殷仁杰

(中国人民公安大学,北京 100038)

近年来,第三方支付行业迅速发展,根据益普索最新发布的《2019年第一季度第三方移动支付用户研究报告》显示,中国的移动支付用户约为10.1亿,其中,财付通用户9.4亿,支付宝用户7.4亿,用户渗透率分别为89.2%和69.5%。然而,移动支付在给人们的生活带来极大便利的同时,也有着很多的安全风险。目前,短信验证码验证用户身份的技术被广泛应用于第三方支付和网银平台,而GSM通信无任何加密措施,随着“短信嗅探”技术的成熟和泛滥,利用“短信嗅探”技术实施犯罪的风险极大提高。加强对“短信嗅探”类侵财案件的研究,采取具有针对性的措施遏制此类犯罪蔓延,是当前公安机关亟待解决的新问题。

一、嗅探的技术原理及作案手法分析

(一)技术原理

短信嗅探设备由号码拦截设备(伪基站)和短信嗅探设备组成。这种犯罪手段主要是利用了电信基站和GSM(2G)通信的缺陷,以大功率的伪基站拦截、吸附手机号码,嗅探用户的短信内容。具体原理如下:

1.伪基站。伪基站又叫假基站,一般由主机和笔记本电脑组成,利用2G移动通信网络的缺陷,伪装成运营商的基站,冒用他人手机号码发送诈骗短信或木马链接实施犯罪。伪基站启动以后,会干扰和屏蔽一定范围内的运营商信号,吸附这一范围内的手机号加入伪基站,获取该地区的手机号码,劫持用户的正常手机通信。

2.短信嗅探。短信嗅探是指在不影响用户正常使用且不易被发现的情况下,利用特定的程序,拦截并且获取用户的短信内容。目前,用户在使用短信服务时均采用2G信号,移动、联通用户采用GSM制式,电信用户采用CDMA制式。CDMA为军转民网络,有多道加密措施,保密性较强,而GSM则是明文传输,没有任何的加密措施,所以其传输内容可以被嗅探到。不法分子还可以通过特殊设备强制干扰3G和4G信号,使得用户设备降为2G信号,以实施犯罪。嗅探设备包括硬件、软件两部分,常见的硬件为摩托罗拉C118手机、嗅探信道机、天线、笔记本电脑,软件则为经过修改的OsmocomBB软件。

(二)作案手法

1.寻找号码。不法分子通过携带的号码收集设备,主动搜寻附近的手机号码。这个设备由一个伪基站、一个手机和三个运营商拨号设备组成。该设备启动以后,会干扰附近正常的运营商通信,并且不断将附近2G网络下的手机吸附到该设备上。同时,与该设备相连的一部手机会自动代替被吸附的手机,这部手机会自动向不法分子控制的另一部手机拨打电话,这样就可以获取被害人的手机号码了。此外,不法分子还可以通过网络黑产交易的方式,直接购买公民个人信息,获取手机号码、身份证号码等敏感信息,实施进一步犯罪。

2.获取受害人其他信息。不法分子在获取受害人的手机号码以后,会通过各种方式获取受害人的身份证号码、银行卡号。比如通过手机号码和拦截到的短信在支付宝查询手机号码绑定的用户名和身份证信息,然后通过网银查询银行卡号。不法分子还会通过网络黑产链条,付费查询相关信息。

3.盗刷资金。不法分子在掌握了受害人的姓名、手机号码、身份证号、银行卡号以后,并且可以实时获取手机验证码,就可以进行资金盗刷了。不法分子通常会将受害人银行卡及第三方支付账户里的资金,转到其控制下的非实名制银行账户内。然后以被害人的信息在京东白条、借呗等小额借贷平台借款,或是绑定到途牛网、携程网、唯品会等购物平台进行消费。不法分子会将盗刷的资金通过博彩网站或比特币交易的方式进行洗钱。

二、短信嗅探技术实施网络侵财犯罪的特点

(一)作案过程隐蔽化

作案过程中,受害人的手机信号被劫持,不法分子假冒受害人的身份接入通信网络,进行信息窃取、资金盗取等操作。此类手法属于典型的“近距离贴靠式作案”,但又无须与受害人进行任何接触,且一般在深夜至凌晨作案,而且会向受害人的手机发送大量垃圾短信,以迷惑受害人。

(二)攻击手法工具化

目前,短信嗅探攻击技术已经工具化和自动化,不法分子可以通过网络学习攻击手法,购买攻击设备,此类攻击的风险骤然上升。该犯罪行为所运用的技术手段较为高深,但是由于产业链的成熟和规模化,相关设备的操作非常简单,不法分子经过简单的学习就可以实施犯罪活动。

(三)作案过程链条化

不法分子要想成功盗取被害人的资金,除了获取被害人的手机号码和短信验证码以外,还必须知道被害人的身份信息、银行卡号、支付平台账号。这一犯罪已经发展为一个分工明确、配合紧密的黑产链条。分析相关案例可以看出,这类犯罪嫌疑人一般为团伙作案,分工明确,各个环节都由专人操作,一般包括作案工具销售、拦截手机号码和短信验证码、获取受害人基本信息、操作手机实施盗刷、洗钱这几个环节。

(四)作案目标随机化

不法分子在作案时,并不会像其他犯罪一样事先对作案地点和作案目标进行事前筛选,而是流窜作案、随机选择作案目标。作案时,只要是和不法分子处于同一个基站范围内的用户,都有可能成为潜在的受害人。

(五)犯罪影响范围广

目前,手机号码+短信验证码的身份验证方式被广泛地应用于银行APP、支付平台、购物网站等各类APP的安全验证。因此,短信嗅探盗刷资金的技术一旦蔓延开来,被大规模的模仿,可能带来的安全风险和危害性难以估计,可能会从根本上导致以短信验证码安全保护方式的失效,造成大规模的公民财产损失,危害金融系统以及互联网的安全。此外,由于这一技术可以实现对用户短信内容的实时监听,如果将作案目标瞄准国家党政机关、科研单位,可能造成国家机密的窃密。

三、防范和打击短信嗅探技术实施网络侵财犯罪的难点

(一)网络服务运营商信息安全监管乏力

目前,网络黑灰产、电信诈骗等网络犯罪的猖獗与运营商在信息安全监管方面的不到位有很大的关系。以短信嗅探犯罪为例,在百度、搜狐、360等主流网站,以“短信嗅探”“C118嗅探”为关键词进行搜索,就会弹出大量出售、购买此类设备的信息,在淘宝等电商平台也有不少这样的信息,此外一些QQ群、论坛也有这样的信息,不少卖家甚至表示“包教包会”。

(二)作案设备成本低,犯罪门槛低

据了解,用于作案的短信嗅探设备总的成本价格不超过100元,即便是通过非法途径直接购买,售价也不过千元。而且,所有的设备都方便携带和伪装。同时,这一设备操作简单,易于学习,不法分子只需要通过简单的学习就可以熟练掌握操作方法。犯罪成本和门槛较低,是刺激犯罪嫌疑人作案的一大动力。

(三)2G用户群体庞大

据相关资料显示,我国移动用户总数约为14.44亿,2G、3G用户约为3.99亿,2G用户接近3亿。其中,大部分2G用户使用移动或联通号卡,数量庞大的2G用户群体为此类犯罪提供了潜在的受害者。不法分子利用“GSM”劫持+“短信嗅探”技术,可以轻松拦截、破译用户的短信内容,被用于资金盗刷、网络诈骗等犯罪。虽然嗅探犯罪一般针对于2G用户,但不法分子可以利用特殊设备使得3G、4G信号降至2G信号。

(四)案件发现难

短信嗅探犯罪的犯罪模式经过嫌疑人的周密设计,一般是夜间作案,利用嗅探设备冒用受害人的身份进行各种操作。而受害人在此过程中没有任何操作,难以及时发现异常,即便是事后发现自己的资金被盗,也因为对此类犯罪没有了解,也很难采取有效措施挽回自己的损失。公安机关在接到涉及这类犯罪的警情时,前期一般因为没有接触过此类案件,缺失必要的专业知识,往往难以准确判断案件的性质,很容易将这类案件作为一般的网络诈骗案件处理,从而浪费了侦查资源,延误了侦查破案的时机。

(五)调查取证难

此类案件中,犯罪嫌疑人利用网络通讯工具和网银技术进行非接触性的远程犯罪,在极短的时间内就可以完成犯罪。犯罪嫌疑人用来接收赃款的账户,均为冒用他人身份信息开设或者是从非法渠道购买的账户,导致定位、追查比较困难。犯罪嫌疑人大多使用虚拟手机号码或以他人身份信息办理的号码,难以通过技术手段进行定位、监听。同时,在此类犯罪中,电子证据是最重要的定案证据,但是由于其自身的专业性、易毁灭性、时效性等特征,造成证据的发现、固定、提取等方面有很大的困难。

(六)打击追赃难

相较于传统犯罪,此类犯罪根本没有现实的作案现场,也就不可能通过现场勘查提取到指纹、脚印等有价值的痕迹物证。此外,该犯罪中各嫌疑人之间通过网络进行犯意联络、犯罪谋划,并且可以在不同的地点同时实施犯罪,分工完成犯罪过程的各个环节。这些因素导致该类犯罪的抓捕审讯极为困难。犯罪嫌疑人利用专业设备实施犯罪,一旦作案得手,可迅速将相关设备破坏损毁,并且迅速通过博彩网站、地下钱庄转移赃款,嫌疑人本身也流窜至其他地方。因此,警方很难判断作案人身份以及藏匿地点,也很难通过银行追查资金流向,涉案赃款追缴极度困难。

(七)破案能力较低

公安机关内部的网络安全监管和侦查能力的发展极度不平衡,中西部地区与东部地区的专业基础设施建设和技术能力差距甚远,而公安机关内部的系统和能力建设也经常落后于网络犯罪的发展更新速度。同时,基层公安机关尤其是派出所,除了承担侦查破案任务,还承担着日常接处警、矛盾纠纷调解、场所管理、治安管控等任务,此外还有一些安保维稳等非警务活动。繁重的日常工作严重影响了基层侦查队伍建设,很难随着犯罪形势的变化同步学习、研究相关新型网络犯罪的犯罪手法和技术手段,提升打击效能。此外,由于此类犯罪嫌疑人一般分散于不同的地点,精细分工,调查取证、抓捕追脏需要耗费大量的警力、财力,警力不足、经费短缺也是影响及时破案的重要因素。

四、防范和打击短信嗅探技术实施网络侵财犯罪的建议

目前,利用GSM劫持+短信嗅探技术实施网络侵财犯罪的案件数量迅速攀升,已经成为近期网络犯罪的一个新动向,社会影响极为恶劣。如何预防及打击此类犯罪,遏制其蔓延,已成为当前公安机关必须解决的紧迫问题。

(一)公安机关侦查破案层面

1.从源头打击嗅探犯罪产业链。公安机关对嗅探犯罪的打击,除了要及时破获已发案件,还必须坚持源头治理的思想,深挖犯罪,及时打击为嗅探犯罪提供信息、技术及工具支持的上游犯罪,加强对违法犯罪信息的巡查力度,严厉打击制售伪基站及嗅探设备的行为,真正实现全链条打击。公安机关要加大经费投入,及时更新网侦技术设备,要加强对于嗅探犯罪技术手段和犯罪模式的研究。同时,公安机关要加强对于网络信息的巡查监控,督促网络服务运营商落实企业的监管责任,及时清理和过滤有害违法信息。

2.注重电子证据收集。此类犯罪中,嫌疑人的QQ、微信聊天记录很容易被篡改、销毁,难以作为证据使用。因此,直接反映犯罪过程、保存于作案工具上的电子证据就成了破案定罪的关键。公安机关要积极建设电子证据实验室,配齐相应的设备,规范电子证据的发现、提取、规定等流程,为证据收集提供好的基础条件。在证据提取过程中,侦查人员一定要确保伪基站、嗅探设备处于不断电状态,必要时可以采用外部接入提取,必须固定、保存嫌疑人发送短信内容的文档,从嫌疑人的手机中提取转账、消费记录,以完整的电子证据作为破案的利器。

3.加强专业人才队伍建设。当前,以短信嗅探技术实施的网络犯罪呈现出明显的专业化、智能化和职业化,犯罪手段不断翻新升级。而公安机关专业人才缺乏、侦查手段滞后则制约了侦查打击的效能,尤其是专业人才建设与实战需求存在很大差距。为此,各地公安机关应该适应形势变化,根据侦查队伍发展的实际需求,适当加大对计算机专业和网络安全专业人才的招录,并对其进行侦查专业知识和技能的培训,使其成为精通侦查办案和网络安全知识的复合型人才。同时,要从整体上加强对侦查队伍的网安技能培训,着力打造一支兼具网络安全技能和侦查能力的专业队伍。

4.强化多警种及区域警务合作。针对此类案件具有非接触性、跨地区流窜作案、犯罪手段技术含量高、破案难度大等特点,应该强化各警种及跨区域警务合作。一方面,在本辖区范围内,网安、技侦、情报、经侦等警种应该形成长效的合作机制,根据犯罪活动的特点和各自的职能作用,分工开展案件侦查工作,集中力量开展针对性打击,注重打团伙、打链条。另一方面,要加强与其他地区公安机关的合作,实现各地情报共享、数据共用,警力资源互相配合,形成整体打击合力。

5.完善与其他单位的对接协调机制。此类犯罪案件往往会涉及到电信运营商、银行、第三方支付平台、购物平台等企业,在侦查过程中尤其是证据调取方面需要其配合支持。因此,公安机关要积极建立和完善与相关单位的对接协调机制,加强警企合作,为侦查破案创造便利条件。同时,公安机关要加强与全国前沿网络安全企业、实验室及金融机构的科研合作,加强相关侦查预警技术的研发,为侦查防范工作注入科技之力。

(二)手机用户防范层面

不法分子想要成功作案,必须同时满足以下条件:(1)受害人的手机号码是中国联通或中国移动,采用GSM网络;(2)手机保持静止状态,这也是不法分子在后半夜作案的原因;(3)受害人的身份信息被泄露;(4)受害人的手机在嗅探设备的覆盖范围内;(5)有关APP、网站存在漏洞,可以被不法分子所利用。因此,我们只要了解此类犯罪的作案原理和条件,就可以采取有效的措施予以预防。我们在平时可以做好以下预防工作:

1.如无使用必要,睡前可以将手机关机或是调至飞行模式。这样手机信号就不能被劫持,不法分子也没有办法获取手机号码和短信验证码。

2.禁止手机连接GSM网络,开通VOLTE功能,并且设置手机只使用3G、4G网络。这样的话,手机通话和短信都不会使用2G网络,可以有效防范短信窃听。

3.尽量避免在绑定的银行卡里存入大额资金,关闭APP和网站的免密支付功能,降低每日最高消费额度,转账、支付时必须结合指纹、刷脸、u盾等验证方式。

4.如果看到银行或其他金融机构发来的不明短信,除了启动飞行模式或关机,还必须故意输错密码或挂失以冻结银行账户和支付账户。同时,一定要保留短信内容,及时报案。

5.平时一定要提高安全意识,定期对手机进行安全检测,安装可拦截不良信息、程序的安全软件,避免多个软件使用同一密码,定期修改密码。

(三)运营商和金融机构防范层面

1.优化安全验证技术。短信验证码进行身份识别虽然方便高效,但是存在非用户本人操作完成验证的漏洞,很容易被不法分子利用进行犯罪活动。鉴于这种情况,包括银行、移动支付平台、电商在内的企业,应该增加二次身份验证机制,推出更为严格可靠的验证手段。2018年,全国信息安全标准化技术委员会推出了《网络安全实践指南——应对截获短信验证码实施网络身份假冒攻击的技术指引》,提出了多种增强身份验证安全系数的建议。各网络服务提供商和金融机构应该严格落实这一规定,采用多种方法优化用户身份验证,在用户登录、密码修改、转账消费等环节,随机采用两种以上验证方式,包括用户主动发送短信、指纹人脸、支付口令、通话方式发送验证码等技术。

2.加快网络升级换代。不法分子利用短信嗅探技术实施犯罪,正是利用了2G网络下信息无加密保护措施的缺陷。为从根本上阻止相关犯罪,通信运营商应该加快网络基础设施的升级,将目前数量庞大的2G用户迁移至3G、4G网络。另外,运营商应该考虑逐步淘汰2G网络,促进4G、5G通信技术的推广,使得用户的通信在更安全的通道传输,从根上解决短信嗅探犯罪。