利用“手机短信木马”实施网络盗窃犯罪的特点及防控对策

黄志敏 熊纬辉

（建宁县公安局，福建三明354500）

【犯罪研究】

利用“手机短信木马”实施网络盗窃犯罪的特点及防控对策

黄志敏 熊纬辉

（建宁县公安局，福建三明354500）

“手机短信木马”类新型网络盗窃犯罪具有传播速度快、隐蔽性强、犯罪成本低、迷惑性强、团伙分工明确、打击难度大等特点，并已形成由买卖个人信息、制作植入木马病毒、盗刷、线下转移资金等组成的、职业化明显的黑色产业链。该新型网络盗窃犯罪一旦蔓延扩展，不仅会严重侵害公民的个人信息和财产安全，也将危及到移动支付产业的健康发展，社会危害性极大。分析研究“手机短信木马”类新型网络盗窃犯罪模式、作案手法及其特点，切实加强宣传防范和预警研判，构建专业侦查打击机制，完善移动支付相关法律法规，加强移动支付平台安全建设，是有效防控其滋生蔓延的应对之策。

手机短信木马；网络盗窃犯罪；犯罪特点；打防对策

智能手机的普及改变了人们的沟通、交流方式，特别是随着电子商务和手机上网的发展，手机移动支付因可以在任何时间、任何地点处理多种金融业务而受到越来越多的用户青睐。据统计，2015年手机网民总数为5.94亿，使用手机支付的用户数已达2.76亿。但是随着移动互联技术带来高效便捷的应用体验之际，日趋严重的手机病毒传播问题也接踵而来。根据2015年12月“360安全卫士”发布的《2015年上半年中国移动支付安全报告》显示：2015年上半年手机病毒出现爆发式增长，病毒软件新增数量达到127.31万个，环比增长240%。其中，手机短信木马病毒新增29762个，感染用户总数达到1145.5万，最高峰2015年6月平均每天6.8万名用户中毒。[1]

“这是我和你老公的开房视频”、“这是我们的聚餐照片，赶快去看哦”、“这是您小孩的成绩单”、“您的银行密码出现异常，请尽快修改密码”……这些看起来仿佛是亲友、老师、银行客服发来的短信背后隐藏的其实有可能就是手机木马病毒，只要手机用户点击链接，各种网银、支付宝、微信账号密码及短信验证码就很有可能被木马盗取，转发到不法分子手中，后果不堪设想。自2015年以来，不法人员利用“手机短信木马”实施网络盗窃犯罪开始滋生蔓延，这种新型网络盗窃犯罪与传统犯罪相比具有传播速度快、隐蔽性强、犯罪成本低、迷惑性强、团伙分工明确、打击难度大等特点，并已经形成由买卖个人信息、制作植入木马病毒、盗刷、线下转移资金等组成的、职业化明显的黑产业链。该新型网络盗窃犯罪一旦蔓延扩展，不仅会严重侵财公民的个人信息和财产安全，也将危及到移动支付产业的健康发展，社会危害性极大。加强对“手机短信木马”新型网络盗窃犯罪的对策研究，有效防控滋生蔓延，是当前公安机关必须面对的新课题。

一、“手机短信木马”新型网络盗窃犯罪的作案模式

（一）犯罪模式

该类新型犯罪主要是针对智能手机上开通的网银支付权限和第三方支付平台支付权限所实施的网络盗窃犯罪。主要流程：第一步，犯罪分子通过伪基站向周围的手机用户发送含有木马病毒程序链接的短信，诱使受害人点击；第二步，受害人点击短信中的链接后，手机自动从存储木马的网盘中下载安装，嫌疑人获取了受害人的手机隐私；第三步，嫌疑人控制受害人手机后台，向指定的手机号或者邮箱发送受害人手机中的短信和通讯录，并假冒受害人向受害人手机通讯录中的人员发送带有木马程序的短信，以达到迷惑受害人通讯录中人员的目的；第四步，截获动态验证码，嫌疑人通过木马病毒程序截持受害人手机支付验证码“金额消费”、“转账提示”短信后，将受害人网银账户和第三方支付平台中的资金通过网银在线、财付通、支付宝、快钱、QQ钱包等第三方支付平台将资金转移，或购买商品、理财投资、比特币等渠道进行销赃套现，达到盗窃资金的目的。如果手机号码还注册有微信、QQ，犯罪嫌疑人会冒充受害人使用微信、QQ向受害人亲友发送借钱信息，继续实施诈骗。[2]

（二）作案手法

2015年以来，利用手机短信木马实施盗窃网银资金类案件的发案率呈上升趋势。笔者根据此类案件的短信内容，归纳出以下10种作案手法：

1．冒充移动客服10086以积分兑换、感恩回馈、话费余额不足等方式种植木马。此类案件中，犯罪分子通过技术手段伪装成移动客服10086向不特定多数人发送短信，以通知客户积分兑换、感恩回馈、话费打折等方式，诱惑收信人点击木马网址。短信中所提供的链接地址多为含有10086或l（字母L的小写）0086等字段的地址，令收信人误以为是官网链接而进行点击。例如，“因您的积分没有兑换即将失效清零，请及时登陆移动商城×××××（代替链接地址，以下均同）下载安装客户端兑换288元现金礼包【中国移动】”。

2．冒充银行客服以积分兑换、电子密码器失效等方式种植木马。此类案件中，犯罪分子通过技术手段伪装成银行客服如：95588、95533等，向不特定多数人发送短信，以提醒客户积分兑换、电子密码器到期等方式，诱惑收信人点击木马网址。短信中所提供的链接地址大多系仿照银行官网地址申请，网址中含有ICBC、CCB等银行简称或者95588、95533等银行客服电话，令收信人误以为官网进行操作。例如：“建行喜讯通知：您使用我行账户积分已满10000分可兑换5%的现金，请登录手机网×××××兑换，逾期失效【建设银行】”。

3．冒充同学、好友、同事以聚会照片、整理的资料、帮忙查看合同等方式种植木马。此类案件中，犯罪分子往往以熟人之间日常聊天的语气，称“整理了同学聚会的照片”、“发点东西留念”、“推荐个很不错的网站”或者“帮忙审看一下合同/资料”等方式，诱惑收信人点击木马网址。部分案件中，由于犯罪分子通过非法渠道获取了手机机主的信息，会在短信称呼机主的名字，从而增加欺骗性。例如，“某某某，这是之前的聚会照弄好了，手机直接点击地址安装激活查看×××××”、“某某可能以后不会见面了，发些东西给你留念，点击×××××收取”。

4．以爆料、恐吓等方式种植木马。此类案件中，犯罪分子往往以威胁恐吓的语气，声称“你老公/老婆有外遇了”、“瞧你做的好事”或者“你朋友的手机中木马了，有照片”等，诱惑收信人点击木马网址链接。例如，“某某某我是某某某，你们在外面搞的事都发在网上去了，你自己看看，网址×××××”。

5．冒充学校或教师以学生查看成绩、平时表现等方式种植木马。此类案件中，犯罪分子冒充学校教师，以提供给学生家长查询孩子成绩、平时表现的网址的方式，诱惑收信人点击木马网址。个别案件还会利用特殊时间节点冒充高考、期末成绩查询网址进行诈骗。例如，“某某某家长，为了新学期提高孩子的成绩，请下载查看上学期各项表现×××××以促进学习”。

6．利用言语刺激收信人的方式种植木马。此类案件中，犯罪分子在通过非法渠道获取手机机主的信息后，声称与机主的老公/老婆真心相爱，有照片为证，诱惑收信人点击木马网址。例如，“×××，我是你老公女朋友，我爱上你老公了，我要和他结婚！这里有我和他的照片，不信你还是自己去看吧。地址×××××”。

7．利用诱惑彩信种植木马。此类案件中，犯罪分子往往发送一张图像较小或者比较有诱惑力的照片，手机持有人点击查看后会自动跳转至含有木马病毒的网址。

8．以购物返礼、降价促销等方式种植木马。此类案件中，犯罪分子通过假冒京东、淘宝等商家进行购物返礼、积分兑换或者谎称自己有某某物品，因资金周转等原因降价甩卖等方式，诱惑收信人点击木马网址。例如，“【京东】亲，忘记领取了吗？最后一次通知，点击×××××即可领取价值198元手表一块，邮资自理”。

9．以代办大额信用卡的方式种植木马。此类案件中，犯罪分子声称可以办理大额度信用卡，将木马链接伪装成信用卡申请协议等文件，诱骗收信人点击安装。

10．以通知交通违法的方式种植木马。此类案件中，犯罪分子以提醒收信人交通违法并提供违法照片链接的方式，诱惑收信人点击木马网址。

二、“手机短信木马”新型网络盗窃犯罪的特点和侦破难点

（一）传播速度快

一旦用户安装此木马程序，不仅自己的手机内金融信息以及短信验证码等会被犯罪分子窃取，该手机还会向通讯录里的联系人群发木马信息，造成更为严重的后果。

（二）隐蔽性强

该木马程序被成功安装以后，所有的信息收集、网银盗窃过程都在受害人不知情的情况下进行，作案手段极为隐蔽，容易造成巨额财产损失。

（三）团伙分工明确

主要涉及手机木马作者、手机木马销售、诈骗团伙、洗钱团伙4个部分，主要分工如下：

1．木马制作、销售团伙。技术门槛不高，导致该类从业人员多且分散，多为个人或小团伙。主要负责编写盗取信息所用的软件、网站等。这种木马一般价格是100元/天，500元/星期，并提供免杀服务，所出售的内容包含一个配套的钓鱼页面、钓鱼页面的管理后台、木马软件。

2．诈骗团伙。多聚集于海南、广西地区，团伙性不强，大多单独作案。主要通过即时通讯软件、短信等渠道传播购得的钓鱼链接和木马。得手后会通过各种手段销赃套现。没有洗钱经验的骗子则会选择洗钱团伙，或直接将数据出售，一般为400元/条。

3．洗钱团伙。这些人手里掌握着稳定的洗钱渠道，一般不向外透露。他们一般混迹于各个非法论坛和网站，发布洗钱广告，每次抽成30%-40%不等。目前比较常见的洗钱渠道有代充话费、代缴水电费、理财投资平台充值、点卡购买网站、比特币等。

（四）犯罪成本低

手机短信木马类犯罪一般只需要购买伪基站和木马病毒，在网络或论坛上的售价仅为1-3万元。不法分子利用伪基站漫天撒网，大面积传播带有病毒的短信，哪怕只有千分之一、万分之一的人上当受骗，也能给犯罪分子带来巨额“利润”。如此“低成本、高回报”，正是此类犯罪在全国迅速蔓延的主要原因。

（五）侦查打击难

犯罪嫌疑人一般都是团伙作案，采用远程的、非接触性的方式作案，分工较细，呈产业链式的发展，大大增加了破案难度和成本。此类案件作案者和资金流向两头都在外地，给侦破工作带来很大困难。并且，犯罪分子洗钱、洗卡途径多，利用通信、银行、电商衔接的薄弱环节，通过电子银行、快捷支付、电商等方式，实现快速套现，往往盗窃得手后数小时或1至2天完成洗钱过程，追赃挽损难度大。

三、防控“手机短信木马”新型网络盗窃犯罪的对策建议

目前涉及“手机短信木马”类网络犯罪的相关警情正在迅速攀升，由于其迷惑性大、影响面广、隐蔽性强、传播速度快、侦查打击难等特点，一旦蔓延扩展，社会危害性极大，同时也将危及到移动支付产业的健康发展。对此，应高度重视对“手机短信木马”的防控对策研究，加强预警防范，切实维护移动支付安全和社会和谐稳定。

（一）加强宣传防范和预警研判

1．加大宣传力度。公安机关应坚持预防在先原则，积极通过广播、电视、手机、网络以及警务“微博”、警务微信公众号等渠道，对“手机短信木马”类网络犯罪的典型案件开展多层面、多角度宣传，揭露不法分子作案手法和常用伎俩，开展手机用户安全意识教育，提高广大群众的识别力和抵御风险能力，增强自我防范意识，提高手机移动支付的安全性。

2．强化教育引导。教育引导广大手机用户尽量不要使用手机号码注册微信、微信钱包、支付宝、财付通等第三方网络交易平台；手机号码绑定的网上银行尽量不要存放大额资金，大额资金使用没有开通网上银行的银行卡存放，随用随存；对于陌生人或朋友发来的网站链接、短信、电子邮件，不要随意点击，应删除；在手机上安装手机卫士等杀毒软件，使用360、UC等正规手机浏览器上网，使用手机APP商店下载软件，经常查杀病毒，更新软件、系统漏洞、病毒库等；购买网上银行、第三方支付被盗刷保险（如支付宝账户安全险：保期一年，无限次赔付，最高可赔100万元），最大限度保障移动支付平台安全。

3．加强预警防范。手机用户如果怀疑可能已经被感染，应马上停止网络连接，与运营商联系，核对通信话单，检查短信记录和网络使用记录，发现来源不明的短信发送行为和网络访问请求，立即更改手机应用的账户密码等隐私信息，尤其是金融支付类、通信类相关的应用，以免造成进一步损失。同时告知通信录中的亲友，请勿轻信可能由本机号码发出各种虚假信息。如果造成经济损失，请保留通信话单、保持手机当前状态，向所属地区公安机关报案。

（二）构建专业侦查打击机制

1．建立源头治理机制。“伪基站”和手机短信木马主要是通过互联网论坛、相关黑网站发布销售信息并进行网上交易的，公安机关网安部门应当注意加强发现和清理整治互联网上关于制造、销售“伪基站”、手机木马的违法信息，关闭涉及销售“伪基站”、手机木马产品的违法网站；另一方面网安部门可以根据相关销售、交易“伪基站”、手机木马的信息循线追踪，向上发现生产制造、销售“伪基站”、手机木马的厂家和犯罪团伙，向下发现使用伪基站、手机木马的犯罪团伙，会同相关部门开展侦查和打击、取缔，从而从源头上切断违法犯罪分子网上购买“伪基站”设备、手机木马的途径，减少手机短信木马类犯罪行为的发生，净化移动支付运行环境。

2．建立网络侦控机制。公安机关作为打击网络违法犯罪的职能部门，必须担负起网络安全保卫的职责，加强与无线电管理委员会及移动、联通、电信公司的联动配合，建立快速发现、响应、处置联动机制，借助电信运营商的伪基站侦测与追踪系统或百度手机卫士、360安全卫士伪基站拦截平台，实时获取受影响用户的物理位置、时间等信息，排查载有伪基站设备嫌疑车辆或“背包客”的活动轨迹，适时跟踪和查处，有效打击伪基站现行犯罪。要从控制、追溯资金链入手，加强第三方网上支付平台、电商的监管和协作，依托大数据分析，查清诈骗嫌疑人的真实身份和所在区域。在此类案件侦查中，嫌疑人往往会故意使用伪装身份和轨迹进行购买伪基站和相互之间联系，误导公安机关侦查方向，但出于种种限制，诈骗嫌疑人在网上支付和交易时又不得不经常使用真实身份，公安机关通过研判其所使用的支付工具身份和日常交易数据及规律，有可能会找出诈骗分子真实的身份或活动轨迹，进而找到整个案件的突破口。

3．建立长效侦查机制。同网络犯罪的蔓延情势相比，我国的防治步伐明显滞后。因此要进一步创新网络案件侦查取证方式，加强与异地公安机关的协作配合，充分运用网上协作平台实施远程取证，努力降低破案成本。公安机关内部经侦、网安、技侦、治安等部门要协作配合，加大对网络犯罪案件的统计、分析、研判力度，综合运用情报串并、网监技术等多种科技手段，掌握犯罪活动的新特点，研究其活动规律，提出相应打击整治对策，力争破获一批此类案件，遏制手机短信木马类网络犯罪的高发态势。

4．建立联动执法机制。鉴于网络犯罪行为和手段的特殊性，要用足用好法律法规，加强公检法之间的部门沟通，协调解决好网络犯罪管辖难、取证难、鉴定难等打击犯罪的瓶颈问题，出台相关的办案指引，明确案件管辖、初查、移交等各个环节，指导公检法机关开展打击“手机短信木马”新型网络盗窃犯罪活动。

（三）健全移动支付法律法规

目前手机短信木马病毒种类较多，新病毒和恶意程序层出不穷，对手机安全软件的全面性提出了较高要求。但目前国内仍没有明确的关于移动支付安全的法律法规，对制造和传播手机病毒的单位、个人没有明确的惩罚规定。这需要国家尽快立法，保护公众移动支付安全。此外，手机移动支付行业涉及的当事方众多，包括消费者、商业机构、移动运营商、银行、支付平台运营商和认证中心等，当事人之间的法律关系复杂，再加上服务器、因特网、无线传输、管理软件等错综复杂的移动互联技术，一旦发生移动支付平台资金被盗案件，手机用户将难以进行维权。因此，必须出台相关法律法规，缕清移动支付各方当事人的法律关系，明确当事人的权利与义务，确实保障手机用户的合法权益，推进移动支付产业的健康发展。［3］

（四）加强移动支付平台安全建设

1．流程控制，完善技术性保护措施。首先，建议移动支付平台加强对客户信息安全的保护，对用户身份证、银行卡、手机号码等信息采取加密处理。其次，运营商应通过不断研发和创新密保手段对安全防护机制进行持续升级和完善，保证用户资金安全。

2．信息互通，加大网络监管力度。首先，相关职能部门要与移动支付平台建立互通机制，对支付安全性实行实时、动态监控，遇有异常应及时提醒或警示，必要时采取中断交易等保护性措施。对于被识别的手机短信木马病毒，及时通报并采取应对措施，避免扩大损失。其次，要切实加强对提供网络服务的单位和个人的监管，及时发现不法分子发布的病毒信息并将其拦截删除，从源头预防犯罪的发生。

3．联动协作，完善预警防控机制。整个移动支付的过程中涉及到的支付参与者众多，包括消费用户、商户用户、移动运营商、第三方服务提供商、银行、手机厂商、安全厂商等，面对移动支付安全问题和漏洞的不断爆出，移动支付安全已经不仅仅是一个金融机构、一个支付类厂商以及一个安全服务提供商能解决的问题。要建立健全由政府牵头，各相关职能部门和公安部门参与的风险监测、预警和管控工作机制，为支付平台的健康发展和用户的安全使用营造良好的社会环境。[4]

2015年12月16日，习近平总书记在世界互联网大会的开幕式上强调“网络安全和信息化对一个国家很多领域都是牵一发而动全身的，没有网络安全就没有国家安全，没有信息化就没有现代化”。因此，构建新的网络安全秩序已经迫在眉睫。在这样的态势下，仅靠普通群众的自我防范是远远不够的，我们需要从个人信息安全保护、针对网络犯罪等方面尽快健全法律，还需要建立起银行、电信、公安、网络等相关方的协作机制，进一步提升协作效率和力度，完善防范和打击网络犯罪的机制，更好地保护广大群众的财产安全。

[1]向阳.手机木马病毒进入高发期[N].科技日报,2015-12-15(010).

[2]王亦菲.手机木马截取验证码短信盗刷[N/OL].新晨日报,2015-05-29.

[3]温蕾.电子商务中的消费者安全权保护[J].中国流通经济,2016,(2):122.

[4]郎俊义,马晓楠.互联网金融消费者权益刑事保护研究[J].2016,(21):122.

［编辑：张钦］

D918

：A

：1672-6405（2016）02-0037-04

黄志敏（1963-），男，福建莆田人，福建省建宁县公安局党委书记、局长。熊纬辉（1986-），男，福建建宁人，福建省建宁县公安局指挥中心副主任。

2016-05-11