1、2023 年 7 月 辽 宁 警 察 学 院 学 报 Jul.2023 第 4 期(总第 140 期)JOURNAL OF LIAONING POLICE COLLEGE No.4(Ser.No.140)发现被害人视角下电信网络诈骗打防对策 徐梓桐,沙贵君(中国刑事警察学院 侦查与反恐怖学院,辽宁 沈阳 110854)摘 要:摘 要:当前我国电信网络诈骗犯罪猖獗,已经成为影响人民群众获得感、幸福感和安全感的一大社会公害。随着诈骗手段的不断翻新,针对特定被害人的精准诈骗不断增加,公安机关对被害人实现尽早发现、提前预警的紧迫性提高。对三类高发电信网络诈骗犯罪的作案手段进行解析,总结被害人行为特征。
2、从信息流、资金流、人员流出发,通过网络行为分析主动发现潜在被害人,通过资金流分析发现异常账户和可疑交易,进而发现被害人,建立电信网络诈骗犯罪侦查与预警机制。关键词:关键词:电信网络诈骗;被害人;预警;信息流;资金流;人员流 中图分类号:中图分类号:D631.2 文献标识码:文献标识码:A 文章编号:文章编号:2096-0727(2023)04-0026-05 一、引 言 二、电信网络诈骗犯罪常用手段分析 收稿日期:2023-03-17 作者简介:徐梓桐(1998),女,辽宁葫芦岛人,硕士研究生。研究方向:侦查学。沙贵君(1964),男,黑龙江桦南人,副院长,教授,硕士研究生导师,硕士。研究方向
3、:侦查学。随着现代互联网通信技术的高速发展,电信网络诈骗犯罪逐渐呈现出无差别化的特点,犯罪对象更具广泛性和不确定性。当前电信网络诈骗犯罪态势依然严重,数据显示,仅 2022 年全国公安机关累计推送电信网络诈骗预警指令就达2.4 亿条。公安机关联合相关行业开展的“断卡”“断流”等专项活动,有效控制了电信网络诈骗犯罪快速上升的趋势,但电信网络诈骗犯罪隐蔽性强、诈骗手法更新速度快且作案环节高度分散,该类犯罪的总体形势依然严峻。从事前预警和案后侦查的视角构建反诈预警打防体系,对于维护人民群众财产安全和合法权益具有重要意义。为进一步遏制电信网络诈骗犯罪,公安机关应以发现被害人为视角,基于电信网络诈骗案件
4、产生的信息流、资金流和人员流建立预警研判、侦查打击工作机制,切实提高打击电信网络诈骗犯罪的能力。电信网络诈骗犯罪衍生出多种诈骗类型和方式,犯罪分子不断更新犯罪手段,更为精准地针对不同目标人群实施诈骗。无论是诈骗犯罪分子还是被害人,其行为一般均具有一定规律和特征。对其行为特征进行梳理和分析,有利于了解诈骗犯罪实施细节,了解犯罪行为在网络应用等载体上可能产生的信息形式,从而实施有力的打防措施。这里针对常见的刷单返利诈骗、虚假投资理财诈骗和虚假网络贷款诈骗手段进行分析。(一)刷单返利类诈骗手段分析 作为发案率最高的电信网络诈骗类型,刷单返利类诈骗犯罪通常可以分为引流、对话、刷单、完成诈骗四个环节1。
5、在引流阶段,诈骗分子往往会在社交平台发布大量的以“零投入、高回报、日清日结”为噱头的虚假广告来吸引被害人刷单。为实施精准诈骗,诈骗分子利用被害人在各种社交媒体上暴露的信息为其量身定制话术剧26 徐梓桐,沙贵君:发现被害人视角下电信网络诈骗打防对策 本,诱导被害人入群。诈骗分子与被害人建立联系后,通过小额刷单任务和小笔即时返利等方式,获取被害人信任。最后,诈骗人员诱导被害人下载刷单专用APP进行大额刷单,再以刷单操作错误或者订单超时加单为由,诱使被害人加大投入。在骗得足够多资金后,拉黑被害人,实施诈骗资金转移。(二)虚假投资理财类诈骗手段分析 虚假投资理财类诈骗作为涉案金额最大的诈骗类型,通常包
6、括引流、诱导下载APP、小额返利、收割等四个环节。在引流阶段,诈骗分子在公众号、微博、抖音等网络平台发布虚假投资理财信息,吸引被害人主动加入投资群,之后通过网络黑灰产大量购入公民个人信息,筛选出经常浏览投资网站,并有一定收入、资产的单身或离异群体2,对其实施精准诈骗。被害人入群后,诈骗分子伪装成“荐股大师”或者“金牌导师”,煽动被害人点击发送的链接或者扫描二维码,下载虚假投资平台APP进行小额投资试水3。在被害人获利后,进一步诱导其进行大额投资,继而拒绝被害人提现,并诱导被害人提交“手续费”“解冻费”,鼓动被害人借贷投资等。(三)虚假网络贷款类诈骗手段分析 虚假网络贷款类诈骗通常包括广告引流、
7、发送链接、诱导贷款、完成诈骗等四个环节。诈骗人员首先通过网络媒体、电话、短信发布办理贷款、信用卡等信息,用“无抵押、无担保、低利息”等话术吸引被害人。被害人上钩后,通过点击诈骗人员发送的链接,登录诈骗网站或者下载仿冒 APP,填写姓名、电话、银行账户和密码等个人信息,在诈骗人员的诱导下,办理贷款业务。贷款审批后,诈骗分子会以被害人银行卡号输入错误或者操作错误导致账户异常为由,要求向指定的银行卡转钱,收取解冻费。当诈骗分子收到转账钱款后,便关闭诈骗网站或注销 APP,并将被害人拉黑。通过对以上三种诈骗类型的分析发现,电信网络诈骗犯罪行为均需经过引流、网络通联和资金转移等三个环节,表现为引流信息、
8、网络行为、诈骗话术、第三方或第四方支付、资金对敲等载体形式。在电信网络诈骗犯罪活动中,诈骗行为与被害人行为相互联系和映射,被害人端也会出现对应的信息形式,存在一定疑似被害的行为模式,具有一定的规律性。三、发现电信网络诈骗案件的被害人 从信息流和资金流的角度进行研究发现,电信网络诈骗犯罪被害人的行为主要包括信息交互和资金转移两个关键环节。电信网络诈骗犯罪被害人具有四种行为特征:一是主动搜索兼职、投资、贷款等网络诈骗引流信息。三种诈骗手段中的被害人都存在因某种需求而主动浏览查询相关信息的情况。二是登录诈骗网站,填写个人信息。被害人在点击引流信息中的链接地址或登录网站的过程中,不仅会泄露个人基本信息
9、,还可能泄露其他关联信息,被诈骗人员利用而对其实施精准诈骗。三是下载非法即时通讯、刷单、贷款等诈骗分子仿冒合规软件开发的虚假平台。诈骗往往需要被害人下载某类应用程序才得以实施。以虚假投资理财类诈骗为例,被害人下载虚假 APP 后,会被后台人员制造的股票涨势假象所迷惑,进而追加投资。四是向诈骗人员多次转账。被害人首次向诈骗相关账户转账时,往往采取保守方式进行小额转账,在获利后,转账金额呈逐渐上升趋势。以刷单返利类诈骗为例,被害人在第一笔刷单任务中转出金额较小,在即时获得佣金后会分多次加大转账金额。(一)基于信息流预警发现被害人 电信网络诈骗犯罪过程中形成的信息流,实质上是犯罪分子实施的诈骗行为在
10、网络空间中的映射,是诈骗行为在网络空间留下的痕迹4。公安机关可以从信息流产生传播、接收、反馈三个角度,分析被害人主动搜索信息、接收信息、回应信息的行为,通过对电信网络诈骗犯罪过程中被害人行为所留存的数据进行分析,拦截诈骗电话、短信、网站等,及时发现潜在被害人。实现电信网络诈骗犯罪的事前预警和事中劝阻,避免群众遭受财产损失。1.被害人主动搜索信息。被害人一旦主动搜索了诈骗分子发布的引流诈骗网站,就可能掉入诈骗分子精心布置的“陷阱”中。被害人多次访问某类网站时,浏览器会记录用户的时区、IP地 27 辽宁警察学院学报 2023 年第 4 期 址、浏览时间、浏览习惯等信息,形成浏览器指纹5。当潜在被害
11、人主动浏览网络贷款相关网站时,浏览器会将浏览记录和浏览器指纹储存到相应数据库中。一旦被害人进一步登录诈骗网站或者转账,公安机关通过浏览器指纹对应的用户相关信息,即可追踪被害人,从而达到事前预警的目的。2.被害人接收信息。被害人终端接收诈骗信息后,电信运营商或者反诈平台等会对接收信息进行识别检测,进而发现潜在被害人。一是电话拦截,即通过将黑名单号码与非黑名单号码的数据特征输入模型,并通过模型训练,识别诈骗电话6。二是短信拦截,即电信运营商通过欺诈短信监测系统,利用异常下行流量监测、异常上行流量监测、互联网账号注册异常行为发现等手段,同时查询用户状态,对空号、欠费等异常状态号码进行标记预警,予以监
12、控7。三是网络信息拦截,即社交平台通过设置敏感关键词,拦截诈骗信息。平台对获取的待识别文本进行过滤,提取疑似涉诈文本数据集的语义特征。根据疑似涉诈文本中字符拼音、笔顺与预设关键词的相似度,对疑似涉诈文本进行人工特征抽取,并在预设关键词的基础上,得到匹配特征,继而使用特征融合方法,经过建模训练,生成诈骗文本识别分类器,输出识别结果8。在实践中,诈骗人员往往使用隐语加以伪装9,因此需要利用机器学习算法建立动态识别模型,防止诈骗信息的传播。通过用户社交平台的注册信息,即可发现潜在被害人,对其及时发送提醒短信。3.被害人回应信息。被害人面对诈骗信息,通常包括登录涉诈网站和下载涉诈APP两种回应方式。根
13、据被害人回应的不同方式,公安机关可以从不同的途径及时阻断联系,避免被害人遭受损失。一是针对被害人登录诈骗网站的情况。公安机关通过收集已发现的诈骗网站有效图片及其诈骗类型,对图片进行特征提取和融合后,根据涉诈类型分类录入到涉诈样本库,获取特征聚类信息。根据待识别网站图片融合特征与样本库中的聚类中心特征向量的相似度,识别疑似诈骗网站及其类型10。根据被害人登陆网站的不同方式,如短信验证码登录、第三方账号登录等,公安机关通过用户的电话号、注册信息等,都可以发现潜在被害人。二是针对被害人下载虚假软件的情况。公安机关通过恶意APP检测分析,及时预警阻拦,并通过静态反编译,分析APP组件配置及权限,检查代
14、码安全性,进而判定APP是否存在恶意行为。除此之外,动态监测方法能够在程序运行后,通过提取配置文件或使用网络封包分析软件分析数据包的方式,判断APP是否为恶意应用11。被害人在注册账号的过程中所填写的个人有关信息,可以成为公安机关查找被害人的重要线索。(二)基于资金流预警发现被害人 资金流是指被害人通过微信、支付宝、非法第三方支付平台或第四方支付平台,将资金从自己的账户转入诈骗分子指定的相关账户中的行为所反映的资金流向。根据电信网络诈骗全链条打击的总体要求,公安机关与银行、第三方支付平台等互相配合,对资金流进行融合和综合分析,通过确定相关账户之间的关系,追溯犯罪,发现潜在被害人,并通过警银通系
15、统、反洗钱行为识别系统、银行可疑账户监测系统等对资金流进行分析研判,实现涉诈资金流预警。1.警银通系统。公安机关为开展打击治理个人涉诈银行卡专项行动,联合银行以及三大通信运营商,开发警银通系统,实现涉诈银行卡犯罪源头管控。该系统主要包括三个模块:一是风险账户研判预警。利用模型对银行账户信息、手机卡信息和公安重点人员信息等进行分析,生成不同层次的异常风险数据。经反诈中心研判后,警银通系统将账户相关信息推送至各开户行,开展账户风险核实,对确实存在风险的账户采取相关管控措施。二是涉诈账户排查处置。反诈中心将涉案账户通过系统推送到银行,各银行按照涉案银行账户处置流程,开展涉案倒查及风险排查。三是可疑信
16、息共建共享。各银行通过系统共享开卡环节堵截的异常开卡人员信息、自主排查环节发现的可疑账户持有人信息。警银通系统通过对异常账户进行重新核验身份、延迟支付结算、限制或中止有关业务,确保群众财产安全。公安机关牵头负责反诈工作,切实从源头上遏制涉诈银行卡开卡高发势头,铲除犯罪滋生土壤。28 徐梓桐,沙贵君:发现被害人视角下电信网络诈骗打防对策 2.反洗钱行为识别系统。近年来,随着犯罪黑灰产的发展,诈骗团伙为了分散风险,通常将洗钱业务外包给专业的洗钱团队,但其洗钱行为依旧能够通过一定的模式予以识别。对洗钱行为可以从大额交易异常、资金流动渠道、异常交易特征、过渡帐户特征、特征资金、币种、特征交易行为、交易
17、对手身份、对公帐户资金流动特征等方面进行分析,建立相应的识别和预警模型。在具体实践过程中,金融机构通过建立反洗钱行为识别系统,进行资金流研判,识别存在异常的交易账户12。该系统通过获取待识别账户在一定时间段内的交易次数、交易对象最大交易额、收入及支出交易次数、交易异常指数等账户特征,将其输入到洗钱模型中,最终确定待识别账户是否为洗钱可疑账户13。3.银行可疑账户监测系统。银行通过建立账户欺诈行为与风险检测系统,及时对可疑账户进行检测或预警。该系统包括数据采集、模型构建、风险分析三个模块。数据采集模块利用工具收集相关数据库中数据,并进行预处理操作。模型构建模块提取样本数据的总体指标与个体指标,并
18、依据特征分布划分阈值区间,从而生成不同的风险评估模型。风险分析模块通过当前账户每个指标的风险评分,根据指标关系和权重生成账户总风险评分,得到账户对应的风险级别,对账户交易行为进行响应14,一旦发现资金流动异常,即刻进行预警或者监控。针对被害人账户一端,对于突然出现的大额交易以及异地消费异常等,银行通过相应的疑似风险交易模型,在被害人转账之前向其发出风险提醒和风险预警,使被害人及时止损。公安机关将资金流水与其他相关数据进行碰撞对比,资金流查控分析与信息流研判分析双管齐下,挖掘新的有效信息,进一步实现精确预警。(三)基于人员流预警发现被害人 由于电信网络诈骗犯罪多为团伙作案,内部人员构成和运作模式
19、复杂,针对人员流进行分析,工作量较大且效果不佳。但是,针对前科人员建立相应的模型,不仅可以打击电信网络诈骗犯罪,还可以发现潜在被害人以及已经遭受侵害但未报案的被害人。收集前科人员的基础个人信息以及相关案件信息,包括侵害的客体、事后是否赔偿等,结合其出狱后的行为轨迹、同住同行人员信息等,建立相应的数据库,利用机器学习算法,构建相应前科人员再犯模型15,与信息流、资金流碰撞分析,进而发现被害人。四、结 语 在当前的背景下,电信网络诈骗犯罪分子利用虚拟空间的隐蔽性,不断升级犯罪工具,犯罪手段多样化,各种话术剧本层出不穷、“与时俱进”。犯罪愈来愈具有迷惑性,导致被害群众数量增多,危害了广大人民群众的财
20、产权益。在打击电信网络诈骗犯罪过程中,公安机关应与电信、银行等部门通力协作,从事前预警和案后侦查入手,关注被害人与犯罪嫌疑人交互过程中的行为要素,从发现被害人的角度,建立侦查和预警工作机制,建立有效的侦防模型,为电信网络诈骗犯罪的预警劝阻提供准确方向。参考文献:1庄华,梁赞全,秦琳.网络刷单诈骗犯罪态势及预警对策:基于 2136 起案件数据的实证研究J.上海公安学院学报,2022,32(5):24-34.2杨晓成.投资型“杀猪盘”网络诈骗犯罪案件侦查研究D.北京:中国人民公安大学,2022.3陈嘉鑫,李宝诚,李雪.虚假投资理财类电信网络诈骗犯罪治理对策J.辽宁警察学院学报,2022,24(5)
21、:46-55.4屈闯.网络侵财犯罪数据驱动型侦查模式研究D.重庆:西南政法大学,2021.5高凡,王健,刘吉强.基于动态浏览器指纹的链接检测技术研究J.网络与信息安全学报,2022,8(4):144-156.6中国移动通信集团贵州有限公司.欺诈电话识别方法、装 置、设 备 及 介 质:CN201711491653.4P.2019-07-09.7温侠.构建智能化涉诈短信监测发现能力,助力不良短 信 精 准 治 理 J.数 字 通 信 世 界,2023(1):166-168.8广州市刑事科学技术研究所,国家计算机网络与信 29 辽宁警察学院学报 2023 年第 4 期 30 息安全管理中心广东分中
22、心.一种涉诈短文本识别方法:CN202110497356.0P.2021-07-09.9崔蒙.电信诈骗犯罪隐语分析J.北京警察学院学报,2021(3):102-105.10成都无糖信息技术有限公司.一种基于图片聚类和人工研判的诈骗网站识别方法及系统:CN202210092 17.XP.2022-02-15.11秦玉海,候世恒,杨嵩.Android 平台恶意 APP 的检验方法J.中国刑警学院学报,2017(3):121-124.12王晓楠.犯罪过程控制视角下电信诈骗犯罪治理J.辽宁警察学院学报,2023,25(1):69-74.13杭银消费金融股份有限公司.基于机器学习的反洗钱 行 为 识 别
23、 系 统:CN202210659152.7P.2022-07-12.14中国科学院信息工程研究所.电子银行账户欺诈行为及风险检测方法与系统:CN201510246101.1P.2015-09-02.15张蕾华,牛红太,王仲妮,等.基于大数据的前科人员犯罪预警模型构建研究J.信息网络安全,2019(4):82-89.(责任编辑:于朗宁)Countermeasures to Fight and Prevent Telecom Network Fraud from the Perspective of Finding the Victim XU Zitong,SHA Guijun(Academy o
24、f Investigation and Anti-terrorism,Criminal Investigation Police University of China,Shenyang Liaoning 110854,China)Abstract:At present,Chinas telecom network fraud crime is rampant,which has become a major social hazard affecting peoples sense of gain,happiness and security.With the continuous reno
25、vation of fraud methods,the precision fraud for specific victims continues to increase,and the urgency of public security organs to realize early detection and early warning of victims has increased.This paper analyzes the means of committing three types of telecom network fraud crimes with high inc
26、idence,and summarizes the behavior characteristics of victims.Starting from the information flow,capital flow and personnel flow,it actively finds potential victims through network behavior analysis,finds abnormal accounts and suspicious transactions through fund flow analysis,and then finds victims,and establishes the investigation and early warning mechanism of telecom network fraud crime.Key Words:telecom network fraud;victims;early warning;information flow;money flow;personnel flow
浙ICP备2021020529号-1 | 浙B2-20240490 
