反洗钱
办理跨国电信诈骗案如何进行电子取证

    广东省珠海市检察院司法鉴定中心接受公安机关委托,对某重大跨国电信诈骗案件涉及的8台笔记本电脑提取电子物证,进行电子物证鉴定。鉴定人员对笔记本电脑的硬盘进行预检和制作镜像,通过取证系统、最高检的云平台密码破解系统,判断出案件的主要特点有:一是数据总量巨大(达到4TB),需要确定有效关键字段;二是数据种类繁杂,需要从不同种类的数据找到彼此的关联,综合分析出整个犯罪团伙的组织结构和日常运行模式;三是犯罪嫌疑人人数众多,需要着重锁定特定人员在该组织中地位和作用的信息。同时,由于时间紧迫,在方式方法上需要有所创新。经过严格的鉴定程序,珠海市检察院司法鉴定中心共出具8份鉴定报告,为办案提供了大量的证据材料和有价值的案件线索。具体做法是:
    
灵活使用数据恢复方式。鉴定人员在取证系统中灵活使用格式化恢复、签名恢复等方式对数据进行深度提取。在解析取证中,鉴定人员通过细致挖掘和分析,找到了该犯罪团伙伪造的文书信息、涉及诈骗的文字和音频教程、洗钱账号和洗钱规则、多家大型网络电商用户详细订单信息、绩效分成人员信息和组织架构信息、日常管理分工信息等重要犯罪证据。在格式化恢复、签名恢复中提取了大量已经删除的数据。由于大部分文件没有详细的文件名且存在残缺,需要鉴定人员打开每个文件查看,加大了取证的难度和工作量。经认真比对还原,鉴定人员发现这些文件包含了该犯罪团伙实施犯罪后删除的多家大型网络电商用户详细订单、绩效分成人员信息、洗钱账号和洗钱规则等大量重要信息。
   
积极依靠最高检云平台密码破解系统。在提取某台电脑的文件过程中,鉴定人员发现一些与护照信息有关联的Excel文件,并判断出这些文件可能存在重大线索,但文件均已经过加密处理。鉴定人员使用最高检的云平台密码破解系统,很快就得到了密码。通过对文件的分析,鉴定人员找到了犯罪嫌疑人的真实身份和护照到期签注情况等信息。通过这些信息,进一步确定了犯罪人员的构成情况。
   
充分运用综合关联分析法。电子设备中储存了skype和QQ聊天记录、办公文件、音视频文件等各类信息,鉴定人员通过分析关键词、特殊字段,将各类数据进行组合类比,基本还原这个组织的运行模式。其中话务组成员分成一线和二线。一线负责冒充国内电商的客服,给国内各个地方的被害人打电话实施诈骗;二线接到一线转来的上钩被害人信息,冒充银行工作人员给被害人打电话实施诈骗。鉴定人员在众多证据信息中仔细筛选出有证据价值的信息,选取了683个重点文件分成8大类,伪造文书类、诈骗教程及剧本类、诈骗辅助材料类、洗钱账号及通告类、木马拦截手机短信软件及教程类、主叫号码修改软件教程及通告类、各大电商买家信息类、公司管理(规章制度、人员、分工、财务状况、绩效等)类。根据检察机关的反馈,委托单位及时调整讯问策略,顺利瓦解了犯罪嫌疑人的抗拒心理,获得了有价值的供述。
   
通过该案的办理,我们分析认为:一是单一的取证系统无法有效完成所有的取证工作,为此需要综合使用各个系统的资源,以发挥各自的优势。比如,通过预处理设备对笔记本电脑进行预检,完成部分的数据恢复任务;通过专业的取证设备进一步对数据进行检索,提取与案件相关的数据,再经过经验丰富的鉴定人员的分析、比对,最终完成数据的固定,等等。