□ 文 苗向阳 李江丰 陈晓光
近年来,网络欺诈、侵害公民个人信息以及钓鱼网站等互联网和电信网络新型违法犯罪,已经成为影响社会稳定和群众安全感的突出问题。本文针对网络欺诈,提出了一种基于“云管端”三位一体联动的网络欺诈综合治理方法,包括在云侧开展受害用户诈骗场景还原与威胁情报研判、多数据源挖掘分析等;在管道侧进行实时数据采集、监控与技术检测;在端侧宣传诈骗防范与安全视窗安全预警能力,形成了事前防范、事中控制、事后追溯的网络欺诈治理闭环,并通过实际工作应用进行了充分的验证和实践,证明了此方法的科学性和有效性,为电信运营企业开展网络欺诈治理提供了可以借鉴的方法和思路。
通信网络诈骗是指犯罪分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给犯罪分子打款或转账的犯罪行为。网络欺诈是通信网络诈骗的一种形式,是指以非法占有为目的,利用互联网采用虚构事实或者隐瞒真相的方法,骗取数额较大的公私财物的行为。钓鱼网址、隐私窃取类手机恶意程序、伪基站短信等是网络欺诈常用的犯罪形式。
近10年来,全国通信网络诈骗,特别是网络欺诈发案率持续上升,网络欺诈案件每年以20%-30%的速度快速增长。2013年至今,全国共发生被骗千万元以上的网络欺诈案件54起,百万元以上的案件1489起。2017年1月至7月,全国共立网络欺诈案件15.5万起,同比上升36.4%,造成损失24.2亿元。以广东地区为例,自2016年下半年至今,全省共破获各类电信网络诈骗案件近3000起,同比上升约7.8%;抓获犯罪嫌疑人数量上升,共抓获犯罪嫌疑人近400名,同比上升近10%。电信网络新型违法犯罪已呈现明显非接触性特点,随着LTE、移动互联网和智能手机的高速发展,诈骗方式正逐渐从电话诈骗转为电话与网络多种手段相结合诈骗的方式,钓鱼网址、仿冒APP和伪基站更是成为了诈骗分子的“新型武器”,空间跨度大、产业链条广、行骗手法多,各种各样利用智能技术手段行骗手法不断翻新,打击难度大,为群众挽回损失极其困难。
猖獗的网络欺诈违法犯罪,严重侵害人民群众财产安全和合法权益,也引起了国家的高度重视。2016年6月,经国务院批准,公安部、工业和信息化部、最高检、最高法等23个部门和单位,联合建立组成打击治理电信网络新型违法犯罪工作部际联席会议制度,加强对全国打击治理网络欺诈工作的组织领导和统筹协调。
网络欺诈危害大、难治理。如果不全面地从源头上根治灰黑产业链、切断犯罪利益链,就难以从根本上铲除网络欺诈犯罪滋生、实施和蔓延的温床,因此迫切需要研究和设计一套行之有效的全方位打击、防范、治理网络欺诈的技术和实施方案。
网络欺诈作为新型网络通信犯罪,与传统的诈骗犯罪相比具备一些新的特点,它是以非法占有他人财产为目的,借助计算机,采取虚构事实或者隐瞒事实真相的方法,骗取他人财物的行为。比如,利用网络克隆某公司或者某官方网站的页面,假冒网站管理人员向网民发布虚假的中奖信息,以奖品手续费、所得税为借口欺骗受害人往其指定的银行账户上汇款。它与一般的诈骗罪的区别主要在于诈骗方式。网络欺诈一般来说具有以下特征:
1.诈骗面广。诈骗人一般采取广泛撒网、重点培养的方式,只要少数人上钩就达目的。受害人上钩后,诈骗人便设连环套,层层诈骗。
2.异地诈骗。由于互联网的无边界的特性,诈骗人往往选择异地“鱼儿”诈骗,受害人上钩后一般不会直接到异地去找诈骗人。即使到公安机关报案,公安机关办理异地案件的周期也较长。这也是诈骗人大多选择异地诈骗的原因。
3.隐蔽性强。诈骗人不用直接接触受害人,带有极强的隐蔽性。
4.难以查证。诈骗人得手后毁掉一切网上证据,消失迅速,难寻踪迹;另辟一套网上虚拟身份和虚假信息“重操旧业”。
5.犯罪工具智能化。以计算机及网络为作案工具,网络的发展形成了一个与现实世界相互影响又相对独立的虚拟世界,智能型的犯罪分子利用互联网的无地域性进行跨国界、跨地域作案。
为有效应对网络欺诈的上述特点,本文提出了一种基于“云管端”三位一体、相互联动的网络欺诈综合治理方法,包括在管道侧进行网络欺诈行为的发现、监测和拦截;在云侧多渠道、多数据源的大数据挖掘,进行受害用户诈骗场景还原和威胁信息研判;在端侧进行终端用户防范网络欺诈安全意识培训,通过安全客户端推送网络欺诈安全预警等三个方面。云、管、端三个层面相互联动,互相配合,缺一不可,共同构成事前防范、事中控制和事后追溯的一体化防范治理网络欺诈方案。
云侧网络欺诈治理手段是指以大数据为核心,综合运用多种监测防范技术,面向诈骗网址、伪基站诈骗短信、仿冒网站、移动恶意程序等多个互联网网络信息诈骗环节,实现网络欺诈综合监测、综合分析、综合预警和综合处置。实现多环节的欺诈群体识别、多场景的诈骗事件还原、多角度的受害人群分析、多维度的诈骗案件关联、多渠道的黑产信息溯源,为网络欺诈综合防范提供技术支撑。此外,通过对通话话单、短信、上网行为等数据的大数据分析,建立基于诈骗类型、号码行为特征、号码特征、号码活跃特征、号码社交网络、行为事件流、地域等多维度搭建大数据分析模型,利用聚类分析、随机森林、梯度决策树等方法进行分析,能够挖掘和发现潜在的诈骗行为和诈骗号码。
云侧可以针对新出现的潜在网络欺诈行为进行预防。网络欺诈通常是以事件为核心,传播途径和诈骗手法的多样性决定了需要以安全事件为核心串联各业务安全事件才能实现对抗,将不同业务的安全事件串联起来,通过业务之间的关系缩小分析范围,目标更明确;通过不同业务之间的特征提取,完善各业务特征库。潜在诈骗行为的预防和分析主要是通过大数据分析进行新诈骗类型挖掘和新诈骗类型建模。
1.新诈骗类型挖掘:对检测到的异常行为序列进行归纳,对可疑的行为进行确认,分析其出现概率与相关性,结合已有诈骗手法规律进行交叉验证,挖掘新的诈骗手法。
2.新诈骗类型建模:结合从公安机关获取的报案数据,针对新的诈骗手法建立新的诈骗模型,通过对历史数据进行验证分析以及依据黑特征进行行为训练,构建新的诈骗检测模型。
云测还可以开展网络欺诈案件串并分析。通过对不同案件线索中的数据进行分析,可发现案件线索之间的数据重合及特定对象之间的数据通信联系,找出不同案件线索之间的内在联系,方便公安办案人员对多个相关案件进行联立侦破。
1.发现不同案件线索下的数据具有相同行为模式的情况:通过电信网信令监测子系统与基于行为特征互联网信息诈骗子系统相关联,找出案件的共同点,即恶意网站、仿冒APP特征等,进行并案处理。
2.发现不同案件线索下的数据具有相同网络行为特征的情况:通过电信网接入子系统的恶意网址特征库与后台的网络行为大数据分析子系统进行关联,找出相同网址特征的案件,进行并案处理。
3.发现不同案件线索下对象间存在数据通信的情况:通过诈骗行为特征分析、诈骗短信内容、诈骗网站及仿冒APP之间关联分析,找出他们之间的内在数据通信联系,进行并案处理。
管道侧网络欺诈治理手段是指,通过采集移动互联网用户的全量上网流量,深入分析用户的上网行为、APP使用行为、网络注册行为等动作,通过基于访问行为或者网络欺诈恶意网站等特征技术,识别出访问钓鱼网站、使用恶意移动APP的受害用户或潜在受害用户,并通过运营商管道侧的数据流和会话封堵机制,对访问恶意网址的行为进行网络侧实时阻断,实现网络欺诈的事中控制措施。
网络欺诈分子利用电话、短信、恶意程序、钓鱼网站、伪基站等工具疯狂作案,“话术”多样,“套路”重重,影响面广,涉及金额巨大。网络欺诈技术治理手段综合运用多种监测防范技术,面向诈骗电话、诈骗短信、仿冒网站、伪基站、恶意程序等多个通讯信息诈骗环节,实现通讯信息诈骗综合监测、综合分析、综合预警和综合处置。实现多环节的欺诈群体识别、多场景的诈骗事件还原、多角度的受害人群分析、多维度的诈骗案件关联、多渠道的黑产信息溯源,为通讯信息诈骗综合防范提供技术支撑。
钓鱼网站技术治理主要是针对网络欺诈过程中常见的各类仿冒金融机构、在线电商、政法机关的网站进行发现和拦截。
当前钓鱼网址生命周期短,变化多样,快速从百亿级别的网址中找到钓鱼网址是治理的关键。在治理钓鱼网站的环节中,运营商具有天然的智能管道优势,实现对钓鱼网站的主动监测和封堵。
钓鱼网址分析主要是对从前端运营商话单接入子系统上报的疑似诈骗网址进行研判分析、人工审核等。用户访问日志和短信日志首先经过静态分析引擎进行检查,对于确认的诈骗网址直接输出安全分级事件,对于疑似诈骗网址进入动态分析引擎进行分析,动态分析引擎输出疑似诈骗网址和非诈骗网址结果信息,对于以上诈骗网址经过人工审核确认是否为诈骗网址,对于确认为诈骗网址的加载至静态分析引擎,对于确认为非诈骗网址的反馈至动态分析引擎,用于进行模型训练。
除了仿冒网站外,目前已经发现针对各大银行、聊天软件的仿冒应用等移动恶意软件。用户不小心点了网页链接或者扫描了危险的二维码,会下载安装和正常程序一模一样的应用APP,从而窃取用户真实的用户名和密码。
移动恶意软件治理技术手段主要实现对疑似仿冒应用事件行为信息的汇聚、疑似仿冒应用行为筛选和上报,支持利用全网仿冒应用下载URL库和全网仿冒应用主控URL库对获得的网络日志进行检测,发现用户连接仿冒应用的主控URL和下载URL事件。
此外,移动恶意软件治理还可以开展程序样本研判分析工作,主要是对预处理筛选后的疑似样本,采用相关技术手段(如反编译、反汇编等静态分析技术,网络行为分析、短彩信行为分析、本地行为分析等动态分析技术),输出可能的恶意行为点,并根据研判标准进行仿冒应用判定,最终提取特征。
伪基站诈骗短信治理技术手段主要是通过在线检测和离线学习两种方式实现。
离线检测主要是对历史数据基于短信诈骗模型采用大数据分析方法,从短信发送的行为、发送的内容出发,采用深度学习、标签标记、聚类分析以及人工干预等方法,检测出诈骗短信,包含诈骗短信的内容关键词、号码、URL等信息,生成特征知识库。
在线检测是利用离线检测模块生成的特征知识库进行在线快速检测,输出检测结果数据,包括诈骗号码、受害用户、诈骗类型以及诈骗提醒建议等。在线检测主要使用正则表达式进行快速检测,包括号码检测、文本检测、URL检测、敏感特征词检测等。
在线检测和离线检测在逻辑上形成闭环机制,离线检测为在线检测提供技术手段,如知识库和检测算法,在线检测为离线检测提供数据。
网络监测与封堵的技术手段分为前端系统和后端系统两部分。前端系统包括网络欺诈的采集和拦截:
1.前端采集部分通过分光方式获取信令和媒体流量,进行信令解析和行为还原。
2.对于命中黑名单的会话连接进行实时拦截。
3.对命中灰名单的会话特征还原,并进行特征比对,对命中的目标进行实时拦截。
4.前端拦截部分通过分别构造主被叫释放信令的数据包回注到CE/交换机,分别向源和目的发起释放信令消息,实现会话访问的拦截。
后端系统用作诈骗电话的数据存储、分析和展现。后端分析部分包括存储、行为数据分析、信令特征和行为特征分析,输出用于前端拦截的策略与特征,同时通过短信/电话进行受害用户提醒。
端侧网络欺诈治理手段是指,通过强化短信、安全页面、客户端等渠道的宣传教育,建立全覆盖的网络欺诈手法快速发布机制,及时发现、归纳不法分子实施诈骗的新手法新伎俩,通过多种渠道向公众发布预警防范提示。针对网络欺诈的受害用户,通过手机安全视窗或客户端进行实时提醒,最大限度的减少用户被诈骗的损失。为避免网络欺诈的危害,首先要提高用户个体的安全防范意识。必须从各个层面进一步强化宣传教育,切实打好防诈骗、反诈骗人民战争。
1.建立全覆盖的网络欺诈手法快速发布机制,及时发现归纳不法分子实施诈骗的新手法新伎俩,通过多种渠道向公众发布预警防范提示。
2.建立全环节的互联网防诈骗提醒机制,围绕可能产生电信网络诈骗行为和后果的各环节,开展标准化、规范化的防诈骗提醒。
3.建立全民化的防诈骗宣传参与机制,采取群众喜闻乐见的形式和以案释法等方式,通过安全视窗、营业厅台、下发短信、外呼等,有的放矢开展防诈骗宣传,并建立健全举报奖励制度,让诈骗分子成为过街老鼠、人人喊打。
“云管端”三位一体的网络欺诈综合治理方法,从云侧开展受害用户诈骗场景还原与威胁情报研判、多数据源挖掘分析等;在管道侧进行实时数据采集、监控与技术检测;在端侧宣传诈骗防范与安全视窗安全预警能力,形成了事前防范、事中控制、事后追溯的网络欺诈治理闭环,对网络欺诈进行了全方位、立体化、深关联的防范、打击和治理。
广东移动自2017年12月起使用该方法开展网络欺诈综合治理工作,坚持侦查打击、重点整治、防范治理多管齐下,推动网络欺诈打击治理工作取得了明显的阶段性成效。去年1至8月,广东移动协助公安机关共破获电信网络诈骗案件1.1万起,同比上升2.4倍;查处违法犯罪人员1.8万名,同比上升2.5倍;查控冻结涉案银行账号5万余个,同比上升3倍多,占全国冻结总量的九成以上;关停涉案网站等9万余个;收缴赃款赃物折合人民币6.5亿元,为群众避免损失26.4亿元。
三位一体的网络欺诈综合治理方法后续将进一步完善,统筹开展网络欺诈快速拦截、涉案资金快速止付、信息流资金流查询、案件串并研判、侦查组织指挥等工作,努力打造成为集防范、打击、治理于一体的实战化运作平台。
本文针对网络欺诈,提出了一种基于“云管端”三位一体联动的网络欺诈综合治理方法,包括在云侧开展受害用户诈骗场景还原与威胁情报研判、多数据源挖掘分析等;在管道侧进行实时数据采集、监控与技术检测;在端侧宣传诈骗防范与安全视窗安全预警能力,形成了事前防范、事中控制、事后追溯的网络欺诈治理闭环,并通过实际工作应用进行了充分的验证和实践,证明了此方法的科学性和有效性,为电信运营企业开展网络欺诈治理提供了可以借鉴的方法和思路。
虽然网络欺诈的打击治理工作取得了一定成效,但网络欺诈犯罪的高发势头仍没有从根本上得到遏制。我们要深刻认识当前网络欺诈违法犯罪形势的严峻性、复杂性,突出问题导向、进一步推进打击网络欺诈行动向纵深发展。
1.进一步强化源头治理,切实履行监管责任,严格落实监管措施,着力堵塞监管漏洞,坚决切断网络欺诈犯罪链条。
2.严格落实电信领域整治措施,建设完善电信网和互联网国际出入口诈骗电话防范系统、电信网省际出入口诈骗电话防范系统,指导督促电信企业严格落实电话用户真实身份信息登记制度,对整改不力、屡次违规的虚拟运营商,要依法依规坚决查处
3.严格落实银行金融领域整治措施,建立完善银行账户和支付账户异常资金交易风险防控系统,指导督促各商业银行抓紧完成借记卡存量清理工作,研究制定加强支付结算管理的有效措施。
4.严格落实互联网领域整治措施,强化网络安全防护,督促互联网企业对搜索引擎、QQ群、微信群等网络空间进行清理整顿,坚决切断不法分子利用互联网实施诈骗的渠道。■
[1] 网络欺诈案件启示[J]. 黑龙江金融,2017,(05):78-79.
[2] 李凯. 浅析网络欺诈预防机制——以警媒合作为视角[J]. 新闻研究导刊,2017,8(07):63-64.
[3] 吴朝平.“互联网+”背景下网络欺诈的发展变化及其防控[J]. 中国人民公安大学学报(社会科学版),2015,31(06):17-21.
[4] 赵琳. 网络欺诈犯罪的实践难题及解决[D].辽宁大学,2014.
[5] 黄首华. 网络欺诈犯罪侦防对策研究[D].甘肃政法学院,2013.
[6] 高蕴嶙,李京. 网络欺诈犯罪侦查难点及实证对策研究——以重庆市各区县发案为例[J]. 重庆邮电大学学报(社会科学版),2013,25(01):33-38.
[7] 胡向阳,刘祥伟,彭魏. 网络欺诈犯罪防控对策研究[J]. 中国人民公安大学学报(社会科学版),2010,26(05):90-98.