陈浩坤 王沛蓉 罗鹏辉 黄 峥 梁茗博

广东警官学院，广东 广州 510000

随着科技的不断发展，数据时代带来的不仅是挑战，更是机遇。一方面面对的是更隐蔽、更多样的诈骗方法，另一方面也预示着我们开始步入信息侦查新阶段。传统的侦查手段面对日新月异的电信网络诈骗手段不仅存在滞后性，而且效率低下，已不能满足当前公安机关对高发的电信网络诈骗犯罪的打击和预防的需要，因此必须寻求突破。而大数据分析恰恰成为此类犯罪的突破口，正因为电信网络诈骗依靠电信、网络等信息工具实施犯罪，所以我们只要在掌握数据流的情况下，根据数据流的信息进行推演，筛选出犯罪的相关信息，开展信息研判，即可将被动防守转化为主动出击的侦查模式，更有效地打击电信网络诈骗类犯罪。

一、大数据与反电信网络诈骗相结合的优势

（一）案件侦办成本降低，见效加快

由于新型电信网络诈骗自身的犯罪特点，公安机关对该类犯罪的打击往往投入大、成本高、见效慢，但只要根据不同类型的诈骗行为进行分类建模，利用公安内部、合作企业、外联网等数据进行特征性分析，从现实战场转向网络战场，不仅可以减少人力的浪费，还可以提高侦办的效率及精准度。

（二）集成作战，加强地域间的联系

电信网络诈骗往往涉及外地案件和上下游犯罪，公安机关需要不断去往外地协助侦办，费时又费力，若是国家建立统一的侦办平台，实现资源整合、数据共享，将全国数据统一在一处，不仅减少了程序上的流程，方便各地公安实时进行案件侦办，也加强了各地公安间的联系，提升了整体的打击效能。

（三）及时追赃止损，减少损失

电信网络诈骗案发后，诈骗集团会及时对资金进行转移和取现，在被害人意识到自己被骗之后资金早已不复存在了。但大数据的利用能提前发现异常交易及时进行风险预警、延迟结算等操作，给公安机关的止付工作争取了充足时间，甚至能及时追取赃款，减少受害者的损失。

（四）具有更好的前瞻性

大数据具有大量、高速、多样、价值、真实性五大特点，对海量信息进行数据分析，挖掘情报价值，能为案件侦破、警情预测提供十分重要的支持。

二、反电信网络诈骗中大数据的打防应用

（一）异常话单的检索

在电信诈骗的案件中，电信通话就是犯罪分子的主要作案工具，电诈团伙中的话务组根据上游团伙提供他人的个人信息，广撒网式地拨打电话，正因为诈骗分子拨号的随机性、特殊性，使其拨号呈现一定规律，我们只要掌握话单中符合一定规律的用户，即可筛选出疑似诈骗分子的通信号码。通过电信拨号，通话实施诈骗的行为人，他们的话单记录往往具有以下特点：

1．每天拨打次数＞N次、单位时间内通话次数＞P次。诈骗分子在拨打电话准备诈骗前，往往会广撒网式高频地拨打号码，导致其当天主叫号码的拨打数量以及单位时间内的通话次数远远大于普通用户的日平均值。

2．平均通话时长＜W秒、主动挂线率＜Q%。鉴于现在群众反诈骗意识加强，导致某种号码的接通率会低于普通用户的平均值，甚至是用户接通后发现其实是诈骗电话直接挂线，导致主叫号码被挂线率高以及平均通话时长低于一定时间。

3．在当天的13：00-14：00、23：00-24：00、0：00-1：00、1：00-2：00拨打次数＞S次。经研究表明，在当天的13：00-14：00、23：00-24：00、0：00-1：00、1：00-2：00此四个时间段内正常号码是极少进行呼出的，所以当在此四个时间段内某个号码的拨打次数大于某值时，便可怀疑是诈骗号码。

4．省外、国外号码拨打次数＞H次。诈骗分子往往会选择异地甚至外国作为窝点，所以导致外省甚至外国号码在当天拨打次数过多。

5．被多名用户主动标为骚扰号码或诈骗号码。

6．符合“无轨迹外地卡”。诈骗分子往往批量入手大量外地电话卡，但电话卡实际工作范围只在犯罪窝点一处，到本地前实际上是没有被使用过的，所以导致该电话卡轨迹活动几乎为零。

通过近三年本地话单数据，根据九大类特征划分出符合正常用户的平均值，结合本地实际用户情况将九类特征分别按风险等级赋予一定分值，当某号码赋值超过当初设置的风险阈值时，即可怀疑是诈骗号码并将其列入“黑名单号码”中。若有特殊号码符合以上特征则可以建立“业务白名单”进行规避。

在分析出“黑名单号码”后，结合手机通信安全软件（360、腾讯等）的客户信息，筛选出被用户主动标为骚扰或诈骗的号码，合并筛查出高危号码，关停该号码或者利用声学处理引擎进行关键字解析或者转入人工监听审核，对疑似正在进行诈骗行为的被呼叫用户进行短信、电话提醒。

图1

（二）高危社交软件号码的筛选

诈骗分子除了运用电话的联系方式进行诈骗外，还大量运用了如QQ、微信等社交软件。在运用社交软件进行诈骗的案件中，往往集团化、高新化、特定化特点突出，此类案件中的犯罪人不仅有着严密的层级关系（如操盘手、水房组、话务组、车卡组、取款组等）还会运用高新的科技手段（如PS技术、黑客技术）去提高诈骗的可信度和窃取公民信息，并且是点对点地诈骗其掌握特定信息的人，而不像电话诈骗广撒网的方式。面对在社交软件上实施诈骗的行为人，他们的社交号码往往具有以下特点：

1．社交号码具有特定规律。利用社交软件“钓鱼”的诈骗团伙往往为了便于内部上下级管理，进行诈骗的社交号码往往是特定符号连带着他们的工作号码（如TS0001、TS0002等），再从社交名字上仿冒身份，甚至为了增加可信度会将社交头像换成与该身份相关的图片或者在朋友圈等平台上发布虚假信息。

2．二级或三级联系人中有相同规律号码的好友。电信网络诈骗团伙内部层级分明，各岗位分工明确，故社交软件中的直接甚至间接联系人中多为诈骗分子的同伙，以便于诈骗分子之间的直接沟通从而实施诈骗行为，且均具备相同规律号码的第一特点。

3．社交号名字具有敏感词语（如××公安局、××法院等）、社交号头像有敏感图片。诈骗分子为了实施诈骗行为骗取被害人的信任，往往会用心包装自己的社交号，仿冒相关人员、将单位的名字作为自己社交号的昵称，或者将自己的头像信息改变为要仿冒的对象，以提高自己的可信度。比如，要冒充公安机关实施诈骗的诈骗分子，其社交号名称就会改为××公安局××大队××民警，然后其头像也会改为一名穿警服的人员或者其他与公安机关有关的图片。

4．社交号频繁发布敏感话务。诈骗分子除了从表面包装自己的社交号码，也会从社交号内部进行细致的包装。比如，在微信朋友圈等社交号平台上发布相关自己仿冒身份的信息，再如在与被害人交流时使用职业骗术，频繁谈及公检法、银行账户密码、汇款等敏感话务，最终达到增强自己可信度，让被害人陷入圈套的目的。

5．被多名用户拉黑、举报。随着人们反诈骗意识的提升，用户会主动拉黑、举报有问题的社交号，往往同时被多名用户拉黑、举报的社交号也就极有可能是诈骗分子所有。

根据上述五种特点，利用敏感词检测以及特征检测在社交软件平台数据库的社交号码中筛查出高危号码，并抽取该高危号码的聊天记录和平台个人信息进行证据保存，对该号码进行跟踪，排查好友等有联系的嫌疑人，串并案件、落地到人，甚至可以监管该号码，对正在实施的诈骗行为进行预警制止，并对号码作关停处理。

图2

（三）高危网站分析

诈骗分子在实施诈骗行为时，往往还会利用网络协助诈骗，通过包装过的网站信息让被害人对诈骗剧本信以为真，从而达到诈骗的目的。而诈骗分子创建网站的信息都会在网络遗留一定数据，每个网站都有唯一的IP地址，但每个域名又只能指向唯一的IP地址，所以我们可以利用whois数据库中对注册域名的详细信息（如域名所有人、域名注册商、域名注册日期和过期日期等）进行数据分析，因此在做好对比分析后，得出高危网站往往具有以下特点：

1．服务器位于境外。诈骗分子为了方便域名的注册，也为了逃避监管，会将注册域名的服务器设立在境外。

2．域名注册时间＜M。诈骗分子建立网站是为了实施诈骗，在实施多次诈骗后为逃避侦查往往会主动放弃该网站，或者监管部门发现关停了该网站，所以导致该域名注册的时间不长。

3．域名涉及敏感名称。诈骗分子为了伪装自己身份，会将域名修改为与自己诈骗内容剧本相关网站类似的名称，如支付宝网站、××公安局网站、淘宝网站的相似名称。

4．注册的电话或邮箱注册网站数＞N。诈骗分子为诈骗需要，会注册大量网站，甚至可以考虑是贩卖网站的上游灰色产业。

5．域名没有相关备案。网站备案是指向主管机关报告事由存案以备查考，是为了防止在网上从事非法的网站经营活动，如果网站没有相关备案的话，则很有可能存在违法经营行为。

依靠whois数据库及网络监管部门的数据，根据以上五大类特征按风险等级分别赋予一定分值，当赋值超过风险阈值时，即可怀疑其为高危网站。在确定高危网站后，进入该网站对其真实性作进一步考量，确定为嫌疑网站的，可以协助网络监管部门实施关停，甚至从域名注册的注册人信息倒查，以网到人，确定嫌疑人身份。

图3

（四）刷单类行为预警

刷单类诈骗中诈骗分子会先在各大平台发布刷单的兼职信息，联系到受害者后便会向其发布任务，在受害者完成任务之后诈骗分子便将本金和佣金一并转账给受害者，在前面几次这样的任务中，诈骗分子逐步取得受害者的信任，其间双方有多次资金往来，在完成一次或多次金额较大的往来后，双方再无资金往来，这时诈骗分子已经完成诈骗活动并消失。被害人在发现自己被骗前，在购物平台刷单往往具有一类特点：

1．在购物平台中一天内购买量＞M。刷单者往往抱有赚钱的心理，一天内会按“老板”要求刷足够多的单，导致一天内的购买量大于正常用户。

2．一周内连续购买商品天数＞X。刷单者不需要高级的业务能力，仅需在购物平台频繁正常购买特定商品即可，也直接导致了刷单者购物的持续性特点。

3．购买的商品无真实物流信息。鉴于刷单行为只是通过虚假购买行为进行，并不会产生真实的物流信息。

4．购买商品后，同个账户有资金转入，金额与所购商品相当。刷单者购买商品的本金，“老板”会在交易结束后返还给刷单者。

5．所购商品在单位时间内销售量暴增。鉴于刷单行为的产生，导致在特定时间内刷单者频繁购买特定商品，使该商品的销售量呈现出不正常式的爆炸增长。

依靠购物平台及支付平台数据，根据以上五大类特征按风险等级分别赋予一定分值，当赋值超过当初设置的风险阈值时，即可怀疑该用户是刷单者，在分析出疑似“刷单用户”后，对该用户发出违法刷单行为的警告以及防范诈骗提醒，甚至可以对该用户作关停账号处理。

图4

（五）高危人员的动态管控

电信网络诈骗作为团伙性犯罪，犯罪人员具有鲜明的人员特征，我们可以通过收集可疑人员的个人数据，对数据进行分析研判，确定高危人员，从而对高危人员进行动态跟踪及管控。

1．确定高危人员。利用大数据分析筛选，从有出入境记录的诈骗前科人员入手，分析其资产情况确定其是否为高危人员。

例：有诈骗前科的人员+有出入境记录的人员+在境外有暂住地的人员+16-40岁人员+资产往来与工作情况明显不符的人员（社保信息、银行账户流水）高危人员

2．扩线高危人员。对筛选出来的高危人员进行深挖扩线，从其人际交往、通信记录等数据中寻找同伙。

例：共同户籍地的人员+同住同行的人员+经常往来通信的人员+16-40岁人员扩线人员

3．分析可疑窝点。对高危人员以及扩线人员两线动态跟踪，寻找共同点，进行实地摸排。

（六）伪基站的源头打击

在伪基站诈骗犯罪中，伪基站开机工作时，在较短时间内会屏蔽特定区域内的运营商信号，并挟持区域内的手机连接到伪基站，向连接到伪基站的手机发送信息，其往往具有隐蔽性及流动性的特点，故若要打击此类犯罪，可选择从源头打击开始。

1．在淘宝等购物网站上，通过对伪基站设备中部件进行敏感词检测，以及对伪基站组成部件的较多数量、重复购买订单、收货地、收货人员进行监控跟踪，如伪基站中常用的工程机。

2．由快递、物流等途径运输的销售方法，通过对物流信息中的收寄地、收寄人员信息进行数据获取，获取源头及买方。

3．对嫌疑人进行联系人获取，通过对嫌疑人接触的卖家进行话单调取并分析，获取与伪基站设备生产销售有关的关系人。同时可将一定区域内的分析结果进行碰撞，从而获取共同联系人，扩线侦查。

（七）支付受理终端的安全管理

在电信网络诈骗中，诈骗分子往往会将赃款在各家银行或支付机构之间来回转移，试图摆脱公安机关的跟踪，但最终赃款的流向均是利用支付体系进行转移，即通过支付受理终端（包括ATM机、POS机、扫码设备等）将赃款转移或变现。因此安全的支付受理终端能为公安机关针对诈骗交易进行取证，甚至追溯到嫌疑人提供有力帮助。

1．加强支付终端安全管理监管力度 。中国人民银行发布的《关于强化银行卡受理终端安全管理的通知》《中国人民银行办公厅关于开展支付安全风险专项排查工作的通知》，不仅使终端厂商商品的生产、信息注册和交易报文等程序规范化，更是加强了支付受理终端在敏感信息的保护、标准化等方面的排查工作，保障了支付交易信息的完整性、真实性和可追溯性。

2．利用三大数据进行风险分析。利用制作厂商的终端设备唯一标识信息、机构在终端注册的记录、支付交易的报文信息三大信息建立数据统计，建立受理终端切机、套码、二清等分析模型，对异常交易及时采取调查核实、风险预警、延迟结算、拒绝服务等措施，从而达到预防、制止诈骗的目的。

三、大数据应用于反电诈工作需注意的问题

（一）数据收集的真实性

数据侦查依托的重点就是大数据，准确真实的数据是实施侦查策略的必要条件，也是后续行动成功与否的必要保障。首先，在向多方收集数据的过程中必须要保证数据的来源真实可靠；其次，要确保数据在传播、存储、使用过程中不被篡改，是完整真实的数据，避免产生分析判断错误的情况。

（二）数据收集的全面性

数据的单独存在并不能成为大数据，大数据是一个体量特别大、数据类别特别多的数据集，也只有在这样的数据集中才能做到对数据的深入分析和挖掘，所以要全面广泛收集与电信网络诈骗工作相关的数据，针对反诈工作中的不同类型和不同阶段全面收集数据信息。一方面要搜集公安内部数据，如嫌疑人的个人信息、前科信息、出入境信息、旅馆入住信息等；另一方面要搜集社会层面数据，如针对被测作用的话单数据、网络数据、QQ微信聊天通信信息等，最大限度整合公安内部与社会外部数据，为下一步的行动开展提供海量信息支持。

（三）数据收集的及时性

数据是动态变化的，而并非一成不变的，若采用历史数据极易产生数据分析延迟，从而延误战机，因此收集相关数据必须要及时有效，如在破获一起电诈案件后，要及时将相关信息录入数据库进行数据分析，为延伸案件查处上下游犯罪提供数据支撑。

（四）数据的共享性

电信网络诈骗犯罪日新月异，不断发展的科技也成为电诈分子的武器，单纯从公安机关内部实现数据共享是远远不够的，我们更需要金融、电信、网络运营商、高新企业等部门的协助。建议由公安部牵头，建立全国统一的反电诈数据库，各单位部门提供数据及技术支持，这有利于实现协作配合，更高效地打击犯罪团伙，以促进全国反电诈工作的开展。

（五）数据的保密性

反电诈工作需要收集和分析数据，涉及数据面广又多，这些数据中有一些会涉及公民隐私，也有一些会涉及正在侦办的案件，因此，在工作中一方面务必要注重对数据的保密，防止数据外泄。另一方面要加强对数据的管理监督，对数据查阅、使用的人员权限进行严格审批，防止违法违规的行为发生。

（六）数据队伍建设的重要性

大数据就好比一盘散落的沙子，那么数据库就如装载的器皿，我们最终的目的就是需要从众多的数据中分析筛选出有效数据服务工作，大数据平台建设就是其中的基础工作，只有建立高容量、高精度的大数据平台，才能使数据得以利用。除此之外，由于数据分析属于新兴技术，要想在侦查工作中充分发挥大数据的作用，就必须加强培养民警数据意识、提升其数据利用能力，争取建立一支专门数据化队伍，使其成为公安智慧工作的引领者。