電話群呼詐騙技術手段分析

江漢祥

(廈門市美亞柏科信息股份有限公司 福建廈門 361008)

(ndjhx@qq.com)

隨著我國經濟的高速發展以及社會綜合管理的深化，特別是大數據和人工智能等新技術的廣泛應用，我國的傳統犯罪一直逐年下降，社會治安環境不斷改善.然而網絡詐騙卻逆勢不斷增長，犯罪手段不斷翻新，嚴重影響人們的生活，造成個人和社會的巨大經濟損失.電話群呼詐騙是網絡詐騙的一種主要形式，目前主要以司法機關的名義對受害人進行恐嚇式詐騙，給群眾生活帶來極大的危害.本文就針對電話群呼詐騙所采用技術手段和群呼設備的歷史演變進行闡述和分析，以便為執法人員提供知識與研判的幫助.

1 電話群呼技術手段演變

電話群呼技術手段主要指詐騙團伙實施詐騙時所利用的電話網絡、電話群呼平臺、語音網關及相關技術或設備.早期詐騙分子主要利用VOIP技術開展電話群呼，目前則主要利用GOIP技術開展電話群呼.下面就分析一下這2種技術手段.

1.1 VOIP電話群呼

VOIP(Voice over Internet Protocol)，即基于IP的語音傳輸，是一種語音通話技術，其本質就是對語音信號的數字化.它是對語音數據進行壓縮編碼，然后按TCP/IP標準打包，經過IP網絡把數據包送至接收地，再解壓恢復成原來的語音信號，達到互聯網傳送語音的目的.其核心與關鍵設備是VOIP網關和軟交換運營支撐系統，它把各地區電話區號映射為相應的地區網關IP地址[1].由于VOIP協議能夠對數據包中的來電號碼進行修改，所以詐騙者正是利用此原理將來電號碼進行了任意替換(即透傳技術).

常見VOIP軟交換運營支撐系統有：

1) 南京昆石網絡技術有限公司開發的VOS系統，有V2009，V3000，V5000等多個版本；

2) 深圳世紀網通通信技術開發有限公司開發的CMC呼叫控制管理平臺——Smartbilling計費系統；

3) 廣州市亞訊通訊設備有限公司開發的亞訊VoIP語音電話群呼系統.

VOIP電話群呼的傳輸過程如圖1(a)所示：

圖1 VOIP電話群呼傳輸流程圖

VOIP群呼詐騙者利用IP電話機接入VOIP語音網關，并通過軟交換運營支撐系統開展電話群呼，這種互聯網上傳輸的語音數據包會通過電信運營商的中繼網關轉換成語音信號，再通過傳統的公共交換電話網(PSTN)到達用戶電話端.

由于具備透傳技術，電話可以顯示為110或政法機關的總機號，具有很強的迷惑性，早期有大量的受害人因此受騙.同時因為主叫號碼被改號，所以傳統的話單分析方法是無法開展工作的，而需要進行信令倒查的方法.

所謂的信令是一種機制，構成通信網的用戶終端以及各個業務節點可以互相交換狀態信息和提出對其他設備的接續要求，從而使網絡作為一個整體運行.它相當于一個TCP/IP協議，從人工交換到電子交換.信令系統也從1號信令系統發展至7號信令系統.7號信令系統將信令與語音通路分開，采用高速數據鏈路傳送信令，因而具有傳送速度快、呼叫建立時間短、信號容量大、更改與擴容靈活、信令設備投資省、話路利用率高的特點[2].

信令倒查(如圖1(b)所示)就是根據受害人來電時間，利用運營商7號信令系統，一直追蹤上一級信令，直到追查到信令轉IP的落地運營商服務器，以用它所對接的軟路由交換服務器.有了落地運營商就可以找到線路承租商以及服務器的租用者.有了軟路由交換服務器就可能找到服務器的承租商及對應的租用者.同時也可能找出服務器上所使用的軟交換運營支撐系統，通過系統開發商就能夠找到購買系統的使用者.

由于VOIP網絡太復雜，需要的軟硬件多，比如：語音網關、控制平臺、電話群呼系統、線路提供商等，從而環節眾多，可能暴露的馬腳就越多.同時由于近年來運營商管控越來越嚴格，透傳技術和頻率被限制，虛假主叫號碼不能奏效，因而VOIP電話群呼逐漸被GOIP所替代.

1.2 GOIP群呼

GOIP(GSM over Internet Protocol)，即基于IP的信號傳輸，其本質就是把手機卡的信號數字化.目前術語上的GOIP一般指GOIP網關，是一種設備，能有效地把GSM與VOIP結合在一起.如圖2所示，常見的GOIP網關有32根天線(即32條線路，32個IMEI，每條線路可插4張卡，共128個卡槽)，同時支持128個手機號通話，還支持群發短信、遠程控制、機卡分離等功能.

圖2 GOIP網關

GOIP網關原本是為企業廣告群發短信等作用而設計的，但正因為其具備群呼功能，而且能夠遠程操控、人機分離，所以滿足詐騙分子的作案需要，就被充分利用，而且發揮得淋漓盡致.通常情況下，詐騙分子只要把GOIP網關連接到互聯網，就可能通過連接遠程控制服務器(SIP服務器)上的軟交換運營支撐系統對設備進行遠程操控，呼叫受害人電話.因而對詐騙分子來說其優勢明顯：

1) 人機分離.人在國外，設備在國內，遠程操控設備.

2) 本地主叫.受害人來電顯示為本地或國內號碼，容易上當.

3) 架構靈活.機卡可分離、串號與卡號隨機配對.

但是它也存在一些弱點：

1) 電源方面.需要穩定的電源.

2) 平臺方面.需要自己搭建軟交換運營支撐系統.

3) 控制方面.需要電腦連接平臺，無手機APP.

1.3 多卡寶類群呼設備

多卡寶類設備本質上就是GOIP網關，4張SIM卡，兼容蘋果與安卓系統，兼容2G/3G/4G卡.多卡寶設備是深圳市優克聯新技術有限公司研發的產品.類似的設備還有吉客貓、絡漫寶、太空步等品牌.

多卡寶設備原本為解決個人手機多卡多待的麻煩而設計的，同時也解決跨國通訊漫游資費高的行業痛點.只需將多張SIM卡插入多卡寶，放置家中通電聯網，即可通過手機遠程使用設備中的SIM卡電話和短信功能，實現1部手機管理多張SIM卡.

盡管多卡寶設備1個只能4張卡，但因為小巧，容易組網，詐騙分子可以十分方便地組建1個小網絡，以達到大量手機卡群呼的功能，如圖3所示.1條寬帶或1張上網卡，經路由，接4個16口交換機，每個交換機口接上1個多卡寶.每個多卡寶可插入4張卡.這樣原理上則有4×16×4=256張卡.

圖3 多卡寶組網方式

多卡寶類設備與傳統的GOIP網關對比，其優勢如下：

1) 價廉易用.設備廉價，操作簡單.

2) 便于車載.電源穩定性要求不高，便于車載.

3) 廠家平臺.不需自行搭建軟交換平臺.

4) 手機控制.可手機APP控制，靈活機動.

但是它也存在一些弱點：

1) 穩定性差.通話穩定性不如GOIP網關.

2) 需要組網.單設備只有4張卡，需要組網.

3) 數據可調.平臺在廠家，數據可調證.

4) 架構固定.機卡一體，架構不靈活.

2 電話群呼詐騙新問題及技術分析

2.1 電話群呼詐騙新問題

詐騙分子在與執法機關的博弈中不斷完善詐騙模式以增加偵查難度，降低成本和風險.當前執法機關在打擊詐騙案件過程中就遇到一些新問題：

1) 空間變換難解釋.同一電話號碼短時間內在兩市切換出現(現有交通工具無法到達).

2) 設備窩點難發現.基站范圍大，號碼頻繁切換，給偵查工作帶來難度.

3) 線上線下難關聯.詐騙分子反偵查能力強，線上身份與線下身份脫離不關聯.

為了解決以上問題，我們下面就分析一下GOIP網關的網絡構架模式以及常見的窩點和組網模式.

2.2 GOIP網關網絡構架原理及分析

普通的GOIP網關是通過遠程控制服務器(SIP服務器)的軟交換運營支撐系統來實現遠程操控的，以達到人機分離效果[3]，如圖4所示.

圖4 操控電腦與GOIP網關通過遠程控制服務器關聯

詐騙分子經過運營發現GOIP設備及雇用人員很容易被發現及抓獲，因而為了增大辦案難度和降低風險成本，利用了人、機、卡分離模式，如圖5所示.借助卡池(SIM bank)設備，將GOIP網關與SIM卡分離，兩者則是通過SIM Server服務器進行關聯綁定，也就是卡池中的SIM卡遠程授權到GOIP網關中，形成人、機、卡三者分離模式.這樣一般情況下只有GOIP網關設備被發現，而無法找到成本較大的卡池設備.一旦1臺GOIP網關被發現后，可以很快再對接新的GOIP網關，以便繼續詐騙行為.

圖5 GOIP網絡的人、卡、機分離模式

為了干擾公安機關辦案，詐騙分子已對以上模式進行升級改良，如圖6所示.也就是詐騙分子在兩地各準備1臺GOIP網關設備.首先通過遠程控制服務器上的軟交換運營支撐系統將A地的GOIP網關設備關聯上，同時再通過SIM Server服務器將卡池與A地的GOIP網關設備關聯上.一段時間后則可以再通過軟交換運營支撐系統將B地的GOIP網關設備關聯上(暫停A地設備)，同時也通過SIM Server服務器將卡池與B地的GOIP網關設備關聯上.這樣就會造成同一個號碼短時間內出現在A與B這2個不同地點，給工作帶來極大的迷惑性.

圖6 GOIP網絡的1卡多機新模式

同樣，為了達到多個SIM卡切換呼叫，詐騙分子可以在GOIP網關設備上進行相關的設置，如圖7所示.首先可以進行選線規則設置，即選擇線路的循環規則，有2種模式：

1) 按順序循環.按線路ID的順序強制循環.

2) 最少通話時長優先.以呼叫記錄統計中的“總通話時長”為基準，優先選擇通話時間最少的線路呼出.

圖7 GOIP網關的相關設置

還可以進行限制設置，對每個SIM卡或整機進行設置，可以限制每張卡的總通話時長以及每次的通話時長.這樣詐騙分子就做到每張卡通話幾分鐘后就切換到另外一張卡，給偵查工作帶來了干擾，增加了破案的難度.

2.3 電話群呼窩點及組網方式

目前，電話群呼設備窩點及組網方式主要有以下3種：

1) 窩點為出租房或賓館內，如圖8所示.這種固定住所窩點一般適用GOIP網關設備，因為它對電源要求較高，同時對網絡帶寬要求也較高，這樣一方面可以有穩定的電源條件，另一方面可以申請寬帶組網.

圖8 窩點為出租房或賓館的組網方式

2) 窩點為汽車移動運載，如圖9所示.這種方式多見于將多個多卡寶組成1個小網絡，通過1個4G插卡無線路由器聯網即可實現聯網操控.當然車載也是可以使用GOIP網關的，只是這時也需要4G插卡無線路由器聯網，再加1個穩壓器，以滿足其對電源的要求.

圖9 窩點為汽車的組網方式

3) 窩點轉移到山野中，如圖10所示.為了增加被發現的難度，當前詐騙分子把窩點轉移到山野中.山野中沒有電源，只能用蓄電池來供電，因而只能使用對電源條件要求不高的多卡寶類的設備，以適應蓄電池供電條件.山野中沒有寬帶，必須使用4G插卡無線路由器生成WiFi熱點，多卡寶設備無線連接WiFi實現聯網.

圖10 窩點為山野的組網方式

3 電話群呼詐騙的主要對策

3.1 調查方面

通過了解電話群呼設備網絡架構及組網方式，就可以通過流量分析和協議解析，結合GOIP設備使用的寬帶賬號或無線上網賬號，以及各個線路對應的串號和卡號等特征進行綜合分析，以取得案件的突破[4].主要分析思路包括：

1) 同一賬號下是否多設備;

2) 上網賬號是否為手機卡;

3) 窩點是否為山區;

4) 群呼時間是否為上班時間;

5) 呼叫號碼歸屬地為本地號碼還是外地號碼;

6) 群呼對象為本地號碼還是外地號碼.

對于設備維護嫌疑人可以通過寬帶安裝過程、房屋租賃過程、車輛號碼伴隨、人臉識別等多種手段來分析鎖定[5].對于遠程操控實施詐騙的嫌疑人可以通過廠家軟交換運營支撐系統上的相關數據、大數據系統追查等手段來分析鎖定[6].

圖11 手機取證裝備

3.2 取證方面

電話群呼詐騙案件的取證主要分為3個方面，即對人(嫌疑人)的手機取證、對群呼設備的取證以及對服務器的取證.

3.2.1 對手機的取證

對于嫌疑人手機的取證是比較傳統的取證，主要是數據備份技術、密碼破解技術、數據解析與恢復技術以及系統仿真技術的應用.目前就要有手機取證系統(常用便捷手機取證裝備)、手機塔(高性能多手機取證裝備)和手機航母(50部手機并行取證裝備)等取證設備來支持其取證工作，如圖11所示:

3.2.2 對群呼設備的取證

對于GOIP網關的取證有以下2種方式：

1) PC口連接取證.

這種方式適合于已知本地登錄的用戶名和密碼情況下，直接連接GOIP網關的PC網口，登錄后能獲取到各線路的通話綜合狀態、SIM信息、短信信息、設備基本情況和配置信息等.

有時設備的“定時寫入flash”選項沒有被勾選，一旦斷電后就會造成取證時沒有通信數據.這時就需要在不斷電情況下，用這種方式登錄并勾選“定時寫入flash”選項，以保證獲取相關證據.

2) Console控制口或TTL串口連接取證.

這種方式適合于不知本地登錄的用戶名和密碼情況下開展免密提取，只能通過連接GOIP網關的Console控制口或者拆機連接TTL串口，使用物聯大師取證系統獲取鏡像并解析，能夠獲取信息與PC口大致相同，只是這種方式能夠獲取部分刪除信息.但這種取證方式的弱點是取證速度很慢.

多卡寶設備取證目前有針對手機APP取證與設備取證2種.APP取證能夠獲取設備信息、通話信息、短信信息、遠程服務器IP及端口等.對設備的取證目前只支持拆機作鏡像方式，對鏡像解析能獲取其APP取證類似的信息.

3.2.3 對服務器的取證

對于遠程控制SIP服務器和SIM Server服務器也可以開展遠程勘驗，獲取網站、數據庫等信息；可以通過重構網站獲取登錄信息、網絡連接信息，分析服務器幕后控制者以及發現更多的GOIP窩點[7].目前可以使用“遠勘大師”取證裝備來開展服務器取證工作.

3.3 預防方面

預防主要2方面工作：

1) 防范本地出現詐騙嫌疑人，有效精準防范.這需要具備主動發現能力和特征分析，以起到事前或事中防范作用.可以從物流角度追蹤設備的走向，達到事先預防和打擊作用.還可以從信令分析和網絡流量分析角度研發分析模型，起到事前發現和防范作用[8].

2) 要防范本地受害人，做到精準宣傳和制止.這個從訪問的詐騙網站、安裝詐騙APP、搜索相關關鍵字，甚至已經給詐騙銀行賬號打款的對象中進行精準宣傳和制止工作[9].

4 結束語

本文對電話群呼詐騙的演變以及電話詐騙所使用的主要設備及技術進行了簡單論述，了解了電話群呼設備的網絡架構和組網方式，掌握了相關的技術原理；但對遠程控制SIP服務器和SIM Server服務器的研究尚未深入開展；對詐騙的洗錢的支付方式也尚未涉及.這些都將是下一步研究的方向.