实战解析| 嫌疑人X的现身,如何用电子邮件找到关键证据?
5月22日晨6时,海关总署指挥开展了打击“洋垃圾”走私“蓝天2018”专项第三轮集中行动。这是近年来海关开展的最大规模打击“洋垃圾”走私集中行动。
据了解,2018年以来,全国海关已针对“洋垃圾”走私开展了3轮高密度、集群式、全链条的集中打击,全力封堵拦截“洋垃圾”走私入境,共刑事立案256起,抓获犯罪嫌疑人249个,打掉走私犯罪团伙81个,查获废矿渣、废五金等各类走私废物21.7万吨,查证走私废塑料、废矿渣、废五金共93.31万吨。
某口岸查扣废纸一批。
在打击走私犯罪中,如何调查取证是非常重要的一环。当前,电子文件已经成为传递信息、记录事实的重要载体,电子证据已经成为是否有违法商业行为认定依据之一,其中就包括电子邮件,电子邮件的调查取证在海关、企业调查、工商行政执法、税务稽查等等行业中的作用大有可观。
案 件 解 析
日前,某公司因走私固体废物案被司法机关提起公诉,经查证,涉案企业涉嫌走私国家禁止进口固体废物费纸、废塑料,涉案金额高。
案件最终的定性定量,正是源于对其公司和关联涉案企业的海量电子邮件进行抽丝剥茧的分析。2018年3月,某地执法单位把目光锁定了某企业,调取和查获涉案企业的大量邮件,包括eml邮件文件,查扣的多块内含邮件客户端硬盘,涉案电子邮件累计超过200多G数据。
使用邮件进行商务往来的都知道,每一封邮件的信息都不同,每一批货物的不同信息可能会用多个邮件交流,并且不一定发送给同一个人,存在很多垃圾邮件,同时邮件里还包括大量附件文件等等,有些邮件还有抄送和密发对象,甚至有些重要邮件已经被删除!
要从成千上万的邮件中找到对应的货物信息,调查人员光靠人力这样一封封看显然要花费大量时间,事倍功半!
我们来看看调查人员是怎么操作的。首先,将各类涉案邮件数据导入云邮·邮件分析系统。
经过系统高速解析后得到超过80万封邮件(含删除恢复出来的),附件超过60万个。因为邮件数据量庞大,需要多人使用系统进行协作调查。
调查初期,使用云邮进行了初步总体分析,通过系统的统计功能,快速找到邮件关联发送最高的邮箱账号、IP出现最频繁的地址等,确认收发最频繁的邮箱账号优先调查。
图 2 云邮·邮件分析系统统计界面(示例图)
邮件数据导入解析后,通过云邮系统自动分析归类的数据进行快速的组合条件过滤,缩小邮件范围。同时,结合关键词搜索功能,进一步聚焦重要邮件。
图 3 邮件分析条件过滤界面(示例图)
在分析过程中,调查人员各自将发现的重要邮件打上不同颜色的标签,并为不同的邮箱加上名称备注,如货主、一级代理商、二级代理商等等,实时在云邮系统上分享分析的阶段结果,工作效率大幅提升。
图 4 多人一案,分工协作,标签界面(示例图)
案件线索分析进入关键阶段,云邮自带的智能线索挖掘功能已将邮件中涉及到的相关信息从邮件正文、PDF等附件文件、图片和文档正文中提取出来,这些挖掘到的信息对案件梳理起到了重要作用。
这里说一下「集装箱」,货物在进出口贸易运输过程中,集装箱往往是最常用的运输包装,集装箱号具有全球唯一标识的特点。而涉案货物正是通过集装箱运输。
图 5 pdf内找到集装箱号(示例图)
为了挖掘出邮件往来中的货物流转信息。启动云邮的关联分析,系统自动根据列表中过滤后的结果,绘制出邮箱账号之间的关系图,快速定位出联系最频繁的邮件账号。
图 6关联分析界面图(示例图)
再通过云邮的时间线分析,查看这些邮件上体现出的到货、转运过程,便可初步推断出商贸活动中的人物关系。
图 7 时间线分析关联图(示例图)
为了进一步落地更多证据,接下来使用关键词进行全文精确搜索,过滤出关联往来邮件,并批量导出邮件附件。最终历次货物转运及涉案金额等重要信息全部浮出水面。证据,就这样一步步串起来了!
图 8 邮件附件-账单附件(示例图)
另外,我们都知道,每个邮件收发都有带着IP地址信息,根据这些邮件IP地址我们能判断每个邮箱的地理位置。云邮系统将这些邮箱地址变成具象化的地图之后,可以看到其所在的实际地理位置,对定位涉案企业位置起到了重要作用。
图 9 IP分析界面图(示例图)
至此,执法单位通过云邮系统的辅助分析,挖掘出整个贸易链,最终证明了嫌疑人的犯罪事实,所有涉案发票附件导出作为量刑证据。
可以看出,通过海量邮件取证过滤、智能统计、可视化关联分析、关键词全文检索等功能够帮助办案人员直观、快速的找到线索,一举解决涉案邮件数量庞大、人工浏览单兵作战时间长、效率低的问题。
协作分析:多人协作工作方式,支持“一人多案,多人一案”工作模式,提升办案效率。
关联分析:多种维度图形化展示邮件往来关系及收发频度;支持以时间轴展示邮件的流转周期。
线索挖掘:智能提取、挖掘身份证号、银行卡号、集装箱号、报关单号等线索扩展信息,并支持高级调查员自定义正则表达式进行特定线索挖掘。
条件过滤:提供自动归类的收发地址、标签等灵活组合的条件过滤,支持多关键词及过滤条件灵活地与/或/非组合搜索。
全文检索:秒级检索响应,全面支持对邮件正文及附件正文、压缩包内文档文件及常见图片和图片型PDF文件的全文检索。
相比较邮件分析的同类型产品,云邮系统分析速度在标配服务器上平均可达7万封邮件/小时,处于行业领先水平。并且邮件取证分析的速度支持后台服务器分布式扩展,随着后台服务器的堆叠,可实现取证分析速度呈线性增长趋势。另外,基于美亚柏科在电子数据取证行业的技术积累,还具备相当强的邮件恢复能力及证据司法鉴定能力。
简化工作流程,提高工作效率,云邮·邮件分析系统是是您处理海量邮件时的不二选择。
注:如需进一步了解该产品,请联系美亚柏科当地销售人员,或拨打客服电话4008886688,欢迎来电咨询试用。