如果自己的企业邮箱收到一封关于领取“劳动补贴”的邮件,你会深信不疑并按照要求去完成领取操作吗?小范就是在某天收到公司邮件后,按照邮件内容扫描通知二维码填写材料,结果银行账户瞬间被转走了6万元……
“办案过程中,我院在追究犯罪分子刑事责任的同时,针对案件暴露出的企业邮箱账户泄露问题,向相关企业制发了检察建议、提示函等,提示企业数据保护的重要性并开展反诈宣传工作。”8月12日,记者来到北京市海淀区检察院采访,该院第二检察部主任孙鹏在介绍这起向企业员工发送“钓鱼”电子邮件诈骗案时说,“我们将持续深化落实‘检察护企’专项行动,为打造营商环境‘北京服务’品牌提供检察保障,推动首都经济高质量发展。”
一封申领“劳动补贴”的“企业通知”邮件
“重要通知,请查阅!关于领取个人劳动补贴申领通知……为做好企业员工补贴管理工作,财政部上传了领取劳动补助的流程及相关材料,请员工扫描通知二维码填写材料,仅限今日填报申领补贴。”2022年12月的一天,某企业员工小范上班时看到自己的公司邮箱弹出一个新邮件提醒,发件人是公司同事小张。小范点开邮件后,按照要求完成了申领填报,不料手机却收到短信提醒,他的账户被转走了6万元。
小范傻眼了,立即找小张进行确认,才得知小张的邮箱已被不法分子盗走,许多同事都收到了同样的邮件,不仅是小范,还有别的同事“中招”被骗。
2023年5月,该企业组织员工向公安机关报案。随后,公安机关迅速展开调查,发现这是一个专门针对企业员工实施诈骗的跨境犯罪团伙,并锁定了其中一名犯罪嫌疑人邱某。6月,公安机关邀请检察机关提前介入侦查。
经过溯源涉案网络数据流,2023年7月28日,公安机关将犯罪嫌疑人邱某抓获,于8月25日以邱某涉嫌诈骗罪提请检察机关批准逮捕。
人虽然落网了,但是案件办理却遇到了挑战。
邱某反侦查意识极强,他与其中一名团伙成员王某(已被批捕)在外租住,每隔一段时间就会更换居住地点,利用他人身份信息注册各类网络账号,通过虚拟货币收款隐匿资金流向。公安机关搜查邱某的暂住地时,发现他的屋内有三台电脑,其中两台电脑的硬盘已不知所终,邱某随身携带的手机是从朋友处借来的。
“通过对涉案诈骗‘钓鱼’网站的网络数据流锁定、调取某公司的云服务器数据后,公安机关发现服务器的租用人是孙某(另案处理),而非邱某。”海淀区检察院办案检察官李鹏介绍说,经查,孙某与邱某是好友,孙某称自己从未租过云服务器,是邱某使用他的身份信息租用了服务器。除此之外,公安机关还调取了邱某及关联人员的网络云盘存储数据。但邱某始终以“我不知道”“我没干”“我不会用电脑”等说辞来辩解,拒不交代。
现场留下的硬盘关联六个远程服务器
案件被移送审查起诉后,检察机关通过电子数据审查室对涉案电子数据开展审查分析工作。
“我们从遗留在现场的硬盘数据中发现了昵称为‘DONG’的登录者Telegram聊天软件账户(以下简称TG账户),但该账户关联的手机号实名并不是邱某。”李鹏介绍,随后检察机关会同公安机关通过技术手段破解了该TG账户密码,顺利获取了其中的数据,发现“DONG”与一个昵称为“何时才能暴富”的人之间存在大量涉及破解、贩卖邮箱账户密码的聊天记录,并且二人有一个共同群组,该群中提及发送涉诈邮件、涉诈“领取补贴”的文案,以及被骗人员的银行卡账户、密码等内容。
除此之外,检察官还发现该硬盘关联着六个远程服务器,六个服务器中分别存有暴力破解电子邮箱密码的程序、海量的邮箱账户密码、“领取劳动补贴”的电子文档,但这块硬盘中的其他网络账户与邱某均无实际关联,其真实使用人一时成疑。
虽然存在模糊事实与短缺证据,但是检察官根据掌握的证据、事实,加之邱某的种种反常行为,认为邱某与电信网络诈骗犯罪存在重要关联,遂于2023年9月1日对邱某作出批准逮捕决定。
揪出“何时才能暴富”
与“DONG”共谋盗取邮箱数据、修改涉诈文案的“何时才能暴富”到底是谁呢?
带着这个疑问,办案组开展了调查工作。由于邱某团伙均使用虚拟货币收款,检察机关引导公安机关调取了涉案虚拟货币账户的相关信息数据,通过该数据发现“DONG”其实是另一名团伙成员王某。
同时,检察机关引导公安机关对被冒名租用涉案服务器的孙某开展调查,发现孙某的TG账户好友也有“何时才能暴富”,且与“DONG”账户中的完全一致。经孙某指认,这个“何时才能暴富”就是邱某。
“我们分析了搭载诈骗网站云服务器的付费记录,发现了数个付费微信ID号,经查发现这些ID关联的实名信息均为邱某,且与孙某微信好友一致。”海淀区检察院电子数据审查室数据审查员郭树正告诉记者,他们还在涉诈服务器残留的数据中发现了该案的跳板邮箱账户(即被盗用的小张等人的企业邮箱账户)与被害人的邮箱账户,又在邱某的云盘存储数据中发现了大量邮箱账户密码及暴力破解密码的软件。
至此,检察机关终于构建起邱某遗落在现场的硬盘、被损毁证据的服务器、服务器付费记录、涉诈文案、公司被窃取的邮箱账户、“何时才能暴富”TG账户等碎片化客观证据间的多元关联性。
真相渐渐浮出水面——这伙不法分子通过境外网络黑市收买各类企业邮箱账户,在暴力破解密码、登录邮箱账户后,针对账户的通讯录群发领取“劳动补贴”“疫情补贴”“财政补贴”等多类电信网络诈骗“钓鱼”邮件,在被害人信以为真按要求操作后,盗走其银行账户里的钱款。经查,邱某参与的诈骗犯罪事实共有11起,合计涉案金额12万余元。
今年1月31日,海淀区检察院以邱某涉嫌诈骗罪向法院提起公诉。其间,在客观证据的层层叠加下,邱某心理防线崩溃,自愿认罪认罚,并退赔了与其有关的全部被骗人员的涉案钱款。5月31日,海淀区法院经审理,以诈骗罪判处邱某有期徒刑二年,并处罚金2万元。目前,判决已生效。