“网警”谈电信诈骗:电子证据最关键
抓捕犯罪嫌疑人仅仅只是查办电信诈骗案的第一步,对电子证据的采集,对犯罪事实的认定才是关键,这也是打击电信诈骗最大的难点。
文 熊道泉 陈震
在数字时代,当各式各样的信息通过因特网传送时,国界、地理距离的暂时消失就是空间压缩的具体表现。在网络上查阅资料、相互交谈、进行交易时,对象在万里之遥与在隔壁房间并无区别。这种国界、空间距离的暂时消失,为犯罪分子跨地域、跨国界作案提供了可能。
犯罪分子只要拥有一台联网的终端机,就可以通过因特网到网络上任何一个站点实施犯罪活动。而且,可以甲地作案,通过中间结点,使其他联网地受害。这种跨国界、跨地区的作案隐蔽性强、不易侦破,危害更大。
犯罪分子只要通过一台互联网终端即可以联系受害人,更加可以与犯罪团伙进行勾连。只需要有共同的“追求”,就可以勾连、交流、学习犯罪方法,传统地域式的同乡、同学、同宗族的勾连方式得以打破。这也是当下电信诈骗犯罪呈扩散之势的重要原因。
电信诈骗本身的犯罪特点决定了此类犯罪的查办难点:犯罪对象难以确定、难以追查、难以抓获,犯罪证据难以采集,犯罪事实难以认定。
在困难面前,公安干警并无畏惧。据统计,仅从今年1月至7月,全国公安机关就立案电信诈骗案件35.5万起,同比上升36.4%。作为一名网络安全民警,身在其中,甘苦自知。
最近我们成功查办的一起电信诈骗案,可以清晰地展现出此类犯罪的特点,也可以看出查办电信诈骗之难。
2016年3月底,吴某、戴某等多名受害人相继报警,称自己的苏宁“易付宝任性付”账户被他人转走大笔资金,损失从数万元到数十万元不等。接报后,南京市玄武区公安分局立即与南京市公安局网安支队联系,组成专案组对案情进行分析梳理,通过技术手段锁定了犯罪嫌疑人的实际居住地。4月,我们先后在福建、南通、武汉、自贡等地抓获涉案犯罪嫌疑人9名,缴获大量手机、电脑、账单、现金等。
抓获犯罪嫌疑人仅仅只是开始,要彻底查清犯罪事实,必须要对查扣的18台电脑、34部手机进行电子取证。
电信诈骗团伙分工细致,通过网络相互勾联,分散在不同城市,并有着极强的反侦查经验。同时,部分犯罪嫌疑人的落网导致犯罪团伙其他成员有所警觉,犯罪证据灭失。在初期对查扣的电脑、手机进行电子证据的勘查取证过程中,并未发现足够的电子证据能够支撑已查获的案件,对其他犯罪嫌疑人的抓捕工作也陷入僵局。在查办电信诈骗案件时,这是我们经常面对的情况。
突破口在哪里呢?
从团伙作案这一特点分析,团伙成员之间必定要通过网络工具或者手机等通讯工具进行联络,然而在犯罪嫌疑人使用的电脑中并未发现有即时聊天工具。这其中必有蹊跷。
接着,我们对查扣电脑中所有海量文件的特征进一步分析,筛选出数千条文件类型与文件签名不符的文件,通过人工分析,再进行文件类型更改测试。在测试了数千次后,最终发现了修改过文件名、文件类型的即时通信工具文件夹,从中提取了大量犯罪嫌疑人之间的联络信息与犯罪证据。
接着,在对犯罪嫌疑人使用的手机进行勘查时,也未发现团伙成员之间有任何短消息与通话记录。犯罪嫌疑人是故意删除了这些信息,而且有部分手机为非智能机,信息难以提取,给勘验工作又带来了难题。
我们针对不同的手机制定了不同的取证方案。由于对部分智能手机的恢复必须先进行管理权限的获取后才能进行,为防止在获取权限过程中手机被恢复出厂设置造成证据灭失,我们购买了同一型号同一批次以及同一系统版本的多部手机进行测试。在进行了上千次反复实践后,终于完成了对查扣的手机以及SIM卡的数据恢复,提取出大量犯罪嫌疑人之间的手机短信以及通话记录。
从涉案电脑、手机中提取恢复了大量涉及诈骗行为的聊天记录、图片、文档,对认定犯罪事实发挥了关键作用。
通过审讯,犯罪嫌疑人只对我们已掌握的犯罪行为供认不讳,对其他情况却闪烁其词。经验丰富的侦查员判断:犯罪嫌疑人还有其他犯罪行为未被掌握。突破口仍然是继续对电子证据深入挖掘。
我们发现犯罪嫌疑人在实施犯罪时,需要通过受害人的账号、密码登录苏宁易付宝平台。我们大胆猜想,犯罪嫌疑人在使用作案用的电脑、手机登录该平台时,会在苏宁公司的服务器上留有痕迹。我们迅速与苏宁消费金融公司数据部门取得联系。通过一系列实验,发现犯罪嫌疑人在使用作案用的电脑、手机登录苏宁易付宝平台时,会在该公司服务器上生成一个与本机串号(电脑硬盘、网卡或手机在出厂时被标注的识别号,具有唯一性)相关的具有唯一性的密钥,我们立即提取了所有查扣电脑、手机的串号与苏宁公司交易数据进行碰撞,自此,成功串并出多起案件。涉及苏宁易付宝、任性付账户80余个,涉案金额高达100余万元。网络安全保卫支队最终成功锁定2个涉案团伙,抓获涉案嫌疑人10余人,以涉嫌贷款诈骗罪立案侦查。
在目前公安实战中,并非每一起案件都能成功挖掘到可用的电子证据,这是当下查办电信诈骗的最大难点,直接导致我们预判的犯罪数额与实际认定的犯罪数额严重不匹配,会造成对电信诈骗犯罪嫌疑人量刑畸轻,影响刑事打击的威慑效果。
究其原因,我们认为有以下几点:一是现今网络技术发展飞速,在司法机关重拳打击电信诈骗的高压态势下,犯罪嫌疑人自身不断提高反侦查能力,利用电子证据易破坏、易灭失、易伪造与篡改等特点,对电子证据进行破坏;二是犯罪嫌疑人为逃避打击、规避风险,不断“升级”诈骗方式,在犯罪形式、手法上呈现新的动向;三是公安机关电子证据勘查员在日常工作中疲于应付各类送检案件,难以集中精力专门对某一类型电子证据进行深挖细掘。
我们希望司法部门能够进一步明确电子证据在司法实践中的重要地位,大力推动电子取证技术的发展、革新,为打击电信诈骗提供更为有力的技术支撑。
9月,“两高一部”印发《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,为规范电子数据的收集提取和审查判断,提高刑事案件办理质量开了个好头。(作者分别系江苏省南京市公安局网络安全保卫支队政委,电子数据检验鉴定大队民警、助理工程师)(来源:清风苑 文 熊道泉 陈震)
苏州经验:实践与理论并重 打击与遏制齐下
江苏省苏州检察机关承办了全省近五成的电信诈骗案,无论办案数据还是司法实效,均有目共睹,还出台了“苏州标准”——《侦办虚假信息类案件指引》。打击电信诈骗,检察一直在线,“苏州经验”为遏制电信诈骗蔓延提供了有力借鉴。
打击电信诈骗,司法机关一直在线
以苏州检察机关公诉部门为例,仅在2012年8月至2016年8月,就办理网络电信诈骗案件163件544人。其中,跨国犯罪案件32件250人,涉及被害人多达740余人,涉案金额高达1.26亿元,通过办案共挽回损失约890万元。2011年的“11.29”跨国电信诈骗案,在马来西亚、泰国、斯里兰卡等3个国家的12个窝点,抓获482名犯罪嫌疑人(其中286名台湾人移交我国台湾地区司法部门处理),引发全国关注。
首先,通过司法实践创新,打击电信诈骗。传统诈骗案件一般由犯罪分子对被害人直接实施诈骗,可以相互指认,将嫌疑人与诈骗事实建立联系。但电信诈骗案件,双方互不接触,作案手段相似,被害人面多量广,无法陈述犯罪嫌疑人的基本情况,犯罪嫌疑人也无法供述被害人的情况。用传统的印证规则,无法建立不同犯罪团伙与被害人之间的一一对应关系,无法认定事实。因此,我们提出审查犯罪嫌疑人与被害人在“人员、信息、资金”方面的“三维”关系,确立犯罪事实。
一是人员维度的审查。电信诈骗是团伙作案,组织严密,分工细致,各犯罪嫌疑人往往通过“流转单”(“流转单”记载了被害人身份、诈骗数额、时间等等)来传递信息。我们将这些信息与被害人的陈述、银行转账记录等证据相互比较,查清被害人的身份、被骗时间、金额等要素与“流转单”有无印证关系。如果来源不同的证据要素之间能够相互印证,且排除合理怀疑,就可以认定犯罪事实。如果既没有查获“流转单”等相关书证,也没有调取到通话记录等电子证据,我们就根据犯罪嫌疑人供述的案件细节,将犯罪事实与犯罪窝点建立对应关系。
二是信息维度的审查。电信诈骗犯罪嫌疑人往往借助网络IP技术,通过语音群呼拨打诈骗电话,所以侦查机关电子证据远程勘验调取的IP地址、通话记录等可以成为案件的核心证据。因为,IP地址与犯罪地址之间有唯一的对应关系,与网络电话的通话记录之间也有唯一的对应关系。我们密切关注侦查机关是否根据通话记录中被害人的信息找到被害人,再结合被害人的报警记录、银行转账记录、被害人陈述与诈骗编造内容的对应性,将被害人被骗的事实与犯罪窝点关联印证。这样,通过IP地址和通话记录的唯一性、确定性建立网络信息链。
三是资金维度的审查。电信诈骗案件中,侦查人员很难追踪某次具体诈骗资金的流向,但是可以通过重点审查犯罪窝点和银行卡之间有无关联性来判断。有的案件通过交易记录向上倒推后,发现该窝点其他犯罪嫌疑人操作过被害人汇款的银行卡;有的案件在犯罪窝点可以发现被害人汇款的银行卡的卡号、密码等信息。尽管这些证据无法证实被害人是否被该犯罪窝点的犯罪嫌疑人所欺骗,但可建立犯罪窝点与银行卡之间的对应关系,证实两者之间存在密切联系。然后,再结合被害人陈述等证据综合认定犯罪事实。
其次,科学引入法学理论,解决法律适用难题。我们在办理电信诈骗案中发现,有部分技术人员帮助诈骗团伙提供改号软件、通话线路等技术服务,是电信诈骗犯罪的基础,危害极大。但这些技术人员与实施诈骗的嫌疑人之间互不相识,从无联系,按照普通共同犯罪的理论,难以成立共同犯罪。我们认为,只要有证据证实,技术人员在服务器维护时发现IP地址为国外用户改号或者改为国内司法机关或政府机关号码等行为,则推定其为主观明知。即使技术人员辩解否认该事实,无通谋也未获利,但可视为片面共犯理论。据此,我们对部分技术人员以涉嫌诈骗罪提起公诉,获得法院判决支持。
针对公司化运作的犯罪模式,犯罪嫌疑人地位、作用、何时视为着手实施犯罪等具体运用法律问题,我们结合理论通说,给出判断标准。只要参加诈骗培训且接打过诈骗电话的犯罪嫌疑人均着手实行犯罪,仅参与培训但并未实施接打电话等行为属于犯罪预备;对受组织者雇佣仅在窝点拨打、接听电话的诈骗人员认定为从犯,对在诈骗中起到了组织、管理作用的认定为主犯等。2013年,苏州市公安局根据检察机关提出的证据认定标准,出台了网络电信诈骗案件的“苏州标准”——《侦办虚假信息类案件指引》,并成为公安部指定的“打击电信诈骗犯罪实战培训基地”,为更好地打击犯罪与保障人民群众利益提供了保障。
掣肘的难题,打击电信诈骗中的困惑
电信诈骗犯罪具有主体的组织化、行为的隐蔽性、手段的多样性、犯罪的连续性、传播的广泛性、犯罪成本低、后果难以控制和预测等突出特点,在打击处理过程中存在查处难、取证难、定罪量刑标准难以把握等实际困难。
管辖权难以解决,贻误侦查良机。电信诈骗犯罪迅速蔓延和泛滥,主要原因是网络提供的便利。犯罪嫌疑人潜伏海外,可以毫无障碍的面向全国实施诈骗。司法机关却是“画地为牢”,仅对本地报案案件有管辖权。查处网络犯罪能力强的司法机关未必能发现本地被害人的案件,而本地被害人报案的司法机关也难以发现恰好实施诈骗犯罪的嫌疑人。特别是跨国的电信诈骗案件,由于司法制度、证明标准差异,导致取证非常困难,很难找到犯罪的完整证据。
随着网络信息技术的不断深入发展,虚拟世界中地域界限甚至国界的划分逐渐淡化,而一些网络诈骗犯罪分子为了逃避打击,通过技术手段使得网络接入地、犯罪地无法查证确认。侦查机关发现此类犯罪线索后,往往受制于没有管辖权,而无法采取进一步的侦查措施,只能通过层报最高法、最高检、公安部指定管辖,周期较长,贻误战机,导致很多重要证据无法及时收集,影响案件质量。
取证困难,证明标准高。实践中,网络电信诈骗犯罪行为通过分工协作实施,往往分为“一线”“二线”“三线”等不同阶段,涵盖了购买设备、拨打电话(群发短信)、假冒身份虚构事实、骗取钱款、转账取款等行为过程。如能证明每个犯罪环节的犯罪嫌疑人之间存在共谋或犯意联络,则均构成诈骗罪无疑。但是在实践中,上述环节都是独立进行,往往司法机关只能查获一个环节的嫌疑人,如何定罪成为重大问题。
铲草除根难,卷土重来易。目前,以我国台湾地区为代表的诈骗集团已彻底转型为严密的公司化运营,而我们近年来打击处理的境外电信诈骗嫌疑人,尽管都是“一二三线”电信诈骗实施者,但都是诈骗集团临时招聘的大陆到境外务工人员,并未触及高层或者骨干。
诈骗集团在长期实践中总结建立了一整套先进的培训体系和管理制度,只要按照事先设定的剧本照本宣科,很快就能熟能生巧,巧舌如簧。因此,诈骗集团随时有能力开辟新的窝点,招募新的人员加入实施诈骗。
遏制电信诈骗,需多管齐下
从实体、程序两方面完善电信诈骗犯罪法律体系。电信诈骗犯罪存在查处难、举证难等现实难题,导致许多案件虽得以侦破,但对部分被告人由于证据、犯罪数额等原因未能追究刑事责任,刑罚的威慑力大打折扣。因此,有必要通过完善法律体系严密法网,加大惩戒力度。
刑事立法可参照金融诈骗、保险诈骗等模式,将电信诈骗独立成罪,并设计合理的犯罪构成要件、合适的刑种。如继续保留在诈骗罪中,可降低其入罪门槛。借鉴扒窃、入户盗窃、多次盗窃单独入罪的模式,只要实施电信诈骗行为即可入罪。骗取财物或因诈骗行为导致其他严重后果的,应加大其处罚力度。如在徐玉玉一案中,尽管诈骗金额不足1万元,但却是徐玉玉致死的导火线,理应成为法定刑升档理由。
完善电信诈骗犯罪上下游行为的立法。首先是破除各种法律障碍,落实电信实名制、金融账户实名制、电信设备、金融行业准入制等制度,从源头遏制电信诈骗犯罪。现在电信诈骗能够得逞的重要原因就是显示司法机关或其他政府机关的电话号码,一定要遏制改号软件、虚拟电话等电信诈骗常用工具的使用,电信运营商应开发软件甄别改号电话通讯,进行拦截或者溯源。
其次,是对电信诈骗使用的科技手段和相关电信、金融行业进行立法规范,明确并严格落实金融、电信等监管机构和具体运营机构的责任。
最后,是从严打击上下游犯罪。对于非法获取及出售公民个人信息的从业人员以及其他人员,应加大打击力度。除按照刑法相关规定追究刑事责任外,对于尚未构成犯罪的此类人员,应当对其进行从业限制,禁止其从事能接触公民个人信息的相关行业。另外对于非法倒卖银行卡、手机卡等行为,建议适用刑法惩戒。
另外,从程序法角度破解网络电信诈骗案件管辖难题。“两高”可针对电信诈骗类型,授权部分经验丰富的地区管辖权,从而实现“谁查处、谁审判”的案件管辖原则。
加强类案指导,消除模糊地带。通过案例指导等形式,明确电信诈骗定罪量刑标准,消除法律适用的模糊地带和同案不同判现象。上级司法部门应积极遴选典型性案例,就案件办理过程中的“亮点、盲点、争点、难点、新点、热点”问题进行深入研究,以供下级司法部门案件办理过程中参照执行。
加强跨境、跨国司法协作、协助。电信诈骗是典型的跨区域犯罪,这就决定了对其防范打击必然是建立在多方协作基础上的,包括跨境协作、境内协作。特别是在跨境协作方面,应当通过国际协商、签署相关法律文件,在法律框架内积极构建合作模式,并充分发挥国际刑警组织等国际组织和相关基础协议的作用,综合运用多种方式手段,开展跨境联合打击行动,对电信诈骗形成围剿之势。
加强立法方面的跨境协作,就网络电信诈骗案件的证据运用、惩罚力度等问题达成共识。由于各个国家和地区对网络电信诈骗的观点与态度不尽相同,因而对网络电信诈骗犯罪打击的侧重点有所不同,彼此协调不佳,导致对犯罪行为的放纵。
加强电信诈骗查处和取证跨境协作。为有效打击电信诈骗犯罪分子,相关国家和地区应着眼于建立较为完善的区域间刑事司法协助和协作,在抓捕、审讯、移送境外犯罪嫌疑人、调查取证、情报通报等方面展开充分合作。(作者系苏州市人民检察院公诉二处处长)(来源:清风苑 文 王勇)
