李雙其

（福建警察學(xué)院，福建 福州 350007）

人們通常稱(chēng)之為的“電詐”從早期的單一利用電信工具演變到現(xiàn)在的電信網(wǎng)絡(luò)工具共用。由于犯罪空間的拓展、犯罪工具的多樣、犯罪鏈條的延伸，電信網(wǎng)絡(luò)詐騙也變得日益復(fù)雜多樣，呈現(xiàn)在人們面前的是五花八門(mén)的詐騙類(lèi)別、眼花繚亂的犯罪手法、紛繁復(fù)雜的犯罪鏈條、稀奇古怪的犯罪動(dòng)機(jī)……刷單、貸款，殺豬盤(pán)、薦股、虛擬幣、理財(cái)，校園貸清理、冒充公檢法、裸聊，冒充領(lǐng)導(dǎo)同事等詐騙輪番上陣或齊頭并進(jìn)。

當(dāng)下電信網(wǎng)絡(luò)詐騙占了全部刑事犯罪總量的50%以上，成了主流犯罪。為此，全國(guó)上下高度重視電信網(wǎng)絡(luò)詐騙。全民反詐，研究電信網(wǎng)絡(luò)詐騙的人越來(lái)越多，也面世了不少研究成果。進(jìn)入知網(wǎng)查詢(xún)，涉及電信網(wǎng)絡(luò)詐騙的論文數(shù)千篇，然而，從筆者的視角，眾多論文中，能對(duì)電信網(wǎng)絡(luò)偵查實(shí)務(wù)工作起實(shí)質(zhì)指導(dǎo)作用的卻是寥寥無(wú)幾。

將種類(lèi)繁多的電信網(wǎng)絡(luò)詐騙犯罪進(jìn)行梳理，主流的電信網(wǎng)絡(luò)詐騙均可歸入投資營(yíng)利類(lèi)、獲得機(jī)會(huì)類(lèi)、消除隱患類(lèi)、礙于面子類(lèi)、其他類(lèi)五種。在不同的時(shí)期，五種詐騙會(huì)有不同程度的表現(xiàn)，而當(dāng)下，投資營(yíng)利類(lèi)是最為盛行的詐騙類(lèi)別。殺豬盤(pán)、薦股、虛擬幣投資、理財(cái)均可歸屬投資營(yíng)利類(lèi)。本文選擇投資類(lèi)電信網(wǎng)絡(luò)詐騙正是基于這樣的考量。

作為電信網(wǎng)絡(luò)詐騙的一種類(lèi)別，投資類(lèi)電信網(wǎng)絡(luò)詐騙同樣是一種跨越物理與虛擬空間的有組織犯罪。這種犯罪的犯罪行為發(fā)生地錯(cuò)綜復(fù)雜①犯罪行為發(fā)生地會(huì)涉及用于電信網(wǎng)絡(luò)詐騙犯罪的平臺(tái)、工具所在地，網(wǎng)站服務(wù)器、通訊關(guān)聯(lián)工具、移動(dòng)終端所在地，APP、網(wǎng)站平臺(tái)建立者所在地，APP及各類(lèi)詐騙工具制作者使用者所在地，APP、網(wǎng)站平臺(tái)管理者所在地，被害人及使用的工具所在地，詐騙電話(huà)、語(yǔ)音、圖片、視頻、短信息、電子郵件、即時(shí)通信信息等撥打地、發(fā)送地、到達(dá)地、接受地，詐騙行為持續(xù)發(fā)生的實(shí)施地、預(yù)備地、開(kāi)始地、途徑地、結(jié)束地等。犯罪結(jié)果發(fā)生地也很復(fù)雜，它會(huì)涉及到被害人被騙時(shí)所在地，會(huì)涉及被騙資金流出、注入地址，資金取得地、藏匿地、轉(zhuǎn)移地、使用地等。。這種犯罪具有很強(qiáng)的組織性、專(zhuān)業(yè)性。它與黑社會(huì)性質(zhì)組織犯罪相類(lèi)似，結(jié)構(gòu)嚴(yán)密、分工負(fù)責(zé)、專(zhuān)業(yè)化程度高。它與純粹的網(wǎng)絡(luò)犯罪相類(lèi)似，具有“主體多樣化，犯罪結(jié)構(gòu)組織化，犯罪手法專(zhuān)業(yè)化，犯罪行為科技化，犯罪時(shí)空交錯(cuò)化，犯罪環(huán)境數(shù)字化，侵害對(duì)象精準(zhǔn)化，犯罪結(jié)果產(chǎn)業(yè)化”[1]等特征。這種犯罪涉及上游、中游和下游。與投資類(lèi)電信網(wǎng)絡(luò)詐騙相關(guān)的上游犯罪有幫信犯罪、侵犯公民信息犯罪①常見(jiàn)方式有嗅探、拖庫(kù)、偽基站、木馬鏈接、WIFI/二維碼使用等。等，中游犯罪表現(xiàn)為具體化的網(wǎng)絡(luò)詐騙，下游犯罪涉及到洗錢(qián)②當(dāng)下常見(jiàn)的形式有第三方支付、第四方支付、對(duì)敲賬戶(hù)、多級(jí)轉(zhuǎn)賬、跨國(guó)交易的使用與交錯(cuò)。、數(shù)字貨幣犯罪。

從組織架構(gòu)看，投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪組織與公司的結(jié)構(gòu)相類(lèi)似。在犯罪組織運(yùn)作過(guò)程中，犯罪組織也被稱(chēng)為公司。犯罪公司通常由三層構(gòu)成。上層——犯罪團(tuán)伙的老板，實(shí)踐中習(xí)慣稱(chēng)其為“金主”。老板可能是一人，也可能是多人③老板會(huì)以不同的形態(tài)體現(xiàn)。他們是出資人，有的也為犯罪公司提供犯罪場(chǎng)所、平臺(tái)、工具。老板可能投資數(shù)家“公司”。這樣，由這位或這幾位老板組織領(lǐng)導(dǎo)下的犯罪公司就構(gòu)成了一種犯罪集團(tuán)。老板是組織者、策劃者，他們通常不會(huì)在前臺(tái)露臉。老板與其他人實(shí)行單線(xiàn)聯(lián)系。。中層——公司負(fù)責(zé)人及主管、專(zhuān)業(yè)團(tuán)隊(duì)負(fù)責(zé)人及成員④公司負(fù)責(zé)人負(fù)責(zé)某一犯罪公司的具體運(yùn)營(yíng)。主管是負(fù)責(zé)人選定的中層管理干部。不同的犯罪公司主管的設(shè)置有所不同。通常設(shè)置有平臺(tái)、行政、后勤、人力資源、人員培訓(xùn)、客服投訴等主管。專(zhuān)業(yè)團(tuán)隊(duì)負(fù)責(zé)人是老板直接聘請(qǐng)的，歸老板直接領(lǐng)導(dǎo)，職別與公司負(fù)責(zé)人相同。專(zhuān)業(yè)團(tuán)隊(duì)負(fù)責(zé)人根據(jù)工作需要請(qǐng)一些專(zhuān)業(yè)人士加入，組成團(tuán)隊(duì)。。投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪公司通常還會(huì)設(shè)置技術(shù)、財(cái)務(wù)兩個(gè)專(zhuān)業(yè)團(tuán)隊(duì)⑤技術(shù)團(tuán)隊(duì)負(fù)責(zé)公司的技術(shù)支持，財(cái)物團(tuán)隊(duì)負(fù)責(zé)贓款的轉(zhuǎn)移、洗白。技術(shù)團(tuán)隊(duì)、財(cái)務(wù)團(tuán)隊(duì)負(fù)責(zé)人及成員通常不與公司負(fù)責(zé)人、中層管理干部住在一起。技術(shù)團(tuán)隊(duì)主要承擔(dān)通訊升級(jí)與解決技術(shù)障礙問(wèn)題。當(dāng)需要進(jìn)行網(wǎng)絡(luò)線(xiàn)路的轉(zhuǎn)化與升級(jí)，或當(dāng)公司遇到技術(shù)障礙時(shí)由老板通知出現(xiàn)。而財(cái)務(wù)團(tuán)隊(duì)始終不用在公司出現(xiàn)。技術(shù)團(tuán)隊(duì)與財(cái)務(wù)團(tuán)隊(duì)服務(wù)于同一老板經(jīng)營(yíng)的集團(tuán)下的所有公司。。下層——組長(zhǎng)及成員⑥公司的組長(zhǎng)是公司負(fù)責(zé)人選定的。組長(zhǎng)對(duì)公司負(fù)責(zé)人負(fù)責(zé)。組員是公司負(fù)責(zé)人、組長(zhǎng)共同選定的，由組長(zhǎng)直接負(fù)責(zé)管理。不同犯罪公司會(huì)根據(jù)他們經(jīng)營(yíng)的詐騙業(yè)務(wù)設(shè)置小組，如網(wǎng)絡(luò)博彩組、數(shù)字貨幣組、貸款組等。小組成員會(huì)有所控制，一般控制在10人左右。公司不同層級(jí)之間有明確的界限，并佩戴不同顏色的標(biāo)志。。

從各類(lèi)成員在投資詐騙犯罪組織中所起的作用看，老板是組織者、領(lǐng)導(dǎo)者，他或他們投資組建公司，招募公司負(fù)責(zé)人、專(zhuān)業(yè)負(fù)責(zé)人，搭建詐騙平臺(tái)，讓其他人在平臺(tái)上表演。公司負(fù)責(zé)人、專(zhuān)業(yè)負(fù)責(zé)人、主管是管理者。不同的主管負(fù)責(zé)平臺(tái)維護(hù)、升級(jí)，行政管理，后勤保障，人員招募培訓(xùn)，客服投訴等業(yè)務(wù)。技術(shù)、財(cái)務(wù)專(zhuān)業(yè)團(tuán)隊(duì)負(fù)責(zé)公司的技術(shù)支持與贓款的洗白。其他具體詐騙業(yè)務(wù)則由組長(zhǎng)領(lǐng)導(dǎo)下的團(tuán)隊(duì)來(lái)承擔(dān)。有的充當(dāng)“菜商”，在分析數(shù)據(jù)的基礎(chǔ)上，設(shè)計(jì)編寫(xiě)劇本；有的充當(dāng)“話(huà)房”，根據(jù)劇本撥打電話(huà)，分步誘騙；有的充當(dāng)“演員”，根據(jù)劇本進(jìn)行直播；有的充當(dāng)“客服”，以實(shí)現(xiàn)公司運(yùn)營(yíng)的真實(shí)；有的充當(dāng)“卡商”，為詐騙犯罪提供大量銀行卡、電話(huà)卡；有的充當(dāng)“車(chē)手”，負(fù)責(zé)提現(xiàn)分贓；有的充當(dāng)“水房”，將贓款匯總整理分流再轉(zhuǎn)出。

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪手法五花八門(mén)，但投資類(lèi)電信網(wǎng)絡(luò)新型詐騙通常都包含以下重要環(huán)節(jié)：一是搭好平臺(tái)APP或網(wǎng)站⑦含平臺(tái)搭建、技術(shù)支撐、運(yùn)營(yíng)維護(hù)。。二是推廣引流⑧騙子申請(qǐng)微信號(hào)或其他號(hào)，推廣團(tuán)隊(duì)通過(guò)社交平臺(tái)電話(huà)銷(xiāo)售、網(wǎng)絡(luò)實(shí)名推廣等方式推廣圈粉。。三是炒群造神⑨騙子假扮成“老師”“專(zhuān)家”定期在群里發(fā)布股票走勢(shì)、投資建議、投資心得等，詐騙助理、水軍大肆吹捧，吸引粉絲關(guān)注，博得信任。。四是轉(zhuǎn)換主題⑩助理、水軍故意誤傳投資盈利截圖等，引發(fā)粉絲好奇，使其暗自相信投資可以暴利。。五是鼓動(dòng)入金?編造投資獲利故事，挑起粉絲投資欲望，鼓動(dòng)粉絲投入資金。。六是下餌套牢?騙子指導(dǎo)粉絲嘗試開(kāi)始小額交易。公司平臺(tái)對(duì)投資進(jìn)行操控，讓初投粉絲小有盈利，且允許將盈利提現(xiàn)，繼續(xù)獲取其信任。。七是操盤(pán)殺豬?粉絲大量入金后，平臺(tái)通過(guò)人為操縱，對(duì)粉絲實(shí)施“殺豬”，讓其產(chǎn)生巨額虧損。。八是轉(zhuǎn)移犯罪所得?通過(guò)小水房、銀行卡、第三方支付、聚合支付、虛擬幣交易等方式實(shí)現(xiàn)。。九是安撫退場(chǎng)?粉絲投入的資金虧損到一定程度后，以行情不好、運(yùn)氣不佳等理由安撫粉絲，并讓粉絲將余額提現(xiàn)，營(yíng)造確實(shí)屬于投資虧損的假象，避免“粉絲”察覺(jué)被騙。。

本文將在遵循偵查原理、偵查規(guī)律的基礎(chǔ)上，根據(jù)電信網(wǎng)絡(luò)詐騙犯罪特征，抓住投資類(lèi)電信網(wǎng)絡(luò)詐騙偵查的難點(diǎn)，基于最先進(jìn)的犯罪手法，立足最復(fù)雜的犯罪結(jié)構(gòu)，依照法律的相關(guān)規(guī)定探討投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪偵查的相關(guān)問(wèn)題。

一、受案與初步取證

和偵查其他類(lèi)案件相同，投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪偵查也是從受理案件開(kāi)始的。

當(dāng)受理案件時(shí)，偵查人員應(yīng)與受騙人直接接觸，詳細(xì)詢(xún)問(wèn)受騙過(guò)程，重點(diǎn)問(wèn)清受騙人是通過(guò)怎樣的渠道、方式與行騙人接上頭的，是通過(guò)怎樣的形式交流的，進(jìn)行了哪些交流。這些交流可能涉及多種交流工具①各種APP、GOIP、多卡寶、貓池、蘋(píng)果皮、絡(luò)漫寶等交流通工具的操作日志、呼叫記錄等。的操作日志、呼叫記錄等。此外，還要詢(xún)問(wèn)受騙人是在怎樣的平臺(tái)上投資的，是怎樣投資的，是什么時(shí)間轉(zhuǎn)賬的，是通過(guò)怎樣的方式轉(zhuǎn)賬的，轉(zhuǎn)賬的銀行賬號(hào)或地址是什么。

在詢(xún)問(wèn)過(guò)程中，受騙人可能會(huì)提及或被問(wèn)及行騙者引流所用的APP，會(huì)提及或被問(wèn)及行騙人發(fā)布的軟文，還會(huì)提及或被問(wèn)及投資網(wǎng)站、投資用APP等，面對(duì)投資用APP時(shí)，偵查人員應(yīng)問(wèn)清APP的具體名稱(chēng)、APK安裝包、注冊(cè)的賬戶(hù)及密碼等。在詢(xún)問(wèn)過(guò)程中，受騙人可能還會(huì)提及或被問(wèn)及與騙子交流所用的手機(jī)號(hào)、驗(yàn)證碼，會(huì)提及或被問(wèn)及資金轉(zhuǎn)賬二維碼、地址、轉(zhuǎn)賬號(hào)。

無(wú)論是引流、騙取信任、引導(dǎo)投資、資金轉(zhuǎn)移，偵查人員都需第一時(shí)間初步調(diào)取被騙者手機(jī)空間里的交流、通話(huà)數(shù)據(jù)，這些數(shù)據(jù)以文字、語(yǔ)音、圖片、視頻等形式存在。

了解基本情況做好記錄的同時(shí)，還要用適當(dāng)?shù)募夹g(shù)手段對(duì)包含服務(wù)器域名、服務(wù)器IP、所涉APP等在內(nèi)的受案基本信息進(jìn)行整理、存儲(chǔ)，建立受理數(shù)據(jù)庫(kù)。

了解基本情況后，符合立案條件的即可立案。立案后，具備條件的，偵查人員應(yīng)第一時(shí)間進(jìn)入相關(guān)APP空間，調(diào)取行騙者注冊(cè)信息、行騙者與被騙者交流數(shù)據(jù)，偵查人員應(yīng)第一時(shí)間進(jìn)入投資網(wǎng)站，獲取含網(wǎng)站頁(yè)面、IP地址、MAC地址、上網(wǎng)記錄、電子郵件、電子賬冊(cè)等在內(nèi)的網(wǎng)站空間基礎(chǔ)數(shù)據(jù)、行騙數(shù)據(jù)。在調(diào)取數(shù)據(jù)時(shí)，應(yīng)校準(zhǔn)工作系統(tǒng)時(shí)間，通過(guò)受害人權(quán)限登錄網(wǎng)站或應(yīng)用并完整運(yùn)行網(wǎng)頁(yè)及應(yīng)用程序的全部功能，運(yùn)行涉案應(yīng)用程序、訪(fǎng)問(wèn)涉案網(wǎng)站，用抓包工具等對(duì)網(wǎng)站、應(yīng)用中主要功能界面進(jìn)行截屏提取，對(duì)抓取的數(shù)據(jù)包進(jìn)行初步分析，剔除無(wú)關(guān)數(shù)據(jù)后保存數(shù)據(jù)包，對(duì)截屏文件、數(shù)據(jù)包文件壓縮打包，計(jì)算壓縮包電子數(shù)據(jù)的完整性校驗(yàn)值，在調(diào)取過(guò)程中應(yīng)制作筆錄與電子數(shù)據(jù)提取清單。

二、APP、網(wǎng)站的滲透

APP是投資類(lèi)電信網(wǎng)絡(luò)詐騙過(guò)程中必涉工具。APP或用于引流，或用于交流，或用作行騙平臺(tái)。一些投資類(lèi)電信網(wǎng)絡(luò)詐騙也會(huì)用到網(wǎng)站，網(wǎng)站通常是投資平臺(tái)的依托。有條件的應(yīng)第一時(shí)間實(shí)施滲透，實(shí)現(xiàn)遠(yuǎn)程云取證。

滲透是個(gè)十分復(fù)雜的技術(shù)工作，要有專(zhuān)業(yè)技術(shù)支持，還要用到特定工具。

先要搞清行騙者是否還在相關(guān)的APP空間。如果行騙者尚在，可實(shí)時(shí)實(shí)施滲透、遠(yuǎn)程云勘。偵查人員用合適的工具進(jìn)入行騙者使用的網(wǎng)站、APP所關(guān)聯(lián)的服務(wù)器。對(duì)服務(wù)器里的數(shù)據(jù)進(jìn)行調(diào)取。如果服務(wù)器勘驗(yàn)工作順利，便可搞清服務(wù)器IP、服務(wù)器所在城市、行騙者的身份。這樣該案件的偵查工作就大大地往前推進(jìn)了一步。

投資類(lèi)電信網(wǎng)絡(luò)詐騙案件滲透的通常做法如下。

（一）收集與目標(biāo)網(wǎng)絡(luò)相關(guān)的信息，建立基礎(chǔ)臺(tái)賬

收集目標(biāo)網(wǎng)絡(luò)信息通常從四個(gè)方面入手：一是利用各類(lèi)網(wǎng)站信息收集平臺(tái)查詢(xún)；二是收集網(wǎng)站超鏈接；三是搜集目標(biāo)IP地址信息；四是挖掘子域名。

通過(guò)以上路徑收集的信息須建成基礎(chǔ)臺(tái)賬。當(dāng)主站突破遇到困難時(shí)可從其他邊緣網(wǎng)絡(luò)入手對(duì)目標(biāo)開(kāi)展工作，突破其內(nèi)網(wǎng)邊界，從而獲得其內(nèi)部系統(tǒng)訪(fǎng)問(wèn)權(quán)限。

（二）突破內(nèi)網(wǎng)邊界，獲取關(guān)鍵系統(tǒng)權(quán)限

在完成對(duì)目標(biāo)網(wǎng)絡(luò)信息的分析后，需從中找到邊界主機(jī)，并分析哪些數(shù)據(jù)在其內(nèi)網(wǎng)中，接著對(duì)相應(yīng)的目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊，獲取控制權(quán)限。

網(wǎng)絡(luò)攻擊與獲取控制權(quán)限的方法有三。一是突破網(wǎng)站邊界。通過(guò)數(shù)據(jù)分析，分清主站與旁站，從防護(hù)較為薄弱的旁站入手實(shí)施突破。二是攻擊硬件設(shè)備。對(duì)硬件設(shè)備，如“路由器”“網(wǎng)絡(luò)交換機(jī)”“防火墻”“監(jiān)控?cái)z像頭”等在互聯(lián)網(wǎng)暴露的，且使用默認(rèn)密碼的，可直接獲得內(nèi)網(wǎng)訪(fǎng)問(wèn)權(quán)限，也可通過(guò)DNS劫持獲取內(nèi)網(wǎng)主機(jī)權(quán)限。三是內(nèi)網(wǎng)滲透。在獲得權(quán)限后，先使用端口轉(zhuǎn)發(fā)工具將其流量代理至互聯(lián)網(wǎng)跳板①并做好權(quán)限維持，在內(nèi)網(wǎng)中找多臺(tái)備用服務(wù)器，以防其安全人員發(fā)現(xiàn)之后權(quán)限丟失。，之后在摸清內(nèi)網(wǎng)大致架構(gòu)的基礎(chǔ)上，進(jìn)行漏洞掃描并抓取密碼，獲取關(guān)鍵系統(tǒng)權(quán)限，并從其配置文件中查找其內(nèi)部數(shù)據(jù)庫(kù)服務(wù)器以及文件服務(wù)器地址和訪(fǎng)問(wèn)方式，獲取數(shù)據(jù)。

（三）巧妙利用社工攻擊，打開(kāi)突破口

通過(guò)與目標(biāo)相關(guān)人員交流獲取有效信息或誘導(dǎo)其訪(fǎng)問(wèn)準(zhǔn)備好的釣魚(yú)網(wǎng)站等，來(lái)獲取其個(gè)人終端遠(yuǎn)程控制權(quán)限，方法有五。一是搜集人員信息，對(duì)犯罪團(tuán)伙人員逐個(gè)分析，掌握犯罪組織架構(gòu)。二是偽裝供應(yīng)商攻擊。找準(zhǔn)其信息項(xiàng)目建設(shè)負(fù)責(zé)人員，對(duì)其在各平臺(tái)發(fā)布采購(gòu)、招標(biāo)等信息情況進(jìn)行搜集，偽裝為系統(tǒng)或服務(wù)提供商進(jìn)行釣魚(yú)。三是釣魚(yú)攻擊。發(fā)送欺騙性電子郵件誘使目標(biāo)點(diǎn)擊特定鏈接或附件，獲取目標(biāo)密碼或電腦控制權(quán)限。四是中間人攻擊。獲取目標(biāo)OA賬號(hào)權(quán)限之后，在無(wú)法獲取其OA服務(wù)器權(quán)限的情況下，可以利用OA賬號(hào)進(jìn)行中間人攻擊。五是水坑攻擊。在獲取其常用系統(tǒng)服務(wù)器權(quán)限之后，可通過(guò)在某個(gè)頁(yè)面插入JS代碼，在頁(yè)面運(yùn)行時(shí)檢測(cè)并提示其安裝插件，并將插件下載鏈接指向木馬文件，以此獲取其管理員的電腦控制權(quán)限。以上攻擊時(shí)，木馬偽裝是極其重要的一環(huán)。

（四）獲取相關(guān)數(shù)據(jù)

通過(guò)以上措施可以獲取目標(biāo)系統(tǒng)或終端權(quán)限，從而在其系統(tǒng)中獲取犯罪集團(tuán)實(shí)施犯罪的相關(guān)數(shù)據(jù)。一是獲取數(shù)據(jù)庫(kù)數(shù)據(jù)。從源碼配置文件中找到數(shù)據(jù)庫(kù)地址、賬號(hào)密碼，獲取數(shù)據(jù)庫(kù)權(quán)限，利用“脫庫(kù)”腳本獲取全部數(shù)據(jù)。二是獲取個(gè)人終端數(shù)據(jù)。大部分行騙者會(huì)在其個(gè)人電腦中存儲(chǔ)大量犯罪收益記錄文件以及犯罪過(guò)程記錄等。三是提取瀏覽器數(shù)據(jù)。利用遠(yuǎn)程控制程序“cobalt strike”插件來(lái)提取瀏覽器記錄、存儲(chǔ)賬號(hào)密碼等，獲取其內(nèi)部系統(tǒng)權(quán)限及個(gè)人賬號(hào)信息，還可對(duì)其鍵盤(pán)進(jìn)行記錄，獲取其鍵盤(pán)輸入信息。四是獲取終端應(yīng)用個(gè)人賬號(hào)情況。例如，目標(biāo)如果使用“telegram”，可以拖回其“telegram”相關(guān)文件直接登錄其個(gè)人“telegram”賬號(hào)，獲取全部聊天信息。

三、調(diào)證

調(diào)證已成為偵查投資類(lèi)電信網(wǎng)絡(luò)詐騙案件十分常用的措施，或是不可或缺的措施。

調(diào)證之前應(yīng)對(duì)已獲線(xiàn)索進(jìn)行匯聚，根據(jù)調(diào)證對(duì)象進(jìn)行歸集，實(shí)行批量調(diào)證。調(diào)證之前還應(yīng)當(dāng)判斷調(diào)證對(duì)象是否屬于正規(guī)公司，是否存在幫助犯罪主觀故意，對(duì)涉嫌黑灰產(chǎn)或犯罪鏈條上的公司、單位、個(gè)人不能采用調(diào)證措施。

調(diào)證應(yīng)根據(jù)《中華人民共和國(guó)刑事訴訟法》《公安機(jī)關(guān)辦案刑事案件程序規(guī)定》之規(guī)定，需在案件偵查過(guò)程中實(shí)施，就是說(shuō)，在立案之后實(shí)施。

（一）調(diào)證對(duì)象與調(diào)證內(nèi)容

位于境內(nèi)持有案件相關(guān)數(shù)據(jù)的公司、個(gè)人均有配合調(diào)取證據(jù)的義務(wù)，偵查中辦案人員可以向相關(guān)公司調(diào)取注冊(cè)人身份信息、聯(lián)系方式、支付記錄、登錄 IP、業(yè)務(wù)數(shù)據(jù)等信息，在相關(guān)公司配合下還應(yīng)盡量調(diào)取該注冊(cè)人、支付信息下對(duì)應(yīng)的其他相關(guān)業(yè)務(wù)往來(lái)數(shù)據(jù)。

（二）調(diào)證一般流程與調(diào)取證據(jù)的利用

1.調(diào)證一般流程。首先，備好調(diào)證材料。這些材料包括《立案決定書(shū)》《調(diào)取證據(jù)通知書(shū)》、人民警察證、《受案登記表》等，以下材料均需填寫(xiě)完整、手續(xù)完備。《立案決定書(shū)》應(yīng)按規(guī)定制作。《調(diào)取證據(jù)通知書(shū)》需寫(xiě)明案件具體名稱(chēng)、調(diào)取的時(shí)間起止、充幣具體地址、調(diào)取的具體證據(jù)類(lèi)型、調(diào)取的具體證據(jù)內(nèi)容、與證據(jù)相關(guān)的各類(lèi)信息?！墩{(diào)取證據(jù)通知書(shū)》需提供正副本。人民警察證需要兩人以上，可以是復(fù)印件?！妒馨傅怯洷怼芬矐?yīng)填寫(xiě)完整，如果表中未包含線(xiàn)索，需補(bǔ)充工作情況說(shuō)明，寫(xiě)明線(xiàn)索來(lái)源。實(shí)務(wù)部門(mén)通常把以上材料稱(chēng)為“調(diào)證四件套”。其次，向調(diào)證公司發(fā)送協(xié)查通知?？稍诋?dāng)?shù)鼐W(wǎng)安部門(mén)協(xié)助下通過(guò)網(wǎng)安部門(mén)的129 協(xié)查系統(tǒng)發(fā)送，也可由專(zhuān)案組直接發(fā)送。再次，提交調(diào)證材料?？梢跃€(xiàn)上提交，也可線(xiàn)下提交。接著，相關(guān)公司或交易所反饋調(diào)證結(jié)果?？梢跃€(xiàn)上反饋，也可線(xiàn)下反饋。最后，補(bǔ)證。根據(jù)相關(guān)公司或交易所反饋結(jié)果，對(duì)證據(jù)提供不足的或有缺漏的可要求補(bǔ)充證據(jù)、信息。

2.調(diào)取證據(jù)的利用。對(duì)所調(diào)取的證據(jù)應(yīng)進(jìn)行綜合梳理，應(yīng)對(duì)登錄 IP 進(jìn)行綜合分析。通過(guò)梳理分析用以查明落地地域、網(wǎng)絡(luò)類(lèi)型①含普通寬帶、手機(jī)網(wǎng)絡(luò)、物聯(lián)網(wǎng)、專(zhuān)用網(wǎng)絡(luò)出口等。、是否存在代理等情況，根據(jù)不同情況進(jìn)一步采取措施，對(duì)人員身份信息、人像信息、通聯(lián)信息、支付信息開(kāi)展信息研判及技術(shù)反制措施。

四、網(wǎng)絡(luò)空間數(shù)據(jù)獲取

網(wǎng)絡(luò)空間數(shù)據(jù)獲取主要有兩種情形，一是圍繞涉案APP、網(wǎng)站的數(shù)據(jù)拓展，二是根據(jù)已知要素對(duì)網(wǎng)絡(luò)空間的掃描。

（一）圍繞涉案APP、網(wǎng)站的數(shù)據(jù)拓展

如果涉案APP、網(wǎng)站仍在使用可以直接進(jìn)行滲透。但實(shí)戰(zhàn)中常見(jiàn)的情形是行騙者行騙成功后，即將網(wǎng)站與服務(wù)器脫鉤，或?qū)λ玫腁PP進(jìn)行銷(xiāo)號(hào)。如果行騙者進(jìn)行了脫鉤與銷(xiāo)號(hào)處理，滲透與遠(yuǎn)程云勘就無(wú)法直抵網(wǎng)站、APP相關(guān)的服務(wù)器，也就無(wú)法直接獲取行騙者的身份，這樣，就須從其他途徑切入。

1.進(jìn)行網(wǎng)絡(luò)交互數(shù)據(jù)查詢(xún)與分析

瀏覽網(wǎng)頁(yè)、運(yùn)行 APP過(guò)程中均會(huì)與眾多網(wǎng)站進(jìn)行數(shù)據(jù)交互②如使用APP運(yùn)行，則啟動(dòng) CHARLS 抓包工具，抓取涉案網(wǎng)址主域名。，通過(guò)對(duì)網(wǎng)絡(luò)交互數(shù)據(jù)的查詢(xún)與分析能發(fā)現(xiàn)指向的服務(wù)器與相關(guān)聯(lián)的服務(wù)。

操作時(shí)先應(yīng)將網(wǎng)絡(luò)數(shù)據(jù)流按一級(jí)域名進(jìn)行分類(lèi)解析，逐類(lèi)明確各類(lèi)域名指向服務(wù)器的性質(zhì)，重點(diǎn)發(fā)現(xiàn)以下類(lèi)型網(wǎng)站及服務(wù)。

（1）犯罪主網(wǎng)站。對(duì)犯罪主網(wǎng)站應(yīng)當(dāng)進(jìn)行域名、IP備案查詢(xún)，通過(guò)域名 WHOIS 查詢(xún)查清域名注冊(cè)人、聯(lián)系方式、域名注冊(cè)代理機(jī)構(gòu)、注冊(cè)時(shí)間。對(duì)指向IP進(jìn)行查詢(xún)，確定IP落地位置，DNS 解析服務(wù)提供商等信息，并對(duì)主網(wǎng)站域名及 IP進(jìn)行PING、NMAP等掃描與檢測(cè)，確定是否存在跳轉(zhuǎn)或CDN 反向代理等情況。

（2）打包網(wǎng)站。對(duì)打包網(wǎng)站應(yīng)當(dāng)通過(guò)查詢(xún)確定所屬公司，在對(duì)應(yīng)網(wǎng)絡(luò)流數(shù)據(jù)中發(fā)現(xiàn)調(diào)用打包網(wǎng)站 API 的 KEYID 值。

（3）客服網(wǎng)站。對(duì)客服網(wǎng)站應(yīng)當(dāng)通過(guò)查詢(xún)區(qū)分是否為正規(guī)客服，對(duì)正規(guī)客服應(yīng)當(dāng)確定所屬公司，在對(duì)應(yīng)網(wǎng)絡(luò)流數(shù)據(jù)中發(fā)現(xiàn)調(diào)用網(wǎng)站API 的 KEYID 值。對(duì)美洽、CC 等客服網(wǎng)站可通過(guò)數(shù)據(jù)檢查發(fā)現(xiàn)客服注冊(cè)人相關(guān)信息。對(duì)黑灰產(chǎn)客服或者為犯罪單獨(dú)搭建的網(wǎng)站應(yīng)當(dāng)按犯罪主網(wǎng)站查證內(nèi)容開(kāi)展查證分析。

（4）短信通道。短信通道一般是在注冊(cè)涉案網(wǎng)站或APP 賬號(hào)過(guò)程中發(fā)送短信驗(yàn)證碼時(shí)發(fā)現(xiàn)，對(duì)短信通道要根據(jù)各號(hào)段確定短信運(yùn)營(yíng)商。

（5）其他網(wǎng)站、地址。包括第四方支付網(wǎng)站、消息推送網(wǎng)站、統(tǒng)計(jì)網(wǎng)站、地理定位網(wǎng)站、數(shù)據(jù)上傳服務(wù)器、郵箱地址等。這些網(wǎng)站的查證方法與打包網(wǎng)站的查證分析方法類(lèi)同。

2.分析安裝文件

安裝文件，又稱(chēng)APK。可通過(guò)反編譯檢查代碼方式明確相關(guān)APK 所具有的功能，發(fā)現(xiàn)犯罪主網(wǎng)站及其他第三方服務(wù)。通過(guò)反編譯發(fā)現(xiàn)的相關(guān)網(wǎng)站及服務(wù)可與網(wǎng)絡(luò)流數(shù)據(jù)中發(fā)現(xiàn)的結(jié)果相互印證、互為補(bǔ)充。

（1）借助魔盾安全分析平臺(tái)、騰訊哈勃分析系統(tǒng)等互聯(lián)網(wǎng)安全平臺(tái)進(jìn)行輔助分析，發(fā)現(xiàn)APK中的高危權(quán)限、危險(xiǎn)函數(shù)、URL及IP。

（2）用 JADX-GUI 等工具對(duì)APK進(jìn)行反編譯，基于安全分析平臺(tái)在反編譯文件中著重發(fā)現(xiàn)包名、高危權(quán)限、主網(wǎng)站、相關(guān)第三方服務(wù)及相應(yīng)的 KEYID 等唯一性值、APK 簽名及完整性校驗(yàn)值。

（3）對(duì) APK 中的竊取隱私、攔截短信的惡意代碼進(jìn)行功能檢查，利用安全平臺(tái)發(fā)現(xiàn)危險(xiǎn)函數(shù)，在JADX-GUI中快速定位到相關(guān)代碼塊，檢查其實(shí)現(xiàn)的原理，并截圖保存其代碼內(nèi)容。

3.分析分發(fā)源網(wǎng)站

分發(fā)源網(wǎng)站系為存儲(chǔ)、分發(fā)涉案應(yīng)用程序網(wǎng)站。偵查中應(yīng)對(duì)分發(fā)源網(wǎng)站的域名、指向服務(wù)器進(jìn)行查證，確定分發(fā)源網(wǎng)站的涉案情況，發(fā)現(xiàn)分發(fā)源網(wǎng)站的搭建、維護(hù)人員信息等。首先，打開(kāi)工作電腦瀏覽器，仿真成安卓、蘋(píng)果手機(jī)瀏覽器分別對(duì)分發(fā)源網(wǎng)站進(jìn)行訪(fǎng)問(wèn)，記錄訪(fǎng)問(wèn)過(guò)程的所有跳轉(zhuǎn)網(wǎng)址及應(yīng)用程序最終下載的網(wǎng)址。其次，比較安卓、蘋(píng)果手機(jī)瀏覽器訪(fǎng)問(wèn)過(guò)程中所涉網(wǎng)址的差異，確定各個(gè)網(wǎng)址所對(duì)應(yīng)網(wǎng)站的功能與性質(zhì)。第三，對(duì)涉案的網(wǎng)站開(kāi)展域名、IP、備案、DNS解析等查詢(xún)，發(fā)現(xiàn)網(wǎng)站搭建人相關(guān)信息。最后查清公共分發(fā)平臺(tái)所屬公司，根據(jù) URL中的參數(shù)向所屬公司調(diào)證。

（二）根據(jù)已知要素對(duì)網(wǎng)絡(luò)空間進(jìn)行掃描

對(duì)作為投資平臺(tái)的APP、網(wǎng)站相關(guān)空間的數(shù)據(jù)獲取是個(gè)數(shù)據(jù)挖掘的過(guò)程?！皵?shù)據(jù)挖掘，又稱(chēng)為數(shù)據(jù)庫(kù)中知識(shí)的發(fā)現(xiàn)。它是一個(gè)從大量數(shù)據(jù)中抽取挖掘出未知值的模式或規(guī)律等知識(shí)的復(fù)雜過(guò)程?！盵2]數(shù)據(jù)挖掘過(guò)程，往往伴隨著數(shù)據(jù)的收集、提取、儲(chǔ)存、分析。當(dāng)面對(duì)的是大數(shù)據(jù)量級(jí)的數(shù)據(jù)時(shí)，需依抽樣規(guī)則進(jìn)行收集，并運(yùn)用大數(shù)據(jù)工具、技術(shù)進(jìn)行儲(chǔ)存、分析。

數(shù)據(jù)挖掘應(yīng)從已知要素入手，所謂已知要素即前期偵查中所獲取的可以加以利用的信息、數(shù)據(jù)。比較常用的有安裝文件（hash值）、同指向域名、IP、分發(fā)網(wǎng)站、APP 打包公司、短信通道、同客服公司、同客服注冊(cè)信息等要素。數(shù)據(jù)挖掘應(yīng)對(duì)已知要素進(jìn)行歸集，從已知信息、數(shù)據(jù)有針對(duì)性地推進(jìn)。

數(shù)據(jù)挖掘還須使用專(zhuān)門(mén)工具。實(shí)戰(zhàn)中通常使用特定工具進(jìn)行線(xiàn)性回溯的VOS全球數(shù)據(jù)掃描技術(shù)。這種掃描是面向全球的，也是一種開(kāi)放性的掃描，既面向明網(wǎng)，也面向暗網(wǎng)；既掃描網(wǎng)絡(luò)電話(huà)服務(wù)器，也掃描其他敏感數(shù)據(jù)；既掃描涉案通訊工具，也掃描APP使用、資金流轉(zhuǎn)情況；既掃描APP、網(wǎng)站內(nèi)部空間，也掃描相關(guān)的云空間。通過(guò)開(kāi)放性?huà)呙?，獲取多樣化數(shù)據(jù)，通過(guò)對(duì)數(shù)據(jù)的智能匹配分析，發(fā)現(xiàn)特征服務(wù)器、IP地址、支付信息及其他信息。當(dāng)獲取信息的同時(shí)也可能發(fā)現(xiàn)了相關(guān)犯罪嫌疑人，或?yàn)橄乱徊絺刹楣ぷ魈峁┝藯l件。

五、通訊工具追驗(yàn)

近年來(lái)，APP類(lèi)工具似有取代通訊工具之趨勢(shì)，但從本質(zhì)上講，形成網(wǎng)絡(luò)流的底層技術(shù)仍然離不開(kāi)通訊，實(shí)施電信網(wǎng)絡(luò)詐騙依然離不開(kāi)通訊號(hào)碼與工具。

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪的通訊手法不斷變化，所涉及的通訊工具五花八門(mén)。

（一）認(rèn)識(shí)通訊工具

指的是被用于詐騙的通訊工具，含電話(huà)卡、傳統(tǒng)通訊終端、網(wǎng)絡(luò)電話(huà)設(shè)備。

1.認(rèn)識(shí)電話(huà)卡。電話(huà)卡涉及的是電話(huà)號(hào)碼，關(guān)系該號(hào)碼能否加入通訊網(wǎng)絡(luò)。不管是傳統(tǒng)通訊終端，還是網(wǎng)絡(luò)電話(huà)，都需要可入網(wǎng)的電話(huà)卡以支撐。電話(huà)號(hào)碼還被用于各類(lèi)APP、應(yīng)用系統(tǒng)的注冊(cè)①電話(huà)卡有中國(guó)電信卡、中國(guó)聯(lián)通卡、中國(guó)移動(dòng)卡、中國(guó)廣電卡以及電信、移動(dòng)、聯(lián)通的虛擬運(yùn)營(yíng)商號(hào)卡，還有衛(wèi)星通信號(hào)卡、物聯(lián)網(wǎng)號(hào)卡、香港卡、國(guó)際卡等。不管是哪一種號(hào)卡都可能被用于詐騙。電話(huà)號(hào)碼有實(shí)名注冊(cè)的、有未實(shí)名注冊(cè)的。在《依法清理整治涉詐電話(huà)卡、物聯(lián)網(wǎng)卡以及關(guān)聯(lián)互聯(lián)網(wǎng)賬號(hào)的通告》發(fā)布后，對(duì)電話(huà)卡的管控日益嚴(yán)厲，在此背景下非實(shí)名注冊(cè)漸漸失去市場(chǎng)。而為了達(dá)到行騙之目的，行騙人通常通過(guò)收購(gòu)他人身份證明，冒用他人身份進(jìn)行入戶(hù)登記或注冊(cè)。。

2.認(rèn)識(shí)網(wǎng)關(guān)通訊設(shè)備。常見(jiàn)的被用于詐騙的網(wǎng)關(guān)通訊設(shè)備有VOIP、GOIP等。多卡寶①又名SIMBOX，是一種可以插多張手機(jī)卡進(jìn)行通話(huà)的設(shè)備，用戶(hù)可以將多張手機(jī)卡插入1臺(tái)“多卡寶”設(shè)備中，通過(guò)手機(jī)APP連接后，實(shí)現(xiàn)1部手機(jī)同時(shí)操作多張手機(jī)卡撥打電話(huà)。、蘋(píng)果皮②“蘋(píng)果皮”的設(shè)計(jì)初衷是滿(mǎn)足IOS設(shè)備聯(lián)網(wǎng)需求——多卡多待、幫助不能聯(lián)網(wǎng)的IOS設(shè)備實(shí)現(xiàn)聯(lián)網(wǎng)功能。因具有可與設(shè)備可分離、可通過(guò)APP遠(yuǎn)程操控、無(wú)需國(guó)際漫游費(fèi)等特點(diǎn)被改造成詐騙工具。、絡(luò)漫寶③可以實(shí)現(xiàn)在全球范圍內(nèi)撥打電話(huà)、收發(fā)短信，并且沒(méi)有漫游費(fèi)，具體的操作方法就是把手機(jī)卡插入絡(luò)漫寶中，激活設(shè)備獲得帳號(hào)密碼后，再登陸手機(jī)APP就可以遠(yuǎn)程操控該電話(huà)卡。、WhatsApp④是WhatsApp Messenger的簡(jiǎn)稱(chēng)，是一款用于智能手機(jī)之間通訊的應(yīng)用程序。借助推送通知服務(wù)，可以即刻接收親友和同事發(fā)送的信息，可免費(fèi)從發(fā)送手機(jī)短信轉(zhuǎn)為使用WhatsApp程序，以發(fā)送和接收信息、圖片、音頻文件和視頻信息。等呼叫設(shè)備也被用于詐騙。

（1）VOIP電話(huà)。亦被稱(chēng)為“虛擬電話(huà)”“網(wǎng)絡(luò)電話(huà)”“IP電話(huà)”。VOIP是一種通過(guò)互聯(lián)網(wǎng)傳送語(yǔ)音的通話(huà)技術(shù)，通常采用SIP協(xié)議。VOIP通話(huà)過(guò)程中負(fù)責(zé)轉(zhuǎn)換的服務(wù)器起了關(guān)鍵作用⑤VOIP通話(huà)過(guò)程中，主叫號(hào)碼的歸屬地信息通常是由其租用的VOIP服務(wù)器所在的區(qū)域決定，主叫號(hào)碼的歸屬信息就和呼叫者之間沒(méi)什么關(guān)系。。使用VOIP通話(huà)的行騙者通常會(huì)利用改號(hào)軟件等手段，將主叫號(hào)碼修改為被叫號(hào)碼的所在地⑥這樣可以隱匿主叫方的真實(shí)情況以降低被電話(huà)系統(tǒng)風(fēng)控檢出的幾率，也降低了被騙人的警覺(jué)性，更具欺騙性。。近年，相關(guān)政策禁止大批VOIP供應(yīng)商并禁止改號(hào)行為。當(dāng)下，除了黑灰色產(chǎn)業(yè)中的改號(hào)軟件外，市面上幾乎看不到擁有改號(hào)功能的VOIP軟件，于是GOIP便應(yīng)運(yùn)而生。

（2）GOIP電 話(huà)。GOIP是GSM OVER IP的縮寫(xiě)，它是將GSM網(wǎng)絡(luò)和VOIP網(wǎng)絡(luò)連接的設(shè)備，又稱(chēng)“無(wú)線(xiàn)語(yǔ)音網(wǎng)關(guān)”。通過(guò)GOIP設(shè)備，用戶(hù)可以實(shí)現(xiàn)GSM網(wǎng)絡(luò)和VOIP之間的呼入呼出，并且支持呼入時(shí)主叫號(hào)碼透?jìng)?、支持短信和USSD收發(fā)，也支持SIP和H323協(xié)議。GOIP有著更高的隱蔽性。當(dāng)順著詐騙電話(huà)的IP地址找到所在地時(shí)，那里可能只有一堆插著SIM卡的GOIP設(shè)備，而真正的使用者可能在千里之外或境外。GOIP設(shè)備通?？梢酝瑫r(shí)支持多張手機(jī)卡使用，如果配合卡池（貓池）則能形成十分龐大的呼叫集群。

GOIP電話(huà)由一個(gè)系統(tǒng)構(gòu)成。GOIP系統(tǒng)一般由遠(yuǎn)程管理系統(tǒng)、呼叫中心、卡池及卡池管理系統(tǒng)、GOIP設(shè)備等構(gòu)成。詐騙犯罪團(tuán)伙為了逃避打擊，這一系統(tǒng)所涉及的設(shè)備一般會(huì)被分散放置在各地。通常只有GOIP設(shè)備部署在境內(nèi)，其他設(shè)置部署在境外。

（二）通訊工具追查

盡管投資類(lèi)電話(huà)網(wǎng)絡(luò)詐騙所涉及的通訊工具五花八門(mén)，但根據(jù)投資類(lèi)電信網(wǎng)絡(luò)犯罪通訊工具使用的特點(diǎn)，當(dāng)下主要要追查的是GOIP電話(huà)。而且，在境內(nèi)，重點(diǎn)要追查的是GOIP設(shè)備。

要追查GOIP設(shè)備須先弄清GOIP設(shè)備的架設(shè)場(chǎng)景。通過(guò)對(duì)已破案件的研究發(fā)現(xiàn)，用于投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪的GOIP設(shè)備的架設(shè)場(chǎng)景有以下幾個(gè)特點(diǎn)：一是場(chǎng)所相對(duì)偏僻；二是場(chǎng)所是臨時(shí)出租房；三是有互聯(lián)網(wǎng)接入環(huán)境，比如ADSL寬帶，有的用便攜WiFi熱點(diǎn)設(shè)備等；四是無(wú)人值守，但可利用遠(yuǎn)程攝像頭進(jìn)行監(jiān)控；五是可根據(jù)犯罪時(shí)間有規(guī)律性地開(kāi)啟和關(guān)閉GOIP設(shè)備；六是設(shè)備搭建人負(fù)責(zé)租場(chǎng)地；七是設(shè)備搭建人與設(shè)備控制人一般較熟悉，通過(guò)專(zhuān)用手機(jī)聯(lián)系。

偵查中，可根據(jù)以上特點(diǎn)，依托出租屋管理系統(tǒng)，綜合租住人的性別、人數(shù)、職業(yè)、租后入住情況、入住前后購(gòu)置GOIP設(shè)備、遠(yuǎn)程監(jiān)控?cái)z像頭及與安裝GOIP設(shè)備、遠(yuǎn)程監(jiān)控?cái)z像頭相關(guān)的工具情況、入住后水電變化等要素建立數(shù)據(jù)模型，根據(jù)模型篩選排查出重點(diǎn)目標(biāo)屋，確定重點(diǎn)目標(biāo)屋后再由刑警、治安警或段警入戶(hù)排查。

偵查實(shí)踐中，辦案人員也研發(fā)出了GOIP“貓池”實(shí)時(shí)捕捉技術(shù)并在實(shí)踐中加以運(yùn)用。GOIP設(shè)備被頻繁使用的，可通過(guò)信號(hào)捕捉發(fā)現(xiàn)GOIP設(shè)備架設(shè)處。

（三）通訊工具勘驗(yàn)

對(duì)通訊工具的勘驗(yàn)主要是指對(duì)GOIP系統(tǒng)的勘驗(yàn)。對(duì)GOIP系統(tǒng)的勘驗(yàn)可分成GOIP設(shè)備勘驗(yàn)與GOIP系統(tǒng)其他內(nèi)容勘驗(yàn)。GOIP設(shè)備與GOIP系統(tǒng)其他內(nèi)容通常是分離的，因此，勘驗(yàn)GOIP設(shè)備與勘驗(yàn)GOIP系統(tǒng)其他內(nèi)容經(jīng)常會(huì)在不同的空間里進(jìn)行，對(duì)GOIP設(shè)備與GOIP系統(tǒng)其他內(nèi)容的勘驗(yàn)通常也會(huì)在偵查的不同階段進(jìn)行。

對(duì)通訊工具的勘驗(yàn)，既要勘驗(yàn)電子數(shù)據(jù)，也要勘驗(yàn)其他痕跡、物品。

1.GOIP設(shè)備及其所在空間的勘驗(yàn)

（1）勘驗(yàn)搭建GOIP設(shè)備空間里的痕跡物品。進(jìn)入現(xiàn)場(chǎng)后，先觀察是否有遠(yuǎn)程監(jiān)控?cái)z像頭。如果有，應(yīng)先斷監(jiān)控?cái)z像頭的電，接著斷開(kāi)GOIP設(shè)備網(wǎng)絡(luò)。斷監(jiān)控?cái)z像頭電的目的是防止攝像頭控制人對(duì)設(shè)備進(jìn)行遠(yuǎn)程恢復(fù)出廠設(shè)置以銷(xiāo)毀設(shè)備中的電子數(shù)據(jù)。斷電斷網(wǎng)后，對(duì)室內(nèi)空間、設(shè)備等進(jìn)行拍照錄像固定，同時(shí)繪制現(xiàn)場(chǎng)圖、制作現(xiàn)場(chǎng)勘驗(yàn)筆錄，在圖上標(biāo)注設(shè)備位置，對(duì)設(shè)備上發(fā)現(xiàn)的指紋、DNA進(jìn)行固定提取并記入筆錄。

（2）勘驗(yàn)監(jiān)控?cái)z像設(shè)備。遠(yuǎn)程攝像頭監(jiān)控視頻有本地存儲(chǔ)和云存儲(chǔ)兩種方式，通常以云存儲(chǔ)為常見(jiàn)。攝像設(shè)備控制人通常是通過(guò)手機(jī)APP來(lái)管理視頻內(nèi)容?？彬?yàn)監(jiān)控?cái)z像設(shè)備時(shí)應(yīng)重點(diǎn)收集在云端里保存的有關(guān)設(shè)備安裝人或看守人視頻、遠(yuǎn)程攝像頭APP信息、綁定的手機(jī)號(hào)、使用的云存儲(chǔ)繳費(fèi)賬號(hào)等①遠(yuǎn)程攝像頭APP信息、綁定的手機(jī)號(hào)、使用的云存儲(chǔ)繳費(fèi)賬號(hào)要通過(guò)遠(yuǎn)程攝像頭公司調(diào)取?？梢圆捎弥刂迷O(shè)備的辦法獲得設(shè)備序列號(hào)。用設(shè)備序列號(hào)可以調(diào)取設(shè)備注冊(cè)信息、云存儲(chǔ)視頻和云存儲(chǔ)繳費(fèi)情況，還可能調(diào)取到購(gòu)買(mǎi)的設(shè)備情況。。

（3）勘驗(yàn)無(wú)線(xiàn)路由器。在有路由器登錄賬號(hào)密碼時(shí)，可現(xiàn)場(chǎng)提取寬帶賬號(hào)和密碼、登錄設(shè)備的MAC。通常現(xiàn)場(chǎng)的攝像頭、智能插座和GOIP設(shè)備的MAC都在無(wú)線(xiàn)路由器登錄數(shù)據(jù)中。如果沒(méi)有路由器登錄賬號(hào)密碼，可用物聯(lián)網(wǎng)取證設(shè)備提取相關(guān)電子數(shù)據(jù)。

（4）勘驗(yàn)智能插座。GOIP設(shè)備場(chǎng)所的智能插座一般由設(shè)備搭建人或詐騙分子用手機(jī)遠(yuǎn)程控制。相關(guān)人在手機(jī)上安裝APP，通過(guò)APP控制GOIP設(shè)備開(kāi)關(guān)。智能插座APP一般用手機(jī)注冊(cè)，如果能找到智能插座APP注冊(cè)手機(jī)就能找到涉案人員②以小米WiFi版智能插座為例，通常是由米家APP遠(yuǎn)程控制。先是設(shè)備的序列號(hào)，設(shè)備序列號(hào)會(huì)標(biāo)注在設(shè)備上，記錄即可。其次是設(shè)備的MAC地址，可以通過(guò)在米家APP上添加涉案插座獲得。。

（5）勘驗(yàn)GOIP設(shè)備。GOIP設(shè)備中存在多種電子數(shù)據(jù)。有設(shè)備基本信息：設(shè)備序列號(hào)、型號(hào)、MAC地址、網(wǎng)絡(luò)連接模式、網(wǎng)絡(luò)狀態(tài)、軟件版本信息、模式信息（卡槽imei)；網(wǎng)絡(luò)配置信息：本地網(wǎng)絡(luò)、ARP、VPN和訪(fǎng)問(wèn)控制信息；無(wú)線(xiàn)配置信息：SIM模式設(shè)置（本地、SIMBANK)、語(yǔ)音設(shè)置（編碼、4G語(yǔ)音是否開(kāi)通）、云服務(wù)器等設(shè)置信息；通話(huà)統(tǒng)計(jì)信息：主被叫電話(huà)號(hào)碼、通話(huà)時(shí)間和時(shí)長(zhǎng)信息；呼叫配置信息：SIP中心的IP地、端口信息等。

提取GOIP設(shè)備上數(shù)據(jù)的方法主要有三種。一是在掌握設(shè)備頁(yè)面管理登錄賬號(hào)密碼的情況下直接提取相關(guān)數(shù)據(jù)。先識(shí)別GOIP設(shè)備品牌，接著用管理口或USB口與計(jì)算機(jī)連接，最后利用網(wǎng)頁(yè)管理進(jìn)入設(shè)備，提取相關(guān)數(shù)據(jù)。二是沒(méi)有掌握設(shè)備頁(yè)面管理賬號(hào)密碼的取證。一般用管理口或USB口與計(jì)算機(jī)連接，并嘗試用默認(rèn)靜態(tài)IP、賬號(hào)、密碼登錄頁(yè)面系統(tǒng)獲得與上述一樣的數(shù)據(jù)。三是物聯(lián)網(wǎng)取證設(shè)備對(duì)GOIP設(shè)備直接提取數(shù)據(jù)。利用GOIP設(shè)備管理口或USB口與物聯(lián)網(wǎng)取證設(shè)備聯(lián)接。按取證設(shè)備提示操作就可以提取到相關(guān)的數(shù)據(jù)。相關(guān)設(shè)備信息有：設(shè)備型號(hào)、設(shè)備序列號(hào)、軟件版本號(hào)、MAC地址、設(shè)備卡槽的IMEI號(hào)；主叫手機(jī)卡信息有：IMSI或手機(jī)號(hào)碼、撥打日期時(shí)間；被叫手機(jī)信息有：手機(jī)號(hào)碼或IMEI號(hào)或IMSI號(hào)；卡池參數(shù)設(shè)置信息和SIP中心參數(shù)設(shè)置信息等。

2.GOIP系統(tǒng)其他內(nèi)容勘驗(yàn)

（1）云服務(wù)器IP和端口號(hào)。云服務(wù)器是指管理電話(huà)卡卡池的系統(tǒng)服務(wù)器。在無(wú)線(xiàn)配置數(shù)據(jù)中有云服務(wù)器參數(shù)配置，其中有服務(wù)器IP地址和端口號(hào)。云服務(wù)器受遠(yuǎn)程管理系統(tǒng)控制，可以為多個(gè)GOIP設(shè)備提供電話(huà)卡。如果能獲得該服務(wù)器權(quán)限，便能從其配置信息里發(fā)現(xiàn)多個(gè)卡池和多個(gè)GOIP設(shè)備落地點(diǎn)線(xiàn)索。偵查中可試探運(yùn)用特定技術(shù)手段獲取。

（2）SIP服務(wù)器IP和端口號(hào)。SIP服務(wù)器系統(tǒng)也稱(chēng)呼叫中心，是GOIP系統(tǒng)的“指揮中心”。如果能獲得該服務(wù)器權(quán)限，便可從其設(shè)置參數(shù)中發(fā)現(xiàn)多個(gè)GOIP設(shè)備落地點(diǎn)、遠(yuǎn)程管理服務(wù)器地址和服務(wù)器維護(hù)人員IP地址及電話(huà)窩點(diǎn)的IP地址。偵查中可試探運(yùn)用特定技術(shù)手段獲取。

（3）GOIP設(shè)備中的IMEI號(hào)。GOIP設(shè)備中IMEI號(hào)可用于關(guān)聯(lián)手機(jī)卡的IMEI號(hào)和電話(huà)號(hào)碼，分析該電話(huà)號(hào)碼（主叫號(hào)）的通話(huà)單，可查找被騙人和關(guān)聯(lián)案件線(xiàn)索，還可以通過(guò)主叫電話(huà)的基站位置追溯可能的多個(gè)GOIP設(shè)備窩點(diǎn)。偵查中可試探運(yùn)用特定技術(shù)手段獲取。

六、資金流溯源、查控

獲取資金是投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪的最終目的。行騙者的詐騙方案都是圍繞著騙取資金而設(shè)計(jì)的。為了達(dá)到目的，行騙者總是千方百計(jì)地變化手法，試圖割斷資金流向的關(guān)聯(lián)，從而阻斷偵查方對(duì)資金的溯源、查控。從早期的銀行柜臺(tái)、自動(dòng)柜員機(jī)轉(zhuǎn)賬，到當(dāng)下依托虛擬幣交易平臺(tái)的交易、洗白，資金流轉(zhuǎn)的手法在不斷升級(jí)，資金流的溯源與查控也面臨著許多困難。在此，將根據(jù)資金流轉(zhuǎn)手法的不同討論對(duì)其溯源、查控的基本方法，并重點(diǎn)討論依托虛擬幣交易平臺(tái)交易的資金溯源、查控。

（一）采用常規(guī)流轉(zhuǎn)手法的資金溯源、查控

常規(guī)銀行轉(zhuǎn)賬、第三方支付、合法第四方支付的溯源、查控主要通過(guò)以下兩條路徑實(shí)現(xiàn)。

1.依托公安部電信網(wǎng)絡(luò)詐騙案件偵辦平臺(tái)（國(guó)家反詐平臺(tái)）溯源、查控。目前此平臺(tái)主要含銀行卡查詢(xún)、第三方查詢(xún)兩個(gè)模塊。依托此平臺(tái)可以實(shí)現(xiàn)對(duì)銀行賬號(hào)、部分第三方支付賬號(hào)、交易的止付、凍結(jié)、查詢(xún)①其中銀行卡查詢(xún)模塊可以對(duì)涉案銀行賬號(hào)（含對(duì)公賬號(hào)）發(fā)起開(kāi)戶(hù)主體及交易明細(xì)的查詢(xún)。查詢(xún)時(shí)對(duì)時(shí)間段有具體的要求。目前大部分銀行賬號(hào)查詢(xún)功能都可正常實(shí)現(xiàn)，且反饋時(shí)間較快，交易明細(xì)可以EXCEL導(dǎo)出。第三方支付的查詢(xún)功能分為：主體查詢(xún)、交易明細(xì)查詢(xún)、全賬號(hào)查詢(xún)、流水號(hào)查詢(xún)。目前以上四條查詢(xún)功能應(yīng)用較多的是支付寶、財(cái)付通兩家公司，接入的其他第三方支付公司尚無(wú)法有效查詢(xún)。。

2.依托資金查控平臺(tái)的溯源、查控。目前主要有利用經(jīng)偵資金查控平臺(tái)和利用JASS系統(tǒng)的溯源、查控。經(jīng)偵資金查控平臺(tái)目前能為電話(huà)網(wǎng)絡(luò)詐騙案件資金查控提供支持的有兩項(xiàng)。一是人行專(zhuān)線(xiàn)②可根據(jù)身份證號(hào)查詢(xún)?nèi)藛T在所有銀行網(wǎng)點(diǎn)的開(kāi)戶(hù)記錄，可以反饋具體要到網(wǎng)點(diǎn)信息。借助此功能可以在明確犯罪嫌疑人身份的情況下獲取該人在所有銀行網(wǎng)點(diǎn)的開(kāi)戶(hù)記錄，接著進(jìn)一步到有開(kāi)戶(hù)記錄的銀行調(diào)取具體卡號(hào)。。二是歸屬行查詢(xún)③因各個(gè)商業(yè)銀行對(duì)公賬戶(hù)編碼規(guī)則不同，目前反詐平臺(tái)對(duì)公賬戶(hù)的歸屬行尚不能自動(dòng)識(shí)別。在偵查中經(jīng)常有對(duì)公賬戶(hù)歸屬行無(wú)法確定導(dǎo)致無(wú)法進(jìn)一步追查資金。經(jīng)偵資金查控平臺(tái)歸屬行查詢(xún)模塊可對(duì)任意銀行賬戶(hù)的歸屬行、開(kāi)戶(hù)網(wǎng)點(diǎn)進(jìn)行查詢(xún)。。JASS系統(tǒng)是銀聯(lián)司法協(xié)助系統(tǒng)的簡(jiǎn)稱(chēng)。此系統(tǒng)可以對(duì)銀行卡的跨行交易進(jìn)行查控，數(shù)據(jù)由銀聯(lián)提供。存在兩種情形：一是銀行卡跨行取款，可以獲取跨行取款的網(wǎng)點(diǎn)、ATM機(jī)終端號(hào)④對(duì)于資金落地通過(guò)ATM跨行取款的案件可以通過(guò)此信息進(jìn)一步追查調(diào)取取款監(jiān)控等。。二是POS機(jī)消費(fèi)?？梢垣@取POS機(jī)商戶(hù)名、商戶(hù)代碼、歸屬的收單公司等信息⑤對(duì)于犯罪嫌疑卡通過(guò)POS機(jī)刷卡轉(zhuǎn)移資金的案件 可以通過(guò)此系統(tǒng)提供的信息進(jìn)一步向具體收單機(jī)構(gòu)調(diào)證。JASS系統(tǒng)還可以對(duì)銀行卡的跨行交易實(shí)施動(dòng)態(tài)查詢(xún)（監(jiān)控），有跨行交易、查詢(xún)及POS機(jī)刷卡等操作時(shí)實(shí)時(shí)通過(guò)短信方式告知民警。。

此外，對(duì)無(wú)法通過(guò)國(guó)家反詐平臺(tái)、經(jīng)偵資金查控平臺(tái)實(shí)現(xiàn)有效查控的第三方支付、合法第四方支付，可以通過(guò)調(diào)證的方式實(shí)現(xiàn)對(duì)有關(guān)信息、數(shù)據(jù)的獲?、迣?duì)于收單類(lèi)第三方支付公司（POS）通常先通過(guò)JASS系統(tǒng)獲取商戶(hù)號(hào)、商戶(hù)名稱(chēng)等信息，進(jìn)而查詢(xún)可疑交易對(duì)應(yīng)的商戶(hù)注冊(cè)信息、結(jié)算賬戶(hù)及刷卡消費(fèi)明細(xì)（個(gè)別公司可提供交易IP、LBS信息）。對(duì)于互聯(lián)網(wǎng)支付類(lèi)支付公司（主要為B2C交易）需到銀行調(diào)取相關(guān)交易電子訂單號(hào)，一般公司可據(jù)此反饋犯罪嫌疑資金入賬的商戶(hù)注冊(cè)信息以及該商戶(hù)入金出金記錄。。

（二）涉及第四方支付的資金溯源、查控

1.第四方支付平臺(tái)及在投資類(lèi)電信網(wǎng)絡(luò)詐騙中的運(yùn)用

第四方支付平臺(tái)可以分為境內(nèi)與跨境兩種。境內(nèi)第四方支付平臺(tái)還可分成合法與非法兩種，被用于行騙的第四方支付平臺(tái)通常是非法的，非法的第四方支付平臺(tái)是指未獲得國(guó)家支付結(jié)算許可，違反國(guó)家支付結(jié)算制度，依托支付寶、財(cái)付通等正規(guī)第三方支付平臺(tái)，通過(guò)大量注冊(cè)商戶(hù)或個(gè)人賬戶(hù)非法搭建的支付通道①這種平臺(tái)集合了各種第三方支付平臺(tái)、合作銀行、合作電信運(yùn)營(yíng)商、其他服務(wù)商接口，集合了各個(gè)第三方支付及多種支付渠道的優(yōu)勢(shì)，能夠根據(jù)商戶(hù)的需求進(jìn)行個(gè)性化定制，形成支付通道資源的互補(bǔ)優(yōu)勢(shì)。與第三方支付比，第四方支付的優(yōu)點(diǎn)：費(fèi)率低、接入難度小、靈活性高。因此特點(diǎn)，第四方支付平臺(tái)成了投資類(lèi)電信網(wǎng)絡(luò)詐騙資金流轉(zhuǎn)的重要選擇。。跨境第四方支付平臺(tái)，是指通過(guò)其他國(guó)家貨幣進(jìn)行支付，對(duì)接了相應(yīng)國(guó)家的主流支付通道平臺(tái)②如印度的主流支付方式有：BHIM UPI、freecharge 、Paytm，越南的主流支付方式有：momo、Deposit、ACB Bank。。投資類(lèi)電信網(wǎng)絡(luò)詐騙經(jīng)常也選擇跨境第四方支付平臺(tái)進(jìn)行資金結(jié)算。

詐騙時(shí)，行騙者鼓動(dòng)投資人通過(guò)終端用戶(hù)發(fā)起充值（賭博或博彩），投資平臺(tái)會(huì)將該充值請(qǐng)求推送到第四方支付平臺(tái)上，第四方支付平臺(tái)會(huì)創(chuàng)建充值訂單，并且第四方支付平臺(tái)會(huì)主動(dòng)推送支付二維碼或支付充值頁(yè)面到投資客戶(hù)APP上，投資客戶(hù)通過(guò)掃二維碼或者填寫(xiě)支付賬戶(hù)信息提交支付，完成充值。與此同時(shí)，后臺(tái)數(shù)據(jù)庫(kù)里也留下了支付類(lèi)型與第四方支付平臺(tái)賬戶(hù)信息記錄。

當(dāng)投資用戶(hù)要提現(xiàn)時(shí)，可在投資客戶(hù)APP上發(fā)出提現(xiàn)申請(qǐng)，投資客戶(hù)APP跳轉(zhuǎn)到提現(xiàn)頁(yè)面，客戶(hù)在填寫(xiě)賬戶(hù)、金額等信息并提交，系統(tǒng)會(huì)自動(dòng)推送給第四方支付平臺(tái)，第四方支付平臺(tái)創(chuàng)建提現(xiàn)訂單，行騙方可向第四方支付平臺(tái)發(fā)出進(jìn)行審核提醒，經(jīng)人工審核無(wú)誤后，平臺(tái)執(zhí)行線(xiàn)下轉(zhuǎn)賬并在線(xiàn)上通知投資客戶(hù)③支付通道費(fèi)率是指：每產(chǎn)生一個(gè)支付訂單，第四方支付平臺(tái)收取一定比例的通道手續(xù)費(fèi)。合法市場(chǎng)的第四方支付平臺(tái)向商家收取的手續(xù)費(fèi)為0.38%—0.5%，同時(shí)還需分出一部分利潤(rùn)給第三方支付平臺(tái)。面向非法市場(chǎng)的第四方支付平臺(tái)，收取的手續(xù)費(fèi)在3%——6%左右。終端用戶(hù)發(fā)起充值時(shí)，平臺(tái)按照不同通道類(lèi)型收取手續(xù)費(fèi)。。

2.第四方支付平臺(tái)取證

第四方支付平臺(tái)取證主要涉及被騙用戶(hù)提現(xiàn)賬戶(hù)、第四方支付平臺(tái)賬戶(hù)、行騙者提現(xiàn)賬戶(hù)數(shù)據(jù)的提取與分析，回調(diào)地址驗(yàn)證與平臺(tái)數(shù)據(jù)統(tǒng)計(jì)等。

（1）被騙用戶(hù)提現(xiàn)賬戶(hù)的提取與分析。通過(guò)平臺(tái)前端“代收查詢(xún)”頁(yè)面，分析發(fā)現(xiàn)終端用戶(hù)提現(xiàn)賬戶(hù)以json格式數(shù)據(jù)展示。在“代收查詢(xún)”頁(yè)面點(diǎn)擊“查看”按鈕，在通用查詢(xún)?nèi)罩局袝?huì)顯示代付訂單查詢(xún)語(yǔ)句。接著，對(duì)數(shù)據(jù)庫(kù)表“fm_order”執(zhí)行查詢(xún)，提取終端用戶(hù)提現(xiàn)信息（json)格式。

（2）第四方支付平臺(tái)收款賬戶(hù)提取與分析。第四方支付平臺(tái)為終端用戶(hù)提供多種收款方式，通常有收款二維碼、銀行卡及第三方賬戶(hù)等。通常在“訂單查詢(xún)”頁(yè)面未發(fā)現(xiàn)平臺(tái)的收款賬戶(hù)，但數(shù)據(jù)庫(kù)中卻有記錄。通過(guò)點(diǎn)擊“訂單查詢(xún)”頁(yè)面，在通用查詢(xún)?nèi)罩局酗@示充值訂單查詢(xún)語(yǔ)句。接著，對(duì)數(shù)據(jù)庫(kù)表fm_order執(zhí)行查詢(xún)，提取收款賬戶(hù)信息。

（3）行騙者提現(xiàn)賬戶(hù)提取與分析。通常在“商戶(hù)管理”頁(yè)面未發(fā)現(xiàn)平臺(tái)的商戶(hù)提現(xiàn)賬戶(hù)信息，但在數(shù)據(jù)庫(kù)中卻有信息記錄。通過(guò)通用查詢(xún)?nèi)罩咀粉櫚l(fā)現(xiàn)數(shù)據(jù)庫(kù)表“fm_company”的bankinfo字段，該字段記錄了商戶(hù)提現(xiàn)賬戶(hù)信息。

（4）回調(diào)地址驗(yàn)證與平臺(tái)數(shù)據(jù)統(tǒng)計(jì)。當(dāng)終端用戶(hù)操作時(shí)，平臺(tái)會(huì)跳轉(zhuǎn)到充值頁(yè)面，并將訂單相關(guān)信息④比如充值金額、支付類(lèi)型等。推送到充值接口地址，通常將此類(lèi)地址稱(chēng)為回調(diào)地址。第四方支付平臺(tái)通常會(huì)將此類(lèi)地址記錄，用于通知平臺(tái)商戶(hù)?；卣{(diào)地址的形式多樣，有第四方支付平臺(tái)支付接口地址、商城訂單支付接口地址、營(yíng)運(yùn)商支付接口地址等。

在取證時(shí)，可通過(guò)對(duì)回調(diào)地址的提取、驗(yàn)證分析出疑似非法的第四方支付平臺(tái)地址。

平臺(tái)數(shù)據(jù)通常統(tǒng)計(jì)交易金額、涉案賬戶(hù)信息（銀行卡、第三方賬戶(hù)、虛擬貨幣等）、與第四方平臺(tái)建立資金結(jié)算通道的非法支付平臺(tái)。

（三）依托虛擬貨幣交易平臺(tái)交易的資金溯源、查控

1.虛擬貨幣交易基礎(chǔ)

（1）虛擬幣、密鑰和地址、錢(qián)包、交易平臺(tái)、資金模型。虛擬幣有原生幣（本幣）、代幣、穩(wěn)定幣、空氣幣幾種。密鑰和地址涉及地址、私鑰、助記詞。錢(qián)包有錢(qián)包APP、冷錢(qián)包、硬件錢(qián)包3種。交易所是一個(gè)連接虛擬貨幣與現(xiàn)實(shí)世界的中心化媒介。虛擬貨幣交易平臺(tái)有三種：一是中心化交易所①加密貨幣在交易所存儲(chǔ)，交易在交易所內(nèi)部記賬。經(jīng)過(guò)中心化交易所交易的可以通過(guò)錢(qián)包地址、手機(jī)號(hào)、郵箱、交易信息等調(diào)證。，二是去中心化交易所②交易在鏈上發(fā)生，可以根據(jù)資金流向向后追蹤。，三是閃兌平臺(tái)③閃兌并不需要事先把加密貨幣充值到交易平臺(tái)，而是直接通過(guò)錢(qián)包就可以完成兌換。就像24小時(shí)自動(dòng)柜員機(jī)。閃兌平臺(tái)的資金可能會(huì)出現(xiàn)跨鏈的情況，這會(huì)導(dǎo)致無(wú)法直接追蹤。可以嘗試對(duì)流入流出的資金進(jìn)行人工拼接分析。。與交易平臺(tái)相對(duì)應(yīng)的虛擬幣資金模型有三種：一是內(nèi)盤(pán)模型④指通過(guò)人民幣的方式入金和出金。在平臺(tái)上會(huì)有虛擬幣的交易顯示，但所有交易均在平臺(tái)內(nèi)部完成。其本質(zhì)還是通過(guò)法幣進(jìn)行流轉(zhuǎn)。這種模型實(shí)際上并不屬于虛擬幣交易。，二是第三方交易模型⑤此模型的涉案平臺(tái)并不提供虛擬幣的購(gòu)買(mǎi)或變現(xiàn)服務(wù)。需投資人自行到交易所購(gòu)買(mǎi)虛擬幣后將虛擬幣轉(zhuǎn)賬到涉案平臺(tái)的對(duì)應(yīng)地址，同時(shí)涉案平臺(tái)也不提供虛擬幣的變現(xiàn)服務(wù)，仍需投資人將虛擬幣轉(zhuǎn)移到可提供變現(xiàn)的交易所進(jìn)行變現(xiàn)。，三是自建交易所模型⑥此模型為詐騙團(tuán)伙自行建立交易所。此類(lèi)交易所除了發(fā)行自己的虛擬幣外還會(huì)在交易所上架部分常見(jiàn)幣種以博取用戶(hù)信任。此模型中，騙子會(huì)引導(dǎo)用戶(hù)在該交易所進(jìn)行買(mǎi)幣交易、實(shí)施提現(xiàn)等。在投資人交易、提現(xiàn)過(guò)程中，騙子實(shí)現(xiàn)了對(duì)資金的操控。。在正規(guī)的中心化交易所交易時(shí)會(huì)涉及充幣地址、充值、熱錢(qián)包地址、提幣、用戶(hù)地址等。

（2）區(qū)分真假虛擬貨幣投資類(lèi)詐騙。如果投資人直接將人民幣充值到對(duì)應(yīng)的涉案平臺(tái)，如果該平臺(tái)僅提供提現(xiàn)人民幣功能而不提供提幣功能，此情形便是非真正意義上的虛擬幣交易，而僅僅是以虛擬幣投資為幌子的投資。虛擬幣投資類(lèi)詐騙需先獲取投資人買(mǎi)幣的平臺(tái)信息、買(mǎi)幣的交易記錄、將虛擬幣轉(zhuǎn)出時(shí)收幣方的地址信息及對(duì)應(yīng)的交易信息等。

（3）基礎(chǔ)信息收集。如果是通過(guò)交易所交易的虛擬幣類(lèi)詐騙，須查清涉案地址信息并加以收集。涉案地址包括相關(guān)入金地址、歸集地址、返利地址、充幣地址、提幣交易等⑦入金地址是直接面對(duì)投資人的公開(kāi)地址，也稱(chēng)充幣地址。歸集地址是作案人用來(lái)歸集資金的地址。通常多個(gè)入金地址同時(shí)流入的地址為歸集地址。分析時(shí)，還應(yīng)從歸集地址分析涉案返利地址及其他相關(guān)地址。返利地址是涉案平臺(tái)用于給用戶(hù)返利的地址。表現(xiàn)為由一個(gè)或多個(gè)歸集地址的資金流到返利地址。流出的資金為小額多筆。充幣地址與提幣交易，充幣地址是騙子在進(jìn)行虛擬幣提現(xiàn)過(guò)程中與交易所發(fā)生關(guān)系的地址。騙子通過(guò)充幣地址將騙到的虛擬貨幣轉(zhuǎn)到各大交易所從而將犯罪所得的虛擬幣轉(zhuǎn)換為法幣。充幣地址的特征是資金流出去向?yàn)榻灰姿鶡徨X(qián)包。需注意的是，如果不是流向交易所的熱錢(qián)包該地址就不是充幣地址。充幣地址通常通過(guò)歸集地址進(jìn)一步分析資金流向得到。。涉案地址可能以常規(guī)形式（即數(shù)字字母組合）出現(xiàn)，也可能以二維碼圖片的形式存在⑧不同的幣種其地址的表達(dá)方式不同。比特幣地址是一個(gè)標(biāo)識(shí)符（賬號(hào)），包含27-34個(gè)字母數(shù)字拉丁字符（0，O,I除外），地址可以以QR碼形式表示，匿名，有三種格式。一是以“1”開(kāi)頭，二是以“3”開(kāi)頭，三是以“bc1”開(kāi)頭（bc1開(kāi)頭的比特幣地址無(wú)需區(qū)分大小寫(xiě)）；以太坊的地址是“Ox”開(kāi)頭的十六進(jìn)制數(shù)字；波場(chǎng)幣地址以”T”開(kāi)頭，Base58編碼大小寫(xiě)字母與數(shù)字混合。。

通常在鏈上體現(xiàn)資金關(guān)系的只有入口和出口，也就是用戶(hù)充值和提幣交易，而發(fā)生在交易所內(nèi)部的交易⑨使用法幣購(gòu)買(mǎi)幣、兌換幣和用戶(hù)間轉(zhuǎn)幣。由交易所的中心化數(shù)據(jù)記錄，因此在鏈上是不可見(jiàn)的，但是這些信息都記錄在數(shù)據(jù)庫(kù)里，偵查中可以通過(guò)調(diào)證獲得。

此外，還須收集涉案平臺(tái)、使用的交易平臺(tái)①當(dāng)前詐騙犯罪分子常用的主流交易所有火幣交易所、幣安交易所、OKEX交易所、抹茶交易所等。部分詐騙犯罪團(tuán)伙還會(huì)自行組建交易所用于詐騙。、案發(fā)具體時(shí)間②對(duì)于案發(fā)時(shí)間除了詢(xún)問(wèn)受害人外，在偵查時(shí)還可以通過(guò)瀏覽器上的交易發(fā)生時(shí)間來(lái)判斷。等。

2.依托虛擬貨幣交易平臺(tái)交易的資金追蹤、取證

（1）確定虛擬貨幣種類(lèi)、數(shù)量及所在位置。在追蹤之初便需確定涉案虛擬貨幣的種類(lèi)數(shù)量以及它們所在的公鏈。一起案件通常會(huì)涉及多種虛擬貨幣③比如，會(huì)涉及比特幣、以太坊、波場(chǎng)幣等原生幣，偵查實(shí)踐中更多出現(xiàn)的是與原生幣對(duì)應(yīng)的USDT穩(wěn)定幣。。明確涉案虛擬幣種類(lèi)后，還要確定涉案虛擬貨幣數(shù)量，涉案虛擬幣數(shù)量可以通過(guò)各虛擬貨幣相關(guān)瀏覽器查看相關(guān)地址余額及相關(guān)交易的金額大小進(jìn)行初判。

針對(duì)犯罪項(xiàng)目方發(fā)行的代幣，先要判斷這個(gè)幣是否在公鏈上，如果在鏈上沒(méi)有相應(yīng)的合約則需要獲取項(xiàng)目方服務(wù)器和數(shù)字庫(kù)里相關(guān)的數(shù)據(jù)進(jìn)行分析，是犯罪項(xiàng)目方自行搭建的私鏈還僅是數(shù)據(jù)庫(kù)里的數(shù)據(jù)。對(duì)于存在實(shí)際流通價(jià)值的代幣，應(yīng)作為證據(jù)，通常通過(guò)核實(shí)鏈上數(shù)據(jù)或取得真實(shí)的數(shù)據(jù)庫(kù)信息以確認(rèn)。針對(duì)有價(jià)值的虛擬貨幣，如比特幣、以太坊、USDT，則需在公鏈上找出與之相關(guān)的資金流轉(zhuǎn)，并通過(guò)這些資金的流向獲得更多的后續(xù)線(xiàn)索。

（2）獲取關(guān)聯(lián)數(shù)據(jù)。虛擬幣流入交易所的相關(guān)交易是獲取關(guān)聯(lián)數(shù)據(jù)的關(guān)鍵。鏈上數(shù)據(jù)的獲取主要依據(jù)鏈上資金分析工具④成者鏈安、中科鏈安、知帆科技等。。需要關(guān)注犯罪地址與交易所相關(guān)的流入流出。流經(jīng)犯罪地址后又流出至交易所的情況需重點(diǎn)關(guān)注。這種交易通常能發(fā)現(xiàn)與犯罪分子相關(guān)的充幣地址，對(duì)確認(rèn)犯罪嫌疑人身份有很大幫助。需要注意的是，并不是所有分析得到的充幣地址和提幣交易都是和案件直接相關(guān)或者是高度相關(guān)的地址或交易。一般而言，追查的資金或地址流向交易所時(shí)經(jīng)過(guò)的地址層數(shù)越少，則該條資金線(xiàn)路上的充幣地址或提幣交易大概率與案件的相關(guān)度高一些，更值得重點(diǎn)關(guān)注和分析。其他相關(guān)數(shù)據(jù)通常通過(guò)調(diào)證實(shí)現(xiàn)。

（3）追蹤虛擬幣——泰達(dá)幣錢(qián)包地址。泰達(dá)公司發(fā)行的USDT是目前最主流的穩(wěn)定幣，它與美元1：1錨定，也是目前運(yùn)用最廣泛的代幣。USDT在目前虛擬貨幣犯罪中占據(jù)一大半。犯罪集團(tuán)通過(guò)一番操作后資金通常以USDT的形態(tài)進(jìn)行流通、兌換和存儲(chǔ)。USDT在主流公鏈（比特、以太坊、波場(chǎng)）都有發(fā)行。追蹤泰達(dá)幣通常有兩種方式：一是通過(guò)區(qū)塊鏈瀏覽器，如http://usdt.tokenview.com/追蹤，二是利用一些專(zhuān)業(yè)軟件平臺(tái)進(jìn)行地址追蹤。

其他虛擬幣錢(qián)包地址的追蹤與泰達(dá)幣錢(qián)包地址追蹤相同。

（4）手續(xù)費(fèi)追蹤。當(dāng)代幣在以太坊等交易所轉(zhuǎn)賬時(shí)，需繳納燃料費(fèi)（gas），而燃料費(fèi)必須以相應(yīng)的虛擬幣支出，這樣就導(dǎo)致犯罪嫌疑人需要轉(zhuǎn)入一筆虛擬幣作為燃料費(fèi)。轉(zhuǎn)入虛擬幣的過(guò)程可為案件偵查提供線(xiàn)索。比如，基于以太坊的USDT就需要消耗燃料費(fèi)，如果燃料費(fèi)以太坊是嫌疑人充值的，那么就可以溯源到另一個(gè)以太坊地址，再進(jìn)行關(guān)聯(lián)擴(kuò)線(xiàn)。

（5）調(diào)證、凍結(jié)。通過(guò)資金分析獲取充幣地址和提幣交易情況后，即可將地址、交易提交到交易所進(jìn)行調(diào)證。通過(guò)交易所調(diào)證可以獲取的信息數(shù)據(jù)有：注冊(cè)人員的身份信息數(shù)據(jù)、用戶(hù)賬戶(hù)注冊(cè)信息數(shù)據(jù)、內(nèi)部交易信息數(shù)據(jù)、充提幣記錄數(shù)據(jù)、OTC交易信息數(shù)據(jù)、銀行卡支付寶及微信綁定記錄和登錄IP等。

流入交易所還未流出的虛擬貨幣是較為特殊的情況，此時(shí)的虛擬貨幣在鏈上的所有者是交易所。在偵查時(shí)，如果掌握了賬號(hào)密碼和交易密碼就可以在相應(yīng)平臺(tái)將嫌疑人賬戶(hù)中的資產(chǎn)直接提現(xiàn)到公管賬戶(hù)，或?qū)⑻摂M幣提幣至公安錢(qián)包地址。如果沒(méi)有掌握嫌疑人賬號(hào)密碼和交易密碼，可發(fā)出協(xié)助凍結(jié)通知書(shū)至交易平臺(tái)，凍結(jié)該賬號(hào)，結(jié)案后出具相關(guān)證明文件后可將賬戶(hù)資產(chǎn)轉(zhuǎn)移到公安指定賬戶(hù)。

涉及交易所的虛擬貨幣一定要結(jié)合該賬號(hào)的調(diào)證結(jié)果來(lái)分析，因?yàn)檗k案人員只能在鏈上追查到涉案資金進(jìn)入交易所，之后發(fā)生的交易并不與之前的信息關(guān)聯(lián)，這就需要仔細(xì)分析其內(nèi)部交易和OTC交易，判斷賬戶(hù)余額是否涉案資金，以及流入的涉案資金有無(wú)分贓、通過(guò)OTC實(shí)現(xiàn)法幣兌換情況。如果發(fā)現(xiàn)存在交易所內(nèi)部轉(zhuǎn)賬情況，則需要繼續(xù)追查犯罪分子的同伙，并結(jié)合調(diào)證重復(fù)分析步驟。如果發(fā)現(xiàn)涉案資金已經(jīng)被轉(zhuǎn)換為法幣，則需要繼續(xù)固定其銀行卡和支付軟件等證據(jù)。如果發(fā)現(xiàn)該賬號(hào)提幣到了個(gè)人地址，則要繼續(xù)追查至個(gè)人地址，并沒(méi)法獲取。

（6）獲取私鑰、助記詞、錢(qián)包。由于虛擬貨幣的特征，只要掌握了私鑰或助記詞，犯罪嫌疑人或同伙在世界上任何一個(gè)可以連網(wǎng)的角落便可將地址內(nèi)的虛擬貨幣轉(zhuǎn)出。因此，獲取私鑰、助記詞是追查虛擬幣交易資金的關(guān)鍵。

獲取私鑰、助記詞通常發(fā)生在偵查的后期，在抓捕時(shí)，嫌疑人為了保留或掩飾非法所得可能會(huì)采用卸載錢(qián)包應(yīng)用，或者直接銷(xiāo)毀硬件等。為了避免上述情況的發(fā)生，在抓捕時(shí)應(yīng)快速收繳現(xiàn)場(chǎng)所有犯罪嫌疑人的手機(jī)、電腦等電子設(shè)備，查看手機(jī)上是否有相關(guān)錢(qián)包應(yīng)用，電腦端應(yīng)用以及瀏覽器記錄是否訪(fǎng)問(wèn)相關(guān)錢(qián)包軟件插件，電子設(shè)備中的備忘錄或文檔中是否有疑似助記詞的存檔。有安裝錢(qián)包應(yīng)用的情況下可以經(jīng)審訊獲得私鑰后將地址內(nèi)的資產(chǎn)快速轉(zhuǎn)移，獲得助記詞將其導(dǎo)入任意錢(qián)包應(yīng)用后直接使用助記詞即可完成資產(chǎn)轉(zhuǎn)移。

在抓捕現(xiàn)場(chǎng)還要注意搜查是否有硬件錢(qián)包。硬件錢(qián)包一般表現(xiàn)為手機(jī)、U盤(pán)、專(zhuān)用設(shè)備等。搜查到硬件錢(qián)包后，需要判斷其類(lèi)型，是否可以通過(guò)設(shè)備直接轉(zhuǎn)出，如果不能則需要審訊獲得私鑰或助記詞，再導(dǎo)入錢(qián)包應(yīng)用完成資產(chǎn)轉(zhuǎn)移。

（7）固定證據(jù)。由于虛擬幣是以區(qū)塊鏈技術(shù)為基礎(chǔ)在公鏈上發(fā)行，所有的交易信息都是公開(kāi)可查并且不可篡改的，因此對(duì)于案件相關(guān)交易數(shù)據(jù)信息的真實(shí)性可以對(duì)照對(duì)應(yīng)的區(qū)塊鏈瀏覽器進(jìn)行查看，但是由于虛擬幣所具有的匿名性特征，固定證據(jù)需明確地址與人之間的聯(lián)系。因此，鏈上數(shù)據(jù)及調(diào)證數(shù)據(jù)等有關(guān)虛擬幣部分的數(shù)據(jù)需進(jìn)行司法鑒定才能作為證據(jù)。

七、串并案件，拓展線(xiàn)索

并案是偵查投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪必須經(jīng)歷的環(huán)節(jié)。對(duì)投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪偵查而言，并案具備條件，且有必要。具備條件指的是投資類(lèi)電信網(wǎng)絡(luò)詐騙表現(xiàn)為系列犯罪，且在犯罪的人員流、網(wǎng)絡(luò)流、通訊流、資金流等方面存在著相同、相似與交叉。有必要指的是，此類(lèi)案件偵查到一定階段后需通過(guò)并案發(fā)現(xiàn)同一犯罪團(tuán)伙所作的案件，并依此擴(kuò)線(xiàn)，發(fā)現(xiàn)更多用于推進(jìn)偵查的事實(shí)與證據(jù)?！耙黄鹁W(wǎng)絡(luò)詐騙犯罪的線(xiàn)索可能是有限的，但是多起網(wǎng)絡(luò)犯罪的線(xiàn)索積累起來(lái)就會(huì)非常豐富。在偵破網(wǎng)絡(luò)犯罪時(shí)必須堅(jiān)持串并案件的原則。串并案件不僅能夠豐富偵破線(xiàn)索，而且能夠積累訴訟證據(jù)，發(fā)現(xiàn)破案的契機(jī)?！盵3]“電信網(wǎng)絡(luò)詐騙犯罪分工合作，形成了錯(cuò)綜復(fù)雜的關(guān)系，導(dǎo)致該類(lèi)案件在管理確定方面十分復(fù)雜。在此種情形下，適應(yīng)電信網(wǎng)絡(luò)詐騙犯罪錯(cuò)綜復(fù)雜的關(guān)聯(lián)情形，允許公安機(jī)關(guān)對(duì)整個(gè)電信網(wǎng)絡(luò)詐騙犯罪及關(guān)聯(lián)犯罪并案?jìng)刹?，是必然選擇?！盵4]因此，當(dāng)對(duì)個(gè)案實(shí)施滲透、調(diào)證與相關(guān)偵查后，即需進(jìn)行并案以拓展線(xiàn)索。

（一）投資類(lèi)電信網(wǎng)絡(luò)詐騙案件并案線(xiàn)索獲取

并案是指將具有相同或相似要素的案件并成一案進(jìn)行偵查。它是線(xiàn)索整理與歸類(lèi)的過(guò)程。投資類(lèi)電信網(wǎng)絡(luò)詐騙案件涉及的要素多，所以此類(lèi)案件的并案比普通案件的并案要復(fù)雜得多。

要進(jìn)行并案，需先獲取并案線(xiàn)索。所謂并案線(xiàn)索是指已經(jīng)發(fā)生、正在發(fā)生，已立案、未立案，與在偵專(zhuān)案可能存在關(guān)聯(lián)，可以合并偵查的事件與案件。

電信網(wǎng)絡(luò)詐騙犯罪的線(xiàn)索有顯性和隱性的兩種。顯性的線(xiàn)索通常存儲(chǔ)在各地“反詐”系統(tǒng)、受案系統(tǒng)、受案數(shù)據(jù)庫(kù)及各類(lèi)涉及電信網(wǎng)絡(luò)詐騙犯罪平臺(tái)數(shù)據(jù)庫(kù)中，這些線(xiàn)索通常是受害人通過(guò)110、防騙熱線(xiàn)提供公安機(jī)關(guān)予以整理、存儲(chǔ)的。存儲(chǔ)于“反詐”系統(tǒng)、受案系統(tǒng)、受案數(shù)據(jù)庫(kù)及各類(lèi)涉及電信網(wǎng)絡(luò)詐騙犯罪平臺(tái)數(shù)據(jù)庫(kù)中的電信網(wǎng)絡(luò)詐騙犯罪線(xiàn)索大量的會(huì)匯聚到國(guó)家反詐中心①2017年2月，公安部刑偵局為貫徹中央領(lǐng)導(dǎo)批示指示精神，按照公安部黨委的部署要求，在國(guó)務(wù)院部際聯(lián)席會(huì)議各成員單位和公安部相關(guān)業(yè)務(wù)局的大力支持下，創(chuàng)建國(guó)務(wù)院打擊治理電信網(wǎng)絡(luò)新型違法犯罪工作部際聯(lián)席會(huì)議合成作戰(zhàn)平臺(tái)，即國(guó)家反詐中心。國(guó)家反詐中心是全國(guó)公安機(jī)關(guān)刑偵部門(mén)的資源整合中心、情報(bào)研判中心、實(shí)戰(zhàn)指揮中心、新技術(shù)應(yīng)用中心以及人才隊(duì)伍培訓(xùn)中心，該中心成立以來(lái)，在打擊、防范、治理跨區(qū)域犯罪和新型網(wǎng)絡(luò)犯罪工作中發(fā)揮了中樞和引領(lǐng)作用。。也有少量的會(huì)因?yàn)闀r(shí)效或其他原因滯留在本地“反詐”系統(tǒng)或受案系統(tǒng)里。隱性的線(xiàn)索指的是尚未被受害人識(shí)破而存在于通信、網(wǎng)絡(luò)平臺(tái)上的詐騙信息，此類(lèi)信息與招工、投資、理財(cái)、購(gòu)物等信息混雜在一起。

獲取并案線(xiàn)索主要途徑就是根據(jù)已知條件從國(guó)家反詐騙中心、終結(jié)詐騙平臺(tái)、金鐘罩平臺(tái)等各類(lèi)涉及電信網(wǎng)絡(luò)詐騙犯罪平臺(tái)數(shù)據(jù)庫(kù)及各地自建數(shù)據(jù)庫(kù)中獲取相關(guān)數(shù)據(jù)。所謂的已知條件是根據(jù)前期個(gè)案?jìng)刹閺木W(wǎng)絡(luò)流、通訊流、資金流、人員流等數(shù)據(jù)里確認(rèn)的相關(guān)要素。

獲取線(xiàn)索的多寡，并不會(huì)直接影響后續(xù)的偵查。偵查中應(yīng)力求最多地發(fā)現(xiàn)線(xiàn)索。發(fā)現(xiàn)的線(xiàn)索越多，可以用于證實(shí)、揭露犯罪的信息、證據(jù)也就越多，對(duì)推進(jìn)偵查越有利。但是，偵查實(shí)踐中有些案件本身還處于初發(fā)階段，有些案件的線(xiàn)索并不容易獲取。對(duì)于線(xiàn)索稀少的案件，偵查人員應(yīng)根據(jù)現(xiàn)有的條件進(jìn)行線(xiàn)索的拓展、數(shù)據(jù)的挖掘。

（二）投資類(lèi)電信網(wǎng)絡(luò)詐騙案件并案方法

對(duì)投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪而言，可用于并案的要素繁多。

對(duì)于特定時(shí)間段里發(fā)現(xiàn)的線(xiàn)索應(yīng)通過(guò)一些要素將線(xiàn)索串連起來(lái)。這些要素包括引流手法、安裝文件（hash值）、服務(wù)器域名、服務(wù)器IP、分發(fā)網(wǎng)站、APP 打包公司、短信通道、客服公司、客服注冊(cè)信息、犯罪地、APP、投資平臺(tái)、通訊工具、轉(zhuǎn)賬銀行卡號(hào)、資金流水賬號(hào)地址、電話(huà)卡號(hào)、微信號(hào)、身份證號(hào)、其他號(hào)、劇本、圈套特點(diǎn)、表演特征等。

對(duì)于符合并案條件的歸為同一案件并案?jìng)刹?，而?duì)于無(wú)法串并的線(xiàn)索則歸到另一案件。

并案時(shí)線(xiàn)索的整理與歸類(lèi)只是偵查人員基于對(duì)案件的初步認(rèn)識(shí)作出的一個(gè)初始判斷。隨著偵查的深入，對(duì)歸入的線(xiàn)索還需進(jìn)行調(diào)整——新線(xiàn)索的并入，不合適線(xiàn)索的移出。

傳統(tǒng)的并案通常只是一種大概的合并，就是把一些具有相同特征的案件并作一案進(jìn)行偵查，并入的案件很多時(shí)候的確是同一作案人或同一犯罪組織所為，但有些并入的案件可能并不是同一作案人或同一犯罪組織所為，可以將這種并案稱(chēng)之軟并案。投資類(lèi)電信網(wǎng)絡(luò)詐騙案件的并案差不多可以實(shí)現(xiàn)精準(zhǔn)化，這種精準(zhǔn)化的并案可以叫做硬并案。利用資金賬戶(hù)、通訊工具、投資平臺(tái)等可以從已發(fā)的案件中精準(zhǔn)地找到同一個(gè)電信網(wǎng)絡(luò)詐騙組織所作的案件。當(dāng)然，硬并案的實(shí)現(xiàn)離不開(kāi)前期圍繞個(gè)案對(duì)數(shù)據(jù)的深度挖掘與分析。

（三）并案后的數(shù)據(jù)拓展

并入的案件可能是已立案件，也可能是未立案件；并入的案件可能是在偵案件，也可能是未偵案件；并入的案件可能是顯性案件，也可能是隱性案件；從時(shí)間上看，并入的案件可能是正在發(fā)生的，也可能是并案前1天至前幾年里發(fā)生的案件。一個(gè)電信網(wǎng)絡(luò)詐騙犯罪的團(tuán)伙，可能在若干年的時(shí)間里騙了數(shù)人至成百上千人，涉及了幾起至成百上千起案件。

從實(shí)踐情況看，為了提升并案的效果，還得考慮提高立案級(jí)別?！霸谀壳暗臓顩r下，我國(guó)基層公安機(jī)關(guān)的技術(shù)力量、裝備等還處于較低水平，在偵破網(wǎng)絡(luò)詐騙案時(shí)，往往力不從心，一旦犯罪人采用了更高的技術(shù)手段或是在國(guó)外遙控操作，公安機(jī)關(guān)在搜集證據(jù)方面便會(huì)面臨很大的困難。基于此，可以考慮適當(dāng)提高網(wǎng)絡(luò)詐騙案件的立案級(jí)別，由技術(shù)水平較高、力量較強(qiáng)的地市級(jí)公安機(jī)關(guān)立案?jìng)赊k，以便更有效地打擊網(wǎng)絡(luò)詐騙犯罪?！盵5]

通過(guò)并案，可以對(duì)處于不同狀態(tài)的同一伙犯罪所為的個(gè)案進(jìn)行滲透、調(diào)證、相關(guān)勘驗(yàn)及其他深度偵查，發(fā)現(xiàn)更多的線(xiàn)索，查清更多的犯罪事實(shí)，獲取更多犯罪證據(jù)。

通過(guò)對(duì)若干個(gè)案的深度偵查，犯罪嫌疑人、犯罪動(dòng)機(jī)、犯罪行為、引流方式、施用的騙術(shù)、犯罪工具、涉案APP、投資平臺(tái)、涉案手機(jī)號(hào)、通訊系統(tǒng)、轉(zhuǎn)賬賬號(hào)地址、資金流水賬號(hào)、金額與流轉(zhuǎn)方式、犯罪組織結(jié)構(gòu)、被騙人、犯罪結(jié)果等要素也漸漸清晰。在此條件下，案件、時(shí)間、空間、人、事、物也得到了一一的對(duì)應(yīng)。

所有這些都為案件偵查順利地向下一步邁進(jìn)提供了重要的條件。

八、開(kāi)展域外偵查

開(kāi)展域外偵查涉及不同的法域，涉及國(guó)際關(guān)系、國(guó)際慣例、國(guó)際法，偵查成本高，因此，通常能不出境的便不出境。但是當(dāng)下主流投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪團(tuán)伙將犯罪窩點(diǎn)、通訊工具、網(wǎng)絡(luò)設(shè)備等移到境外，利用CDN網(wǎng)絡(luò)分發(fā)技術(shù)隱藏服務(wù)器真實(shí)IP地址，而網(wǎng)站能在境內(nèi)快速訪(fǎng)問(wèn)，同時(shí)使用境外即時(shí)通訊工具“telegram”等勾聯(lián)，境外網(wǎng)絡(luò)集團(tuán)面向國(guó)內(nèi)搭建了一個(gè)巨大的地下網(wǎng)絡(luò)世界，從境外向境內(nèi)實(shí)施網(wǎng)絡(luò)犯罪。主流投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪的手法特點(diǎn)決定了境外與境內(nèi)關(guān)聯(lián)的同時(shí)也出現(xiàn)了明顯的偵查斷層。投資類(lèi)電信網(wǎng)絡(luò)詐騙的特點(diǎn)決定了在偵查投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪時(shí)必須開(kāi)展域外偵查。

開(kāi)展域外偵查先要理清的是跨區(qū)域性管轄問(wèn)題?！熬W(wǎng)絡(luò)所具有的虛擬性特征使其突破了時(shí)間和空間對(duì)犯罪行為的限制，造成網(wǎng)絡(luò)犯罪呈現(xiàn)出犯罪行為地與犯罪結(jié)果地分離、犯罪行為時(shí)與犯罪結(jié)果發(fā)生時(shí)分離的特點(diǎn)，從而給傳統(tǒng)的刑事地域管轄理論帶來(lái)了極大的沖擊。”[6]就跨境電信網(wǎng)絡(luò)詐騙而言，其管轄比一般網(wǎng)絡(luò)犯罪更為復(fù)雜，出現(xiàn)國(guó)與國(guó)、國(guó)家與地區(qū)之間的管轄爭(zhēng)議是無(wú)法避免的，急需探尋一種約定加以規(guī)制。

開(kāi)展域外偵查通常分兩個(gè)階段實(shí)施，我們將其稱(chēng)為擴(kuò)證階段與破案階段。擴(kuò)證階段是指通過(guò)偵查實(shí)現(xiàn)了并案，需要通過(guò)域外偵查進(jìn)一步拓展偵查線(xiàn)索、獲取犯罪證據(jù)之階段。破案階段是指破案時(shí)機(jī)成熟，需要對(duì)犯罪窩點(diǎn)實(shí)施勘驗(yàn)、捕獲犯罪嫌疑人、追回贓款之階段。

擴(kuò)證階段主要圍繞摸清犯罪窩點(diǎn)，搞清涉案服務(wù)器、終端、投資平臺(tái)、網(wǎng)絡(luò)通訊系統(tǒng)情況，弄清境外涉案人員分工、居住地，案件人、事、物關(guān)系，涉案跨境地下錢(qián)莊、跨境第四方支付平臺(tái)①跨境第四方支付平臺(tái)，平臺(tái)通過(guò)越南盾與印度盧比進(jìn)行支付，對(duì)接了越南與印度主流支付通道，為黑灰產(chǎn)平臺(tái)提供資金結(jié)算業(yè)務(wù)。運(yùn)行情況等開(kāi)展偵查。

破案階段主要圍繞捕獲犯罪嫌疑人、勘驗(yàn)犯罪窩點(diǎn)、審訊犯罪嫌疑人、獲取藏匿資金的密鑰或助記詞、起獲贓款等開(kāi)展偵查。

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪的域外偵查與境內(nèi)偵查是相互關(guān)聯(lián)的。域外偵查應(yīng)在境內(nèi)偵查、前期線(xiàn)上偵查的基礎(chǔ)上展開(kāi)。不管是境內(nèi)偵查還是域外偵查，都要求辦案人員根據(jù)案件的具體情況采取具體的偵查措施。

當(dāng)然，鑒于域外偵查的特殊性，在開(kāi)展域外偵查時(shí)有一些不同于開(kāi)展境內(nèi)偵查的要求。

首先，要區(qū)分不同形態(tài)的域外偵查。域外偵查可能是公開(kāi)的，也可能是秘密的。公開(kāi)指的是偵查主體方之間的公開(kāi)。有兩種具體形式，一是通過(guò)國(guó)家中心局，在國(guó)際刑警組織的協(xié)調(diào)下進(jìn)行的②根據(jù)我國(guó)2016年《公安機(jī)關(guān)偵辦電信詐騙案件工作機(jī)制（試行）》的規(guī)定，涉及境外電信網(wǎng)絡(luò)詐騙的案件，由公安部刑偵局統(tǒng)一負(fù)責(zé)組織偵辦。在對(duì)跨境偵辦電信詐騙案件時(shí)，或直接由公安部提出請(qǐng)求，或由地方公安機(jī)關(guān)將請(qǐng)求遞交到外交部，通過(guò)外交部傳達(dá)合作訴求。這種跨境案件的對(duì)接機(jī)制過(guò)于冗長(zhǎng)，審批程序多，效率低下。在跨境電信網(wǎng)絡(luò)多發(fā)、常態(tài)的背景下，須對(duì)此機(jī)制進(jìn)行改變。建議在市一級(jí)的公安機(jī)關(guān)內(nèi)部設(shè)立專(zhuān)門(mén)負(fù)責(zé)國(guó)際警務(wù)合作的部門(mén)，地方公安機(jī)關(guān)受案時(shí)，將跨境電信網(wǎng)絡(luò)詐騙案件報(bào)至市一級(jí)的國(guó)際警務(wù)合作部門(mén)，再由市一級(jí)的國(guó)際警務(wù)合作部門(mén)上報(bào)至公安部國(guó)際合作部門(mén)，由其統(tǒng)籌協(xié)調(diào)。如此在專(zhuān)業(yè)性強(qiáng)的特殊部門(mén)內(nèi)流轉(zhuǎn)，可以提高跨境合作對(duì)接效率。。二是通過(guò)締結(jié)雙邊、多邊協(xié)定或安排開(kāi)展。秘密是指開(kāi)展偵查方隱匿身份進(jìn)入犯罪窩點(diǎn)所在國(guó)開(kāi)展秘密調(diào)查。

公開(kāi)的形態(tài)是一種國(guó)際刑事警務(wù)合作。國(guó)際刑事警務(wù)合作是指兩個(gè)以上的國(guó)家或地區(qū)就某一個(gè)或系列特定的跨國(guó)犯罪案件聯(lián)合采取偵查措施、調(diào)查取證、緝捕犯罪人的一種偵查行動(dòng)。國(guó)際刑事警務(wù)合作是國(guó)際警務(wù)合作的重要內(nèi)容?！半S著非傳統(tǒng)安全問(wèn)題的逐步凸顯和新安全觀的發(fā)展，‘安全’進(jìn)入了合作領(lǐng)域，最終推動(dòng)了‘國(guó)際警務(wù)合作’的概念向‘國(guó)際執(zhí)法安全合作’的演變，并促成了‘國(guó)際執(zhí)法安全合作’這一概念的形成?！盵7]開(kāi)展國(guó)際執(zhí)法安全合作之核心內(nèi)容的跨國(guó)聯(lián)合偵查應(yīng)遵循開(kāi)展國(guó)際執(zhí)法安全合作的原則，這些原則包括：國(guó)家主權(quán)、不干涉內(nèi)政、互惠、雙重犯罪、尊重合作方的法律和公共秩序、恪守國(guó)際法等原則。在進(jìn)行國(guó)際執(zhí)法安全合作時(shí)，可通過(guò)建立跨區(qū)域或全球性國(guó)際執(zhí)法安全合作組織、建立執(zhí)法安全專(zhuān)項(xiàng)合作機(jī)構(gòu)、共同設(shè)立區(qū)域性專(zhuān)業(yè)糾紛調(diào)解機(jī)構(gòu)等實(shí)現(xiàn)跨國(guó)聯(lián)合偵查。

2000年11月15日在日內(nèi)瓦通過(guò)的《聯(lián)合國(guó)打擊跨國(guó)有組織犯罪公約》是開(kāi)展跨國(guó)聯(lián)合偵查最基本的依據(jù)①《聯(lián)合國(guó)打擊跨國(guó)有組織犯罪公約》亦稱(chēng)《巴勒莫公約》，是聯(lián)合國(guó)歷史上制定的專(zhuān)門(mén)用于打擊跨國(guó)有組織犯罪的第一部具有分水嶺意義的國(guó)際刑法公約，也是國(guó)際社會(huì)以全球化手段對(duì)付全球化時(shí)代跨國(guó)有組織犯罪挑戰(zhàn)的巨大成果。。

當(dāng)前，國(guó)際社會(huì)在網(wǎng)絡(luò)犯罪領(lǐng)域僅有幾部區(qū)域性的多邊條約。如歐洲委員會(huì)的《布達(dá)佩斯公約》②又稱(chēng)《網(wǎng)絡(luò)犯罪公約》（Cyber-crime Convention），于2001年11月由歐洲理事會(huì)的26個(gè)歐盟成員國(guó)以及美國(guó)、加拿大、日本和南非等30個(gè)國(guó)家的政府官員在布達(dá)佩斯共同簽署，是全世界第一部針對(duì)網(wǎng)絡(luò)犯罪行為所制訂的國(guó)際公約。、《阿拉伯國(guó)家聯(lián)盟打擊信息技術(shù)犯罪公約》、《上海合作組織成員國(guó)保障國(guó)際信息安全政府間合作協(xié)定》、《打擊為犯罪目的使用信息通信技術(shù)》③2019年12月，第74屆聯(lián)大以79票贊成、60票反對(duì)、33票棄權(quán)，通過(guò)中國(guó)、俄羅斯等47國(guó)共同提出的《打擊為犯罪目的使用信息通信技術(shù)》。等。這些區(qū)域性條約在打擊網(wǎng)絡(luò)犯罪方面發(fā)揮了一定作用，但側(cè)重點(diǎn)各有不同，內(nèi)容差別較大，締約國(guó)家有限，無(wú)法成為打擊網(wǎng)絡(luò)犯罪的全球性解決方案。

“有效打擊網(wǎng)絡(luò)犯罪需要一個(gè)已經(jīng)在國(guó)際層面統(tǒng)一且能有效應(yīng)用的法律框架。還需要警察和司法當(dāng)局誠(chéng)心的國(guó)際合作。各國(guó)政府負(fù)責(zé)確保網(wǎng)絡(luò)安全及網(wǎng)絡(luò)空間的穩(wěn)定。這不僅需要定義一個(gè)適當(dāng)?shù)姆煽蚣?，即一個(gè)在國(guó)家層面和國(guó)際層面上兼容且強(qiáng)制執(zhí)行的法律框架，而且還涉及推廣安全文化?！盵8]已于2022年1月正式啟動(dòng)談判的《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》④2021年5月27日，第75屆聯(lián)合國(guó)大會(huì)通過(guò)關(guān)于啟動(dòng)《聯(lián)合國(guó)打擊網(wǎng)絡(luò)犯罪公約》談判的決議，確定將于2022年1月正式啟動(dòng)公約談判。這是繼聯(lián)合國(guó)大會(huì)審議通過(guò)第74/247號(hào)決議，決定在聯(lián)大框架下成立特設(shè)政府間專(zhuān)家委員會(huì)，制定打擊網(wǎng)絡(luò)犯罪的全面國(guó)際公約之后，國(guó)際社會(huì)在邁向第一個(gè)互聯(lián)網(wǎng)治理全球性公約的努力上取得的又一實(shí)質(zhì)性進(jìn)展。將成為最為重要的全球共同打擊網(wǎng)絡(luò)犯罪公約，將會(huì)在協(xié)調(diào)定罪、協(xié)調(diào)管轄權(quán)、協(xié)調(diào)國(guó)際合作、協(xié)調(diào)包括立法和執(zhí)法措施、預(yù)防、國(guó)際交流和技術(shù)援助等四個(gè)重要方面發(fā)揮協(xié)調(diào)作用。

此外，《非傳統(tǒng)安全領(lǐng)域合作諒解備忘錄》、《關(guān)于落實(shí)〈中華人民共和國(guó)政府與東南亞國(guó)家聯(lián)盟非傳統(tǒng)安全領(lǐng)域合作諒解備忘錄〉的行動(dòng)計(jì)劃》及《聯(lián)合聲明》也是中國(guó)與東南亞國(guó)家開(kāi)展區(qū)域合作共同打擊網(wǎng)絡(luò)犯罪的重要依據(jù)。

秘密的形態(tài)體現(xiàn)為偵查方不以偵查員的身份出現(xiàn)而進(jìn)行的調(diào)查與取證。投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪案件的跨境秘密調(diào)查、取證必須在海外耳目、海外110警僑辦⑤為保護(hù)海外華僑利益，近年來(lái)由一些省市成立的機(jī)構(gòu)。當(dāng)那些受到非人待遇的，從電信網(wǎng)絡(luò)詐騙犯罪窩點(diǎn)逃離的人可以在警僑辦的協(xié)助下獲取相關(guān)犯罪組織內(nèi)部重要情報(bào)。的協(xié)助下依靠特定技術(shù)手段展開(kāi)。

通常擴(kuò)證階段的偵查宜采用秘密形態(tài)，破案階段的偵查宜采用公開(kāi)形態(tài)。

在此，重點(diǎn)論述擴(kuò)證階段的偵查。

1.通過(guò)前期線(xiàn)上偵查與并案?jìng)刹橐褜⒎缸锏南嚓P(guān)要素基本搞清。偵查人員到了境外后應(yīng)先圍繞已知犯罪嫌疑人開(kāi)展偵查，通過(guò)偵查進(jìn)一步搞清相關(guān)犯罪嫌疑人的基本情況，弄清他們的活動(dòng)規(guī)律、犯罪地、居住地等。

對(duì)已知犯罪嫌疑人的調(diào)查可與偷越國(guó)邊境犯罪關(guān)聯(lián)起來(lái)。從已知偷越國(guó)邊境從事電信網(wǎng)絡(luò)詐騙犯罪的人員中去對(duì)應(yīng)、關(guān)聯(lián)已知的犯罪嫌疑人。

2.當(dāng)查清已知犯罪嫌疑人的活動(dòng)規(guī)律后，犯罪窩點(diǎn)也就暴露了出來(lái)。面對(duì)犯罪窩點(diǎn)應(yīng)進(jìn)一步弄清涉案服務(wù)器、終端、投資平臺(tái)、網(wǎng)絡(luò)通訊系統(tǒng)①GOIP系統(tǒng)一般由遠(yuǎn)程管理系統(tǒng)、呼叫中心、卡池及卡池管理系統(tǒng)、GOIP設(shè)備等構(gòu)成。GOIP設(shè)備架設(shè)在境內(nèi)，其他在境外，在境外也要追查除GOIP設(shè)備之外的GOIP系統(tǒng)其他設(shè)備在哪里。等的布建與運(yùn)行情況。

3.查清犯罪窩點(diǎn)后，應(yīng)進(jìn)一步拓展，弄清相關(guān)人與相關(guān)案件、相關(guān)行為、相關(guān)客體物的關(guān)聯(lián)。與此同時(shí)，查清涉案跨境地下錢(qián)莊、跨境第四方支付平臺(tái)情況。

由于擴(kuò)證偵查通常是一種秘密狀態(tài)下的調(diào)查，因此，進(jìn)行擴(kuò)證偵查時(shí)應(yīng)更多地采用手機(jī)定位、境外滲透、無(wú)人機(jī)使用、跟蹤、耳目使用等技術(shù)偵查措施與秘密偵查手段。

九、破案

當(dāng)案件、時(shí)間、空間、人、事、物的關(guān)系基本理清，且有證據(jù)證明時(shí)即可進(jìn)入破案環(huán)節(jié)。投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪偵查破案階段的主要任務(wù)有抓捕、勘驗(yàn)窩點(diǎn)、訊問(wèn)、起獲贓款等。

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪偵查中的抓捕、窩點(diǎn)勘驗(yàn)、訊問(wèn)、起獲贓款應(yīng)遵循境內(nèi)外同步實(shí)施原則。同步是指在境內(nèi)外同時(shí)破案，且在抓捕的同時(shí)即應(yīng)勘驗(yàn)窩點(diǎn)，捕人的時(shí)候即應(yīng)開(kāi)展審訊，通過(guò)勘驗(yàn)、審訊起獲贓款。

（一）破案方案擬定

當(dāng)破案時(shí)機(jī)成熟時(shí)，辦案人員須履行好相關(guān)破案手續(xù)，在取得國(guó)內(nèi)派駐所在國(guó)外交機(jī)構(gòu)及其他人員的支持下，確定破案的具體時(shí)間，明確涉案具體地點(diǎn)，鎖定抓捕的具體對(duì)象，定下捕獲對(duì)象的關(guān)押場(chǎng)所，備好所需的交通及其他工具。

（二）實(shí)施抓捕

國(guó)內(nèi)、境外統(tǒng)一行動(dòng)。抓捕的對(duì)象是已經(jīng)鎖定的目標(biāo)。抓捕的對(duì)象應(yīng)該是犯罪團(tuán)伙的金主、經(jīng)理、組長(zhǎng)、骨干，底層打工人員可以不予抓捕。因此，一個(gè)電信網(wǎng)絡(luò)詐騙犯罪團(tuán)伙涉案人員可能達(dá)數(shù)百人，但要抓捕的犯罪嫌疑人卻是有限的。

抓捕時(shí)要按照擬定的方案、使用特定的工具、分工明確、有序展開(kāi)。

與抓捕其他類(lèi)犯罪嫌疑人所不同的是，對(duì)于抓捕投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪嫌疑人，在快速收繳現(xiàn)場(chǎng)所有犯罪嫌疑人手機(jī)、電腦等電子設(shè)備時(shí)應(yīng)查看手機(jī)上是否有相關(guān)錢(qián)包應(yīng)用、電腦端應(yīng)用、瀏覽器記錄是否訪(fǎng)問(wèn)相關(guān)錢(qián)包軟件插件。電子設(shè)備中的備忘錄或文檔中是否有疑似助記詞的存檔。同時(shí)要注意是否有通過(guò)手機(jī)、U盤(pán)、專(zhuān)用設(shè)備表現(xiàn)出來(lái)的硬件錢(qián)包。發(fā)現(xiàn)硬件錢(qián)包后，要判斷其類(lèi)型，是否可以通過(guò)設(shè)備直接轉(zhuǎn)出。

（三）對(duì)窩點(diǎn)進(jìn)行勘驗(yàn)

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪的窩點(diǎn)有其自身的特點(diǎn)。不管是境內(nèi)窩點(diǎn)還是境外窩點(diǎn)都須嚴(yán)格依照法定程序開(kāi)展勘驗(yàn)工作。窩點(diǎn)是一個(gè)俗稱(chēng)，它是一個(gè)空間。就投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪而言，窩點(diǎn)空間就是犯罪現(xiàn)場(chǎng)，犯罪現(xiàn)場(chǎng)涉及多種場(chǎng)所，現(xiàn)場(chǎng)上需要勘驗(yàn)的對(duì)象十分復(fù)雜。除了現(xiàn)場(chǎng)空間外，空間里存在的與案件相關(guān)的電腦、服務(wù)器、通訊系統(tǒng)設(shè)備、電話(huà)機(jī)、手機(jī)、ADSL貓、光纖收發(fā)機(jī)、攝像頭、路由器、網(wǎng)關(guān)、電源等硬件需要固定、提取、記錄，而電腦、服務(wù)器、手機(jī)里的投資平臺(tái)、各類(lèi)APP等電子數(shù)據(jù)也需要勘驗(yàn)?，F(xiàn)場(chǎng)勘驗(yàn)時(shí)，除了依照法定程序外，需依照現(xiàn)場(chǎng)勘查的步驟實(shí)施，還需遵循現(xiàn)場(chǎng)勘驗(yàn)規(guī)則，使用相關(guān)的設(shè)備進(jìn)行科學(xué)化、規(guī)范化的電子數(shù)據(jù)及痕跡、物品的尋找發(fā)現(xiàn)、固定提取、分析研究。

（四）審訊

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪結(jié)構(gòu)的復(fù)雜化、要素的多元化決定了審查投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪嫌疑人的艱難。在審訊投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪嫌疑人時(shí)有以下一些不同于審訊其他類(lèi)案件犯罪嫌疑人的要求。

1.繪出犯罪組織結(jié)構(gòu)圖

在弄清有證據(jù)證明的犯罪事實(shí)的基礎(chǔ)上繪出犯罪組織結(jié)構(gòu)圖，將犯罪組織各階層人員及已知的情況標(biāo)注在圖表中。通過(guò)圖表形象地展示所審訊的對(duì)象在犯罪組織中的地位。

2.備好犯罪導(dǎo)圖

在犯罪組織結(jié)構(gòu)圖的基礎(chǔ)上繪出與該犯罪組織相關(guān)的四類(lèi)導(dǎo)圖：一是犯罪事實(shí)全要素導(dǎo)圖，二是犯罪證據(jù)導(dǎo)圖①證據(jù)導(dǎo)圖可用XMIND等工具制作。，三是犯罪事實(shí)與犯罪證據(jù)關(guān)系導(dǎo)圖，四是犯罪事實(shí)、犯罪證據(jù)與犯罪人關(guān)系導(dǎo)圖。有條件的，還要將犯罪證據(jù)制作成證據(jù)冊(cè)。

3.明確審訊對(duì)象在犯罪組織中所扮演的角色

根據(jù)對(duì)象在犯罪組織的地位羅列其所實(shí)施的犯罪行為——在什么時(shí)間、空間里，實(shí)施了怎樣的行為，采用了怎樣的犯罪手法，涉及到哪些犯罪工具，觸及了哪些犯罪平臺(tái)，說(shuō)了哪些話(huà)。

4.圍繞對(duì)象在犯罪組織中所起的作用問(wèn)清犯罪事實(shí)

圍繞投資類(lèi)電信網(wǎng)絡(luò)詐騙所涉及的引流方式、施用的騙術(shù)、犯罪工具、涉案APP、投資平臺(tái)、涉案手機(jī)號(hào)、通訊系統(tǒng)、轉(zhuǎn)賬賬號(hào)地址、資金流水賬號(hào)、金額與流轉(zhuǎn)方式、被騙人情況等要素問(wèn)清犯罪事實(shí)。這是一種基于全要素的問(wèn)清犯罪事實(shí)思路。

5.追問(wèn)資金去向

對(duì)通過(guò)銀行、第三方支付系統(tǒng)等常規(guī)渠道實(shí)現(xiàn)資金流轉(zhuǎn)的，在偵查中通過(guò)資金溯源、查控工具已基本搞清資金的流向、通道。在審訊中追問(wèn)資金動(dòng)向主要是針對(duì)通過(guò)非法第四方支付、跨境第四方支付平臺(tái)②跨境第四方支付平臺(tái)通過(guò)越南盾與印度盧比進(jìn)行支付，對(duì)接了越南與印度主流支付通道，為黑灰產(chǎn)平臺(tái)提供資金結(jié)算業(yè)務(wù)。、跨境地下錢(qián)莊、虛擬幣交易平臺(tái)流轉(zhuǎn)而言的。對(duì)利用虛擬幣交易平臺(tái)流轉(zhuǎn)的，在審訊中要獲取私鑰與助記詞。

對(duì)問(wèn)清資金去向的，要即刻將地址內(nèi)的資產(chǎn)有效轉(zhuǎn)移。

6.訊問(wèn)過(guò)程中的取證

投資類(lèi)電信網(wǎng)絡(luò)詐騙案件特點(diǎn)決定此類(lèi)案件訊問(wèn)階段還要做相當(dāng)數(shù)量的取證工作。此階段的取證主要有兩種情形：一是對(duì)從犯罪窩點(diǎn)扣押的電腦、手機(jī)及其他犯罪工具的取證。這些犯罪工具數(shù)量龐大，應(yīng)在明確取證目標(biāo)的前提下組織專(zhuān)門(mén)的力量才能及時(shí)完成。通過(guò)對(duì)犯罪工具中電子數(shù)據(jù)的取證，能夠發(fā)現(xiàn)可以用于佐證犯罪事實(shí)、確認(rèn)犯罪嫌疑人犯罪行為的新證據(jù)。這些新證據(jù)也是在審訊中可以加以利用的證據(jù)。二是基于通過(guò)訊問(wèn)掌握了新線(xiàn)索、新事實(shí)、新證據(jù)的進(jìn)一步擴(kuò)證。通過(guò)訊問(wèn)必然會(huì)有新的發(fā)現(xiàn)，這些新的發(fā)現(xiàn)可能涉及線(xiàn)索、事實(shí)，也可能涉及證據(jù)或其他，在這些新發(fā)現(xiàn)的指引下，辦案人員可以進(jìn)一步發(fā)現(xiàn)新的證據(jù)。

十、結(jié)案

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪案件的特點(diǎn)決定了此類(lèi)案件的偵查結(jié)案應(yīng)把握以下一些要點(diǎn)。

（一）遵循“雙基本”原則

筆者主張，同黑社會(huì)性質(zhì)組織犯罪相同，投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪案件偵查結(jié)案也應(yīng)遵循“雙基本”原則——基本事實(shí)清楚，基本證據(jù)確鑿。“從刑事證明理論來(lái)看‘兩個(gè)基本’的實(shí)質(zhì)是在使‘組織性’證據(jù)達(dá)到一定的數(shù)量，具有確鑿的說(shuō)服力，需要明確限定證明對(duì)象內(nèi)容的前提下，為了做到快捕快訴快判，縮小證明對(duì)象的范圍，抓大放小，有所為有所不為?！畠蓚€(gè)基本’絕對(duì)沒(méi)有降低刑事證明標(biāo)準(zhǔn)。”[9]投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪案件所涉及的事實(shí)、證據(jù)十分龐雜，用“雙基本”來(lái)指引有利于犯罪事實(shí)調(diào)查、犯罪數(shù)據(jù)挖掘度的把控，有利于提升辦案效率。

（二）立足全鏈條打擊構(gòu)建犯罪事實(shí)體系

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪通常經(jīng)歷搭建運(yùn)維平臺(tái)APP或網(wǎng)站、推廣引流、炒群造神、轉(zhuǎn)換主題、鼓動(dòng)入金、下餌套牢、操盤(pán)殺豬、轉(zhuǎn)移犯罪所得、安撫退場(chǎng)等環(huán)節(jié)。這些環(huán)節(jié)涉及犯罪上游、中游與下游。犯罪的各個(gè)環(huán)節(jié)與犯罪上、中、下游的交錯(cuò)，使得投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪事實(shí)十分龐雜。不過(guò)，無(wú)論犯罪事實(shí)如何龐雜，在結(jié)案時(shí)均應(yīng)從全鏈條打擊視角去收集、整理犯罪事實(shí)。通過(guò)全鏈條事實(shí)的獲取，做到犯罪基本事實(shí)完整、系統(tǒng)、清晰，符合犯罪基本事實(shí)清晰的結(jié)案條件。

（三)以“五流”為主線(xiàn)構(gòu)建犯罪證據(jù)體系

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪案件偵查結(jié)案的證據(jù)整理可以人員流、案件流①即所并入的案件。、網(wǎng)絡(luò)流、通訊流、資金流為主線(xiàn)，構(gòu)建相應(yīng)的“五流”證據(jù)體系。“五流”證據(jù)體系的完整構(gòu)建便能初步實(shí)現(xiàn)證據(jù)的體系化、清晰化。在以“五流”為主線(xiàn)構(gòu)建犯罪證據(jù)體系的基礎(chǔ)上，加上通過(guò)核心要素的關(guān)聯(lián)，便能為證據(jù)的真實(shí)性、相關(guān)性，為證據(jù)的審查、鑒真打下扎實(shí)的基礎(chǔ)。

（四）借助核心電子數(shù)據(jù)實(shí)現(xiàn)犯罪事實(shí)與證據(jù)的有機(jī)關(guān)聯(lián)

投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪案件偵查結(jié)案時(shí)，在構(gòu)建了犯罪事實(shí)與證據(jù)體系的前提下，還應(yīng)選擇某一個(gè)或幾個(gè)要素，并依托某一個(gè)或幾個(gè)要素實(shí)現(xiàn)犯罪事實(shí)體系與證據(jù)體系的關(guān)聯(lián)。這里所指的依托要素便是核心電子數(shù)據(jù)。在結(jié)案時(shí)，可選擇與某一個(gè)或幾個(gè)與案件核心人物相關(guān)的電子數(shù)據(jù)②網(wǎng)絡(luò)空間活動(dòng)數(shù)據(jù)、通訊數(shù)據(jù)、轉(zhuǎn)移資金數(shù)據(jù)或其他數(shù)據(jù)均可。，將證據(jù)與事實(shí)關(guān)聯(lián)起來(lái)。核心電子數(shù)據(jù)的恰當(dāng)選擇將有利于犯罪事實(shí)與犯罪證據(jù)導(dǎo)圖的繪制，可以避免事實(shí)不清、證據(jù)失真、要素散亂情況的出現(xiàn)，有利用于實(shí)現(xiàn)犯罪事實(shí)與證據(jù)關(guān)聯(lián)的合理性、有機(jī)性與完整性。

結(jié)語(yǔ)

電信網(wǎng)絡(luò)詐騙犯罪伴隨信息技術(shù)革命而生。隨著信息技術(shù)滲透加劇，電信網(wǎng)絡(luò)詐騙犯罪也變得越發(fā)嚴(yán)重起來(lái)。在中國(guó)，應(yīng)對(duì)電信網(wǎng)絡(luò)詐騙犯罪已有二十多年歷史，但不管是理論研究，還是實(shí)戰(zhàn)應(yīng)對(duì)，都是十分被動(dòng)的。理論研究長(zhǎng)期與實(shí)務(wù)脫節(jié)，研究成果未能對(duì)應(yīng)對(duì)犯罪起到有效的指引作用。盡管很多人投入了很多時(shí)間與精力進(jìn)行電信網(wǎng)絡(luò)詐騙犯罪應(yīng)對(duì)研究，但大量的研究一直只是處于初探階段。本文選擇電信網(wǎng)絡(luò)詐騙犯罪中犯罪結(jié)構(gòu)最為復(fù)雜、實(shí)戰(zhàn)應(yīng)對(duì)最難、占比最高的投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪進(jìn)行研究，試圖通過(guò)研究構(gòu)建打擊投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪方案，提出投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪偵查基本步驟、方法。如果構(gòu)建的方案合理、科學(xué)，提出的基本步驟、方法可行，那么此研究成果自然也可成為偵查其他類(lèi)電信網(wǎng)絡(luò)詐騙犯罪的方案。筆者認(rèn)為，本研究在方法論上是科學(xué)的，尤其是將所涉及的大量電子取證技術(shù)通俗化，所提出的方案對(duì)指導(dǎo)電信網(wǎng)絡(luò)詐騙犯罪案件偵查是有效的。當(dāng)然，提出的偵查方案、步驟方法還存在各種漏洞、不足，有待于通過(guò)實(shí)踐的檢驗(yàn)加以修正、提升。尤其是第四次工業(yè)革命即將帶來(lái)的更大沖擊，將直接影響電信網(wǎng)絡(luò)詐騙犯罪的更迭，因此，投資類(lèi)電信網(wǎng)絡(luò)詐騙犯罪偵查的方案或步驟、方法也應(yīng)隨之調(diào)整。