一、 序言
股票场外配资本质上是资金方(金主)在证券公司开设的账户,配资平台方利用类似homs资产管理系统对该账户进行分仓,从而衍生出多个子账户,当投资者需要资金炒股,则需要与配资平台签署协议,投资者缴纳规定比例的保证金,即可获得N倍于保证金的投资金额。
上述的运营模式相对于《证券法》而言,则对标证券公司的融资融券业务。融资业务是指证券公司向股民投资者提供资金买入相应股票。融券业务简而言之就是借钱给股票炒股。融资融券是一种信用交易制度,是具有融资融券资格的证券交易公司的核心业务之一。
二、 场外配资平台的技术形态
股票场外配资平台从逻辑上主要分为用户前端、后台管理、自动化订单控制程序和分仓程序。
用户前端主要有web端和app端,app端大部分是通过打包程序将H5代码封装成app,其实质上与web端相同,app相当于浏览器。用户前端的作用是为 用户提供委托下单功能。
后台管理主要为平台运营人员提供管理投资者注册信息、入金、出金等功能。
自动化订单程序主要是安装于服务器端,用于接受投资者提交的委托订单,并向指定股票交易端转发订单,该程序实质上为外挂程序。
分仓程序主要是用于管理和维护股票子账户。
自动化订单程序(外挂程序)
自动化订单程序类似于外挂程序,其运行原理是通过hook消息钩子直接对通达信行情和下单模块xtrade.dll发送消息,从而试下自动化下单、查询等功能。此类外挂类型有模拟类和串改类。模拟类是不破坏程序,模拟人为的键盘鼠标操作实现(部分模拟类外挂牵涉注入和篡改);而破坏类是破坏或者丢弃主程序,直接利用交易客户端的核心模块实现交易。
(1)模拟类外挂说明
一般的模拟类外挂不破坏交易端主程序,通过调用操作系统的API或者是自己封装相关函数来实现模拟人为操作的功能。市面上也有具有此类功能(模拟人为操作)的软件,并且对应的还有提供给用户学习交流的社区。比如说按键精灵(www.anjian.com)等。
(2)篡改类外挂说明
篡改类外挂名副其实,通过对客户端程序进行篡改实现控制功能。一般而言,篡改类外挂对客户端进行篡改的主要目的是劫持客户端的核心组件。在完成对核心组件的劫持后,外挂程序可以直接向证券交易端程序的函数发送相关参数,从而实现委托买卖和查询等操作。
三、 场外配资线索研判和分析
3.1 场外配资线索来源
3.1.1 搜索引擎
场外配资平台通过互联网搜索引擎对外宣传业务来获得投资客户,因此通过百度、Google、360搜索等互联网搜索引擎可以检索出部分场外配资平台。经过实战总结,通过爬虫技术结合以下关键字,可以高效快速的获取到搜索结果。
3.1.2 短视频平台
2017年以来,短视频风口兴起浪潮,各类违法犯罪的人员纷纷转向短视频平台进行推广。以抖音为例,我们在抖音平台对1000多个抖音账户进行内容监测分析,发现有部分带群的博主有违法引流股票配资业务。
3.2 线索分析研判
3.2.1 分析维度
梳理历年侦破的非法场外配资案件的技术特征,以及结合近期持续监测的互联网场外配资平台信息,发现大多犯罪分子将APP作为实施证券犯罪的主要载体。此类犯罪技术依赖性强,其交易路径包括:用户前端的 APP或WEB、交易中端的配资管理系统、非法交易外挂服务器四个部分,用户委托下单的交易指令通过配资管理系统交易策略风控后,传导至外挂服务器进行自动化委托买卖等行为,最终指令传输到券商交易系统实现实盘交易。
app前端分析
当配资平台业务人员一般给投资人发送二维码,我们可以用“草料二维码”平台对二维码识别出网址,再通过网址下载到相应的APP。
l 网络抓包
将APP安装至手机,设置好手机的代理IP,在电脑中开启抓包软件对APP请求的网络报文进行抓取。通过抓包方式门槛较低,能简单快速分析出配资服务器域名和IP地址。
l APK反编译
使用反编译工具对apk反编译,可得出应用层的源码,通过搜索关键字对代码快速定位,从而获得服务器域名或IP。反编译方式门槛较高,效率较低,但是可以绕开开发者的对抗机制。
Web前端分析
配资平台业务人员可能会直接给投资人提供网址。我们可以通过开源平台对网址域名、ip地址地址进行查询,有可能得出域名申请人信息,以及IP地址所在区域,一般情况下IP地址在国内,可以采取调证方式获取到服务器镜像。
3.2.2 分析工具
分析研判工具主要使用互联网上免费获取工具,这些工具获取途径简单,免费,功能强大。主要有网络信息流查询平台,代码的静态分析和动态调试工具,二级域名爆破工具等。
四、 现场勘验与鉴定分析
4.1 现场电子数据勘验
现场勘验是侦查活动中能够获取关键证据的重要环节,一般情况下在侦查阶段,如果配资管理平台服务器架设在境外,这将对侦查工作带来不少困难,通过常规手段难于达到打击目的,那么现场电子数据勘验工作将为后续证据收集提供非常大的帮助,现场勘验对象包括运营者手机、办公用的电脑和云服务器。
1、运营者手机
在抓捕现场,首先控制好配资平台经营者,在其手机中可以找到的上游技术人员的即时通讯聊天记录,从中为案件延申打击提供夯实基础。
2、运营者电脑
在运营者的电脑中可以检出平台管理端程序、访问服务器的IP地址记录,以及在电脑浏览器可能发现其他关联平台的地址、登录账号密码等。
3、配资服务器云平台
运营者手机中一般记录有云平台登录客户端,通过手机短信方式登录到云平台,使用云平台提供的镜像功能将配资平台镜像打包下载。
4.2平台鉴定与数据分析
1、服务器镜像还原
服务器镜像通常包含Linux操作系统、管理平台程序和应用数据库。通过Vmware将镜像仿真即可进入操作系统。进入系统后首先检查history日志文件,查找与Web程序配置相关的指令,从而定位出数据库连接字串。如果Web程序为java编写的程序,那么在配置文件config.properties中可得到连接数据库的账户密码。使用第三方工具Navicat连接到数据库进行查询。
2、数据库检验
进行数据库检验时,后台或前端最好是存活状态,这样可以方便做数据库分析时进行对照,更容易理解数据表字段含义。股票配资数据库中有4个重要的数据表,分别为管理员表、经纪人表、母账户表、历史股票成交表。做好配资数据库分析的关键在于搞懂三个字段的关联关系(1)母账户(2)代理商(3)投资人就可以将多表关联查询。
五、 结语
尽管公安机关在目前线索发现、研判和落地打击已经有了比较成熟的方法论,但随着公安机关对非法证券期货活动打击力度不断加大,犯罪嫌疑人对违法犯罪行为变得越加隐蔽,私域流量将成为该类犯罪的主流推广方式,这无疑对打击增加不少难度,线索发现将成为打击的拦路虎。公安机关要打深打透打彻底该类违法犯罪行为,就必须与监管部门形成执法合力,从制度上和技术上对该类犯罪行为进行围剿。
参考文献
[1]《关于2015年中国股市震荡的反思分析 - 道客巴巴》
[2]《益财资讯证监会就上市辅导监管规则征求意见依法打击场外配资》
[3]《新证券法护航资本市场新时代-董少鹏的博客的博客-证券日报网》
[4]黄江东 场外配资的“罪”与“罚”
作者简介:廖志海 1981-01,男,汉,广东,本科,广东安证计算机司法鉴定所,副高,电子数据司法鉴定,网络犯罪打击
