新型诈骗工具-土炮的破解之道
今年以来,国内不断出现一种利用一条双头音频转接线和两部手机进行网络诈骗的新型诈骗案件。4月26日,莆田荔城警方抓获一名涉嫌帮助信息网络犯罪活动罪嫌疑人,并查获作案手机两部、音频线一条,该案揭开了境外电诈团伙寻找境内电话转接呼叫的新手法。
土炮诈骗案例
4月中旬,在莆田市区经营一家快餐店的刘某的手机上突然接到一条兼职短信,短信内容显示:“找兼职,轻松每个小时赚300元”,刘某随即添加了短信上的客服QQ号码。添加对方客服QQ后,客服表示,只需要刘某准备一条35MM双头音频转接线、两部安卓系统手机、买几张属地手机卡和新申请几个QQ号码即可满足兼职的需求。刘某听后怦然心动,按对方的指示购置35MM双头音频转接线,并申请了多个新QQ号。
4月24日,当刘某把兼职所需的物件都准备到位的消息告知客服时,客服要求刘某通过音频转接线将两部手机连接在一起,一部手机负责与客服QQ语音通话,另外一部手机则由刘某负责拨打客服QQ所发来的电话号码。期间,刘某一直按照客服的指示操作拨打号码,很快第一单兼职1.5小时,刘某从对方客服处收取到了450元的兼职费用。很快,尝到甜头的刘某,第二天便又开始了接单。
4月26日中午,刘某在快餐店内正忙着配餐时,荔城公安分局反诈中心的民警走进店内。民警向刘某表明身份后,刘某一脸错愕,并不明白民警找他的意图。“我现在十分后悔,为了一点小钱成为电诈团伙的帮凶”。在接受民警讯问时,刘某不断表示悔意。经查,刘某在两天时间内通过QQ语音连接境外电诈团伙,并按对方指示操作拨打手机号码,供电诈团伙实施电信诈骗通话,累计拨打电话次数达80次,获利750元。
除了上述案件,国内其它地区也陆续出现了类似作案手法的案件。比如,6月初,宝山公安分局破获了一起利用普通的音频线和手机实施诈骗的另外一起电信网络诈骗案件。
土炮工作原理
上述使用一条双头音频转接线和两部手机进行诈骗的手法被称作土炮,正式的名称为简易组网GOIP。
该诈骗手法产生的背景是国内民众对境外电话警觉性不断提高,以及国内电诈反制手段的不断提升。因此,境外电诈团伙衍生出了通过寻找第三方个人提供语音电话转接服务,实施拨打电信诈骗电话的新方法。该手法与“GOIP”、“猫池”等语音转接手法不同的是,此类型的语音转接不再需要大型的硬件设备和大量的手机卡,仅仅只需要两部手机和一条音频转接线。
土炮的具体操作为,只要将两部手机通过音频转接线相连接后,由一部手机开通QQ或微信语音通话功能后,用另外一部手机拨打电话号码即可实现QQ语音与电话拨号语音互通。电诈潜在受害者接听到的电话号码则显示的是用于拨打电话的手机号码和归属地,以此达到迷惑电信诈骗潜在受害者的目的。在真正实施诈骗时,诈骗分子通常人在国外,为了能够控制另外一部手机,该手机上通常还会安装远控呼叫软件(包括MT、水果、向日葵、todesk等)。
土炮工作原理如下图所示:
1)手机A安装远程受控软件APP
2)手机B安装微信或者QQ
3)诈骗分子在境外用一部手机和手机B通过QQ或微信建立聊天。
4)诈骗分子在境外用另一部手机登录MT并远程控制境内的手机A,并对受害人实施诈骗。
土炮监测方法
土炮的监测思路放在如何识别手机A和手机B的通信特征上。对于手机B,其上安装了微信和QQ,由于国内基本上每个人都会使用QQ或微信,正常用户和手机B上的使用时间、流量特征等无差别,因此较难从QQ和微信上入手来判断手机B是否涉诈。
对于手机A,经过研究发现其具备两个明显的特征:
1)其上安装了MT等APP,在MT等APP运行的过程中,该APP作为客户端会和MT服务器进行通信,可以从这些通信上发现一些通信特征。以下为当前绿盟科技在研究中发现的一些远程APP特征(这里仅列举一些,尚未列举全面)。
对DPI等探针结合这些特征,能够实时的发现安装了MT等APP的手机用户,这些用户将作为可疑诈骗分子。
2)手机A会作为诈骗电话的发起方,对不同的用户不断拨打诈骗电话。通过建立诈骗电话呼叫模型,提取该类电话的特征,可以识别到此类电话具备离散度高,频度高、主叫率高、回报率低等特点。基于这些特征可以使用决策树等机器学习算法建立诈骗电话模型,结合话单数据进行检测。
基于以上两个技术的结合可以发现实施了简易GOIP的手机用户。在检测到诈骗手机用户后,下一步是如何对该手机进行定位和画像,以便于公安民警可以快速对诈骗分子进行抓捕。通过结合运营商的信令数据和话单数据,并使用大数据分析技术,能够快速输出诈骗分子的画像,包括:位置(具体到街道)、IMEI等内容。民警拿到这些信息后,可以快速对诈骗分子实施抓捕。
绿盟破解之道
针对土炮这一新型诈骗工具与场景,绿盟反诈团队积极锻造技术反制“杀手锏”,绿盟电信网络反欺诈平台(NSFOCUS AFP)已成功落地多个省级运营商,在预警关停诈骗卡、挖掘土炮线索、协助公安机关落地打击诈骗窝点等方面卓有成效。
随着电信网络诈骗呈现出专业化、职业化、团伙化、作案手段不断丰富的特点,反诈技术对抗更迭速度也会越来越快。诈骗团伙已具备更强的反打击、反侦查能力,作案手段也从利用单一工具,转向结合电话、短信、网址、APP、社交工具等多维度组合方式,导致建立在单一数据源上的反诈骗系统逐步失效。绿盟科技将凭借多年的技术和产品积累,继续在防治新型网络犯罪领域进行探索和创新,不断对抗GOIP、土炮等新型诈骗工具,以应对不断变化的新型网络犯罪形势,为数字化转型时代背景下的国家和人民的人身财产安全护航。
