涉网案件中失活网站的研判思路

最近，一位朋友找到元芳，向他讲述自己正在处理的一起电信诈骗案件中的困境：所涉诈骗网站已经无法访问。希望元芳可以推荐一些思路和方法，来针对失活网站进行下一步研判。

让我们一起看看元芳是如何回答的~

失活涉案网站研判思路

首先，需要弄清楚这个网站之前是干什么的，有哪些功能。针对不同功能的涉诈网站，侦查侧重点会有不同（如图1）。

图1 不同功能涉诈网站的研判重点

清楚侦查方向后，我们需要围绕失活网站同源信息以及网站同程序模板进行直接研判和扩线研判。具体的研判思路为：

1►

对失活网站同源信息进行研判

网站来源信息包含部署信息（服务器、IP地址等）、域名注册信息（注册人、注册邮箱等）、备案信息等（备案号、备案主体等）我们可以针对这些信息进行直接调证，或者关联出相同来源的其它网站进行研判，挖掘背后的犯罪团伙。

关于网站来源信息的具体研判方法，可以参考之前发布的文章

2►

对失活网站程序模板进行扩线研判

除了网站的来源信息，我们还可以根据网站使用的程序模板特征线索（页面sha256 、页面hash 、网站标题、网站SDK等）进行扩线分析，找同团伙样本网站中的存活网站和有效线索。

注：使用程序模板进行扩线分析时，需要结合网站内容、技术架构、资金流向等多方面证据综合判断是否属于同一团伙。

最后，即使网站已被关闭，也应持续监控与该网站相关的活动，以发现可能的复活迹象或新的诈骗行为。

失活网站具体研判方法

在接下来的内容中，我们将逐步介绍在实际侦查过程中，基于失活网站同源信息和同程序模板线索展开扩线分析的研判方法。采用的工具是“大狗涉网线索分析平台-研判图谱”：

【大狗涉网线索分析平台-研判图谱】

功能介绍：基于自动化研判能力，创新大数据使用手段，以知识图谱展现形式，提供全方位、多层次、可扩展的团伙挖掘、线索拓扑、数据串联等功能。
下载链接：可通过PC端下载无糖浏览器访问大狗平台 https://browser-prod.nosugartech.com/start/
使用方法：在大狗平台线索研判页面搜索内容跳转至研判图谱，或者通过网站/APK报告访问图谱功能。

1►

同源信息-WHOIS信息研判

WHOIS查询可以提供域名的注册信息，包括注册人、注册机构、注册时间、注册到期时间、注册联系信息等。

根据WHOIS信息解析出域名注册人、注册邮箱信息后可以使用研判图谱（入口见图2）查找同注册人/注册邮箱的其它域名注册网站进行拓扑分析，挖掘线索网站（图3）。

图2 网站报告-研判图谱入口

图3 同域名注册邮箱网站扩线

2►

同源信息-备案信息研判

部分涉案网站为了增强器欺骗性，或是为了绕开国内网络对未备案网站的封禁措施，会在对其网站进行备案以方便运维管理。

备案信息相同的网站，有极大可能性背后是由同一犯罪团伙运营。我们可以根据已失活网站的备案号、备案主体等信息，使用研判图谱关联出该团伙的其他可能存活或者有可调证线索的网站（如图4）。

图4 同备案号网站扩线

3►

同源信息-网站IP研判

网站当前已经不可访问时，可通过DNS记录找到历史绑定的IP地址。解析出网站IP后，如果IP-ASN位于境外，直接调正难度较大。我们可以根据研判图谱对同IP的其他网站进行研判，进一步查找线索（如图5）。

图5 同IP网站扩线

4►

同源信息-其它同源信息研判

除了上述方法，我们还可以利用同网站命名规则、同C段服务器网站、以及同网站标题等特征来扩大同源网站的关联范围，为案件调查提供更多线索的可能性。

以网站命名规则为例：

同团伙样本中的域名有时候会包含某些规律。比如 6573675.cc、2762872.cc、1827542.cc 这几个域名我们可以发现它们都是由7位数字加上顶级域名".cc"构成。
根据这一命名规则，我们可以利用脚本或域名生成工具，随机生成大量符合规则的同类型网站（建议大于1万条）
然后，利用大狗平台的网站批量研判功能，对它们进行自动化分析，筛选出潜在的线索网站。

需要强调的是，根据这些同源信息关联到的相似网站，指向同一犯罪团伙的可能性相对于网站部署、备案、IP等信息要低一些。因此，在筛选线索网站时，还需要综合考虑网站内容、域名注册时间等信息初步判断是否属于同一犯罪团伙。

5►

同程序模板-页面sha256扩线研判

页面的sha256是一种哈希算法，用于将页面的原始数据（如HTML、CSS、JavaScript等）转换成固定长度的字符串，即哈希值。

通常，页面sha256被用来验证整个页面内容的完整性，以确保在传输过程中页面没有遭到篡改。由于每个页面的sha256值是唯一的，如果两个页面sha256相同，那说明页面源码内容完全一致。因此，在涉网线索分析中，可以利用页面的sha256值来查找相似样本，从而发现同一犯罪团伙中其他样本网站（如图6）。

图6 同页面sha256扩线

6►

同程序模板-页面hash扩线研判

页面hash是页面源码DOM树的hash值，可以理解为源代码的结构内容。如果两个网站的页面hash一致说明这两个网站的页面源代码结构相同。

同页面sha256与同页面hash的区别在于，前者表示内容完全一致，后者表示结构相同。因此，我们也可以利用页面hash值来查找相似样本，进行扩线研判（如图7）。

图7 同页面hash扩线

7►

同程序模板-网站SDK扩线研判

为了快速实现网站的通用功能，各类网站会引入各种SDK，如客服、站点统计、云服务等。国内的SDK提供商可以通过数据调证的方法获取引用该SDK的开发者的注册和订单信息，从而引导进一步的研判。

为了实现个性化服务、数据分析和广告定向等功能，SDK提供商通常会为不同的用户创建一个唯一的标识（User ID或Tracking ID）。例如：使用对象存储类SDK需要Access Key和Secret Key进行身份验证，使用开发工具类SDK则常需要绑定用户的账号信息作为用户身份的唯一标识。

这些唯一用户标识在数据调证中扮演重要角色，不仅可以作为直接调证的关键ID，还能通过研判图谱识别出关联的同团伙样本，在目标网站失活时进行扩线分析，有效提升研判效果（如图8）。

图 8 同网站SDK扩线

模糊搜索功能全新上线，

探索更广阔的线索世界

为了协助用户更加高效地进行线索搜索与分析，大狗涉网线索分析平台近日推出了全新的【模糊搜索功能】。

这一智能搜索技术能根据用户输入的关键词进行模糊匹配和智能推荐，拓展搜索范围。根据有限的涉案线索，提供更全面的信息和多样化的搜索结果，有助于用户在案件研判中发现更多隐藏信息，提升研判的广度和深度。

现已支持网站地址、网站IP、备案主体、APK包名等多种类别线索研判字段模糊查询。以真实备案号为例，我们可以根据“川”这个关键词，查询平台收录的所有备案主体于四川省的真实备案号：

图 9 真实备案号模糊搜索

注册并登录【无糖浏览器PC端】，在【应用中心】点击进入【大狗涉网线索研判平台】，即可在【线索研判】页面立即体验模糊搜索功能，开启涉案线索多维度搜索新篇章~