引用本文
崔鹤群, 刘俊华. 一种远程提取支付宝交易记录的方法[J].刑事技术, 2017,42(2):165-167
CUI Hequn, LIU Junhua. A Method for Remote Extraction of Alipay Transaction Records[J]. Forensic Science and Technology,2017,42(2): 165-167  
Permissions
Copyright©2017, 《刑事技术》编辑部
《刑事技术》编辑部
一种远程提取支付宝交易记录的方法
崔鹤群1, 刘俊华2
1.天津市公安局物证鉴定中心,天津300384
2.天津市公安局西青分局,天津 300384

第一作者简介:崔鹤群(1981—),女,天津人,学士,工程师,研究方向为电子物证。E-mail:dzwztj@163.com

摘要

本文介绍了支付宝交易数据存储机制及电子数据取证过程中存在的问题,分析了支付宝交易密码的重置方式,给出了一种利用“验证短信+验证身份证件”方式重置支付宝交易密码后获取犯罪嫌疑人交易记录的方法。此方法目前可以解决智能手机因密码无法破解导致支付宝应用交易记录无法提取的问题。使用此方法,一起杀人案件中手机支付宝的交易记录得以远程提取并检验。本文可为公安机关后续开展各类手机应用中的电子数据远程勘验操作提供参考。

关键词: 交易记录; 密码重置; 远程勘验
中图分类号:DF793.2 文献标志码:B 文章编号:1008-3650(2017)02-0165-03 doi: 10.16467/j.1008-3650.2017.02.019
A Method for Remote Extraction of Alipay Transaction Records
CUI Hequn1, LIU Junhua2
1. Institute of Forensic Science, Tianjin Municipal Public Security Bureau, Tianjin 300384, China
2. Xiqing Branch of Tianjin Municipal Public Security Bureau, Tianjin 300384, China
Abstract

A method was introduced on the remote obtainment of the suspect’s transaction records from Alipay’s data storage based on the operating mechanism of this electronic platform, along with the solution to those problems occurring during digital forensics. Alipay’s transaction password resetting, a choice of “SMS verification + ID verification”, was acquired to extract the transaction records from Alipay. This method can help resolve the forensic difficulty that Alipay transaction records cannot be straight achieved when the screen password has been set into a case-involving cell phone. Consequently, a murder case got its crucial evidence by the established method to discover the suspect’s crime-committing fact linking into the time course of the event.

Key words: transaction records; password resetting; remote investigation

智能手机的普及以及购物体验的改善, 使得利用手机进行网络购物成为一种流行时尚。作为国内领先的第三方支付平台, 支付宝已经成为一种非常简单快捷的网络支付工具。相应地, 支付宝也越来越成为不法分子诈骗的新途径。有文[1]介绍了移动支付的常见形式, 并对移动支付所面临的安全风险做了探讨, 其中的移动支付安全问题解决办法也为公安机关开展支付宝交易记录提取提供了一定的思路。第三方支付存在的风险及法律防范也有介绍[2], 为公安机关开展支付宝远程取证提供了一定的法律参考。目前, 公安机关刑事技术部门对电子物证的相关检验多以单一设备的静态本地数据检验为主, 有关电子数据远程勘验的基本流程、标准规范等都还处于空白状态。本文以一起杀人案件中涉及的支付宝交易记录远程调取与检验为例, 介绍了支付宝交易记录数据的存储流程、远程勘验所需要解决的问题以及应用支付宝提供的重置支付宝登录密码的方法进行远程提取交易记录的检验过程, 为远程勘验第三方支付平台中的交易类电子数据记录提供解决方法与参考借鉴。

1 支付宝交易数据存储及取证问题

支付宝, 作为一种第三方支付平台, 存储了大量重要的用户数据, 这些数据如个人信息、订单记录明细等通常都保存在“ 云” 端, 而安装在PC和智能手机中的支付宝客户端软件, 只是调用“ 云” 端数据进行显示[3]。真正的用户数据都存储在服务器端, 由服务器对登录的客户端进行身份确认。在互联网环境中, 用户在客户端输入正确的用户名和密码之后, 客户端可以访问服务器, 获取到相应的信息并在客户端显示; 如果客户端处于未登录状态, 从登录客户端的PC或智能手机中无法得到任何交易记录、物流信息。虽然大多数第三方支付客户端都有自动登录的功能, 但无论罪犯是否选择了自动登录, 技术人员获取涉案电脑或者移动终端之后都不能直接将设备接入互联网登录客户端查看用户数据。电子数据取证要求在对电子设备进行检验时首先要避免网络连接, 以防止犯罪嫌疑人利用远程删除功能对证据进行破坏。因此, 如需对交易记录、物流信息进行取证, 首先要解决客户端登录问题。一般情况下, 第三方支付平台为保护用户的资金安全, 不会将登录密码保存在PC或智能手机的本地存储器中, 因而获取登录密码变得极为重要。

2 支付宝登录密码重置流程

下面以第三方支付平台的登录密码重置功能作为基本手段, 结合数字取证的检验要求, 获取支付宝软件中的交易记录、物流信息。

2.1 支付宝登录密码重置方式

支付宝官方提供三种修改登录密码的方式:通过银行卡验证; 通过“ 验证短信+验证身份证件” ; 通过人工服务。如图1所示。

图1 支付宝重置登录密码页面Fig.1 Page of Alipay login password for resetting

通常, 犯罪嫌疑人被警方控制后, 警方能够获取犯罪嫌疑人的手机, 以及手机号码等关键的个人信息, 这为利用“ 验证短信+验证身份证件” 方法重置支付宝账户的密码提供了非常充分的条件。支付宝等第三方支付平台以及网上购物应用程序出于保护用户信息的安全考虑, 将用户密码、购买记录、交易记录等用户敏感信息以云存储的方式进行保存, 并未保存于手机的存储器[4]。因此, 通过使用犯罪嫌疑人的手机卡接收动态校验码和犯罪嫌疑人的身份证号码即可进行支付宝的登录密码重置。

2.2 支付宝登录密码重置步骤

将取证工作站连接互联网, 打开支付宝客户端, 输入待取证的支付宝账号, 点击“ 忘记密码” , 此时弹出“ 重置登录密码” 窗口, 填写正确的验证码后进入到“ 验证短信+验证身份证件” 界面, 如图2所示:

图2 “ 验证短信+验证身份证件” 界面Fig.2 Interface of “ SMS verification + ID verification”

将犯罪嫌疑人的手机卡插入取证专用实验手机, 接收支付宝系统以短信形式发送的“ 校验码” 并输入身份证号码进行验证(如图3所示):

图3 校验与身份认证页面Fig.3 Screenshot of “ Check & ID verification”

验证成功后即可重置密码。重置密码成功后, 使用取证工作站登录支付宝对交易记录如支付宝账单、关联的淘宝网购物信息等进行取证。密码重置过程需在检验记录作详细描述, 已接收的校验码短信内容更应拍照留存。

3 案例应用

2015年7月, 我市发生一起杀人案, 犯罪嫌疑人李某某将其女友和三名同住的女子共四人杀害后自杀。经查, 李某某于作案前购买了绳索和刀具, 并使用上述工具进行作案。为证明李某某在作案前购买了现场遗留的作案工具, 需对李某某手机与淘宝购物有关的数据记录进行提取分析。初步检验发现李某某手机内并未安装淘宝应用程序, 但安装有支付宝的应用程序。使用现有的手机取证工具(如DC4501、XRY、UFED等)对检材进行进一步检验, 均未提取到支付宝应用中的淘宝交易记录。利用本文提及的支付宝重置登录密码的方法, 检验人员成功地从连接互联网的电子物证检验工作站登录到犯罪嫌疑人的支付宝账户, 查看了该账户的详细信息, 并提取到其购买作案工具的完整交易记录、物流信息以及导出的“ CSV” 格式交易记录明细文件(图4、图5、图6)。

图4 交易记录Fig.4 Records for transaction from Alipay

图5 物流信息Fig.5 Logistics information

图6 导出的交易明细Fig.6 Extracted details of transaction from Alipay

通过支持宝密码重置获取交易记录的方法, 重置犯罪嫌疑人的支付宝账户密码, 登录犯罪嫌疑人的支付宝账户, 本案成功获取了犯罪嫌疑人为实施犯罪购买工具, 盗窃他人支付宝进行交易的购买记录, 为案件的侦破和诉讼提供了充分的证据。

4 总结

本文关于支付宝交易记录的取证也是将手机离线取证与在线取证进行有机结合的简单尝试, 在成功获取证明案件事实所需证据的同时也带来了新的思考— 随着大数据时代的到来, 未来几年里, 人们使用手机、计算机等电子设备所产生数据的存储方式将由手机机身、计算机本地存储转变为远程数据存储, 电子物证检验也将由单一电子设备数据检验发展为数据远程勘验, 迫切需要建立相应的检验流程及标准规范来应对电信诈骗案、杀人案等各类案件中日益增多的远程取证需求。

The authors have declared that no competing interests exist.

参考文献
[1] 李大伟. 移动支付技术安全问题探析[J]. 甘肃科技, 2014, 30(2): 22-23. [本文引用:1]
[2] 望丽丽. 第三方支付存在的风险问题与法律防范[J]. 时代金融, 2015, 585(4): 46-47. [本文引用:1]
[3] 张楠. 电子商务第三方支付存在的问题及对策研究[J]. 中国商贸, 2011(26): 119-120. [本文引用:1]
[4] 朱海静, 王红梅. 浅析我国网上第三方支付平台发展现状及面临的挑战[J]. 科学与财富, 2011(9): 158-159. [本文引用:1]