腾讯安全专家:电信网络诈骗治理研究

2019-11-07 15:41:58 万方科技 7

  电信网络诈骗犯罪屡打不尽,犯罪数量依旧处于高位,严重影响公众的财产安全和互联网生态的清朗环境,甚至破坏社会秩序的和谐与稳定,危害性极大。

  文│ 腾讯公司安全管理部高级总监 李佳 腾讯网络安全与犯罪研究基地高级研究员 张娜

  中国已全面进入移动互联网时代,借助移动通信功能的高用户粘度,移动网络从“信息媒介”转换为“生活平台”,成为人们日常活动的第二空间。随着通讯和网络的发展、普及,电信网络诈骗日益成为威胁公众财产安全和社会稳定的一大公害。电信网络诈骗犯罪屡打不尽,犯罪数量依旧处于高位,严重影响公众的财产安全和互联网生态的清朗环境,甚至破坏社会秩序的和谐与稳定,危害性极大。

  一、电信网络诈骗七大特征

  与以往“简单结伙”“单兵作战”不同,近年来电信网络诈骗运作模式日趋专业化、公司化,犯罪手段日趋智能化,活动地域呈现跨境化,并逐渐形成恶意注册、引流、诈骗、洗钱等上下游环节勾连配合的完整链条,各环节精细分工、专业运作、技术应用迭代升级,形成电信网络诈骗“新范式” 。进入2019 年,电信网络诈骗无论是在高发类型、目标人群还是诈骗套路方面都在不断发生新变化,呈现新趋势,并衍生出多种新类型新手法。这些新型电信网络诈骗,手段更加隐蔽,利益关联更加复杂,给电信网络诈骗的防范和治理带来了新的挑战。

  (一)交易型诈骗最为高发,纯获利类诈骗日渐淡出

  由于网络购物和网络支付的普及,网络购物和服务已成为一种生活方式,交易类诈骗占比遥遥领先,是最为高发的诈骗类型。诈骗行为人针对不同类型的网络购物人群和场景,衍生出更加多变的话术和手法,以致交易诈骗所占比例居高不下、连年攀升。

  同时,在网络购物、支付时,消费者日趋理性,面对 “免费送”这种“天上掉馅饼”的诈骗伎俩,警惕性明显提高,纯获利类诈骗随之大幅减少,并有淡出之势,这与长期不懈的宣传教育和针对性的专项治理密不可分。

  (二)90 后被骗概率高,中老年人被骗金额高

  根据用户举报数据显示,18-28 岁之间的被害人所占比例高达54%。90 后是网络用户的主力军,同时也因社会经历有限,对电信网络诈骗防范意识不足,而成为被骗概率最高的群体。

  在举报统计当中,45 岁以上被害人的人均受骗金额约为7000 元,远远超过其他年龄段人群。随着年龄的不断增长,中老年人对养生保健和拓展收入渠道需求明显,加之触网时间相对较短、相关专业知识不足等原因,在遭遇关于金融投资、养生保健、网络技术等方面的诈骗时容易被诈骗分子利用和控制,投入大笔资金,劝导难度也较大。

  需要注意的是,随着网民触网的日益低龄化,未成年人受骗现象也不容忽视,需要引起更多关注和保护。

  (三)广撒网骗财骗信息,全面榨取被害人价值

  现阶段,“随机诈骗”与“精准诈骗”相互交织,成为电信网络诈骗手法的新趋势。诈骗行为人常以用户注册、商品邮寄及提供服务需要为借口,要求被害人填写姓名、身份证号、手机号码、家庭住址等信息,在骗取被害人金钱的同时,设法获得公民个人信息,为再次实施精准诈骗提供“弹药”。

  (四)“杀猪盘”兴起,多种黑产相互勾连

  近期,电信网络诈骗开始与赌博黑产相互勾连。新近出现的“杀猪盘”是一种东南亚博彩骗局,诈骗行为人以交友为名义博得被害人的好感和信任后,以各种方式诱骗被害人进入赌博平台或虚假的投资平台投入资金,骗取钱财。近期被骗金额巨大的交友诈骗案件,多是采用该种手法。

  (五)群聊群控做迷局,新型技术成诈骗工具

  人工智能因其相比人力更加稳定、高效、成本低廉,也开始被诈骗行为人用作实施犯罪、破坏网络秩序的工具。诈骗行为人在诈骗实施过程中利用人工智能制作自动化程序、设备,用于群聊群控场景。同时在诈骗上游犯罪中,黑产分子利用人工智能技术破坏网络平台安全策略,为网络黑恶源头犯罪提供重要技术支撑。

  (六)跨平台诈骗日益增加,多平台成引流入口

  互联网的普及带动了各类平台的出现和发展。通过对社交场景下诈骗行为的分析,发现相当一部分诈骗行为源自多平台、跨平台的引流。诈骗行为人利用多平台运作场景丰富、触达面广、传播速度快的特点,精心设计场景,将被害人诱骗至其他平台进一步实施诈骗。其中二手交易平台、婚恋招聘网站、短视频平台出现诈骗引流较为突出。

  (七)转发分享需谨慎,裂变式传播害己害人

  随着互联网的广泛覆盖,网络裂变传播开始被诈骗行为人利用,通过“免费送”、低价利诱等手段,诱骗被害人转发分享带有诈骗链接或二维码的海报、宣传稿等内容,使大量用户在短时间内上当受骗。这种裂变式传播利用熟人关系的特性和从众心理,降低了被害人的警惕意识,无形中为诈骗行为作了掩护,得手率更高。而参与其中的用户,不但是电信网络诈骗的被害人,也间接帮助诈骗行为人“扩大战果”,影响十分恶劣。

  二、电信网络诈骗打击治理的难点和原因分析

  一直以来,公安、司法机关对电信网络诈骗保持高压打击态势,各网络平台亦不断完善安全策略,电信网络诈骗蔓延之势有所遏制。但现阶段,作为网络空间治理的顽疾,对电信网络诈骗的打击治理仍存在诸多难点。

  (一)上游、源头黑产输送海量账号和精准信息

  电信网络诈骗的迅速蔓延和高效敛财,离不开“海量账号”和“精准信息”这两大手段,与此相关的上游源头犯罪尤为重要。但现阶段,对上游黑产的刑事规制困难重重,使得其依然能够源源不断地为电信网络诈骗输送“弹药”,严重威胁整个互联网生态安全。

  1. 互联网恶意账号是电信网络诈骗的源头

  恶意注册养号黑产为电信网络诈骗源源不断地供应各类账号资源,用于为诈骗行为人提供网络身份并隐藏真实身份,以增加平台溯源难度、逃避法律追究。为保持账号的正常存续和使用,养号群体会模拟真实账号使用场景,将账号加入更多好友、群组,定期更新日志,绑定真实身份,开通支付等功能,甚至开设网店,以此提升账号价值。这些账号营造出一种真实、连贯的工作场景和生活场景,使诈骗场景更加立体化、生态化,让被害人更容易放松警惕。

  2. 公民个人信息泄露情况依旧严峻

  除了为恶意注册及养号环节提供身份绑定信息,公民个人信息也是“精准诈骗”得以实现的关键因素。当公众对电信网络诈骗的既有观念还停留在“广撒网”的方式时,精准诈骗因其针对性强,更易突破公众的心理防线,为诈骗实施起到了推波助澜的作用。现阶段,黑产团伙通过多种方式获取公民个人信息,包括在有漏洞的目标网站服务器中建立“后门(webshell)”以拖取存储数据,通过交易、互换等方式批量获取,公开渠道抓取,甚至利用少量金钱报酬诱导个人出卖自己的身份信息。除此之外,亦存在部分公民自愿提供个人信息甚至身份资料的情况。

  3. 黑灰产源头平台工具泛滥

  用于电信网络诈骗的账号,在注册及养号过程中,需要对抗和突破互联网安全保护措施,也需要进行批量自动化操作,各类黑灰产平台工具因此应运而生,如 “秒拨”动态IP 服务平台、接码平台、打码平台、辅助验证平台等,他们服务于源头犯罪的各个环节,日益泛滥。

  (二)高科技手段的应用助推电信网络诈骗高效运转

  一方面,高科技手段的应用帮助诈骗行为人大量获取数据、快速整理数据、智能分析数据。公民个人信息可能散乱存在于各个数据库或是存储介质中。基于大数据和人工智能技术,诈骗行为人通过扫描漏洞建立后门或制作恶意SDK 植入App,获取大量包含公民个人信息的数据,并利用计算机人工智能算法等技术手段,对杂乱无章的数据进行分类整理、智能挖掘与分析,最终实现对被害人的精准画像,定向设置不同的诈骗场景,提高诈骗成功率。

  另一方面,高科技手段的应用使得电信网络诈骗黑产实现从“一对一”到“一对多”的跨越。电信网络诈骗黑产链条高效运转的流程日趋批量化、自动化,目前已开始运用人工智能的技术和手段,制作自动化程序、工具,进行深度学习,实现自动化操作,几十人的犯罪团伙便可在短时间内给数以万计的被害人造成财产损失。群发群控设备、改号软件日益成为诈骗黑产的标配,利用GSM 劫持、嗅探技术进行盗刷、诈骗的案件也在各地陆续出现。

  最后,高科技的应用也为电信网络诈骗黑产上游犯罪行为对抗和突破互联网安全保护措施提供了支持。如前文所述打码平台,从早期人工识别和输入,到利用人工智能训练机器批量识别,再到近期除使用AI、OCR 等技术手段之外,已开始采取Hash 值匹配校验与人工打码相结合的稳定方式,大大提高了破解验证码策略准确率。

  (三)刑事打击落地困难重重

  针对电信网络诈骗持续高发的形势,公安、司法机关也积极深入研究,总结刑事打击面临的困难,具体如下:

  1. 犯罪成本低,回报率高

  诈骗行为人通过网络实施诈骗,依靠技术手段实现全自动、批量化运作,极大地节省了资金、人力和物力投入,特别是随着黑产链条分工的日益细化,每个犯罪节点只需集中投入特定的设备、程序、人员等即可实现自上游到下游诈骗实施的整个过程,而且随着技术的不断升级,成本会日益降低,一旦得手,将会获得巨额的收益。

  2. 被害人分散,打击成本高

  首先是被害人地域的分散。由于电信网络诈骗具有非接触性,基本不受时空限制,涉及地域范围广,被害人数众多,跨区域作案已成常态。多地报案,多地办理,极大地浪费了警力资源,也给案件侦破带来了很大的难度。

  其次是被害人受骗金额呈小额分散的特点。为了降低被害人警惕心,便于犯罪得手,诈骗行为人往往采用小额诱骗的方式,特别是在免费送、低价利诱等诈骗中,由于单笔金额较小,被害人会降低戒备,同时很多人会因损失可以承受而放弃报案。诈骗行为人为了规避刑事打击,将单笔诈骗金额控制在立案标准之下,导致单个案件无法立案,需多地或多个案件联动处理,使司法机关需要付出巨大的时间成本,也易错过案件侦破的最佳时机。

  3. 跨境作案,侦查取证难

  近年来我国打击电信网络诈骗的力度不断加大,多地联动打击逐渐增多,使境内实施电信网络诈骗成本和风险上升,大量诈骗行为人开始转移至境外,以逃避国内监管和打击。这些犯罪团伙通过网络直接实施或者遥控犯罪,增加了执法和司法工作的难度,如管辖与司法协作困难、取证与固定证据困难、境外抓捕的成本巨大等。

  4. 分工细化,法律适用难

  针对电信网络诈骗的具体实施行为,我国刑法及相关司法解释已有比较完善的法律适用体系,之所以屡打不尽,与上游犯罪打击不力不无关系。随着网络黑产分工日益细化,各个环节专业化运作,经层层交易,那些并非直接参与电信网络诈骗的行为和行为人,往往难以认定存在 “共谋”。亦难以作为诈骗犯罪的共犯处理,因此只能对其进行单独评价和规制。

  针对上游恶意注册养号黑产,现有的法律实践中,多以侵犯公民个人信息罪及提供侵入、非法控制计算机信息系统程序、工具罪进行处理,仅打击了侵害刑法所直接保护法益的犯罪,对于向下游电信网络诈骗恶意提供账号这个行为,因为证据原因,打击较少,从而给了黑产人员规避相关刑事责任的可能。

  针对公民自愿提供个人信息的行为,侵犯公民个人信息是刑法中侵犯人身权利、民主权利的犯罪,故而被害人的自愿将阻却犯罪成立,由此在被害人自愿提供身份信息被用于黑产的各个环节时,如何认定行为性质,尚需讨论。这些法律规制上的困难,客观上也影响了治理电信网络诈骗工作的总体效果。

  三、腾讯公司采取的相关举措以及成果

  面对日益严峻的网络诈骗威胁,腾讯守护者计划整合腾讯的黑灰产大数据优势和AI能力,推出智能反诈中枢,致力于从源头防止企业数据和个人隐私信息的泄露,并协助司法机关进行诈骗案件打击治理,帮助用户识诈、防诈,形成全方位的防护体系,保障公民的合法权益。

  首先,守护者智能反诈中枢通过对腾讯自有平台、警方及合作伙伴所提供的用户投诉、举报、异常信息等数据进行AI智能分析比对,筛查其中所包含的黑产、欺诈信息,再经由反诈骗专家进行最终的研判。

  分析出这些黑产、欺诈线索后,一方面,智能反诈中枢通过腾讯六大自研反诈系统:灵鲲大数据监管科技平台、鹰眼反电话诈骗系统、麒麟伪基站定位系统、宾果反诈骗防控系统、神鸮大数据市场监管平台、微信火眼反诈骗系统,联动司法机关,对诈骗团伙、链条进行打击治理。另一方面,智能反诈中枢通过腾讯110、微反诈小程序、守护者计划小程序、手机管家、电脑管家等终端,将诈骗手段和防范要点反馈给用户,对用户进行立体化提醒、教育,提升用户防范诈骗意识。

  同时,为了从源头防范企业数据和用户隐私泄露造成的诈骗风险,守护者智能反诈中枢联合腾讯安全,输出企业安全整体解决方案,保护企业数据资产,阻断黑灰产对于企业信息数据的窃取。

  例如,2018年5月4日,宾果反诈骗防控系统向浙江省反诈中心预警,居住在浙江金华地区的于某可能遭遇境外公检法电信诈骗。接到宾果系统的提示后,浙江省反诈中心致电于某进行了劝阻,于某当即对警方表示了感谢。然而,之后的两天,宾果系统连续报警,显示于某仍然与诈骗团伙持续联系,疑似被深度洗脑。接到推送后,警方一边电话劝阻于某,一边通过其家人持续做他的思想工作,直至警方前往于某家中,才让他完全认清骗局。

  这样案例,几乎每天都在发生。依靠守护者计划智能反诈中枢的能力,2019年上半年,腾讯守护者计划协助公安机关开展电信网络诈骗及上游黑产打击行动,协助各地公安机关共计破获案件26件,抓获人员1500余人,涉案金额近4亿元。

  未来,电信网络诈骗还将保持集团化、链条化、专业化的发展趋势,诈骗手段也会随着技术的发展不断迭代更新,跨境犯罪的遏制有赖于司法协作制度的完善和技术的进步,任重而道远,电信网络诈骗总体态势依旧严峻。

  为此,政府、司法机关、行业、公众应共同努力,共筑反电信网络诈骗坚固防线,守护他人、守护自己,将反诈骗工作进行到底。

  (本文刊登于《中国信息安全》杂志2019年第9期)

  声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。