查看原文
其他

专家说|新型网络犯罪形势下的取证工作挑战(上)

美亚柏科 2023-08-31


新型网络犯罪是当前突出社会问题之一,严重侵害人民群众的财产权益甚至人身安全,对社会治安秩序和稳定构成了极大的威胁。新型网络犯罪的逐步发展和蔓延,给电子数据取证工作的数据采集、数据解密、数据解析、数据恢复和数据仿真全过程取证技术带来新的挑战与问题。在此背景下,公安机关需要加强取证能力建设,构建取证信息化体系和知识生态体系,并拓展取证数据的模型应用,应对新型网络犯罪带来的挑战。


本文为福建省电子数据存取证重点实验室主任、美亚柏科副总经理江汉祥发表的《新型网络犯罪形势下的取证工作挑战》的上篇内容,带领大家了解新型网络犯罪及其对公安工作带来的挑战。



新型网络犯罪概念及特征
“新型网络犯罪”近年来已经是个耳熟能详的名词,特别是在公安行业相关报道中处处可见。2021年1月山西省大同市公安局还专门成立了新型网络犯罪侦查支队。那什么是新型网络犯罪?到目前为止并还没有标准的定义,更没有法律规范。这里结合其主要特点进行概括性描述为:利用通信及网络的新技术和新设备,借助网络犯罪细分产业链联合体,针对或利用网络所进行的各种非接触性犯罪的集合。这里重点强调它是“非接触性犯罪的集合”,它往往利用了最新的网络通信技术,并有庞大的黑灰产业链支撑。新型网络犯罪的主要类型有:新型网络诈骗和赌博,以及新型经济犯罪和计算机犯罪等。
新型网络犯罪的主要特点有3个方面:
1. 犯罪实体的团伙化、公司化和集团化;
2. 犯罪链条的产业化、细分化和专业化;
3. 犯罪手段的技术化、装备化和更迭化;
比如,网络诈骗就是作为一种典型的新型网络犯罪形式。实际上,一起网络诈骗远不是一个或几个诈骗实施者的能力与智力所能完成的过程。表面上呈现的是诈骗实施者对受害人的各种骗术,本质上它是由一个庞大的黑灰产产业链所支撑的犯罪产业链的一个输出。各个黑灰产节点完成自己的相对固定任务,链条间是通过“业界”规则的利益所关联。
如图1所示,诈骗策划者也就是类似编剧者,策划诈骗实施的整个脚本及实现的技术方法。诈骗的实施者通过电话、即时聊天、抖音等工具开展诈骗活动。但是在开展过程中会涉及到提供各种前期的信息和工具及后期的洗钱活动。实名信息就需要黑客的手段获取后,再通过黑帽们来贩卖;所使用的各种网络虚拟身份需要网络账号提供商通过批量注册和批量养号后提供;而作案电话号码及相关呼叫平台或设备则需要链路提供商来支持;诈骗相关的理财网站、购物网站、赌博网站则需要网站提供商来提供;诈骗的本质是骗取钱财,所以都免不了与洗钱团伙的勾结,将非法所得在各种支付手段中不断流转,以逃避公安机关侦查。
图1 诈骗及其黑灰产产业链
新型网络犯罪给公安工作带来的挑战
新型网络犯罪因其非接触性特征与传统接触性案件有着本质区别,因而在实际侦查办案中给公安工作带来了巨大的挑战,主要是机制上挑战与技术上挑战。
机制上的挑战主要表现为以下几个方面:
1. 受害人挑战
实际诈骗案件中,往往受害人在学历学识、社会经验和智商情商上都高于诈骗实施者。那么为何受害人还会上当受骗呢?正如上图1所示,受害人表面上面对的是诈骗实施者,但实际上面对的是一个庞大的黑灰产产业链,面对的是一个集心理学、经济学、网络新技术多方面的利益团队。所以只要有某些知识或技术在受害人认知之外,就很可能上当受骗。
比如:当你不知道原来VOIP诈骗能修改主叫号码时,接到“110”之类的电话,你一定首先从心理上默认这是公安的电话。这样,第一道心理防线就被突破了。同样今天可能认识到不能轻信微信或QQ的打款信息,但是未来一天你的亲人跟你视频聊天后要你打款时,你可能就会信以为真上当受骗,因为你还没有认识到深度伪造技术所带来的安全问题。
2. 办案单位挑战
公安机关案件侦办单位往往是基层区县公安局,其人力和财力都相对有限,而新型网络犯罪整个链条往往会涉及到全国范围,甚至全球多个国家。目前外地协作机制还无法做到通过网络来开展,而是需要办案单位出差到案件相关地区。这种靠人力出差办案的机制与嫌疑人之间通过利益关联的网络协作在效率上不是一个量级,而且一般办案单位难以承受这种案件全链条打击所需的人力与财力。
3. 协作组织挑战
刑事侦查办案单位要侦办新型网络犯罪案件时,一般需要公安内部的网安和技侦部门配合,外部需要运营商、银行、第三方支付商、网络服务提供商等配合。然而在各单位或部门间配合时由于工作和利益冲突,程序和法规冲突等都会导致配合效率低下,配合深度不够密切等问题。而犯罪产业链间只要利益分配认可,一切都可在网络上瞬间完成。因此两者在效率和机制上就形成鲜明对比。
4. 办案人员挑战
公安机关的办案人员是一个多面手,他需要办理多个案件,同时还要应对教育学习、行政会议等各种工作生活事项。所以他的工作性质是“面”状,而新型网络犯罪嫌疑人的工作性质是“点”状。后者分工明确,每个人只需要开展黑灰产的一个节点工作。这种工作甚至是固定的动作或流程,因而他们都极其熟练精通。所以在这个专业点上,办案人员往往达不到嫌疑人的水平,经常出现审讯时无法听懂嫌疑人的口供现象。
公安机关在研判分析最终落地的技术主要有IP落地技术、手机落地技术和账户落地技术。面对新型网络犯罪,这些技术都在不同层面受到了挑战,具体如下:
1. IP落地技术挑战
网络犯罪嫌疑人为了隐藏身份,会利用互联网技术及各种网络工具进行加密上网、远程或代理上网,从而给案件侦办带来困难。这些网络或通信技术有VPN加密通信、远程桌面上网、SOCK5 IP代理、秒拨IP代理及境外手机热点上网等。这些手段要么隐藏了真实IP,要么难以追溯到谁在使用真实IP,从而给IP落地技术带来了挑战。
2. 手机落地技术挑战
手机落地技术本质上是通过落地手机位置从而落地出手机持有人的位置。然而GOIP技术和设备所构成的复杂群呼网络架构(如图2所示)就会造成人机分离、难以落地和基站飘移等现象,以对抗手机落地技术。因为人机分离,即使落地到GOIP设备,也落地不到真正操作该设备的嫌疑人。因为GOIP设备可以进行机卡分离模式,卡池上的SIM卡通过SIM server服务器授权到GOIP网关上,因而在不通话时就等于停机,造成落地难。而且可以多个GOIP网关与卡池关联对接,从而可以造成短时间内基站在多地飘移现象。
图2 复杂GOIP群呼网络架构
3. 账户落地技术挑战
当前资金支付方面非常丰富,特别是网络支付迅速发展,给大家带来了便捷与效率,但同时也伴随出现各种各样的监管漏洞,洗钱者很容易将非法资金在多种支付形式中多次流转(如图3所示),以逃避追踪。由于这些流转在网上都能快速开展,而公安机关在侦办时则要层层追踪,跨区域多单位多部门间调证,因而效率上完全不对等。现实案件中,存在大量正规与非法第四方支付,他们在账户进出时由于进行资金池的管理,在账单层面上没有进出的对应关系,从而给账单分析带来很大的困难。而资金一旦转入虚拟货币交易,其交易、流转、调证等方式都以传统方式完全不同,需要办案人员对新技术有充分了解与分析能力。因此只要洗钱者让出1-2%利润给相关支付产业,侦办难度可能要增加5-10倍。为此,目前想通过纯资金流分析找到闭环是很困难的,必须结合信息流来分析资金流。
图3 洗钱资金流转支付方式

天下无诈,不仅是全国公安机关矢志不渝追求的目标,也是作为网络空间安全与社会治理领域国家队的美亚柏科一直以来的美好愿景。近期,我们将推出由福建省电子数据存取证重点实验室主任、美亚柏科副总经理江汉祥发表的《新型网络犯罪形势下的取证工作挑战》(下),敬请期待~


——— 近期热点 ———

热文

美亚柏科入选中国信通院《高质量数字化转型产品及服务全景图》


热文

重磅消息!组建国家数据局,数字中国再迎利好


热文

两会热议|科技部部长谈人工智能,趋利避害是发展AI的应有之义


热文

【深度解读】公安部编制GA/T 1998-2022《汽车车载电子数据提取技术规范》

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存