监管每一环都缺漏 汹涌的电信诈骗如何遏制
监管每一环都缺漏 汹涌的电信诈骗如何遏制
《财经》记者陈玉峰 贺涛 王丽娜 实习记者 王庆凯/文
8月29日, 南京 邮电大学开学的第一天,宁静的校园从暑假中苏醒过来,随处可见“欢迎新同学”的横幅,但新生徐玉玉却永远不能前去报到了。
八天前,因接到诈骗电话而被骗走9900元后,徐玉玉伤心欲绝,导致心脏骤停,不幸离世。此前,她以568分的成绩被南京邮电大学录取。
在山东临沂警方陆续公布涉案的电信诈骗嫌疑人落网消息之外,“电信诈骗”再成舆论热点。
通常而言,电信诈骗是指犯罪分子通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人给犯罪分子打款或转账的犯罪行为。
近年来,电信诈骗案数量居高不下。公安部数据显示,2011年、2012年、2013年,全国通讯信息诈骗分别发案约10万起、17万起、30万起,年均增长70%以上。2014年全国电信诈骗发案达40余万起。
电信诈骗案高发的同时,诈骗金额也屡攀新高。公安部数据显示,2011年以来,每年因通讯信息诈骗导致的民众损失都达100余亿元,平均单笔金额超过5万元。2014年全国电信诈骗导致民众损失107亿元。
从2003年开始到现在,13年间,电信诈骗的手段随着通讯习惯、 金融 支付手段的变化而改变。电信诈骗作为顽疾,一直没有得到有效根治,主要问题在于,在这个生态体系中,从个人信息保护,到实名制登记,再到执法者的决心,每一环都存在缺漏。
“澳门赌博”信息从哪来?
iMessage垃圾短信链已形成广告信息制作、推送设备制贩、用户账号收集整理、垃圾信息推送、推送量核算与收费等完整的垃圾信息利益链
工信部的公开数据显示,截至2015年底,中国手机用户数已经突破13亿,平均每百人就拥有95.5部手机。
《财经》记者梳理以往的电信诈骗案例发现,电信诈骗的手段包括冒充熟人借钱、冒充公检法办案人员、垃圾短信等数十种。
将诈骗短信通过伪基站发射到用户手机,然后实施诈骗,是一种很常见的诈骗手段。当伪基站启动后,将屏蔽以其为中心、一定半径范围内的电信运营信号,利用用户手机搜索网络信号的时间差,将垃圾短信推送到这些手机上。
伪基站常冒充10086、95588、95533等通信运营商、银行客服的号码发送短信,一旦用户点开短信中的链接,就可能被虚假网站“钓鱼”,遭受经济损失。
猎豹移动安全工程师李铁军告诉《财经》记者,伪基站主要针对的是2G手机。2G手机在设计时有一个缺陷,就是手机在和基站之间通讯时,不用做双向认证。在局部地区,当伪基站的信号超过真实基站的信号时,手机设备分不清真实基站和伪基站,哪个信号强就连哪个,这样手机通讯就被伪基站拦截了。
此外,网络电话也是电信诈骗的“重灾区”。网络电话又称IP电话,是在IP网上通过网络协议实时传送语音信息的应用,有一些语音电话直接可以拨打到固定的电话设备。
其中,使用改号软件是常见的诈骗手法之一。通过改号软件拨打电话,显示在对方手机上的号码可以任意修改,而通过搜索引擎搜索和网络交易平台,很容易找到售卖此类软件的链接,有的仅售两三百元,使得电信诈骗作案成本较低。
工信部公布的数据称,截至2016年4月30日,各方积极配合打击防范改号软件诈骗行为,累计屏蔽搜索结果超过1亿条、删除下载和链接信息23392条;联动“安全百店”106家APP应用商店累计下架657个改号软件APP;电商平台累计发现并下架改号软件产品320个,处理商户166户。
但电信诈骗依然没有得到有效遏制。
iMessage垃圾短信同样困扰着广大苹果手机用户,有用户担心,“iMessage充斥着澳门赌博的垃圾短信,万一哪天给我发诈骗短信呢?”
iMessage是用于苹果设备上的即时通信服务,其初衷是方便苹果用户之间的沟通。中国信息通信研究院专家杨天一撰文指出,iMessage垃圾短信发送者制造和传播垃圾消息的成本非常低廉,只需要用一个电子邮件地址注册为iMessage账户,即具备发送信息的资格。
而且,iMessage上传输的信息内容不会被基础电信运营商的短信网关拦截,也不会被手机安全软件屏蔽,这也间接造成了iMessage上垃圾信息泛滥、难以有效治理的局面。
搜索“苹果推信”关键词,可以找到从提供推送服务到售卖推送设备的各类商家。这种推送方式的卖点在于费用比短信低,每条信息推送收费3分-5分钱,还号称能精准锁定高端、高收入、高素质人群。
杨天一介绍,iMessage垃圾短信链已形成包括广告信息制作、推送设备制贩、用户账号收集整理、垃圾信息推送、推送量核算与收费等环节的完整垃圾信息利益链,各环节上已聚集了一定规模的企业、服务商和代理商。
对于苹果用户来说,要想完全杜绝类似“澳门赌博”的骚扰,最简单的办法就是关闭该项功能。
虚商号段成为重灾区
虚商没有线下网点、所有业务都通过网站解决的特点,导致虚商在“诈骗者”中更受欢迎
以徐玉玉案为例,实施诈骗的170/171号段属于虚拟运营商(下称虚商)专用号段。在国内的电话诈骗案中,虚商号段逐渐成为重灾区。
作为传统电信业务市场化的尝试,虚商因为不受地域限制、价格优势等获得市场认可,但其同样获得“电信诈骗者”的认可。
自2014年5月起,170/171号段作为虚商的专用号段陆续对外放号,两年多的试点期间争议不断,徐玉玉案后,170/171号段以及所属的虚商正在接受更加严格的考验。今年4月3日,央视新闻直播间曾曝光170/171号段实名制问题,舆论哗然。
按照工信部的要求,虚商要实现2016年底新增用户100%实名登记,存量用户95%实名补登。“实名制事关虚商的生死”,中国虚商产业联盟秘书长邹学勇曾公开表示,希望虚商尽快落实这道“红线”,否则会深深打击整个产业。
现实情况是,虚商实名制的落实仍然糟糕。
今年7月,工信部网络安全管理局组织对虚商新入网电话用户实名登记工作进行了暗访,并对部分虚商在网用户实名登记信息合规率进行数据抽测。共暗访了26家转售企业 营销 网点109个,发现存在违规行为的网点37个,违规比为33.9%。
在李铁军看来,虚商没有线下网点、所有业务都通过网站解决的特点,导致虚商在“诈骗者”中更受欢迎。他举例说,工信部要求激活手机卡的前提是当事人的身份证正反面以及手持身份证照片,但“这个环节被骗子利用的可能性也是很大的,假身份证、找一个长得很像的人或者购买别人的实名制电话卡,都会对虚商的实名制带来挑战。”
而“不用身份证就能买170手机卡”的新闻也屡见报端。
工信部电信研究院政策与经济研究所副总工程师何霞告诉《财经》记者,除三家基础运营商(移动、联通、电信)外,虚商在管理中不够严格,实名制做得并不好。何霞同时指出掣肘虚商实名制的地方,“虚商没有权利接入公安部关于身份证鉴别的网络,所以它也没办法鉴别身份证的真假。”
此外,垃圾短信也大举入侵虚商号段。主要原因在于,三大基础运营商没有将虚商的垃圾短信纳入监测拦截系统中,而虚商自身无法第一时间了解用户举报和投诉的信息,造成监控不及时和拦截滞后问题。
中国移动通信集团设计院有限公司洪东等人曾撰文分析,基础运营商以省为单位建立一套垃圾短信的监控系统,一次性投资额度约为5000万元。推算到各虚商,由于业务量较小,粗略考虑到配套改造和其他系统的对接等系统性工程,新建统一治理平台的整体一次性投资约为500万元,对于虚商的投资压力不小。
洪东认为,由基础运营商提供统一的治理平台,交由虚拟运营商各自保障其客户免受不良信息骚扰的治理方式,能够节省大量投资。
技术能否阻止电信诈骗?
垃圾短信的过滤拦截技术也有短板,无法准确实现对垃圾短信的识别、过滤
李铁军认为,运营商对于电信诈骗还没有“杀手锏”,“比如IP电话是属于电信的基础服务,不能把它停掉。只要这类业务存在,那改号软件就有可能会存在,是禁不掉的。也不能因为某一项威胁就把为很多人进行公共服务的业务给停掉。”
对于伪基站问题,有安全技术人士建议,避免被伪基站攻击,最好的办法是放弃使用GSM,改用3G或4G。“因为3G及4G制式与GSM不同的一点在于,它们在手机和基站之间都会进行双向鉴权,避免‘只要信号好就跟谁走’这种情况的发生。”
腾讯安全云库副总经理李旭阳向《财经》记者分析,“伪基站”案件高度的反复性、变异性、流动性,给侦破带来难度。
伪基站主要由电脑、发射机、天线组成,具有无线电发射功能。为逃避打击,短短几年之间,伪基站不断升级改造,从原来较大的固定式,缩小到能放入 汽车 后备箱、电瓶车的精致式,最近又出现便携的背包式。
一位公安系统人士告诉《财经》记者,伪基站发送垃圾短信时,犯罪分子随走随发,流动性很大。伪基站由无线电管理部门负责管理。但因为犯罪分子流动作案,并且这个委员会配备的人员有限,管理起来困难。
目前,垃圾短信的过滤拦截技术也有短板,无法准确实现对垃圾短信的识别、过滤。
根据短信内容拦截垃圾短信的技术主要有两种:一种是基于关键词的,只要短信中包括的“中奖”“拨打电话”等敏感词汇超过一定数目,就被认定为垃圾信息,系统自动拦截。但它致命的缺点在于词库,需要不断更新词库以过滤新出现的关键词,而且,无法保证过滤掉所有关键词。不法分子会使用手段绕过过滤,比如在关键词中间插入符号、使用关键字的汉语拼音、套用错别字等,让过滤技术根本起不了作用。
还有一种是基于短信内容的过滤,其采用机器学习方法把短信自动分为正常短信和垃圾短信。由于知识库的存在,此类方法存在着复杂度过高、易导致信息网络阻塞等不足。目前主要短板在于电信运营商过滤系统的计算能力、机器学习能力跟不上。
据上述公安系统人士透露,犯罪分子把个人信息拿到后,通过境外改号冒充公检法的电话。三大运营商应该从后台服务器进行拦截,比如很多诈骗电话是在短时间内群发或者在一个时间段内很活跃,这和正常通话明显不一样,如果备案就可以适当拦截,因此运营商在技术上辨识和拦截是可以的,但在法理上存在争议。
电信运营商要不要担责?
电信诈骗实施后,对此提供非真实来电显示的电信运营商是否应承担一定的责任,并赔偿受害者的财产损失?这是受害者关心的问题。
尤其是在电信诈骗案件刑事部分存在追赃难的现实下,很多受害者想追回被骗走的钱款希望渺茫。
目前,已有一些受害者就此提起民事诉讼,试图起诉电信运营商或者金融机构,挽回部分损失。但从公开判决的案例看,电信运营商是否应为电信诈骗担责并进行赔偿,司法部门存在争议。
比如来自四川和湖南的两名受害者,均接到冒充公安机关人员的电话,在对方的要求下转账,分别被骗7.7万元和1.4万余元。去年,两人以来电显示不真实致使被骗为由,对电信运营商提起民事起诉。经过审理后,四川省内江市中级法院、湖南省衡阳市石鼓区法院先后判决驳回受害者的起诉。法院的理由是,两名受害者被骗系接听来历不明的电话,轻信他人自报身份,并接受他人指示汇款,不是基于显示号码的信任被骗,受害者提供的证据不能证明运营商在电信诈骗中存在过错,因此两人起诉索赔没有法律依据。
退休工程师杨衡兴的民事维权案例更加曲折。70余岁的杨衡兴在家中接到电话,对方让其联系上海市黄浦区检察院,电话转接后对方称他在一宗贩毒案中有重大嫌疑,需要将其账户资金转账至指定账户进行审查。他为此还特意拨打114查验来电显示号码是否属于检察院,经过确认后他按照要求转账48万元。
杨衡兴认为,他用中国电信股份有限公司广州分公司(下称广州电信)固定电话近20年,每月按时交纳来电显示服务费。但广州电信未履行保障信息安全义务,导致他个人信息泄露,同时广州电信的来电显示服务存在漏洞,未采取有效措施防范和拦截异常号码,导致骗子利用改号软件修改来电显示号码,造成他因此受骗,他起诉要求广州电信赔偿损失48万元及利息。在此案的一审中,广州电信辩称其不存在违约行为。
作出一审判决的广州市天河区法院认为,准确显示来电号码,是双方订立合同时对来电显示服务质量标准要求的应有之义。杨衡兴的财产损失,是多种原因所致,既包括犯罪嫌疑人实施违法行为,也包括杨衡兴本人未尽审慎注意义务,还包括广州电信未履行合同义务存在违约行为的原因。
“广州电信的违约行为,是造成杨衡兴财产损失结果的次要原因,应当为此承担相应的责任。”因此,法院判决广州电信赔偿杨衡兴1万元。
一审宣判后,杨衡兴及广州电信均不服判决,提出上诉。在二审中,此案又发生转折。广州电信上诉,涉案呼叫是网间呼叫,根据行业标准,网间主叫号码的规范责任在于发话方电信业务经营者,而不在传输方。同时,广州电信无权利、无能力对其他电信运营企业提供主叫服务的号码进行规范、识别或拦截,只能保障电话号码传送的畅通。
2016年4月底,广州市中级法院二审判决认为,目前有关服务规范或技术标准并未要求被叫方基础运营企业可以第一时间识别主叫方传送过来的主叫号码是否为虚假号码并予以拦截。双方所订电信服务合同的相关约定,电信公司在承诺的网络覆盖范围内,按照国家规定的标准和服务规范向客户提供服务。“鉴于近年来网络技术的快速发展,超过了双方签订该合同时的技术条件与安全预期,目前防范技术手段滞后已是不争事实。”因此,涉案固话未能正确显示真实来电号码,是由于犯罪嫌疑人非法使用了网络技术手段恶意篡改主叫方来电号码,再通过其他电信运营企业的网络传输至广州电信的电信网络,如广州电信在第一时间无法识别是否虚假主叫号码的情况下进行拦截,则会无法实现实时通话的通讯目的。因此,广州电信公司传送和显示其他电信运营企业传输过来的主叫号码的行为不存在违约责任。
关于广州电信是否赔偿的问题,广州中院同样持不同意见。广州中院称,刑事犯罪的发生具有偶发性及不可预见性。现无充分依据表明广州电信所提供的来电显示服务有违相关服务规范、技术标准或者服务协议约定的情况下,受害者据此主张广州电信承担违约赔偿责任,理据不足。
在何霞看来,电信诈骗中运营商有一定责任,但不能将责任全部归咎于运营商,“消费者可以选择不接电话,但运营商无权不传输,否则可能涉嫌歧视和违法”。电信运营商无法甄别垃圾电话或者诈骗电话,即使是170/171号段的虚商,电信运营商也无权屏蔽,它只管传输。由于运营商的身份主体,一旦出现诈骗也要承担责任,“所以电信运营商有时候也很无力”。
中南财经政法大学刑事司法学教授董邦俊提到,电信公司对电信诈骗泛滥应承担一定责任,但在实务中比较难解决。电信运营商有义务为客户提供完善服务,不能随意停止某个号段甚至某个号码的服务,也不能在不符合法律法规的要求下泄露号码持有人的具体身份。
董邦俊对《财经》记者称,电信诈骗犯罪在中国刑事立法中没有具体规定,仅是公安机关等部门在侦查实务中对编造事实,以侵占他人财物为目的,以电话、网络等为媒介实施的非接触式诈骗犯罪的统称。是传统诈骗犯罪在媒介上的翻新,并不是一种刑法意义上的独立罪名。
一个不容忽视的问题是,电信运营商只是电信诈骗中的一环,要治理电信诈骗,涉及到的每个环节都需合力。
涉及多部门的整治
公安、电信、银行是治理电信诈骗的核心部门
从徐玉玉案来看,一个完整的电信诈骗中,涉及电信运营商、银行、掌握个人信息的部门等机构。
《财经》记者通过中国判决文书网检索“伪基站”,共有1997个相关的判决。其中,利用非法伪基站散发垃圾短信的被告,大多被判决为破坏公用电信设施罪,判处有期徒刑1年-3年。
其主要法律依据是,《刑法》第124条,破坏广播电视设施、公用电信设施,危害公共安全的,处三年以上七年以下有期徒刑;造成严重后果的,处七年以上有期徒刑。过失犯前款罪的,处三年以上七年以下有期徒刑;情节较轻的,处三年以下有期徒刑或者拘役。
何霞认为,与巨额诈骗不匹配的是,电信诈骗的违法成本太低,这也是电信诈骗屡禁不止的原因之一。
多年来,中国没有出台个人信息保护法,也未将个人信息保护提升到国家层面。“大家都知道网上有卖数据的,但就是没人去管。个人信息保护是一个空白,这是最大的问题。”何霞说。
整治电信诈骗涉及部门诸多,直接相关部门包括公安、通信监管、电信运营商、金融监管部门及银行等部门;间接相关部门更多,包括互联网金融企业、云服务提供商、网络电话提供商、各类各级别ISP/ICP服务商等。
公安、电信、银行是治理电信诈骗的核心部门。目前,《刑法》、《刑事诉讼法》在侦查取证、定罪量刑方面有待完善;电信、银行等企业在落实实名制方面,接入公安系统进行确认存在难度,形式审核后没有相应责任;其次,公安系统在管辖区域、职权、协作以及技术上有限制,电信以及金融系统没有监管权力,也没有监管责任,对客户资料只能进行形式审查,对可能违规的客户也不能停止服务。
以上问题都要通过完善法律法规、落实相应职权、建立跨部门的合作机制予以解决。
国内已有地方建立相应部门的联合执法合作机制。比如,上海市公安局牵头组建了上海市反电信网络诈骗中心平台,公安机关有关警种、商业银行、电信运营商、金融清算机构和第三方支付机构联合入驻,实行防范、打击、治理一体化运作的实战机制。
对于根治电信诈骗,中国政法大学传播法研究中心副主任朱巍认为,以往公安机关办案是先调查案件,再冻结涉案款项。但应该建立一种先冻结再调查的机制。此外,要落实手机实名制,手机号码在转让的时候,也要进行实名制。第二,加大对诈骗打击力度,不单纯针对数额进行定罪量刑。第三,重点保护信息源头。以前打击电信诈骗没有考虑到信息泄露的问题,目前《刑法修正案(九)》也强化侵害公民信息罪,应该借机亡羊补牢,做到未雨绸缪。
在移动互联网的生态体系下,行业与政府之间,行业与行业之间,行业与用户之间,均是密集交织,各个环节彼此共生,个体的安全有赖于整体的生态安全环境。对抗无孔不入的电信网络诈骗,单靠任何一家机构独自作战是远远不够的,需要社会各界联合起来。国家机关的打击治理,互联网公司、电信运营商、银行等行业机构的技术对抗,普通用户的有效防范缺一不可。
前述公安系统人士透露,当下电信诈骗案件的取证和追赃很困难,比如一个案件诈骗万元数额,转账到一个账户后,犯罪分子在短时间内快速转账至下一级账户,或者再下一级账户,最后10万元可能分散到全国各地的上百个账户并被取走。每个账户分到的数额不等,可能最终有的账户只转入了几元钱,有的账户还不是犯罪嫌疑人的,所以查验和冻结的工作非常困难。
前述公安系统人士称,目前,各省由警方联合多部门陆续成立反欺诈中心,打击新型电信诈骗。将来还会推动到市一级也成立反欺诈中心,等场地和人员调配起来后,市一级就要推广。反欺诈中心有一些措施,比如紧急止付、冻结涉案资金。“电信诈骗必须从源头上堵,这就包括银行的紧急止付等措施。”