姚一楠 邵苹 郑海强 詹维骁
摘要:为了探讨如何应对电信诈骗,首先列举了电信诈骗的特点,在此基础上从个人信息保护、法律监管的角度分析了电信诈骗的成因,最后从技术和监管两个方面提出了应对电信诈骗的手段。
关键词:电信诈骗 个人信息泄漏 数据保护
1 引言
随着2016年下半年新闻媒体不断报道电信诈骗的一些恶性事件后,电信诈骗一时间又成为了民众关注的焦点。据2015年公安部统计,电信诈骗每年以20%~30%的速度快速增长,2015年全国公安机关共立电信诈骗案件59万起,同比上升32.5%,共造成经济损失222亿元。2013年至今,全国共发生被骗千万元以上的电信诈骗案件94起,百万元以上的案件2085起[1]。可以看到,虽然近两年有关部门对电信诈骗的打击力度在加大,但是犯罪依旧十分猖獗。因此,如何有效地减少电信诈骗成为重中之重,除了引导民众提高警觉之外,从技术和监管的角度能有哪些手段去应对电信诈骗是本文要探讨的话题。
2 电信诈骗的特点
2.1 诈骗手段多样化
武汉大学在2015年末对大学生进行了电信诈骗相关的问卷调查[2],从调查的结果来看,目前犯罪分子主要通过以下手段进行诈骗;一是发布虚假中奖消息;二是利用网络购物陷阱诈骗;三是利用网络找工作或借贷骗取保证金、手续费;四是冒充家人、朋友qq或微信骗钱;五是冒充国家工作人员借由事端骗取汇款。
2.2 集团作案组织化
该类案例组织化程度高,犯罪分子以诈骗为常业,有固定的诈骗窝点,作案分工明确,组织严密,且大都使用假名,呈现明显的集团化、职业化的特点[3]。
2.3 作案手段科技化
电信诈骗与其他类型的犯罪相比,主要利用电话平台,因此多采用高科技手段,最新的通讯手段、信息窃取技术被广泛的用于电信诈骗之中。
第一,利用非法途径获取用户个人信息。除了某些人非法倒卖个人信息外,智能手机的发展使得个人信息的获取变得更加容易。Android手机目前市场占有率最高,市场份额超过了75%[4],而Android系统开放了很多API接口,比如读取联系人、读取通话记录等,App只要申请了权限就可以使用,这使得很多时候用户在正常使用手机的时候,自己的个人信息就已经悄无声息的泄露出去了。
第二,使用VoIP(网络电话)通信。通常情况下进行语音电话使用的都是CS域,网络为通话双方建立独有通道,而不是IP数据包的格式。而随著移动互联网的发展,基于IP网络的语音通信成为新的趋势。主叫用户将数据包发送到语音网关中,语音网关再封装数据包传送到运营商网关,通过“透传”将数据包送到被叫用户。这其中语音网关就是核心,互联网上的一些网络电话,例如Skype、UUCall等公司,都有自己的网关,而主叫网关就有权控制是否发送主叫号码,并且可以任意修改。当然正规的厂商为了合法,只能让你修改成自己的电话号码,但是一些所谓的改号软件就是在主叫与运营商之间,接入了非法网关,将号码修改成一些政府、金融机构的官方号码,从而欺骗用户,使用户放松警惕。
2.4 社会危害巨大化
今年下半年电信诈骗案件频出,清华大学老师被骗1760万元,准大学生学费被骗导致自杀等。电信诈骗由于通常采用群呼,广撒网,无特定对象,等待受害者上钩的方式。因此,这种方式往往范围广,诈骗数量很大,对单一受害者可能造成损失不大,但是形成规模后,对社会危害极大。
3 电信诈骗成因分析
3.1 个人信息保护薄弱
从个人用户角度来说,很多人对个人信息的保护意识非常薄弱。从武汉大学15年的调研中报告中可以看到,接受调查的1500人中有67%的人称对索取自己手机号码、身份证、银行卡号的商业注册模式不感到任何意外,只是有12%的人可能稍许感到麻烦,调查中79%的人都表示自己没有什么好被骗的。
中国泰尔实验室在13年就加强了对入网终端的信息安全要求,要求终端操作系统要能监控App的敏感权限,在敏感操作执行前需要给用户相应的提示和确认[5],经过3年左右的实践,目前市场上的手机都实现了这种能力。为了验证从用户角度敏感操作确认能否真的起到警示效果,从安全厂商LBE获取了应用商店Top1000应用的用户使用情况的数据进行统计。以短/彩信权限为例,App申请读取短信记录权限的共有709个,有205个用户拒绝,占比28.9%;申请读取彩信记录430个,11个被用户拒绝,占比2.6%。从数据可以看到,当App申请敏感权限时,大部分用户都是选择允许放行,只有很少的用户会根据实际情况拒绝调用。由以上分析可以看到,很多用户平常并不注重个人信息保护。
从企业角度来讲,很多小企业也不重视对用户个人信息的保护。App厂商通常为了快速推广新功能,经常会忽略新功能背后可能会产生的安全问题,有的企业甚至就没有专门负责安全的团队。软件漏洞、明文传输、弱口令等问题[6]使得不法分子很容易获得个人信息,从而实施电信诈骗犯罪。
3.2 监管立法缺失
(1)电信诈骗相关规定
对于实施电信诈骗行为的主体,主要以刑事法律作为约束手段。依据我国刑法规定,实施电信诈骗行为以诈骗罪论处。根据其诈骗金额和是否具有严重情节,确定具体的刑罚,详见刑法第二百六十六条规定。在此条基础上,最高法、最高检在2011年发布《关于办理诈骗刑事案件具体应用法律若干问题的解释》(以下简称《解释》),其中明确了通过发送短信、拨打电话或者利用互联网、广播电视、报刊杂志等发布虚假信息,对不特定多数人实施诈骗的,按照刑法第二百六十六条规定酌情从严惩处。2016年9月23日,最高检、公安部、人民银行等六部门发布《关于防范和打击电信网络诈骗犯罪的通告》(以下简称《通告》),明确加强打击电信诈骗力度,并要求公安、电信企业、银行等机构严格执行《通告》要求,遏制电信诈骗犯罪势头。
由此可见,电信诈骗在刑法中并未单设罪名,而是将其作为诈骗罪的一种情形予以规制。《解释》中虽然有对于短信诈骗和电话诈骗严重情节的规定,但由于立法技术限制,对于新式的电信诈骗方式往往无法穷尽,易使法官在情节、量刑等方面具有过多主观能动性。
(2)个人信息保护相关规定
获取个人信息,是实施电信诈骗的必备条件之一。对于个人信息的保护力度也间接影响着电信诈骗犯罪发生的概率。我国目前尚无统一的个人信息保护法,个人信息保护的规定散落在不同层级的法律法规中,具体包括《刑法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《关于依法惩处侵害公民个人信息犯罪活动的通知》、《电信和互联网用户个人信息保护规定》等法律法规。
上述所列举的规定,由于发文机关的不同,其规定效力和受约束主体也不同。各个行业往往按照本行业的监管要求去保护个人信息,受限于立法层级,规定中多为缺乏罚则的规范或建议性规范,缺少确保规范落地的措施,使各个规定往往流于形式,无法有效执行。此外,由于不同行业的不同标准(有些行业甚至缺乏个人信息保护规范),导致各行业之间在保护个人信息方面有较大差异,当个人信息在不同行业之间流转时,无法按照统一要求切实保护个人信息。
4 技术应对手段
4.1 保护个人信息,避免隐私泄露
由前文的分析可以看到,个人信息的泄露是造成电信诈骗危害越来越大的源头,那么从事前的角度,需要对个人数据采取一定的技术保护。
数据的保护通常需要面临四个步骤,即数据采集、加工、转移和删除。数据采集阶段,操作系统应能够主动识别App行为并给予用户提示和确认,这一点在第三章已经进行了分析。加工阶段,则主要要保证数据存储安全,主要就是通过加密手段解决。App将登录密码等数据存储在终端内部时应避免存储原始数据,应对数据进行Hash处理,同时增加盐值,抵御查表攻击[7]。以Android为例,其提供很多标准加密算法可以使用,在Hash处理上更应该使用SHA-256、SHA-3算法而减少MD5、SHA-1的使用,因为类似MD5值,在网上有很多字典库很容易查到原始数据。对于文件的加密,通常情况都会使用AES对称加密算法,在Android API中默认是DES算法56位加密密钥,且加密模式ECB模式,经过技术的发展,这种加密强度显然是不够的。因此,厂商要保护个人信息,应该注意在开发时指定加密算法为AES的CBC模式或CFB模式,且密钥不小于128 bit,推薦使用256 bit。
在转移阶段可以将个人数据分为两类,采用脱敏后转移或直接转移。通常情况下,对于能够与特定个人相关的数据,也就是电信诈骗常关注的姓名、电话、住址等信息,这些信息的管理者在转移传输前应当对数据采取抑制、隐藏、泛化、随机化等技术手段进行脱敏处理,消除能够识别个体的数据字段后再进行共享,典型实例如表1所示:
如果采用脱敏的方式不能完全满足数据处理的要求,则传输转移过程中依旧要通过加密、签名等方式保护数据的完整性、机密性、抗抵赖性。传输过程中采用HTTPS传输,使用RSA或ECC算法。
最后,在删除阶段,普通用户使用的手机应该提供彻底删除的功能,不仅要删除存储器件的位置索引,而是对存储区进行全“0”或全“1”填充,保证数据的不可恢复。
4.2 增强主动防御,提高用户认知
即使厂商很注意对用户个人信息的保护,但在大数据时代,个人信息依旧有很多非技术手段能够获得,并且一些犯罪分子经常采用漫无目标的群呼。因此,除了厂商加强对用户个人信息的保护之外,还应该加强对诈骗电话的识别和拦截,帮助用户主动拒绝电信诈骗的发生。
可以提取总结实施电信诈骗犯罪行为的一些历史特征,从而使用大数据分析手段进行分类,例如贝叶斯分类算法。设每个数据样本用一个n维特征向量来描述n个属性的值,即:X={x1, x2, …, xn},假定有m个类,分别用(C1, C2, …, Cm)表示。给定一个未知的数据样本X(即没有类标号),若简单贝叶斯分类法将未知的样本X分配给类Ci,则一定是:
P(Ci|X)>P(Cj|X) 1≤j≤m,j≠i (1)
根据贝叶斯定理[8],由于P(X)对于所有类为常数,最大化后验概率P(Ci|X)可转化为最大化先验概率P(X|Ci)P(Ci)。如果训练数据集有许多属性和元组,计算P(X|Ci)的开销可能非常大,为此,通常假设各属性的取值互相独立,这样先验概率P(x1|Ci),P(x2|Ci),…,P(xn|Ci)可以从训练数据集求得[9]。具体到电信诈骗情况,例如电话诈骗的方式,可能会产生几种数据显著增长:通话频率、通话时长、消费金额、欠费次数等。因此,我们可以将这些属性定义相应级别,分析整理大量历史数据,如表2所示:
通过训练类似这些数据得到P(xi|Ci),就可以在以后未知号码进行通信时,分析其行为特征,直接判断是否属于诈骗电话,类似的数据挖掘算法还有神经网络、决策树等,也可以使用这些方法去判断诈骗短信,从而拦截和警告。
除了进行大数据挖掘,目前很多手机安全厂商都提供了号码标记功能,利用用户自己对来电进行标识,通过云端进行识别,帮助其他用户判断来电情况。为了避免改号软件的使用,一些政府机关、金融机构和安全厂商进行联合,在主叫呼叫时,立刻回叫相应单位,由单位判断当前是否正在呼叫,通过二次确认,来判断来电号码是否为冒用号码。通过以上分析可以看到,采用一定技术手段可以减少电信诈骗的发生,这就需要安全厂商、运营商、App开发商等共同的努力。
5 监管应对手段
5.1 法律法规的完善
针对电信诈骗方面的法律法规,应以《刑法》的诈骗罪为基础,通过出台司法解释不断完善电信诈骗量刑标准、从重情节等内容,指导司法实践中的疑难案件,减少法官在量刑方面的自由裁量权。
另一方面,制定个人信息保护领域的“宪法”,通过减少信息泄露途径,也可达到减少电信诈骗发生的目的。提升个人信息保护的立法层级,制订《个人信息保护法》,作为各个行业保护个人信息的依据。刑法修正案九修改的侵犯公民个人信息罪,是个人信息保护在刑事方面的根基。个人信息保护的原则、要求、与其他法律法规的关系等可以由《个人信息保护法》规定。
5.2 标准制定
除了通过实施刑罚的方式惩治电信诈骗,还可通过制定行业相关标准,加大实施电信诈骗犯罪的难度。可在《个人信息保护法》的基础上,根据各行业特点、个人信息敏感程度等制定具体的行业标准,明确该行业机构在制度层面、技术层面的要求。
以金融业中的基金为例,中国证券投资基金业协会作为基金行业的自律组织,可以承担上述职能。具体可体现为制定投资者信息保护指引,要求基金公司及私募机构建立投资者信息保护内控制度,明确达到保护要求可使用的技术手段等,以此指引基金业投资者信息保护工作的开展。
5.3 定期的检查
在有明确指引可遵循的情况下,需要确保规定的落地执行。除了行业内各个机构自我定期检查、引入外部审计外,监管机构的监督检查也是督促行业内机构践行法律法规及监管指引的重要手段。
近期最高检、公安部、人民银行等六部门发布的《关于防范和打击电信网络诈骗犯罪的通告》对电信企业、商业银行、支付机构等在预防和打击电信诈骗方面提出了具体要求[10]。监管机构可汇同相关自律组织共同对行业内机构就《通告》落实情况进行检查,检查形式包括但不限于书面汇报、窗口指导、监管谈话以及现场检查等。同时将落实《通告》的情况作为评价行业内机构合规与否的重要指标之一,对检查过程中发现的违法违规问题予以严肃处理。
5.4 加强教育
增强公民防电信诈骗意识,提高个人信息保护程度,降低电信诈骗发生的可能性。针对个人而言,监管机构可以通过设立风險提示专栏的形式,将典型电信诈骗手段、电信诈骗案例等进行汇总,并定期向社会公布,一方面让公众认清电信诈骗的形式防止受骗上当,另一方面对于想要实施电信诈骗的人也可起到威吓作用。针对机构而言,监管机构或自律组织可以不定期举办个人信息保护交流活动,让机构间互相借鉴个人信息保护经验,不断完善本机构的保护工作,减少信息买卖、信息泄露等事件的发生,从源头上遏制电信诈骗犯罪的发生。
6 结论
由以上的分析可以看出,虽然电信诈骗的手段在不断变化,但是从事前、事中、事后三方面都有应对手段能够减少犯罪的发生,而能否做出改变来弥补各方面的不足,就需要整个社会重视电信诈骗问题,企业革新技术手段,政府加强监管和处罚,个人提高防范意识,各方合力才能有效减少电信诈骗犯罪的发生。
参考文献:
[1] 冯群星. 2015年全国电信诈骗立案59万起 造成损失222亿[EB/OL]. (2016-10-02). http://news.qq.com/a/20161002/002777.htm.
[2] 易正鑫,王秋庆,柯萌. 防范电信诈骗的技术手段[A]. 《同行》2015年9月(下)[C]. 安徽: 安徽同行杂志社, 2015.
[3] 席珺. 电信诈骗的分析与对策[J]. 赤峰学院学报, 2012,33(8): 117-118
[4] 王朦. iOS市场份额缩水谷歌安卓迎来2年内最强劲增长
[EB/OL]. [2016-10-31]. http://tech.163.com/16/0518/16/BNC318MF00097U7R.html.
[5] YD/T 2407-2013. 移动智能终端安全能力技术要求[S]. 2013.
[6] 马国富,郭铭博,谢天元. 基于Android手机的数据泄密及其防范研究[J]. 电脑知识与技术, 2016(9): 65-67
[7] YD/T 3082-2016. 移动智能终端上的个人信息保护技术要求[S]. 2016.
[8] Jiawei Han. Micheline Kamber. Data Mining Concepts and Techniques[M]. China Macheine press, 2001.
[9] 刘剑. 基于数据挖掘技术实现骚扰电话识别[D]. 北京: 中国地质大学, 2011.
[10] 刘启诚. 打击电信诈骗 电信行业要“讲政治”[J]. 通信世界, 2016(26). ★