专业文章

如何利用特征关键字开展电子数据取证?丨反舞弊中的电子数据取证(二)

2018-09-05
分享到

随着互联网及计算机在企业运营和日常生活中深入、广泛的应用,人们的日常生活越来越依赖手机、计算机及互联网,可以毫不夸张的说,手机、电脑和网络,已经成为人们工作、生活不可或缺的必需品。而与人、事、物相关的大量涉案线索或证据,就隐藏在各类往来电子邮件、短信、网上聊天记录等电子数据中,电子数据取证也越来越受到调查人员的重视,成为案件调查的重要突破口。

电子数据取证是一个严谨的过程,从取证准备到结案,整个过程都要按照符合法律诉讼要求的流程开展。为确保取证过程的效率和合法性,相关国家和组织提出了多种合理取证的模型,基础组成均为3个阶段:一是证据获取,即固定证据,如制作硬盘无损镜像,截屏保存等;二是证据分析,即数据分析与案情关联;三是证据表现,即对电子证据与案件关联性进行总结陈述。其中,证据获取和证据表现这两个阶段,相对而言更强调流程的合理性、合法性和操作的规范性,而证据分析阶段则是电子数据取证的核心和关键,含盖了所有的取证技术,是最体现取证人员能力的环节。

分析的内容包括系统信息、文件信息等多种信息,黑客入侵案件还要进行功能分析,例如远程控制和木马程序功能和危害程度等。

分析的过程主要是:

1、获取目标基本信息

2、文件过滤

3、关键词检索

4、文件分析

5、数据恢复

6、密码破解

7、证据标签管理和形成证据链

不同类型的案件需要不同的分析方法,舞弊行为在电子数据上通常表现为文档、邮件和图片等形式,而对于文档、邮件的数据排查,主要手段就是关键字检索。

根据我们的反舞弊调查实践,舞弊行为所体现的特征与其所处的行业、职务和涉案项目常常能形成一定的对应共性关系,比如共性的有:转账、汇款、现金等,个案相关的有:人名、设备名、个人生活轨迹、习惯等。

如何快速、有效地设定关键字来进行第一次数据筛查?如何在初步排查基础上,进一步结合案情和排查结果进行反复深入的滚动筛查?涉案关键字一般隐藏在哪些文件里?哪些文件是容易被忽视而错过的?

今天,我们将结合部分案例,就如何利用好特征关键字开展电子数据取证做一点探讨。

一、舞弊行为共性关键字

舞弊行为最典型的三类罪名:一是职务侵占和挪(盗)用资金;二是商业贿赂;三是侵犯商业秘密、著作权或其他知识产权。

这些行为在其动机、手段、方式上都具共性,而在涉案人员电子介质中,这些行为又同时表现出一定的关键词特征。

(一)职务侵占和挪用资金类舞弊

资产侵犯型舞弊涉及职务侵占罪与挪用资金罪两个罪名,其特征是“利用职务上的便利”,窃取、骗取、侵占本单位财物以或将单位财物占为己有。主要行为特征包括:

1、虚报业务,签订虚假合同骗取单位财产;

2、虚报应付款,虚构或虚高应付合同款项或业务支出;

3、虚报“好处费”,按照商业惯例赠送小额“好处费”为法律所认可,业务人员据此虚高或者虚构“好处费”;

4、虚假报销,弄虚作假,夸大、虚假报销费用;

5、虚设中间环节,赚取差额费用;

6、篡改票据,盗窃、伪造支票或偷盗签发空白支票,转移资金;

7、篡改数据,业务人员、技术人员利用单位系统内部漏洞,篡改数据,侵占挪用单位资金,同时制作假账,填平账进行掩饰。

伴随以上行为,在涉案人员电子介质中,往往会出现以下特征关键字:合同、采购、销售、发票、打款、到账、价格、收款、微信、支付宝、现金、转(帐)账、银行、账(帐)目、帐(账)号、帐(账)户、报销、签字等。

(二)商业贿赂类舞弊

公司企业中的行贿受贿型舞弊一般属于商业贿赂的范畴,多发生于商品采购、服务外包、项目招投标等经营活动中,涉案人员往往身居要职,具有审批、签字等高级权限,如:

在采购过程中,利用签订合同的权力,抬高合同支付金额,在帐外以现金、转账等方式从供应商提取回扣;

在销售过程中,以折扣明示、如实入帐的方式给予对方的价格优惠,接受对方“好处费”;

在招投标中,向某特定投标人提供竞标机密,接受各类“好处”的回报。

收受、索取贿赂的常见手段有现金、银行、支付宝、微信转账等,但随着企业逐步重视内审监察,涉案人员的行为也呈现出两个趋势:

1、形式多样化

舞弊人员不再通过简单的资金转移方式行贿受贿,转而更多地利用有价证券、境外地产、境外保险等方式。例如:在星瀚2018年承办的一起大型跨国化妆品公司员工舞弊案的过程中,调查人员通过“香港”、“保险”、“受益人”等关键词对涉案人员计算机进行遍历筛查,对应找到其计算机上即时聊天内容备份的文件碎片,在此基础上结合外围排查,从而发现行贿人以为舞弊人员儿女购买境外保险的方式进行行贿的犯罪线索。

2、行为隐蔽性

舞弊人员往往会通过第三方人员、企业来进行财物的转移,以规避风险、逃避审查。因而,与舞弊人员相关联的第三方公司、主要近亲属的信息就成为了关键字排查的重要方面。比如,在我们经办的一起互联网金融信息服务公司员工舞弊案中,该员工利用其发放贷款项目的职务便利,以渠道费名义收受借款人及资金中介好处费,我方数据鉴定人员通过周边调查了解到其父母、配偶和子女的基本信息,通过对这些近亲属姓名、身份证号码的关键字排查,查到了相应的银行转账纪律,从而掌握关键线索,顺利推进案件侦办。

(三)侵犯商业秘密类舞弊

在信息化高度普及的背景下,我们所遇到的绝大多数侵犯商业秘密行为,都是针对电子数据而进行的。涉案人员侵犯的行为通常会利用工作便利,通过网络传输、移动介质拷贝,甚至是显示屏拍照等方式,窃取机密信息和重要数据,出卖商业秘密给竞争对手,以此获取回报。

在电子取证中,关键字的设定往往是围绕被侵犯的电子数据展开,比如:文件名、属性、关键内容信息,比在一起我们经办的侵犯商业秘密案中,某公司技术员通过盗取其他员工账户的方式,侵入数据库窃取技术资料,并通过百度网盘转移至家里的个人电脑。我们从委托人处获得了被侵犯的电子数据,将这些数据的信息转化汇总成关键字列表,在涉案人员电脑上进行了数据恢复和筛查,同时结合行为分析等综合调查手段,最终查清了数据转移的整个行为路径,掌握了关键证据,成功阻止核心技术秘密信息的泄露。

二、关联信息二次滚动筛查

舞弊行为具有明显的交互性特征,其必然会与资金、票据、合同等往来紧密关联,在互联网成为人们工作、生活必需品的互联网大环境下,涉案人员的舞弊行为与其个人工作、生活的其他痕迹往往是交叠共存,混杂相生,电子数据分析要善于利用这些信息,同时结合外围调查、公开信息排查等手段,才能抽丝剥茧,层层深入的揭示隐藏于普通信息中的涉案线索和证据。

据我们反舞弊工作的实践,关键性线索和证据往往是通过多次反复排查而得到的。

一般来说,经过共性关键字的第一轮排查后,往往会得到与具体案情相关的多个文档、邮件,从中我们可以发现、梳理出一部分个性化的个案关键字。将个案关键字与外围调查信息相结合,就能汇总整理出第二轮排查的关键字列表……以此往复深入,同时结合其他分析手段,往往就能够找到涉案的关键线索和证据。

在一起公司业务人员飞单案件中,我们通过对涉案人外围调查,获取了相关亲属姓名和关系,在第一次关键字排查中,把相关亲属的姓名作为关键字进行了筛查,排查出含有这些关键字的部分xls文件,而在这些文件中,同时记录了与人员对应的身份证号、银行卡号等其他个人信息,从而进一步在第二次关键字筛查中,利用了这些信息,最终查到了涉案人员记录有银行卡号对应的收付款账目明细,为办案提供了重要线索和证据。

三、关键字排查范围

1、基础排查文件类型

(1)office、wps文档,如word、excel等。office和wps作为日常办公不可或缺的软件,利用其生成、阅读相关文档,是绝大多数公司员工必备的工作手段,也是舞弊线索最有可能隐藏的文件类别。比如:涉案人员通常会利用office软件制作虚假合同,记录财务收款信息等;

(2)邮件文档和邮件客户端备份文件,如outlook、foxmail等。outlook和foxmail作为最常用的邮件客户端程序,其本地文件夹内保存和记录了大量往来邮件、通讯录信息,除了当前在用的邮箱,还会保存相关邮件的备份,生成备份文件,在取证中也是容易被忽视的一个重要数据源。

(3)压缩文件。在信息交换往来过程中,为了提高传输效率,往往会对文件集合进行打包,也就是压缩,用户压缩、解压、拷贝、传输等一系列操作后,常常是对相关文档进行删除、移动等操作而忽略压缩文件本身。因此,电脑中大量的压缩文件(zip、rar、7z等)也应列为排查的主要范围。

2、容易被忽略的程序和文件

在电子数据关键字筛查中,系统临时文件、程序数据库文件比较容易被忽视。举例来说,百度网盘传下载记录会保存在相应的一个数据库文件中,其中可能包含了重要的用户行为痕迹,在我们曾经办过的一个侵犯知识产权的案件,就是用百度网盘的文件传输记录中,发现涉案文件名信息,补足了证据链上重要的环节。

3、已删除文件和数据碎片的搜索排查

在特定条件下,用户刻意删除的文件,往往是突破案件的线索所在,因此,要尤其留心和注意对已删除文件的恢复和排查(数据恢复方面另行撰文介绍)。此外,数据碎片同样是很容易被忽略的数据源,特别是在数据恢复过程中,恢复的文件有很多都是不完整的,表面上看似一个文件,实际上是不同来源的数据字节拼凑而成的,需要通过非常规的技术手段来检索和排查。

作者:星瀚内控与反舞弊法律中心 周晓鸣