电信诈骗案件之电子数据取证分析思路（全文完整）

下面是小编为大家整理的电信诈骗案件之电子数据取证分析思路（全文完整）,供大家参考。

　摘要：电信诈骗案件为非接触性犯罪，没有时间和地域的限制，犯罪对象涉及面广，打击难度大，没有确定的嫌疑对象，证据的获取和固定非常难，破案技术性要求非常高。电子数据取证在侦查办案中发挥的作用日趋重要，而电信诈骗案件与一般案件的电子数据取证又存在很大不同，需通过调取大量的银行流水、通话清单、上网记录等电子数据分析，才能顺藤摸瓜锁定嫌疑对象。关键词：电子数据取证电信诈骗电信流资金流网络流引言根据360猎网平台数据显示：当前国内专业从事网络诈骗活动的犯罪分子多达160万人，每年给全国网民造成直接经济损失1 100多亿元。电信诈骗已成为当前影响社会稳定和群众安全感的突出犯罪问题。电信诈骗案件为非接触性诈骗犯罪，此类案件具有隐蔽性高、区域跨度大、犯罪份子身份难以查证、证据直接指向性弱等特征，客观上造成了公安机关侦破难度大、办案成本高的现状。一旦非接触性诈骗实施成功后。受害人的资金在短时间内就会通过网银转账、第三方支付平台、虚拟货币交易等多种方式转移，造成的经济损失难以挽回。案发后嫌疑人通过网银操作分多级迅速转移资金，达到扰乱侦查、快速取钱的目的。对初期线索的证据调取后，如何判断线索的有效性、方向性，如何对现有线索进行有效扩线，以最小的成本挖掘出有价值的线索成了公安机关办理此类案件首要面对的问题。本文重点讨论电信诈骗案件前期的电子数据收集固定问题。一、电子数据取证的侦办思路Police Technology 2018年第6期65万方数据

　成，另有相关买卖黑卡的团伙为其提供作案用银行卡和电话卡。“金主”一般为台湾籍人员。负责搭建话务机房，组织话务员编写诈骗剧本，寻找对象，扮演各类角色诱骗受害人上当； “水房”负责转账、洗钱，在最短的时间内将受害人被骗资金通过连续转账的方式划分为若干笔可取现金； “车手”负责最终的银行ATM机提现和反存。电信诈骗犯罪团伙分工精细，组织严密，各司其职，隐蔽性极强。团伙间的合作常随受害人资金的成功转移而结束，其分工明细如图1所示。图1诈骗团伙分工明细(二)案件中涉及的电子数据案件侦办初期，通常会对嫌疑人的手机、电脑进行电子数据提取，期望获取有价值的线索，而结果仅能获取嫌疑对象的工作用手机或网络账号。因此重点应将电子数据的获取转向银行、电信、网络公司等部门。电诈案件取证中的重点是将“电信流”、 “资金流”、“网络流”三类电子数据调取后作为线索和证据使用。通过数据调取、固定、分析同步进行的方法，对获取的电子数据做分类、清洗、关联、碰撞、扩线，然后下发给侦查部门做进一步的电子数据调取工作。受害人与嫌疑人或嫌疑人之间的通话数据为“电信流”；资金转移流水、银行卡、第三方支付平台为“资金流”；嫌疑人上网地址、用于诈骗的域名、网上联系方式等为“网络流”。二、数据流的取证及分析(一)电信流数据的取证思路电信流数据以调取诈骗团伙话务员和转账银行卡绑定手机的话单记录为主。根据诈骗团伙分工。嫌疑号码又分为通过网络拨打的虚拟电话和真实号码拨打的国内国际电话。网络电话依靠信令的追踪调取数据；真实号码则通过电信运营商调取话单做数据分析，对出现国际漫游的情况，可判断诈骗团伙是在境外拨打电话，多为话务员使用。

　“水房”为避免跨境取款产生的高额手续费。同时也防止跨境交易转账资金被冻结，雇佣的“车手”大多在国内ATM机取款，因此“车手”电话多在国内使用。向电信运营商调取有国内使用记录的话单数据，通过12软件进行数据分析，碰撞出有相互交叉联系的通话人，标注活动轨迹，判断嫌疑对象的主要活动范围、团伙成员数、外联情况等信息，固定重要的话单信息。对嫌疑手机话单数据做格式清理后，还能碰撞出一批受害人，实现案件串并，与兄弟单位合作，分析电诈团伙作案规律特征，争取获得更广泛的支持和重视。另外通过话单碰撞还可关联出嫌疑人在案发前后的其他团伙成员，图2中标注的碰撞分析图便能看出受害人与潜在嫌疑对象。M穗{；{图2红色的为受害人。黑色的为潜在同伙(二)资金流数据的取证思路办理电诈案件最终以抓捕嫌疑人，挽回受害人经济损失为目的。

　“水房”对受害人资金的转移采取多级转账、交叉转账、回流转账的方式最终完成ATM机取款，但无论怎样的转账方式，最终都以ATM取款实现获利。对银行、银联、第三方支付平台的资金流水调取就显得尤为重要。案发后第一时间调取受害人的汇款信息，对转账流水进行数据分析，固定转账银行卡的开户人信息、绑定的手机号码、转账交易流水等证据。从大量的银行流水信息中清洗数据，重点根据涉案资金转账行为，顺着资金转移指向逐级扩线，梳理出资金转移方向，从中挖掘出重点资金账户、取款目的地、异常交易行为的一批账号。类似电信流碰撞的方法，同样能获取部分受害人的银行账户。为串并案件提供依据，如图3所示。66匿垂圜困2018年第6期万方数据

　-．．j。

　t●。_：。．．：·-’_"”。’4‘”●．I●．．。．一：．二．，。．-‘1．-"．一。～．．．’- ?一^，。¨· ’’。。”．1．‘·1·’。．“，，“一’‘；_．．_。图3“水房”银行账户资金转移图在对大量的银行流水数据进行清洗、筛选、整理后，借用图形化分析工具即可大致了解“水房”在资金转账过程中的操作过程，通过关系图的最短路径、最多节点数、反复连接点等特征找到具有重大工作价值的银行账号作为侦查方向。如图4所示。图4图中黄色对象为重点资金流向账户资金流证据的几种调取方式：1．网银电子证据获取网银转账是电诈案件中“水房”快速转移资金惯用的手段，网银转账时间越短，获利越大。尽可能向银行调取网银清单，可从中分析出诈骗团伙所在区域和“水房”操作资金转账的人数。2．交易流水证据获取对不同渠道调取的交易清单要着重注意时间的校对。每份电子数据调取后应要求数据提供方再附上调取数据的系统时间与北京时间的时间差。以便核对资金流的流转方向。3．电商证据获取对银行流水数据取证分析。有可能发现嫌疑人通过电商平台的个人消费记录，如图5所示，进而向电商调证。确定重点银行账号后则进一步调取账号开户视频、A rM柜员机上操作存款视频，核对时间戳，对视频数据做哈希校验固定，为下一步抓捕嫌疑人后的案件诉讼做准备。_一。’～：t互⋯、 “。’⋯川。⋯”·‘‘1f。“ 。j⋯‘。点：：j卜一!i．、__I⋯_ 二：互：7⋯、。、．’j’⋯I一鬻慧：：二互▲_n．．=。n，是一日Ⅲ+愚。女‘⋯_．’⋯1⋯’‘’重“j翟4+-! i⋯．．。i■_ _，图5银行流水反映出购买充值卡行为(三)网络流数据的取证思路诈骗团伙的网站、虚拟身份、手机、网银操作记录、网上消费行为均属于网络流电子数据取证范围。只要有使用行为。就会产生网络数据，在对网络流的电子数据取证中，可以分析嫌疑对象上网时发送接收的数据。用以判断查明某些行为、状态、事实。1．网络数据的调取网络流电子数据取证的重要对象是网络数据。网络数据具有数据类型复杂、实时动态等特点，重点是对不同的网络电子数据进行提取和解码。2．主要调取的网络证据(1)网络身份活动情况；(2)网站域名注册信息、维护日志；(3)网银操作记录：(4)网上购买的虚拟货币消费记录、手机充值卡充值去向，购买人的登陆账号信息和登陆IP；(5)电商账号的交易记录。3．1P地址取证嫌疑对象IP登录地址是网络流取证中最易获取的证据。IP地址是指互联网协议地址，类似网络上的门牌号。用以区分网络上不同的网络设备。一个IP对应一个或多个网络设备。获取了嫌疑对象IP地址后，就需要对JP地址的使用人、用途、是否涉案等进行定性。围绕lP调查的技巧很多，主要有以下几种：(1)通过一些网站提供的公开扫描服务判断IP所属网络设备的类型，通过开放的端口、服务，判断是服务器、网络设备还是个人电脑：(2)使用Windows自带命令nslookup查询IP用用tracertEE踪IP路由，判断出目的IP真实属地、系统位置和运营商；Police Technology 201 8年第6期67万方数据

　誉(3)在无法确定IP的属地时，还可通过网络搜索引擎对lP地址进行搜索，如多次出现在某城市的论坛、贴吧，则可能属于该城市的lP。4．MAC地址的取证MAC地址又称为物理地址、硬件地址，采用十六进制数表示，具有全球唯一性，很多网络软件商将其记录并作为识别终端用户的特征值。(四)数据流的分析思路在证据的调取过程中随着线索层级的不断深挖，各数据流产生的数据量也呈几何级增长。在对同类数据流和非同类数据流的碰撞关联需要前期对数据源做整理、清洗后以统一格式存放，可采用Excel存放原始数据和清理后的数据，再通过12软件导入数据分析，根据已知和预想的犯罪团伙行为特征建立数据分析模型，最后对碰撞产生的结果重新导出保存。由于案件取证工作进行到后期数据量很容易达到上百万条，对处理计算机的性能需求也随之提高。为保证软件正常高效运行，建议采用高性能CPU、大内存、游戏级显卡的计算机完成此项工作。三、数据流的时间取证文件系统都会对时间产生影响，最后不要忽略系统的时区设置。银行系统的时间校对一般采用GPS时间同步技术，各家银行有自己的时钟授时服务器，然而实际案件取证中发现，即使同一家银行下的不同总行、分行的系统时间也有一定偏差，在跨行交易和银联核算中，产生的时间偏差更是无法避免。对调取的资金流数据可结合具体每笔资金的去向和银行提供的时间来判断时间的偏差率。银行监控视频与交易核算平台时间也有偏差，调取监控视频时更应注意时间的准确性，了解监控视频服务器是否有过停电，—般停电后监控视频时间会有较大误差。电信运营商一般采用NTP(Network Time Protoc01)网络时间服务器授时，授时的准确性会受到网络环境的影响。各运营商之间的时间也有微小偏差。对网络公司和电商的证据调取，则更需要注意确认当前服务器时间同标准时间的偏差。四、结语电诈案件逐年高发，社会影响日益恶劣，因犯罪手段非接触性的特点，隐蔽性和反侦查意识非常强，使得办案难度大、成本高。加上线索往往指向异地，需各大银行、电信运营商、网络公司配合。各家公司考虑成本问题，对数据、日志的存储期限使电子数据具有易丢失性的特点。怎样确保在电子数据存储有效时间内获取考验着侦查员的能力。在《G芦∞一2004银行营业场所风险等级和防护级别的规定》中对银行监控视频的存储时间有明确说明，银行监控录像的保存时间不得少于30天，而最长时间根据存储硬盘的大小而定。从《规定》中看出，调取监控视频的最佳时间为30天以内。一个月的取证黄金时间内，在大量数据中如何寻找到重要线索，如何在最短时间内核实嫌疑人身份。如何落地涉案资金多级转账后的最终取款地，如何完成整个犯罪过程的证据链固定，需要我们通过对资金流、电信流、网络流等电子数据流的数据做有效取证和综合研判分析，对各万方数据

推荐访问:电信诈骗案件研判分析电信诈骗案件之电子数据取证分析思路取证思路完整