续晨霞 张亦冰 陈哲

(中国信息通信研究院安全研究所，北京 100083)

0 引言

近年来，随着信息通信与互联网技术的快速发展，手机和互联网应用覆盖了大部分用户，社会公众普遍已经习惯将生活必需的出行、购物、医疗、交友、婚恋、娱乐、教育等活动，借助移动通信终端和互联网来完成。在此时代背景下，传统犯罪正在向以电信网络诈骗为代表的新型网络犯罪转变，电信网络诈骗持续高位运转，手法层出不穷，技术不断迭代更新，犯罪形势十分严峻，诈骗与反诈骗的对抗全面升级。仅以2021年1—9月为例，全国破获电信网络诈骗案件共计26.2万起，同比上升41.1%，紧急止付2 770亿元涉案金额[1]。电信网络诈骗依靠其作案手法变化快、迷惑性强、查处难度大等特点，已经严重侵害人民群众的财产安全与合法权益。因此，本文将针对国内电信网络诈骗现状进行全面分析，梳理电信网络诈骗应对需求，并结合信息通信行业优势，设计反诈技术体系架构及应用能力，研提相关发展建议。

1 电信网络诈骗现状分析

电信网络诈骗是一种远程、非接触式的诈骗方式[2]。诈骗分子借助现代通信手段、网络技术，在掌握受害人部分信息的基础上，编造虚假信息，设置骗局，通过仿冒他人、伪造各种合法外衣和形式的方式达到欺骗的目的。目前，诈骗分子常使用手机、电脑、智能插卡集群设备等硬件资源，结合短信端口、域名网址、境外号码、改号软件等软件资源，依托通信网和互联网，通过拨打电话，发送短信、彩信、钓鱼邮件、虚假网址链接，使用网络聊天工具引导受害用户下载各类投资、赌博、游戏等APP或电脑程序，诱使受害人打款或转账，诈骗类型层出不穷(见图1)。

对电信网络诈骗现状进行深入分析，发现其逐渐呈现出“诈骗工具多样化”“诈骗技术演进快”“受害群体覆盖广”等特点。

1.1 诈骗工具多样化

随着通信网、互联网发展的日新月异，犯罪手段也紧跟信息技术发展升级迭代，诈骗分子在实施诈骗的过程中通过使用新兴技术、挖掘新型工具来提升作案能力，如短信端口、域名网址、虚拟拨号设备(如GoIP)等各类通信手段，境外服务器、改号软件等网络手段，进一步加强了犯罪的隐蔽性和便捷性。

图1 电信网络诈骗示意图

1.2 诈骗技术演进快

随着通信网、互联网产业的迅猛发展，电信网络诈骗技术也快速演进，已从过去单一网络使用发展为通信网和互联网的紧密融合。从作案工具来看，现今备受诈骗分子青睐的多宝卡、络漫宝、GoIP等智能集群插卡设备可实现互联网和电话网络信号的转换，通过远程控制设备拨打电话、收发短信，实现了人、机、卡分离。从作案手法上看，诈骗分子常通过拨打电话引诱受害者下载虚假投资APP或通过发送带有非法链接的信息诱骗受害者点击。

1.3 受害群体覆盖广

诈骗分子实施诈骗行为常通过“广撒网”的方式，受害群体分布更为广泛，涵盖了农民、工人、教师、学生、老人、家庭主妇、国家公职人员等，且诈骗分子会通过不法手段获取受害者的年龄、性别、职业等身份信息，针对不同人群制定不同类型的诈骗手段[3]。

2 需求分析

根据电信网络诈骗的特点，要想切实防范和打击电信网络诈骗，保障人民群众的钱袋子，需要从“规范治理涉诈资源、追溯打击已有犯罪”“构建涉诈行为模型、提升线索发现能力”“主动研判风险人群、及时精准预警阻断”等方面构建反诈技术能力。

2.1 追踪溯源

当发生电信诈骗案件后，各地公安机关会收到来自受害者的报案，在收集到相关信息后，还需要借助通信网、互联网等相关数据能力，对诈骗行为进一步分析认定及追踪打击[4]。包括核查上报信息是否准确、是否为境外来电或虚拟改号，以减少误判；根据诈骗分子使用的设备信息进行属地及位置分析，精准打击诈骗窝点、清缴诈骗设备、抓捕犯罪人员等。

2.2 线索发现

打击治理电信网络诈骗不能仅仅依靠对已发单一案件的追踪溯源，需要进一步扩大线索发现范围，尤其是需要基于诈骗分子在通信网和互联网上的行为特征，利用信息通信行业数据进行主动发现和拓展发现，构建诈骗分子、潜在受害者特征画像及涉诈设备特征发现模型等，为公安机关提供更多的线索数据，助力打击更多的涉诈软硬件资源和诈骗团伙。

2.3 预警阻断

防范电信诈骗犯罪需要秉承“打防结合、预防为主”的工作方针，针对潜在受害群众进行精准、及时、全面的预警劝阻和风险阻断。当潜在受害者接到诈骗分子的电话和短信、访问高风险的网址链接、下载未经注册的APP及有异常转账行为时，可以通过有效的预防措施，及时保护其财产安全，为避免损失争取时间。

3 体系设计

面对电信网络诈骗犯罪新特点和复杂形势，结合“追踪溯源、线索发现、预警阻断”等打防管控迫切需求，基于信息通信行业优势，构建“2+3+2+2”反诈技术体系，即“夯实两大基础底座、打造三大应用能力、强化两大保障技术”，实现“辅助公安机关打击电信诈骗，全力守护人民群众财产安全”两大核心目标(见图2)。

3.1 两大基础底座

夯实“数据、技术”两大基础底座。数据底座方面，充分发挥信息通信行业数据全面、实时、客观等特点，结合反诈工作需求，多维度解析处理，提取并留存可用于深度挖掘和关联分析的标准化数据。同时，融合公安机关已核实的涉诈人员、资源、行为等案件数据，形成各类专题数据库，支撑各类上层应用。技术底座方面，针对所需调用和分析的关键数据，结合应用需要，构建检索引擎和算法模型，并广泛采用人工智能、深度挖掘、可信计算等新技术，厚实底层技术能力。

3.2 三大应用能力

打造“追踪溯源、线索发现、预警阻断”三大应用能力。追踪溯源方面，根据公安机关提出的协查诈骗人员、资源等相关数据需求，组合利用检索引擎挖掘有效线索数据，辅助核实落查诈骗人员，关联分析诈骗团伙，追溯溯源诈骗资源，从诈骗侧支撑打击电信诈骗。线索发现方面，一方面，通过归纳总结电信诈骗行为的业务侧、设备侧、网络侧等特征，构建应用主动发现算法模型，主动发现疑似涉诈行为，提供疑似诈骗人员和资源线索，如识别发现GoIP设备和布设设备人员；另一方面，根据公安机关提供的涉诈数据，如涉诈号码、设备等，构建应用拓展发现模型，发现更多高危诈骗行为和潜在受害者，从过程侧助力斩断诈骗链条。预警阻断方面，针对分析发现的潜在受害者，开发风险预警功能，采用短信、闪信或弹窗等方式，对其本人及亲人进行预警提示，如12381涉诈预警劝阻短信系统；针对识别发现的涉诈行为风险，开发拦截阻断功能，如拦截涉诈短信等；针对公安机关已核实的涉诈资源，以及由此衍生出的高危涉诈资源，开发联合处置功能，采取关停、封停、下架、清理等措施。

3.3 两大保障技术

强化“网络与信息安全技术、共享与协同联动技术”两大保障技术。网络与信息安全技术方面，立足于新技术新应用，从满足国家最新网络安全等级保护标准和个人信息保护要求出发，加强安全防护技术手段建设，加固网络安全保障能力，高度重视个人信息保护，采取必要措施保障所处理的个人信息的安全。共享与协同联动技术方面，聚焦三大应用能力，从信息共享、协同发现、联动处置等方面出发，联合公安机关，联动行业内各单位、企业相关技术平台，强化一体化反诈技术能力。

图2 “2+3+2+2”反诈技术体系

4 结束语

利用信息通信行业优势，可为防范治理电信网络诈骗工作提供更为全面、精准、可靠的参考依据，是不断创新工作措施、实施精准有力打击的重要支撑和保障。本文提出了“2+3+2+2”反诈技术体系，为信息通信行业技术反诈工作提供了理论参考。为更好地发挥应用效果，需要充分调动行业各方技术优势，进一步融合网络数据资源，把构建反诈技术屏障作为民心守护、众志成城和久久为功的工程，坚持以技管网、提升防范能力，聚焦重点难点、挤压犯罪空间；同时，还要突出宣传行业反诈技防手段的应用成效，营造强大舆论声势，震慑打击诈骗团伙嚣张气焰。