“網絡兼職刷單”詐騙案件的取證方法

湯艷君 李嘉奇 斯嘉懿 英宏程

（中國刑事警察學院網絡犯罪偵查系 遼寧 沈陽 110035）

1 “網絡兼職刷單”詐騙案件概述

隨著科技的進步和網絡的發展，網上購物十分流行，有些商家會雇傭“水軍”進行刷單，提高銷量和店鋪的信譽。犯罪分子以提供“網絡兼職刷單”為名，利用人們急于尋求兼職且貪圖小利的心理，通過QQ等即時聊天工具實施詐騙。

2017年6月，某地派出所聯合分局網警在其轄區內破獲一起“網絡兼職刷單”詐騙案件，然而不到一周，該所僅在一天時間內又接到了另外兩起同類型案件受害人的報警。通過對此類案件的梳理和總結，“網絡兼職刷單”詐騙案件的作案過程及手段如下：

1.1 作案過程

在“網絡兼職刷單”詐騙案件中，犯罪嫌疑人大多使用QQ聊天軟件為媒介，以招聘各大網上商城刷單兼職為由，通過偽造營業證書和公司報表來騙取受害者信任。犯罪嫌疑人通過以派發任務的形式讓受害人刷單騙取受害人錢財，第一次騙取成功后繼續通過文字游戲告知受害人需要繼續投入資金做刷單任務。

圖1 犯罪嫌疑人通過文字游戲誘使受害人進一步刷單

如圖1所示，犯罪嫌疑人總是在強調“3次任務總共3單”，其實首次刷單就將受害人可用的流動資金都騙光了，受害人按照要求完成3次刷單后，犯罪嫌疑人會強調這3次只是第一單任務，還有兩單任務才能結算，其實一共進行9次刷單。

這時受害人為了完成所謂的任務，基本都是通過借錢來周轉資金，在完成所謂的9次任務應該結算時，犯罪嫌疑人會說因為操作超時，出現了卡單現象，需要再拍商品才能解卡。

受害人按照要求繼續付款一次后，犯罪嫌疑人會稱訂單只激活了50%，要求受害人繼續付款，完成又一次付款后，犯罪嫌疑人發來圖片顯示訂單激活到了95%，需要受害人繼續付款（見圖2），而無論受害人進行多少次付款，訂單激活狀態都只會變成98%、99%，永遠不會顯示100%激活完成。

圖2 犯罪嫌疑人編造的理由進行連環詐騙

當受害人發現受騙不再繼續投入想要退出要回本金時，犯罪嫌疑人會說因未完成任務需要支付違約金，而且是采用先支付違約金再返回本金的形式。而當受害人不再打款后，犯罪嫌疑人都會將受害人拉黑，不再聯系。

1.2 作案手段

通過對多起同類案件進行總結，歸納出5種具有特征性的作案手段。

1.2.1 墊付刷單，另付違約金

從案件來看，犯罪嫌疑人都是以返傭金為幌子，要求受害者先行支付訂單中貨品的錢款，即墊付刷單，只有這樣犯罪嫌疑人才能將受害者的財產騙到手。當受害人要求申請退款時，都是以違約為由要求受害人另外支付違約金，這也是犯罪嫌疑人詐騙受害人錢款的最后一個階段。所以，墊付單和支付違約金是“網絡兼職刷單”型詐騙案件非常明顯的一個作案手段。

1.2.2 掃描二維碼付款

幾乎在所有通過刷單進行詐騙的案件中，受害人刷單的方式均不同于正常的網購流程。提交訂單后并不是在網頁上通過第三方支付平臺進行支付，而是用手機掃描網頁上顯示的或者犯罪嫌疑人發過來的二維碼以直接轉賬的形式支付錢款，轉賬后受害人錢款直接轉入對方賬戶，即使受害人發覺受騙也無法通過網上商城退貨退款的方式退回錢款。

1.2.3 發送付款截圖

在支付環節，犯罪嫌疑人要求受害人完成轉賬后把轉賬的截圖發給他，受害人錢款轉入的賬戶是犯罪嫌疑人洗錢的賬戶。這些賬戶使用天貓、京東等各大網上商城的圖片作為頭像，以假亂真，受害人難辨真假。根據已偵破案件中犯罪嫌疑人的供述，他們在境外有專門負責洗錢的團伙，犯罪嫌疑人要的受害人轉賬截圖，就是與洗錢的團伙結算時的憑證。也正是這些轉賬截圖成了公安機關偵查取證時認定詐騙金額和犯罪事實的重要依據。

1.2.4 使用釣魚網站

通過對案例的梳理，發現犯罪嫌疑人在詐騙時，給受害人發送的網上商城的鏈接多數為假冒的釣魚網站。犯罪嫌疑人使用釣魚網站的目的是在支付環節使支付頁面自動出現需要掃描轉賬的二維碼，掃二維碼支付更具有迷惑性。

1.2.5 從網上購買QQ號碼和公民個人信息

犯罪嫌疑人詐騙使用的QQ號均是從網上購買，然后通過改名換頭像包裝成為兼職公司的客服人員進行詐騙，QQ號綁定的手機號多半為虛擬手機號，手機卡在買賣QQ號時一起打包出售。其次，根據廣東警方破獲的買賣公民個人信息注冊淘寶店鋪的案件發現，這些店鋪出售后很多被用來進行詐騙。網店鏈接中的網店大多是冒用他人身份信息注冊。另外，犯罪嫌疑人前期使用的釣魚網站大多是購買的，因此，會涉及到制作釣魚網站牟利的違法產業鏈。

2 “網絡兼職刷單”詐騙案件偵查方向

偵查是打擊犯罪的有效手段，但由于犯罪嫌疑人作案手段的不斷升級給偵查帶來了很多困難。對于此類型案件，應在傳統偵查方法的基礎上，不斷探索新的偵查方向。

2.1 信息流方向的偵查

網絡詐騙犯罪嫌疑人的反偵查意識不斷提高。目前此類詐騙案件中，犯罪嫌疑人不再使用寬帶上網，轉而采用4G無線網卡的上網方式，IP地址不固定，難以定位?？梢越Y合下面的信息進行偵查：

2.1.1 購物網站的信息

犯罪嫌疑人在作案時會給受害者發送商品鏈接，這些鏈接有的是釣魚網站的鏈接，有的是真實網店的商品鏈接。如果是釣魚網站鏈接，可以在命令提示符中使用ping命令，測試與網站域名連通性，得到網站服務器的IP地址，從而可以得知服務器的所在地；同時利用http：//whois.chinaz.com/等域名查詢的網站，查詢該域名注冊人的信息，既可能關聯到實施詐騙的犯罪嫌疑人，也可能關聯到編寫售賣釣魚網站的人，進而通過其上下線的關系追查實施詐騙的犯罪嫌疑人。如果是真實網店商品的鏈接，可以向商城服務商查詢該網店的注冊和登錄信息，若是用他人信息注冊的網店，可以根據非法買賣公民個人信息的上下線關系追查犯罪嫌疑人。

2.1.2 犯罪嫌疑人的社交信息

目前在偵查辦案中，對于犯罪嫌疑人的通話、短信以及微信等社交信息的利用已經非常普遍。同時從事網絡詐騙案件的犯罪嫌疑人呈地域集中性的特點，以福建安溪、廣西賓陽和海南儋州三地為主，同類型犯罪的犯罪嫌疑人在同鄉之間已經形成了集團化、組織化的作業模式，相互之間比較熟悉，可以根據已經偵破案件中犯罪嫌疑人QQ、微信以及手機中聯系人的信息，發現其他案件的線索。也可以根據此類詐騙衍生出的違法產業鏈條，在破獲的其他類型案件中，梳理上下線關系，既而發現該類案件的線索。

2.1.3 改進串并案件的方法，加強對串并案件平臺的應用

可以根據犯罪嫌疑人QQ號、網名、手機號、銀行卡號、網站地址、第三方支付賬號等多種信息進行關聯分析和碰撞[1]。通過對此類已偵破案件的梳理發現犯罪嫌疑人通常有上百個QQ號碼，這些QQ號碼多以相同的名稱作為網名，只是以數字的不同加以區分，如“36客服——媛媛”、“37客服——媛媛”等，有的還以“人事部——某某”作為網名，不同的犯罪嫌疑人有各自起網名的習慣，網名的重復概率也不高，所以，可以通過每個案件中犯罪嫌疑人的網名進行串并案，為偵查提供更多的線索。

2.2 資金流方向的偵查

在此類詐騙案件中，受害人的資金流向大致如圖3所示，受害人將錢轉至洗錢團伙控制的第三方支付平臺，洗錢團伙將贓款洗“白”后再返給犯罪嫌疑人。

圖3 受害人錢款流向圖

為此公安機關接到受害人的報警后，應該在第一時間采取緊急止付措施，凍結第三方支付平臺的賬戶，確保受害人的資金不被轉出。其次，通過對第三方支付平臺的賬戶信息挖掘，找出更多受害人，摸清犯罪嫌疑人的洗錢方式。目前支付寶和微信不支持綁定國外銀行卡，所以，犯罪嫌疑人無論是通過購買點卡還是銀行卡提現等方式進行洗錢，都可以找到線索，確定下一步偵查方向。

3 “網絡兼職刷單”詐騙案件取證方法

“網絡兼職刷單”詐騙案件的取證涉及受害人和犯罪嫌疑人兩個方面。對受害人的電子數據取證主要包括QQ聊天記錄、轉賬記錄和瀏覽器記錄等內容；對犯罪嫌疑人的電子數據取證主要包括QQ聊天記錄、聊天劇本和瀏覽器記錄等內容。

3.1 受害人方面的取證

公安機關在接到該類型案件的報警時，應該從以下3個方面對受害人能提供的數據進行取證：

3.1.1 QQ聊天記錄

如果受害人是在電腦登錄QQ時被騙的，可以在QQ消息管理器中導出與犯罪嫌疑人的聊天記錄。如果受害人是操作手機時被騙的，一方面因為目前QQ可以同步不同設備的聊天，可以讓受害人在電腦上登錄QQ，進而導出與犯罪嫌疑人的聊天記錄，另一方面也可以通過手機截屏的方式，將受害人與犯罪嫌疑人的聊天記錄截屏保存。

3.1.2 轉賬記錄

如果受害人是從支付寶或微信等第三方支付平臺的零錢中轉給對方賬戶的，可以對相應的轉賬記錄截屏固定證據；如果受害人的資金是從銀行卡通過第三方支付平臺轉給對方賬戶的，應該到銀行將對應銀行卡的流水賬單打印出來，作為案件材料進行保存。

3.1.3 瀏覽器記錄

對于犯罪嫌疑人給受害人發送的釣魚網站鏈接或店鋪商品鏈接，可以在受害人手機或者電腦的瀏覽器歷史記錄中搜索犯罪嫌疑人所發送的鏈接的記錄，并對該記錄進行證據固定。如果犯罪嫌疑人發送的是真實店鋪商品的鏈接，受害人進行下單肯定要登錄自己購物網站的賬戶，也可以對受害人賬戶中瀏覽商品的記錄或是訂單記錄進行取證。

3.2 對犯罪嫌疑人方面的取證

在抓獲犯罪嫌疑人時，若其作案電腦正在開機狀態，應對電腦中系統時間、QQ使用記錄、IP地址、訪問網站等數據進行現場固定，隨后將犯罪嫌疑人作案電腦斷電固定封存。如果有需要可以依據法發〔2016〕22號規定對電子數據進行進一步的檢查和挖掘。

3.2.1 QQ聊天記錄

目前，各個主流版本QQ的聊天記錄以及接收的文件在Windows系統中均是默認存儲在“我的文檔Tencent Files”文件夾中，此文件夾存儲了犯罪嫌疑人電腦登錄過的QQ的全部未刪除記錄，以圖4為例。若犯罪嫌疑人反取證意識比較強，會對上述文件夾中的聊天記錄文件進行刪除，還應通過數據恢復技術來恢復犯罪嫌疑人刪除過的聊天記錄。

圖4 單臺電腦登錄過的所有QQ號情況

對QQ聊天記錄的提取，首先根據上述文件夾中的內容以及數據恢復的結果確定犯罪嫌疑人使用過的、能提取證據的QQ號碼；隨后，因為犯罪嫌疑人買來QQ號碼后會將號碼與密碼存于TXT文本或Word文檔中，可以按照其中的QQ號和密碼逐個登錄犯罪嫌疑人的QQ查看聊天記錄。犯罪嫌疑人詐騙成功后通常會將受害人的號碼拉黑，所以要重點關注消息管理器“已刪除/拉黑”名單中的聊天記錄。

若未能根據QQ號碼獲得相對應的密碼，則可以通過3種方法嘗試登錄QQ。一是犯罪嫌疑人在QQ登錄界面有可能會設置為“記住密碼”；二是犯罪嫌疑人設置此類密碼通常是幾個簡單的數字和字母的組合，可以通過取證軟件對相關密碼進行破解；三是可以根據社會工程學的原理，使用已掌握的相關的密碼、電話號碼、手機號碼等進行破解。

QQ聊天記錄存儲在后綴名為.db的數據文件中，該文件是加密文件，在無法獲取或者破解QQ密碼的情況下，聊天內容無法獲取。但聊天過程中傳輸的文件、截屏等信息是不加密的。打開“我的文檔Tencent Files”目錄下每個QQ號碼的文件夾對應的是該QQ號的相關數據，主要內容如圖5所示，每個文件夾中存儲的文件均可以直接提取和分析。

圖5 某一個QQ號文件夾下的內容

Audio文件夾用于存儲音頻文件，即通過手機聊天時發送或接收的錄音信息就存在該文件夾中；FileRecv文件夾用于存儲接收好友發送的文件；QQ文件夾存儲的是后綴名為.db的數據文件，里面有QQ好友列表、密碼設置、界面設置等，該文件夾中還有一個Photo文件夾，主要用來記錄視頻聊天時用拍照功能記錄的照片；Image文件夾則是取證時要重點關注的文件夾，這里存儲了聊天時發送的圖片[2]。其中MarktingMsgCachePic文件夾存儲的是聊天圖片的緩存，WBlog文件夾存儲的是微博圖片的緩存，Group文件夾中存儲的是群聊天圖片記錄。犯罪嫌疑人詐騙時點對點聊天的圖片在高版本中存儲在C2C文件夾中，低版本中則存在了Image文件夾根目錄下。有時受害者也會發送網購下單的截圖給犯罪嫌疑人，從中可以找到姓名、電話和地址（見圖6）。如果這些信息為真，便可以聯系到受害人。

3.2.2 詐騙劇本

犯罪嫌疑人在作案時都是使用固定的聊天套路，詐騙的劇本都是早已編寫好的，可以對犯罪嫌疑人電腦中的詐騙劇本進行取證，詐騙劇本主要包括聊天劇本、付款二維碼等聊天圖片以及犯罪嫌疑人發送的網站鏈接。聊天劇本多以TXT文本文檔形式存儲，這是犯罪嫌疑人常用的文件類型。依照多數人的使用習慣多存在桌面等較為顯眼、方便使用的地方，也可以根據找出的聊天記錄中的內容，以搜索關鍵字的方式查找。犯罪嫌疑人作案時頻繁更換收款賬戶的二維碼，所以其電腦中應該有一個專門存放二維碼的文件夾，并且使用仿造的營業執照和大量的系統卡單等圖片，企圖騙取受害人信任進行多次詐騙。所以聊天中使用的圖片也很可能會集中存儲于某一處，可以通過取證大師等取證工具對電腦中的圖片進行檢索，或是在系統中過濾“.jpg”、“.png”等圖片格式的文件，或以“二維碼”、“營業執照”、“卡單”等關鍵字對相關圖片文件名進行搜索。對于網站鏈接，可以用犯罪嫌疑人發送的具體鏈接為關鍵字進行搜索，來查找犯罪嫌疑人存儲于電腦中讓受害人下單的商品鏈接。

3.2.3 瀏覽器記錄

對于涉案的釣魚網站鏈接以及網上商城商品鏈接，可以通過Cookies、History和Temporary Internet Files等文件夾的相關文件進行提取與分析。3個文件夾的相關文件在不同的操作系統版本存儲位置不同，如Cookies文件在Windows XP系統中保存在“C：Documents and settingsUsernameCookies”文件夾中，在Windows 7以上操作系統中保存在“C：Users Username AppDataRoamingMicrosoftWindowsCookies”文件夾中，同時Cookies數據還將被寫入一個名字為Index.dat的文件中，該文件和各個的Cookies文件在一起可以提供很多非常重要的信息，如訪問的網址、訪問頻率、訪問時間信息等。訪問歷史記錄文件在Windows XP系統中保存在“C：Documents and settingsUsernameLocal SettingsHistory”文件夾中， 在Windows 7以上操作系統中保存在“C：UsersUsernameAppDataLocalMicrosoftWindowsHistory”文件夾中，歷史記錄不僅包含了上網記錄還包括打開過的文件信息。Internet臨時文件在Windows XP系統中保存在“C：Documents and settingsUsernameLocal SettingsTemporary Internet Files”文件夾中，在Windows 7以上操作系統中保存在“C：UsersUsernameAppDataLocalMicrosoftWindowsTemporary Internet Files”文件夾中，對于沒有刪除的臨時文件可直接通過資源管理器查看。

3.3 案件取證的難點

3.3.1 QQ號碼眾多

此類詐騙案件犯罪嫌疑人以QQ作為工具，因此其通過購買竊取等途徑獲取大量QQ號碼，單臺電腦使用過的QQ號碼多達數百個，每個QQ號碼中又有與數百個聯系人的聊天記錄，在取證過程中主要通過查找犯罪嫌疑人電腦與受害人電腦的聊天記錄，證明犯罪事實、核實詐騙金額。因此，取證時面對的工作通常是幾十萬條的聊天記錄，工作量巨大。

3.3.2 TXT文本文檔易被覆蓋

犯罪嫌疑人購買了眾多QQ號用于詐騙，這些QQ號以及密碼大部分存儲在了TXT文本文檔中。因為文本文檔的特殊結構，沒有文件頭，文件長度比較短。所以在刪除后容易被新的數據覆蓋，給取證帶來了一定困難，也難以形成完整的證據鏈。因此，抓捕此類案件犯罪嫌疑人時，進入現場后一定要第一時間控制犯罪嫌疑人的電腦，保證相關證據不被銷毀。

3.3.3 受害者不愿配合

在偵辦此類詐騙案件時，以犯罪嫌疑人電腦中找出的聊天記錄為依據，將網上虛擬身份與現實身份進行關聯，尋找受害人。而在實際工作中發現，一方面受害人被騙后戒備心高，公安機關找到受害人詢問調證時，不相信是公安機關，不愿意配合公安機關的調查取證工作，另一方面有的受害人或是由于單筆詐騙金額小或是因為對公安機關存在偏見等原因，不愿意配合調查。很多案件中雖然有犯罪嫌疑人的聊天記錄作為證據但缺少實際的受害人，無法查證屬實，網上與網下的證據銜接不充分，證據鏈不完整，總體詐騙金額也無法準確認定，無法使犯罪嫌疑人受到應有的懲罰[3]。

4 防范對策

針對此類犯罪的特點，結合目前的法律規定及相關技術，提出以下防范對策：

4.1 社會對策

加強宣傳與教育，增強公眾的反詐騙意識。第一，該類型詐騙的犯罪嫌疑人都有統一的聊天模板，只要把對方說的話粘貼到百度里進行搜索，就會發現很多相似案例的新聞報道等信息。第二，雖然刷單行為不道德并且也違反相關法律規定，但是真正的刷單很少有墊付單，可以認為只要是以墊付的方式進行刷單，都是詐騙。第三，以掃描二維碼的方式進行支付的刷單，這是詐騙中最明顯的一個特征。犯罪嫌疑人以刷單為由讓受害人購買商品而不在商城中進行支付，一個未支付的訂單又如何提高所謂的銷量和信譽呢？所以，只要受害人稍加思考即能發現犯罪嫌疑人邏輯問題，避免被詐騙的發生。第四，要明確辨別真假網站鏈接。有的犯罪嫌疑人使用釣魚網站制作相當簡單，有的開頁面上還出現了“welcome”、“hello world”等信息，只要稍加留意，看一下瀏覽器或者頁面最頂端是否有非正常的標題或代碼，就能辨別出來。

4.2 技術對策

互聯網企業及相關運營商應該加強監管。目前在已偵破的案件中，犯罪嫌疑人通常是使用QQ群登器在一臺電腦上同時登錄數十個QQ賬號。騰訊公司應從技術上禁止多個QQ號使用同一個IP登錄，禁止類似群登器軟件使用，從源頭上減少該類案件的發生。另一方面，支付寶和淘寶應該加強監管，從違法產業鏈著手，杜絕盜用他人信息注冊賬戶的發生。在注冊新賬戶時增加人臉識別，采集人像數據再與實名認證時提交的身份證照片進行比對，從而確保真正的實名注冊。

4.3 法律對策

兩高一部在2016年12月聯合出臺了《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》，但是定罪量刑的金額還是以3000元以上、3萬元以上、50萬元以上為3個起點，分別認定為刑法第266條規定的“數額較大”“數額巨大”“數額特別巨大”。不夠刑事立案標準的，根據《中華人民共和國治安管理處罰法》第49條的規定，最高也只是處10日以上15日以下拘留，可以并處1000元以下罰款。綜合來看，目前法律規定的量刑相比電信網絡詐騙造成的惡劣影響還是比較輕的，致使犯罪成本太低，犯罪分子肆無忌憚。所以，應該加大刑法處罰力度，對犯罪起到震懾的作用。

4.4 社區防范對策

公安機關在日常社區管理工作中，對來自電信詐騙高發地區的人群進行管控，增加走訪，了解其是否有正當工作、是否有詐騙前科、主要的經濟來源等信息，建立電信詐騙高危人員的信息庫，重點監控，進行類案管理。

總之，打擊“網絡兼職刷單”詐騙犯罪應“以防為主、打防結合”，加大法律懲治力度，提高公民防范意識，提高辦案人員案件偵查和取證能力，才能有效地打擊犯罪。

[1]霍然.電信詐騙案件的現狀及對策研究[J].中國刑警學院學報,2014(2)：25-27.

[2]湯艷君.電子物證檢驗與分析[M].北京：清華大學出版社,2014：117-130.

[3]趙峰,朱金昊.網絡詐騙案件中電子數據證據適用問題研究——以南京市公安局為例[J].江蘇警官學院學報,2014(6)：45-52.