譚宇軒 黃娟娟

湖南警察學(xué)院，湖南 長(zhǎng)沙 410138

21世紀(jì)，網(wǎng)絡(luò)在日常生活中發(fā)揮著越來(lái)越不可取代的作用，但隨著網(wǎng)絡(luò)普及率的升高和信息時(shí)代的到來(lái)，關(guān)于網(wǎng)絡(luò)的相關(guān)犯罪也愈發(fā)猖獗。電信網(wǎng)絡(luò)詐騙案發(fā)案多損失大，已成為社會(huì)公害。根據(jù)公安部公布的最新數(shù)據(jù)顯示，2020年，全國(guó)公安機(jī)關(guān)共破獲電信網(wǎng)絡(luò)詐騙案件25．6萬(wàn)起，抓獲犯罪嫌疑人26．3萬(wàn)名，攔截詐騙電話1．4億個(gè)、詐騙短信8．7億條，為群眾直接避免經(jīng)濟(jì)損失1200億元。[1]公安機(jī)關(guān)破案效率再高，還是有人民群眾在上當(dāng)受騙，人們的日常網(wǎng)絡(luò)使用也因電信網(wǎng)絡(luò)詐騙受到?jīng)_擊。現(xiàn)如今電信網(wǎng)絡(luò)詐騙已成為刑事犯罪的主流，將會(huì)成為公安機(jī)關(guān)長(zhǎng)期面臨的主要挑戰(zhàn)。根據(jù)現(xiàn)今電信網(wǎng)絡(luò)詐騙案件的形勢(shì)，本文重點(diǎn)討論電信網(wǎng)絡(luò)詐騙案件中“網(wǎng)絡(luò)流”數(shù)據(jù)勘查的相關(guān)問(wèn)題。

一、網(wǎng)絡(luò)流

（一）網(wǎng)絡(luò)流的概念

網(wǎng)絡(luò)流，其表面意思即網(wǎng)絡(luò)數(shù)據(jù)，網(wǎng)絡(luò)證據(jù)即正在網(wǎng)上傳輸?shù)挠?jì)算機(jī)證據(jù)，其存在形式依賴于網(wǎng)絡(luò)傳輸協(xié)議，采用不同的傳輸協(xié)議，網(wǎng)絡(luò)流的格式也不相同。但無(wú)論采用何種傳輸協(xié)議，都可以將網(wǎng)絡(luò)流分為文本、視頻、音頻、圖片。

（二）網(wǎng)絡(luò)流特點(diǎn)

1．實(shí)時(shí)動(dòng)態(tài)性

網(wǎng)絡(luò)流指的是正在傳輸?shù)淖C據(jù)，即流動(dòng)數(shù)據(jù)，當(dāng)數(shù)據(jù)從源地址已通過(guò)某種介質(zhì)傳輸?shù)侥康牡刂窌r(shí)，就不再屬于網(wǎng)絡(luò)流的范疇。

2．?dāng)?shù)據(jù)類型復(fù)雜

網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流有的是文本，有的是視頻，且隨著時(shí)代的發(fā)展，網(wǎng)絡(luò)帶寬不斷增加，傳輸數(shù)據(jù)成倍增長(zhǎng)，形成量大又繁瑣的數(shù)據(jù)。

（三）“網(wǎng)絡(luò)流”在研判新型電詐案件中的作用

1．提供偵查線索，明確偵查方向

前文提到，“網(wǎng)絡(luò)流”即網(wǎng)絡(luò)數(shù)據(jù)具有實(shí)時(shí)動(dòng)態(tài)性、數(shù)據(jù)類型復(fù)雜等特點(diǎn)，如何從復(fù)雜的網(wǎng)絡(luò)信息中找尋突破口，確定偵查方向是提高破案效率的關(guān)鍵。同時(shí)，在偵查線索的發(fā)現(xiàn)上也需要依靠“網(wǎng)絡(luò)流”的信息研判。

2．串并同類案件，提高并案效率

電信詐騙案件往往是隱蔽的，人員是相對(duì)分散的，從現(xiàn)實(shí)中分析犯罪人或犯罪團(tuán)伙的同類案件難度較高，但從網(wǎng)絡(luò)上串并案件更能反映出作案人或者作案團(tuán)伙的特點(diǎn)。通常情況下，我們從網(wǎng)上串并的依據(jù)有：（1）通過(guò)涉案的通信工具進(jìn)行串并；（2）利用涉案的銀行賬戶進(jìn)行串并；（3）對(duì)從通信工具、銀行賬戶查詢獲取的信息開展的綜合串并。

3．掌握犯罪動(dòng)態(tài)，實(shí)現(xiàn)精準(zhǔn)打擊

隨著科技的發(fā)展，犯罪嫌疑人的犯罪手法也不斷升級(jí)，越來(lái)越依靠于高科技手段，因此我們的偵查工作也應(yīng)與時(shí)俱進(jìn)，以適應(yīng)信息化時(shí)代偵查工作的需要，從各種繁雜的網(wǎng)絡(luò)數(shù)據(jù)中提煉出有價(jià)值的信息。掌握犯罪動(dòng)態(tài)就是掌握行動(dòng)的主動(dòng)權(quán)，才能對(duì)網(wǎng)絡(luò)犯罪有效地進(jìn)行精確打擊。

4．探索防范機(jī)制，及時(shí)預(yù)警止損

通過(guò)研究“網(wǎng)絡(luò)流”的特點(diǎn)，加強(qiáng)與銀行等金融機(jī)構(gòu)的協(xié)作，共同探討如何對(duì)電信網(wǎng)絡(luò)詐騙案件采取防范措施，加大對(duì)網(wǎng)絡(luò)工具的管理力度，提高對(duì)網(wǎng)絡(luò)平臺(tái)的日常監(jiān)管效率，捕捉電信網(wǎng)絡(luò)詐騙的可能性前兆，探索研發(fā)防控預(yù)警、延時(shí)到賬等新軟件，為人民的財(cái)產(chǎn)安全畫上止損線，以規(guī)避更多的損失。

二、“網(wǎng)絡(luò)流”的勘查

在現(xiàn)場(chǎng)勘查環(huán)節(jié)中，“網(wǎng)絡(luò)流”電子數(shù)據(jù)勘查的重要對(duì)象是網(wǎng)絡(luò)數(shù)據(jù)。多數(shù)案件需要在現(xiàn)場(chǎng)對(duì)系統(tǒng)數(shù)據(jù)、文件等進(jìn)行分析和處理，以便快速得到案件線索，推進(jìn)勘查進(jìn)度。對(duì)復(fù)雜的數(shù)據(jù)處理、大量文件恢復(fù)、全盤文件查找、復(fù)雜文件密碼破解等需耗費(fèi)大量時(shí)間，可帶回實(shí)驗(yàn)室進(jìn)行。

（一）現(xiàn)場(chǎng)勘查流程

1．制定周密的勘查計(jì)劃

涉及對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的勘查是一項(xiàng)非常復(fù)雜的工作，為獲取犯罪證據(jù)和犯罪人員信息，需制定周密的勘查計(jì)劃，以便最大限度地獲取犯罪現(xiàn)場(chǎng)遺留信息。為使勘查工作順利進(jìn)行，在遇到疑難問(wèn)題時(shí)可集體討論、協(xié)商，需要對(duì)人員進(jìn)行簡(jiǎn)單分工；為明確勘查目的，做到在現(xiàn)場(chǎng)臨場(chǎng)不亂，需制定預(yù)定目標(biāo)，并做好緊急預(yù)案，隨著現(xiàn)場(chǎng)勘查的不斷深入，預(yù)定目標(biāo)也會(huì)隨之調(diào)整；為使在現(xiàn)場(chǎng)勘查思路明確，做到有的放矢，不至于到達(dá)現(xiàn)場(chǎng)無(wú)從下手，需制定簡(jiǎn)單的實(shí)施步驟。

2．準(zhǔn)備勘查工具，應(yīng)準(zhǔn)備相關(guān)硬件工具和軟件工具。

硬件工具包括功能齊全的計(jì)算機(jī)，必要的通信電纜、打印機(jī)、電源保護(hù)器、光盤刻錄機(jī)和帶有分析系統(tǒng)的硬盤及其相關(guān)設(shè)備。還需準(zhǔn)備計(jì)算機(jī)拆卸工具，以便提取、固定硬件證據(jù)時(shí)使用。軟件工具一般都包含在現(xiàn)場(chǎng)工作人員計(jì)算機(jī)內(nèi)，用于分析被勘查計(jì)算機(jī)系統(tǒng)，通常包括操作系統(tǒng)軟件、工具軟件和應(yīng)用軟件。操作系統(tǒng)軟件有通用的微機(jī)軟件、小型機(jī)軟件和網(wǎng)絡(luò)軟件。工具軟件和應(yīng)用軟件又包括數(shù)據(jù)信息回復(fù)、診斷和清除病毒功能的軟件，數(shù)據(jù)庫(kù)軟件和備份軟件等。

3．現(xiàn)場(chǎng)保護(hù)

（1）確認(rèn)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的設(shè)備運(yùn)行狀態(tài)?，F(xiàn)場(chǎng)保護(hù)人員應(yīng)當(dāng)準(zhǔn)確判斷現(xiàn)場(chǎng)，特別注意記錄變化的情況。

（2）控制現(xiàn)場(chǎng)人員。無(wú)論是嫌疑人、被害人還是現(xiàn)場(chǎng)無(wú)關(guān)人員，特別是犯罪嫌疑人，所有人都不得觸碰計(jì)算機(jī)系統(tǒng)、其外圍設(shè)備及電源總成，以防止系統(tǒng)狀態(tài)被改變、文件數(shù)據(jù)被刪改，防止現(xiàn)場(chǎng)證據(jù)被破壞或滅失。無(wú)論是在場(chǎng)人員或者嫌疑人，不管出于何種目的都不得靠近計(jì)算機(jī)系統(tǒng)，防止毀壞計(jì)算機(jī)及硬盤、刪除硬盤里的數(shù)據(jù)，控制所有現(xiàn)場(chǎng)人員身邊的電源開關(guān)，防止其關(guān)閉電源使計(jì)算機(jī)因斷電而丟失數(shù)據(jù)。

（3）不開啟或關(guān)閉計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)，保持現(xiàn)場(chǎng)“靜態(tài)”。保持現(xiàn)場(chǎng)“靜態(tài)”即保持系統(tǒng)的原始狀態(tài)，開關(guān)機(jī)狀態(tài)、網(wǎng)絡(luò)連接狀態(tài)和系統(tǒng)運(yùn)行狀態(tài)。如果開機(jī)狀態(tài)屏幕中有顯示信息，則應(yīng)晃動(dòng)鼠標(biāo)或按ctrl鍵，避免激活屏幕保護(hù)。

（4）及時(shí)查看網(wǎng)絡(luò)連接情況。若該計(jì)算機(jī)系統(tǒng)使用無(wú)線局域網(wǎng)，記錄好該局域網(wǎng)名稱和地址；對(duì)于有網(wǎng)線連接的電腦、服務(wù)器應(yīng)直接拔除網(wǎng)線，防止其他窩點(diǎn)的同伙遠(yuǎn)程刪除重要數(shù)據(jù)。

（5）保護(hù)原始物證。未經(jīng)案件偵查人員允許，不得將任何電子儲(chǔ)存介質(zhì)及其他有關(guān)證據(jù)帶離現(xiàn)場(chǎng)。

4．實(shí)施勘查

（1）對(duì)現(xiàn)場(chǎng)環(huán)境進(jìn)行勘查。環(huán)境勘查即對(duì)對(duì)象計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的工作環(huán)境進(jìn)行勘查?？辈榈闹饕獌?nèi)容有監(jiān)視器、工作記錄、工作日志、通信網(wǎng)絡(luò)、辦公環(huán)境、外界環(huán)境。

（2）對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的設(shè)備進(jìn)行勘查，主要檢查計(jì)算機(jī)的運(yùn)行情況、操作情況，確認(rèn)可能犯罪的手法；檢查打印機(jī)上有無(wú)留下的印痕；檢查網(wǎng)絡(luò)通信設(shè)備看有無(wú)異常連接，通信日志是否正常。對(duì)設(shè)備勘查主要是發(fā)現(xiàn)殘留痕跡和可能犯罪手段。

（3）進(jìn)行數(shù)據(jù)勘查。計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)中有許多有價(jià)值的證據(jù)，有的能反映機(jī)器設(shè)備運(yùn)行情況，有的能反映程序文件的操作情況，有的能記錄操作人員的操作對(duì)象和過(guò)程。特別是特殊系統(tǒng)所設(shè)置的不為外人所知的系統(tǒng)記錄更能獲取有價(jià)值的線索，認(rèn)真收集、分析對(duì)案件偵破將有極大作用。

（4）進(jìn)行軟件勘查。軟件勘查的主要目的是檢查應(yīng)用軟件是否被人非法修改過(guò)。許多改動(dòng)程序才能實(shí)施的犯罪只有進(jìn)行軟件勘查能發(fā)現(xiàn)，進(jìn)行軟件勘查的方法即使用應(yīng)用程序的原拷貝比對(duì)即可。發(fā)現(xiàn)應(yīng)用程序存在問(wèn)題后，可由技術(shù)人員分析源程序，解讀更改后的程序功能，查找犯罪線索、提取犯罪證據(jù)。

（5）進(jìn)行存儲(chǔ)介質(zhì)的勘查。存儲(chǔ)介質(zhì)中的信息能反映計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況，也能反映系統(tǒng)發(fā)生問(wèn)題前的狀況，更可能存在犯罪偵查線索。由于存儲(chǔ)介質(zhì)上的信息看不見(jiàn)摸不著，必須通過(guò)某種方法顯現(xiàn)或恢復(fù)，這就存在極大的風(fēng)險(xiǎn)，有可能在顯現(xiàn)時(shí)破壞原信息。為減少風(fēng)險(xiǎn)可考慮備份信息，并將備份安裝至有檢查工具軟件的機(jī)器上勘驗(yàn)。存在可疑問(wèn)題時(shí)，應(yīng)提取保存數(shù)據(jù)的存儲(chǔ)介質(zhì)，這一方面是深入偵查的要求，另一方面也為收集犯罪證據(jù)做準(zhǔn)備。

（6）制作勘查筆錄。筆錄是記載犯罪現(xiàn)場(chǎng)勘查的重要文字材料，內(nèi)容主要包括基本資料、現(xiàn)場(chǎng)概況、現(xiàn)場(chǎng)保護(hù)情況、勘查過(guò)程、勘查結(jié)果等等。

（二）勘查中的數(shù)據(jù)采集

1．采集內(nèi)容

勘驗(yàn)時(shí)，注意采集以下內(nèi)容：

（1）網(wǎng)絡(luò)身份活動(dòng)情況。網(wǎng)絡(luò)身份具有隱蔽性、多樣性、一致性等特點(diǎn)。常見(jiàn)的網(wǎng)絡(luò)身份有QQ昵稱、論壇ID、網(wǎng)站的用戶名、郵箱地址等。而通過(guò)這些網(wǎng)絡(luò)身份的活動(dòng)情況可串聯(lián)出一系列信息，如聊天時(shí)間，地域地區(qū)等。

（2）網(wǎng)站域名注冊(cè)信息。通常網(wǎng)站域名的注冊(cè)信息有：注冊(cè)公司的名稱、注冊(cè)地址、域名注冊(cè)人、聯(lián)系方式、技術(shù)維護(hù)人員、域名到期日等信息。根據(jù)以上信息可研判該域名所屬人，若所屬人身份為假，可通過(guò)其他方式調(diào)查。

（3）網(wǎng)站日志。網(wǎng)站服務(wù)器日志文件中記錄了用戶訪問(wèn)該網(wǎng)站的一些信息，包括登錄網(wǎng)址時(shí)間、IP地址等，這為判定犯罪嫌疑人作案時(shí)間，定位犯罪嫌疑人都提供了有利線索。

（4）網(wǎng)銀操作記錄。查詢網(wǎng)銀操作記錄包括管理員操作記錄、操作員交易記錄兩種查詢方式。查詢記錄需起始日期及截止日期，操作類型及管理員或操作員姓名、證件號(hào)碼點(diǎn)擊查詢按鈕，查詢結(jié)果會(huì)顯示符合操作類型的信息。

（5）網(wǎng)上購(gòu)買的虛擬貨幣消費(fèi)記錄、手機(jī)充值卡充值去向，購(gòu)買人的登錄賬號(hào)信息和登錄IP。

（6）電商賬號(hào)的交易記錄。[2]

2．采集要點(diǎn)

采集時(shí)，注意以下要點(diǎn)：

（1）在案發(fā)后，刑偵人員和計(jì)算機(jī)專業(yè)技術(shù)人員應(yīng)當(dāng)保護(hù)好現(xiàn)場(chǎng)，保護(hù)好犯罪發(fā)生時(shí)與計(jì)算機(jī)系統(tǒng)相關(guān)的軟硬件以及數(shù)據(jù)的狀態(tài)，包括設(shè)備的配置和各種電纜的連接情況，然后，由計(jì)算機(jī)技術(shù)人員將各種存儲(chǔ)介質(zhì)（包括硬盤、軟盤、磁帶和光盤）中的相關(guān)系統(tǒng)軟件、應(yīng)用程序和所有數(shù)據(jù)進(jìn)行備份。

（2）封存涉案計(jì)算機(jī)和資料。在備份完成后，為保證涉案計(jì)算機(jī)系統(tǒng)的完整性，應(yīng)封存好涉案的計(jì)算機(jī)及其相關(guān)設(shè)備。對(duì)不能停止運(yùn)行的計(jì)算機(jī)系統(tǒng)，如果要求必須在短時(shí)間內(nèi)恢復(fù)運(yùn)行則應(yīng)采用鏡像備份，將系統(tǒng)的狀態(tài)及環(huán)境等進(jìn)行詳細(xì)記錄。

（3）收集相關(guān)資料。刑偵人員和計(jì)算機(jī)技術(shù)人員應(yīng)當(dāng)一同收集一切與案件有關(guān)的材料，清理現(xiàn)場(chǎng)，提取證據(jù)。

（4）詢問(wèn)當(dāng)事人。刑偵人員和計(jì)算機(jī)技術(shù)人員應(yīng)一同詢問(wèn)知情人和犯罪嫌疑人，犯罪嫌疑人在實(shí)施詐騙時(shí)所處的工位及工位對(duì)應(yīng)的電腦、手機(jī)、賬本、電話資料、銀行卡和其他相關(guān)物品，并要求犯罪嫌疑人提供一切與犯罪和計(jì)算機(jī)系統(tǒng)相關(guān)的所有信息。如系統(tǒng)的密碼和口令，與犯罪相關(guān)的計(jì)算機(jī)軟件等等。

（5）物證分析、提取。分析案件發(fā)生前后系統(tǒng)的狀態(tài)、數(shù)據(jù)的情況以及日志記錄，提交分析結(jié)果。

（6）按照法律程序進(jìn)行計(jì)算機(jī)模擬測(cè)試。

三、“網(wǎng)絡(luò)流”勘查的難點(diǎn)

（一）取證難度高

現(xiàn)場(chǎng)作案人大多警惕性強(qiáng)，“網(wǎng)絡(luò)流”在網(wǎng)絡(luò)上留下的是數(shù)據(jù)痕跡，為了逃避打擊，犯罪人員通過(guò)數(shù)據(jù)處理可使痕跡最小化甚至不留痕跡，給我們的現(xiàn)場(chǎng)勘查取證增加了難度。

（二）采集信息難

現(xiàn)場(chǎng)作案人往往會(huì)將特定類型的數(shù)據(jù)文件加密，加密方式往往很復(fù)雜，再加以電信網(wǎng)絡(luò)詐騙新型犯罪涉及到數(shù)字化資金轉(zhuǎn)移，這一系列操作需要專業(yè)技術(shù)手段來(lái)進(jìn)行證據(jù)的判別、固定、分辨和采集。[3]

四、總結(jié)

電信詐騙已成為當(dāng)前危害社會(huì)穩(wěn)定和威脅人民財(cái)產(chǎn)安全的重要犯罪行為。對(duì)“網(wǎng)絡(luò)流”數(shù)據(jù)的勘查是整個(gè)打擊網(wǎng)絡(luò)電信詐騙案件的一個(gè)重要環(huán)節(jié)，也是對(duì)電信網(wǎng)絡(luò)詐騙案件打擊的一部分。在提出、找出、解決問(wèn)題的同時(shí)我們應(yīng)規(guī)范對(duì)“網(wǎng)絡(luò)流”數(shù)據(jù)的勘查，制定有效的策略，使電信詐騙案件能得到有效預(yù)防與處置。