利用“短信嗅探”技術(shù)實(shí)施網(wǎng)絡(luò)侵財犯罪初探

殷仁杰

(中國人民公安大學(xué),北京 100038)

近年來,第三方支付行業(yè)迅速發(fā)展,根據(jù)益普索最新發(fā)布的《2019年第一季度第三方移動支付用戶研究報告》顯示,中國的移動支付用戶約為10.1億,其中,財付通用戶9.4億,支付寶用戶7.4億,用戶滲透率分別為89.2%和69.5%。然而,移動支付在給人們的生活帶來極大便利的同時,也有著很多的安全風(fēng)險。目前,短信驗(yàn)證碼驗(yàn)證用戶身份的技術(shù)被廣泛應(yīng)用于第三方支付和網(wǎng)銀平臺,而GSM通信無任何加密措施,隨著“短信嗅探”技術(shù)的成熟和泛濫,利用“短信嗅探”技術(shù)實(shí)施犯罪的風(fēng)險極大提高。加強(qiáng)對“短信嗅探”類侵財案件的研究,采取具有針對性的措施遏制此類犯罪蔓延,是當(dāng)前公安機(jī)關(guān)亟待解決的新問題。

一、嗅探的技術(shù)原理及作案手法分析

(一)技術(shù)原理

短信嗅探設(shè)備由號碼攔截設(shè)備(偽基站)和短信嗅探設(shè)備組成。這種犯罪手段主要是利用了電信基站和GSM(2G)通信的缺陷,以大功率的偽基站攔截、吸附手機(jī)號碼,嗅探用戶的短信內(nèi)容。具體原理如下:

1.偽基站。偽基站又叫假基站,一般由主機(jī)和筆記本電腦組成,利用2G移動通信網(wǎng)絡(luò)的缺陷,偽裝成運(yùn)營商的基站,冒用他人手機(jī)號碼發(fā)送詐騙短信或木馬鏈接實(shí)施犯罪。偽基站啟動以后,會干擾和屏蔽一定范圍內(nèi)的運(yùn)營商信號,吸附這一范圍內(nèi)的手機(jī)號加入偽基站,獲取該地區(qū)的手機(jī)號碼,劫持用戶的正常手機(jī)通信。

2.短信嗅探。短信嗅探是指在不影響用戶正常使用且不易被發(fā)現(xiàn)的情況下,利用特定的程序,攔截并且獲取用戶的短信內(nèi)容。目前,用戶在使用短信服務(wù)時均采用2G信號,移動、聯(lián)通用戶采用GSM制式,電信用戶采用CDMA制式。CDMA為軍轉(zhuǎn)民網(wǎng)絡(luò),有多道加密措施,保密性較強(qiáng),而GSM則是明文傳輸,沒有任何的加密措施,所以其傳輸內(nèi)容可以被嗅探到。不法分子還可以通過特殊設(shè)備強(qiáng)制干擾3G和4G信號,使得用戶設(shè)備降為2G信號,以實(shí)施犯罪。嗅探設(shè)備包括硬件、軟件兩部分,常見的硬件為摩托羅拉C118手機(jī)、嗅探信道機(jī)、天線、筆記本電腦,軟件則為經(jīng)過修改的OsmocomBB軟件。

(二)作案手法

1.尋找號碼。不法分子通過攜帶的號碼收集設(shè)備,主動搜尋附近的手機(jī)號碼。這個設(shè)備由一個偽基站、一個手機(jī)和三個運(yùn)營商撥號設(shè)備組成。該設(shè)備啟動以后,會干擾附近正常的運(yùn)營商通信,并且不斷將附近2G網(wǎng)絡(luò)下的手機(jī)吸附到該設(shè)備上。同時,與該設(shè)備相連的一部手機(jī)會自動代替被吸附的手機(jī),這部手機(jī)會自動向不法分子控制的另一部手機(jī)撥打電話,這樣就可以獲取被害人的手機(jī)號碼了。此外,不法分子還可以通過網(wǎng)絡(luò)黑產(chǎn)交易的方式,直接購買公民個人信息,獲取手機(jī)號碼、身份證號碼等敏感信息,實(shí)施進(jìn)一步犯罪。

2.獲取受害人其他信息。不法分子在獲取受害人的手機(jī)號碼以后,會通過各種方式獲取受害人的身份證號碼、銀行卡號。比如通過手機(jī)號碼和攔截到的短信在支付寶查詢手機(jī)號碼綁定的用戶名和身份證信息,然后通過網(wǎng)銀查詢銀行卡號。不法分子還會通過網(wǎng)絡(luò)黑產(chǎn)鏈條,付費(fèi)查詢相關(guān)信息。

3.盜刷資金。不法分子在掌握了受害人的姓名、手機(jī)號碼、身份證號、銀行卡號以后,并且可以實(shí)時獲取手機(jī)驗(yàn)證碼,就可以進(jìn)行資金盜刷了。不法分子通常會將受害人銀行卡及第三方支付賬戶里的資金,轉(zhuǎn)到其控制下的非實(shí)名制銀行賬戶內(nèi)。然后以被害人的信息在京東白條、借唄等小額借貸平臺借款,或是綁定到途牛網(wǎng)、攜程網(wǎng)、唯品會等購物平臺進(jìn)行消費(fèi)。不法分子會將盜刷的資金通過博彩網(wǎng)站或比特幣交易的方式進(jìn)行洗錢。

二、短信嗅探技術(shù)實(shí)施網(wǎng)絡(luò)侵財犯罪的特點(diǎn)

(一)作案過程隱蔽化

作案過程中,受害人的手機(jī)信號被劫持,不法分子假冒受害人的身份接入通信網(wǎng)絡(luò),進(jìn)行信息竊取、資金盜取等操作。此類手法屬于典型的“近距離貼靠式作案”,但又無須與受害人進(jìn)行任何接觸,且一般在深夜至凌晨作案,而且會向受害人的手機(jī)發(fā)送大量垃圾短信,以迷惑受害人。

(二)攻擊手法工具化

目前,短信嗅探攻擊技術(shù)已經(jīng)工具化和自動化,不法分子可以通過網(wǎng)絡(luò)學(xué)習(xí)攻擊手法,購買攻擊設(shè)備,此類攻擊的風(fēng)險驟然上升。該犯罪行為所運(yùn)用的技術(shù)手段較為高深,但是由于產(chǎn)業(yè)鏈的成熟和規(guī)?；?相關(guān)設(shè)備的操作非常簡單,不法分子經(jīng)過簡單的學(xué)習(xí)就可以實(shí)施犯罪活動。

(三)作案過程鏈條化

不法分子要想成功盜取被害人的資金,除了獲取被害人的手機(jī)號碼和短信驗(yàn)證碼以外,還必須知道被害人的身份信息、銀行卡號、支付平臺賬號。這一犯罪已經(jīng)發(fā)展為一個分工明確、配合緊密的黑產(chǎn)鏈條。分析相關(guān)案例可以看出,這類犯罪嫌疑人一般為團(tuán)伙作案,分工明確,各個環(huán)節(jié)都由專人操作,一般包括作案工具銷售、攔截手機(jī)號碼和短信驗(yàn)證碼、獲取受害人基本信息、操作手機(jī)實(shí)施盜刷、洗錢這幾個環(huán)節(jié)。

(四)作案目標(biāo)隨機(jī)化

不法分子在作案時,并不會像其他犯罪一樣事先對作案地點(diǎn)和作案目標(biāo)進(jìn)行事前篩選,而是流竄作案、隨機(jī)選擇作案目標(biāo)。作案時,只要是和不法分子處于同一個基站范圍內(nèi)的用戶,都有可能成為潛在的受害人。

(五)犯罪影響范圍廣

目前,手機(jī)號碼+短信驗(yàn)證碼的身份驗(yàn)證方式被廣泛地應(yīng)用于銀行APP、支付平臺、購物網(wǎng)站等各類APP的安全驗(yàn)證。因此,短信嗅探盜刷資金的技術(shù)一旦蔓延開來,被大規(guī)模的模仿,可能帶來的安全風(fēng)險和危害性難以估計,可能會從根本上導(dǎo)致以短信驗(yàn)證碼安全保護(hù)方式的失效,造成大規(guī)模的公民財產(chǎn)損失,危害金融系統(tǒng)以及互聯(lián)網(wǎng)的安全。此外,由于這一技術(shù)可以實(shí)現(xiàn)對用戶短信內(nèi)容的實(shí)時監(jiān)聽,如果將作案目標(biāo)瞄準(zhǔn)國家黨政機(jī)關(guān)、科研單位,可能造成國家機(jī)密的竊密。

三、防范和打擊短信嗅探技術(shù)實(shí)施網(wǎng)絡(luò)侵財犯罪的難點(diǎn)

(一)網(wǎng)絡(luò)服務(wù)運(yùn)營商信息安全監(jiān)管乏力

目前,網(wǎng)絡(luò)黑灰產(chǎn)、電信詐騙等網(wǎng)絡(luò)犯罪的猖獗與運(yùn)營商在信息安全監(jiān)管方面的不到位有很大的關(guān)系。以短信嗅探犯罪為例,在百度、搜狐、360等主流網(wǎng)站,以“短信嗅探”“C118嗅探”為關(guān)鍵詞進(jìn)行搜索,就會彈出大量出售、購買此類設(shè)備的信息,在淘寶等電商平臺也有不少這樣的信息,此外一些QQ群、論壇也有這樣的信息,不少賣家甚至表示“包教包會”。

(二)作案設(shè)備成本低,犯罪門檻低

據(jù)了解,用于作案的短信嗅探設(shè)備總的成本價格不超過100元,即便是通過非法途徑直接購買,售價也不過千元。而且,所有的設(shè)備都方便攜帶和偽裝。同時,這一設(shè)備操作簡單,易于學(xué)習(xí),不法分子只需要通過簡單的學(xué)習(xí)就可以熟練掌握操作方法。犯罪成本和門檻較低,是刺激犯罪嫌疑人作案的一大動力。

(三)2G用戶群體龐大

據(jù)相關(guān)資料顯示,我國移動用戶總數(shù)約為14.44億,2G、3G用戶約為3.99億,2G用戶接近3億。其中,大部分2G用戶使用移動或聯(lián)通號卡,數(shù)量龐大的2G用戶群體為此類犯罪提供了潛在的受害者。不法分子利用“GSM”劫持+“短信嗅探”技術(shù),可以輕松攔截、破譯用戶的短信內(nèi)容,被用于資金盜刷、網(wǎng)絡(luò)詐騙等犯罪。雖然嗅探犯罪一般針對于2G用戶,但不法分子可以利用特殊設(shè)備使得3G、4G信號降至2G信號。

(四)案件發(fā)現(xiàn)難

短信嗅探犯罪的犯罪模式經(jīng)過嫌疑人的周密設(shè)計,一般是夜間作案,利用嗅探設(shè)備冒用受害人的身份進(jìn)行各種操作。而受害人在此過程中沒有任何操作,難以及時發(fā)現(xiàn)異常,即便是事后發(fā)現(xiàn)自己的資金被盜,也因?yàn)閷Υ祟惙缸餂]有了解,也很難采取有效措施挽回自己的損失。公安機(jī)關(guān)在接到涉及這類犯罪的警情時,前期一般因?yàn)闆]有接觸過此類案件,缺失必要的專業(yè)知識,往往難以準(zhǔn)確判斷案件的性質(zhì),很容易將這類案件作為一般的網(wǎng)絡(luò)詐騙案件處理,從而浪費(fèi)了偵查資源,延誤了偵查破案的時機(jī)。

(五)調(diào)查取證難

此類案件中,犯罪嫌疑人利用網(wǎng)絡(luò)通訊工具和網(wǎng)銀技術(shù)進(jìn)行非接觸性的遠(yuǎn)程犯罪,在極短的時間內(nèi)就可以完成犯罪。犯罪嫌疑人用來接收贓款的賬戶,均為冒用他人身份信息開設(shè)或者是從非法渠道購買的賬戶,導(dǎo)致定位、追查比較困難。犯罪嫌疑人大多使用虛擬手機(jī)號碼或以他人身份信息辦理的號碼,難以通過技術(shù)手段進(jìn)行定位、監(jiān)聽。同時,在此類犯罪中,電子證據(jù)是最重要的定案證據(jù),但是由于其自身的專業(yè)性、易毀滅性、時效性等特征,造成證據(jù)的發(fā)現(xiàn)、固定、提取等方面有很大的困難。

(六)打擊追贓難

相較于傳統(tǒng)犯罪,此類犯罪根本沒有現(xiàn)實(shí)的作案現(xiàn)場,也就不可能通過現(xiàn)場勘查提取到指紋、腳印等有價值的痕跡物證。此外,該犯罪中各嫌疑人之間通過網(wǎng)絡(luò)進(jìn)行犯意聯(lián)絡(luò)、犯罪謀劃,并且可以在不同的地點(diǎn)同時實(shí)施犯罪,分工完成犯罪過程的各個環(huán)節(jié)。這些因素導(dǎo)致該類犯罪的抓捕審訊極為困難。犯罪嫌疑人利用專業(yè)設(shè)備實(shí)施犯罪,一旦作案得手,可迅速將相關(guān)設(shè)備破壞損毀,并且迅速通過博彩網(wǎng)站、地下錢莊轉(zhuǎn)移贓款,嫌疑人本身也流竄至其他地方。因此,警方很難判斷作案人身份以及藏匿地點(diǎn),也很難通過銀行追查資金流向,涉案贓款追繳極度困難。

(七)破案能力較低

公安機(jī)關(guān)內(nèi)部的網(wǎng)絡(luò)安全監(jiān)管和偵查能力的發(fā)展極度不平衡,中西部地區(qū)與東部地區(qū)的專業(yè)基礎(chǔ)設(shè)施建設(shè)和技術(shù)能力差距甚遠(yuǎn),而公安機(jī)關(guān)內(nèi)部的系統(tǒng)和能力建設(shè)也經(jīng)常落后于網(wǎng)絡(luò)犯罪的發(fā)展更新速度。同時,基層公安機(jī)關(guān)尤其是派出所,除了承擔(dān)偵查破案任務(wù),還承擔(dān)著日常接處警、矛盾糾紛調(diào)解、場所管理、治安管控等任務(wù),此外還有一些安保維穩(wěn)等非警務(wù)活動。繁重的日常工作嚴(yán)重影響了基層偵查隊伍建設(shè),很難隨著犯罪形勢的變化同步學(xué)習(xí)、研究相關(guān)新型網(wǎng)絡(luò)犯罪的犯罪手法和技術(shù)手段,提升打擊效能。此外,由于此類犯罪嫌疑人一般分散于不同的地點(diǎn),精細(xì)分工,調(diào)查取證、抓捕追臟需要耗費(fèi)大量的警力、財力,警力不足、經(jīng)費(fèi)短缺也是影響及時破案的重要因素。

四、防范和打擊短信嗅探技術(shù)實(shí)施網(wǎng)絡(luò)侵財犯罪的建議

目前,利用GSM劫持+短信嗅探技術(shù)實(shí)施網(wǎng)絡(luò)侵財犯罪的案件數(shù)量迅速攀升,已經(jīng)成為近期網(wǎng)絡(luò)犯罪的一個新動向,社會影響極為惡劣。如何預(yù)防及打擊此類犯罪,遏制其蔓延,已成為當(dāng)前公安機(jī)關(guān)必須解決的緊迫問題。

(一)公安機(jī)關(guān)偵查破案層面

1.從源頭打擊嗅探犯罪產(chǎn)業(yè)鏈。公安機(jī)關(guān)對嗅探犯罪的打擊,除了要及時破獲已發(fā)案件,還必須堅持源頭治理的思想,深挖犯罪,及時打擊為嗅探犯罪提供信息、技術(shù)及工具支持的上游犯罪,加強(qiáng)對違法犯罪信息的巡查力度,嚴(yán)厲打擊制售偽基站及嗅探設(shè)備的行為,真正實(shí)現(xiàn)全鏈條打擊。公安機(jī)關(guān)要加大經(jīng)費(fèi)投入,及時更新網(wǎng)偵技術(shù)設(shè)備,要加強(qiáng)對于嗅探犯罪技術(shù)手段和犯罪模式的研究。同時,公安機(jī)關(guān)要加強(qiáng)對于網(wǎng)絡(luò)信息的巡查監(jiān)控,督促網(wǎng)絡(luò)服務(wù)運(yùn)營商落實(shí)企業(yè)的監(jiān)管責(zé)任,及時清理和過濾有害違法信息。

2.注重電子證據(jù)收集。此類犯罪中,嫌疑人的QQ、微信聊天記錄很容易被篡改、銷毀,難以作為證據(jù)使用。因此,直接反映犯罪過程、保存于作案工具上的電子證據(jù)就成了破案定罪的關(guān)鍵。公安機(jī)關(guān)要積極建設(shè)電子證據(jù)實(shí)驗(yàn)室,配齊相應(yīng)的設(shè)備,規(guī)范電子證據(jù)的發(fā)現(xiàn)、提取、規(guī)定等流程,為證據(jù)收集提供好的基礎(chǔ)條件。在證據(jù)提取過程中,偵查人員一定要確保偽基站、嗅探設(shè)備處于不斷電狀態(tài),必要時可以采用外部接入提取,必須固定、保存嫌疑人發(fā)送短信內(nèi)容的文檔,從嫌疑人的手機(jī)中提取轉(zhuǎn)賬、消費(fèi)記錄,以完整的電子證據(jù)作為破案的利器。

3.加強(qiáng)專業(yè)人才隊伍建設(shè)。當(dāng)前,以短信嗅探技術(shù)實(shí)施的網(wǎng)絡(luò)犯罪呈現(xiàn)出明顯的專業(yè)化、智能化和職業(yè)化,犯罪手段不斷翻新升級。而公安機(jī)關(guān)專業(yè)人才缺乏、偵查手段滯后則制約了偵查打擊的效能,尤其是專業(yè)人才建設(shè)與實(shí)戰(zhàn)需求存在很大差距。為此,各地公安機(jī)關(guān)應(yīng)該適應(yīng)形勢變化,根據(jù)偵查隊伍發(fā)展的實(shí)際需求,適當(dāng)加大對計算機(jī)專業(yè)和網(wǎng)絡(luò)安全專業(yè)人才的招錄,并對其進(jìn)行偵查專業(yè)知識和技能的培訓(xùn),使其成為精通偵查辦案和網(wǎng)絡(luò)安全知識的復(fù)合型人才。同時,要從整體上加強(qiáng)對偵查隊伍的網(wǎng)安技能培訓(xùn),著力打造一支兼具網(wǎng)絡(luò)安全技能和偵查能力的專業(yè)隊伍。

4.強(qiáng)化多警種及區(qū)域警務(wù)合作。針對此類案件具有非接觸性、跨地區(qū)流竄作案、犯罪手段技術(shù)含量高、破案難度大等特點(diǎn),應(yīng)該強(qiáng)化各警種及跨區(qū)域警務(wù)合作。一方面,在本轄區(qū)范圍內(nèi),網(wǎng)安、技偵、情報、經(jīng)偵等警種應(yīng)該形成長效的合作機(jī)制,根據(jù)犯罪活動的特點(diǎn)和各自的職能作用,分工開展案件偵查工作,集中力量開展針對性打擊,注重打團(tuán)伙、打鏈條。另一方面,要加強(qiáng)與其他地區(qū)公安機(jī)關(guān)的合作,實(shí)現(xiàn)各地情報共享、數(shù)據(jù)共用,警力資源互相配合,形成整體打擊合力。

5.完善與其他單位的對接協(xié)調(diào)機(jī)制。此類犯罪案件往往會涉及到電信運(yùn)營商、銀行、第三方支付平臺、購物平臺等企業(yè),在偵查過程中尤其是證據(jù)調(diào)取方面需要其配合支持。因此,公安機(jī)關(guān)要積極建立和完善與相關(guān)單位的對接協(xié)調(diào)機(jī)制,加強(qiáng)警企合作,為偵查破案創(chuàng)造便利條件。同時,公安機(jī)關(guān)要加強(qiáng)與全國前沿網(wǎng)絡(luò)安全企業(yè)、實(shí)驗(yàn)室及金融機(jī)構(gòu)的科研合作,加強(qiáng)相關(guān)偵查預(yù)警技術(shù)的研發(fā),為偵查防范工作注入科技之力。

(二)手機(jī)用戶防范層面

不法分子想要成功作案,必須同時滿足以下條件:(1)受害人的手機(jī)號碼是中國聯(lián)通或中國移動,采用GSM網(wǎng)絡(luò);(2)手機(jī)保持靜止?fàn)顟B(tài),這也是不法分子在后半夜作案的原因;(3)受害人的身份信息被泄露;(4)受害人的手機(jī)在嗅探設(shè)備的覆蓋范圍內(nèi);(5)有關(guān)APP、網(wǎng)站存在漏洞,可以被不法分子所利用。因此,我們只要了解此類犯罪的作案原理和條件,就可以采取有效的措施予以預(yù)防。我們在平時可以做好以下預(yù)防工作:

1.如無使用必要,睡前可以將手機(jī)關(guān)機(jī)或是調(diào)至飛行模式。這樣手機(jī)信號就不能被劫持,不法分子也沒有辦法獲取手機(jī)號碼和短信驗(yàn)證碼。

2.禁止手機(jī)連接GSM網(wǎng)絡(luò),開通VOLTE功能,并且設(shè)置手機(jī)只使用3G、4G網(wǎng)絡(luò)。這樣的話,手機(jī)通話和短信都不會使用2G網(wǎng)絡(luò),可以有效防范短信竊聽。

3.盡量避免在綁定的銀行卡里存入大額資金,關(guān)閉APP和網(wǎng)站的免密支付功能,降低每日最高消費(fèi)額度,轉(zhuǎn)賬、支付時必須結(jié)合指紋、刷臉、u盾等驗(yàn)證方式。

4.如果看到銀行或其他金融機(jī)構(gòu)發(fā)來的不明短信,除了啟動飛行模式或關(guān)機(jī),還必須故意輸錯密碼或掛失以凍結(jié)銀行賬戶和支付賬戶。同時,一定要保留短信內(nèi)容,及時報案。

5.平時一定要提高安全意識,定期對手機(jī)進(jìn)行安全檢測,安裝可攔截不良信息、程序的安全軟件,避免多個軟件使用同一密碼,定期修改密碼。

(三)運(yùn)營商和金融機(jī)構(gòu)防范層面

1.優(yōu)化安全驗(yàn)證技術(shù)。短信驗(yàn)證碼進(jìn)行身份識別雖然方便高效,但是存在非用戶本人操作完成驗(yàn)證的漏洞,很容易被不法分子利用進(jìn)行犯罪活動。鑒于這種情況,包括銀行、移動支付平臺、電商在內(nèi)的企業(yè),應(yīng)該增加二次身份驗(yàn)證機(jī)制,推出更為嚴(yán)格可靠的驗(yàn)證手段。2018年,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會推出了《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》,提出了多種增強(qiáng)身份驗(yàn)證安全系數(shù)的建議。各網(wǎng)絡(luò)服務(wù)提供商和金融機(jī)構(gòu)應(yīng)該嚴(yán)格落實(shí)這一規(guī)定,采用多種方法優(yōu)化用戶身份驗(yàn)證,在用戶登錄、密碼修改、轉(zhuǎn)賬消費(fèi)等環(huán)節(jié),隨機(jī)采用兩種以上驗(yàn)證方式,包括用戶主動發(fā)送短信、指紋人臉、支付口令、通話方式發(fā)送驗(yàn)證碼等技術(shù)。

2.加快網(wǎng)絡(luò)升級換代。不法分子利用短信嗅探技術(shù)實(shí)施犯罪,正是利用了2G網(wǎng)絡(luò)下信息無加密保護(hù)措施的缺陷。為從根本上阻止相關(guān)犯罪,通信運(yùn)營商應(yīng)該加快網(wǎng)絡(luò)基礎(chǔ)設(shè)施的升級,將目前數(shù)量龐大的2G用戶遷移至3G、4G網(wǎng)絡(luò)。另外,運(yùn)營商應(yīng)該考慮逐步淘汰2G網(wǎng)絡(luò),促進(jìn)4G、5G通信技術(shù)的推廣,使得用戶的通信在更安全的通道傳輸,從根上解決短信嗅探犯罪。