网络案件的侦查

classic 經典 list 列表 threaded 結構樹
2 信息 選項
007
回覆 | 結構樹
以树状图樣式打開這個帖子
|

网络案件的侦查

007
互联网具有互连互通、快速及时、匿名隐身、跨地域无国界等特点。我国自1986年在深圳发现首例计算机案件以来,网络案件数量呈直线上升状态,性质日益严重。网络不单纯指国际互联网,也包括其他一些网络,如银行系统的网络、电信系统的网络、企业内部的局域网、校园内部的校园网等。

网络案件的特点
(一)做案主体以青少年为主,有低龄化趋势,并具有极高的智能性
(二)作案行为隐蔽、方法多样
网络是开放的,只要计算机联入网络就可以上网,并且随着科技的发展,可以通过电脑、手机等多种工具进入虚拟的网络空间。网络可以不受时空的限制,随时随地浏览服务器位于遥远国度的网站,也可以和位于不同地点素不相识的网友聊天。就因为网络这种开放性、不确定性、虚拟性和超越时空性的特点,加之数据和信息的无形性,才使网络犯罪具有极高的隐蔽性。
网络犯罪的方法多种多样,偷窃机密、调拨资金、金融投机、剽窃软件、偷漏税款、盗码并机、发布虚假信息、私自解密入侵网络资源等网络案件层出不穷。这些活动操作起来极为方便,作案人员有时借助世界范围内的电话、电台等系统的计算机数据传输以遥控手段进行违法活动,有时通过制造、传播计算机病毒破坏软件功能等。
(三)作案痕迹少,证据的收集和保存较为困难
网络案件作为一种新型案件与传统型案件相比,具有痕迹少的特点,不易发现痕迹、物证,因此取证较为困难。据调查,被发现的计算机网络犯罪仅占所有此类犯罪总数的5%~10%,而且往往很多不法行为的发现是由于偶然,如同伙的告发或导致计算机网络出了故障,或以手工作业的方法处理业务时偶尔发现。计算机网络案件的隐蔽性和匿名性等特点使得对计算机网络犯罪的侦查非常困难。即使在号称“网络王国”的美国,计算机网络犯罪的破案率都还不到10%,其中定罪的则不到3%。就新闻报道方面,计算机网络犯罪只有11%被报道,其中仅1%的犯罪被侦查过,而高达85%以上的犯罪根本没有被发现。
证据难以收集和保存主要是由于:第一,网络证据的有限性。第二,网络证据的易毁性。网络案件非但证据有限,而且证据非常容易毁灭。因为不法行为完全发生在作业系统或者软件资料上。不法行为的证据只存在于软件的资料库和输出的资料中,不法人员作案时,可通过预先设置好的破坏性程序或使用格式化命令,将一些遗留在软件中的证据瞬间销毁。不法人员在网络中的多个服务器之间穿梭,一旦达到目的,他们可能立即离开目标网站,迅速删除他们曾经进入服务器的日志文档,消除记录他们“行踪”的信息。这种现场痕迹的销毁和破坏所造成的勘查难度,远比传统案件现场勘查大得多。
另外,有些受害单位和个人在发现网络犯罪后没有及时与执法部门联系,时间的丧失也错过了获取证据的最佳时机。
(四)作案成本低,但后果严重
网络违法成本低。网络人员运用掌握的计算机知识,编写一些如恶意代码等,进行远程操控就可以达到目的。只要几秒钟,就可能通过网络盗取巨额款项。
(五)现场难以确定
现场,是指嫌疑人为了实现目的,在一定的时间、空间侵犯一定的对象,从而引起特定物质环境发生一系列变化的场所,也就是案件发生的地点和遗留有与犯罪有关的痕迹、物证的场所。网络犯罪现场,是指存在和发生网络犯罪行为或与之关联的场所和地点,它与传统案件的物理现场有很大不同。网络案件跨越物理与虚拟两大空间,可能是有形现场、终端室、计算机通信线路场,如电磁辐射区等。发现或发生网络犯罪的发现地或结果地未必是作案地,而确定案发的作案地或者说真正的犯罪现场非常困难。
在进行网络犯罪侦查时,经常使用的方法是通过一定的技术方法得到源IP地址,然后通过源IP地址追踪嫌疑人。然而,网络中存在各种欺骗,极有可能费了很大力气得到的源IP地址,并不是真实的源IP地址。
(六)具有一定的连续性和跨国性
计算机犯罪的连续性主要体现在以下两个方面:一是某些类型的计算机犯罪,一旦将所设计的指令装入计算机信息系统,它就会持续不断地执行下去。有些不法活动,不法人员是无法马上终止不法活动的。二是由于计算机违法具有很大的隐蔽性,难以发现和侦破,据报道,发达国家的计算机犯罪,只有10%左右的案件被发现,而被侦破的案件还不到1%。所以,一旦作案成功,不法人员的心理得到加强,就会持续不断进行下去,甚至欲望不断地升级。
当今世界上一半以上的贸易是在跨国公司及子公司之间进行的。几乎所有的跨国公司都建有自己的计算机信息系统。我国改革开放的国策必将扩大对外贸易,据报道,1998年我国的对外贸易额已居世界第七位。计算机不法人员往往利用国与国的时间差,各国法律的差异,以及国与国之间有无警方协作条约,利用我国内地与港澳台的政治制度不同等有利条件,跨区跨国作案,逃避打击。
目前的计算机犯罪,一方面是不法人员的高智能、高专业水平和能力,另一方面是执法部门的低能和低水平,两者形成强烈反差。

网络案件的侦查要点
(一)网络犯罪现场的确定
网络犯罪现场,可能是计算机本身、计算机的终端或远程终端、远方城市电话、计算机的通信线路或电磁辐射区,或是一个庞大的国际通信网络等,犯罪现场除非发生破坏行为,否则极难确认。只有根据已知线索,通过分析案件性质、作案时间来确定具体方法,主要包括以下几种:
1 破坏计算机案件现场较明显,现场即计算机本身及其所在空间。
2 计算机犯罪大多是内部人员,因此,可以以受害单位的计算机工作人员为重点开展调查,由事到人,由人到空间从而确定犯罪现场。
3 以发案信息为根据,分析作案动机和手段,分析计算机专业知识水平和知密程度,确定嫌疑人条件,以人定机。
4 以发现问题的计算机为重点,向联网的其他计算机辐射,结合有关案件的情况来确定犯罪现场。
(二)网络现场勘查
网络违法是一种对存在于虚拟空间的信息进行侵犯的行为。尽管这种行为侵犯的只是肉眼看不到的比特,但不法人员在实施侵犯行为的过程中必须使用计算机等物理设备,这些物理设备总是存在于一定的物理空间,因而网络违法同样有明显的现场,而且大多数网络违法现场是有勘查价值的。在发现网络违法线索后,只要有条件(知道用来实施违法行为的计算机等设备所在的空间)就应想方设法对违法现场进行勘查。
1 现场保护
(1)封锁现场。对现场实行人、机、物品之间的隔离;封锁文件柜、工作台、计算机工作室和进出路线;在门口、窗口设岗看守,不许无关人员进入室内;将现场内所有人迅速带离现场,并立即检查他们随身携带的物品,重点是书面记录、通信工具、磁卡类可以读写的卡片、磁介质(软盘、光盘等);有关人员在滞留检查期间,不能与外界进行联系。
(2)封锁整个计算机区域,包括通信线路、电磁辐射区。迅速派人看管配电室,避免发生突然断电导致系统运行中的各种数据结果丢失;看管现场以及现场周围的各种电信终端设施(如传真机、调制解调器等),检查现场及周围有没有强磁场和可以产生强磁场的物品,妥善保管各种磁介质,避免被各种磁场消磁。
2 实地勘验。通过实地勘验收集现场上遗留的原始资料、数据参数等。勘验过程中主要是针对硬件、软件、管理制度和人员状况等方面进行取证调查。这其中既包括传统意义上的取证(如勘验手印、足迹、工具痕迹,拍摄现场照片、绘制现场图等),又包括对“网络证据”的勘验。
“网络证据”的勘验。“网络证据”,主要是指在硬件、软件、管理制度等方面可以反映网络违法行为真实情况的物证、书证及视听资料等。例如,在数据传送与接受过程中所形成的电磁记录与命令记录;现场上各种系统硬件的连接状态、连接方式;屏幕显示的系统运行参数、运行结果;打印输出的结果;工作人员的日志记录等。对这些证据的勘验,常用的有记录、封存、备份、收集等手段。
记录,就是指用适当的方式将现场上各种仪器设备的连接、配置状况和运行状态,各种电缆的布线方式(串、并联方式,有无破损断裂),各种插头、插座、开关的工作状态等情况记录下来。通过记录,保存案发当时的现场状况,进而通过综合电磁记录,命令记录,当事人、知情人、技术人员的回忆,工作日志记录等方面的证据,了解系统软硬件原始状态,并通过原始状态与现场遗留状况的比较,发现各种异常现象或者推断嫌疑人使用的作案工具、作案手法。现场记录的方法包括现场照相、笔录、绘图、录象等。这些工作,有的在临场处置时已经完成,进入实地勘验以后要力求将其细化、完备化。例如,应在临场处置的基础上,进一步审查监视器所显示的任何证据,如果有必要,拍摄下计算机屏幕上显示的内容,并在计算机专业人员的帮助下切断与计算机相连的电话线或闭路线,在不会造成数据丢失的情况下,拔掉墙上的电源,一般不能用启动开关去关闭计算机。拍摄计算机尾部的线路结构。断电前标上线路系统(用遮蔽胶带或钢笔),将端口和插槽作上标记。如果所查获的不止一个系统,应将不同的零部件分别放置,并作标记。
封存,就是对现场可能记录有违法行为过程和真实情况的物品、数据等证据,采取强制性手段维持其现有状态,以备进一步分析。封存的对象主要包括:现场内的信息系统、各种可能涉及的磁介质,上机记录,命令记录,内部人员使用的工作记录,现场上的各种打印输出结果,传真打印件,程序备份和数据备份等。封存当中应注意的是:封存正在运行的信息系统,要事先做好系统工作状态、系统运行参数的记录,以防关机后无法恢复。
备份,主要是指侦查人员对不能停止运行而又没有备用应急措施的信息系统进行数据复制,以便尽快恢复系统正常工作。备份的对象主要是:系统中的相关数据、系统日志文件等。备份当中应注意的问题是:对于磁介质中所有的数据按照其物理存放格式进行全盘复制,而不是简单地拷贝文件。
收集,就是将现场上遗留的原始资料、数据参数等“网络证据”资料进行提取、包装。收集的对象主要是:计算机软、硬件,各种输入和输出设备,调制解调器,各种操作手册,各种连接线,同时,还要注意收集计算机附近遗留的可能写有计算机指令的纸片等。在对网络案件的物证、书证及视听资料等进行包装运输时,要注意避免静电干扰。不能用塑料包装,并将无线电设备远离磁场放置,避免电子储存的数据丢失。保管所缴获器材的房间应有空调装置。另外,还应将立体声喇叭之类的磁源保管好,不能和上述器材放在一块。
3 现场访问。在网络案件的现场勘查中,实地访问是一种行之有效的获取证据、发现线索的手段。实地访问的对象主要是当事人和知情人,如计算机操作人员,分管领导,技术维护人员等。访问内容应当根据访问对象有策略地加以变化,概括起来包括以下内容:系统的运行状态,曾经进行过哪些操作和维修,操作人员和技术人员以及分管领导的思想表现、技术水平高低、分别能够接触哪些软硬件内容,如何发现系统出现的异常现象,采取过哪些处置措施等。
4 对证据资料进行技术分析。在前一阶段勘查证据的基础上,侦查人员可以对所得的相关证据资料(如磁介质、系统备份、数据备份)进行技术分析,从而发现嫌疑人是在何时、采取何种手段、从哪些方面对网络系统进行了哪些侵害,从中选取有价值的侦查线索进行侦查。目前,对相关证据资料技术分析的手段多种多样,其中常用的有以下几类:
(1)对比分析技术。这种技术主要是将收集到的程序、数据的备份与当前运行的程序、运行结果数据进行对比,从而发现异常状况,进而分析是否有被篡改的痕迹。
(2)关键字查询技术。这种技术主要用于对系统硬盘备份进行分析。在侦查人员所做的对现场系统硬盘的备份当中,以某些具有特殊功能的指令语句作为关键字进行匹配查询,查询的结果将说明是否存在这一特殊功能的指令语句,侦查人员可以从中发现问题。
(3)数据分析技术。对于被嫌疑人删除、修改的文件和磁盘数据,可以通过数据分析技术进行恢复,或者查明文件被修改移动的时间、修改前的状态和属性。这类技术包括:
[1]被删改、破坏数据的恢复技术。这种技术通过磁盘操作技术和电磁学技术,将被删除、破坏的数据进行一定程度的恢复。这对于克服由于嫌疑人故意毁灭证据而制造的困难有着重大意义。
[2]残留数据分析技术。文件在犯罪侦查存盘以后,实际的长度要小于或等于所占用的簇的大小,空出来的磁盘空间中会保存有原来储存的某些文件数据。对这些数据进行分析,可以了解原来磁盘中存储的内容。
[3]文件“指纹特征数据”分析技术。在每个文件的尾部均有一些记录该文件生成信息的数据,伴随着文件的修改而变动,这些数据也就是该文件的指纹特征数据。根据这些数据,可以判断文件的最后修改时间和修改次数,这可以帮助侦查人员判断作案时间。
[4]文件内容分析技术。在某些软件运行过程中,经常会产生一些记录软件运行状态和结果、数据操作过程的文件。例如,临时文件(TMP)、备份文件(BAK)、交换文件(SWP);“文档”菜单中记录了使用过的文件名称。这些文件内容可以为侦查工作提供线索和证据。

(三)网络案件侦查措施
1 监控追踪。跟踪数据信息,是指在做好重要数据隔离保护的前提下,采取“外松内紧”的方式,利用先进的工具,借助监视系统,对正被严密监视的非法数据进行跟踪,以确定非法数据来源及其走向的一种侦查措施。该措施可以对来历不明的嫌疑数据进行跟踪,也可以对利用网络监听工具监听到的非法数据进行跟踪。
2 网上守候。网上守候又称守株待兔法,当嫌疑人没有留下更多的痕迹,排查也没有找到关键线索时,可以采取守候的方式,对嫌疑人可能出现的站点和网页进行密切监视,当收集掌握到足够的证据时将其一举拿获。
3 网上秘密力量。网上秘密力量,是指侦查主体乔装打扮深入敌营查找线索。网上秘密力量分长期秘密力量和临时秘密力量。长期秘密力量,是指侦查主体在平时就假扮黑客出入黑客网站、聚集黑客和网络高手的技术聊天室、BBS公告牌等地和其他黑客交流讨论了解情况。临时假扮,是指针对某一特定案件,假扮成特定角色收集证据或者通过秘密侦查从聊天室的发言和BBS的帖子上查找线索,再顺藤摸瓜。
4 化装贴靠。化装贴靠即执法人员将自己扮成黑客、青少年或其他需要的假身份来接近嫌疑人,通过网上聊天、谈生意等方式贴靠嫌疑人,收集证据并最终将其一举逮捕。
5 诱惑侦查。诱惑侦查,是指为了查缉嫌疑人有针对性地利用互联网发布信息诱使嫌疑人浮出水面的一种网络特别侦查措施。诱惑侦查往往通过在互联网上发布提供犯罪机会的信息使得嫌疑人落入侦查圈套。
6 网络隐蔽力量。为了对付网络犯罪,应在上网的人群中物色、建立隐蔽力量,方法与在物理空间的方法相同。利用网上隐蔽力量经常出入各大聊天室、论坛,参与网络游戏等,有条件接触更多的网友,可以扩大信息来源,发现和收集各种与网络有关的线索。
7 网络侦查陷阱。随着互联网技术的发展,网络攻击手段呈高技术特征,作案手法更加隐蔽,犯罪金额更加巨大。据有关资料统计,国内金融犯罪案件中利用计算机系统作案的占64.3%,在重大案件中占85.7%且金额较大。可以在重要机关和部门设置陷阱式网络系统结合智能入侵检测系统。当系统接受到一定级别入侵报警信号后,立即切断目标系统与入侵数据的通道,并启动陷阱式系统,一方面将入侵者和目标系统隔开,另一方面让入侵者在受到侦查主体严密监控的陷阱系统中继续活动,留下入侵证据的同时追查入侵者。“诱饵”服务器或陷阱网络最核心的策略是到达“诱饵”服务器或进入陷阱的数据都是可疑的。一旦黑客进入陷阱,其一举一动都将被记录下来。
8 以黑制黑。“黑客”一词泛指那些专门利用电脑破坏或恶作剧的人。我们这里所讲的以黑制黑,前一个“黑”指高水平的电脑专家,后一个“黑”指搞破坏的人。以黑制黑是对付黑客的有效措施。对于黑客违法,办案人员可以借助“黑客力量”去对付。
9 广泛开展网络犯罪的国内协查和国际合作。由于互联网的开放性,辗转登陆、跨国跳板式攻击等使得顺藤摸瓜式的侦查工作遇到困难,打击网络犯罪应该加强侦查的横向协作。一方面,网络攻击者在攻击成功后,往往会自恃技术高超,可能再以相同手段攻击其他目标;另一方面,攻击者如果利用跳板攻击或IP劫持等,也会利用到第三方主机。在侦查中要注意收集有关信息,判断是否是同一嫌疑人的多起入侵,从而开展并案侦查、国际协查等工作。
007
回覆 | 結構樹
以树状图樣式打開這個帖子
|

網上擴線排查戰術在刑事偵查中的應用

007
網上擴線排查戰術在刑事偵查中的應用


隨著計算機技術的迅速發展和互聯網的普及,網上生活已經成為人們日常生活中的重要元素。據新華網2008年底公布的數據顯示,到2008年底,我國網民數已達到2.53億。在公安工作中,大部分犯罪嫌疑人尤其是青少年犯罪嫌疑人都有相應的網絡活動,這就為開展網上擴線排查提供了可能性。

一、網上擴線排查的含義
網上擴線排查是由已知條件發掘未知線索,對犯罪嫌疑人和重點人員的網上虛擬身份開展排查,並將虛擬身份落地查證現實身份的一種網上作戰戰法。虛擬身份是指網絡虛擬社會中人們用來交流並類似於現實生活中的身份,包括即時通訊帳號、網絡遊戲帳號、個人博客、電子郵箱、網上論壇資料等信息。現實身份是指現實生活中人們的真實信息,包括個人身份證件、姓名、聯繫電話、家庭住址、銀行帳號、車牌號碼等信息。

二、網上擴線排查的目的、範圍和條件
通過開展網上信息資源的排查,能夠拓展案件線索,獲取犯罪證據,找出犯罪嫌疑人的網上身份或網上痕跡,進而確定犯罪嫌疑人的真實身份和隱藏處所,為抓捕犯罪嫌疑人提供明確線索。開展網上擴線排查時,應當根據案情分析所確定的偵查範圍,劃定相應的網上偵查區域,包括作案時間、作案區域、作案人數等,收集該區域內所有網上信息資源,從而進行虛擬和現實各種線索相互關聯拓展的擴線排查工作。開展網上擴線排查時,要具備一定的條件。應當通過案情分析及已掌握線索,大體刻畫出犯罪嫌疑人的特徵,如年齡、長相特徵、籍貫等,或者描繪出犯罪嫌疑人的主要活動範圍、活動規律等,據此尋找與之相對應的網上偵查條件。

三、網上擴線排查的方法
(一)橫向擴線排查法橫向擴線排查法是指通過已知的犯罪嫌疑人的網上信息來查找未知的虛擬信息,或者由已知現實身份關聯其他現實身份,即“虛擬身份—虛擬身份”、“現實身份—現實身份”的橫向擴線排查過程。在部分案件中,辦案人員通過工作,獲取已知嫌疑人的真實身份或者網絡活動情況,可以依據此類條件開展網上橫向擴線排查。以下以“××市××區4.18搶劫案”為例說明。

2009年4月18日凌晨,被害人劉某下班路過××區地下通道時,被三名男子攔路搶劫,並被其中一名男子強姦。經工作,公安機關抓獲了強姦劉某的犯罪嫌疑人代某。代某到案後,交代了夥同他人搶劫、強姦被害人劉某的犯罪事實,但無法交代清楚同案犯的真實姓名和住址等信息。民警隨即對代某的網上活動情況開展摸排,發現代某經常在××區上網,網上活動情況頻繁。通過對案發前一個月代某上機的情況進行分析,發現代某共在網吧上網15次,分別在六家不同的網吧,地點和時間的規律性不明。但其中四次,均有一名男子與代某幾乎同時上下機,且上機的機位號相鄰。通過查詢該人在網吧上網登記信息,查明該人的真實身份:甘肅蘭州人寇某。經受害人辨認,確認了寇某就是當日凌晨參與搶劫犯罪的嫌疑人之一。

通過對寇某所使用的網上虛擬身份進行工作,發現其案發後第二天在一黑網吧上網。通過對該黑網吧網上活動情況進行回溯查證,發現有兩個QQ號碼的上下機時間基本一致,其中一個為寇某所使用。專案組隨即對寇某加大審訊力度,寇某在數次較量之後,交待出另外一名犯罪嫌疑人的下落。

本案中,在代某不交代其同夥的情況下,通過已知的犯罪嫌疑人代某的身份,對代某的網絡活動情況進行分析,查找與代某網絡活動關係密切的人,完成從“真實身份—真實身份”的擴線排查,最終鎖定犯罪嫌疑人寇某。通過對寇某虛擬身份的橫向排查,關聯出一個關係密切的虛擬身份,完成“虛擬身份—虛擬身份”的擴線排查,進一步擴大了戰果。

(二)縱向擴線排查法縱向擴線排查法是指通過已知的犯罪嫌疑人的虛擬身份,查找到對應的真實身份,或者由已知現實身份發掘其虛擬身份,即“虛擬身份—現實身份”、“現實身份—虛擬身份”的排查過程。通過工作掌握犯罪嫌疑人的相關身份信息後,可以通過嫌疑人的網上活動情況來確認或者排除其是否具備作案時間和作案條件,或者進一步運用橫向擴線排查法繼續關聯其他同案犯信息,或者通過定位技術實施抓捕。在大量的刑事案件中,運用縱向擴線排查法摸排信息並抓捕犯罪嫌疑人的效率很高。

2009年4月6日下午,××市××區發生一起搶劫案。通過現場遺留物品的排查比對,發現35歲的徐州人季某有重大作案嫌疑。接到協查後,民警運用縱向擴線排查法明確了季某的虛擬身份,並對其網上活動情況開展了摸排。調查發現,季某在案發前一直都在××地區有穩定的網上活動,時間、地點的規律性十分明顯。但在4月6日及7日,季某的網上活動突然消失。4月8日至9日,季某在其老家徐州上網。10日,季某又在××地區上網。通過對季某網上活動的反常現象進行研判,專案組認為,季某具備作案時間和作案條件,其返回老家之後又返回××地區很可能是作案後暫避風頭,再伺機作案。通過對季某在××地區上網的時間和地點的摸排,民警在其經常上網的一家網吧附近蹲點守候,將犯罪嫌疑人季某一舉抓獲。

(三)發散擴線排查法
發散擴線排查的實質是上述兩種擴線排查方法的綜合運用。在案情複雜時,僅僅運用一種擴線法是無法滿足辦案需要的。此時,就需要綜合運用橫向和縱向擴線排查,完成“虛擬身份—現實身份—虛擬身份—現實身份”的關聯擴線工作,最終完成偵查目標的擴線排查方法。以下以筆者所參與偵辦“××市2.24網絡詐騙案”為例,分析本方法在案件中的運用。

3月4日,××市公安機關接到受害人楊某報案稱:楊某在與某網民聊天時,被對方以購買機票為名詐騙人民幣四萬餘元。對方提供了一個開戶名為“王某”的銀行帳號、一個小靈通、一個QQ號碼。經查,該小靈通也是使用“王某”的身份證辦理的。經偵查發現,該QQ號碼已經停用。案發時,該QQ在某網吧使用,登記使用人同樣為王某。但到公安機關介入調查時,QQ、銀行卡、小靈通均被犯罪嫌疑人棄用。除調取到的犯罪嫌疑人的取款錄像外,警方尚未掌握其他線索和證據。至此,案件偵查陷入僵局。

鑑於犯罪嫌疑人的犯罪行為都是在互聯網上完成,偵查員決定將調查重點集中在犯罪嫌疑人的網上活動上。經查,嫌疑人所使用的QQ專業見解4在××市範圍的網吧內共出現15次,上網時登記的身份證號碼四個(其中兩個為假證),分別為王某和張某的身份證。但通過比對,發現該三人和取款監控中的犯罪嫌疑人並不是同一人(後查明,犯罪嫌疑人是撿到了他人身份證後冒用他人身份證)。之後,通過對2月25日登記上網的犯罪嫌疑人的網上活動進行分析,發現嫌疑人在關閉該詐騙QQ號碼後,立即又登錄了另外一個QQ號碼以“1023”開頭的QQ。通過對該QQ的資料分析,發現該QQ的登記資料是“XX票務”。QQ“1023”在××地區登錄也比較頻繁,上機時登記使用的身份證為已經進入警方偵查視線的張某、陳某和王某。除此之外,警方還從犯罪嫌疑人取款地發現了第三個詐騙QQ。但令偵查員感到失望的是,三個詐騙QQ都已經廢棄不用,通過詐騙QQ直接找到犯罪嫌疑人的可能性幾乎為零。

經分析,我們認為犯罪嫌疑人在多次冒用他人身份證使用詐騙QQ的情況下,極有可能在不經意間上過自己平時所正常使用的生活QQ。偵查員隨即對這三個身份證開展工作,發現同時在該三個身份證下使用過的QQ號碼共計五個,其中三個為詐騙QQ!此時,另外兩個QQ進入了警方的偵查視線。通過對這兩個QQ的調查,安徽人江某成為警方的重點懷疑對象。通過對比,偵查員認定,江某就是在××地取款的犯罪嫌疑人。4月20日,犯罪嫌疑人江某、程某落網。

本案中,辦案民警從犯罪嫌疑人所使用的詐騙QQ入手,擴線排查出三個真實身份,完成了“虛擬身份—真實身份”的擴線過程。從表面現象上看,這三個真實身份是犯罪嫌疑人冒用的,與犯罪嫌疑人的真實身份毫無關係。但偵查員從犯罪嫌疑人多次冒用他人身份上網這一特點,通過網上行為的擴線排查,從已知虛擬身份擴線到其他虛擬身份,開展“虛擬身份—虛擬身份”的擴線排查,挖掘出犯罪嫌疑人所使用的真實QQ。開展虛擬身份到真實身份的擴線排查,最終發現了犯罪嫌疑人的真實身份。總結而言,偵破本案的關鍵是運用了發散擴線排查法,開展了“虛擬身份(詐騙QQ)—真實身份(他人身份證)—虛擬身份(其他詐騙QQ)—虛擬身份(生活QQ)—真實身份(犯罪嫌疑人)”的擴線排查,才最終鎖定犯罪嫌疑人。

網上擴線排查戰術不僅適用於計算機犯罪案件的偵查,對於傳統刑事案件的偵查同樣具有重要意義。在條件成熟時,利用網上擴線排查方法開展偵查,能夠縮小排查範圍,迅速鎖定犯罪嫌疑人的真實身份、活動區域,對案件的破獲具有重要作用。