涉网案件中网上摸排的思路与方法

涉网案件中网上摸排的思路与方法中国刑警学院孙晓冬关键字：涉网案件摸底排队摸排全称摸底排队，是公安机关与犯罪活动的长期斗争而逐步形成的一个专业术语。是指侦查机关在现场勘查和分析案情的基础上，根据对案情的分析判断，在一定的范围内对可疑的人、事、物逐个进行调查，从中发现侦查线索和犯罪嫌疑人的侦查措施。传统的摸排工作是专门工作与依靠群众相结合的工作方法在侦查工作中的具体运用，也是一项最有效、最基本的侦查措施。所谓摸底，就是开展调查，从而发现与犯罪有关的人、事、物；所谓排队，就是对已经发现的嫌疑线索进行核实、查证、甄别，从中确定犯罪嫌疑人。在网络迅速普及应用的今天，大量案件中人、事、物与网络发生直接或间接的关联，那么合理有效的在网络上实现对工作对象的摸排，必然可以为案件侦查工作带来巨大的促进作用。一、网上摸排的条件与范围对于因果关系明显、案件性质明确、痕迹物证特征突出、侦查范围不大的案件，摸底排队的效果明显。传统刑事侦查工作中，摸排是一项简单而行之有效的侦查措施，但是其前提是嫌疑人或涉案事物牵涉范围相对较小，否则，耗费的时间、警力则呈多倍增长，难以迅速有效的达成预期目的。同样的，摸底排队这一措施也可以适用于涉网案件的侦查工作中，但是大多数涉网案件中，由于网络空间的大跨度性，常见一案线索牵涉多地多省多个网络空间节点1的情况，同时，各个网络空间节点采用的网络技术和应用又各有不同，那么适用网上摸排措施时，就必须有一套新的思路和方法。涉网案件中，对于犯罪事实、行为过程清楚，但是尚未确定嫌疑人的案件；或者已确定外逃嫌疑人身份，需要网上定位的案件；或者团伙犯罪中，需要找寻到案嫌疑人网上同案的案件；或者网络侦查过程中牵涉到需查找和定位的具体物品、虚拟物品的案件，均可适用网上摸排方法。但是网上摸排必须具有一定的前提条件。时间空间条件。网上能够摸排到的嫌疑人，通常是相对长的时期内经常使用网络，并无意中在网上留下踪迹的网络用户。同时，该用户必须较为固定的访问某些网络空间节点，尤其是境内的网络节点。作案技术和软件。某些利用计算机黑客技术或者利用应用系统漏洞外挂程序，实施破坏、入侵、盗窃、侵占等犯罪的案件中，嫌疑人使用的恶意代码程序是通过购买或定制于互联网，或者其技术手段来自于某黑客技术论坛刚刚发布的最新攻击方法。或他地发生过相同技术相同工具软件的案件。据此，对涉案人员进行摸排。涉案物品和工具。涉案虚拟物品必须具有唯一的空间存在位置和序列号标识（如特定游戏中的高级装备）、销赃物品的特征标识、案发地难以直接找到的作案工具，且有明显的标识特征。多数虚拟财产犯罪案件中，涉案标的物虽为数字信息化虚拟物品，但是由于其具备较高可转化价值，通常运营商会通过序列号加以跟踪管理。而不具备特定标识的虚拟物品，则不适用摸排的方法。个体自然特征。某些嫌疑人由于生活地区、职业、学习经历、地方民俗、1网络空间节点：指网络用户应用中，使用登录过的网站、BBS、QQ即时通信软件、网络游戏、电子邮件等等应用环境，以及使用各应用环境而留有数据痕迹的路由器、交换机、服务器、用户终端等。民族、宗教等影响，在其思想、信仰、语言习惯（网上发布文字信息，有时会包括方言）、饮食习惯、兴趣爱好等方面会有所体现，而这些现实中的个体自然特征又会在网络中以不同的方式体现出来。成为排查特定人员的条件依据。网络行为的反常表现。涉网案件嫌疑人在相对长的时间段内，较为固定的活跃于某些网络节点，那么其行为特征往往较为固定。而当案发前后其网络行为表现的兴趣热点、活跃话题、上网时段、上网方式和地点发生反常现象，同样很可能成为摸排的条件依据。其他摸排条件。其他常见摸排条件还包括与被害人存在利害关系的人员、以及在办案过程中发现的行为人的变态心理等因素。某些特定案件中，如破坏生产经营、侮辱诽谤等，依据对案情和人员利害关系的准确分析，往往可能事先对摸排范围进行圈定。某些案件的涉案人员本身有与案件无直接关联的变态心理，如某诈骗案件的嫌疑人有明显的娈童倾向，可根据网上特定群体分布，圈定排查范围。传统摸排工作的范围以固定物理空间区域划分，摸排以明确的涉案人、物，或者特征明确的人、物为对象。而网上摸排工作的范围是以网络空间或IP地址范围划分，以同类网络节点、登录IP地址段或者行为人虚拟身份特征为工作对象。摸排范围的划定需要一定的侦查工作经验和对网络应用的全面了解，范围过大则效率低、资源占用大、精度差，而范围过小又容易把调查对象排除在外，产生遗漏。同类网络节点范围内摸排。长期使用互联网的人群在行为习惯上大多有一个共性，就是按照自己的关注信息或兴趣点，相对固定的访问同类型同性质的多个网络空间、网站。比如通过前期侦查掌握了嫌疑人喜欢访问搜狐汽车网，那么在网上摸排该嫌疑人的范围，就可以扩展到腾讯汽车频道、中国汽车网、太平洋汽车网、爱卡汽车网等国内知名度较高的大型的汽车论坛，因为嫌疑人很可能就兴趣关注点的相同而登录上述论坛，从而为我侦查工作提供有效的工作对象。访问IP地址段摸排。某些情况下，倒查IP地址无法定位，但如果嫌疑人一段时间内没有物理空间上的位移（城市或地区间），那么此段时间内，其登录网络虽然使用的IP地址不同，但是一定属于一个IP地址段范围内。假如嫌疑人有物理空间上的位移，其上网IP就会跨越一个地址段进入另一个地址段，根据这一规律，可以通过IP在相应区域的所属IP地址段内排查。行为性质和后果波及范围内摸排。某些技术型案件中，嫌疑人使用的技术手段、工具软件，有特定的网上来源，比如某些黑客网站；某些政治性案件中，嫌疑人传播的信息来自某些敌对的网站和渠道；某些侵财类案件中，嫌疑人获取了数字化财物，必然需要通过提现、转账、销赃等渠道，来实现其最终牟利的目的。那么这些流出技术软件的网站、敌对信息的信息渠道、虚拟物品交易平台，均可作为摸排的有效范围。根据嫌疑人身份及行为特征，圈定其地域、职业等排查范围。侦查工作开展过程中，从举报案、线索分析、痕迹物证分析等各种渠道获得的信息中，可能会通过其犯罪行为过程中的某些特征，梳理出某些与嫌疑人真实身份相关联的地域、职业信息，进而通过地区性网站、地区主题的论坛、具有明显职业特征的社区和讨论组等，排查出嫌疑人的真实身份信息。二、网上摸排的对象与方法网上摸排的对象，通常是对人、物信息进行调查，圈定范围或者是直接指向定位。具体的说，就是排查核实虚拟人对应的真实人、真实人在逃对应的虚拟人、虚拟人牵连的虚拟人，以及特定物品的网上踪迹。这里所说的虚拟人就是指上网者使用的网络身份，包括网站、论坛上使用的用户名、即时通信软件中使用的昵称和帐号、电子邮件地址等。而特定物品，是指涉案虚拟财产以及传统案件中涉及到的特定物品，比如：特定作案工具、药品等的网上购销渠道以及侵财案件发生后的网上销赃渠道。网上摸排的工作方法，可以是主动排查、被动吸引、迂回排查等，而网上摸排的工作方式通常是秘密进行与公开进行相结合。所谓主动摸排，是指在涉案人员虚拟身份明确或者涉案虚拟物品标志特征明显的情况下，侦查人员对于人、物可能出现的网络环境、网络空间等，主动出击查找涉案痕迹与信息。例如对某论坛中涉案人员的虚拟身份的排查，可以通过其用户名信息、登录IP区域、访问发帖习惯等，关联其他同类论坛和即时通信软件，对其进行排查，实施定位。又如网上Q币、游戏装备等虚拟财产盗窃，嫌疑人为实际获利而变现的过程必然涉及到虚拟物品的交易过程，那么在虚拟物品交易平台或者新用户使用该物品的应用环境下，可以实施主动摸排，追溯源头。所谓被动吸引，是指在不明确涉案人员虚拟身份或者涉案物品的存在情况，仅仅掌握人、物的部分特征属性的情况下，侦查人员设置相应的虚拟信息，提供适合摸排对象的网络空间环境，张网守候。被动吸引是侦查工作在条件不好的情况下，不得不采取的一种排查方法。例如某案件中，嫌疑人经常访问境外某网站，但我公安机关无法通过司法手段拿到其登录信息，通过案情分析掌握了该嫌疑人具有性变态心理，侦查人员可设置相应的虚拟身份信息，引起嫌疑人关注，进而取得其个人信息。所谓迂回排查，是指在所有直接指向嫌疑人（物）的线索中断后，通过其第三方关联线索，侧面了解间接排查嫌疑人或物品。这是在网络案件侦查工作中经常采取的方法。例如某嫌疑人在逃，其之前使用的所有个人网络信息全部中断使用。按照一般的侦查方法，已经无法对其进行布控，即便其再次使用互联网，侦查人员也无法进一步获得其信息。那么可以通过关注其网上密切联系人的动态，必然新近添加到好友，或者通过其若十个联系人好友的交集，取得其可能出现的新的虚拟身份。摸排是一种行之有效的侦查手段，但是涉网案件的摸排工作又较传统侦查措施有所不同。传统的摸排措施直观、直接、全面，范围明确可见，所以工作细致则效果明显。而网上摸排往往是一个虚拟世界的范围内，即便仅在一个网站内摸排，其服务器分布可能涉及多省，甚至多国，同时工作中偶然因素多、对工作方法的技巧性要求较高，必须在全面了解计算机技术和网络应用的基础上，综合运用心理学、行为学、社会工程学等多学科知识。网上摸排方法看似复杂、范围无限，但在实际应用的过程中，并不像传统摸排，动辄需要投入几百上千甚至成千上万的警力，旷日持久的大规模作战。网上摸排通常只需要很少的警力，耗费