淺析電信詐騙案件中VOIP技術(shù)關(guān)鍵設(shè)備的取證要點(diǎn)

◆王嘯虎

淺析電信詐騙案件中VOIP技術(shù)關(guān)鍵設(shè)備的取證要點(diǎn)

◆王嘯虎

（內(nèi)蒙古包頭市公安局昆都侖區(qū)分局網(wǎng)安大隊(duì) 內(nèi)蒙古 014010）

隨著互聯(lián)網(wǎng)時(shí)代的高速發(fā)展，電信詐騙成爆發(fā)式增長，詐騙手法層出不窮，詐騙中所使用的技術(shù)手段不斷升級，VOIP技術(shù)更是被犯罪分子廣泛應(yīng)用于電信詐騙。本文主要介紹了VOIP技術(shù)關(guān)鍵設(shè)備取證要點(diǎn)。

VOIP；GOIP；SIMPOOL；電信詐騙

0 前言

近年來，隨著中國互聯(lián)網(wǎng)產(chǎn)業(yè)、中國金融業(yè)、通信業(yè)的快速發(fā)展，借助各類現(xiàn)代化高科技手段實(shí)施的電信詐騙犯罪在國內(nèi)迅速發(fā)展蔓延，其騙術(shù)手段多變，識(shí)別防范難度較大，致使人民群眾深受其害。尤其是在電信詐騙案件中VOIP技術(shù)的應(yīng)用給公安機(jī)關(guān)在偵查破案過程中帶來非常大的阻力，熟悉并掌握VOIP技術(shù)中關(guān)鍵設(shè)備GOIP、SIM POOL的取證要點(diǎn)是案件偵破和后期起訴的重要支撐。

1 VOIP技術(shù)介紹

VoIP（Voice over Internet Protocol）簡而言之就是將模擬信號(hào)數(shù)字化，以數(shù)據(jù)封包的形式在IP網(wǎng)絡(luò)上做實(shí)時(shí)傳遞。VoIP最大的優(yōu)勢是能廣泛地采用Internet和全球IP互連的環(huán)境，提供比傳統(tǒng)業(yè)務(wù)更多、更好的服務(wù)。VoIP可以在IP網(wǎng)絡(luò)上便宜的傳送語音、傳真、視頻、和數(shù)據(jù)等業(yè)務(wù)，如統(tǒng)一消息業(yè)務(wù)、虛擬電話、虛擬語音、傳真郵箱、查號(hào)業(yè)務(wù)、Internet呼叫中心、Internet呼叫管理、電話視頻會(huì)議、電子商務(wù)、傳真存儲(chǔ)轉(zhuǎn)發(fā)和各種信息的存儲(chǔ)轉(zhuǎn)發(fā)等。

1.1 VoIP的三種主要方式

（1）網(wǎng)絡(luò)電話：完全基于Internet傳輸實(shí)現(xiàn)的語音通話方式，一般是PC和PC之間進(jìn)行通話。

（2）與公眾電話網(wǎng)互聯(lián)的IP電話：通過寬帶或?qū)Ｓ玫腎P網(wǎng)絡(luò)，實(shí)現(xiàn)語音傳輸。終端可以是PC或者專用的IP話機(jī)。

（3）傳統(tǒng)電信運(yùn)營商的VoIP業(yè)務(wù)：通過電信運(yùn)營商的骨干IP網(wǎng)絡(luò)傳輸語音。提供的業(yè)務(wù)仍然是傳統(tǒng)的電話業(yè)務(wù)，使用傳統(tǒng)的話機(jī)終端。通過使用IP電話卡，或者在撥打的電話號(hào)碼之前加上IP撥號(hào)前綴，這就使用了電信運(yùn)營商提供的VoIP業(yè)務(wù)。

1.2 VOIP技術(shù)實(shí)現(xiàn)方案

VOIP的技術(shù)解決方案通常分為行業(yè)應(yīng)用、企業(yè)應(yīng)用和虛擬運(yùn)營，其中行業(yè)應(yīng)用包括：語音機(jī)器人解決方案、呼叫中心解決方案、調(diào)度系統(tǒng)解決方案；企業(yè)應(yīng)用中包括：企業(yè)通信解決方案；虛擬運(yùn)營中包括：回?fù)芙鉀Q方案和電信營銷解決方案。

1.3 VOIP技術(shù)中關(guān)鍵設(shè)備介紹

（1）GOIP無線語音網(wǎng)關(guān)

GOIP無線語音網(wǎng)關(guān)是一款多功能融合設(shè)備，主要用于連接移動(dòng)運(yùn)營商網(wǎng)路與IP網(wǎng)絡(luò)，實(shí)現(xiàn)運(yùn)營商網(wǎng)絡(luò)與IP網(wǎng)絡(luò)的上下車，并廣泛應(yīng)用于虛擬運(yùn)營、呼叫中心、企業(yè)介入、短信營銷、無線移動(dòng)等領(lǐng)域。

GOIP無線語音網(wǎng)關(guān)根據(jù)所支持的運(yùn)營商（移動(dòng)、聯(lián)通、電信）、支持頻段（GSM、CDMA、WCDMA、全網(wǎng)通）、信號(hào)（2G、3G、4G）、插卡數(shù)量（4、8、16、32、64、128）、并發(fā)數(shù)量（4、8、16、32）可分為多種型號(hào)。

（2）SIMPOOL

SIMPOOL是一款能夠集中存儲(chǔ)管理大量sim卡的設(shè)備。可與GOIP語音網(wǎng)關(guān)完美兼容，并且和sim center管理平臺(tái)一起使用，通過TCP/IP協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)機(jī)卡分離的效果。為用戶提供了一套完整的、具備強(qiáng)大sim卡管理能力的無線VOIP解決方案。

目前市場上常見的SIMPOOL設(shè)備主要特點(diǎn)：128/256個(gè)通道可選；支持瀏覽器：Firefox/Chrome/IE/Opera；NAT穿透和防火墻；SIM卡熱拔插；支持Qos；遠(yuǎn)程管理SIM 卡；支持多種語言：中文和英語；動(dòng)態(tài)分配SIM卡；防封卡；HTTP/TFTP升級。

SIMPOOL的工作模式包括兩種：一種是不通過服務(wù)器實(shí)現(xiàn)機(jī)卡分離，這種工作模式為點(diǎn)對點(diǎn),該模式要求網(wǎng)關(guān)直接與SIMPOOL對接，SIMPOOL和網(wǎng)關(guān)必須在同一個(gè)局域網(wǎng)下或者二者均具有公網(wǎng)IP；另一種工作模式是通過服務(wù)器注冊方式實(shí)現(xiàn)SIMPOOL設(shè)備與GOIP語音網(wǎng)關(guān)的通信，這種工作模式為注冊。

2 VOIP技術(shù)在電信詐騙案件中的運(yùn)用

目前很大一部分電信網(wǎng)絡(luò)詐騙案件中嫌疑人所使用的通信手段都是基于VOIP技術(shù)實(shí)現(xiàn)的，通過實(shí)際辦案過程中發(fā)現(xiàn)有專業(yè)的犯罪團(tuán)伙負(fù)責(zé)建設(shè)的專門用于違法犯罪活動(dòng)的通信線路，俗稱“線路商”，這些團(tuán)伙利用虛假身份信息在全國各地租住公寓式出租屋放置落地網(wǎng)關(guān)（GOIP無線語音網(wǎng)關(guān)），通過互聯(lián)網(wǎng)將GOIP無線語音網(wǎng)關(guān)接入SIP服務(wù)器（例如VOS），同時(shí)利用GOIP無線語音網(wǎng)關(guān)遠(yuǎn)程換卡功能實(shí)現(xiàn)機(jī)卡分離，遠(yuǎn)程管理所有網(wǎng)關(guān)設(shè)備。“線路商”將自己所組建的VOIP線路出租給各類詐騙團(tuán)伙從中牟利。在“線路商”所建立的用于詐騙的VOIP線路中，主要由落地網(wǎng)關(guān)、SIMPOOL、VOS、CC服務(wù)器等組成。

【VOS】：一款電話軟交換系統(tǒng)，主要用來在VOIP傳輸網(wǎng)絡(luò)中進(jìn)行計(jì)費(fèi)，其中會(huì)存儲(chǔ)話單信息。

【CC】【群呼系統(tǒng)】【呼叫中心】：本文特指詐騙團(tuán)伙用來進(jìn)行詐騙電話群呼的系統(tǒng)，可以理解成詐騙業(yè)務(wù)系統(tǒng)（OA），其中會(huì)存儲(chǔ)詐騙業(yè)務(wù)所使用各類關(guān)鍵數(shù)據(jù)，如話單、連接IP、帳號(hào)、組織號(hào)、坐席號(hào)等。

【窩點(diǎn)】：本文特指某個(gè)犯罪團(tuán)伙，為一個(gè)邏輯概念。

通常情況下一個(gè)VOIP線路建好后會(huì)租用給不同的犯罪團(tuán)伙使用，在案件偵破過程中必須根據(jù)自身的案件線索結(jié)合對VOIP線路中關(guān)鍵設(shè)備的現(xiàn)場勘驗(yàn)和遠(yuǎn)程勘驗(yàn)所獲得的實(shí)際數(shù)據(jù)情況進(jìn)行案件分析，找到實(shí)施詐騙的犯罪團(tuán)伙。

3 詐騙案件中VOIP技術(shù)關(guān)鍵設(shè)備取證要點(diǎn)

電信詐騙案件中通常的偵查方向有兩個(gè)：一個(gè)是信息流，一個(gè)是資金流。電信網(wǎng)絡(luò)詐騙團(tuán)伙利用各類金融手法，通過第三方備付金、地下錢莊、境外賬戶等多種手段進(jìn)行洗錢，對于偵查機(jī)關(guān)追蹤資金流來說難度較大。本文中所提到的VOIP技術(shù)主要涉及到的就是信息流，通過案件中所掌握的線索對信息流進(jìn)行偵查，對于VOIP技術(shù)中的一些關(guān)鍵設(shè)備的取證工作就顯得尤為重要。

圖1 詐騙路徑圖解

3.1 GOIP無線語音網(wǎng)關(guān)取證要點(diǎn)

偵查機(jī)關(guān)在鎖定嫌疑人所使用的GOIP無線語音網(wǎng)關(guān)后，要及時(shí)對該設(shè)備進(jìn)行現(xiàn)場勘驗(yàn)，提取、固定設(shè)備中的配置數(shù)據(jù)，現(xiàn)場勘驗(yàn)時(shí)必須保證電腦與設(shè)備在同一個(gè)局域網(wǎng)下，通過瀏覽器訪問該設(shè)備，登錄默認(rèn)用戶名是“root”，默認(rèn)密碼是“root”，主要注意獲取以下幾個(gè)內(nèi)容：

（1）固定、提取GOIP無線語音網(wǎng)關(guān)中SIP服務(wù)器設(shè)置信息，其中包括：SIP服務(wù)器IP地址、服務(wù)器端口、賬號(hào)和密碼，這一數(shù)據(jù)可以用于后期對SIP服務(wù)器的遠(yuǎn)程勘驗(yàn)工作。

（2）固定、提取網(wǎng)絡(luò)狀態(tài)信息，WAN口狀態(tài)，包括：工作模式、連接狀態(tài)、IP、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器地址、MAC地址；LAN口狀態(tài)，包括：IP、子網(wǎng)掩碼、DHCP服務(wù)器狀態(tài)；其他狀態(tài)包括：當(dāng)前標(biāo)準(zhǔn)時(shí)間、系統(tǒng)運(yùn)行時(shí)間、硬件版本、固件版本、軟件版本、發(fā)布時(shí)間。通過以上狀態(tài)信息可以了解設(shè)備的硬件情況、設(shè)備運(yùn)行情況和網(wǎng)絡(luò)情況。

（3）固定、提取設(shè)備端口狀態(tài)，其中包括：端口號(hào)、注冊狀態(tài)、模塊狀態(tài)、IMEI號(hào)碼，由于該設(shè)備中每個(gè)端口的IMEI號(hào)碼是可以修改的，所以必須及時(shí)的固定設(shè)備的端口IMEI數(shù)據(jù)，以便和案件中的線索進(jìn)行前后關(guān)聯(lián)。

（4）固定、提取設(shè)備中短信收件箱和發(fā)件箱里的內(nèi)容，GOIP設(shè)備具備短信收發(fā)功能，因此設(shè)備里短信內(nèi)容極有可能是案件的重要線索和證據(jù)。

（5）固定、提取設(shè)備中SIM卡的號(hào)碼列表，電信網(wǎng)絡(luò)詐騙案件中所使用的GOIP設(shè)備中的SIM是機(jī)卡分離模式，通過SIMPOOL對SIM卡進(jìn)行集中管理，因此設(shè)備中所寫入的SIM卡號(hào)碼是案件的重要線索和證據(jù)。

（6）固定、提取設(shè)備中遠(yuǎn)程換卡配置信息，包括SIM Center服務(wù)器地址、SIM Center服務(wù)器上創(chuàng)建的設(shè)備賬戶、GOIP設(shè)備賬戶對應(yīng)的密碼、SIM調(diào)度模式、連接傳輸協(xié)議、連接存活時(shí)間。獲取SIM Center服務(wù)器相關(guān)數(shù)據(jù)后，可以用于后期對該服務(wù)器進(jìn)行遠(yuǎn)程勘驗(yàn)。

（7）固定、提取設(shè)備網(wǎng)管信息，包括：網(wǎng)管類型、網(wǎng)管地址、網(wǎng)管端口、賬號(hào)、密碼，這類設(shè)備通常會(huì)由遠(yuǎn)程網(wǎng)管系統(tǒng)提供給用戶方便管理，用戶只需要注冊好網(wǎng)管賬戶，正確設(shè)置后，網(wǎng)關(guān)將會(huì)注冊到遠(yuǎn)程網(wǎng)管服務(wù)器上并建立正確的連接，便可通過設(shè)置的賬號(hào)登錄到相應(yīng)的網(wǎng)關(guān)。偵查人員第一時(shí)間拿到網(wǎng)管信息便可以登陸遠(yuǎn)程網(wǎng)管系統(tǒng)，可以通過社會(huì)工程學(xué)破解網(wǎng)管系統(tǒng)上同一團(tuán)伙所布置的其他網(wǎng)關(guān)設(shè)備。

（8）固定、提取設(shè)備中的日志信息，包括：sysmsg.log、messages.log等。

3.2 SIMPOOL設(shè)備取證要點(diǎn)

偵查機(jī)關(guān)在鎖定嫌疑人所使用的 SIMPOOL設(shè)備后，要及時(shí)對該設(shè)備進(jìn)行現(xiàn)場勘驗(yàn)，提取、固定設(shè)備中的配置數(shù)據(jù)，現(xiàn)場勘驗(yàn)時(shí)必須保證電腦與設(shè)備在同一個(gè)局域網(wǎng)下，通過瀏覽器訪問該設(shè)備，登錄默認(rèn)用戶名是“root”，默認(rèn)密碼是“root”，主要注意獲取以下幾個(gè)內(nèi)容：

（1）固定、提取設(shè)備中的ESP設(shè)置信息，ESP設(shè)置為SIMPOOL與網(wǎng)關(guān)對接的相關(guān)配置，分點(diǎn)對點(diǎn)和注冊兩種模式。點(diǎn)對點(diǎn)模式下，SIMPOOL與網(wǎng)關(guān)對接無需通過服務(wù)器，只要保證網(wǎng)絡(luò)互通就行。注冊模式下SIMPOOL將注冊到SIM Center，通過SIM Center和GOIP網(wǎng)關(guān)對接，此時(shí)我們需要固定提取SIM Center服務(wù)器地址、用戶名和密碼，用于對SIM Center服務(wù)器的遠(yuǎn)程勘驗(yàn)。

（2）固定、提取設(shè)備遠(yuǎn)程網(wǎng)管信息，包括：網(wǎng)管地址、網(wǎng)管端口、賬號(hào)、密碼，遠(yuǎn)程網(wǎng)管的作用是方便用戶遠(yuǎn)程管理設(shè)備。

（3）固定、提取系統(tǒng)狀態(tài)信息，WAN口狀態(tài)，可以查看SIMPOOL的WAN口的網(wǎng)絡(luò)設(shè)置信息，包括IP地址、默認(rèn)網(wǎng)關(guān)、DNS、MAC地址等一系列信息；其他狀態(tài)，可以查看SIMPOOL的遠(yuǎn)程網(wǎng)關(guān)注冊信息、當(dāng)前時(shí)間、系統(tǒng)運(yùn)行時(shí)間、硬件軟件固件版本等；

（4）固定、提取呼叫狀態(tài)信息，包括端口（代表SIMPOOL的卡座號(hào)）、模塊（與SIMPOOL綁定的網(wǎng)關(guān)端口）、模塊類型、呼叫狀態(tài)（該SIMPOOL端口狀態(tài)）、持續(xù)時(shí)間（SIMPOOL端口某種狀態(tài)下的持續(xù)時(shí)間）、余額（該SIMPOOL端口余額）、描述（SIMPOOL端口狀態(tài)的描述，如通話將顯示主叫號(hào)與被叫號(hào)）。

（5）固定、提取設(shè)備中的日志信息，可以用來分析設(shè)備的運(yùn)行狀態(tài)。

由于VOIP線路中SIMPOOL設(shè)備通常與GOIP設(shè)備是分開存放，而且一般都存放在境外，所以針對無法進(jìn)行現(xiàn)場勘驗(yàn)的SIMPOOL設(shè)備，要通過GOIP設(shè)備中獲取的SIM Center服務(wù)器的相關(guān)信息進(jìn)行遠(yuǎn)程勘驗(yàn)。

3.3 現(xiàn)場勘驗(yàn)注意事項(xiàng)

電信網(wǎng)絡(luò)詐騙案件中的GOIP、SIMPOOL設(shè)備的放置現(xiàn)場通常為單身公寓，案發(fā)現(xiàn)場布置簡單，只用來放置作案設(shè)備，并接入互聯(lián)網(wǎng)，需要注意的是在房間內(nèi)犯罪分子為了隨時(shí)掌握設(shè)備情況會(huì)放置網(wǎng)絡(luò)攝像頭正對房間門，因此在辦案過程中進(jìn)入房間時(shí)要采取技術(shù)性手段中止房間內(nèi)網(wǎng)絡(luò)攝像頭工作，以防止被犯罪分子發(fā)現(xiàn)窩點(diǎn)被查。同時(shí)電信網(wǎng)絡(luò)詐騙案件中這些設(shè)備內(nèi)的數(shù)據(jù)更換頻率快，保存時(shí)間段，為了有效的固定涉案的電子數(shù)據(jù)要在案件發(fā)生第一時(shí)間找到放置設(shè)備的地點(diǎn)進(jìn)行取證。

4 總結(jié)

隨著信息技術(shù)的高速發(fā)展，電信網(wǎng)絡(luò)詐騙案件占所有案件比重逐年上升，犯罪分子在詐騙案件中所使用的技術(shù)手段不斷升級，反偵察意識(shí)非常之強(qiáng)，使得案件偵破過程中證據(jù)的收集、提取和固定阻力重重。要想將犯罪分子繩之以法，必須熟悉并掌握犯罪分子所使用的各種技術(shù)手段，能夠準(zhǔn)確提取、固定犯罪分子的作案證據(jù)成為了案件偵破工作的重中之重。

[1]中國通信學(xué)會(huì)信息通信科學(xué)傳播專家團(tuán)隊(duì).信息通訊技術(shù)百科全書[M].北京：人民郵電出版社， 2015.