聯，從而阻斷偵查方對資金的溯源、查控。從早期的銀行柜臺、自動柜員機轉賬，到當下依托虛擬幣交易平臺的交易、洗白，資金流轉的手法在不斷升級，資金流的溯源與查控也面臨著許多困難。在此，將根據資金流轉手法的不同討論對其溯源、查控的基本方法，并重點討論依托虛擬幣交易平臺交易的資金溯源、查控。

（一）采用常規流轉手法的資金溯源、查控

常規銀行轉賬、第三方支付、合法第四方支付的溯源、查控主要通過以下兩條路徑實現。

1.依托公安部電信網絡詐騙案件偵辦平臺（國家反詐平臺）溯源、查控。目前此平臺主要含銀行卡查詢、第三方查詢兩個模塊。依托此平臺可以實現對銀行賬號、部分第三方支付賬號、交易的止付、凍結、查詢①其中銀行卡查詢模塊可以對涉案銀行賬號（含對公賬號）發起開戶主體及交易明細的查詢。查詢時對時間段有具體的要求。目前大部分銀行賬號查詢功能都可正常實現，且反饋時間較快，交易明細可以EXCEL導出。第三方支付的查詢功能分為：主體查詢、交易明細查詢、全賬號查詢、流水號查詢。目前以上四條查詢功能應用較多的是支付寶、財付通兩家公司，接入的其他第三方支付公司尚無法有效查詢。。

2.依托資金查控平臺的溯源、查控。目前主要有利用經偵資金查控平臺和利用JASS系統的溯源、查控。經偵資金查控平臺目前能為電話網絡詐騙案件資金查控提供支持的有兩項。一是人行專線②可根據身份證號查詢人員在所有銀行網點的開戶記錄，可以反饋具體要到網點信息。借助此功能可以在明確犯罪嫌疑人身份的情況下獲取該人在所有銀行網點的開戶記錄，接著進一步到有開戶記錄的銀行調取具體卡號。。二是歸屬行查詢③因各個商業銀行對公賬戶編碼規則不同，目前反詐平臺對公賬戶的歸屬行尚不能自動識別。在偵查中經常有對公賬戶歸屬行無法確定導致無法進一步追查資金。經偵資金查控平臺歸屬行查詢模塊可對任意銀行賬戶的歸屬行、開戶網點進行查詢。。JASS系統是銀聯司法協助系統的簡稱。此系統可以對銀行卡的跨行交易進行查控，數據由銀聯提供。存在兩種情形：一是銀行卡跨行取款，可以獲取跨行取款的網點、ATM機終端號④對于資金落地通過ATM跨行取款的案件可以通過此信息進一步追查調取取款監控等。。二是POS機消費。可以獲取POS機商戶名、商戶代碼、歸屬的收單公司等信息⑤對于犯罪嫌疑卡通過POS機刷卡轉移資金的案件 可以通過此系統提供的信息進一步向具體收單機構調證。JASS系統還可以對銀行卡的跨行交易實施動態查詢（監控），有跨行交易、查詢及POS機刷卡等操作時實時通過短信方式告知民警。。

此外，對無法通過國家反詐平臺、經偵資金查控平臺實現有效查控的第三方支付、合法第四方支付，可以通過調證的方式實現對有關信息、數據的獲取⑥對于收單類第三方支付公司（POS）通常先通過JASS系統獲取商戶號、商戶名稱等信息，進而查詢可疑交易對應的商戶注冊信息、結算賬戶及刷卡消費明細（個別公司可提供交易IP、LBS信息）。對于互聯網支付類支付公司（主要為B2C交易）需到銀行調取相關交易電子訂單號，一般公司可據此反饋犯罪嫌疑資金入賬的商戶注冊信息以及該商戶入金出金記錄。。

（二）涉及第四方支付的資金溯源、查控

1.第四方支付平臺及在投資類電信網絡詐騙中的運用

第四方支付平臺可以分為境內與跨境兩種。境內第四方支付平臺還可分成合法與非法兩種，被用于行騙的第四方支付平臺通常是非法的，非法的第四方支付平臺是指未獲得國家支付結算許可，違反國家支付結算制度，依托支付寶、財付通等正規第三方支付平臺，通過大量注冊商戶或個人賬戶非法搭建的支付通道①這種平臺集合了各種第三方支付平臺、合作銀行、合作電信運營商、其他服務商接口，集合了各個第三方支付及多種支付渠道的優勢，能夠根據商戶的需求進行個性化定制，形成支付通道資源的互補優勢。與第三方支付比，第四方支付的優點：費率低、接入難度小、靈活性高。因此特點，第四方支付平臺成了投資類電信網絡詐騙資金流轉的重要選擇。。跨境第四方支付平臺，是指通過其他國家貨幣進行支付，對接了相應國家的主流支付通道平臺②如印度的主流支付方式有：BHIM UPI、freecharge 、Paytm，越南的主流支付方式有：momo、Deposit、ACB Bank。。投資類電信網絡詐騙經常也選擇跨境第四方支付平臺進行資金結算。

詐騙時，行騙者鼓動投資人通過終端用戶發起充值（賭博或博彩），投資平臺會將該充值請求推送到第四方支付平臺上，第四方支付平臺會創建充值訂單，并且第四方支付平臺會主動推送支付二維碼或支付充值頁面到投資客戶APP上，投資客戶通過掃二維碼或者填寫支付賬戶信息提交支付，完成充值。與此同時，后臺數據庫里也留下了支付類型與第四方支付平臺賬戶信息記錄。

當投資用戶要提現時，可在投資客戶APP上發出提現申請，投資客戶APP跳轉到提現頁面，客戶在填寫賬戶、金額等信息并提交，系統會自動推送給第四方支付平臺，第四方支付平臺創建提現訂單，行騙方可向第四方支付平臺發出進行審核提醒，經人工審核無誤后，平臺執行線下轉賬并在線上通知投資客戶③支付通道費率是指：每產生一個支付訂單，第四方支付平臺收取一定比例的通道手續費。合法市場的第四方支付平臺向商家收取的手續費為0.38%—0.5%，同時還需分出一部分利潤給第三方支付平臺。面向非法市場的第四方支付平臺，收取的手續費在3%——6%左右。終端用戶發起充值時，平臺按照不同通道類型收取手續費。。

2.第四方支付平臺取證

第四方支付平臺取證主要涉及被騙用戶提現賬戶、第四方支付平臺賬戶、行騙者提現賬戶數據的提取與分析，回調地址驗證與平臺數據統計等。

（1）被騙用戶提現賬戶的提取與分析。通過平臺前端“代收查詢”頁面，分析發現終端用戶提現賬戶以json格式數據展示。在“代收查詢”頁面點擊“查看”按鈕，在通用查詢日志中會顯示代付訂單查詢語句。接著，對數據庫表“fm_order”執行查詢，提取終端用戶提現信息（json)格式。

（2）第四方支付平臺收款賬戶提取與分析。第四方支付平臺為終端用戶提供多種收款方式，通常有收款二維碼、銀行卡及第三方賬戶等。通常在“訂單查詢”頁面未發現平臺的收款賬戶，但數據庫中卻有記錄。通過點擊“訂單查詢”頁面，在通用查詢日志中顯示充值訂單查詢語句。接著，對數據庫表fm_order執行查詢，提取收款賬戶信息。

（3）行騙者提現賬戶提取與分析。通常在“商戶管理”頁面未發現平臺的商戶提現賬戶信息，但在數據庫中卻有信息記錄。通過通用查詢日志追蹤發現數據庫表“fm_company”的bankinfo字段，該字段記錄了商戶提現賬戶信息。

（4）回調地址驗證與平臺數據統計。當終端用戶操作時，平臺會跳轉到充值頁面，并將訂單相關信息④比如充值金額、支付類型等。推送到充值接口地址，通常將此類地址稱為回調地址。第四方支付平臺通常會將此類地址記錄，用于通知平臺商戶。回調地址的形式多樣，有第四方支付平臺支付接口地址、商城訂單支付接口地址、營運商支付接口地址等。

在取證時，可通過對回調地址的提取、驗證分析出疑似非法的第四方支付平臺地址。

平臺數據通常統計交易金額、涉案賬戶信息（銀行卡、第三方賬戶、虛擬貨幣等）、與第四方平臺建立資金結算通道的非法支付平臺。

（三）依托虛擬貨幣交易平臺交易的資金溯源、查控

1.虛擬貨幣交易基礎

（1）虛擬幣、密鑰和地址、錢包、交易平臺、資金模型。虛擬幣有原生幣（本幣）、代幣、穩定幣、空氣幣幾種。密鑰和地址涉及地址、私鑰、助記詞。錢包有錢包APP、冷錢包、硬件錢包3種。交易所是一個連接虛擬貨幣與現實世界的中心化媒介。虛擬貨幣交易平臺有三種：一是中心化交易所①加密貨幣在交易所存儲，交易在交易所內部記賬。經過中心化交易所交易的可以通過錢包地址、手機號、郵箱、交易信息等調證。，二是去中心化交易所②交易在鏈上發生，可以根據資金流向向后追蹤。，三是閃兌平臺③閃兌并不需要事先把加密貨幣充值到交易平臺，而是直接通過錢包就可以完成兌換。就像24小時自動柜員機。閃兌平臺的資金可能會出現跨鏈的情況，這會導致無法直接追蹤。可以嘗試對流入流出的資金進行人工拼接分析。。與交易平臺相對應的虛擬幣資金模型有三種：一是內盤模型④指通過人民幣的方式入金和出金。在平臺上會有虛擬幣的交易顯示，但所有交易均在平臺內部完成。其本質還是通過法幣進行流轉。這種模型實際上并不屬于虛擬幣交易。，二是第三方交易模型⑤此模型的涉案平臺并不提供虛擬幣的購買或變現服務。需投資人自行到交易所購買虛擬幣后將虛擬幣轉賬到涉案平臺的對應地址，同時涉案平臺也不提供虛擬幣的變現服務，仍需投資人將虛擬幣轉移到可提供變現的交易所進行變現。，三是自建交易所模型⑥此模型為詐騙團伙自行建立交易所。此類交易所除了發行自己的虛擬幣外還會在交易所上架部分常見幣種以博取用戶信任。此模型中，騙子會引導用戶在該交易所進行買幣交易、實施提現等。在投資人交易、提現過程中，騙子實現了對資金的操控。。在正規的中心化交易所交易時會涉及充幣地址、充值、熱錢包地址、提幣、用戶地址等。

（2）區分真假虛擬貨幣投資類詐騙。如果投資人直接將人民幣充值到對應的涉案平臺，如果該平臺僅提供提現人民幣功能而不提供提幣功能，此情形便是非真正意義上的虛擬幣交易，而僅僅是以虛擬幣投資為幌子的投資。虛擬幣投資類詐騙需先獲取投資人買幣的平臺信息、買幣的交易記錄、將虛擬幣轉出時收幣方的地址信息及對應的交易信息等。

（3）基礎信息收集。如果是通過交易所交易的虛擬幣類詐騙，須查清涉案地址信息并加以收集。涉案地址包括相關入金地址、歸集地址、返利地址、充幣地址、提幣交易等⑦入金地址是直接面對投資人的公開地址，也稱充幣地址。歸集地址是作案人用來歸集資金的地址。通常多個入金地址同時流入的地址為歸集地址。分析時，還應從歸集地址分析涉案返利地址及其他相關地址。返利地址是涉案平臺用于給用戶返利的地址。表現為由一個或多個歸集地址的資金流到返利地址。流出的資金為小額多筆。充幣地址與提幣交易，充幣地址是騙子在進行虛擬幣提現過程中與交易所發生關系的地址。騙子通過充幣地址將騙到的虛擬貨幣轉到各大交易所從而將犯罪所得的虛擬幣轉換為法幣。充幣地址的特征是資金流出去向為交易所熱錢包。需注意的是，如果不是流向交易所的熱錢包該地址就不是充幣地址。充幣地址通常通過歸集地址進一步分析資金流向得到。。涉案地址可能以常規形式（即數字字母組合）出現，也可能以二維碼圖片的形式存在⑧不同的幣種其地址的表達方式不同。比特幣地址是一個標識符（賬號），包含27-34個字母數字拉丁字符（0，O,I除外），地址可以以QR碼形式表示，匿名，有三種格式。一是以“1”開頭，二是以“3”開頭，三是以“bc1”開頭（bc1開頭的比特幣地址無需區分大小寫）；以太坊的地址是“Ox”開頭的十六進制數字；波場幣地址以”T”開頭，Base58編碼大小寫字母與數字混合。。

通常在鏈上體現資金關系的只有入口和出口，也就是用戶充值和提幣交易，而發生在交易所內部的交易⑨使用法幣購買幣、兌換幣和用戶間轉幣。由交易所的中心化數據記錄，因此在鏈上是不可見的，但是這些信息都記錄在數據庫里，偵查中可以通過調證獲得。

此外，還須收集涉案平臺、使用的交易平臺①當前詐騙犯罪分子常用的主流交易所有火幣交易所、幣安交易所、OKEX交易所、抹茶交易所等。部分詐騙犯罪團伙還會自行組建交易所用于詐騙。、案發具體時間②對于案發時間除了詢問受害人外，在偵查時還可以通過瀏覽器上的交易發生時間來判斷。等。

2.依托虛擬貨幣交易平臺交易的資金追蹤、取證

（1）確定虛擬貨幣種類、數量及所在位置。在追蹤之初便需確定涉案虛擬貨幣的種類數量以及它們所在的公鏈。一起案件通常會涉及多種虛擬貨幣③比如，會涉及比特幣、以太坊、波場幣等原生幣，偵查實踐中更多出現的是與原生幣對應的USDT穩定幣。。明確涉案虛擬幣種類后，還要確定涉案虛擬貨幣數量，涉案虛擬幣數量可以通過各虛擬貨幣相關瀏覽器查看相關地址余額及相關交易的金額大小進行初判。

針對犯罪項目方發行的代幣，先要判斷這個幣是否在公鏈上，如果在鏈上沒有相應的合約則需要獲取項目方服務器和數字庫里相關的數據進行分析，是犯罪項目方自行搭建的私鏈還僅是數據庫里的數據。對于存在實際流通價值的代幣，應作為證據，通常通過核實鏈上數據或取得真實的數據庫信息以確認。針對有價值的虛擬貨幣，如比特幣、以太坊、USDT，則需在公鏈上找出與之相關的資金流轉，并通過這些資金的流向獲得更多的后續線索。

（2）獲取關聯數據。虛擬幣流入交易所的相關交易是獲取關聯數據的關鍵。鏈上數據的獲取主要依據鏈上資金分析工具④成者鏈安、中科鏈安、知帆科技等。。需要關注犯罪地址與交易所相關的流入流出。流經犯罪地址后又流出至交易所的情況需重點關注。這種交易通常能發現與犯罪分子相關的充幣地址，對確認犯罪嫌疑人身份有很大幫助。需要注意的是，并不是所有分析得到的充幣地址和提幣交易都是和案件直接相關或者是高度相關的地址或交易。一般而言，追查的資金或地址流向交易所時經過的地址層數越少，則該條資金線路上的充幣地址或提幣交易大概率與案件的相關度高一些，更值得重點關注和分析。其他相關數據通常通過調證實現。

（3）追蹤虛擬幣——泰達幣錢包地址。泰達公司發行的USDT是目前最主流的穩定幣，它與美元1：1錨定，也是目前運用最廣泛的代幣。USDT在目前虛擬貨幣犯罪中占據一大半。犯罪集團通過一番操作后資金通常以USDT的形態進行流通、兌換和存儲。USDT在主流公鏈（比特、以太坊、波場）都有發行。追蹤泰達幣通常有兩種方式：一是通過區塊鏈瀏覽器，如http://usdt.tokenview.com/追蹤，二是利用一些專業軟件平臺進行地址追蹤。

其他虛擬幣錢包地址的追蹤與泰達幣錢包地址追蹤相同。

（4）手續費追蹤。當代幣在以太坊等交易所轉賬時，需繳納燃料費（gas），而燃料費必須以相應的虛擬幣支出，這樣就導致犯罪嫌疑人需要轉入一筆虛擬幣作為燃料費。轉入虛擬幣的過程可為案件偵查提供線索。比如，基于以太坊的USDT就需要消耗燃料費，如果燃料費以太坊是嫌疑人充值的，那么就可以溯源到另一個以太坊地址，再進行關聯擴線。

（5）調證、凍結。通過資金分析獲取充幣地址和提幣交易情況后，即可將地址、交易提交到交易所進行調證。通過交易所調證可以獲取的信息數據有：注冊人員的身份信息數據、用戶賬戶注冊信息數據、內部交易信息數據、充提幣記錄數據、OTC交易信息數據、銀行卡支付寶及微信綁定記錄和登錄IP等。

流入交易所還未流出的虛擬貨幣是較為特殊的情況，此時的虛擬貨幣在鏈上的所有者是交易所。在偵查時，如果掌握了賬號密碼和交易密碼就可以在相應平臺將嫌疑人賬戶中的資產直接提現到公管賬戶，或將虛擬幣提幣至公安錢包地址。如果沒有掌握嫌疑人賬號密碼和交易密碼，可發出協助凍結通知書至交易平臺，凍結該賬號，結案后出具相關證明文件后可將賬戶資產轉移到公安指定賬戶。

涉及交易所的虛擬貨幣一定要結合該賬號的調證結果來分析，因為辦案人員只能在鏈上追查到涉案資金進入交易所，之后發生的交易并不與之前的信息關聯，這就需要仔細分析其內部交易和OTC交易，判斷賬戶余額是否涉案資金，以及流入的涉案資金有無分贓、通過OTC實現法幣兌換情況。如果發現存在交易所內部轉賬情況，則需要繼續追查犯罪分子的同伙，并結合調證重復分析步驟。如果發現涉案資金已經被轉換為法幣，則需要繼續固定其銀行卡和支付軟件等證據。如果發現該賬號提幣到了個人地址，則要繼續追查至個人地址，并沒法獲取。

（6）獲取私鑰、助記詞、錢包。由于虛擬貨幣的特征，只要掌握了私鑰或助記詞，犯罪嫌疑人或同伙在世界上任何一個可以連網的角落便可將地址內的虛擬貨幣轉出。因此，獲取私鑰、助記詞是追查虛擬幣交易資金的關鍵。

獲取私鑰、助記詞通常發生在偵查的后期，在抓捕時，嫌疑人為了保留或掩飾非法所得可能會采用卸載錢包應用，或者直接銷毀硬件等。為了避免上述情況的發生，在抓捕時應快速收繳現場所有犯罪嫌疑人的手機、電腦等電子設備，查看手機上是否有相關錢包應用，電腦端應用以及瀏覽器記錄是否訪問相關錢包軟件插件，電子設備中的備忘錄或文檔中是否有疑似助記詞的存檔。有安裝錢包應用的情況下可以經審訊獲得私鑰后將地址內的資產快速轉移，獲得助記詞將其導入任意錢包應用后直接使用助記詞即可完成資產轉移。

在抓捕現場還要注意搜查是否有硬件錢包。硬件錢包一般表現為手機、U盤、專用設備等。搜查到硬件錢包后，需要判斷其類型，是否可以通過設備直接轉出，如果不能則需要審訊獲得私鑰或助記詞，再導入錢包應用完成資產轉移。

（7）固定證據。由于虛擬幣是以區塊鏈技術為基礎在公鏈上發行，所有的交易信息都是公開可查并且不可篡改的，因此對于案件相關交易數據信息的真實性可以對照對應的區塊鏈瀏覽器進行查看，但是由于虛擬幣所具有的匿名性特征，固定證據需明確地址與人之間的聯系。因此，鏈上數據及調證數據等有關虛擬幣部分的數據需進行司法鑒定才能作為證據。

七、串并案件，拓展線索

并案是偵查投資類電信網絡詐騙犯罪必須經歷的環節。對投資類電信網絡詐騙犯罪偵查而言，并案具備條件，且有必要。具備條件指的是投資類電信網絡詐騙表現為系列犯罪，且在犯罪的人員流、網絡流、通訊流、資金流等方面存在著相同、相似與交叉。有必要指的是，此類案件偵查到一定階段后需通過并案發現同一犯罪團伙所作的案件，并依此擴線，發現更多用于推進偵查的事實與證據。“一起網絡詐騙犯罪的線索可能是有限的，但是多起網絡犯罪的線索積累起來就會非常豐富。在偵破網絡犯罪時必須堅持串并案件的原則。串并案件不僅能夠豐富偵破線索，而且能夠積累訴訟證據，發現破案的契機。”[3]“電信網絡詐騙犯罪分工合作，形成了錯綜復雜的關系，導致該類案件在管理確定方面十分復雜。在此種情形下，適應電信網絡詐騙犯罪錯綜復雜的關聯情形，允許公安機關對整個電信網絡詐騙犯罪及關聯犯罪并案偵查，是必然選擇。”[4]因此，當對個案實施滲透、調證與相關偵查后，即需進行并案以拓展線索。

（一）投資類電信網絡詐騙案件并案線索獲取

并案是指將具有相同或相似要素的案件并成一案進行偵查。它是線索整理與歸類的過程。投資類電信網絡詐騙案件涉及的要素多，所以此類案件的并案比普通案件的并案要復雜得多。

要進行并案，需先獲取并案線索。所謂并案線索是指已經發生、正在發生，已立案、未立案，與在偵專案可能存在關聯，可以合并偵查的事件與案件。

電信網絡詐騙犯罪的線索有顯性和隱性的兩種。顯性的線索通常存儲在各地“反詐”系統、受案系統、受案數據庫及各類涉及電信網絡詐騙犯罪平臺數據庫中，這些線索通常是受害人通過110、防騙熱線提供公安機關予以整理、存儲的。存儲于“反詐”系統、受案系統、受案數據庫及各類涉及電信網絡詐騙犯罪平臺數據庫中的電信網絡詐騙犯罪線索大量的會匯聚到國家反詐中心①2017年2月，公安部刑偵局為貫徹中央領導批示指示精神，按照公安部黨委的部署要求，在國務院部際聯席會議各成員單位和公安部相關業務局的大力支持下，創建國務院打擊治理電信網絡新型違法犯罪工作部際聯席會議合成作戰平臺，即國家反詐中心。國家反詐中心是全國公安機關刑偵部門的資源整合中心、情報研判中心、實戰指揮中心、新技術應用中心以及人才隊伍培訓中心，該中心成立以來，在打擊、防范、治理跨區域犯罪和新型網絡犯罪工作中發揮了中樞和引領作用。。也有少量的會因為時效或其他原因滯留在本地“反詐”系統或受案系統里。隱性的線索指的是尚未被受害人識破而存在于通信、網絡平臺上的詐騙信息，此類信息與招工、投資、理財、購物等信息混雜在一起。

獲取并案線索主要途徑就是根據已知條件從國家反詐騙中心、終結詐騙平臺、金鐘罩平臺等各類涉及電信網絡詐騙犯罪平臺數據庫及各地自建數據庫中獲取相關數據。所謂的已知條件是根據前期個案偵查從網絡流、通訊流、資金流、人員流等數據里確認的相關要素。

獲取線索的多寡，并不會直接影響后續的偵查。偵查中應力求最多地發現線索。發現的線索越多，可以用于證實、揭露犯罪的信息、證據也就越多，對推進偵查越有利。但是，偵查實踐中有些案件本身還處于初發階段，有些案件的線索并不容易獲取。對于線索稀少的案件，偵查人員應根據現有的條件進行線索的拓展、數據的挖掘。

（二）投資類電信網絡詐騙案件并案方法

對投資類電信網絡詐騙犯罪而言，可用于并案的要素繁多。

對于特定時間段里發現的線索應通過一些要素將線索串連起來。這些要素包括引流手法、安裝文件（hash值）、服務器域名、服務器IP、分發網站、APP 打包公司、短信通道、客服公司、客服注冊信息、犯罪地、APP、投資平臺、通訊工具、轉賬銀行卡號、資金流水賬號地址、電話卡號、微信號、身份證號、其他號、劇本、圈套特點、表演特征等。

對于符合并案條件的歸為同一案件并案偵查，而對于無法串并的線索則歸到另一案件。

并案時線索的整理與歸類只是偵查人員基于對案件的初步認識作出的一個初始判斷。隨著偵查的深入，對歸入的線索還需進行調整——新線索的并入，不合適線索的移出。

傳統的并案通常只是一種大概的合并，就是把一些具有相同特征的案件并作一案進行偵查，并入的案件很多時候的確是同一作案人或同一犯罪組織所為，但有些并入的案件可能并不是同一作案人或同一犯罪組織所為，可以將這種并案稱之軟并案。投資類電信網絡詐騙案件的并案差不多可以實現精準化，這種精準化的并案可以叫做硬并案。利用資金賬戶、通訊工具、投資平臺等可以從已發的案件中精準地找到同一個電信網絡詐騙組織所作的案件。當然，硬并案的實現離不開前期圍繞個案對數據的深度挖掘與分析。

（三）并案后的數據拓展

并入的案件可能是已立案件，也可能是未立案件；并入的案件可能是在偵案件，也可能是未偵案件；并入的案件可能是顯性案件，也可能是隱性案件；從時間上看，并入的案件可能是正在發生的，也可能是并案前1天至前幾年里發生的案件。一個電信網絡詐騙犯罪的團伙，可能在若干年的時間里騙了數人至成百上千人，涉及了幾起至成百上千起案件。

從實踐情況看，為了提升并案的效果，還得考慮提高立案級別。“在目前的狀況下，我國基層公安機關的技術力量、裝備等還處于較低水平，在偵破網絡詐騙案時，往往力不從心，一旦犯罪人采用了更高的技術手段或是在國外遙控操作，公安機關在搜集證據方面便會面臨很大的困難。基于此，可以考慮適當提高網絡詐騙案件的立案級別，由技術水平較高、力量較強的地市級公安機關立案偵辦，以便更有效地打擊網絡詐騙犯罪。”[5]

通過并案，可以對處于不同狀態的同一伙犯罪所為的個案進行滲透、調證、相關勘驗及其他深度偵查，發現更多的線索，查清更多的犯罪事實，獲取更多犯罪證據。

通過對若干個案的深度偵查，犯罪嫌疑人、犯罪動機、犯罪行為、引流方式、施用的騙術、犯罪工具、涉案APP、投資平臺、涉案手機號、通訊系統、轉賬賬號地址、資金流水賬號、金額與流轉方式、犯罪組織結構、被騙人、犯罪結果等要素也漸漸清晰。在此條件下，案件、時間、空間、人、事、物也得到了一一的對應。

所有這些都為案件偵查順利地向下一步邁進提供了重要的條件。

八、開展域外偵查

開展域外偵查涉及不同的法域，涉及國際關系、國際慣例、國際法，偵查成本高，因此，通常能不出境的便不出境。但是當下主流投資類電信網絡詐騙犯罪團伙將犯罪窩點、通訊工具、網絡設備等移到境外，利用CDN網絡分發技術隱藏服務器真實IP地址，而網站能在境內快速訪問，同時使用境外即時通訊工具“telegram”等勾聯，境外網絡集團面向國內搭建了一個巨大的地下網絡世界，從境外向境內實施網絡犯罪。主流投資類電信網絡詐騙犯罪的手法特點決定了境外與境內關聯的同時也出現了明顯的偵查斷層。投資類電信網絡詐騙的特點決定了在偵查投資類電信網絡詐騙犯罪時必須開展域外偵查。

開展域外偵查先要理清的是跨區域性管轄問題。“網絡所具有的虛擬性特征使其突破了時間和空間對犯罪行為的限制，造成網絡犯罪呈現出犯罪行為地與犯罪結果地分離、犯罪行為時與犯罪結果發生時分離的特點，從而給傳統的刑事地域管轄理論帶來了極大的沖擊。”[6]就跨境電信網絡詐騙而言，其管轄比一般網絡犯罪更為復雜，出現國與國、國家與地區之間的管轄爭議是無法避免的，急需探尋一種約定加以規制。

開展域外偵查通常分兩個階段實施，我們將其稱為擴證階段與破案階段。擴證階段是指通過偵查實現了并案，需要通過域外偵查進一步拓展偵查線索、獲取犯罪證據之階段。破案階段是指破案時機成熟，需要對犯罪窩點實施勘驗、捕獲犯罪嫌疑人、追回贓款之階段。

擴證階段主要圍繞摸清犯罪窩點，搞清涉案服務器、終端、投資平臺、網絡通訊系統情況，弄清境外涉案人員分工、居住地，案件人、事、物關系，涉案跨境地下錢莊、跨境第四方支付平臺①跨境第四方支付平臺，平臺通過越南盾與印度盧比進行支付，對接了越南與印度主流支付通道，為黑灰產平臺提供資金結算業務。運行情況等開展偵查。

破案階段主要圍繞捕獲犯罪嫌疑人、勘驗犯罪窩點、審訊犯罪嫌疑人、獲取藏匿資金的密鑰或助記詞、起獲贓款等開展偵查。

投資類電信網絡詐騙犯罪的域外偵查與境內偵查是相互關聯的。域外偵查應在境內偵查、前期線上偵查的基礎上展開。不管是境內偵查還是域外偵查，都要求辦案人員根據案件的具體情況采取具體的偵查措施。

當然，鑒于域外偵查的特殊性，在開展域外偵查時有一些不同于開展境內偵查的要求。

首先，要區分不同形態的域外偵查。域外偵查可能是公開的，也可能是秘密的。公開指的是偵查主體方之間的公開。有兩種具體形式，一是通過國家中心局，在國際刑警組織的協調下進行的②根據我國2016年《公安機關偵辦電信詐騙案件工作機制（試行）》的規定，涉及境外電信網絡詐騙的案件，由公安部刑偵局統一負責組織偵辦。在對跨境偵辦電信詐騙案件時，或直接由公安部提出請求，或由地方公安機關將請求遞交到外交部，通過外交部傳達合作訴求。這種跨境案件的對接機制過于冗長，審批程序多，效率低下。在跨境電信網絡多發、常態的背景下，須對此機制進行改變。建議在市一級的公安機關內部設立專門負責國際警務合作的部門，地方公安機關受案時，將跨境電信網絡詐騙案件報至市一級的國際警務合作部門，再由市一級的國際警務合作部門上報至公安部國際合作部門，由其統籌協調。如此在專業性強的特殊部門內流轉，可以提高跨境合作對接效率。。二是通過締結雙邊、多邊協定或安排開展。秘密是指開展偵查方隱匿身份進入犯罪窩點所在國開展秘密調查。

公開的形態是一種國際刑事警務合作。國際刑事警務合作是指兩個以上的國家或地區就某一個或系列特定的跨國犯罪案件聯合采取偵查措施、調查取證、緝捕犯罪人的一種偵查行動。國際刑事警務合作是國際警務合作的重要內容。“隨著非傳統安全問題的逐步凸顯和新安全觀的發展，‘安全’進入了合作領域，最終推動了‘國際警務合作’的概念向‘國際執法安全合作’的演變，并促成了‘國際執法安全合作’這一概念的形成。”[7]開展國際執法安全合作之核心內容的跨國聯合偵查應遵循開展國際執法安全合作的原則，這些原則包括：國家主權、不干涉內政、互惠、雙重犯罪、尊重合作方的法律和公共秩序、恪守國際法等原則。在進行國際執法安全合作時，可通過建立跨區域或全球性國際執法安全合作組織、建立執法安全專項合作機構、共同設立區域性專業糾紛調解機構等實現跨國聯合偵查。

2000年11月15日在日內瓦通過的《聯合國打擊跨國有組織犯罪公約》是開展跨國聯合偵查最基本的依據①《聯合國打擊跨國有組織犯罪公約》亦稱《巴勒莫公約》，是聯合國歷史上制定的專門用于打擊跨國有組織犯罪的第一部具有分水嶺意義的國際刑法公約，也是國際社會以全球化手段對付全球化時代跨國有組織犯罪挑戰的巨大成果。。

當前，國際社會在網絡犯罪領域僅有幾部區域性的多邊條約。如歐洲委員會的《布達佩斯公約》②又稱《網絡犯罪公約》（Cyber-crime Convention），于2001年11月由歐洲理事會的26個歐盟成員國以及美國、加拿大、日本和南非等30個國家的政府官員在布達佩斯共同簽署，是全世界第一部針對網絡犯罪行為所制訂的國際公約。、《阿拉伯國家聯盟打擊信息技術犯罪公約》、《上海合作組織成員國保障國際信息安全政府間合作協定》、《打擊為犯罪目的使用信息通信技術》③2019年12月，第74屆聯大以79票贊成、60票反對、33票棄權，通過中國、俄羅斯等47國共同提出的《打擊為犯罪目的使用信息通信技術》。等。這些區域性條約在打擊網絡犯罪方面發揮了一定作用，但側重點各有不同，內容差別較大，締約國家有限，無法成為打擊網絡犯罪的全球性解決方案。

“有效打擊網絡犯罪需要一個已經在國際層面統一且能有效應用的法律框架。還需要警察和司法當局誠心的國際合作。各國政府負責確保網絡安全及網絡空間的穩定。這不僅需要定義一個適當的法律框架，即一個在國家層面和國際層面上兼容且強制執行的法律框架，而且還涉及推廣安全文化。”[8]已于2022年1月正式啟動談判的《聯合國打擊網絡犯罪公約》④2021年5月27日，第75屆聯合國大會通過關于啟動《聯合國打擊網絡犯罪公約》談判的決議，確定將于2022年1月正式啟動公約談判。這是繼聯合國大會審議通過第74/247號決議，決定在聯大框架下成立特設政府間專家委員會，制定打擊網絡犯罪的全面國際公約之后，國際社會在邁向第一個互聯網治理全球性公約的努力上取得的又一實質性進展。將成為最為重要的全球共同打擊網絡犯罪公約，將會在協調定罪、協調管轄權、協調國際合作、協調包括立法和執法措施、預防、國際交流和技術援助等四個重要方面發揮協調作用。

此外，《非傳統安全領域合作諒解備忘錄》、《關于落實〈中華人民共和國政府與東南亞國家聯盟非傳統安全領域合作諒解備忘錄〉的行動計劃》及《聯合聲明》也是中國與東南亞國家開展區域合作共同打擊網絡犯罪的重要依據。

秘密的形態體現為偵查方不以偵查員的身份出現而進行的調查與取證。投資類電信網絡詐騙犯罪案件的跨境秘密調查、取證必須在海外耳目、海外110警僑辦⑤為保護海外華僑利益，近年來由一些省市成立的機構。當那些受到非人待遇的，從電信網絡詐騙犯罪窩點逃離的人可以在警僑辦的協助下獲取相關犯罪組織內部重要情報。的協助下依靠特定技術手段展開。

通常擴證階段的偵查宜采用秘密形態，破案階段的偵查宜采用公開形態。

在此，重點論述擴證階段的偵查。

1.通過前期線上偵查與并案偵查已將犯罪的相關要素基本搞清。偵查人員到了境外后應先圍繞已知犯罪嫌疑人開展偵查，通過偵查進一步搞清相關犯罪嫌疑人的基本情況，弄清他們的活動規律、犯罪地、居住地等。

對已知犯罪嫌疑人的調查可與偷越國邊境犯罪關聯起來。從已知偷越國邊境從事電信網絡詐騙犯罪的人員中去對應、關聯已知的犯罪嫌疑人。

2.當查清已知犯罪嫌疑人的活動規律后，犯罪窩點也就暴露了出來。面對犯罪窩點應進一步弄清涉案服務器、終端、投資平臺、網絡通訊系統①GOIP系統一般由遠程管理系統、呼叫中心、卡池及卡池管理系統、GOIP設備等構成。GOIP設備架設在境內，其他在境外，在境外也要追查除GOIP設備之外的GOIP系統其他設備在哪里。等的布建與運行情況。

3.查清犯罪窩點后，應進一步拓展，弄清相關人與相關案件、相關行為、相關客體物的關聯。與此同時，查清涉案跨境地下錢莊、跨境第四方支付平臺情況。

由于擴證偵查通常是一種秘密狀態下的調查，因此，進行擴證偵查時應更多地采用手機定位、境外滲透、無人機使用、跟蹤、耳目使用等技術偵查措施與秘密偵查手段。

九、破案

當案件、時間、空間、人、事、物的關系基本理清，且有證據證明時即可進入破案環節。投資類電信網絡詐騙犯罪偵查破案階段的主要任務有抓捕、勘驗窩點、訊問、起獲贓款等。

投資類電信網絡詐騙犯罪偵查中的抓捕、窩點勘驗、訊問、起獲贓款應遵循境內外同步實施原則。同步是指在境內外同時破案，且在抓捕的同時即應勘驗窩點，捕人的時候即應開展審訊，通過勘驗、審訊起獲贓款。

（一）破案方案擬定

當破案時機成熟時，辦案人員須履行好相關破案手續，在取得國內派駐所在國外交機構及其他人員的支持下，確定破案的具體時間，明確涉案具體地點，鎖定抓捕的具體對象，定下捕獲對象的關押場所，備好所需的交通及其他工具。

（二）實施抓捕

國內、境外統一行動。抓捕的對象是已經鎖定的目標。抓捕的對象應該是犯罪團伙的金主、經理、組長、骨干，底層打工人員可以不予抓捕。因此，一個電信網絡詐騙犯罪團伙涉案人員可能達數百人，但要抓捕的犯罪嫌疑人卻是有限的。

抓捕時要按照擬定的方案、使用特定的工具、分工明確、有序展開。

與抓捕其他類犯罪嫌疑人所不同的是，對于抓捕投資類電信網絡詐騙犯罪嫌疑人，在快速收繳現場所有犯罪嫌疑人手機、電腦等電子設備時應查看手機上是否有相關錢包應用、電腦端應用、瀏覽器記錄是否訪問相關錢包軟件插件。電子設備中的備忘錄或文檔中是否有疑似助記詞的存檔。同時要注意是否有通過手機、U盤、專用設備表現出來的硬件錢包。發現硬件錢包后，要判斷其類型，是否可以通過設備直接轉出。

（三）對窩點進行勘驗

投資類電信網絡詐騙犯罪的窩點有其自身的特點。不管是境內窩點還是境外窩點都須嚴格依照法定程序開展勘驗工作。窩點是一個俗稱，它是一個空間。就投資類電信網絡詐騙犯罪而言，窩點空間就是犯罪現場，犯罪現場涉及多種場所，現場上需要勘驗的對象十分復雜。除了現場空間外，空間里存在的與案件相關的電腦、服務器、通訊系統設備、電話機、手機、ADSL貓、光纖收發機、攝像頭、路由器、網關、電源等硬件需要固定、提取、記錄，而電腦、服務器、手機里的投資平臺、各類APP等電子數據也需要勘驗。現場勘驗時，除了依照法定程序外，需依照現場勘查的步驟實施，還需遵循現場勘驗規則，使用相關的設備進行科學化、規范化的電子數據及痕跡、物品的尋找發現、固定提取、分析研究。

（四）審訊

投資類電信網絡詐騙犯罪結構的復雜化、要素的多元化決定了審查投資類電信網絡詐騙犯罪嫌疑人的艱難。在審訊投資類電信網絡詐騙犯罪嫌疑人時有以下一些不同于審訊其他類案件犯罪嫌疑人的要求。

1.繪出犯罪組織結構圖

在弄清有證據證明的犯罪事實的基礎上繪出犯罪組織結構圖，將犯罪組織各階層人員及已知的情況標注在圖表中。通過圖表形象地展示所審訊的對象在犯罪組織中的地位。

2.備好犯罪導圖

在犯罪組織結構圖的基礎上繪出與該犯罪組織相關的四類導圖：一是犯罪事實全要素導圖，二是犯罪證據導圖①證據導圖可用XMIND等工具制作。，三是犯罪事實與犯罪證據關系導圖，四是犯罪事實、犯罪證據與犯罪人關系導圖。有條件的，還要將犯罪證據制作成證據冊。

3.明確審訊對象在犯罪組織中所扮演的角色

根據對象在犯罪組織的地位羅列其所實施的犯罪行為——在什么時間、空間里，實施了怎樣的行為，采用了怎樣的犯罪手法，涉及到哪些犯罪工具，觸及了哪些犯罪平臺，說了哪些話。

4.圍繞對象在犯罪組織中所起的作用問清犯罪事實

圍繞投資類電信網絡詐騙所涉及的引流方式、施用的騙術、犯罪工具、涉案APP、投資平臺、涉案手機號、通訊系統、轉賬賬號地址、資金流水賬號、金額與流轉方式、被騙人情況等要素問清犯罪事實。這是一種基于全要素的問清犯罪事實思路。

5.追問資金去向

對通過銀行、第三方支付系統等常規渠道實現資金流轉的，在偵查中通過資金溯源、查控工具已基本搞清資金的流向、通道。在審訊中追問資金動向主要是針對通過非法第四方支付、跨境第四方支付平臺②跨境第四方支付平臺通過越南盾與印度盧比進行支付，對接了越南與印度主流支付通道，為黑灰產平臺提供資金結算業務。、跨境地下錢莊、虛擬幣交易平臺流轉而言的。對利用虛擬幣交易平臺流轉的，在審訊中要獲取私鑰與助記詞。

對問清資金去向的，要即刻將地址內的資產有效轉移。

6.訊問過程中的取證

投資類電信網絡詐騙案件特點決定此類案件訊問階段還要做相當數量的取證工作。此階段的取證主要有兩種情形：一是對從犯罪窩點扣押的電腦、手機及其他犯罪工具的取證。這些犯罪工具數量龐大，應在明確取證目標的前提下組織專門的力量才能及時完成。通過對犯罪工具中電子數據的取證，能夠發現可以用于佐證犯罪事實、確認犯罪嫌疑人犯罪行為的新證據。這些新證據也是在審訊中可以加以利用的證據。二是基于通過訊問掌握了新線索、新事實、新證據的進一步擴證。通過訊問必然會有新的發現，這些新的發現可能涉及線索、事實，也可能涉及證據或其他，在這些新發現的指引下，辦案人員可以進一步發現新的證據。

十、結案

投資類電信網絡詐騙犯罪案件的特點決定了此類案件的偵查結案應把握以下一些要點。

（一）遵循“雙基本”原則

筆者主張，同黑社會性質組織犯罪相同，投資類電信網絡詐騙犯罪案件偵查結案也應遵循“雙基本”原則——基本事實清楚，基本證據確鑿。“從刑事證明理論來看‘兩個基本’的實質是在使‘組織性’證據達到一定的數量，具有確鑿的說服力，需要明確限定證明對象內容的前提下，為了做到快捕快訴快判，縮小證明對象的范圍，抓大放小，有所為有所不為。‘兩個基本’絕對沒有降低刑事證明標準。”[9]投資類電信網絡詐騙犯罪案件所涉及的事實、證據十分龐雜，用“雙基本”來指引有利于犯罪事實調查、犯罪數據挖掘度的把控，有利于提升辦案效率。

（二）立足全鏈條打擊構建犯罪事實體系

投資類電信網絡詐騙犯罪通常經歷搭建運維平臺APP或網站、推廣引流、炒群造神、轉換主題、鼓動入金、下餌套牢、操盤殺豬、轉移犯罪所得、安撫退場等環節。這些環節涉及犯罪上游、中游與下游。犯罪的各個環節與犯罪上、中、下游的交錯，使得投資類電信網絡詐騙犯罪事實十分龐雜。不過，無論犯罪事實如何龐雜，在結案時均應從全鏈條打擊視角去收集、整理犯罪事實。通過全鏈條事實的獲取，做到犯罪基本事實完整、系統、清晰，符合犯罪基本事實清晰的結案條件。

（三)以“五流”為主線構建犯罪證據體系

投資類電信網絡詐騙犯罪案件偵查結案的證據整理可以人員流、案件流①即所并入的案件。、網絡流、通訊流、資金流為主線，構建相應的“五流”證據體系。“五流”證據體系的完整構建便能初步實現證據的體系化、清晰化。在以“五流”為主線構建犯罪證據體系的基礎上，加上通過核心要素的關聯，便能為證據的真實性、相關性，為證據的審查、鑒真打下扎實的基礎。

（四）借助核心電子數據實現犯罪事實與證據的有機關聯

投資類電信網絡詐騙犯罪案件偵查結案時，在構建了犯罪事實與證據體系的前提下，還應選擇某一個或幾個要素，并依托某一個或幾個要素實現犯罪事實體系與證據體系的關聯。這里所指的依托要素便是核心電子數據。在結案時，可選擇與某一個或幾個與案件核心人物相關的電子數據②網絡空間活動數據、通訊數據、轉移資金數據或其他數據均可。，將證據與事實關聯起來。核心電子數據的恰當選擇將有利于犯罪事實與犯罪證據導圖的繪制，可以避免事實不清、證據失真、要素散亂情況的出現，有利用于實現犯罪事實與證據關聯的合理性、有機性與完整性。

結語

電信網絡詐騙犯罪伴隨信息技術革命而生。隨著信息技術滲透加劇，電信網絡詐騙犯罪也變得越發嚴重起來。在中國，應對電信網絡詐騙犯罪已有二十多年歷史，但不管是理論研究，還是實戰應對，都是十分被動的。理論研究長期與實務脫節，研究成果未能對應對犯罪起到有效的指引作用。盡管很多人投入了很多時間與精力進行電信網絡詐騙犯罪應對研究，但大量的研究一直只是處于初探階段。本文選擇電信網絡詐騙犯罪中犯罪結構最為復雜、實戰應對最難、占比最高的投資類電信網絡詐騙犯罪進行研究，試圖通過研究構建打擊投資類電信網絡詐騙犯罪方案，提出投資類電信網絡詐騙犯罪偵查基本步驟、方法。如果構建的方案合理、科學，提出的基本步驟、方法可行，那么此研究成果自然也可成為偵查其他類電信網絡詐騙犯罪的方案。筆者認為，本研究在方法論上是科學的，尤其是將所涉及的大量電子取證技術通俗化，所提出的方案對指導電信網絡詐騙犯罪案件偵查是有效的。當然，提出的偵查方案、步驟方法還存在各種漏洞、不足，有待于通過實踐的檢驗加以修正、提升。尤其是第四次工業革命即將帶來的更大沖擊，將直接影響電信網絡詐騙犯罪的更迭，因此，投資類電信網絡詐騙犯罪偵查的方案或步驟、方法也應隨之調整。