电信诈骗案件中电子证据的取证以及分析方法解读
电信诈骗案件中电子证据的取证以及分析方法解读
在国内,目前关于电信诈骗犯罪的研究文献主要集中在对电信诈骗犯罪的打击、防范、治理对策的探讨中,而从办案实务角度对电信诈骗案件电子证据的研究和应用,如侦查人员如何快速确定电子证据源,如何选用适用的取证技术,在分析阶段如何将电子证据结合犯罪嫌疑人供述、赃款等其他证据查证犯罪事实等则处于探索状态。
探讨电信诈骗案的电子证据源、涉及到的电子证据提取技术,并结合具体的案例探讨了电子证据的分析。
电子证据源
诈骗案中人员组成涉及到诈骗团伙(也称窝点)、技术支撑团伙(也称操盘手)、非法线路批发商(也称落地商)以及受害人。
1、涉及到诈骗团伙的潜在电子证据源有:电脑主机或笔记本电脑、语音网关、移动存储介质(移动硬盘、U盘、光盘、SD卡等)、手机、银行卡等。其中电脑主机、移动存储介质等提供的电子证据有管理诈骗窝点的语音网关计费平台产生的操作信息,如实时监控、管理、资费设置等若干信息;涉嫌犯罪的系统操作的日志信息;诈骗窝点IP信息;存储受害人姓名、身份证号、单位和联系电话等的受害人个人信息;成员之间相互联系的QQ聊天记录信息;存储的资金往来账目、花名册、通讯方式等信息。电子证据源手机中可能存储着涉案手机的用户身份信息、图片照片、视频录音、通话记录、日志记录、应用数据(QQ、微信、微博)、通讯薄、邮件、GPS等对案件有价值的信息,而银行卡提供了资金往来交易的犯罪记录信息。
2、技术支撑团伙也称操盘手,他们租用境外服务器,安装购买的网络电话运行支撑系统,以收费的形式为诈骗团伙提供改号、群呼、短信群发等服务。同时租用语音线路批发商的信道,与线路批发商的线路落地对接。
涉及到技术支撑团伙的潜在电子证据源有:服务器、网络电话运行支撑系统。提供的电子证据有服务器的运行日志信息、服务器IP信息、分配给诈骗团伙的电话号段、诈骗团伙的账号号码、更换用户主叫号码等信息。
3、非法线路批发商。互联网传递数字信息转化成语音信息,进入电信运营商的交换设备,实现将互联网数据转入电信网落地接口的功能。涉及到线路批发商的潜在电子证据源有服务器以及用于计费的完善数据库系统,能提供的电子证据有线路租用者详细信息、拨号源的IP、计费流量、上下游软交换平台服务器IP地址等。
4、受害人
受害人指接收诈骗电话或短信后,财产受到损失的公民,比较重要的潜在电子证据源是手机,提供的电子证据包括受骗时间、回拨电话号码、受骗短信内容,以及转账汇款后回执短信息等。
电子证据提取技术
(1)数据恢复技术
有时技术支撑团伙有意识地删除和格式化网络电话运行支撑系统存储的相关犯罪证据,所以需要用到数据恢复技术。因为删除文件操作只是把构成这些文件的数据簇放回到系统,格式化只是对访问文件系统的各种表进行了重新构造,数据仍存放在磁盘上,利用数据恢复技术可以把删除和格式化的犯罪数据恢复出来。 WinHexData Extractor、PC-3000、 Easy Recovery、 Final Data以及国内效率源科技推出的 Data Compass软件都是数据恢复的利器 。
(2)磁盘证据快速提取技术
将执法过程中大量的目标存储证物(硬盘、U盘、CF卡、Flash存储),通过相关的磁盘证据快速提取技术平台完成目标电子物证数据的提取分析,得到罪犯不法记录的证据。常用的工具有Encase、FTK、SafeBack、厦门美亚的Forensics Master取证大师等,以及一些免费的LiveView、Helix等工具。
(3)手机取证技术
办案人员对存在于手机内存、SIM卡、闪存卡和移动运行商网络以及短信服务提供商系统中的电子数据进行提取、保护和分析,整理出有价值的案件线索或能证明犯罪事实的证据。常用的工具有Cellebrite手机取证工具箱、效率源一站式智能手机专业取证系统、DC-4500等手机取证
系统。
(4)数据库取证技术
数据库的取证对象一般主要包括动态数据、数据文件和事务日志文件,其中动态数据包括操作系统动态信息和数据库动态信息,如数据库连接状态、登录用户、IP地址及执行的提交请求;数据库的数据文件和日志文件的存放位置可以通过数据库系统控制文件或相关数据库系统命令来查找,将这些找到的文件加载到取证平台上的数据库取证检验分析工具或数据库第三方分析工具,如SQLServer的Log Explorer上进行分析。
电子证据分析
电子证据分析指的是将公安机关在调查过程中收集来的零碎电子证据信息进行拼接,用来推断是谁及在何时何地、采用何种方法做了何种事情,将相互关联的犯罪行为和犯罪结果汇总分析。
在本文中,笔者结合湖北“7.02”特大电信诈骗专案,讨论电信诈骗案的部分电子证据相关性分析。
2013年3月26日,湖北某县公安局接到报案电话,称该辖区某受害人邓某接到一个陌生电话,对方冒充湖北省公安厅民警称其邮寄包裹藏毒,其帐户被犯罪分子利用涉嫌洗钱,为排除嫌疑需要将其帐户内的资金转移到安全帐户内,骗走邓某现金21万元。该局刑侦大队对辖区内电信诈骗案件进行梳理,发现在2014年1月至4月份间辖区内共发案38起,于是成立侦查专门队伍进行该类案件的侦破。
2013年11月5日,在公安部的协调下,由湖北省公安厅统一指挥,开展集中打击 “7.02” 系列电信诈骗犯罪行动,共摧毁称为“乔中团伙”、“重庆团伙”、“大财团伙”等电信诈骗团伙23个,打掉杨某、汪某等控制的网(“7.02”专案)络电话诈骗平台(改号平台)1个,收缴服务器1个,逮捕犯罪嫌疑人59名,缴获作案车辆3台及大批作案工具、赃款赃物 。
该案中涉及的电子证据有如下特点:
第一是存储介质多样化,有服务器、语音网关、笔记本电脑、手机及手机卡、路由器、U盘。
第二是电子证据数量大、种类多,包括服务器1台、笔记本电脑12台、手机103部、语音网关13个、手机卡96张、U盘32个(记有姓名、身份证号、单位和联系电话的公民个人信息数万条、台词50余份)等。
第三是需要通过电子证据分析的内容多样和关系复杂,诸如诈骗团伙内部的层级关系、诈骗的实施过程、利润的分成和数额确定、受害人及其受害金额的确定等等。
在该案的证据分析中,一是采用资金流程顺查法,根据银行卡交易流水、开户信息、转账信息等确定嫌疑人和受害人,通过提取的电子证据,分析涉案金额、利润分成、受害人情况等。二是采用信息流程逆查法,根据受害人来电信息,找到电信运营商交换局,根据7号信令,找寻线路批发商,再通过提取的电子证据,构建诈骗流程,分析诈骗团伙之间的层级关系等。
限于篇幅,本文仅归类性地列举了部分电子证据分析过程。
1、分析诈骗网络电话平台IP、对应线路批发商IP、诈骗团伙IP的相关电子证据,形成IP地址的证据链,分析其诈骗过程。
2、将各诈骗团伙银行卡的资金往来明细记录与操盘手控制的网络诈骗平台存储的历史账单信息对比分析,分析诈骗窝点与操盘手的资金往来情况及涉案金额(可与口供证词印证)。
3、通过各诈骗团伙银行卡的资金往来明细记录与诈骗团伙电脑主机、手机等存储的电子证据、网络诈骗平台系统存储的电子证据的比对分析,确定受害人情况,诸如将各个诈骗团伙与改号平台、取款组、购买身份信息资料组等的工作手机的电子证据,如话单、短信、手机存储电子证据,关联QQ、银行帐号等,进行比对分析等。
目前电信诈骗案件依然持续高发,诈骗手段不断翻新,受害人分布广、数量多、损失数额大等,使得此类案件成为公安机关重点打击的对象。从此类案件的办案实务中看,涉及的电子证据种类多、数量大、关系复杂,需要侦查人员合理地对大量的电子证据加以运用,并结合犯罪嫌疑人的口供证词、赃款、视频资料等其它证据查证犯罪事实。本文对电信诈骗案的电子证据源、电子证据提取技术、电子证据分析进行了探讨,希望能对该类案件的侦查取证和证据分析工作有所帮助。