反電信網絡詐騙的大數據運用

陳浩坤 王沛蓉 羅鵬輝 黃 崢 梁茗博

廣東警官學院，廣東 廣州 510000

隨著科技的不斷發展，數據時代帶來的不僅是挑戰，更是機遇。一方面面對的是更隱蔽、更多樣的詐騙方法，另一方面也預示著我們開始步入信息偵查新階段。傳統的偵查手段面對日新月異的電信網絡詐騙手段不僅存在滯后性，而且效率低下，已不能滿足當前公安機關對高發的電信網絡詐騙犯罪的打擊和預防的需要，因此必須尋求突破。而大數據分析恰恰成為此類犯罪的突破口，正因為電信網絡詐騙依靠電信、網絡等信息工具實施犯罪，所以我們只要在掌握數據流的情況下，根據數據流的信息進行推演，篩選出犯罪的相關信息，開展信息研判，即可將被動防守轉化為主動出擊的偵查模式，更有效地打擊電信網絡詐騙類犯罪。

一、大數據與反電信網絡詐騙相結合的優勢

（一）案件偵辦成本降低，見效加快

由于新型電信網絡詐騙自身的犯罪特點，公安機關對該類犯罪的打擊往往投入大、成本高、見效慢，但只要根據不同類型的詐騙行為進行分類建模，利用公安內部、合作企業、外聯網等數據進行特征性分析，從現實戰場轉向網絡戰場，不僅可以減少人力的浪費，還可以提高偵辦的效率及精準度。

（二）集成作戰，加強地域間的聯系

電信網絡詐騙往往涉及外地案件和上下游犯罪，公安機關需要不斷去往外地協助偵辦，費時又費力，若是國家建立統一的偵辦平臺，實現資源整合、數據共享，將全國數據統一在一處，不僅減少了程序上的流程，方便各地公安實時進行案件偵辦，也加強了各地公安間的聯系，提升了整體的打擊效能。

（三）及時追贓止損，減少損失

電信網絡詐騙案發后，詐騙集團會及時對資金進行轉移和取現，在被害人意識到自己被騙之后資金早已不復存在了。但大數據的利用能提前發現異常交易及時進行風險預警、延遲結算等操作，給公安機關的止付工作爭取了充足時間，甚至能及時追取贓款，減少受害者的損失。

（四）具有更好的前瞻性

大數據具有大量、高速、多樣、價值、真實性五大特點，對海量信息進行數據分析，挖掘情報價值，能為案件偵破、警情預測提供十分重要的支持。

二、反電信網絡詐騙中大數據的打防應用

（一）異常話單的檢索

在電信詐騙的案件中，電信通話就是犯罪分子的主要作案工具，電詐團伙中的話務組根據上游團伙提供他人的個人信息，廣撒網式地撥打電話，正因為詐騙分子撥號的隨機性、特殊性，使其撥號呈現一定規律，我們只要掌握話單中符合一定規律的用戶，即可篩選出疑似詐騙分子的通信號碼。通過電信撥號，通話實施詐騙的行為人，他們的話單記錄往往具有以下特點：

1．每天撥打次數＞N次、單位時間內通話次數＞P次。詐騙分子在撥打電話準備詐騙前，往往會廣撒網式高頻地撥打號碼，導致其當天主叫號碼的撥打數量以及單位時間內的通話次數遠遠大于普通用戶的日平均值。

2．平均通話時長＜W秒、主動掛線率＜Q%。鑒于現在群眾反詐騙意識加強，導致某種號碼的接通率會低于普通用戶的平均值，甚至是用戶接通后發現其實是詐騙電話直接掛線，導致主叫號碼被掛線率高以及平均通話時長低于一定時間。

3．在當天的13：00-14：00、23：00-24：00、0：00-1：00、1：00-2：00撥打次數＞S次。經研究表明，在當天的13：00-14：00、23：00-24：00、0：00-1：00、1：00-2：00此四個時間段內正常號碼是極少進行呼出的，所以當在此四個時間段內某個號碼的撥打次數大于某值時，便可懷疑是詐騙號碼。

4．省外、國外號碼撥打次數＞H次。詐騙分子往往會選擇異地甚至外國作為窩點，所以導致外省甚至外國號碼在當天撥打次數過多。

5．被多名用戶主動標為騷擾號碼或詐騙號碼。

6．符合“無軌跡外地卡”。詐騙分子往往批量入手大量外地電話卡，但電話卡實際工作范圍只在犯罪窩點一處，到本地前實際上是沒有被使用過的，所以導致該電話卡軌跡活動幾乎為零。

通過近三年本地話單數據，根據九大類特征劃分出符合正常用戶的平均值，結合本地實際用戶情況將九類特征分別按風險等級賦予一定分值，當某號碼賦值超過當初設置的風險閾值時，即可懷疑是詐騙號碼并將其列入“黑名單號碼”中。若有特殊號碼符合以上特征則可以建立“業務白名單”進行規避。

在分析出“黑名單號碼”后，結合手機通信安全軟件（360、騰訊等）的客戶信息，篩選出被用戶主動標為騷擾或詐騙的號碼，合并篩查出高危號碼，關停該號碼或者利用聲學處理引擎進行關鍵字解析或者轉入人工監聽審核，對疑似正在進行詐騙行為的被呼叫用戶進行短信、電話提醒。

圖1

（二）高危社交軟件號碼的篩選

詐騙分子除了運用電話的聯系方式進行詐騙外，還大量運用了如QQ、微信等社交軟件。在運用社交軟件進行詐騙的案件中，往往集團化、高新化、特定化特點突出，此類案件中的犯罪人不僅有著嚴密的層級關系（如操盤手、水房組、話務組、車卡組、取款組等）還會運用高新的科技手段（如PS技術、黑客技術）去提高詐騙的可信度和竊取公民信息，并且是點對點地詐騙其掌握特定信息的人，而不像電話詐騙廣撒網的方式。面對在社交軟件上實施詐騙的行為人，他們的社交號碼往往具有以下特點：

1．社交號碼具有特定規律。利用社交軟件“釣魚”的詐騙團伙往往為了便于內部上下級管理，進行詐騙的社交號碼往往是特定符號連帶著他們的工作號碼（如TS0001、TS0002等），再從社交名字上仿冒身份，甚至為了增加可信度會將社交頭像換成與該身份相關的圖片或者在朋友圈等平臺上發布虛假信息。

2．二級或三級聯系人中有相同規律號碼的好友。電信網絡詐騙團伙內部層級分明，各崗位分工明確，故社交軟件中的直接甚至間接聯系人中多為詐騙分子的同伙，以便于詐騙分子之間的直接溝通從而實施詐騙行為，且均具備相同規律號碼的第一特點。

3．社交號名字具有敏感詞語（如××公安局、××法院等）、社交號頭像有敏感圖片。詐騙分子為了實施詐騙行為騙取被害人的信任，往往會用心包裝自己的社交號，仿冒相關人員、將單位的名字作為自己社交號的昵稱，或者將自己的頭像信息改變為要仿冒的對象，以提高自己的可信度。比如，要冒充公安機關實施詐騙的詐騙分子，其社交號名稱就會改為××公安局××大隊××民警，然后其頭像也會改為一名穿警服的人員或者其他與公安機關有關的圖片。

4．社交號頻繁發布敏感話務。詐騙分子除了從表面包裝自己的社交號碼，也會從社交號內部進行細致的包裝。比如，在微信朋友圈等社交號平臺上發布相關自己仿冒身份的信息，再如在與被害人交流時使用職業騙術，頻繁談及公檢法、銀行賬戶密碼、匯款等敏感話務，最終達到增強自己可信度，讓被害人陷入圈套的目的。

5．被多名用戶拉黑、舉報。隨著人們反詐騙意識的提升，用戶會主動拉黑、舉報有問題的社交號，往往同時被多名用戶拉黑、舉報的社交號也就極有可能是詐騙分子所有。

根據上述五種特點，利用敏感詞檢測以及特征檢測在社交軟件平臺數據庫的社交號碼中篩查出高危號碼，并抽取該高危號碼的聊天記錄和平臺個人信息進行證據保存，對該號碼進行跟蹤，排查好友等有聯系的嫌疑人，串并案件、落地到人，甚至可以監管該號碼，對正在實施的詐騙行為進行預警制止，并對號碼作關停處理。

圖2

（三）高危網站分析

詐騙分子在實施詐騙行為時，往往還會利用網絡協助詐騙，通過包裝過的網站信息讓被害人對詐騙劇本信以為真，從而達到詐騙的目的。而詐騙分子創建網站的信息都會在網絡遺留一定數據，每個網站都有唯一的IP地址，但每個域名又只能指向唯一的IP地址，所以我們可以利用whois數據庫中對注冊域名的詳細信息（如域名所有人、域名注冊商、域名注冊日期和過期日期等）進行數據分析，因此在做好對比分析后，得出高危網站往往具有以下特點：

1．服務器位于境外。詐騙分子為了方便域名的注冊，也為了逃避監管，會將注冊域名的服務器設立在境外。

2．域名注冊時間＜M。詐騙分子建立網站是為了實施詐騙，在實施多次詐騙后為逃避偵查往往會主動放棄該網站，或者監管部門發現關停了該網站，所以導致該域名注冊的時間不長。

3．域名涉及敏感名稱。詐騙分子為了偽裝自己身份，會將域名修改為與自己詐騙內容劇本相關網站類似的名稱，如支付寶網站、××公安局網站、淘寶網站的相似名稱。

4．注冊的電話或郵箱注冊網站數＞N。詐騙分子為詐騙需要，會注冊大量網站，甚至可以考慮是販賣網站的上游灰色產業。

5．域名沒有相關備案。網站備案是指向主管機關報告事由存案以備查考，是為了防止在網上從事非法的網站經營活動，如果網站沒有相關備案的話，則很有可能存在違法經營行為。

依靠whois數據庫及網絡監管部門的數據，根據以上五大類特征按風險等級分別賦予一定分值，當賦值超過風險閾值時，即可懷疑其為高危網站。在確定高危網站后，進入該網站對其真實性作進一步考量，確定為嫌疑網站的，可以協助網絡監管部門實施關停，甚至從域名注冊的注冊人信息倒查，以網到人，確定嫌疑人身份。

圖3

（四）刷單類行為預警

刷單類詐騙中詐騙分子會先在各大平臺發布刷單的兼職信息，聯系到受害者后便會向其發布任務，在受害者完成任務之后詐騙分子便將本金和傭金一并轉賬給受害者，在前面幾次這樣的任務中，詐騙分子逐步取得受害者的信任，其間雙方有多次資金往來，在完成一次或多次金額較大的往來后，雙方再無資金往來，這時詐騙分子已經完成詐騙活動并消失。被害人在發現自己被騙前，在購物平臺刷單往往具有一類特點：

1．在購物平臺中一天內購買量＞M。刷單者往往抱有賺錢的心理，一天內會按“老板”要求刷足夠多的單，導致一天內的購買量大于正常用戶。

2．一周內連續購買商品天數＞X。刷單者不需要高級的業務能力，僅需在購物平臺頻繁正常購買特定商品即可，也直接導致了刷單者購物的持續性特點。

3．購買的商品無真實物流信息。鑒于刷單行為只是通過虛假購買行為進行，并不會產生真實的物流信息。

4．購買商品后，同個賬戶有資金轉入，金額與所購商品相當。刷單者購買商品的本金，“老板”會在交易結束后返還給刷單者。

5．所購商品在單位時間內銷售量暴增。鑒于刷單行為的產生，導致在特定時間內刷單者頻繁購買特定商品，使該商品的銷售量呈現出不正常式的爆炸增長。

依靠購物平臺及支付平臺數據，根據以上五大類特征按風險等級分別賦予一定分值，當賦值超過當初設置的風險閾值時，即可懷疑該用戶是刷單者，在分析出疑似“刷單用戶”后，對該用戶發出違法刷單行為的警告以及防范詐騙提醒，甚至可以對該用戶作關停賬號處理。

圖4

（五）高危人員的動態管控

電信網絡詐騙作為團伙性犯罪，犯罪人員具有鮮明的人員特征，我們可以通過收集可疑人員的個人數據，對數據進行分析研判，確定高危人員，從而對高危人員進行動態跟蹤及管控。

1．確定高危人員。利用大數據分析篩選，從有出入境記錄的詐騙前科人員入手，分析其資產情況確定其是否為高危人員。

例：有詐騙前科的人員+有出入境記錄的人員+在境外有暫住地的人員+16-40歲人員+資產往來與工作情況明顯不符的人員（社保信息、銀行賬戶流水）高危人員

2．擴線高危人員。對篩選出來的高危人員進行深挖擴線，從其人際交往、通信記錄等數據中尋找同伙。

例：共同戶籍地的人員+同住同行的人員+經常往來通信的人員+16-40歲人員擴線人員

3．分析可疑窩點。對高危人員以及擴線人員兩線動態跟蹤，尋找共同點，進行實地摸排。

（六）偽基站的源頭打擊

在偽基站詐騙犯罪中，偽基站開機工作時，在較短時間內會屏蔽特定區域內的運營商信號，并挾持區域內的手機連接到偽基站，向連接到偽基站的手機發送信息，其往往具有隱蔽性及流動性的特點，故若要打擊此類犯罪，可選擇從源頭打擊開始。

1．在淘寶等購物網站上，通過對偽基站設備中部件進行敏感詞檢測，以及對偽基站組成部件的較多數量、重復購買訂單、收貨地、收貨人員進行監控跟蹤，如偽基站中常用的工程機。

2．由快遞、物流等途徑運輸的銷售方法，通過對物流信息中的收寄地、收寄人員信息進行數據獲取，獲取源頭及買方。

3．對嫌疑人進行聯系人獲取，通過對嫌疑人接觸的賣家進行話單調取并分析，獲取與偽基站設備生產銷售有關的關系人。同時可將一定區域內的分析結果進行碰撞，從而獲取共同聯系人，擴線偵查。

（七）支付受理終端的安全管理

在電信網絡詐騙中，詐騙分子往往會將贓款在各家銀行或支付機構之間來回轉移，試圖擺脫公安機關的跟蹤，但最終贓款的流向均是利用支付體系進行轉移，即通過支付受理終端（包括ATM機、POS機、掃碼設備等）將贓款轉移或變現。因此安全的支付受理終端能為公安機關針對詐騙交易進行取證，甚至追溯到嫌疑人提供有力幫助。

1．加強支付終端安全管理監管力度 。中國人民銀行發布的《關于強化銀行卡受理終端安全管理的通知》《中國人民銀行辦公廳關于開展支付安全風險專項排查工作的通知》，不僅使終端廠商商品的生產、信息注冊和交易報文等程序規范化，更是加強了支付受理終端在敏感信息的保護、標準化等方面的排查工作，保障了支付交易信息的完整性、真實性和可追溯性。

2．利用三大數據進行風險分析。利用制作廠商的終端設備唯一標識信息、機構在終端注冊的記錄、支付交易的報文信息三大信息建立數據統計，建立受理終端切機、套碼、二清等分析模型，對異常交易及時采取調查核實、風險預警、延遲結算、拒絕服務等措施，從而達到預防、制止詐騙的目的。

三、大數據應用于反電詐工作需注意的問題

（一）數據收集的真實性

數據偵查依托的重點就是大數據，準確真實的數據是實施偵查策略的必要條件，也是后續行動成功與否的必要保障。首先，在向多方收集數據的過程中必須要保證數據的來源真實可靠；其次，要確保數據在傳播、存儲、使用過程中不被篡改，是完整真實的數據，避免產生分析判斷錯誤的情況。

（二）數據收集的全面性

數據的單獨存在并不能成為大數據，大數據是一個體量特別大、數據類別特別多的數據集，也只有在這樣的數據集中才能做到對數據的深入分析和挖掘，所以要全面廣泛收集與電信網絡詐騙工作相關的數據，針對反詐工作中的不同類型和不同階段全面收集數據信息。一方面要搜集公安內部數據，如嫌疑人的個人信息、前科信息、出入境信息、旅館入住信息等；另一方面要搜集社會層面數據，如針對被測作用的話單數據、網絡數據、QQ微信聊天通信信息等，最大限度整合公安內部與社會外部數據，為下一步的行動開展提供海量信息支持。

（三）數據收集的及時性

數據是動態變化的，而并非一成不變的，若采用歷史數據極易產生數據分析延遲，從而延誤戰機，因此收集相關數據必須要及時有效，如在破獲一起電詐案件后，要及時將相關信息錄入數據庫進行數據分析，為延伸案件查處上下游犯罪提供數據支撐。

（四）數據的共享性

電信網絡詐騙犯罪日新月異，不斷發展的科技也成為電詐分子的武器，單純從公安機關內部實現數據共享是遠遠不夠的，我們更需要金融、電信、網絡運營商、高新企業等部門的協助。建議由公安部牽頭，建立全國統一的反電詐數據庫，各單位部門提供數據及技術支持，這有利于實現協作配合，更高效地打擊犯罪團伙，以促進全國反電詐工作的開展。

（五）數據的保密性

反電詐工作需要收集和分析數據，涉及數據面廣又多，這些數據中有一些會涉及公民隱私，也有一些會涉及正在偵辦的案件，因此，在工作中一方面務必要注重對數據的保密，防止數據外泄。另一方面要加強對數據的管理監督，對數據查閱、使用的人員權限進行嚴格審批，防止違法違規的行為發生。

（六）數據隊伍建設的重要性

大數據就好比一盤散落的沙子，那么數據庫就如裝載的器皿，我們最終的目的就是需要從眾多的數據中分析篩選出有效數據服務工作，大數據平臺建設就是其中的基礎工作，只有建立高容量、高精度的大數據平臺，才能使數據得以利用。除此之外，由于數據分析屬于新興技術，要想在偵查工作中充分發揮大數據的作用，就必須加強培養民警數據意識、提升其數據利用能力，爭取建立一支專門數據化隊伍，使其成為公安智慧工作的引領者。