云南警官学院学报 2016年第6期NO.6 2016 Journ ̄of Yunnan Police College 总第119期Suml19 当前公安机关打击电信网络诈骗犯罪难题及对策 苏棉芳 任韬 (1.云南警官学院,云南・昆明650223;2.昆明市公安局,云南・昆明650031) 内容摘要:电信网络新型诈骗犯罪具有“专业化、精细化、网络化、跨地域化和反侦查化”等特征,给公安机关的 打击治理行动带来发现、取证、抓捕和深挖难等不利局面,我们应当确立政府引导、警企合作的原则,以“五个结合” 为抓手,切实提升公安机关打击治理电信网络新型诈骗犯罪的能力和水平。 关键词:电信诈骗;特征;侦防对策 中图分类号:D917.6 文献标识码:A 文章编号:1672--6057(2016)o6—74—05 电信诈骗是犯罪分子以非法占有为目的,利 华区域、人员密集区域发送手机短信。该类人员 用移动电话、固定电话、互联网等通讯工具,采 能够熟练操作伪基站,驾驶租赁或借来的机动 用远程、非接触的方式,通过虚构事实诱使受骗 车,依托高速公路流窜到各个省市,按“后台” 人往指定的账号打款或转账,骗取他人财物的一 要求的时限和内容发布数量惊人的手机短信。 种犯罪行为。④随着中国金融、通信业的快速发 2.“后台”:使用电脑操控钓鱼网站后台, 展,虚假信息诈骗犯罪迅速在中国发展蔓延,特 发布手机“木马”或直接窃取受骗人账号、密 别是借助通信工具和现代网银技术的非接触式的 码和验证码转移账户内资金,用窃取来的资金在 电信网络诈骗犯罪更是发展蔓延迅猛,给人民群 网上购买Q币、电话充值卡、旅游景点门票后, 众造成了很大的损失。尽管公安机关开展了持续 转手低价卖给“黄牛”销赃或者通过“取现” 不断的打击,但是由于各种因素的影响,电信网 从ATM机中提取现金。 络新型违法犯罪活动仍然快速发展蔓延,形势严 3.“网维”:负责制作维护钓鱼网站,为钓 峻,危害突出。 鱼网站租用境外服务器,并每天申请不同的 电信网络新型诈骗犯罪的“五化”特征 域名。 一、4.“养马人”:负责编写、出租或出售手机 当前,电信网络诈骗犯罪呈现新型态势,具 “木马”;或是修改手机“木马”,不断更换用于 有“五化”倾向特征,具体呈现为“专业化、 接收“中马”手机所发送银行验证码的手机号 精细化、网络化、跨地域化和反侦查化”。 码,以防止暴露或避免被公安机关查获。 (一)电信网络新型诈骗犯罪团伙成员分工 5.“黄牛”:借助淘宝等电商交易平台或Q 呈现“专业化、精细化” 群,低价收赃。 从目前发现的犯罪团伙分析,团伙成员分工 6.“洗料”或“通道”:负责接收“后台” 日趋“专业化、精细化”,成员依据每个作案环 发来已经被转移资金的受骗人的银行卡、密码和 节细化岗位进行分工合作,整个团伙组成从过去 身份证号等信息,通过查询开通柜台的同名卡、 的6个岗位发展到现在的11个岗位。具体分为: 同证卡以及未注册网银银行卡,利用受骗人持有 1.“信使”:专门负责利用伪基站在城市繁 银行卡基本都是同一口令密码的缺陷,窃取受骗 收稿日期:2016—10—10 作者简介:苏棉芳,女,云南警官学院刑侦学院副教授,研究方向为刑事技术。 任韬,男,昆明市公安局五华分局网安大队副大队长,主要从事网络安全工作。 ①“公安部公开48种常见电信诈骗犯罪案件”,载《中国防伪报道》2016年第1期51—54页。 ---——74・--—— 苏袢芳,任韬:当前公安机关打击电信网络诈骗犯罪难题及对策 人其他银行卡中的钱。 7.“厂商”:在网络上打着短信群发器、 3G/4G屏蔽器的旗号生产销售伪基站。 8.“账房”:负责编写、出售快速转移受骗 人账户资金的转账软件。 9.“黑卡”:在网上出售银行卡(含原件身 份证绑定手机号码卡的开户单、网银、u盾) 和非实名制电话卡。 10.“技工”:负责对伪基站设备进行改装 隐藏和维修。 11.“取现”:在网上号称专业ATM取款、 刷金、领取快递,可当面做,可全国跑。 “专业化、精细化”还表现在嫌疑人利用非 法获取的公民个人信息,借助大数据手段,进而 逼真地模仿银行通知、运营商通知、抽奖通知、 上级交待、公司运作、同学聚会、私家侦探、工 商、税务、公安、检察、法院工作或办案等实际 生活中大量可能存在的场景,精心设计骗局,让 受骗人真假难辨。 (二)电信网络新型诈骗团伙成员的纠集呈 现“网络化”,成员籍贯“跨地域化” 随着成员分工的“专业化”、“精细化”,诈 骗团伙从以地域特征明显的老乡相互纠集转向以 一、两个人操控后台为核心,其余成员从网络召 募,或者其余诈骗所需要的环节直接通过网络购 买。成员之间或诈骗活动通过网络衔接,共同作 案,成员籍贯跨地域,诈骗团伙由紧密型向松散 型转变。 (三)电信网络新型诈骗作案手法呈现“反 侦查化” 首先,“信使”在遇到民警盘查堵截时会使 用随身携带的钉锤等工具破坏伪基站存储设备, 使公安机关无法拿到能证明发送手机短信的数量 证据,以逃避打击。其次,使用的伪基站从笔记 本直接控制发射短信的天线外置型向手机遥控发 射短信并带遥控自毁、清空内存数据的小巧便携 隐蔽型发展,使公安机关从外观上难以发现。即 便查获也发现不了伪基站发送信息的内容数据和 数量数据;难以证实伪基站发送的是垃圾信息、 广告信息还是诈骗信息;难以证实伪基站发送了 多长时间,发送了多少条信息,从而到达逃避公 安机关的打击和法律制裁的目的。第三,诈骗活 动各个环节通过网络衔接,特别是联系最紧密的 前端信息发送和后台操控,由过去的同一伙人在 同一地区作案变成前端信息发送和后台操控由不 同地域的多伙人员组成。前端信息发送在一个 省,后台操控在另一个省,甚至后台操控在境 外,公安机关难以发现和打击后台。而前端一旦 被发现抓获后,后台很容易从网上找到合作的伪 基站继续实施诈骗犯罪。 二、当前公安机关打击电信网络新型诈骗 犯罪面临“四难”局面 (一)“发现难” 具体表现在:一是携带的伪基站越做越小, 越做越隐蔽,普通巡逻盘查很难发现;二是前端 信息发送多采用沿道路移动发送,发现手机收到 诈骗短信后,再来围堵基本追赶不上;三是公安 机关办案部门没有伪基站的侦测设备,需要协调 省或市无线电管理中心借设备、借技术员。四是 无线电管理中心的车载和单机设备只能在小范 围,相当于单个通讯基站下的一个小区内进行定 位侦测,要想快速精准定位还需借助通讯运营商 首先确定被干扰的基站并及时通报情况。 (二)“取证难” 一是前端发信的“信使”反侦查意识强, 如果使用的伪基站属于笔记本直接控制发射短信 的天线外置型,一般会在电脑旁边放置一把钉 锤,一旦被发现即锁紧车门用钉锤将笔记本电脑 硬盘打碎,使查获伪基站后无内容数据、数量数 据可提取;如果使用的伪基站属于手机遥控发射 短信并带遥控自毁、清空内存数据型,一旦被发 现即用遥控器清空内存数据,也使得查获伪基站 后无内容数据、数量数据可提取。二是伪装成银 行、通讯运营商官方网站的钓鱼网站一般都租用 的是境外的服务器,多以美国、港、台为主,难 以开展调查。三是能够调查从境内访问境外IP 历史数据的信息系统是公安部建设的,一般州市 县区公安机关都没有查询的账号和权限,而有账 号权限的则因为需要面对的市县太多太广根本忙 不过来。四是涉及即时通讯的电子证据必须想方 设法直接从受骗人和犯罪嫌疑人使用的通讯工具 一75— 苏祚芳,任韬:当前公安机关打击电信网络诈骗犯罪难题及对策 上提取,很难从腾讯等企业获取证据或是从侦查 手段获取转化为证据。五是受骗人从钓鱼网站上 下载的手机“木马”,县市公安机关一般没有分 析破解的能力,如果是加过“壳”的手机“木 马”连省级公安机关和通讯运营商也难分析破 解。找专业机构检验鉴定单个“木马”开价均 在2到3万元,费用高昂。 (三)“抓捕难” 一是前端发信的“信使”如果采用移动式 发送信息均会驾驶机动车辆,现场围堵风险极 大,一旦“信使”情绪失控玩命逃窜,处置不 当会造成民警和现场周围群众受到伤害。如果采 用固定式发送信息,则往往“人机分离”,他们 会租用相邻的两个宾馆,在一个宾馆中放置伪基 站和一个3G摄像头,而在另一个宾馆通过3G 摄像头观察是否有人进入放置伪基站的房间,一 旦发现有人进入房间检查伪基站,立即选择放弃 伪基站和摄像头逃跑。又或者是租一问出租房, 将伪基站藏匿其中,人员进入房中即关闭伪基 站,人员离开前再打开伪基站。更有甚者用假身 份租赁出租房,将伪基站藏匿其中,在交通高峰 时段远程遥控开启或自动开启,其余时间遥控关 闭或自动关闭。这些操作模式使得公安机关难以 实施抓捕。二是后台操控与前端发信的“信使” 不在同一省区内,甚至就在境外,基层公安机关 只能依靠公安部联络境外执法机构实施抓捕。三 是团伙成员通过网上纠合互相不认识,实施抓捕 要跨地域作战,完全依靠各省市公安机关的密切 协作配合,缺少省部级公安机关的协调指挥难以 实现。 (四)“深挖难” 电信网络诈骗一般都会涉及到银行卡黑卡、 电话卡黑卡、VOIP电话、非法获取公民个人 (金融)信息等违法犯罪问题,然而一旦深究这 些问题,就会发现它与金融、通讯等行业监管不 严、实名制不落实、甚至于为了赚钱与诈骗分子 相互勾结等情况密切相关。让金融、通讯行业切 实履责、加强监管直至查处相关责任人困难重 重,有的企业明知有问题有风险的业务,为了赚 钱对问题睁一只眼闭一只眼,把业务外包给社会 渠道,也不采取有效措施加强监管,一旦出事就 一76一 采取罚款、取消业务资格等处理方式逃避责任, 使得最基本的实名制要求都不能达到。 三、公安机关应对电信网络新型诈骗 犯罪的侦防对策 面对当前电信网络诈骗犯罪所呈现出的新特 点,我们应当确立政府引导、警企合作的原则, 以“五个结合”的落实为抓手,切实提升公安 机关打击治理电信网络新型诈骗犯罪的能力和 水平。 (一)打击与管理结合,重在管理,提高通 讯安全 以往公安机关应对电信网络诈骗主要是以打 为主,以刑侦部门为主力军不断加强打击力度, 发现一起打击一起,而公安机关在信息安全、网 络安全方面的管理职能并没有充分发挥作用。公 安机关的网安部门负责辖区电子政务和涉密以外 信息系统的等保监督、指导和检查工作,他们可 以借助设立在其内部的“政府信息安全等级保 护工作办公室”的工作职能,以及《刑法修正 案(九)》新增的针对“网络服务提供者不履行 法律、行政法规规定的信息网络安全管理义务, 经监管部门通知采取改正措施而拒绝执行的” 相关规定情形,可以以拒不履行网络安全管理安 全义务案查处等有利因素和条件,主动作为。不 断加大监督、引导通讯营运商加强自身网络安 全、信息安全建设的力度,直至营运商以安全通 讯作为主要产品和服务来进行市场竞争,通过营 运商在通讯局端加强安全防护来逐步解决通讯用 户个体存在的安全问题,从而使以往通过提高个 体通讯安全存在的点多面广、费用庞大,个体经 济能力、文化水平、安全意识等参差不齐难以规 范统一等难以解决的问题得到解决,使安全措施 难以推动落实的被动局面得到扭转。同时还要借 鉴2015年《工业和信息化部、公安部、工商总 局联合印发电话“黑卡”治理专项行动》的经 验和成果,及时向通讯管理局通报并要求关停工 作中发现的电话“黑卡”,继续督促通讯营运商 不断加强实名制的落实,在实名制开卡上要做到 人证同一,对已实名制开卡的要通过技术分析发 现不实名的“黑卡”及时停止通讯。通过打击 苏科;芳,任韬:当前公安机关打击电信网络诈骗犯罪难题及对策 与管理两手抓,来提高通讯安全。 (二)发现与预防结合,预防为主,提高安 防措施 公安机关发现电信网络诈骗大体是通过受骗 人报案、通讯运营商报案和群众举报三种方式, 如果受骗人、运营商不及时报案,群众没有举 报,公安机关很难发现电信网络诈骗活动。目前 采取的预防措施主要以典型案例的宣传教育为 主,近期依托“电信诈骗案件侦办平台”实现 对全国电信诈骗涉案账户的快速接警止付,这些 预防措施存在普及率不高、覆盖面不广、时效性 不强等问题。能否通过政府出面下文,公安机关 牵头,通讯运营商参与,开发一款“110”手机 App软件,免费供群众下载安装使用,首先用来 反诈骗,以后再不断丰富完善更多的服务功能。 这个App软件应包含以下七个功能: 1.能汇集全国各地诈骗电话形成电话黑名 单,对黑名单电话进行预警提示或是拦截阻断。 2.能对非本地发起,特别是通过网络发起 或是从境外发起的座机电话号码进行预警提示或 是拦截阻断。 3.能汇集发现的钓鱼网站链接地址形成地 址库,对登录地址库内地址的手机进行预警提示 或是拦截阻断。 4.能上传有疑惑的电话号码和短信给110 指挥中心或反电信网络诈骗中心,由中心的工作 人员和技术人员验证分析号码和短信的真实性并 将结果回传。若属于诈骗电话和短信,不仅提醒 上传人,还能将号码加入电话黑名单;短信中若 含有钓鱼网站链接的除提醒上传人,还能将钓鱼 网站链接地址加地址库。 5.能对接到一个电话后,接着拨打114查 号台的手机进行预警提示。 6.能对输人身份证号、银行卡号的操作进 行预警提示等等。 7.能发现手机中含有钓鱼网站链接地址的 短信并预警提示和复制上报。 这个App软件能使发现与预防一体化,主 动实施预防措施,增强预防的时效性和有效性, 最大程度地减少人民群众上当受骗。 (三)中心与基层相结合,关节打通,提高 工作效率 公安机关可以仿照上海做法,建立反电信网 络诈骗中心,开发运用平台,对电信诈骗进行统 一受理和打击。中心聚集公安、银监、通管和企 业的专员,对接到的报警进行银行止付、诈骗电 话号码封堵等紧急处理;对钓鱼网站、手机 “木马”、网银IP地址、电子邮箱、微信号、QQ 号进行分析追踪和研判;对没有接受预警提示, 有可能被骗的手机机主,按机主实名登记信息, 由中心通知其户口所在地派出所,与其和其家属 联系做说服工作,进一步防止被骗。基层派出所 要加大对反电信网络诈骗中心的宣传,通过多种 形式让辖区住户人人都知道有这个中心存在,以 及遇到诈骗该怎么处理等。基层派出所可以布建 派出所手机短信哨兵,即在派出所值班室、辖区 堵卡点、联户联防邻里守望的值班室布置专用工 程模式手机,专人负责值守,一旦接到诈骗短信 或垃圾短信就及时将短信内容和接收时间上报反 电信网络诈骗中心,由中心分析研判最终确定在 辖区范围内有多少个伪基站在活动,活动的轨 迹,并根据轨迹找出装载伪基站的车辆,指派侦 测车辆,指挥沿线驻所刑侦中队相互配合进行定 位和围堵;根据轨迹找出装载伪基站的地点,指 侦测车辆,指挥属地刑侦部门配合定位进行查 处;通过伴随分析找出活动轨迹相同的手机号 码,确定机主真实身份和落脚点,指挥属地刑侦 部门抓捕。中心与基层直连,高效打击电信网络 诈骗。 (四)刑侦与网安结合,信息贯通,提高打 击效能 公安机关刑侦部门是打击电信网络诈骗的主 力,刑侦部门接到群众报警在对诈骗涉案账户实 施快速止付后,通常会对涉案账户的资金流向, 电话号码进行调查,而涉及手机“木马”、钓鱼 网站、网银IP地址、电子邮箱、微信号、QQ号 很难进行分析追踪和研判。网安部门负责网络虚 拟社会管理,技术手段是从上往下建的,经批准 可以查询全市、全省、及至全国的网络信息。通 常会出现甲地网安部门在侦办甲地案件过程中发 现源头在乙地,或是乙地、及至全国有同样案件 发生,因甲地没人报案或是没有立案而没有案件 一77— 苏祠;芳,任韬:当前公安机关打击电信网络诈骗犯罪难题及对策 管辖权,全国各地案件系统又不能相互查询,也 不知道乙地或全国哪个地方已经立案有案件管辖 权,从而很难把发现的案件线索通报出去或是进 一步深追下去。如果刑侦和网安部门同时安排联 络员进入反电信网络诈骗中心,警种间互相配 合,汇总情况,由中心根据具体情况自行解决或 逐级上报到公安部,就能解决管辖和信息的问 题,提高公安机关的打击效能。 (五)技术与机制结合,技术引导,提高侦 防水平 公安机关要将技术措施和工作机制引入电信 网络诈骗从发现、预防到打击的全过程。公安机 关要和检察院、法院、通讯管理局、银监局、无 线电管理中心以及银行、通讯运营商、阿里和腾 讯等企业建立起协作机制,共同开展电信网络诈 骗的发现、预防和打击工作,以及时发现、预警 提示、拦截阻断、快速止付、精准定位、分析追 踪、证据标准、证据固定、制度落实、责任倒查 追究等十个环节形成完整的工作机制。要以技术 措施引领工作机制,将技术措施注入各个相应的 工作环节,开发和引入“110”手机App等十一 类信息系统和技术装备。 1.“llO”手机App:实现对诈骗电话和短 信的识别,预警提示和拦截阻断,对可疑号码和 链接地址上传分析,集发现和预防于一体,并可 为后续打击工作提供重要的证据,成为电信网络 诈骗的克星。 2.派出所手机短信哨兵:专门用来接收和 发现诈骗短信,并上传中心作为伪基站分析追踪 的重要依据。 3.高危人群信息库:将电信网络诈骗前科 人员和其同行、同住人员放人高危人群信息库进 行重点关注,一旦发现有人进入管辖区域及时通 知属地刑侦部门开展调查。 4.部网综国际口信息系统:(略、涉密)。 一78— 5.活动轨迹伴随分析系统:依据伪基站的 活动轨迹,找出与其轨迹重合的手机号码,将手 机实际持有人锁定为重点目标开展侦查。 6.图像识别系统:将图像识别系统架设在 拥有即时通讯工具的企业(如腾讯),利用“信 使”通常会将伪基站工作情况即发的什么信息, 发了多少条等拍照通过即时通讯工具上传给 “后台”的机会,通过图像比对找出潜在的“信 使”和“后台”,也为打击自毁型伪基站提供有 力证据,有针对性的开展打击。 7.视频识别追踪系统:将视频识别追踪系 统架设在平安城市视频监控系统平台上,依据伪 基站活动轨迹和时间点,通过分析追踪,找出运 载伪基站的车辆。 8.人证识别系统:在银行、通讯营运商柜 面和ATM机上安装人证识别系统,来办业务的 人和所持证件认定同一后才能办理业务,防止 “黑卡”的开出和“黑卡”的滥用。 9.银行信息系统黑匣子:在银行信息系统 里安装黑匣子,对所有查询操作进行纪录,一旦 有电信网络诈骗案件发生,对受骗人被转移资金 的所有银行卡查询纪录进行倒查,找出和诈骗分 子内外勾结提供银行卡信息的蛀虫。 lO.伪基站侦测定位设备:为刑侦部门购置 配备伪基站侦测定位设备,开展侦测定位培训, 解决无设备无技术员的问题。 11.电子干扰器:自毁型伪基站多采用汽 车、摩托车的防盗保警器来改装成遥控自毁装 置,可以配备使用相同频率的电子干扰器使其遥 控器失效,不能实现清空内存数据自动重启的功 能,使伪基站的内容数据和数量数据可以完整的 保存下来形成有力的证据。 以机制保障推进技术措施的综合运用,是形 成超强战斗力,提高侦防水平的杀手锏。 (编辑李新宝)
