专业文章

三类典型舞弊犯罪的电子取证要点及案例分享丨反舞弊中的电子数据取证(十五)

2019-01-31
分享到

电子取证是个广义的概念,只要是信息化、数字化的电子设备都可以进行电子取证,但不同的案件类别、不对的对象介质、不同的涉案行为,都要根据实际情况有针对性地开展取证工作,比较典型如:网络攻击入侵案件、利用互联网犯罪案件等等,都有自身取证的重点方向和方法。同样,舞弊类犯罪案件的电子取证也因其自身的犯罪特点而有别于其他的案件。

舞弊行为按刑法罪名区分,在现实中常见的主要有三大类:

(一)职务侵占和挪用资金类舞弊

(二)商业贿赂类舞弊

(三)侵犯商业秘密类舞弊

这三类舞弊行为都严重侵害了企业利益,使企业在有形资产或者隐形价值上遭受损失,但从作案手法上来说却各有不同,所体现的特征与其所处的行业、职务和涉案项目往往会形成一定的对应关系。因而开展电子数据取证,也必须相应地调整方向,运用不同手段。

在长期的反舞弊案件调查过程中,我们逐渐形成了一套对于舞弊案件开展快速、有效、有针对性的电子取证方法,切实有效地提高了案件调查的效率和发现重要线索的概率。

今天的推送,我们将结合部分案例,和大家做一些分享。

职务侵占和挪用资金类舞弊

(一)人员行为分析

这两类舞弊行为属于资产侵犯型舞弊,涉案人员的一个明显特征是“利用职务上的便利”,目的是窃取、骗取、侵占本单位财物以或将单位财物占为己有。犯罪手法主要有:虚设中间环节,赚取差额费用;虚报业务,签订虚假合同;虚构或虚高应付合同款项或业务支出;利用商业活动中惯例的小额“好处费”这一明目,进行虚高或者虚构;夸大、虚构报销费用;利用单位系统内部漏洞,篡改数据,侵占挪用单位资金,制作假账进行掩饰。

(二)电子取证要点

1、电子邮件:记录业务往来情况;

2、PDF、word、excel文档:记录合同、预算、流水等重要涉案线索;

3、图片:在对外业务交流,同案人交流中,可能留存相应的资金流水、统计表格等重要信息的截图。

(三)案例分享

在星瀚调查的一起货运公司员工职务侵占案件中,涉案人员通过虚设了一个中间公司,插入到正常的业务流程之中,按照每单10-20%的比例抬高价格,获取非法利益。在电子取证过程中,调查人员重点分析了涉案员工电脑上的电子邮件和文档类文件,从中发现了主要的涉案线索和证据:

1、通过邮件客户端和webmail的历史记录,分析出涉案人员曾经使用虚设关联公司的域名邮箱,由此可以证实该员工与中间公司存在密切关联。

2、涉案人曾在电脑上留存部分合同、银行对账单等票据的PDF文档和图片,经电子数据恢复,找到关键证据。

3、对合同、发票、流水、到账、运费等涉案关键字进行全盘遍历检索,发现部分被删除的文件碎片,结合外围排查,锁定涉案的时间、人员、金额、转账银行账号等重要线索。

商业贿赂类舞弊

(一)人员行为分析

商业贿赂多发生于商品采购、服务外包、项目招投标等经营活动中,涉案人员身居要职,具有审批、签字等高级权限,利用职务便利,通过给予相关公司业务优先权、商业机密等好处,换取对方贿赂。在不同行业中,表现形式还有所区别,如:采购中抬高合同支付金额,销售中给予折扣,招投标中提供竞标机密等。

收受、索取贿赂的常见手段有现金、银行、支付宝、微信转账等,当下还出现了利用有价证券、境外地产、境外保险等方式进行收受贿赂的新趋势。

(二)电子取证要点

1、电子邮件:重点查找涉案项目往来信息和附件文档。

2、文档:重点检索涉案项目、产品关键信息、涉案人近亲属关键字,尤其是关注修改过的同名文件副本,通过比对工具查看文本修改痕迹,结合文本修改者信息,发现修改价格等线索。

3、图片:重点检索查找银行流水或对账单等的截图,还要关注通过外围调查得到的重点关联人与涉案员工的个人相机拍摄的照片等图片,锁定人员关联性。

(三)案例分享

在星瀚调查的一起跨国公司员工舞弊案的过程中,调查人员通过多种手段结合,还原了人员关系和基本案情,并在与涉案人员询问过程中,以这些关键信息突破对方心里防线,使案件成功告破。

1、利用新型行贿手段关键字全盘遍历筛查,由此发现含有关键信息的文件碎片,同步结合外围排查,发现行为人现实轨迹与电子数据完全吻合。

2、对所有图片进行技术性排除,随后人工检查,发现涉案人员、近亲属和行贿人员密切往来的照片,并通过照片上GPS记录信息倒推出某时间共同前往欧洲旅游的行为轨迹,在涉案人员询问过程中,发挥重要作用。

侵犯商业秘密类舞弊

(一)人员行为分析

针对电子数据进行的侵犯商业秘密行为,涉案人员通常会利用到即时通信、电子邮件、网盘、移动介质,甚至屏幕拍照等方式来窃取、传输涉案秘密信息,而事后为了掩盖作案痕迹,往往会卸载相关软件,并利用文件粉碎机等工具破坏原始数据,毁灭证据。

(二)电子取证要点

1、电子邮件;

2、网盘、文件粉碎机等软件分析;

3、移动存储介质插拔记录;

4、涉案秘密信息关键字筛查。

(三)案例分享

在一起侵犯商业秘密案中,某公司技术员通过盗取其他员工账户的方式,侵入数据库窃取技术资料,并通过百度网盘转移至家里的个人电脑。

1、通过电子邮件排查向外发送涉密信息的线索,未果。

2、通过软件分析,发现曾经安装百度云盘但已被删除,通过数据恢复发现该软件留存在电脑中的痕迹信息和部分日志。

3、对涉案秘密文件的文件名和重点关键字进行二进制筛查,发现被删除后存留的文件碎片和时间,结合百度云盘的分析结果和usb口设备插拔记录,列出时间轴,还原涉案行为。

结语

以上所列是对于一个案件概括性的调查方向,比如舞弊行为必然会关联到的资金、票据、合同、关联公司、关联人等。除此之外,还必须结合涉案人员个人工作、生活的其他痕迹,加以利用分析,才能抽丝剥茧,层层深入的揭开案件的真相。就笔者几年电子数据调查的不完全统计,尚未曾出现过一个完全同类型的案件,每个案件都有自身的具体情况,取证分析也必须结合具体的情况区别对待。

百花千面,案案不同,只要肯钻研,就一定有收获,值此猪年新春来临之际,与君共勉,未来可期!

作者:星瀚内控与反舞弊法律中心 周晓鸣