北京市公安局关于办理电信诈骗案件指导意见
(2015年6月12日 京公法字〔2015〕757号)
一、电信诈骗案件的特征规律(略)
二、电信诈骗案件的取证要点及规格
鉴于电信诈骗案件的犯罪特点,及侦查取证工作的要点和流程,特制定以下证据要点及规格形式:
(一)接报、受理阶段
各级公安机关办案部门在接到事主通过“110”等方式报警称被他人实施电信诈骗后,接报单位应迅速接处警,刑侦、网安等部门协同开展调查取证、追赃减损工作。
1.制作事主报案材料。重点询问事主报案原因、被骗地点、发案时间、被骗方式、转账方式、转账金额、相关知情人、对方信息、通联号码、转账账号等,力求尽可能多的获取事主能够提供的相关细节。
2.制作《受案登记表》。严格按照《受案登记表》的填写要求,对各填写项认真填写并向事主出具《受案回执》。
3.制作《现场勘验笔录》、《远程勘验工作记录》等电子勘验报告。根据案件情况,由网安部门对事主的手机、电脑等电子设备初步勘查,发现涉案线索后应依法提取带回公安机关进行细致勘验检测,及时制作《现场勘验笔录》、《远程勘验工作记录》,内容应包括:提取、固定事主手机中的涉案短信、邮件、通话记录及被植入的恶意程序等信息;提取、固定事主电脑被植入木马等恶意程序等涉案信息;对事主被骗过程中所点击的挂马网站进行远程勘验,提取、固定涉案网站的域名、IP、伪造文书信息及木马等恶意程序等信息。
(二)初查、立案阶段
1.调取事主通话记录单。根据事主提供的与诈骗人员通联的电话号码,向所属三大通讯运营商调取事主被骗期间的电话记录单,内容应包括起止时间、通话时长、主或被叫、对方号码、通信类型等全部与之相关的通联信息。
2.调取事主个人涉案银行账户交易明细。根据事主提供的转账账户,向所属的银行调取开户信息、案发期间的交易明细等。
3.调取事主转账目标银行账户的交易明细。通过对事主被骗账户交易明细的梳理,确定被骗款项转入账户,并调取该账户的交易明细及开户信息;同时,根据该笔被骗钱款的流向,顺次查询调取相关交易明细,反映该笔被骗钱款被多次转账并最终提现的完整过程,形成完整的资金流。
4.对涉案转账用银行卡信息人员查找取证,制作询(讯)问笔录。根据涉案钱款资金流向的查证,对涉案的转账、提现银行卡的开卡人员进行查找,在制作询(讯)问笔录时,要以开卡时间、开卡目的、使用情况、出售情况、收卡人信息等为问话重点。
5.将事主被骗时使用的涉案手机、电脑送鉴定机构检验鉴定。对事主手机内的涉案短信、微信、通话记录等提取固定;对事主用于网银转账的电脑进行鉴定,对其中网银账户登录及操作过程进行固定,同时通过技术溯源查找、确定接收事主转账的银行账户使用网银登录时的IP地址、网转设备MAC码等。
6.关联调取涉案转账卡日常刷卡记录,查找确定“试卡用” POS机,进而确定持有人员身份信息并查找取证。通过对涉案转账用银行卡的日常交易记录进行梳理,梳理核对出该银行卡短期内多次小额存取的记录,对存在测试银行卡安全性的记录进行溯源,到POS机发放公司调取相关数据,并通过登记信息确定持机人员真实身份信息,查获后制作笔录材料,确实存在涉案嫌疑的应及时采取强制措施予以控制。
7.调取与事主通联的涉案网络VOIP电话线路使用存储记录。通过调取梳理事主被诈骗期间的通讯记录,确定诈骗团伙使用的伪装号码,通过溯源该主叫号码,反查为其提供通讯连接的线路商,并从该线路商处获取该线路使用的历史记录。同时,对该线路使用的历史记录进行梳理,继续追溯查询该通讯线路在多层转包过程中的对应IP地址,直至溯源至境外诈骗团伙接入窝点的IP地址。
8.调取固定涉及提现人员的相关录像。通过对涉案资金流的追踪,确定终端提现地,依法对ATM机或银行柜台的有关录像进行调取,并对有条件的录像内容进行视频比对,确定提现“车手”的真实身份信息,开展查找抓捕工作。
9.开具案件《立案决定书》、《调取证据通知书》、《现场勘验笔录》、《远程勘验工作记录》等法律文书,完善法律手续。
(三)抓捕、初审阶段
1.由境外政府警务部门出具抓捕目标窝点与我在侦案件相关联的证明材料。该证明材料的内容应包括:诈骗窝点的地理位置、确定为抓捕目标的原因以及对抓捕过程的简单描述等,同时将该证明材料交由第三方翻译机构进行专业的汉化翻译。
2.了解诈骗窝点网络结构,拍照固定并绘制《电子设备拓扑图》。初入窝点时,即刻对窝点全貌进行拍照,由网安部门负责查看窝点网络架设结构,保持原貌,防止随意移动或开关相关电子设备。
3.逐一登记查获的电子设备,制作《扣押清单》。对窝点内的所有可能涉案的电子设备进行登记,履行扣押手续,其中包括窝点公共电子设备及涉案人员个人使用的电子设备。
4.逐一登记查获的相关物证、书证等,制作《扣押清单》。除重点登记扣押涉案电子设备外,亦应对现场查获的纸质版话术单、业绩单、日常笔记、可能涉案的银行卡、往来机票、培训用材料等,逐一逐人对应扣押。
5.制作《现场勘查工作记录》。在网安部门制作《电子设备拓扑图》的同时,由刑侦部门开展现场勘查,对窝点的外景、内部进行拍照固定,绘制现场方位图,逐一房间勘查,并在初始状态的基础上,分别对涉案人员在窝点内的位置进行拍照固定,如“一线”人员对其固定工位的指认等。同时,对于重要的电子设备,提取到的话术单、业绩单,用于日常提示的书写板等亦要拍照固定,并在方位图中进行表述。
6.对电子设备制作《现场勘验笔录》、《远程勘验工作记录》。根据实际情况,及时对电子设备进行现场勘验,避免证据灭失。
现场勘验包括:
(1)电子语音包、文档、挂马网站、木马文件和钓鱼网站的网址、素材等电子数据;
(2)值班表、诈骗话术、业绩单、学习笔记等电子数据;
(3)涉案银行卡账号信息;
(4)正在登录的网站账号、网页内容、上网浏览记录(重点提取网上银行、VOIP电话平台登录信息)、上网搜索记录、自动完成字段、COOKIE信息等;
(5)各类加密容器、加密压缩包内的涉案文件;
(6) USB设备使用记录、操作系统的系统日志、程序日志、安全日志等;
(7) QQ, Skype等即时通讯工具的登录账号,主要联系人及聊天记录;
(8) VOIP电话软件及电子话单;
(9)调取手机中的通讯录、短信、涉案图片和文档、通讯工具聊天记录等数据;
(10)支付宝、财付通、paypal等涉案电子支付账号信息;
(11)各类涉案影音文件,包括图片、音频、视频等;
(12)涉案相关快递信息;
(13)具有改写VOIP电话号码功能的“一号通”等软件及其使用记录;
(14)其他案件相关电子数据。
远程勘验包括:
(1)对诈骗团伙所使用的VOIP软件平台进行远程勘验,调取其登录的用户名密码信息、账户详细信息、拨打VOIP电话的详细话单和消费充值信息;
(2)对诈骗团伙所使用的挂马网站进行远程勘验,调取涉案网站的前台及后台数据,重点调取域名、IP、伪造文书信息、木马等恶意程序和登录维护日志。
7.分类核实窝点涉案人员真实身份信息,制作《到案经过》。经核实,将窝点内人员按照其犯罪分工进行分类,如“一线”、“二线”、“三线”人员,窝点负责人,技术人员,生活服务人员等,并及时查清其真实身份,条件允许的情况下应当逐人单独看管,防止串供。
8.按人员类别开展初审工作,制作《讯问笔录》。根据核实情况,按照人员在窝点内的分工开展讯问工作。针对“一线”人员,重点讯问由何人招募、从何地、在何时、以何方法进入诈骗窝点,进入窝点后何人、何方式对其培训,何分工、实施过程、是否施骗成功获利,以及如何向“二线”转递事主及带有特征性标记内容的信息等;针对“二线”人员,重点讯问除基础内容与“一线”人员一致外,还应对其在接到“一线”转递的事主后,如何采用有针对性、特征性的话术对事主继续施骗的细节,如事主的基本信息、谎称的涉案事项、冒称的人员身份等,建立与事主反映信息的对应性;针对“三线”人员,重点讯问其如何指挥或操作事主转账的细致过程,对事主银行卡号、转账公司的卡号、账户人员信息、转款金额、转款时间、转款方式、事主及本人的电话号码等细节着重讯问;针对窝点负责人,重点讯问其在窝点中的组织、指挥、管理等行为,以及与转账公司、设备提供商、专职贩卡人员等之间的沟通联系情况(有时窝点负责人员即为“三线”人员);针对窝点技术人员,重点讯问其为窝点设备正常运行、网络通讯顺畅、制作发送语音包、编写虚假挂马网站等提供技术保障的具体行为;针对生活服务人员,重点讯问其协助他人实施电信诈骗行为的主观明知,并从中获利情况。对于上述不同类别人员进行有针对性讯问的同时,均应进行相互间的辨认,同时在讯问中亦要体现对他人行为的相互指证。
(四)审查、固证阶段
1.对窝点查获的所有涉案电子设备均要送司法鉴定机构,进行《电子设备勘验鉴定》。在对窝点扣押起获的电子设备做以往常规勘验鉴定以外,要重点进行以下鉴定:
(1)对从事主处和嫌疑人处提取的木马文件进行同一性认定,并在鉴定中说明木马的功能,如有远程操作,需体现远程操作具体过程及IP地址信息;
(2)对事主被骗过程中点击的挂马网站域名所解析到的IP地址与诈骗团伙使用的挂马网站IP地址进行同一性认定;
(3)对窝点扣押的网卡进行破译解析,可反映出电话拨入拨出的数量;
(4)对窝点扣押的交换机重点勘查鉴定,提取相关数据反映语音包发送量及回拨电话分配情况;
(5)对涉案电脑中安装使用的相关软件进行功能认定等。
2.对窝点扣押的纸质版书证进行《笔迹鉴定》。针对扣押的纸质版书证,经初步梳理认定相关人员后,送司法鉴定机关进行笔迹鉴定。
3.调取涉案人员出行及出入境信息记录。根据涉案人员身份信息在情报数据库中,分类梳理人员活动轨迹,向出入境管理部门、铁路航空部门等调取相关记录,反映窝点人员间的同行伴随状态,并通过办理护照、购买机票等操作环节确定涉嫌招募、输送话务人员的“蛇头”人员身份信息。
4.调取涉案人员个人通讯设备的通话记录。将梳理确定的涉案人员在用电话号码向三大通讯运营商提供,由运营商出具相关号码可溯的通话记录、短信内容等,并将获取的相关信息与事主通话记录进行比对碰撞,客观表现嫌疑人与事主间的关联。
5.调取涉案人员名下银行账户的交易明细。经向银行服务部门反馈涉案人员身份信息获得逐人名下的全部银行开户情况,并有针对性的(如在侦案件发生的前后时间段)进行账户交易梳理,反映案发后涉案人员的非法获利情况等。
6.加大对涉案人员审查讯问力度,制作《讯问笔录》。从境外将我管辖的部分涉案人员带回境内审查后,应加大对涉案人员的讯问力度,在讯问常规问题的同时,要对组织勾联、计划实施、任务分工、施骗过程、犯罪获利等环节着重讯问,特别是结合在侦案件中事主的相关被骗细节特征,有针对性地开展讯问,尽量对应还原该施骗过程。
(五)其他涉案“子团伙”取证要点
由于当前电信诈骗犯罪团伙趋于专业化、职业化,团伙内的分工更为细致明确,出现了将“招募输送人员”、“提供设备保障”、“收贩银行卡”、“专职转账提现”等环节“外包”的现象,在整个电信诈骗活动中,呈现出以“施骗窝点”为核心,各“外包环节”提供服务支持的运作模式,各“外包环节”与施骗窝点多为单向联系或“子团伙”两两间联系,亦可同时为多个施骗窝点提供服务支持的情况,因此,在对上述“子团伙”进行侦查取证时应区别对待。
1.招募输送人员团伙。
该团伙即“蛇头”,应从以下方面重点取证:
(1)核实成员真实身份,查获后对其“明知赴境外参与施骗窝点而组织人员前往”的主观故意进行重点讯问;
(2)代替被招募人员办理护照签证、购买机票的相关书证;
(3)团伙成员通讯设备的通话记录、短信内容等,重点梳理与窝点负责人、被招募人员的通联情况;
(4)团伙成员的出入境记录,与被招募人员活动轨迹进行碰撞,证明其伴随状态;
(5)被招募人员、窝点负责人等指证及辨认材料。
2.提供设备保障团伙。
该团伙属于在境外专职向窝点提供交换机、电脑、电话机等硬件设备并提供搭建、调试、维护等服务,应从以下方面重点取证:
(1)团伙成员对“出售相关设备并进行搭建用于实施电信诈骗”的主观明知;
(2)出售设备的账务凭证;
(3)提供维护的具体行为及记录;
(4)接受诈骗团伙付费的账目凭证;
(5)成员与窝点人员之间通话、短信、微信等记录。
3.专职收贩银行卡团伙。
该团伙是电信诈骗犯罪中的重要环节,通常情况下,由初级收卡人员从个人处收购银行卡开始,逐级向上一级收卡人员汇集,最终到达顶级收卡人员,该级别的收卡人员可直接与窝点的负责人或在台转账公司进行联系,定期通过邮递的方式投递出售大量银行卡被用作电信诈骗犯罪的转账卡或提现卡,因此对该团伙的成员应当严厉打击,重点取证要点为:
(1)团伙成员与施骗窝点或转账公司人员通联的通话记录,短信、微信、QQ、Skype等内容;
(2)团伙成员与施骗窝点或转账公司的银行交易记录;
(3)抓获时起获的大量银行卡、POS机、U盾等物证;
(4)邮递境外或台湾的快递凭证单据;
(5)团伙成员对收卡贩卡行为的主观供述;
(6)下级售卡人员对上级收卡人员的指证材料;
(7)被查获银行卡实际开卡人的询问材料(5名以上),指证购卡人的收卡行为;
(8)银行工作人员对开卡行为的证明材料;
(9)调取团伙成员使用POS机及进行测试安全性的存取交易记录。
4.专职转账团伙。
该团伙是实现事主钱款被骗转账的直接参与者,重点取证要点为:
(1)涉案资金流的查证,反映连贯持续性,并最终流向涉案转账公司控制的银行卡;
(2)涉案银行卡网络登录的IP地址;
(3)转账公司与施骗窝点的通联证据,如微信、Skype等内容;
(4)转账公司与施骗窝点分配被骗钱款的银行交易记录;
(5)转账公司与贩卡团伙通联的记录;
(6)转账公司支付购买贩卡团伙银行卡钱款的交易记录;
(7)被抓获提现人员对转账公司的指证;
(8)转账公司工作人员对实施帮助诈骗窝点进行转账行为的供述;
(9)在侦案件中所有涉及银行卡相互间的梳理比对,提现连贯性的证明材料。
5.专职提现团伙。
该团伙直接与涉案资金接触,其对于追赃减损有着重要意义,重点取证要点为:
(1)提现团伙与转账公司的勾连情况,如通话记录、短信、微信等;
(2)证明提现团伙人员间的分工职责的证据;
(3)证明提现团伙人员“工作量”的业绩表等书证;
(4)提现团伙人员在ATM机上进行提现操作的交易记录;
(5)提现团伙人员提现行为的录像,有条件的可依靠视频侦查技术,还原嫌疑人真实相貌,确定嫌疑人身份;
(6)提现团伙向转账团伙转款的交易记录;
(7)抓获嫌疑人后获取的涉案银行卡、手机等物证;
(8)提现团伙人员对其行为的供述材料及相互指证情况。
针对上述团伙人员的定性处罚,应根据其主观故意供述情况及获取证据情况,以涉嫌诈骗罪的共犯进行评价。对于诈骗主罪不能认定,但有证据证明其行为涉嫌妨害信用卡管理等其他犯罪的,亦应进行涉罪评价。
三、注意事项
由于当前电信诈骗案件的特殊性,在侦办该类案件时,确实存在因客观条件不能固化闭合整个证据链条的情况,但应最大限度的丰满可获得的环节证据,提高证据证明力,推进诉讼进程,应着重注意以下问题:
一是强化取证意识,最大限度的细化事主报案内容,及时开展取证工作,避免因时限造成证据的灭失;
二是提高串并案率,通过侦查发现,一个诈骗团伙会在一段时间内持续对一个地区进行施骗,这就需要大量走访事主,找出案件共性,有利于打击的精准性;
三是进一步重视技术勘验在获取客观证据上的作用,及时对涉案物证、电子设备等进行勘验固定,并及时送司法鉴定机构全面勘验鉴定;
四是紧紧依托公安部的协调,加强与境外警务部门的协作,做好对犯罪窝点的抓捕、勘验、取证工作,同时避免涉案人员集体关押等情况,防止串供;
五是健全与台湾地区警方协作机制,力争同步开展抓捕行动,对在台的“金主”、“转账公司”等一并抓获,同时审查情况及时互通,整体推进案件;
六是建立局内各部门之间的协作机制,专业取证工作由专业部门负责完成,确保证据的法定效力和证明力。