电信诈骗,谁该负责
从2003年开始到现在的13年间,电信诈骗的手段随着通讯习惯、金融支付手段的变化而改变。电信诈骗作为顽疾,一直没有得到有效根治,主要问题在于在这个生态体系中,从个人信息保护到实名制登记,再到执法者的决心,每一环都存在缺漏。
8月29日,南京邮电大学开学的第一天,宁静的校园从暑假中苏醒过来,随处可见“欢迎新同学”的横幅,但新生徐玉玉却永远不能去报到了。
就在开学前,因接到诈骗电话而被骗走9900元后,徐玉玉伤心欲绝,导致心脏骤停,不幸离世。此前,她以568分的高考成绩被南京邮电大学录取。
在山东临沂警方陆续公布涉案嫌疑人落网消息之外,电信诈骗再成舆论热点。
通常而言,电信诈骗是指犯罪分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给犯罪分子打款或转账的犯罪行为。
近年来,电信诈骗案数量居高不下。公安部数据显示,2011年、2012年、2013年全国通讯信息诈骗分别发案约10万起、17万起、30万起,年均增长70%以上。2014年全国电信诈骗发案达40余万起。
电信诈骗案高发的同时,诈骗金额也屡攀新高。公安部数据显示,2011年以来,每年因通讯信息诈骗导致的民众损失都达100余亿元,平均单笔金额超过5万元。
8月28日,警方宣布抓获了徐玉玉案的最后一名犯罪嫌疑人,至此六名犯罪嫌疑人全部落网。在案件破获的同时,个人数据信息买卖的黑色产业链也逐渐浮出水面。
162513874,这一串数字是2010年至2016年北京地区被法院确认的被泄露的公民个人信息数量。不考虑重复因素,平均每年就有2600多万条信息被泄露、买卖,这一数字比北京常住人口还多。
2013年至2016年,北京各法院共审理了涉及侵犯公民个人信息的案件67件(案发时间为2010年至2016年)。其中主要涉及两个罪名,一是非法出售、提供公民个人信息罪,二是非法获取公民个人信息罪。
67起案件中,最便宜的一条信息售价不到半分钱,最贵的一条信息卖到了5.7元。
67起案件中,涉及泄露信息量最少的案件为500条,最多的一起案件达到了惊人的1亿多条,这是北京法院公开判例中最多的一起。
北京众安天下负责人、知名白帽子杨蔚介绍,近年来针对考生的个人信息安全事件层出不穷。“这从侧面说明,教育系统已经成为黑客攻击的目标之一。”
曾有媒体记者做过调查,发现在网络上有大量出售、收购考生信息资料的QQ群。在一个名为“考试数据”的QQ群中,当记者询问群主是否出售考生资料时,对方很快答复:“去年研究生考试160万考生数据都有,4000元一个省。今年高考考生数据不多,要的话打包给你,5000元。”随即,对方发过来一张截图,上面有包括湖南、重庆、江苏在内的7省市数十万名考生的信息。
记者发现这个QQ群里几乎包含着围绕个人隐私信息的收购、出售、提供群发服务的整条灰色产业链。除了出售、收购个人信息者外,还有不少昵称为“短信中心”、“呼叫中心”的群内成员。一个名为“短信平台”的群成员在群内发布“大量发助考广告,联通、电信可以一起发,移动少量发送,需要发广告的朋友赶快联系。”
杨蔚讲述了这些泄露的数据是如何一步步汇入黑色产业链的。“这些信息非常有价值,有人买就有人卖。既然下游有人愿意花钱,那自然就会有黑客去攻击这些目标。黑客非法获取这些信息,拿到数据后就会有人接手。还有大量二道贩子在中间赚差价。”杨蔚说,这个链条上的人分工特别明确,而且都是“专业”级别的团队操作。“有些人会专门去联系相关的培训机构或诈骗团伙,从而把手上的数据卖到下游。而下游这些团队,有专人负责诈骗的话术编写培训、线上通过第三方支付平台洗钱、线下使用ATM机提款等。”
在分析徐玉玉受骗事件时,杨蔚称徐玉玉的个人信息一般有两种情况可能被诈骗集团掌握。一种是教育机构环节中某个人主动向外售卖,另一种则是黑客从系统中盗取了她的个人信息。不管是哪种方式,这条信息最终都被下游的诈骗团伙拿去利用了。
这些考生的个人信息在地下流通时能获取多大的利润呢?杨蔚表示,地下产业链里的数据跟市面上做代理一样,每个人拿的市场价格不一样,没有标准价。“一些未成年的黑客往往对金钱没有概念,最低几百元可能就会卖到中间商手中,然后有一些中间商会以几万元的价格卖到下游。有些职业的黑色产业团队,拿到一些信息可能会卖到几十万元甚至上百万元。”杨蔚说,有时这些信息也可能会按条算钱,例如一名考生信息定价为一分。
据中国互联网协会发布的《中国网民权益保护调查报告(2015)》显示,78.2%的网民个人身份信息被泄露过,63.4%的网民个人网上活动信息被泄露过,82.3%的网民亲身感受到个人信息泄露对日常生活造成的影响。
工信部的公开数据显示,截至2015年底,中国手机用户数已突破13亿,平均每百人就拥有95.5部手机。
梳理以往的电信诈骗案例不难发现,电信诈骗的手段包括冒充熟人借钱、冒充公检法办案人员、发送垃圾短信等数十种。
将诈骗短信通过伪基站发送到用户手机后实施诈骗是一种很常见的诈骗手段。当伪基站启动后,将屏蔽以其为中心、一定半径范围内的电信运营信号,利用用户手机搜索网络信号的时间差,将诈骗短信推送到这些手机上。
伪基站常冒充10086、95588、95533等通信运营商或银行客服的号码发送短信,一旦用户点开短信中的链接,就可能被虚假网站“钓鱼”,遭受经济损失。
猎豹移动安全工程师李铁军介绍,伪基站主要针对的是2G手机。2G手机在设计时存在缺陷,即手机在和基站之间通讯时,无需双向认证。在局部地区,当伪基站的信号超过真实基站的信号时,手机设备分不清真实基站和伪基站,哪个信号强就连哪个,这样手机通讯就被伪基站拦截了。
此外,网络电话也是电信诈骗的重灾区。网络电话又称IP电话,是在IP网上通过网络协议实时传送语音信息的应用,有一些语音电话直接可以拨打到固定的电话设备。
其中,使用改号软件是常见的诈骗手法之一。通过改号软件拨打电话,显示在对方手机上的号码可以任意修改,而通过搜索引擎和网络交易平台,能很容易找到售卖此类软件的链接,有的仅售两三百元,使得电信诈骗作案成本较低。
工信部数据显示,截至2016年4月30日,各方积极配合打击防范改号软件诈骗行为,累计屏蔽搜索结果超过1亿条、删除下载和链接信息23392条。此外,中国互联网协会12321举报中心组织手机应用商店开展了“安全百店”行动,106家APP应用商店累计下架657个改号软件APP。电商平台累计发现并下架改号软件产品320个,处理商户166户。
但电信诈骗依然没有得到有效遏制。
以徐玉玉案为例,实施诈骗的170/171号段属于虚拟运营商(下称“虚商”)专用号段。在国内的电话诈骗案中,虚商号段逐渐成为重灾区。
作为传统电信业务市场化的尝试,虚商因为不受地域限制、具有价格优势等获得市场认可,但它同样获得“电信诈骗者”的认可。
自2014年5月起,170/171号段作为虚商的专用号段陆续对外放号,两年多的试点期间争议不断。今年4月3日,央视新闻直播间曾曝光170/171号段实名制问题,舆论哗然。
按照工信部要求,虚商要实现2016年底新增用户100%实名登记,存量用户95%实名补登。“实名制事关虚商的生死”,中国虚商产业联盟秘书长邹学勇曾公开表示,希望虚商尽快落实这道“红线”,否则会深深打击整个产业。
现实情况是,虚商实名制的落实仍然糟糕。
今年7月,工信部网络安全管理局组织对虚商新入网电话用户实名登记工作进行了暗访,并对部分虚商在网用户实名登记信息合规率进行数据抽测。共暗访了26家转售企业营销网点109个,发现存在违规行为的网点37个,违规比为33.9%。
在李铁军看来,虚商没有线下网点、所有业务都通过网站解决的特点,导致虚商在“诈骗者”中更受欢迎。他举例说,工信部要求激活手机卡的前提是当事人的身份证正反面以及手持身份证照片,但“这个环节被骗子利用的可能性很大,比如用假身份证、找一个长得很像的人或购买别人的实名制电话卡,都会对虚商的实名制带来挑战。”而“不用身份证就能买170手机卡”的新闻也屡见报端。
工信部电信研究院政策与经济研究所副总工程师何霞称,除三家基础运营商外,虚商在管理中不够严格,实名制做得并不好。何霞同时指出掣肘虚商实名制的地方,“虚商没有权利接入公安部关于身份证鉴别的网络,所以它也没办法鉴别身份证的真假。”
此外,垃圾短信也大举入侵虚商号段。主要原因在于三大基础运营商没有将虚商的垃圾短信纳入监测拦截系统中,而虚商自身无法第一时间了解用户举报和投诉的信息,造成监控不及时和拦截滞后问题。
中国移动通信集团设计院有限公司洪东等人曾撰文分析,基础运营商以省为单位建立一套垃圾短信的监控系统,一次性投资约为5000万元。均摊到各虚商,由于业务量较小,粗略考虑到配套改造和其他系统的对接等系统性工程,新建统一治理平台的整体一次性投资约为500万元,对虚商的投资压力不小。
洪东认为,由基础运营商提供统一的治理平台,交由虚拟商各自保障其客户免受不良信息骚扰的治理方式,能节省大量投资。
李铁军认为,运营商对电信诈骗还没有“杀手锏”,“比如IP电话是属于电信的基础服务,不能把它停掉。只要这类业务存在,改号软件就有可能存在,是禁不掉的。也不能因为某一项威胁就停掉为很多人进行公共服务的业务。”
对于伪基站问题,有安全技术人士建议,要避免被伪基站攻击,最好的办法是放弃使用GSM,改用3G或4G。“因为3G及4G制式与GSM不同的一点在于它们在手机和基站之间都会进行双向认证,避免‘只要信号好就跟谁走’情况的发生。”
腾讯安全云库副总经理李旭阳分析,“伪基站”案件高度的反复性、变异性、流动性,给侦破带来难度。
伪基站主要由电脑、发射机、天线组成,具有无线电发射功能。为逃避打击,短短几年间,伪基站不断升级改造,从原来较大的固定式缩小到能放入汽车后备箱、电瓶车的精致式,最近又出现便携的背包式。
一位公安系统人士表示,伪基站发送垃圾短信时,犯罪分子随走随发,流动性很大。伪基站由无线电管理部门负责管理,但因为犯罪分子流动作案,并且这个部门配备的人员有限,管理起来很困难。
目前,垃圾短信的过滤拦截技术也有短板,无法准确实现对垃圾短信的识别、过滤。
根据短信内容拦截垃圾短信的技术主要有两种:一种是基于的过滤,只要短信中包括的“中奖”“拨打电话”等敏感词汇超过一定数目,就被认定为垃圾信息,系统自动拦截。但它的致命缺点在于词库,需要不断更新词库以过滤新出现的
,而且无法保证过滤掉所有
。不法分子会使用手段绕过过滤,比如在
中间插入符号、使用
的汉语拼音、套用错别字等,让过滤技术根本起不了作用。
还有一种是基于短信内容的过滤,即采用机器学习方法把短信自动分为正常短信和垃圾短信。由于知识库的存在,此类方法存在复杂度过高、易导致信息网络阻塞等不足。目前主要短板在于电信运营商过滤系统的计算能力、机器学习能力跟不上。
据上述公安系统人士透露,犯罪分子拿到个人信息后,通过境外改号冒充公检法的电话。三大运营商应从后台服务器进行拦截,比如很多诈骗电话是在短时间内群发或在一个时间段内很活跃,这和正常通话明显不同,因此运营商在技术上辨识和拦截是可以做到的,但在法理上存在争议。
通过中国判决文书网检索“伪基站”共有1997个相关判决。其中,利用非法伪基站散发垃圾短信的被告大多被判决为破坏公用电信设施罪,判处有期徒刑1年至3年。
其主要法律依据是《刑法》第124条,破坏广播电视设施、公用电信设施,危害公共安全的,处三年以上七年以下有期徒刑;造成严重后果的,处七年以上有期徒刑。过失犯前款罪的,处三年以上七年以下有期徒刑;情节较轻的,处三年以下有期徒刑或者拘役。
何霞认为,与巨额诈骗不匹配的是,电信诈骗的违法成本太低,这也是电信诈骗屡禁不止的原因之一。
多年来,中国没有出台个人信息保护法,也未将个人信息保护提升到国家层面。“大家都知道网上有卖数据的,但就是没人管。个人信息保护是一个空白,这是最大的问题。”何霞说。
整治电信诈骗涉及诸多部门,直接相关部门包括公安、通信监管、电信运营商、金融监管及银行等。间接相关部门更多,包括互联网金融企业、云服务提供商、网络电话提供商、各类各级别ISP/ICP服务商等。
公安、电信、银行是治理电信诈骗的核心部门。目前,《刑法》《刑事诉讼法》在侦查取证及定罪量刑方面有待完善。电信、银行等企业在落实实名制方面,接入公安系统进行确认存在难度,形式审核后没有相应责任。其次,公安系统在管辖区域、职权、协作以及技术上有限制,电信以及金融系统没有监管权力和责任,对客户资料只能进行形式审查,对可能违规的客户也不能停止服务。
以上问题都要通过完善法律法规、落实相应职权、建立跨部门的合作机制予以解决。
国内已有地方建立相应部门的联合执法合作机制。比如,上海市公安局牵头组建了上海市反电信网络诈骗中心平台,公安机关有关警种、商业银行、电信运营商、金融清算机构和第三方支付机构联合入驻,实行防范、打击、治理一体化运作的实战机制。
对于根治电信诈骗,中国政法大学传播法研究中心副主任朱巍认为,以往公安机关办案是先调查案件,再冻结涉案款项。但应该建立一种先冻结再调查的机制。此外,要落实手机实名制,手机号码在转让时也要进行实名制。第二,加大对诈骗打击力度,不单纯针对数额进行定罪量刑。第三,重点保护信息源头。以前打击电信诈骗没有考虑信息泄露的问题,目前《刑法修正案(九)》也强化侵害公民信息罪,应该借机亡羊补牢,做到未雨绸缪。
在移动互联网的生态体系下,行业与政府之间,行业与行业之间,行业与用户之间密集交织,各个环节彼此共生,个体的安全有赖于整体的生态安全环境。对抗无孔不入的电信网络诈骗,单靠任何一家机构孤军作战是远远不够的,需要社会各界联合起来。国家机关的打击治理,互联网公司、电信运营商、银行等行业机构的技术对抗,普通用户的有效防范缺一不可。
有公安系统人士透露,当下电信诈骗案件的取证和追赃很困难,比如一个案件诈骗10万元,转账到一个账户后,犯罪分子在短时间内快速转账至下一级账户,或者再下一级账户,最后10万元可能分散到全国各地的上百个账户并被取走。每个账户分到的数额不等,可能最终有的账户只转入了几元钱,有的账户还不是犯罪嫌疑人的,所以查验和冻结的工作非常困难。该人士还表示,目前,各省由警方联合多部门陆续成立反欺诈中心,打击新型电信诈骗,将来还会推动到市一级也成立反欺诈中心。反欺诈中心有一些措施,比如紧急止付、冻结涉案资金等。(本刊综合)