引流荐股类“杀猪盘”的形势研判与治理对策分析

吕通

随着互联网金融的兴起，越来越多的人开始通过互联网平台进行投资理财。而不法分子发现其中有利可图，便打着互联网金融的旗号，行诈骗之事。如引流荐股类电信网络诈骗团伙则是瞄准热衷网络投资的人群，通过所谓专家指导、k 线解读、内幕消息等一系列方式取得受害人的信任后，诱导受害人在虚假的投资平台进行股票、期货、虚拟币等的交易，最终达到骗取受害人投资资金的目的。

一、引流荐股类“杀猪盘”的诈骗过程

2022 年3 月，笔者接报一起利用第三方炒股软件实施诈骗的案件，受害人被诈骗人民币47 万元。为探究引流荐股类电信诈骗的最新形势，研究其犯罪规律、把握其演变手法，提升打防能力，笔者尝试搜索添加了诈骗团伙中名为“中信证券客服人员”的企业微信，通过全程扮演求财心切的投资人与其交流，总结归纳出引流荐股类电信诈骗的以下过程:

(一)“圈猪”阶段

“圈猪”阶段的任务一般是为了提升信任度和吸引力，此案中诈骗团伙伪装成证券公司的客服人员，声称自己所在的证券公司为央企中信集团在香港境内运营的投资公司，有官办背景、实力雄厚。他们通常会根据对方的性别，匹配容貌姣好的异性工作人员进行“一对一”的服务。这些工作人员通过社交软件发布大量炫富照片，表示荐股只是为了让更多的朋友体验公司实力并提高收入。

(二)“养猪”阶段

诈骗团伙通过频繁更换聊天软件，逃避公安机关及网信部门的追踪。如报案时受害人在腾讯QQ软件被“养猪”，当笔者接触诈骗团伙时，对方已停用企业微信和QQ 的联系方式，转而使用一款名为“信源豆豆”的手机软件，其称该软件可在各大应用市场下载，只有使用该软件才能进一步掌握大盘动向、聆听导师讲解。

在“养猪”阶段，诈骗团伙通过发布图片、链接等方式，组织“学员”收听“投资导师”的投资策略，以重仓购入、高风险投资理念为主。“养猪”阶段一般会持续一个月以上，在“学员”尝到甜头、信任度变高、盈利愿景膨胀后，诈骗团伙就会以各种形式套取“学员”后续入市的资金，至此，“验资养猪”阶段结束。

(三)“杀猪”阶段

“杀猪”阶段，诈骗团伙会根据大盘涨跌设计不同的“套路”：一种是在大盘普涨、行情走高的情况下，“导师”会向“学员”推荐虚假的炒股APP 进行投资；另一种是股市遇冷阴跌走弱，推荐的个股没有盈利空间时，“导师”会要求“学员”迅速“杀跌”，转而投资期货、虚拟货币、矿机、芯片半导体等“学员”不甚了解的市场。

上文中的报案人遇到的就是第一种情况，即在虚假炒股APP 上投资被诈骗。而笔者接触该诈骗团伙时，体验的是另一种诈骗形式。当时股票遇冷，芯片概念热炒，诈骗团伙发布了名为“全球集成芯片交易所”投资平台网址，并将投资“学员”分别拉入7 至10 人不等的小群，进行“一对一”的诈骗。当诈骗团伙感觉被害人资金已被榨干或者被害人有所发觉时，“杀猪”阶段结束。

二、引流荐股类“杀猪盘”的特点分析

笔者通过扮演投资“学员”，体验了“圈猪”“养猪”“杀猪”的诈骗过程，分析得出当前投资引流荐股类“杀猪盘”诈骗的以下几个特点:

（一）受害人群的特定性

当前股市悲观情绪浓厚，大部分股民处于亏损状态，诈骗团伙精准利用股民挽损急切、急于变现的心理，结合已婚人士婚外尝鲜、对投资市场不了解等特点，让投资“学员”初尝甜头后，再不断要求其加大投资额度，甚至鼓动投资人通过网络贷款等手段加入“先锋队”“俱乐部”，对不甚了解的期货、外汇、虚拟币等进行投资。因为对投资的领域不了解，受害人往往被骗数日后，仍未发觉。

引流荐股类诈骗与视频裸聊类、刷单返佣类诈骗的不同之处在于，此类诈骗是向中老年男性股民精准实施的诈骗，而这一人群往往具有网络运用不熟练、网络信息识别能力差等特点。

（二）犯罪团伙公司化运营

在该团伙进行诈骗时，团伙犯罪公司化运作明显，其内部分工严密、各司其职，各组协调配合，由完整黑灰产业链实现完整诈骗环节覆盖，其分工大致如下：

1.话务组，其任务就是引起诈骗对象的兴趣。他们通过短信、电话、微信等方式与诈骗对象建立连接，并强调有专家指导、高额投资收益，以诱导诈骗对象与后续诈骗组建立联系。

2.诈骗组，与被害人接触时间最长。话务组“圈猪”后，诈骗组以帅哥靓女的形象或投资专家的身份出场，主要负责引诱诈骗对象利用非法投资平台交易，从而进行诈骗。

3.技术组，诈骗活动的技术支撑。技术组一般负责租用境外服务器、搭建非法投资平台，调整后台数据、修改大盘K 线和日常维护。

4.支撑组，诈骗活动的核心中枢。从黑市、暗网采购手机号码、银行账号及公民信息；拆分诈骗赃款流入多级银行账户并联系“车手”取现。

5.金主，最后的得利者，并不出现在诈骗环节，而是深居幕后负责组织、领导和策划。

（三）犯罪暗数大

犯罪暗数是产生犯罪后无法避免的事实，电信诈骗案件中一般分为两方面:

一方面，受害人认为没有可能追回资金而放弃报警。因为诈骗方式隐蔽、受害人防范意识差，加上专业话术的洗脑，被害人一开始误认为亏损是行情不利导致的，等很长一段时间后才察觉被骗。但因为间隔时间久，受害人自以为追回资金无望而放弃报警。

另一方面，被害人顾及报案后的影响而不选择报案。如被害人顾及自己的声誉、家庭关系等，或者投资所用资金为挪用其他用途的资金，怕报案后公安机关在侦破案件过程中查到自身的犯罪行为，所以不敢报案。

（四）境外窝点打击难度大

电信网络诈骗近几年发展出了一条“台湾起步”-“大陆发展”-“境外扩散转移”的弧形轨迹，如今以缅甸北部为主的东南亚诸国成为了“黑化”最严重的电诈基地。

在地理区位上，缅北多个城市与我国接壤，有“得天独厚”的偷渡条件。该区域电信网络诈骗日益猖獗，偷渡逐步形成产业链，成为电信诈骗黑灰产业链中的重要环节。甚至因为诈骗团伙聚集，诈骗在缅北地区已形成产业并不断升级，并产生“规模效应”，已经发展出包括“精准扶贫”“注销校园贷”“售卖防疫物资”等相对成熟的“量身定做”式诈骗。

在政府监管上，缅甸长期处于全球最贫困国家行列，政权动荡，军政府和联邦政府更迭频繁，政府往往打着招商引资、科技创新的旗号，实则建立类似小勐拉科技园、佤邦孟平开发区科技楼等诈骗聚集地以实施电信网络诈骗。诚然，这给缅甸北部带来了一定的经济收益，但却给包括我国在内的诸国造成了极其广泛而沉重的影响。

三、引流荐股类“杀猪盘”的演变方式和侦查难点

(一)犯罪方式呈开放式演变

1.交友逐利等情况影响价值判断

引流荐股类诈骗在最初形成时，其犯罪形式为骗取咨询服务费，后期转变为售卖课程软件或进行软件高额维护。但在“杀猪盘”兴起后，诈骗团伙将“爱情骗局”“赌博引诱”和“引流荐股”相融合，作案时间跨度变大、犯罪手段随着被害人的需求变化而随时转变，迷惑性极强，被害人在已经遭受严重经济损失的时候，仍然简单地认为只是短时间内的价格波动，而拒绝警方介入。同时，因为网络交友的特殊性，如犯罪行为尚未进入既遂阶段，就始终隐藏在交友行为的背后，对于公安机关而言，防范、劝阻难度很大。

2.数据犯罪手段升级

在传统接触式犯罪的痕迹勘验中，“无人作案不留痕”被奉为经典，犯罪现场封闭后，痕迹可以逐步琢磨、发掘，但是在动态的互联网中，每天产生的数据量都是极为庞大的，根据国际数据公司（IDC）发布的《数据时代2025》显示，2025 年全球每年产生的数据将从2018 年的33ZB 增长到175ZB，相当于每天产生491EB 的数据。如果证据发掘不及时，短时间又会产生大量的数据，这些新的数据覆盖在旧的数据上，稍有迟缓，旧数据很可能被抹去或者覆盖，可能犯罪尚未打击，证据已经灭失。当前，引流荐股类电信诈骗在犯罪手法上具有以下特点：

一是隐蔽性高。犯罪团伙为了躲避网络安全部门的监管和巡查，往往不自主搭建平台，而是依托互联网黑灰产业链来实现平台的搭建、上传下载、数据传输和信息维护等。

在“圈猪”阶段，犯罪团伙一般会借助微信、QQ 等软件的合法性外衣来掩盖犯罪本质，使用虚假身份证件，躲避实名注册监管；在“养猪”阶段，向诈骗对象发送网址、二维码及APP 安装包，并要求他们打开手机的“开发人员选项”和各项权限，这样非法APP 可以逃脱“手机安全管家”类软件监管，任意获取手机内的各类资料。此外，为了保证犯罪的隐蔽性，诈骗团伙还会采用旅行盒子、子母路由、VPN 跳转等方式，实现A 地犯罪，B 地跳转，C 地搭建、维护后台数据，甚至擦除数据，关闭门户。

二是话术翻新快。诈骗团伙为了适应不同环境而对使用的话术进行迭代翻新，并不断加快话术翻新频率。早期的引流荐股类诈骗主要是采用收取荐股服务费的方式进行诈骗，后来逐渐演变为“出售内幕课程”“开通软件高抛低吸提醒功能”等方式。而现阶段是以“免费荐股”“内幕消息”等为幌子在互联网上大量“圈猪”，在“养猪”阶段综合“杀猪盘”诈骗中常用的婚恋交友、彩票赌博、刷单充值等形式，不法分子以俊男靓女形象出现，接近被害人，为了让诈骗对象更容易上当，可随时修改话术。也就是说当前阶段的“杀猪盘”诈骗团伙更加灵活。

三是APP 翻新快。由于此类犯罪涉及大额资金存取、股市期货K 线等专业信息数据，对非法APP 的要求极高，犯罪集团具备较完备的股票、期货买卖知识和虚拟货币、矿机、半导体交易知识，往往能抓住热点题材、热门板块灌输“风口投资”理念，让投资人信以为真。

3.寻求应对“断卡行动”策略

手机卡和银行卡是电信网络诈骗中最重要的信息流和资金流载体，诈骗团伙为了逃避打击，一般通过网络黑灰产业链大量采购“两卡”。自公安机关开展“断卡行动”以来，诈骗团伙也在寻找新的土壤，在实际打击中已经发觉犯罪团伙出现了新型手段:

一是使用“G OI P”设备，实现传统电话信号转换为网络信号，借助机动车搭载便携设备提升机动性，再通过境外远程操作，增加作案隐蔽性；

二是以第三方支付平台或者虚拟货币交易平台为媒介，利用部分国家、地区和平台之间的监管漏洞，跨国洗钱，以减少对国内银行账户的依赖；

三是利用对公账户的基本存款账户，提升可信度，并且对公账户日转账限额为500 万元，远高于个人账户100 万元的日转账限额，为大额洗钱提供了便利；

四是利用“猫池”模拟号卡使用痕迹，“养卡养号”避免“关停”风险；

五是由运营商“黑卡”发展到虚拟运营商“注册卡”，该卡是只有短信收发功能，不具有语音、数据功能的手机卡，无月租，价格低，存在较多监管漏洞。

1.实际犯罪地追踪难，IPv6 系统被启用后，网际协议版本数得到了质的提升。在IP 申请门槛降低、条件放宽的大背景下，诈骗网站、虚假网站有了自己的“源头活水”，通过不断购买域名，可以达到隐匿犯罪的目的。这给公安机关利用IP顺线侦查带来了极大的困难。此外，VPN 代理产业在西方兴起，不少VPN 代理服务游离在违法犯罪的边缘，他们通过租用国际专线，违规开展跨境电信业务经营活动。然而这种VPN 访问在包含我国在内的10 个国家是被法律明文禁止的。诈骗团伙通过VPN 进行多次跳转，真实IP之上可能覆盖几层甚至几十层的外衣，在发案后，若其中的几层外衣被溯源，诈骗团伙会立马切断中间层的联系，注销地址，搬离原来位置，逃避打击。

2.取证困难，易导致刑罚不符。“杀猪盘”类诈骗时间跨度大，“圈猪”“养猪”的过程可能持续较长一段时间，其间电子数据存在人为覆盖、灭失的可能。按照2016 年12 月19 日“两高一部”发布的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》要求，犯罪嫌疑人担任不同角色、发布诈骗信息数量和浏览量不同，其所受刑罚也不同。在实际取证中留存在本地计算机和互联网服务器的数据涉及聊天软件、多级服务器内容提取、被诈骗资金转移路径查询、“黑卡”账户落地等具体工作，都要收集完整的书证、物证、证人证言、视听资料、勘验笔录和电子数据之类的证据，形成完整证据链，还原犯罪团伙机构架构，其中缺少任意一个环节，就容易让证据链不够完整、全面，从而直接影响审判结果。

3.“打出去难、抓回来更难”。涉诈人员聚集在缅北等犯罪“洼地”，寻求从事电信诈骗且能躲避打击、降低惩处的生存空间。打击跨境犯罪，公安机关要面对法律制度、执法环境的差异，以及沟通交流、联合执法等多重困境。另外，在刑事司法协助方面，国际条约、协定共识、警务合作等机制上还存有争议，犯罪关系、电子物证提取等方面也存在大量空白，公安机关出境侦办案件阻碍重重。加之当前“新冠肺炎”疫情仍全球蔓延，因疫情防控需要，出入境政策收紧，也加大了公安机关跨境执法的难度。

四、引流荐股类“杀猪盘”的治理对策

(一)规范行业源头治理 完善企业监管体系

目前，反诈联席会议制度已经形成中央、省、市、县四级工作体系，公安机关与金融、通信、互联网行业的关系在不断深化，“天机”平台、“513”平台等，给部门间信息的快速流转提质加速。

但在政府部门的强监管背景下，相关行业自律发展缓慢，联合应对新型电信网络诈骗时短板明显。因此，要通过加强法律法规制度建设，建立健全行业责任清单和损失补偿机制，实现组织权利的再分配，明确相关企业权责利对等、平衡，彻底扭转有压力的行业没数据、有数据的行业没压力的尴尬局面，让相关行业从幕后走到台前，主动承担反电诈的主体责任。

同时，加强对互联网公司的监管力度：一是加大内部监管力度。内部监管包括企业自身运营维护、风险监管等方面，经营行为要受道德、法律约束，告别互联网公司“野蛮生长”的思维，尽早建立起防范自身开发软件、提供服务被违法犯罪钻漏洞的全时嗅探、预警、推送、协调、反制机制体系。如加强虚拟运营商的“注册卡”注册检验认证环节，提升持身份证件的动态视频认证能力，并随时要求用户开展“二次核验认证”；企业、行业要建立开发安全战略中心或主动聘请第三方企业定时开展安全风险评估。

二是要强化外部监督。国家对新兴产业的监管政策会经历一个“先发展后监管-边发展边监管-发展与监管并重”的发展过程，这就要求实际监管者应当在讲求价值目标、效率创新和秩序安全的同时，提升监管手段的精细化和多样化。未来，可以探讨在互联网公司扩大监督范围、完善监督职能，在确保市场经济活力和商业机密保障的情况下，常态化地开展外部监督管理，堵塞诈骗团伙渠道，如设立由工信、公安、纪检监察等部门联合组成的网络数据监管中心，进行主动式防范，彻底净化互联网络土壤。

(二)提升证据搜集运用能力 进一步深化警企协作关系

在刑事诉讼制度转向“以审判为中心”的背景下，侦查部门逐渐加强了案件证据搜集、起诉的能力。但是，对于案件中“两卡”购买渠道、虚假投资平台运营维护商、犯罪工具相关产业链、各平台是否与电信网络诈骗团伙有不正当往来等问题，依旧缺乏深入分析了解。因此，公安机关应当拓宽对已抓获犯罪嫌疑人的讯问范围，从犯罪工具、犯罪参与、犯罪帮助(共同犯罪)等方面，摸清犯罪具体路径和发展方向，拓宽犯罪上下游团伙的犯罪内涵，从已掌握证据入手，关联合作团伙和各类“供应商”，延伸打击链条，最终实现黑灰产业链的全链条打击。

在研判方面，侦查电信网络诈骗案件一般应用“天机”“513”等平台，其调证、查询范围已覆盖绝大多数的互联网公司，但是针对高预警值数据的直接反制和异常数据流实时回传等方面仍处于起步期，加之公安机关当前的短板主要集中在人才队伍专业性不强、数据处理提取能力弱于互联网公司等方面。因此，进一步深化警企协作关系，提升合作反制能力和畅通信息回传渠道，是当前协作的工作重点。在此情况下，可以通过尝试与如腾讯安全研究中心等互联网公司的安全部门进行合作，在电子证据收集、提取、恢复和远程取证上聘用这些专业人员进行取证服务，并邀请专业工程师为公安机关工作人员进行培训，帮助解决相关技术难题，最终实现共赢。

同时，通过深入分析“养猪”环节留下的互联网“碎屑”，摸索犯罪规律，更新电话、短信和互联网即时通讯软件中的关键词，优化敏感词句库算法技术，实现警网人工智能针对不同大类、不同场景、不同语境的精细颗粒度模型，对互联网身份具体分配唯一标识，依据不同情况设置后台预警阈值，与96110、国家反诈中心APP 对接，一改单向预警模式，打造循环于公安网-互联网-公安网的反复筛查、动态比对保护网、可追溯使用人和识别潜在受害人的AI 防护网，最终实现自动取证、深度挖掘、提早防范、协助打击，有效降低犯罪数量和犯罪暗数。

(三)利用反诈软件实现终端把控 建立网络特情发动反诈战争

目前国家反诈中心APP 已在实际案件侦办中起到至关重要的作用，在未来，公安机关可以通过反诈软件法治化等方式，立法要求在大陆销售的安卓、苹果等系统手机安装覆盖反诈软件，实现终端源头把控。

同时组织特情力量，作为打击方式的补充，有效解决网络侦查部门的侦查力跟不上诈骗团伙发展速度的问题。笔者认为，公安机关可以尽早建立审批手续，吸纳以下四类人:

一是互联网从业人员，各大互联网公司都拥有自己的网络安全部门，他们掌握着鲜活的一手数据，特别是用户点对点的即时通讯工具软件的公司，从“圈猪”到“杀猪”整个过程都有参与，是极为理想的特情选择；

二是互联网活跃网民，诈骗的“圈猪”环节往往通过电话、贴吧、微博、直播等用户一对多的平台进行宣传，平台内的吧主、UP 主、群主等群体往往有较长的参与时间，能够有效甄别诈骗信息和虚假信息；

三是曾前往缅北的相关从业人员，这一群体较为了解整个诈骗的套路，并可能和依旧逗留缅甸等国的诈骗团伙有来往，可以作为“污点证人”加以利用；

四是软件拆解、数据分析从业人员，利用这一群体专业技能，有效弥补网络侦查部门短板。

(四)多措并举强力劝返滞留缅北人员

2021 年4 月8 日，时任国务委员、公安部部长赵克志同志表示:“要坚持齐抓共管、综合治理，严格落实地方管理主体责任。”公安机关应当充分结合疫情防控形势下公安机关赴境外开展执法合作受阻，难以对滞留缅北涉诈人员“打出去”的形势，压实地方管理主体责任，针对作案人员集中、黑灰产业泛滥的行业、地区，通过“拟注销户籍”“十个一律”联合惩戒等强力劝返措施，兼顾好地方政府的总体协调性和社区干部、社区民警的群众性，做好潜在群体的警示、向境外涉诈人员的家人讲好劝返的政策和影响，适时举办回流人员学习培训班，起到教育、引导、警示、反思的目的；同时加强回流人员的精准研判能力，以打开路，确保精准施策、逐人劝返，实现劝返工作回国“清零”。