2019年6月
第3期总第192期
Jun.2019
No.3Ser.No.192湖北警官学院学报
Journal of Hubei University of Police
数据背景下跨境电信网络犯罪的预警与反制
----以冒充公检法为例
吴跃文
(河南警察学院侦查系,河南郑州450046)
2018研究生国家线
【摘要】当前跨境电信网络犯罪侦查面临预警难、溯源难、侦查难、取证难等困境。应通过侦查观上的反思和证据观上的还原,充分运用大数据,以警企合作的思路创新、内外联动的战法创新、由点及面的战术创新探索智慧侦查,通过区域预警、区域预防和精准预警、精准劝阻开展智慧防范。
【关键词】跨境;电信网络;警务合作;智慧侦查;犯罪预警
【中图分类号】D917【文献标识码】A【文章编号11673—2391(2019)03-0089-08在全国深入开展打击治理电信网络新型违法犯罪专项斗争的同时,跨境电信网络犯罪(以
下简称“跨境电诈”)却持续高发多发,近年来呈集中爆发之势。腾讯移动安全实验室2019年发布的手机安全报告显示,2018年腾讯手机管家用户主动上报的恶意线索中,转账到“安全账户”的占29.23%,是用户上报最多的恶意线索©。2018年,全国跨境冒充公检法共立案3.1万起叭在基层公安反诈工作中,经常遭遇此类侦查情势:犯罪类型系冒充公检法,窝点在,犯罪分子远距离、非接触作案,无传统现场可勘,全案除受害人陈述及部分电子证据外暂无其他证据,致使侦查工作陷入僵局。
―、跨境电诈的侦查困境
冒充公检法起源于上世纪90年代的地区。经过国家多次严厉打击,该类犯罪的话务窝点和地点大多分散隐藏于。犯罪分子凭借先进的科技装备、多重的管辖阻隔和高超的反侦查技术,千方百计阻断警方侦查取证,给案件侦办工作带来一系列难题。
(一)预警难
团伙精心编造脚本,从“菜商”处购买受害人信息,在设立话务窝点,利用网络改号软
件,冒充公检法人员向受害人:“一线”冒充银行客服、社保局工作人员等,“二线”冒充公安民警,“三线”冒充检察院工作人员,以资产清查为名,诱骗受害人说出银行账户及密码,并主动将账户所有金额转入指定“安全账户”,或通过木马病毒远程操控受害人电脑,转走所有账户余额,再经由“水房”预先设计的分赃销赃渠道,快速从指定账户中转移受害人资金。虽然冒充公检法已为众多众所知晓,但分子又将骗术升级,实时开发出“特派员”“警方卧底”的剧本,【收稿日期】2019-04-01
【作者简介】吴跃文,河南警察学院侦查系实战教官,中科院心理研究所在职博士研究生,无糖反诈实验室特邀研究员。
【基金项目】河南警察学院厅级课题“刑事一体化语境下对电信网络犯罪侦防的反思”(HNJY-201&05)阶段性成果。
①《腾讯移动安全实验室2018年手机安全报告》,载m.qq/security_lab/news_detail_489.html,2019年1月3日访问。
吴跃文:大数据背景下跨境电信网络犯罪的预警与反制
让人防不胜防。在分子的精心伪装下,绝大部分受害人甚至未意识到自己在进行转账汇款,待发现异常时,账户资金早已全部被自动拆分至若干账户并转至取现。对于此类活动,侦查机关一般都是在案发以后经受害人报案才能掌握案情,无法对电话形成有效预警。
(二)溯源难
跨境电诈作案手段较为隐蔽,软硬件在多次加密跳转,警方和电信团伙“从体力对抗变为技术对抗”。为规避警方IP追踪,团伙在往往采用浮动IP或频繁更换IP。目前公安机关应对电诈犯罪的专业人才匮乏,手段滞后,沿袭常规的信令倒查模式无法追寻到团伙的位置,而只能追查到通信运营商,中间还间隔多层位于不同国家、地区的相关设备。针对的服务器、专用设备,单纯依靠国内网络攻防技术自行电子取证存在侵犯他国网络空间主权的风险,而请求跨国警务协作取证不仅需要充分的证据支撑,还受制于涉案国家法律法规以及警察电子取证技术、设备与能力等条件。此外,大量涉诈黑灰产业“”操作,虚拟隐蔽,难以溯源。而“”无法被谷歌、百度等常规搜索引擎检索,需要严格注册才能浏览结构化数据集合,囱具有链接简便、高匿名性、交易便捷等特点。庞大“”空间的存在©为团伙提供了“相对隐身”的特异功能。
(三)侦查难
经过多次严厉打击,分子陆续将窝点转移至东南亚和非洲。我国台湾地区分子利用免签便利,不仅在东南亚和非洲设立犯罪窝点,而且向韩国、日本以及欧洲、大洋洲、南美洲等国家转移,甚至有在近30个国家的300余个窝点对大陆地区实施的迹象叭基于法律监管的缺失和非法势力的庇护,加上“一带一路”国际警务合作的法律依据尚未体系化,国际警务合作面临较多技术性困难巴
一些地区一度成为电诈的“乐园”。2018年,广东警方在柬埔寨摸排窝点时,发现窝点隐藏在私人别墅、芒果园,甚至藏身在野外养猪场,四周装有监控,还有武装人员手持AK-47,24小时把守咒团伙采取防泄密、防渗透措施,严格限制成员日常活动,统一配发手机,专卡专用,严禁玩QQ、发朋友圈、在窝点周边拍照,未经批准严禁私自外出等。面对跨境电诈犯罪的新特点、新变化,传统侦查工作始终处于被动求证的劣势。受司法管辖、司法协作等问题制约,侦查机关在调查受限;而国际警务合作往往手续繁杂、效率低下,导致执法部门不能及时掌握涉案人员的准确位置,更不能及时获取团伙在实施犯罪的直接证据。
(四)取证难
证据是诉讼的基础和核心。分子为提升犯罪活动的隐蔽性,往往打散实施环节,横跨多个国家和地区,想方设法躲避、阻挠警方取证。由于窝点、取款地、银行开户人、银行卡归属地、个人信息泄露源头等分属不同国家和地区,常规跨国协助取证手续繁杂,周期漫长。受签证时间限制,窝点的“存活期”一般不超过3个月。巨额一旦得逞,分子就立即转移窝点,躲避追踪。当侦办人员赶赴时,窝点可能早已人去楼空,无证可取。针对涉案实物证据,如平台、设备、骗术等,分子往往采取案后销毁或设置断电自毁装置等措施。被骗钱款一旦汇入涉案账户,就迅速被分散转移至多个银行账户,再经过层层分散自动转款或通过加密、等方式,最终在短期内被转移至。这种流窜跨境式、分散式作案模式极大地
①据调查,“明网”数据量仅占互联网空间的4%,而“”数据量占96%。“”底部包含了故意隐瞒的内容,需借助“洋葱路由”动态请求方可进入。
②具体案例参见中央电视台焦点访谈《冒充公检法套路深》,载tv.cctv/2019/01/14/VIDEOeK8e7Om-jBZYs0XCMnyfl90114.shtml,2019年1月14日访问。
吴跃文:大数据背景下跨境电信网络犯罪的预警与反制
增加了公安机关的取证、打击难度叭即使公安机关抓获部分涉案人员,他们一般都不会立即承认所犯罪行,此时仍需要大量的间接证据予以佐证。
二'侦查困境背后的理念掣肘
(一)侦查观上的反思
侦査破案两大基本规律之一即犯罪暴露程度和侦查整体能力决定侦查效果严就犯罪暴露程度而言,跨境电诈犯罪系典型的高科技、非接触性新型犯罪,较传统犯罪和普通更具隐蔽性、对抗性,且形式层出不穷,骗术不断升级,给侦查破案和犯罪预防带来了全新挑战。公安部门相关统计数据表明,近年来,以电信网络为代表的侵财型网络犯罪案件数量以每年20%至30%的速度增长,破案率却大概只有1.5个百分点©。跨境电诈案件高发低破已成为当前公安工作的痛点和难点。
团伙犯罪手段的有限性和大数据发展潜能的无限性决定了跨境电诈犯罪并非诡秘莫测。首先,任何技术都是相对的而不是绝对的,技术也不例外。随着冒充公检法套路、话术的不断曝光和众防骗意识的增强,跨境电诈的成功率必将大幅下降。随着军民融合、警企合作的步伐加快和网络攻防技术、远程电子取证能力的快速突破,针对网络电话技术流程的反制也将更加有效。此外,开辟合作执法绿通道,派驻执法人员,帮助涉案地警方提高电子取证能力等举措也极大地压缩了分子的活动空间。2018年9月14日,出于合作打击电信等网络犯罪的需要,“中国公安部援助越南公安部电子数据取证实验室”合作项目启动。该项目的成功建设标志着两国执法安全合作迈入新阶段。②此外,在与反诈此消彼长的动态博弈中,团伙并不能及时、准确、全面地知晓公安机关的侦查技术、工作部署。这种信息不对称性决定了他们将逐渐丧失规避侦查的技术优势。
就公安机关的整体侦査能力而言,随着计算机、互联网、云计算等科学技术的迅猛发展,当今社会悄然步入大数据时代。一切皆可数据化,人人都是“透明人”,数据化已成当下犯罪的现实生态,血“用数据说话”也成为现代侦查思维的基本特征。利用大数据技术推动智慧公安、智慧侦查建设,可实现公安侦査的转型升级、跨越发展。同大数据面前,电诈分子终将无处循行,“数据隐士”难以置身事外。大数据作为一种科学技术的大发展、思维方式的大变革、方法论的大突破,为现代侦查提供了全新视角。回治理智能化是实现社会治理方式的革命性变革。[10]
就侦査理论而言,跨境电诈导致侦查僵局频现的现状不符合侦查逻辑。侦査学基本原理——信息交换原
理早已阐明,犯罪的过程是一个信息交换、转移的过程,任何犯罪行为的发生势必会引起周边环境中物质与信息的相应改变和交换,从而衍生出一系列侦查线索与证据。所谓的“侦查僵局”仅就公安侦査已获线索、证据而言,背后暴露出侦査工作受“小数据时代”传统侦査思维、侦査技术、侦查模式的束缚与掣肘。大数据将彻底改变侦查主体与犯罪人员、侦查行为与犯罪行为之间的力量对比,最终实现足不出户即可锁定窝点、团伙的目的。
因此,为应对跨境电诈新型犯罪,侦査机关就必须提升侦査整体能力,实现从理念到技术的全新变革:一方面,强化大数据预测性、整体性、相关性思维,运用大数据技术,挖掘更多的侦查线索、证据“富矿”;另一方面,利用大数据、人工智能,引入更高阶的技术侦查手段,以专治专,以快制快,
①公安部:《使用电子数据是打击网络犯罪“最佳方式”》,载《法制日报》2015年11月25日第3版。
②《中国公安部援助越南公安部电子数据取证实验室移交仪式举行》,载/o/2018-09-14/doc-ihkahyhx0437062.shtml,2018年9月14日访问。
吴跃文:大数据背景下跨境电信网络犯罪的预警与反制
彻底扭转反制跨境电信网络新型犯罪工作中“猫鼠不同步”的被动局面。
(二)证据观上的还原
跨境电诈作为一种新型违法犯罪,除具有非法占有他人财物的主观故意外,还具有远程、非接触性的全新个性特征,往往依托一定的技术手段,时空跨度大,波及人数多,且手段较为隐蔽,花样翻新快。应对此类新型犯罪,就需要新的证据类型、证明标准。《刑事诉讼法》第五十条规定了刑事证据的法定种类,将视听资料、电子证据列为独立的证据,并确立了其与其他证据的同等地位。《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》规定可以通过网络在线提取原始存储介质位于或者远程计算机信息系统上的电子数据⑹,《检察机关办理电信网络案件指引》也明确了电诈案件中证据审查的基本要求。
使用电子数据是打击网络犯罪的“最佳方式”©,而电子证据无疑是证明跨境电诈犯罪的最佳证据、关键证据。互联网的虚拟性、无国界性为跨境电诈犯罪提供了便利和工具,但网络空间的留痕性也使侦查机关获取线索、证据,发现、证实此类犯罪成为可能。且电子取证较其他侦查措施的优势更加明显:一是成本低。网络远程勘验将整个互联网当作一个完整的犯罪现场,必要时可逾越繁琐的国际司法协作,由执法人员在专业技术人员协作下,跳过云通话,直击窝点,通过网络对远程计算机信息系统实施勘验,发现、提取与犯罪有关的电子证据,并记录计算机信息系统状态。二是效率高。技术截获的录音具有客观、形象、动态、全面的反映性,比其他证据形式更能让人理解和接受。声纹可以像指纹、掌纹、虹膜和DNA那样进行身份鉴定、同一认定或案件串并。截获、提取的录音可以固定证据、分析人声,声纹鉴定甚至可以直接锁定嫌疑人。当犯罪嫌疑人否认事实时,录音和声纹鉴定往往
具有一锤定音的效果。声纹识别(VbiceprintRecognize)是一项根据语音波形反映说话人生理和行为特征的语音参数,可自动识别说话人身份的技术。相较其他身份认证方式,声纹识别具有易采集、非接触、高可靠等特点,操作简单,且验证内容可变化。截至目前,福建安溪已建成全国首个声纹数据库,安徽合肥正在建设全国最大的声纹库。随着大数据、人工智能的发展以及声纹数据库的上线运用,声纹识别与鉴定将直指犯罪嫌疑人,证实犯罪。即便采用变声软件伪装,也只能改变声音的部分物理属性,而不能改变声纹鉴定属性。三是种类多。目前移动支付已全面进入“生物识别”时代。除声纹外,社会数据,特别是知名互联网企业内部电子数据也是打击跨境电诈的有力证据,如移动支付的GPS坐标、指纹、刷脸等生物识别数据。随着电子证据的深度应用和声纹鉴定的智能运用,侦查机关反诈工作将迎来拐点,并逐步实现终结冒充公检法的梦想。
三、跨境电诈侦查困境的路径突破
(一)跨境电诈的技术解读
读懂、识破跨境冒充公检法新型犯罪的网络电话技术流程是应对、反制此类犯罪的前提和关键。首先,团伙在设立话务窝点,通过互联网连接呼服务器,并将“菜商”提供的受害人号码批量导入呼服务器“CC平台”②;其次,呼服务器根据顺序依次自动,并将该号码下发至电话软交换系统VOS,通过多次国外和国内的VOS电话软交换网络进入落地网关,再由落地网关接入PSTN(Public Switched Telephone Network,公共交换电话网络)网络(如移动、联
①公安部:《使用电子数据是打击网络犯罪“最佳方式”》,载《法制日报》2015年11月25日第3版。
②“CC”即英文call center的缩写。
吴跃文:大数据背景下跨境电信网络犯罪的预警与反制
通、电信等运营商);最后.PSTN网络接通受害人电话。
图1网络电话的技术流程
(二)智慧侦查的全新构想
不难发现,传统侦查思维、侦查模式、侦查手段通常从受害人电话查起,公安机关举步维艰,无力应对。在大数据时代背景下,特别是在智慧社会建设进程中,智慧侦查提供了应对跨境电诈的全新路径©。智慧反诈的终极梦想是:任何分子,只要敢在拨打一个电话,必被精准识别并严惩;任何分子,只要敢在登录网站后台,必被精准发现并严惩。
1•警企合作,创新思路
技术反制是应对跨境电诈的首选。网络犯罪的本质是人与人、组织与组织的对抗。哪一方拥有更先进的
技术,哪一方就在攻防博弈中具有优势。打击跨境的可行方案是在深化国际警务合作的框架下,深化与阿里、无糖、腾讯等互联网企业的战略合作关系,发挥互联网企业的行业优势、技术优势、数据资源优势,采取先进的网络攻防技术,快速突破技术瓶颈、时空阻隔,直击窝点。首先,侦控各类窝点的专用设备、呼服务器。实践证明,自动化的网络攻防技术明显优于一般的网络攻防技术。可引入人工智能,由个案梳理进行数据建模,实现智能识别、自动渗透,动态获取窝点服务器IP,建立窝点数据库,动态掌控窝点发展态势,批量锁定隐藏在的窝点和活动轨迹。截至目前,成都无糖信息公司反网络犯罪预警反制平台已侦控全球200多个窝点,一旦达成跨国警务合作协议,即可在公安部的统一指挥下出境打掉一批窝点。其次,远程勘验“CC平台”,提取、固定语音、话单、座席等直接证据,清洗梳理海量数据,建立录音库、产业库,为犯罪链条分析、犯罪族分析和案件线索拓展提供数据支撑。窝点库、录音库、产业库等多方位、全流程的海量数据将助力智慧数据侦查,颠覆传统侦查思路,加快传统的顺藤摸瓜式被动侦查模式向全新的一键查询式主动侦查模式转变。案件发生后,只需要提供被害人的手机号即可实现一键溯源,精准获取窝点IP,精准获取录音。最后,核查窝点位置和落地人员身份。获取窝点IP地址、端口号、动态轨迹,交由浙江阿里巴巴公司、腾讯公司等互联网企业,连同环境数据提取涉案嫌疑人、支付宝、邮箱等虚拟身份信息,进而关联核查其真实身份。
2.内外联动,创新战法
在窝点数据的支撑下,侦查机关可双管齐下,创新战法,视情况选择出境打击或边控伏击。出境打击是在锁定窝点IP、查清窝点位置、涉案人员的基础上,由公安部牵头,通过国际警务合作,捣毁窝点,抓人取证。若选择出境打击,可依据窝点数据库动态IP分布,出境打掉一批窝点,抓获一批嫌犯。例如,2019年1月11日,河南警方工作组联合老挝警方,先后5次对9
①智慧侦查是指在侦查过程中,依托大数据理念和思维,以海量数据为支撑,综合运用互联网、物联网、云计算、智能感测等先进技术手段,深度挖掘社会运行中的各项数据,对与案件相关的人、事、物、空间、行为等要素进行智能关联串并,通过对违法犯罪信息的精准回溯、预测,实现侦查工作质态的飞跃提升。