電信網絡詐騙案件數字化調查途徑研究＊

劉洋洋 遼寧警察學院

引言

電信網絡詐騙犯罪是隨著通信行業、金融行業以及網絡信息技術飛速發展而出現的新型詐騙犯罪，是指犯罪嫌疑人利用電話、短信、網絡等通信工具以及現代化的網銀技術、新型支付技術等手段，編造虛假事實和身份信息，以空中信號為載體對不特定對象實施的非接觸式詐騙犯罪活動，已經成為嚴重危害社會治安秩序和人民財產安全的熱點和難點問題。相對于傳統侵財案件，電信網絡詐騙案件的特點是受害人群廣泛、涉案財產價值高、作案方式隱蔽，其呈現出的科技化、智能化及多元化的特點，給案件偵破打擊帶來諸多困難。

本文以筆者近幾年對電信網絡詐騙犯罪的研究經驗為基礎，以多起網上公開的典型案例資源為素材，圍繞公安機關在偵辦此類案件過程中存在的突出難點問題展開分析，總結基本思路及方法，以期為公安機關更加有效、精準打擊此類犯罪活動提供參考和幫助。

一、電信網絡詐騙犯罪實施技術手段的演變

當前，電信網絡詐騙犯罪呈現專業化、產業化以及跨國境趨勢，整個犯罪過程實施形成了成熟的、流水線式的上下游犯罪鏈條。

（一）上游群呼手段的演變

電信網絡詐騙犯罪屬于非接觸性的新型犯罪，其犯罪實施首先需要利用短信、電話等通訊手段對不特定對象發送詐騙信息，騙取被害人信任。從整個犯罪鏈條來看該階段屬于上游犯罪，采用群呼技術手段，從最初的利用偽基站群發詐騙短信，逐漸演變到利用虛擬撥號類設備撥打電話。

1.VOIP設備

VOIP技術最初用于運營商的內部線路測試，被犯罪團伙利用后成為其上游犯罪的群呼手段。但由于VOIP設備自身特點，比如其網絡結構復雜、需要專業人員進行專業化的網絡配置、選擇線路提供商等；同時其組網軟硬件較多，涉及到語音網關、軟交平臺、群呼系統等，搭建一個VOIP網關系統相對來說成本很高且涉及諸多中間節點的維護；最主要的原因是該種方式容易在運營商層面通過切號信令對改號功能進行封堵，且可以通過逐級溯源追蹤到是在哪個層面進行的改號，因此在近兩年全國打擊電信網絡詐騙犯罪的大形勢下，逐漸很少被使用。

2.GOIP設備

隨著網絡科技的迅速發展及電訊網絡工具的更新換代，GOIP設備成為近年來電信網絡詐騙分子的新寵。一臺GOIP 設備可配備多條線路，支持接入大量手機卡，實現多個手機號同時通話，并可以通過服務器遠程控制。對于犯罪嫌疑人來說，GOIP設備最突出的特點是可以實現人、機、卡分離，即有專門的卡池，專門的GOIP設備。嫌疑人可以隨時啟動所需卡池，隨機配對。該方式靈活性極高，追蹤難度極大，偵查人員往往只能追蹤到GOIP設備本身，卡池和卡就很難被繳獲，人就更難，導致犯罪團伙很難被打掉。正是由于可以隱藏身份、對其反制攔截和信號溯源難度都非常大，GOIP逐漸取代VOIP成為目前犯罪團伙使用最多的作案工具。

但對于嫌疑人來講，GOIP設備也有其局限，這些局限可以成為偵查人員打開偵查思路的參考點。首先，GOIP需使用220V交流電，通常需要在固定的位置，因此很多嫌疑人會選擇出租屋、賓館、廢棄的房屋等，即詐騙的中繼窩點相對比較固定；其次，GOIP必須使用電腦控制端，沒有手機APP。因此通過電腦連接的網絡信息，可以實現追蹤溯源；再次，GOIP設備在使用的時候，各個IMEI和不同的IMSI隨機配對，會產生大量數據交互，運營商層面容易及時監測到異常。另外，嫌疑人在搭建運營交換支撐系統時，大部分數據會在租用的服務器上有留存。

3.多卡寶

近年來，很多電信網絡詐騙案件的嫌疑人會利用一類被稱做“多卡寶”的設備建立服務點，為犯罪活動提供話務技術支持。多卡寶本質上也是GOIP設備，每個多卡寶只有4個卡槽，但卻可以進行最多64個設備的級聯。該類設備典型特點是運營商層面只登記首次插入的IMEI和IMSI的配對關系，因此當嫌疑人大量更換SIM卡時，運營商層面不易發現異常，這無疑為犯罪團伙逃避打擊提供了方便；此外，多卡寶類設備價格低廉，操作簡單，對電源的穩定性要求不高，且可以使用手機端APP控制，靈活機動，便于車載和移動，很難追蹤溯源。

（二）下游洗錢手段的演變

在電信網絡詐騙犯罪鏈條中，下游團伙充當洗錢的角色且手法日趨專業。嫌疑人會在詐騙既遂后迅速將非法資金通過網上銀行、移動支付等方式不停地進行拆分和流轉，并在不同地方取現、藏匿、分贓，資金流向異常復雜。

隨著移動支付的迅速普及和應用，第三方支付和第四方支付成為目前我國的主流支付方式。相較于取得支付牌照的第三方支付，第四方支付沒有支付許可牌照的要求，因此合法的第四方支付不允許進行資金清算業務。正是由于目前第四方支付“無門檻、無牌照、低成本”的狀態，導致其在行業競爭中逐漸偏離自身定位，很多第四方支付平臺逐漸走向灰色地帶，成為電信網絡詐騙、網絡賭博等犯罪團伙漂白非法資金的“綠色通道”，為其提供支付和資金結算業務。

2020年以來，隨著國家對電信網絡新型違法犯罪的打擊力度日益加大，依托非法第四方支付技術的跑分平臺應運而生。所謂跑分，即是披著網絡兼職的外衣，給犯罪團伙洗錢的手段。通過對眾多電信網絡詐騙案例的研究可見，這種跑分平臺大都是“多對多”的，即利用同一批跑分客，同時為多個上游團伙提供資金清算服務，導致在很多案件查處過程中，對涉案資金流的調查很難理清；此外，目前越來越多詐騙團伙利用區塊鏈技術引入虛擬貨幣跑分模式，該方式隱蔽性更強，打擊查證難度更高。同時由于各國司法體制不同，對于涉及跨國（境）的電信網絡詐騙犯罪活動，其追贓挽損工作更難。

二、電信網絡詐騙案件偵查難點分析

溯源取證難是電信網絡詐騙案件偵查實務中最突出的問題所在。電信網絡詐騙犯罪實施過程中，處于犯罪鏈條不同環節上的團伙成員各司其職，給公安機關的調查取證工作帶來極大挑戰。該類案件中，嫌疑人大多使用多卡寶、絡漫寶等GOIP類設備，采用人、機、卡分離的方式隱藏自己，實施跨地區甚至跨境詐騙。從網絡流角度看，嫌疑人已從最初的虛假鏈接、木馬鏈接等方式逐漸衍生為利用社交軟件、視頻會議軟件、屏幕共享、虛假APP等來實施詐騙，致使公安機關在案件偵查時很難查明嫌疑人的真實位置及身份；從人員流角度看，犯罪團伙逐漸趨于組織化、集團化、跨國境作案，鏈條上各個環節之間互不相識，即便打掉某一環節，也很難繼續挖出其他團伙成員，尤其是想打擊境外首腦或幕后金主更是難上加難；從資金流角度看，嫌疑人往往通過黑灰產人員高價購買他人身份來注冊銀行卡、手機卡以及利用第三方、第四方支付平臺、虛擬貨幣等方式建立洗錢通道。

此外，電信網絡詐騙涉及多個犯罪環節，所涉罪名復雜多樣，形成其一系列罪名體系。在司法實踐中，一方面要根據嫌疑人在犯罪實施過程中的具體行為以及所發揮的實際作用準確認定其罪名，同時，還要注意解決不同罪名之間的爭議問題。對此，電信網絡詐騙案件偵查過程中，偵查人員應從嫌疑人所處地位、具體分工、實施行為、利益分配等細節著手予以判斷和認定，并在調查過程中及時調取聊天記錄、資金流水、后臺數據等電子數據證據，強化證據意識。這些都是精準打擊電信網絡詐騙犯罪的需要。

三、電信網絡詐騙案件基本偵查途徑

電信網絡詐騙犯罪的實施離不開“參與人員”“信息傳遞工具”和“資金轉移通道”三個核心要素，因此對人員流、信息流和資金流的查證是該類犯罪偵查的三個基本途徑，“三流”偵查目的一致，但切入點不同，既相互獨立，又相互交叉。

（一）信息流調查

從信息傳遞工具的角度，信息流的查證工作通常從犯罪嫌疑人作案過程中使用的通訊工具、網絡身份、涉案網址等展開調查。本文所指的信息流包括通訊流和網絡流。

1.通訊流

通訊流查證主要從嫌疑人使用的涉案通訊工具入手，包括固話、手機、網絡電話、400電話等，對于不同類型的通訊號碼，除了基本的通話記錄及電子話單等信息外，還需分別向相應運營商、運營公司、代理銷售公司等對應采集相關數據并進一步分析研判。此外，對于固話和手機號碼，還包括號碼歸屬地、號碼屬性等信息的調查；對于網絡電話、400電話等，還包括代理公司、綁定號碼、維護信息、登錄IP等的調查；對于170、171虛擬運輸商的數據查詢，既可以通過號碼通話所在地所屬基礎運營商查詢，也可以通過類似“虛商在線”等網站查詢。

2.網絡流

網絡流數據是對嫌疑人進行身份確認及實施落地抓捕的關鍵環節。其調查涉及內容復雜，主要包括社交類信息、網站類信息、應用程序（APP）類信息、金融支付類信息等。

社交類信息中嫌疑人更多已不再使用微信、QQ、抖音等主流軟件，而是采用類似蝙蝠、Telegram等小眾加密聊天軟件，調查時應重點關注涉案賬號的注冊信息、登陸IP、加入群組、關聯好友等，并對其關聯對象進行拓展查詢和落地查證。

網站類信息可以首先對網址進行落地調查，發現其對應服務器的IP，同時還可以通過WHOIS查詢等方式對域名進行解析，了解該域名所屬注冊商、注冊時間等公共信息。如果域名沒有進行WHOIS信息保護，還可發現域名所有者信息、支付信息等。此外還可以對同一注冊人注冊的其他域名信息進行調查。

對應用程序（APP）類信息應及時提取受害人手機或電腦中的惡意程序或控制軟件，并對其進行專業的分析或反編譯等，發現數據流轉的服務器或電子郵箱等。

金融支付類信息可以從網銀登錄的IP或支付寶、財付通、百度錢包等第三方支付平臺的使用信息入手，尤其應將關注點放到嫌疑人消費類網購信息的痕跡上，進而去發現其生活賬號、交易記錄以及極有可能暴露其真實居住地的信息，從而順線追查發現破案線索。

（二）資金流調查

從資金轉移通道的角度，資金流調查是電信網絡詐騙犯罪偵查過程中具有核心地位的一條主線。

1.涉案銀行信息的查證

涉案資金流的偵查工作，可以從受害人處獲得的涉案銀行賬戶或第三方支付平臺賬號入手進行突破。對于涉案銀行賬戶可以首先至發卡行調查其基本信息情況，包括開戶信息、賬戶余額、手機號碼等，同時調查該賬戶有哪些電話對其進行過查詢、轉賬等，該賬戶是否在何時何IP登錄過網銀或者是否有使用手機銀行、電話銀行等。此外，還可以利用獲得的手機號碼在銀行數據庫中進行查找，發現該號碼注冊的其他賬戶信息或者參與過哪些賬戶的轉賬，這對發現嫌疑人的生活賬戶很有幫助。對于第三方支付賬號可以通過查詢交易明細調取電子訂單號，進而查詢收款賬戶具體信息，同時為后期的止付、凍結做準備。

2.資金轉移方式的研判

通過綜合分析涉案銀行賬戶信息掌握其資金流轉情況后，可根據出金入金特征進一步研判嫌疑人資金轉移、洗白方式及主要調查攻堅方向，明確其屬于洗錢環節上的買賣“兩卡”行為、“跑分”行為或是“水房”還是“地下錢莊”等。例如，“水房”一般是專門負責資金轉移的團伙，他們出金速度快，轉款時間常在夜間，且賬戶通常產生構造性交易；而“地下錢莊”一般是專門負責資金洗白的團伙，其賬戶為了偽造正常交易的假象，通常出金時間比較分散，且金額和頻率也不固定。

3.調查的基本思路

對于采用一、二、三級等多級分銷方式進行卡卡轉賬的嫌疑人，基本調查思路是順線追蹤。從調查一級賬戶的交易明細開始，根據受害人交易的時間及金額，找出其轉入資金，然后順線查清資金最終流向，直至取現、消費或轉入第三方支付機構。

犯罪鏈條上的專業取款團伙被稱為“車手”，一般為未成年人，負責最終的銀行ATM機提現和反存。調查時首先根據交易明細中的交易網點代碼查詢具體取款地點，并查詢具體位置。確定位置后可調取嫌疑人取款錄像、ATM設備交易明細等取款信息，并根據取款人面部特征、視頻追蹤等發現嫌疑人身份、手機號碼等線索。

（三）人員流調查

人員流信息的產生貫穿于電信網絡詐騙犯罪的整個過程，與信息流、資金流都存在不同程度的交叉。人員流查證的切入點是具體案件中涉及參與人員的人身信息、組織架構以及與鏈條上其他人員的相互關系等。

1.人身信息的查證

電信網絡詐騙犯罪參與人員的人身信息包括個人身份信息、出行軌跡信息、資金往來信息、生活消費信息、通訊信息、網絡信息，以及個體生物信息。

2.組織架構及相互關系的調查

在對犯罪團伙內部人員組織架構進行偵查時，方法較為靈活。如果已經抓獲其中一員，則以其為起點通過訊問橫向拓展，摸清犯罪鏈條上的其他人員是最基本的偵查思路。此外，可通過人員流與信息流、資金流的交叉來進行偵查。

（1）通過信息流截取的嫌疑人關鍵信息如登錄日志、操作IP、寄遞物流、話單信息等時空軌跡進行綜合研判。通過上述多個維度的數據信息，對犯罪嫌疑人的線上軌跡與線下軌跡進行數據碰撞，來印證多個虛擬身份是否關聯到同一物理身份，線上活動軌跡與掌握的IP地址、登錄日志等是否吻合，從而實現定人與定位。

（2）結合資金流線索中嫌疑人的開戶信息、資金變動情況（如資金流向、金額、頻率等）進行推斷。電信網絡詐騙犯罪人員流的核心構成邏輯是謀取非法收益，因此犯罪團伙內部人員與上下游黑灰產人員之間必然存在資金往來與關聯，非法資金的流向也必然能在一定程度上反映出犯罪團伙的組織架構及與黑灰產的相互關系。此處對資金線索的追蹤主要目的是在涉案嫌疑人的資金關系人中發現其他犯罪嫌疑人，并研判其在犯罪產業鏈中的角色和地位。

3.其他人員的查證

首先是關注黑灰產業群體的從業人員，主要包括卡商、號商、設備商等提供作案工具類的黑灰產人員和料商、線路商、引流團伙、洗錢團伙等提供非法服務類的黑灰產人員。

此外，還要關注境外重點地區電信詐騙犯罪回流人員。在回流人員中，存在許多可經營、可深挖的有效線索，甚至可能包含犯罪團伙關鍵人員。因此及時加強對回流人員相關可疑線索的分析研判和落地查實至關重要。

（四）案例分析

在L省J市偵破的一起虛假網絡貸款詐騙案件中，被害人均為接到自稱是京東金融貸款客服的香港號碼來電，被詢問其是否有貸款需求，進而被引流至即時聊天工具并下載貸款類涉詐APP，導致最終被騙。

本案信息流偵查階段首先通過運營商數據對涉詐香港號碼的聚集特征進行分析，對符合GOIP等群呼設備的相關特征進行篩選，并進一步對同機頻繁換號、日呼叫頻繁號碼以及某一時段呼叫頻繁號碼等進行碰撞?；ヂ摼W數據一方面通過購買端發現，獲取淘寶、京東、拼多多等商家店鋪出售境外號碼信息以及相關寄遞物流信息；另一方面對嫌疑人使用的蝙蝠等小眾即時聊天工具的登錄及聊天等信息進行重點關注。

本案中詐騙團伙主要通過第三方收付款賬號進行非法資金轉移，偵查人員在對涉案資金流進行偵查時發現，有70余個可疑第三方收付款賬戶存在分散式轉款等異常行為，進一步調查發現其綁定的虛擬身份及銀行卡信息與已掌握的虛擬身份能夠對應，且部分第三方支付賬戶中有多筆生活消費。

以上偵查過程中，人員流的分析研判始終貫穿其中。偵查人員以手機數據、話單數據、網絡數據等為基礎，通過數據挖掘獲取了嫌疑人的資金流轉、交往關系等衍生數據，進而分析研判出詐騙犯罪團伙人員的組織架構。

綜合來看，信息流、資金流和人員流的偵查都有其各自的指向和特點，在實踐中往往需要“三流”同步開展偵查，但研判思路各有側重，最終實現全鏈條打擊。

四、結語

電信網絡詐騙大案要案頻發，已成為我國當前第一大類案，嚴重侵害人民群眾財產安全，影響社會和諧穩定。反詐法及相關法律政策的出臺加強了重點行業的治理，對互聯網平臺、運營商與金融機構等都有了更為明確的要求，對進一步完善我國治安防控體系，提升公安機關對電信網絡詐騙犯罪活動的綜合打擊、防范監控能力，具有重要的社會意義。