網絡詐騙中目標網站的調查取證方法研究

◆張雪 王云峰

（甘肅政法大學（蘭州） 甘肅 730070）

從公安部的數據獲悉，目前，網絡詐騙已經成為國內發展最快的刑事犯罪，網絡詐騙案件占比快速上升，已經達到了85%以上。網絡詐騙的手法也是千變萬化，層出不窮，使人民群眾遭受了巨大的經濟損失，并且嚴重影響了整個社會治安的和諧穩定和繁榮發展。

1 網絡詐騙的含義及特點

1.1 網絡詐騙的含義

網絡詐騙犯罪嚴重危害了公民的合法財產利益、破壞了誠信體系建設，已經成為當今社會的一大“毒瘤”。網絡詐騙通常是指行為人帶有非法占有目標對象財物的目的，使用現代通信技術和手段在互聯網上實施詐騙的一種違法犯罪行為[1]。它是一種非接觸性、智能、網絡化程度較高的一種新型犯罪方式。它的社會危害性遠遠大于傳統的詐騙。

1.2 網絡詐騙犯罪的特點

我國互聯網的普及率一直在持續增長，21 世紀已經全面進入了全民互聯網時代。根據，中國互聯網絡信息中心（CNNIC）第48 次《中國互聯網絡發展狀況統計報告》顯示，截至2021 年6 月份，我國網民的總體規模超出10 億。與2020 年12 月份相比較增長了2175 萬，中國城鄉地區互聯網的普及率分別達到78.3%和59.2%。

隨著我國互聯網普及率的提升，網絡詐騙犯罪隨處可見。這些網絡犯罪案件也表現出一些共同的特點，簡單來說主要包括以下幾點：

（1）隱蔽性

犯罪分子利用互聯網的虛擬性這一特點，以不真實的身份在互聯網平臺實施違法犯罪活動。在實施犯罪行為的過程中不直接與受害人直接面對面接觸，作案時間以及地點難以準確認定，作案時間和犯罪結果相互分離。因為人們獲取的信息具有不對稱性、不透明性等一些特點，所以犯罪分子充分利用這些特點使得網絡詐騙的過程更加具有隱蔽性[2]，在實際案例中，給公安部門的調查取證工作增加了很大的技術上的難度。

（2）技術性

隨著互聯網技術的持續進步和升級，實施網詐的犯罪分子也不斷地在提高和改進自己的詐騙技術手段[3]。一般來講，網絡詐騙犯罪人員的知識儲備中有計算機方面以及網絡技術方面的一些專業基礎知識。不管是在網絡刷單詐騙中盜取目標對象登錄的賬戶和密碼，還是以受害人點擊釣魚網站鏈接詐騙中建設與真實的網站，極度相似的虛假網站等，都需要儲備一定程度的網絡計算機方面的技術。

（3）跨國性

犯罪分子的詐騙手法跟隨著最新的技術、最新的應用以及新型的產業形態的出現而出現并且不斷地迭代升級。由于目前我國對網絡詐騙的打擊力度的進一步加大，網絡詐騙的窩點、據點迅速地向境外發展轉移。大部分實施網絡詐騙的行為人，往往都是采用通互聯網這一網絡媒介，跨國進行作案。這種網絡犯罪方式，它可以跨越國界，超大幅度地發送各種詐騙信息，不同于傳統意義上的詐騙，傳送到目標地點的這些詐騙信息不會被空間與時間所限制。不管與存在互聯網的地點有相隔萬里的距離，只要此時有人正在使用互聯網，那么受害人就很可能是正在使用互聯網的每一個人。因此，遭受網絡詐騙的受害者范圍相當的廣泛且復雜[4]。

2 網絡詐騙的主要類型

我國每天都有龐大數量的詐騙案件發生，在這些形形色色的網絡詐騙犯罪案件中可以看出，犯罪分子使用的網絡詐騙的手段也是五花八門，但萬變不離其宗，犯罪分子的目的都是一致的，都是以非法占有受害人財物為目的。其中，最常見的網絡詐騙類型有以下幾種。

2.1 “殺豬盤”類詐騙

“殺豬盤”這種類型的詐騙是目前我國最常見的電信網絡詐騙類型之一[5]，所謂的“豬”是指受害人，“豬圈”，指的是婚戀交友的一種軟件工具?！柏i飼料”是指聊天的腳本。詐騙的犯罪分子首先在一些比較火熱的婚戀網站、交友APP 上篩選出容易上當受騙的對象，然后再通過和目標進行聊天、“戀愛”，最后，通過確認“戀愛”關系，再引誘受害人參與網絡賭博或者以其他投資的方式來詐騙受害人的財物。

2.2 刷單類詐騙

在校學生、文化水平低且薪資不高的社會青年以及待業在家的人往往會是網絡刷單詐騙的目標對象。犯罪分子通常借助目標網站、微信聊天群等平臺發布虛假招聘兼職信息的方式，以低投入高回報為口號，等到交易成功后，再提高投入金額，誘惑受害人，最后，以網絡或者網站系統發生故障等理由要求受害人連續多次打款，以這種詐騙手段來騙取財產。

2.3 網賭類詐騙

犯罪分子通過開設虛擬的網絡賭博平臺、廣告、社交軟件等，偽裝成“富豪”、“千金”等有錢多金的人物形象，以投資理財為誘餌，實際為網絡詐騙，有針對性、有目的性地誘導受害人登錄虛擬網站平臺或者安裝虛假軟件，從而迅速轉移受害人的財產。

3 網絡犯罪調查取證的流程

面對網絡犯罪案件，要對其進行調查取證時，一定要非常清楚調查取證的手續流程。確保做到合法取證。一方面，由計算機生成的證據都是以二進制碼反映出來并且以數字信號的方式存在的。數字信號并非是連續的。所以，如果對計算機產生的數據進行篡改，比如：刪除、添加、修改、合成等形式形成的數據，利用技術手段去分辯識別它們目前還是存在相當大的難度。另外一方面，網絡犯罪絕大多數都是犯罪分子借助互聯網這一途徑，犯罪結果的發生并不需要犯罪分子和受害人直接接觸。由于互聯網的全球性發展，還有不同的地域在法律法規、規章制度、公民的道德觀念以及意識形態上良莠不齊，使得大部分案件不能夠繼續偵查的，無法偵破案件，查明真相。因此，明確網絡犯罪調查取證的流程對公安機關偵破案件具有非常重要的意義和作用。

圖2 調查取證流程圖

第一，要劃分作案群體。根據網絡詐騙犯罪的類型，以及當前已經掌握的部分案件詳情，分析可能的犯罪人員，這一步是偵查人員在勘查現場前一定要提前完成的一步。

第二，查找第一現場。查找第一現場是為了明確實際發生網絡犯罪的地址。在發生網絡犯罪時，查找犯罪分子的IP 地址時首先要根據ISP 系統日志，同時按照DHCP 記錄，查找主叫號碼（發起呼叫的號碼）。如果顯示為境內的號碼，要確定實際的犯罪地址可以依據查找到的主叫號碼。如果是在金融領域發現了專用網絡的犯罪，首先，要及時查看報案人提供的明細賬目信息，其次，依據此再去查詢銀行的主機日志，精準查找具體的案發的營業門所，然后根據路由器、MODEM、交換機等設備的工作狀態正常與否，正確判定有無外部入侵的存在。最后，以主機的日志，確定具體的作案終端設備和詳細的作案時間。

第三，公安機關要在第一時間趕到現場，立即采取保護現場的措施，然后再使用技術手段進行現場勘查和證據提取。在勘查現場前，一定要詳細記錄電子證據的一些重要的信息。比如：電子證據的狀態、網絡設置參數、位置等信息?？梢圆扇∨恼珍浵竦姆绞接涗浵路缸铿F場或者計算機設備的在拆解前的狀態，要盡快及時的固定好這些相關的網絡證據，保證收集的證據是合法的、真實的，確保收集到的證據內容完整真實并且與案件的事實有著緊密的聯系[5]。最簡易的方式就是可以主動要求現場的證人、犯罪嫌疑人配合偵查人員的取證工作，可以通過他們去更深入的了解計算機系統、存儲數據的硬盤位置、可疑文件等等。不能忽略的一點，因為在網絡詐騙犯罪中，作案人就是現場的內部人員的比例往往是很高的，所以，通過調查現場的犯罪嫌疑人就能夠知道作案人。

進行查找和提取電子證據的步驟時。在第一階段，要重點查找可疑軟件的日志，查找出最近時間點使用過該計算機系統的情況。并且仔細勘查計算機的每一個文件的目錄、子目錄。對發現的可疑文件的內容以及屬性更深入的了解，來查找被隱藏的文件。在第二階段，借助專業的工具設備及軟件，以搜索關鍵詞的方式從儲存介質上查找有關犯罪的信息。實施這一步操作時，要重點查找被加密的、被隱藏的以及被刪除的電子數據，找到后將這些信息歸納整理。最后，再將與案件有關聯的信息提取出來。

現場勘查時，也要進行外部的搜查與取證。所謂外部搜查取證是指對計算機系統以外進行檢查。比如：顯示器、計算機連接的打印機、周圍環境等等。不能遺忘檢查外部設備，因為這些設備也有可能會成為網絡犯罪的證據。例如：計算機系統外部的一些設備包括緩沖器和媒介、網絡中的多路調制器、中繼器以及一些接口設備中的存儲器等，偵查的規范標準按照一般的刑事案件處理，此外，要著重檢查現場發現的各種存儲介質、紙質材料、顯示器上的內容以及計算機系統外接設備的狀態，并做好相應的記錄。標記注明收集的與案件情況所有相關的文件材料、磁盤、計算機系統的硬件，留意尋找被加密的文件以及含有用戶標識的文件。犯罪現場的計算機是開機狀態時，可以使用拍照或者錄像的方式將計算機顯示的內容記錄下來，復制一切與案件有關的原始數據并且記錄相應的參數。

第四，在完成上一步的操作后，進行最重要的一步，也是網絡犯罪調查取證最關鍵的一步——數據分析。在進行數據分析時，重點是要分析判斷犯罪分子使用的計算機的操作系統是否存在兩個以上的用戶，以及操作系統或存在被隱藏的分區，是否存在可疑外設，是否存在遠程操控、木馬病毒以及當前環境下的計算機系統的網絡環境。進行開關機的操作需要特別謹慎，對于正在運行的一些進程數據、不可恢復的強刪除程序及軟件要最大限度地避免丟失或損壞問題的發生。分析收集到的某個磁盤特殊區域的全部相關數據時，首先要對收集到的數據，利用閑置磁盤的存儲空間進行深度恢復，從而收集一些文件被篡改的痕跡。要尋找被篡改過的數據痕跡，需要將收集到的一些程序數據的備份以及當前狀態下正在運行的程序數據進行比對分析。再借助此計算機的用戶或電子簽名、瀏覽記錄、交易記錄、Email 記錄、收發郵件服務器的日志、上網IP 地址等計算機特有的信息來全方位地進行取證分析。

第五，定位跟蹤。定位跟蹤是一種動態的取證分析手段。針對特殊的一些網絡犯罪案件，比如：遭受黑客攻擊的網絡，在進行證據的收集時，重點要收集的證據包括：系統登錄文件、應用登錄文件、AAA 登錄文件（RADIUS 登錄）、網絡單元登錄（Network Element logs）、防火墻登錄、磁盤驅動器、文件備份、通訊記錄等等。偵查取證人員在取證時，如果犯罪分子干擾取證工作，比如：持續入侵操作系統，企圖刪掉有關數據。此時，對這種網絡攻擊行為采取入侵檢測系統進行監測的方法是十分必要的或者還可以利用一些設備設置網站陷阱去定位追蹤犯罪分子。

第六，總結輸出結果。在具體的分析取證結果基礎上，得出分析結論。需要注意的是，現場勘查時，勘查人員必須嚴格按照計算機設備規范和流程操作，并且要知道每一步操作的后果同時把實施的每一個步驟及遇到的情況記錄下來，以便后續可以合理解釋操作的結果，從而幫助公安機關盡早偵破案件。在實踐中，是不能使用現場的任何計算機設備以及工具軟件。調查取證時，不能使用盜版軟件，使用盜版軟件很可能讓收集的信息損壞。如果現場的勘查人員不能夠使用當前現有的技術進行訪問犯罪嫌疑人的計算機，可以商聘行業領域的專家進行指導，最大程度保護好原始數據不因技術操作的失誤而損壞或丟失。

4 建立多部門聯動機制

近年來，網絡詐騙案件的頻繁地發生，每一個案件都關系著群眾的基本權利，每一個案件都影響著國家安全[6]。為了消除、有效預防和減少網絡犯罪的發生，必須要建立一套完善的多部門聯動機制，這對于盡早解決案件、保障公民的合法權益起著關鍵性的作用。建立多部門聯動機制，需要從以下幾個方面展開。（1）細化職責分工，建立打擊網絡犯罪協調工作機制，就調查取證、資產凍結、操作等不同工作內容明確職責分工，提升破案工作的統籌協調。（2）建立各部門信息共享制度，全面排查網絡安全風險隱患，通過聯席會議制度，預防和打擊網絡詐騙行為。（3）建立系統完備、邏輯嚴密的聯動處置平臺，對有關網絡詐騙的違法犯罪活動要及時展開調查取證工作，凡是涉嫌詐騙的網站和注冊的詐騙信息用戶賬號以及在詐騙網站發布的虛假信息要對其及時進行清理并且關停相關的網站。

5 結束語

網絡詐騙犯罪的頻繁發生，不僅侵害了公民的合法權益，更是嚴重影響了網絡環境的安全、社會秩序的穩定。杜絕網絡詐騙問題，是每個公民的責任，更是社會的責任。因此，有關部門必須提高預防詐騙的工作能力、完善工作機制，加強多部門聯動。大力宣傳反詐騙的知識，給人民群眾普及一些防詐騙的方法和知識。另外，要重視相關的立法建設。爭取在不久的未來，構建一個安全潔凈的網絡環境。