電信詐騙犯罪分析及應對手段

姚一楠　邵蘋　鄭海強　詹維驍

摘要：為了探討如何應對電信詐騙，首先列舉了電信詐騙的特點，在此基礎上從個人信息保護、法律監管的角度分析了電信詐騙的成因，最后從技術和監管兩個方面提出了應對電信詐騙的手段。

關鍵詞：電信詐騙 個人信息泄漏 數據保護

1 引言

隨著2016年下半年新聞媒體不斷報道電信詐騙的一些惡性事件后，電信詐騙一時間又成為了民眾關注的焦點。據2015年公安部統計，電信詐騙每年以20%～30%的速度快速增長，2015年全國公安機關共立電信詐騙案件59萬起，同比上升32.5%，共造成經濟損失222億元。2013年至今，全國共發生被騙千萬元以上的電信詐騙案件94起，百萬元以上的案件2085起[1]?？梢钥吹?，雖然近兩年有關部門對電信詐騙的打擊力度在加大，但是犯罪依舊十分猖獗。因此，如何有效地減少電信詐騙成為重中之重，除了引導民眾提高警覺之外，從技術和監管的角度能有哪些手段去應對電信詐騙是本文要探討的話題。

2 電信詐騙的特點

2.1 詐騙手段多樣化

武漢大學在2015年末對大學生進行了電信詐騙相關的問卷調查[2]，從調查的結果來看，目前犯罪分子主要通過以下手段進行詐騙；一是發布虛假中獎消息；二是利用網絡購物陷阱詐騙；三是利用網絡找工作或借貸騙取保證金、手續費；四是冒充家人、朋友qq或微信騙錢；五是冒充國家工作人員借由事端騙取匯款。

2.2 集團作案組織化

該類案例組織化程度高，犯罪分子以詐騙為常業，有固定的詐騙窩點，作案分工明確，組織嚴密，且大都使用假名，呈現明顯的集團化、職業化的特點[3]。

2.3 作案手段科技化

電信詐騙與其他類型的犯罪相比，主要利用電話平臺，因此多采用高科技手段，最新的通訊手段、信息竊取技術被廣泛的用于電信詐騙之中。

第一，利用非法途徑獲取用戶個人信息。除了某些人非法倒賣個人信息外，智能手機的發展使得個人信息的獲取變得更加容易。Android手機目前市場占有率最高，市場份額超過了75%[4]，而Android系統開放了很多API接口，比如讀取聯系人、讀取通話記錄等，App只要申請了權限就可以使用，這使得很多時候用戶在正常使用手機的時候，自己的個人信息就已經悄無聲息的泄露出去了。

第二，使用VoIP（網絡電話）通信。通常情況下進行語音電話使用的都是CS域，網絡為通話雙方建立獨有通道，而不是IP數據包的格式。而隨著移動互聯網的發展，基于IP網絡的語音通信成為新的趨勢。主叫用戶將數據包發送到語音網關中，語音網關再封裝數據包傳送到運營商網關，通過“透傳”將數據包送到被叫用戶。這其中語音網關就是核心，互聯網上的一些網絡電話，例如Skype、UUCall等公司，都有自己的網關，而主叫網關就有權控制是否發送主叫號碼，并且可以任意修改。當然正規的廠商為了合法，只能讓你修改成自己的電話號碼，但是一些所謂的改號軟件就是在主叫與運營商之間，接入了非法網關，將號碼修改成一些政府、金融機構的官方號碼，從而欺騙用戶，使用戶放松警惕。

2.4 社會危害巨大化

今年下半年電信詐騙案件頻出，清華大學老師被騙1760萬元，準大學生學費被騙導致自殺等。電信詐騙由于通常采用群呼，廣撒網，無特定對象，等待受害者上鉤的方式。因此，這種方式往往范圍廣，詐騙數量很大，對單一受害者可能造成損失不大，但是形成規模后，對社會危害極大。

3 電信詐騙成因分析

3.1 個人信息保護薄弱

從個人用戶角度來說，很多人對個人信息的保護意識非常薄弱。從武漢大學15年的調研中報告中可以看到，接受調查的1500人中有67%的人稱對索取自己手機號碼、身份證、銀行卡號的商業注冊模式不感到任何意外，只是有12%的人可能稍許感到麻煩，調查中79%的人都表示自己沒有什么好被騙的。

中國泰爾實驗室在13年就加強了對入網終端的信息安全要求，要求終端操作系統要能監控App的敏感權限，在敏感操作執行前需要給用戶相應的提示和確認[5]，經過3年左右的實踐，目前市場上的手機都實現了這種能力。為了驗證從用戶角度敏感操作確認能否真的起到警示效果，從安全廠商LBE獲取了應用商店Top1000應用的用戶使用情況的數據進行統計。以短/彩信權限為例，App申請讀取短信記錄權限的共有709個，有205個用戶拒絕，占比28.9%；申請讀取彩信記錄430個，11個被用戶拒絕，占比2.6%。從數據可以看到，當App申請敏感權限時，大部分用戶都是選擇允許放行，只有很少的用戶會根據實際情況拒絕調用。由以上分析可以看到，很多用戶平常并不注重個人信息保護。

從企業角度來講，很多小企業也不重視對用戶個人信息的保護。App廠商通常為了快速推廣新功能，經常會忽略新功能背后可能會產生的安全問題，有的企業甚至就沒有專門負責安全的團隊。軟件漏洞、明文傳輸、弱口令等問題[6]使得不法分子很容易獲得個人信息，從而實施電信詐騙犯罪。

3.2 監管立法缺失

（1）電信詐騙相關規定

對于實施電信詐騙行為的主體，主要以刑事法律作為約束手段。依據我國刑法規定，實施電信詐騙行為以詐騙罪論處。根據其詐騙金額和是否具有嚴重情節，確定具體的刑罰，詳見刑法第二百六十六條規定。在此條基礎上，最高法、最高檢在2011年發布《關于辦理詐騙刑事案件具體應用法律若干問題的解釋》（以下簡稱《解釋》），其中明確了通過發送短信、撥打電話或者利用互聯網、廣播電視、報刊雜志等發布虛假信息，對不特定多數人實施詐騙的，按照刑法第二百六十六條規定酌情從嚴懲處。2016年9月23日，最高檢、公安部、人民銀行等六部門發布《關于防范和打擊電信網絡詐騙犯罪的通告》（以下簡稱《通告》），明確加強打擊電信詐騙力度，并要求公安、電信企業、銀行等機構嚴格執行《通告》要求，遏制電信詐騙犯罪勢頭。

由此可見，電信詐騙在刑法中并未單設罪名，而是將其作為詐騙罪的一種情形予以規制?！督忉尅分须m然有對于短信詐騙和電話詐騙嚴重情節的規定，但由于立法技術限制，對于新式的電信詐騙方式往往無法窮盡，易使法官在情節、量刑等方面具有過多主觀能動性。

（2）個人信息保護相關規定

獲取個人信息，是實施電信詐騙的必備條件之一。對于個人信息的保護力度也間接影響著電信詐騙犯罪發生的概率。我國目前尚無統一的個人信息保護法，個人信息保護的規定散落在不同層級的法律法規中，具體包括《刑法》、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《關于依法懲處侵害公民個人信息犯罪活動的通知》、《電信和互聯網用戶個人信息保護規定》等法律法規。

上述所列舉的規定，由于發文機關的不同，其規定效力和受約束主體也不同。各個行業往往按照本行業的監管要求去保護個人信息，受限于立法層級，規定中多為缺乏罰則的規范或建議性規范，缺少確保規范落地的措施，使各個規定往往流于形式，無法有效執行。此外，由于不同行業的不同標準（有些行業甚至缺乏個人信息保護規范），導致各行業之間在保護個人信息方面有較大差異，當個人信息在不同行業之間流轉時，無法按照統一要求切實保護個人信息。

4 技術應對手段

4.1 保護個人信息，避免隱私泄露

由前文的分析可以看到，個人信息的泄露是造成電信詐騙危害越來越大的源頭，那么從事前的角度，需要對個人數據采取一定的技術保護。

數據的保護通常需要面臨四個步驟，即數據采集、加工、轉移和刪除。數據采集階段，操作系統應能夠主動識別App行為并給予用戶提示和確認，這一點在第三章已經進行了分析。加工階段，則主要要保證數據存儲安全，主要就是通過加密手段解決。App將登錄密碼等數據存儲在終端內部時應避免存儲原始數據，應對數據進行Hash處理，同時增加鹽值，抵御查表攻擊[7]。以Android為例，其提供很多標準加密算法可以使用，在Hash處理上更應該使用SHA-256、SHA-3算法而減少MD5、SHA-1的使用，因為類似MD5值，在網上有很多字典庫很容易查到原始數據。對于文件的加密，通常情況都會使用AES對稱加密算法，在Android API中默認是DES算法56位加密密鑰，且加密模式ECB模式，經過技術的發展，這種加密強度顯然是不夠的。因此，廠商要保護個人信息，應該注意在開發時指定加密算法為AES的CBC模式或CFB模式，且密鑰不小于128 bit，推薦使用256 bit。

在轉移階段可以將個人數據分為兩類，采用脫敏后轉移或直接轉移。通常情況下，對于能夠與特定個人相關的數據，也就是電信詐騙常關注的姓名、電話、住址等信息，這些信息的管理者在轉移傳輸前應當對數據采取抑制、隱藏、泛化、隨機化等技術手段進行脫敏處理，消除能夠識別個體的數據字段后再進行共享，典型實例如表1所示：

如果采用脫敏的方式不能完全滿足數據處理的要求，則傳輸轉移過程中依舊要通過加密、簽名等方式保護數據的完整性、機密性、抗抵賴性。傳輸過程中采用HTTPS傳輸，使用RSA或ECC算法。

最后，在刪除階段，普通用戶使用的手機應該提供徹底刪除的功能，不僅要刪除存儲器件的位置索引，而是對存儲區進行全“0”或全“1”填充，保證數據的不可恢復。

4.2 增強主動防御，提高用戶認知

即使廠商很注意對用戶個人信息的保護，但在大數據時代，個人信息依舊有很多非技術手段能夠獲得，并且一些犯罪分子經常采用漫無目標的群呼。因此，除了廠商加強對用戶個人信息的保護之外，還應該加強對詐騙電話的識別和攔截，幫助用戶主動拒絕電信詐騙的發生。

可以提取總結實施電信詐騙犯罪行為的一些歷史特征，從而使用大數據分析手段進行分類，例如貝葉斯分類算法。設每個數據樣本用一個n維特征向量來描述n個屬性的值，即：X={x1， x2， …， xn}，假定有m個類，分別用（C1， C2， …， Cm）表示。給定一個未知的數據樣本X（即沒有類標號），若簡單貝葉斯分類法將未知的樣本X分配給類Ci，則一定是：

P（Ci|X）>P（Cj|X） 1≤j≤m，j≠i （1）

根據貝葉斯定理[8]，由于P（X）對于所有類為常數，最大化后驗概率P（Ci|X）可轉化為最大化先驗概率P（X|Ci）P（Ci）。如果訓練數據集有許多屬性和元組，計算P（X|Ci）的開銷可能非常大，為此，通常假設各屬性的取值互相獨立，這樣先驗概率P（x1|Ci），P（x2|Ci），…，P（xn|Ci）可以從訓練數據集求得[9]。具體到電信詐騙情況，例如電話詐騙的方式，可能會產生幾種數據顯著增長：通話頻率、通話時長、消費金額、欠費次數等。因此，我們可以將這些屬性定義相應級別，分析整理大量歷史數據，如表2所示：

通過訓練類似這些數據得到P（xi|Ci），就可以在以后未知號碼進行通信時，分析其行為特征，直接判斷是否屬于詐騙電話，類似的數據挖掘算法還有神經網絡、決策樹等，也可以使用這些方法去判斷詐騙短信，從而攔截和警告。

除了進行大數據挖掘，目前很多手機安全廠商都提供了號碼標記功能，利用用戶自己對來電進行標識，通過云端進行識別，幫助其他用戶判斷來電情況。為了避免改號軟件的使用，一些政府機關、金融機構和安全廠商進行聯合，在主叫呼叫時，立刻回叫相應單位，由單位判斷當前是否正在呼叫，通過二次確認，來判斷來電號碼是否為冒用號碼。通過以上分析可以看到，采用一定技術手段可以減少電信詐騙的發生，這就需要安全廠商、運營商、App開發商等共同的努力。

5 監管應對手段

5.1 法律法規的完善

針對電信詐騙方面的法律法規，應以《刑法》的詐騙罪為基礎，通過出臺司法解釋不斷完善電信詐騙量刑標準、從重情節等內容，指導司法實踐中的疑難案件，減少法官在量刑方面的自由裁量權。

另一方面，制定個人信息保護領域的“憲法”，通過減少信息泄露途徑，也可達到減少電信詐騙發生的目的。提升個人信息保護的立法層級，制訂《個人信息保護法》，作為各個行業保護個人信息的依據。刑法修正案九修改的侵犯公民個人信息罪，是個人信息保護在刑事方面的根基。個人信息保護的原則、要求、與其他法律法規的關系等可以由《個人信息保護法》規定。

5.2 標準制定

除了通過實施刑罰的方式懲治電信詐騙，還可通過制定行業相關標準，加大實施電信詐騙犯罪的難度。可在《個人信息保護法》的基礎上，根據各行業特點、個人信息敏感程度等制定具體的行業標準，明確該行業機構在制度層面、技術層面的要求。

以金融業中的基金為例，中國證券投資基金業協會作為基金行業的自律組織，可以承擔上述職能。具體可體現為制定投資者信息保護指引，要求基金公司及私募機構建立投資者信息保護內控制度，明確達到保護要求可使用的技術手段等，以此指引基金業投資者信息保護工作的開展。

5.3 定期的檢查

在有明確指引可遵循的情況下，需要確保規定的落地執行。除了行業內各個機構自我定期檢查、引入外部審計外，監管機構的監督檢查也是督促行業內機構踐行法律法規及監管指引的重要手段。

近期最高檢、公安部、人民銀行等六部門發布的《關于防范和打擊電信網絡詐騙犯罪的通告》對電信企業、商業銀行、支付機構等在預防和打擊電信詐騙方面提出了具體要求[10]。監管機構可匯同相關自律組織共同對行業內機構就《通告》落實情況進行檢查，檢查形式包括但不限于書面匯報、窗口指導、監管談話以及現場檢查等。同時將落實《通告》的情況作為評價行業內機構合規與否的重要指標之一，對檢查過程中發現的違法違規問題予以嚴肅處理。

5.4 加強教育

增強公民防電信詐騙意識，提高個人信息保護程度，降低電信詐騙發生的可能性。針對個人而言，監管機構可以通過設立風險提示專欄的形式，將典型電信詐騙手段、電信詐騙案例等進行匯總，并定期向社會公布，一方面讓公眾認清電信詐騙的形式防止受騙上當，另一方面對于想要實施電信詐騙的人也可起到威嚇作用。針對機構而言，監管機構或自律組織可以不定期舉辦個人信息保護交流活動，讓機構間互相借鑒個人信息保護經驗，不斷完善本機構的保護工作，減少信息買賣、信息泄露等事件的發生，從源頭上遏制電信詐騙犯罪的發生。

6 結論

由以上的分析可以看出，雖然電信詐騙的手段在不斷變化，但是從事前、事中、事后三方面都有應對手段能夠減少犯罪的發生，而能否做出改變來彌補各方面的不足，就需要整個社會重視電信詐騙問題，企業革新技術手段，政府加強監管和處罰，個人提高防范意識，各方合力才能有效減少電信詐騙犯罪的發生。

參考文獻：

[1] 馮群星. 2015年全國電信詐騙立案59萬起 造成損失222億[EB/OL]. （2016-10-02）. http：//news.qq.com/a/20161002/002777.htm.

[2] 易正鑫，王秋慶，柯萌. 防范電信詐騙的技術手段[A]. 《同行》2015年9月（下）[C]. 安徽： 安徽同行雜志社， 2015.

[3] 席珺. 電信詐騙的分析與對策[J]. 赤峰學院學報， 2012，33（8）： 117-118

[4] 王朦. iOS市場份額縮水谷歌安卓迎來2年內最強勁增長

[EB/OL]. [2016-10-31]. http：//tech.163.com/16/0518/16/BNC318MF00097U7R.html.

[5] YD/T 2407-2013. 移動智能終端安全能力技術要求[S]. 2013.

[6] 馬國富，郭銘博，謝天元. 基于Android手機的數據泄密及其防范研究[J]. 電腦知識與技術， 2016（9）： 65-67

[7] YD/T 3082-2016. 移動智能終端上的個人信息保護技術要求[S]. 2016.

[8] Jiawei Han. Micheline Kamber. Data Mining Concepts and Techniques[M]. China Macheine press， 2001.

[9] 劉劍. 基于數據挖掘技術實現騷擾電話識別[D]. 北京： 中國地質大學， 2011.

[10] 劉啟誠. 打擊電信詐騙 電信行業要“講政治”[J]. 通信世界， 2016（26）. ★