連環漏洞下的電信詐騙

付曉英

8月30日下午，一張印在A4紙上的“警情通報”傳遍網絡。通報內容很簡單：“8月29日23點25分，中關村派出所‘110接報：海淀區藍旗營小區清華大學一老師，被冒充公檢法電信詐騙人民幣1760萬元。特提示各單位加強員工宣傳力度，擴大宣傳范圍，減少和避免此類案件發生。一旦發現此類情況，請第一時間告知片警！”寥寥幾句話立刻掀起了軒然大波。此前不久已有大學生被電信詐騙騙光學費猝死，而后清華教師也被騙巨款，十幾天內接連發生的4樁電信詐騙案讓人瞠目結舌。

電信詐騙在國內并不是新鮮事。它最早起源于20世紀90年代初的臺灣，在當地警方打擊之下，2000年前后，詐騙主陣地轉移到大陸。部分福建籍詐騙團伙的成員掌握了詐騙套路后另起爐灶，家鄉福建便成為首選之地，并以家族關系為紐帶，迅速生根落地。如今，電信詐騙已在大陸蔓延了十幾年，不僅沒有絕跡，反而愈演愈烈。公安部、工信部和移動、聯通、電信等運營商聯合騰訊發布的《2016年第二季度反電信網絡詐騙大數據報告》顯示，今年第二季度，全國共接用戶標記“詐騙電話”超過4.6億條，環比增加1.8億條。其中，收到詐騙短信人數3億人、詐騙電話18.8億次，環比增加88%。其中電話詐騙涉及金額最大，高達16億元，數量也最多，占比近六成，通過短信詐騙的金額和數量依舊處于上升態勢。

除了數量增長，電信詐騙的騙術也在不斷升級，甚至形成了“區域特色”。“比如，冒充公檢法詐騙的一般是在東南亞等海外地區;冒充熟人、領導詐騙的一般是在廣東電白;像富婆重金求子這種大多是在江西余干;機票退改簽詐騙則基本是在海南一帶，不同區域有不同特點?！彬v訊反詐騙聯合實驗室負責人李旭陽告訴本刊記者，“這次山東的大學生徐玉玉被詐騙是有人冒充國家工作人員發放補貼，這是幾年之前就已經流行的騙術了。各種各樣的電信詐騙案其實每天都在發生，只不過徐玉玉被詐騙后猝死，之后清華大學的老師也被詐騙了巨款，都稱得上比較極端的案例，所以引發的關注更多?！?/p>

各式各樣的電信詐騙案例雖然層出不窮，但似乎從未像最近的幾起事件一樣觸動人們敏感的神經，從涉世未深的農村大學生到清華老師等典型的知識分子群體，都成為電信詐騙團伙的“獵物”，在環環相扣的詐騙情節里，個人的智識和經驗失效了，而運營商、銀行等處機構似乎也束手無策，甚至在某種程度上成為電信詐騙變相的“幫兇”。

電信詐騙的源頭在于信息泄露。本刊記者以“信息買賣”“數據買賣”等作為關鍵詞搜索相關QQ群，“股民資源數據買賣”“淘寶數據買賣”等群組比比皆是，群成員從幾十人到上百人不等，有的群組甚至直接在公告欄宣稱“可以在群內購買信息，無論非法、不非法”，個人信息交易已經半公開化，著實讓人目瞪口呆，看上去，完成電信詐騙的第一環毫不費力。

個人信息究竟是如何泄露出去的？這是追問電信詐騙首先要面對的問題。網絡普及之前，個人的信息數據基本以紙質形式存檔，互聯網時代到來后，信息數據的采集和儲存普遍采用網絡化、數字化的方式，方便快捷的同時，安全隱患也隨之而來?！皬募夹g角度講，很多網站都存在漏洞，黑客利用漏洞入侵網站拖庫，很容易就能把相關的數據庫竊取走，造成大規模的信息泄露。像最近幾起大學生被詐騙的案例，應該是教育網站本身存在漏洞?！?60手機衛士移動安全專家葛健告訴本刊記者。而除了技術缺陷，信息管理不善也是導致泄露的重要原因，掌握信息數據的人為了牟利、私下販賣信息，幾乎成為公開的秘密，而這比技術漏洞更難修補。“信息泄露的缺口太多了，有人愿意花錢買，自然就會有人去非法獲取這些信息。比如說你去買房或者要裝修，中介公司和裝修公司第一時間就知道了消息，推銷電話、短信立刻就來了，但信息泄露的源頭卻很難糾查到，到目前為止也沒有一個好的解決方案?！崩钚耜栒f。而電信詐騙案發生后，追查案件的責任就轉移到警方了?！暗珜嶋H上，公安機關是非常被動的，電信詐騙的整個環節都沒有經過公安機關，整個流程警方是摸不到的，沒辦法在詐騙過程中進行阻礙，只能事后追查，在線下追捕犯罪嫌疑人，辦案成本非常高。因為很多時候，電信詐騙是跨區域甚至跨境作案，實際破案很困難，這么多年來，電信詐騙一直存在并且越來越猖獗也跟這個因素有關?！?/p>

從源頭根除信息泄露不太現實，詐騙案發后再追查破案同樣困難，因此，想要有效地打擊電信詐騙，最好的方法是從詐騙的中間環節入手，而運營商和銀行便成為反詐騙最好的兩個切口?！按螂娫捠菍嵤╇娦旁p騙的必經步驟，一定會通過運營商的系統，運營商其實可以通過技術手段識別詐騙電話來進行有效的遏制。詐騙轉賬則會經過銀行的系統，銀行也可以通過數據的積累和分析對可疑的賬號進行識別，在詐騙的最后環節保護受害者?！崩钚耜柛嬖V本刊。

然而，原本有希望截斷電信詐騙的運營商和銀行系統同樣力量薄弱。“電信詐騙的騙術在更新，技術手段也在升級。如果詐騙分子直接用運營商的號碼打電話，數據的采集監測并不難。但現在越來越多的詐騙電話是利用偽基站群發器，體積很小、方便攜帶，放在汽車后備廂里或背包里就可以隨時向周邊的手機用戶發送各種廣告信息、仿冒運營商或者銀行號碼的詐騙信息等。從信息發布者的角度來說很方便，但是運營商想要識別和打擊卻并不容易，即使定位到偽基站的位置，時間上也存在延遲和滯后。而撥打電話所使用的號碼大多是運營商的部分虛擬號段，或者是經過網絡改號器偽裝過的號碼，沒有身份信息登記，無法追查也無法回撥。想要識別或攔截詐騙電話，運營商也需要更高級的技術手段?！备鸾「嬖V本刊記者。而在技術之外，出于利益考慮，運營商在之前很長一段時間對電信詐騙態度曖昧?！斑\營商可能覺得自己就是個平臺，電信詐騙的發生與其無關，不愿意額外付出資金和人力成本去做這方面的工作，近兩三年，運營商才逐漸開始有所作為?！?/p>

而銀行系統作為電信詐騙的最后一環，面臨的也是與運營商相似的情形。“電信詐騙早就形成了一條完整的產業鏈，無論電話卡還是銀行卡都有專門的人提供。詐騙團伙會在網絡上發布購買銀行卡的廣告，很多人為了賺錢去銀行辦卡、開通網銀，再通過網絡支付和快遞郵寄轉手賣出，根本無從查詢，還有的干脆就是非實名制的黑卡。詐騙團伙還有專門的洗錢渠道，受害者轉賬之后，贓款很快就轉往境外。即使偶爾不轉往境外，幾百個賬戶也能在很短時間將資金分解、轉賬、迅速提取，整個流程是非常成熟系統的，追蹤和打擊都很困難。而凍結詐騙分子的銀行賬戶則需要經過一系列流程和手續，從做筆錄、審批立案到實施凍結，至少需要兩三個小時，這時候贓款早就轉走了。”一位銀行業內人士告訴本刊記者。

雖然困難重重，但電信詐騙并非無法治理。目前，國內的運營商和公安系統已經與國內一些第三方安全公司開展合作，利用其技術支持和大數據資源標記詐騙電話、監測和分析詐騙信息，并實時向可能的受騙用戶發送提醒，在詐騙過程中進行干預。而國務院常務委員會近日也通過了《無線電管理條例》修訂案，加大了對非法使用無線電設備等行為的監管和處罰力度，對利用“偽基站”進行電信詐騙等違反條例的行為，罰款上限由此前的5000元最高擬提高至50萬元，加大法律追究力度，對電信詐騙進行預防和打擊。

當然，打擊電信詐騙的方法遠不止于此?！跋衩绹恍┿y行采用‘延時付款措施，錢可以很快到賬，但間隔一天才能取走;而日本警方為了打擊電信詐騙，加強與銀行的聯動，采取了監控銀行賬戶異常交易、同一家銀行每人只能開設一個賬戶、限制單次及單日轉賬額度、禁止銀行賬戶買賣等，這些做法都可以借鑒。”上述銀行業人士告訴本刊記者。

“我們還應當大膽借鑒其他國家在保護公民個人信息方面的先進制度、判例和學說，更好地構建有中國特色的預防和打擊電信詐騙的法律制度保護網。以嚴刑峻法對電信詐騙嚴厲追究刑事責任，再加上民事上懲罰性的賠償制度，讓詐騙分子付出承擔不起的代價。而要防范和鏟除電信詐騙，關鍵是協同共治，從企業慎獨自控到加強行政、法律監管，針對整個詐騙產業鏈進行聯合打擊?！敝袊嗣翊髮W法學院教授劉俊海對本刊分析說。

而作為安全專家，李旭陽對于電信詐騙的態度更加務實，在他看來，詐騙與反詐騙其實就是攻與防的關系?！耙环矫嬉ㄟ^技術手段和嚴格的監管不斷提高詐騙分子作案的成本，另一方面加強反詐騙教育，讓受騙者越來越少。想要完全杜絕電信詐騙，除非技術非常先進、讓電信詐騙在每個環節都無孔可入，再或者‘物理消滅、把詐騙團伙一網打盡。但是，從現在來看，這兩步離我們還很遙遠，不太現實。因此，詐騙與反詐騙一定會經歷一個反復對抗的過程。”

（實習記者肖楚舟對本文亦有貢獻）