电信诈骗案骗术详解:虚商号、伪基站,ATM转钱
上海市公安局网安总队总工程师瞿伟放就这两起事件进行了详细解读,“诈骗有很多种,可以通过手机发短信,也可以通过伪基站发短信,现在新型的伪基站体积很小,放在包里就能截取信号。”
瞿伟放介绍,现在的大型诈骗团伙形成了分工严密的作案链条,通过信息贩售、“角色”通话、钱款转移等环节最终实现诈骗,“有些上百人的大型团伙,直到被抓后都不知道自己的上下游是谁”。
“通缉、涉案、欠款”,电话、短信设圈套
宋振宁的手机里,还留着一条8月10日下午5点05分收到的短信,称将从他的卡上扣除信用卡年费1980元,如有疑问请详情咨询0531882764××,末尾标注来自某“银行”,发短信的号码显示为“955××”。
其后宋振宁与短信中的固话联系,对方又提供了“××公安局”的号码“0531859740××”。“公安”说他的信用卡被盗刷68000元,两相夹击之下,宋振宁落入圈套,向对方汇去了1996元。
瞿伟放介绍,犯罪分子很可能是通过“伪基站”向宋振宁发送了短信。伪基站可以干扰附近手机接收正常基站信号,实现暂时“接管”,批量发送短信,同时,还可以任意显示来电号码,“各种运营商、银行的短号都可以”。
有的案犯还会让事主拨打该号核实,“你打955××看是不是银行”,由于来电显示本身就是案犯假借的“真号”,当事主拨打该号确认其所属机构是正规单位之后,往往更容易上当。
“过去伪基站很大,犯罪分子要开着车沿路发信息,现在的伪基站可以放在包里、电动车上,直接截取附近信息。”瞿伟放称,一个背包大小的基站,可以影响到一个商场范围内的手机。
另一起案件中,徐玉玉收到的171电话,则属于虚拟运营商号段。“虚拟运营商自身没有核心网络资源,需要租用基础运营商的基础设施,建立自己的虚拟网络进行服务。”
然而近年来,由虚拟运营商运营的170、171号段,成了电信诈骗的重灾区。据统计,目前的恶意诈骗短信中,有近44%都来自170号段。“为了追求业绩,有些虚商网点在售卡时实名认证执行不严,给犯罪分子提供了可乘之机,使他们能买到不需要实名登记的电话卡,从而进行诈骗。”瞿伟放说。
如今诈骗短信、电话的内容门类颇多,已经形成了不少固定套路。“被警方通缉、银行卡涉案、积分过期、信用卡欠费……”瞿伟放称,这些电话、短信的最终目的,就是诱使事主进行下一步的钱款转移。
ATM操作常被防范,木马链接网上转账兴起
事主一旦相信了短信或是来电中的“剧本”,犯罪分子就会指导事主去ATM机上进行转账操作。“他会让你点击英文界面,很多人看不懂,点几次钱就转走了。”
在徐玉玉和宋振宁事件中,二人都是按照犯罪分子的指导,将钱通过ATM机转入了指定账户。瞿伟放介绍,实际上ATM机转账的作案成功率已经大幅降低,近年来警方跟银行形成良好协作,遇到情形异常的转账者,银行工作人员和保安都会及时劝阻。“有的犯罪分子怕在银行操作受阻,还会让事主去宾馆开房,网上转钱。”
然而,新的诈骗技术手段已经显现,犯罪分子将木马链接附在短信中,“这是我们聚会的照片,我是你孩子的老师,你和xxx做的坏事以为我不知道吗……”以此来诱骗机主点击。
“点击之后,当你支付宝付款或是网银操作时,手机收到的验证码对方都可以收到,相当于你的手机一切对外敞开。”瞿伟放说。
此时,犯罪分子还会另外准备一批手机,用来接收木马获取的手机信息。“比如银行转账需要验证码,你还没看他就已经先收到验证码,把钱成功转出了。犯罪分子甚至会雇佣一批残疾人看信息,看一条输一条。”
黑客窃取、机构泄露,精准作案难防备
“现在的诈骗已经形成了一个完整的作案链条,最初就是黑客入侵窃取信息,并在网上贩卖公民信息。”瞿伟放称,有的犯罪分子会量身定做一个“剧本”,打电话指名道姓地通知事主被通缉,同时还会仿冒最高法的网站挂出通缉令,照片赫然其上。
在徐玉玉案中,一个颇令人费解的环节即是其个人信息是怎么泄露的。
据当地媒体报道,8月19日下午,已收到大学录取通知书的徐玉玉接到了一通陌生电话,对方声称有一笔2600元的助学金要发放给她。而就在一天前,徐玉玉刚接到过教育部门发放助学金的通知。
该报道还称,徐玉玉的不少同学表示自己也曾接到过类似的诈骗电话。
对于教育部门可能在某一个环节泄露了学生信息的质疑,临沂市罗庄区教育局工作人员对澎湃新闻表示“绝无可能”,其称,所有申请助学金的材料在收取归档后会直接递交给上级部门。
此前,一位教育信息化资深人士在接受媒体采访时称:“学生数据存放在很多地方,学校、招生办、教育机构等等。目前中小学数据教育部会提供统一平台,但大学数据,则存储在各个大学自己手中。”
该报道显示,2014年、2015年,教育部与公安部先后联合印发《教育行业信息系统安全等级保护定级工作指南(试行)》、《教育部 公安部关于全面推进教育行业信息安全等级保护工作的通知》,在全国开展信息系统安全等级定级备案工作。
两份通知中,学生的学籍、学位等信息管理系统大多列入第三级等级保护。教育行业最高安全保护等级为第三级。
“信息网络安全等级保护分为五级。五级是最高等级,涉及国家、国防等机密信息,三级以上是国家要求必须强制保护的,三级以下的自由开展保护。三级属于我们经常去督促、检查、监测的,对于发现的漏洞会定期通报,下发整改通知书。”
对于徐玉玉事件,瞿伟放认为,“学生在整个高考的过程中,要填写很多表格,还牵扯教育部门、政府部门、社会上的各种培训班等,泄露的渠道很多,还是要看案件追查的最终结果。”