主要内容:
摘 要:对一起典型的利用伪基站的电信诈骗案件侦查过程进行分析,详细论述了相关侦查技术应用方法,最后对此类案件的打击难点进行了总结。
关键词:电信诈骗 伪基站 逆向 主动取证
一、引言
电信诈骗是利用手机等电信设备为媒介,采取欺骗方式骗取款额较大的公私财物的行为,其典型行为是伪基站诈骗。电信诈骗犯罪活动中,一般首先利用短信、电话骗取被害人信任,诱使被害人主动提供个人信息,例如银行账号、密码等,随后进行资金转移。电信诈骗通常会辅以木马对被害人的手机等设备进行远程控制,以达到“骗不成就偷”的目的。
电信诈骗,尤其是伪基站诈骗,实施犯罪行为的空间集中于特定区域,但是出于安全考虑,电信诈骗组织者一般不会亲自实施发送短信。同时,电信诈骗产业链的形成,使伪基站发送信息已经成为一种特殊的服务,相当一部分是伪基站服务提供者,按照订单需求来进行发送。受取证技术和侦查意识所限,大多数执法部门只能针对电信诈骗中的伪基站操作者来进行打击,显然无法从根本上遏制电信诈骗,乃至电信诈骗的蔓延趋势。
二、案情介绍
2014年7月,大连市部分地区群众的手机收到诈骗短信,均为10086发出,内容是“[中国移动]您的话费积分可以兑换215.2元现金礼包将于2014年7月22日过期,请登陆yf.10086-wep.com安装领取,逾期无效”。受害人张某使用手机登录后,跳转到一个网银界面,输入了银行卡号、身份证号,银行卡中的30余万元被转走,张某随后报警。本案涉及的被害人经过后期梳理,多达数十人,涉案金额40余万,少部分受害人网上转账未成功,提示下载客户端,使用客户端后,银行卡也被转走。
三、侦查过程分析
经过对张某手机的检查,大连市公安局网络安全保卫支队民警发现这是一起典型的通过伪基站获取用户信息、跳转到第三方支付平台或者植入木马,从而进行隐蔽转账的电信诈骗案件,整个过程还利用木马伴随有盗窃行为。其诈骗流程为伪基站发送短信,诱使被害人打开钓鱼网站,跳转第三方支付平台,输入个人信息,利用木马屏蔽银行通知短信。涉及的犯罪嫌疑人有诈骗组织者、木马制作者、诈骗实施者、伪基站信息发送者和转账洗钱者。本文按照“倒查”的顺序对整个电信诈骗产业链上的嫌疑人进行梳理:
(1)转账洗钱者:一般通过银行流水,辅以取款录像来追查,一般是电子表格形式和录像视频格式。这些都需要进行时间戳和哈希值的固定,以确定证据的唯一性。
(2)伪基站信息发送者:尽管伪基站处于流动状态,但是通过多种方式可以定位,例如无线电侦测、旅店业高危人口。一般人赃俱获,从伪基站中可以获取发送的信息,从其手机和电脑中可以获取诈骗实施者的信息。
(3)诈骗实施者:一般通过网络来联系伪基站信息发送者。由于同为违法犯罪嫌疑人,诈骗实施者的警惕程度相对较低。但是靠人(伪基站信息发送者)追人(诈骗实施者)的方式,显然不适合互联网犯罪侦查的高效要求。通过针对诈骗后台进行主动取证,可以迅速有效地获取全部诈骗信息,有利于串并案。
(4)木马制作者:通过反编译木马APP程序,可以获得木马制作者的个人信息,固定其制作木马的证据。
(5)诈骗组织者:诈骗组织者作为整个诈骗团伙的统筹、管理者,一般隐蔽在最深处,通过对上述人员的打击,可以顺藤摸瓜,抓捕诈骗组织者。
经过对此诈骗产业链上进行溯源和多方位的取证和侦查,大连网安部门最终在大连甘井子地区一旅社抓获伪基站信息发送者,在广西宾阳地区抓获诈骗组织者和实施者,在杭州地区抓获木马制作者,至此整个诈骗产业链被完整摧毁。
四、侦查技术应用及分析
由上述案例可以看出,基于伪基站的电子诈骗侦查取证主要涉及以下技术:
(一)伪基站的取证
“伪基站”设备,是指“未取得电信设备进网许可和无线电发射设备型号核准,具有搜取手机用户信息,强行向不特定用户手机发送短信息等功能,使用过程中会非法占用公众移动通信频率,局部阻断公众移动通信网络信号,经公安机关依法认定的非法无线电通信设备”。
“伪基站”利用2G通讯协议不会对基站的身份进行认证的漏洞,一旦手机被吸入“伪基站”设备,“伪基站”将可以向这些手机终端发送任意数量、任意内容、任意主叫号码的短信。
伪基站设备的形态各异,从最初的利用笔记本电脑作为控制端,发射单元相对庞大,发展到车载便携、背包便携形态。同时控制端由笔记本电脑更新为手机,甚至U盘。这两种形态的伪基站隐蔽性强,数据固定困难。
“伪基站”系统是是开源的GSM基站项目OpenBTS,它基于Linux,使用GSM空中接口来连接标准的2G的GSM手持设备,并使用SIP软交换协议或PBX进行呼叫连接。“伪基站”系统在运行时会留有大量数据,例如用户登录记录、系统终端日志、系统使用日志等。其中重要的取证数据为:
(1)短信内容:路径 /var/lib/mysql 的数据库文件可以发现该数据库内的“gsm_business”表中存储了“伪基站”短信的详细内容。
(2)OpenBTS日志:GSMS“伪基站”的OpenBTS 日志位于/var/log/syslog路径。该文件记录下OpenBTS程序与附近手机设备交互的全过程,其中在GSMSL3Message. Cpp日志项中记录下了包含有交互的手机设备的IMSI号,而每一个IMSI号都对应一个手机设备。
(3)发送数据:“伪基站”软件在系统内留下了两组不同的发送详单数据。一组是位于/var/usr/openbts目录下的send.data,另一组是位于系统桌面以“任务名称_id”命名的记录文件。位于软件目录下的send.data文件的每一行由发送任务的任务ID和发送目标的IMSI号组成。
伪基站的取证工具比较少,一般利用系统仿真工具虚拟启动伪基站系统,使用十六进制编辑器和SQLite查看器来检查。目前专业的伪基站取证工具有杭州平航的伪基站取证软件等。
(二)木马的取证
木马APP一般不使用加密或者弱加密,因此,对其进行反编译的难度不高。木马APP申请权限如下:
木马APP一般用于拦截银行通知短信。通过搜索APP的源代码“const-string” 就可能发现作者信息,例如手机、邮箱等。
(三)诈骗后台的取证
诈骗后台可以使用主动取证技术,可以认为是远程勘验的一种。其并非是技术手段,而是综合利用各种公开信息和渗透技术,来获取嫌疑人线索、固定犯罪证据的一种方式。例如某电信诈骗网站设计较为简单,没有经过严格测试,可以越权访问。通过访问admin/admin_manage.asp,能够直接获取管理员密码,进入后台看到受害人的信息。
五、利用伪基站的电信诈骗打击难点
根据《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》(法释[2011]7号)第五条规定,对利用发送短信、拨打电话、互联网等电信技术手段对不特定多数人实施诈骗,诈骗数额难以查证的诈骗未遂的情况进行了枚举,“发送诈骗信息五千条以上的、拨打诈骗电话五百人次以上的、诈骗手段恶劣、危害严重的,应当认定为刑法第二百六十六条规定的‘其他严重情节’,以诈骗罪(未遂)定罪处罚”。但是在现实斗争环境中,由于伪基站短信发送者一般都是为多个用户服务,同时为了逃避打击,新型的伪基站设备存储数据极为有限,甚至出现了断电关机数据全部丢失的伪基站设备。这无疑为固定证据、满足诉讼要求造成了极大的困难。
同时电信诈骗的手法也在不断更新中,方式也多种多样。利用的木马出现了加密,后台的生命周期很短,往往几天内就会失效,导致证据灭失。
笔者认为,在目前法律和解释无法即时进行调整的前提下,为满足法律的电信诈骗信息数量,可以与电信运营企业联动,拦截和记录发送数量和返回成功信号数据,从而起到打击伪基站电信诈骗的目的。
六、结语
在3G、4G手机实现双向鉴权等安全机制后,通过伪基站劫持来发送短信,从技术原理上已经几乎不可能。但是随着技术的发展,3G和4G也可能暴露出漏洞,从而实现劫持的目的。更有甚者,目前有些大功率的基站设备,可以利用大功率信号压制,从而迫使基站从3G、4G降为2G,进行伪基站诈骗。而伪基站仅仅是信息发送的源头,切勿舍本逐末,更应该对其背后的电信诈骗的组织者、实施者进行打击,这才是遏制电信诈骗犯罪活动的最佳方式。