电话群呼诈骗技术手段分析

江汉祥

(厦门市美亚柏科信息股份有限公司 福建厦门 361008)

(ndjhx@qq.com)

随着我国经济的高速发展以及社会综合管理的深化，特别是大数据和人工智能等新技术的广泛应用，我国的传统犯罪一直逐年下降，社会治安环境不断改善.然而网络诈骗却逆势不断增长，犯罪手段不断翻新，严重影响人们的生活，造成个人和社会的巨大经济损失.电话群呼诈骗是网络诈骗的一种主要形式，目前主要以司法机关的名义对受害人进行恐吓式诈骗，给群众生活带来极大的危害.本文就针对电话群呼诈骗所采用技术手段和群呼设备的历史演变进行阐述和分析，以便为执法人员提供知识与研判的帮助.

1 电话群呼技术手段演变

电话群呼技术手段主要指诈骗团伙实施诈骗时所利用的电话网络、电话群呼平台、语音网关及相关技术或设备.早期诈骗分子主要利用VOIP技术开展电话群呼，目前则主要利用GOIP技术开展电话群呼.下面就分析一下这2种技术手段.

1.1 VOIP电话群呼

VOIP(Voice over Internet Protocol)，即基于IP的语音传输，是一种语音通话技术，其本质就是对语音信号的数字化.它是对语音数据进行压缩编码，然后按TCP/IP标准打包，经过IP网络把数据包送至接收地，再解压恢复成原来的语音信号，达到互联网传送语音的目的.其核心与关键设备是VOIP网关和软交换运营支撑系统，它把各地区电话区号映射为相应的地区网关IP地址[1].由于VOIP协议能够对数据包中的来电号码进行修改，所以诈骗者正是利用此原理将来电号码进行了任意替换(即透传技术).

常见VOIP软交换运营支撑系统有：

1) 南京昆石网络技术有限公司开发的VOS系统，有V2009，V3000，V5000等多个版本；

2) 深圳世纪网通通信技术开发有限公司开发的CMC呼叫控制管理平台——Smartbilling计费系统；

3) 广州市亚讯通讯设备有限公司开发的亚讯VoIP语音电话群呼系统.

VOIP电话群呼的传输过程如图1(a)所示：

图1 VOIP电话群呼传输流程图

VOIP群呼诈骗者利用IP电话机接入VOIP语音网关，并通过软交换运营支撑系统开展电话群呼，这种互联网上传输的语音数据包会通过电信运营商的中继网关转换成语音信号，再通过传统的公共交换电话网(PSTN)到达用户电话端.

由于具备透传技术，电话可以显示为110或政法机关的总机号，具有很强的迷惑性，早期有大量的受害人因此受骗.同时因为主叫号码被改号，所以传统的话单分析方法是无法开展工作的，而需要进行信令倒查的方法.

所谓的信令是一种机制，构成通信网的用户终端以及各个业务节点可以互相交换状态信息和提出对其他设备的接续要求，从而使网络作为一个整体运行.它相当于一个TCP/IP协议，从人工交换到电子交换.信令系统也从1号信令系统发展至7号信令系统.7号信令系统将信令与语音通路分开，采用高速数据链路传送信令，因而具有传送速度快、呼叫建立时间短、信号容量大、更改与扩容灵活、信令设备投资省、话路利用率高的特点[2].

信令倒查(如图1(b)所示)就是根据受害人来电时间，利用运营商7号信令系统，一直追踪上一级信令，直到追查到信令转IP的落地运营商服务器，以用它所对接的软路由交换服务器.有了落地运营商就可以找到线路承租商以及服务器的租用者.有了软路由交换服务器就可能找到服务器的承租商及对应的租用者.同时也可能找出服务器上所使用的软交换运营支撑系统，通过系统开发商就能够找到购买系统的使用者.

由于VOIP网络太复杂，需要的软硬件多，比如：语音网关、控制平台、电话群呼系统、线路提供商等，从而环节众多，可能暴露的马脚就越多.同时由于近年来运营商管控越来越严格，透传技术和频率被限制，虚假主叫号码不能奏效，因而VOIP电话群呼逐渐被GOIP所替代.

1.2 GOIP群呼

GOIP(GSM over Internet Protocol)，即基于IP的信号传输，其本质就是把手机卡的信号数字化.目前术语上的GOIP一般指GOIP网关，是一种设备，能有效地把GSM与VOIP结合在一起.如图2所示，常见的GOIP网关有32根天线(即32条线路，32个IMEI，每条线路可插4张卡，共128个卡槽)，同时支持128个手机号通话，还支持群发短信、远程控制、机卡分离等功能.

图2 GOIP网关

GOIP网关原本是为企业广告群发短信等作用而设计的，但正因为其具备群呼功能，而且能够远程操控、人机分离，所以满足诈骗分子的作案需要，就被充分利用，而且发挥得淋漓尽致.通常情况下，诈骗分子只要把GOIP网关连接到互联网，就可能通过连接远程控制服务器(SIP服务器)上的软交换运营支撑系统对设备进行远程操控，呼叫受害人电话.因而对诈骗分子来说其优势明显：

1) 人机分离.人在国外，设备在国内，远程操控设备.

2) 本地主叫.受害人来电显示为本地或国内号码，容易上当.

3) 架构灵活.机卡可分离、串号与卡号随机配对.

但是它也存在一些弱点：

1) 电源方面.需要稳定的电源.

2) 平台方面.需要自己搭建软交换运营支撑系统.

3) 控制方面.需要电脑连接平台，无手机APP.

1.3 多卡宝类群呼设备

多卡宝类设备本质上就是GOIP网关，4张SIM卡，兼容苹果与安卓系统，兼容2G/3G/4G卡.多卡宝设备是深圳市优克联新技术有限公司研发的产品.类似的设备还有吉客猫、络漫宝、太空步等品牌.

多卡宝设备原本为解决个人手机多卡多待的麻烦而设计的，同时也解决跨国通讯漫游资费高的行业痛点.只需将多张SIM卡插入多卡宝，放置家中通电联网，即可通过手机远程使用设备中的SIM卡电话和短信功能，实现1部手机管理多张SIM卡.

尽管多卡宝设备1个只能4张卡，但因为小巧，容易组网，诈骗分子可以十分方便地组建1个小网络，以达到大量手机卡群呼的功能，如图3所示.1条宽带或1张上网卡，经路由，接4个16口交换机，每个交换机口接上1个多卡宝.每个多卡宝可插入4张卡.这样原理上则有4×16×4=256张卡.

图3 多卡宝组网方式

多卡宝类设备与传统的GOIP网关对比，其优势如下：

1) 价廉易用.设备廉价，操作简单.

2) 便于车载.电源稳定性要求不高，便于车载.

3) 厂家平台.不需自行搭建软交换平台.

4) 手机控制.可手机APP控制，灵活机动.

但是它也存在一些弱点：

1) 稳定性差.通话稳定性不如GOIP网关.

2) 需要组网.单设备只有4张卡，需要组网.

3) 数据可调.平台在厂家，数据可调证.

4) 架构固定.机卡一体，架构不灵活.

2 电话群呼诈骗新问题及技术分析

2.1 电话群呼诈骗新问题

诈骗分子在与执法机关的博弈中不断完善诈骗模式以增加侦查难度，降低成本和风险.当前执法机关在打击诈骗案件过程中就遇到一些新问题：

1) 空间变换难解释.同一电话号码短时间内在两市切换出现(现有交通工具无法到达).

2) 设备窝点难发现.基站范围大，号码频繁切换，给侦查工作带来难度.

3) 线上线下难关联.诈骗分子反侦查能力强，线上身份与线下身份脱离不关联.

为了解决以上问题，我们下面就分析一下GOIP网关的网络构架模式以及常见的窝点和组网模式.

2.2 GOIP网关网络构架原理及分析

普通的GOIP网关是通过远程控制服务器(SIP服务器)的软交换运营支撑系统来实现远程操控的，以达到人机分离效果[3]，如图4所示.

图4 操控电脑与GOIP网关通过远程控制服务器关联

诈骗分子经过运营发现GOIP设备及雇用人员很容易被发现及抓获，因而为了增大办案难度和降低风险成本，利用了人、机、卡分离模式，如图5所示.借助卡池(SIM bank)设备，将GOIP网关与SIM卡分离，两者则是通过SIM Server服务器进行关联绑定，也就是卡池中的SIM卡远程授权到GOIP网关中，形成人、机、卡三者分离模式.这样一般情况下只有GOIP网关设备被发现，而无法找到成本较大的卡池设备.一旦1台GOIP网关被发现后，可以很快再对接新的GOIP网关，以便继续诈骗行为.

图5 GOIP网络的人、卡、机分离模式

为了干扰公安机关办案，诈骗分子已对以上模式进行升级改良，如图6所示.也就是诈骗分子在两地各准备1台GOIP网关设备.首先通过远程控制服务器上的软交换运营支撑系统将A地的GOIP网关设备关联上，同时再通过SIM Server服务器将卡池与A地的GOIP网关设备关联上.一段时间后则可以再通过软交换运营支撑系统将B地的GOIP网关设备关联上(暂停A地设备)，同时也通过SIM Server服务器将卡池与B地的GOIP网关设备关联上.这样就会造成同一个号码短时间内出现在A与B这2个不同地点，给工作带来极大的迷惑性.

图6 GOIP网络的1卡多机新模式

同样，为了达到多个SIM卡切换呼叫，诈骗分子可以在GOIP网关设备上进行相关的设置，如图7所示.首先可以进行选线规则设置，即选择线路的循环规则，有2种模式：

1) 按顺序循环.按线路ID的顺序强制循环.

2) 最少通话时长优先.以呼叫记录统计中的“总通话时长”为基准，优先选择通话时间最少的线路呼出.

图7 GOIP网关的相关设置

还可以进行限制设置，对每个SIM卡或整机进行设置，可以限制每张卡的总通话时长以及每次的通话时长.这样诈骗分子就做到每张卡通话几分钟后就切换到另外一张卡，给侦查工作带来了干扰，增加了破案的难度.

2.3 电话群呼窝点及组网方式

目前，电话群呼设备窝点及组网方式主要有以下3种：

1) 窝点为出租房或宾馆内，如图8所示.这种固定住所窝点一般适用GOIP网关设备，因为它对电源要求较高，同时对网络带宽要求也较高，这样一方面可以有稳定的电源条件，另一方面可以申请宽带组网.

图8 窝点为出租房或宾馆的组网方式

2) 窝点为汽车移动运载，如图9所示.这种方式多见于将多个多卡宝组成1个小网络，通过1个4G插卡无线路由器联网即可实现联网操控.当然车载也是可以使用GOIP网关的，只是这时也需要4G插卡无线路由器联网，再加1个稳压器，以满足其对电源的要求.

图9 窝点为汽车的组网方式

3) 窝点转移到山野中，如图10所示.为了增加被发现的难度，当前诈骗分子把窝点转移到山野中.山野中没有电源，只能用蓄电池来供电，因而只能使用对电源条件要求不高的多卡宝类的设备，以适应蓄电池供电条件.山野中没有宽带，必须使用4G插卡无线路由器生成WiFi热点，多卡宝设备无线连接WiFi实现联网.

图10 窝点为山野的组网方式

3 电话群呼诈骗的主要对策

3.1 调查方面

通过了解电话群呼设备网络架构及组网方式，就可以通过流量分析和协议解析，结合GOIP设备使用的宽带账号或无线上网账号，以及各个线路对应的串号和卡号等特征进行综合分析，以取得案件的突破[4].主要分析思路包括：

1) 同一账号下是否多设备;

2) 上网账号是否为手机卡;

3) 窝点是否为山区;

4) 群呼时间是否为上班时间;

5) 呼叫号码归属地为本地号码还是外地号码;

6) 群呼对象为本地号码还是外地号码.

对于设备维护嫌疑人可以通过宽带安装过程、房屋租赁过程、车辆号码伴随、人脸识别等多种手段来分析锁定[5].对于远程操控实施诈骗的嫌疑人可以通过厂家软交换运营支撑系统上的相关数据、大数据系统追查等手段来分析锁定[6].

图11 手机取证装备

3.2 取证方面

电话群呼诈骗案件的取证主要分为3个方面，即对人(嫌疑人)的手机取证、对群呼设备的取证以及对服务器的取证.

3.2.1 对手机的取证

对于嫌疑人手机的取证是比较传统的取证，主要是数据备份技术、密码破解技术、数据解析与恢复技术以及系统仿真技术的应用.目前就要有手机取证系统(常用便捷手机取证装备)、手机塔(高性能多手机取证装备)和手机航母(50部手机并行取证装备)等取证设备来支持其取证工作，如图11所示:

3.2.2 对群呼设备的取证

对于GOIP网关的取证有以下2种方式：

1) PC口连接取证.

这种方式适合于已知本地登录的用户名和密码情况下，直接连接GOIP网关的PC网口，登录后能获取到各线路的通话综合状态、SIM信息、短信信息、设备基本情况和配置信息等.

有时设备的“定时写入flash”选项没有被勾选，一旦断电后就会造成取证时没有通信数据.这时就需要在不断电情况下，用这种方式登录并勾选“定时写入flash”选项，以保证获取相关证据.

2) Console控制口或TTL串口连接取证.

这种方式适合于不知本地登录的用户名和密码情况下开展免密提取，只能通过连接GOIP网关的Console控制口或者拆机连接TTL串口，使用物联大师取证系统获取镜像并解析，能够获取信息与PC口大致相同，只是这种方式能够获取部分删除信息.但这种取证方式的弱点是取证速度很慢.

多卡宝设备取证目前有针对手机APP取证与设备取证2种.APP取证能够获取设备信息、通话信息、短信信息、远程服务器IP及端口等.对设备的取证目前只支持拆机作镜像方式，对镜像解析能获取其APP取证类似的信息.

3.2.3 对服务器的取证

对于远程控制SIP服务器和SIM Server服务器也可以开展远程勘验，获取网站、数据库等信息；可以通过重构网站获取登录信息、网络连接信息，分析服务器幕后控制者以及发现更多的GOIP窝点[7].目前可以使用“远勘大师”取证装备来开展服务器取证工作.

3.3 预防方面

预防主要2方面工作：

1) 防范本地出现诈骗嫌疑人，有效精准防范.这需要具备主动发现能力和特征分析，以起到事前或事中防范作用.可以从物流角度追踪设备的走向，达到事先预防和打击作用.还可以从信令分析和网络流量分析角度研发分析模型，起到事前发现和防范作用[8].

2) 要防范本地受害人，做到精准宣传和制止.这个从访问的诈骗网站、安装诈骗APP、搜索相关关键字，甚至已经给诈骗银行账号打款的对象中进行精准宣传和制止工作[9].

4 结束语

本文对电话群呼诈骗的演变以及电话诈骗所使用的主要设备及技术进行了简单论述，了解了电话群呼设备的网络架构和组网方式，掌握了相关的技术原理；但对远程控制SIP服务器和SIM Server服务器的研究尚未深入开展；对诈骗的洗钱的支付方式也尚未涉及.这些都将是下一步研究的方向.