北京市公安局网安总队 高 媛

以电信诈骗为例浅谈网络犯罪的治理和打击

北京市公安局网安总队 高 媛

近年来，我国电信网络诈骗案件呈持续高发态势，已引起全社会高度关注，此类违法犯罪犹如一颗毒瘤，严重影响人民群众财产安全，严重扰乱我国社会稳定和金融秩序。据统计，仅2015年全国公安机关电信诈骗案件共立案59万余起，同比上升32.5%，造成经济损失达222亿元，同比增加107%。与电信网络诈骗高发案数相比，目前此次案件破案率却不高，高发低破导致了电信网络诈骗“打不胜打，防不胜防”的局面，很多人会感到疑惑，犯罪分子到底是通过什么方法，什么技术手段，将事主骗的团团转，并能够快速将骗款转移呢？我们有什么好办法，能够减少网络诈骗的发生？通过什么途径，能够阻断骗款转移，减少损失呢？本文将从电信网络诈骗犯罪的技术手段、措施防范以及打击治理方面对刚才的问题进行一一解答。

1 什么是电信网络诈骗

电信网络诈骗是指犯罪分子通过智能通讯工具、互联网平台、公共通信网络方式，使用事件诱导，环境诱导，权威暗示等手段，对受害人实施远程、非接触式诈骗，诱使受害人给犯罪分子打款或转账，非法侵占他人财物的行为。

2 电信网络诈骗犯罪主要分类

目前，我国电信网络诈骗犯罪的类型繁多，可以从技术手段、实施方式、冒充身份、虚构事实类型、犯罪嫌疑人所在地等多个方面予以分类。例如，根据犯罪嫌疑人所在地，可以分为以下两类：

一类是犯罪嫌疑人在境外通过网络电话实施诈骗，主要由台湾人为骨干组织实施。犯罪团伙在东南亚、太平洋岛国甚至非洲、欧洲等地设立诈骗话务窝点，从大陆招募话务员，通过网络渠道与受害人取得联系，冒充大陆公检法部门工作人员，虚构事实，骗取受害人信任，实施诈骗。此类案件约占全部电信诈骗案件的20%，但经济损失却占总额的60%。

另一类是犯罪嫌疑人在境内自己生活居住的乡镇，通过电话、短信、网络对全国实施诈骗。此类诈骗呈现出明显的地域特征，如：河北省丰宁县的冒充黑社会诈骗、福建省龙岩市新罗区的网络购物诈骗、江西省余干县的重金求子诈骗、湖南省双峰县的PS图片诈骗、广东省茂名市电白区的假冒熟人和领导诈骗、广西壮族自治区宾阳县的假冒QQ好友诈骗、海南省儋州市的机票改签诈骗等。此类案件约占全部电信诈骗案件的80%，经济损失占总额的40%。

3 电信网络诈骗犯罪的典型技术手段

目前，我国电信网络诈骗犯罪手段层出不穷，攻击者主要利用的技术手段有以下七种：伪基站、木马病毒、改号软件、钓鱼网站、诈骗WiFi、“猫池”和“黑盒”。其中，伪基站作为网络诈骗和非法营销的重要技术工具，利用其发送的恶意诈骗短信使个人和企业财产遭受重大损失，全社会对其深恶痛绝。本部分即以此类诈骗为主要研究对象，对其技术要点进行分析。

3.1 利用伪基站发送恶意短信诈骗流程此类诈骗的主要实施步骤如图1所示：

图1 利用伪基站发送恶意短信诈骗流程图

首先，攻击者通过伪基站伪装成通信运营商、银行等专用服务号码发送钓鱼诈骗短信。短信内容通常带有短链接或者仿冒网址，诱骗受害者打开钓鱼网站链接，然后用各种手段诱使受害者填写个人信息。攻击者会诱导受害者下载安装木马程序，木马程序会以发送短信的方式将窃取的受害者各种信息发送出去。最终，攻击者利用所获得的信息窃取受害者的金融资产。更有甚者，攻击者会通过盗取受害人通讯录，向其联系人发送恶意短信继续传播木马，使攻击范围迅速扩大，因此具有极大的危害性。

3.2 关键技术要点分析

此类诈骗主要涉及以下关键技术：

3.2.1伪基站技术

伪基站技术是指通过伪基站设备替代移动网络中的工作基站，用短信群发器、短信发信机等相关设备搜索以其为中心的、一定半径范围内的在线手机卡信息，通过伪装成运营商的基站，冒充合法号码强行向用户手机发送诈骗、广告推销等短信息。伪基站通常会伪装成下列类型的短信息：

（1）三大通信运营商服务短信；（2）各银行的服务短信；（3）交通违章通知短信；（4）各类“学信通”短信。

在巨大利益的驱使下，越来越多的诈骗短信、广告推销短信利用伪基站发送，已经形成一条生产、销售、使用的黑色产业链。

图2 伪基站背后利益链

当前，我国三大通信运营商正在积极推广使用4G网络，并加大了对移动SP、群发短信接口的管理力度，但国内使用GSM等2G协议的用户群体数量仍然庞大，在相当长的时间内，2G手机不会完全退出市场，因此以伪基站为信道、以手机短信为载体的诈骗威胁将持续存在。

3.2.2短信拦截木马技术

伴随着互联网金融和移动支付的兴起，短信拦截木马也应运而生。移动支付虽然满足了用户对便利性和快捷性的需求，但在支付过程中，一般需要用户提供本人银行卡卡号、身份证号码、电话号码等重要身份信息，并且为了安全支付，通常引入了一个关键认证手段——短信验证码。而犯罪嫌疑人正是利用短信拦截木马非法窃取用户手机上的短信验证码，并结合其他攻击方式窃取用户资产信息，最终达到窃取用户金融资产的目的。

2015年，短信拦截木马攻击事件数量呈明显增长态势，其背后也形成了一条完整的黑色产业链。短信拦截木马黑色产业链主要由以下四部分组成：

图3 短信拦截木马黑色产业链

（1）开发售卖：主要负责开发出售木马免杀、钓鱼网站和伪基站；

（2）木马分发：主要负责钓鱼短信、网站挂马、二维码传播；

（3）窃取售卖：主要负责在拦截木马植入成功后，截取用户短信，从中获取银行、支付宝、游戏点卡、通信运营商话费充值卡、Q币等信息，用于非法交易；

（4）洗钱：主要负责通过各种手段掩饰、隐瞒违法所得的来源和性质，使其在形式上合法化。

随着移动通信技术的发展和智能手机的普及，移动支付已成为越来越广泛的互联网应用。由于短信拦截木马功能简单、开发成本低，如果伪基站诈骗短信、钓鱼网站引诱用户安装木马等得不到有效抑制，那么在今后一段时间，拦截木马家族还会以爆发式速度增长。

4 电信网络犯罪的特点

（1）智能化程度高、手段复杂多变。电信网络诈骗犯罪的实施均通过通信业、金融业、网络的高技术性手段进行，犯罪团伙中的组织者和专业技术人员具有较高的智力水平。不论是群发软件、VOIP电话、任意显号软件、盗取受害人信息等都需要高科技支持。同时，诈骗手段呈现出多样化的发展态势，通过诈骗手段分析可以看出，以移动电话或者网络实施诈骗的形式多种多样，且作案手段日新月异，层出不穷。

（2）犯罪组织化、集团化程度高。近年来，从公安机关查获的电信网络诈骗案件和掌握的线索来看，由于电信网络诈骗活动“工序”复杂，不但需要高科技手段支撑，还需要专业训练的沟通人员、专门的取款人员甚至专门的服务人员，因此不可能有一个人或几个人来完成，诈骗犯罪正在经历从简单几个人的土法炮制诈骗向分工明确、组织健全的专业化、集团化发展。

（3）犯罪隐蔽性强，多为跨国作案。电信诈骗不同于普通诈骗，犯罪分子与受害人没有直接接触，而是依靠电信、网络等工具实施的非接触性诈骗，其犯罪的隐蔽性极强。随着我国打击力度的不断加大，跨国作案的特征表现的越来越明显，诸如通过境外设置服务器或直接在境外通过网络技术等方式实施诈骗活动。

5 加强合作，共同打击电信网络犯罪

针对当前电信网络诈骗犯罪的形势和特点，打击电信网络犯罪，必须坚持以打开路，坚持齐抓共管，坚持综合施策，坚持资源整合。坚持以打开路，整合公安内部力量，建跨省市跨区域协作机制。坚持齐抓共管，建立部际联席会议和国际合作打击机制。坚持综合施策，管理和技术手段统筹兼顾，相得益彰。坚持资源整合，强化警、企、民大联动。

5.1 管理层面

（1）深化共识，集中治理。近年来，电信网络诈骗犯罪已形成黑色产业链，发展迅猛、威胁巨大，产生的社会负面效应主要表现在三个方面：一是影响国家形象。诈骗电话、短信泛滥成灾，几乎无人能够幸免，包括旅居中国的外国人也深受其害，国家形象受到损害。二是吞噬社会诚信。诚信是构建良好社会秩序的基础，电信网络诈骗案件高发会造成人与人之间的信任危机，使人丧失安全感，不利于社会交往和发展。三是动摇社会稳定。电信网络诈骗成功意味着受害人的合法利益遭受损失，很多群众“养老钱”、“救命钱”被骗，倾家荡产、家破人亡；有的企业资金被骗，破产倒闭，引发群体性事件，对社会稳定构成极大的威胁。“认识到位，行动才会自觉，实践才有方向。”因此，国家政府和全社会必须深刻认识其危害，深刻认识当前此类犯罪形势的严峻性、复杂性，下大决心整合相关资源，政府、企业、社会组织、广大人民群众共同参与，集全社会力量综合打击治理。

（2）加强宣传教育，强化防范和威慑。宣传教育是减少电信网络诈骗案件发生的重要手段。一是要普及相关法律知识，通过让民众知法懂法，威慑和遏制犯罪行为。二是要面向全民强化个人信息安全防范意识。特别要针对老年人等易受骗群体，农村、偏远地区等信息化不发达地区开展此项工作，降低个人信息泄露概率，提高防诈骗能力。三是要宣传救济手段。使用通俗易懂、简单明了的语言，告知民众一旦遭遇诈骗应立即采取的自救措施，最大程度地减少财产损失。要充分利用网络、微博、微信和客户端等新媒体进行立体宣传，利用专题、专栏等方式集中宣传，着力提高广大群众对电信网络诈骗犯罪的知晓率、防骗意识和技能，形成全民反诈骗氛围。以“传说中的女网警”微博为例，微博上发出的、每一句警示语的背后，都有无数网民付出过钱与泪、甚至是带着血的教训；宣传的每一个破获案件的背后，也都是在告诫犯罪分子“天网恢恢疏而不漏”。

（3）继续发挥部际联席会议制度作用，形成联动机制。今年6月，公安部成功组织举办了中美打击网络犯罪及相关事项高级别联合对话；国务委员、中央政法委书记孟建柱参与了会见、公安部部长郭声琨亲自会谈，取得了一系列对话成果。近期，涉外诈骗犯罪分子引渡回国受审的新闻也屡见不鲜。因此，充分利用国际、部际联席会议制度的优势，形成可以“落地”的、切实有效的联动机制。成员部门和单位各负其责，制度上，突破部门视野局限，不再孤立地从本部门、本系统角度出台政策，打破部门之间政策不衔接甚至是矛盾、冲突的现象，从全局角度进行顶层设计，使政策之间环环相扣，全国形成一个有机整体。行动上，针对此类案件采取非接触式手段、跨地跨境实施、存在黑色产业群等特点，一方面，要保持持续高压打击态势；另一方面，银行、电信等部门也必须发挥各自的职能优势，积极配合公安执法工作，严格行业管理，切实落实自身社会责任，堵塞监管漏洞，阻断拨打诈骗电话的线路渠道，阻断犯罪嫌疑人获取、转移、提取现金的渠道。充分利用部际联席会议制度将关口前移，坚持打击、整治、管理、防范、宣传、建设一起抓。组织、协调和推进跨部门跨地区打击治理工作，强化打击整治和源头防范；分析电信网络诈骗犯罪形势，协调解决工作中遇到的问题，推进健全完善相关法律，研究制定联动式打击治理措施；组织各有关部门总结交流工作经验及相关成果，加强宣传防范工作，提升各部门科技反制能力，努力实现“电信诈骗案件、群众损失明显下降，破案数、抓获违法犯罪嫌疑人数明显上升”的“两降两升”目标。

（4）建立公安机关跨省市跨区域协作机制，提高整体、精确打击效益。根据电信诈骗犯罪远程化作案规律特点，贯彻“合成警务”战略重要途径和任务之一，是应当尽快建立跨省市跨区域协作平台及其配套工作机制。一是改变为由犯罪主体“发源地”所属省市公安机关主办，属于被侵害“发案地”各省市公安机关协办，就近办案，发挥优势，主协配合，协同作战，提高办案效率效力。二是就侦查主体而言，建立相应规范标准，选择指定主办单位，确立主打优势，责成全面梳理侦破，对破获外省市外区域案件再行划分归属，统筹兼顾，突出优势，全面梳理，简约高效，提高打击犯罪警务效益。三是就侦查可资利用社会资源而言，进一步建立跨省市跨区域协作机制，共享地缘资源优势。

（5）扩大对外合作，提升合作能力。此类诈骗犯罪的犯罪窝点、部分证据、赃款最后转移地均位于境外，因此，应加大与东南亚、太平洋岛国以及非洲、欧洲等国家和地区的执法合作与司法协助。根据外交部网站的数据，截至2016年1月，诈骗犯罪团伙选择藏匿的马来西亚、肯尼亚、乌干达等国家尚未与我国签订刑事司法协助条约或引渡条约，仅仅依靠现有条约不能完全满足我国开展打击此类犯罪国际合作的需要。应开展多部门联动，进一步推动我国与电信诈骗团伙经常藏匿国签订刑事司法协助条约和引渡条约，对人员查找与引渡、调查取证、扣押冻结、赃款赃物移交等内容作出明确规定，为情报和线索交换、证据收集与移交、人员遣返与引渡、赃款认定和追回等提供保障。建立健全打击电信网络诈骗犯罪国际执法合作培训机制，进一步提高国际警务合作能力。通过培训，使民警了解、掌握相关国家执法程序、遣返程序、刑事诉讼程序、证据规则，了解该国关于电信网络诈骗的上、下游犯罪以及非法入境和居留等相关刑事、移民法律规定；在符合我国法律规定和办案需要的前提下，积极向犯罪团伙藏匿国、被遣返国（地区）提供我方掌握的相关犯罪证据，并了解该国（地区）警方出庭作证的相关规则，做好相关准备，使犯罪嫌疑人无论在当地还是被遣返地，都能依法受到惩处，并提高赃款追缴比例。

5.2 技术层面

习总书记提出：“要以技术对技术，以技术管技术，做到魔高一尺、道高一丈。”治理电信网络诈骗犯罪，不仅要从管理制度上来考虑，也要从技术层面来考虑如何有效遏制。加强政府、院校、科研机构、企业等技术优势，整合现有平台和共同实施打击技术，最大限度铲除此类犯罪滋生蔓延的土壤和条件，形成对电信网络诈骗犯罪的威慑力。

（1）整合多平台资源，形成打击合力。目前，国内存在四类反诈骗中心（平台），一是各地公安机关建立的反诈骗中心；二是公安机关与网络安全服务提供商联合成立的反诈骗联盟/平台，如北京市公安局网安总队和奇虎360发起的猎网联盟、网络安全反诈骗联盟、天下无贼—反信息诈骗联盟；三是行业反诈骗中心，如工信部12321网络不良与垃圾信息举报受理中心、银联卡反欺诈服务中心；四是企业自身的反诈骗中心，如腾讯公司针对本公司QQ、微信等业务设立的“110反诈骗中心”。利用好这些资源，形成信息“云”平台并充分利用大数据挖掘，促进各主体间的深度合作，共筑“反电信网络诈骗犯罪闭环”。

（2）多部门合作，强化关键技术打击。

在打击伪基站技术方面：一是发现伪基站技术。通信运营商应根据掌握的通信网络频率配置、站点位置和其他网络规划数据，利用运营商网络信令监测工具发现疑似伪基站，确定区域，实时更新其位置信息，并采用现场排查工具配合精确定位，准确认定伪基站位置。二是伪基站取证技术。通信运营商一旦发现区域移动网络出现信号异常，经分析研判可能是“伪基站”犯罪时，应立即向公安机关和无线电管理部门报告，通过“伪基站”发射频率进行测向、定位，并通过运动跟踪和定点测控等技术对“伪基站”信号进行取证，固定相关证据以便举证。

在封堵钓鱼网站技术方面：一是积极发现和举报钓鱼网站。用户疑似接到钓鱼网站链接时，可通过中国互联网络信息中心官方网站查询真实域名，也可以通过登录工信部ICP/IP地址/域名信息备案管理系统，获得网站的真实信息，如发现钓鱼网站应及时向中国互联网违法和不良信息举报中心举报。二是提高钓鱼网站识别技术。国内主要浏览器产商应主动配合主管部门，加大钓鱼网站识别技术研发力度，帮助用户判断网站真实性，封堵和拦截钓鱼网站，并建立黑名单制度，将钓鱼网站列入黑名单数据库不予显示。三是配备必要的拦截设备。三大通信运营商、即时通讯工具和社交网络厂商应配置必要的路由器，可以发现并拦截网站页面中危险的HTML代码，并实现自我学习（如：极易混淆的字符）进行自动判断，以此拦截大多数钓鱼网站。

在打击网络黑产源头技术方面：一是建立网络黑产数据库。网络黑产组织严密，商业化成熟，同样拥有复杂精巧的产业链，每天在全球黑产网络中流转的交易额数以亿计，整体规模更难以估测。政府主管部门应尽快摸清网络黑产组织架构（特别是涉及电信网络诈骗犯罪的黑产），摸清黑客来源及联系方式、影响范围和从事行业等底数，建立网络黑产数据库。二是吸引黑客转型“红客”。习总书记提到：“互联网领域的人才，不少是怪才、奇才，往往不走一般套路，有很多奇思妙想。对待特殊人才要有特殊政策，不要求全责备，不要论资排辈，不要都用一把尺子衡量。要建立适应网信特点的人才评价机制，以实际能力为衡量标准，不唯学历，不唯论文，不唯资历，突出专业性、创新性、实用性”。目前，许多网络黑产黑客实际上是由于在社会中找不到合适位置，可能由于学历、资历、年龄等因素，无法得到社会的认可才从事黑客产业来维持生济。政府和企业应按照网络安全发展规律，建立人才吸引机制，将这些黑产黑客吸引到正常生活轨道上，成立“红色黑客”组织，对抗网络黑产，努力推动黑产源头黑客的转型。

（3）加强警企合作，利用大数据发现线索。当前，百度、阿里巴巴、腾迅、京东、360等互联网知名企业，掌握着全国绝大多数网民的数据信息，包括用户真实身份、网购信息、联系电话、家庭信息、搜索爱好、关注度排序、银行卡信息、好友和朋友圈情况等。政府主管部门应加强与这些互联网企业的合作，强强联合，打破政府和企业之间、企业和企业的藩篱，将公民身份信息数据库与企业用户信息数据库进行关联，以身份证号或电话号码为索引，利用大数据分析和智能反诈骗产品相结合，建立全场景防御体系，斩断电信网络诈骗中的最后链条。

最后引用习近平总书记的一句话“天下兼相爱则治，交相恶则乱。”网络空间治理事关每个国家的安全与发展，事关网络空间每个参与者的现实利益，事关全人类前途命运，营造安全、和平、和谐、开放的互联网，必须道义为先，合作共赢！