大数据技术助伪基站短信大起底

如果你问问身边有手机的朋友“有没有收到过垃圾短信”,可能超过99.9%的回答是“有”。

垃圾短信本来就是个烦人的东西,而更烦人的是,手机在不断更新升级,垃圾短信也在更新升级:早期的“我是房东,号码换了,房租打我这张卡里……”“您的手机已经被XXX网站抽中幸运大奖……”一类骗术已是小儿科,更多的垃圾短信,表面看上去和正规的银行、运营商、公司发的短信一模一样,让人真假难辨。这些“高仿”垃圾短信的“幕后黑手”,便是伪基站。

实际上,伪基站造成较大规模的危害,已有一段时间了:2014年,新华每日电讯就曾刊发过《“伪基站”猖獗的秘密:做一单就能收回成本》等多篇报道,揭秘伪基站的作案手段与危害。近年来,公安部也一直在大力整治伪基站相关案件,各大银行、运营商等企业也都在反复提醒用户识别伪基站短信的特征……然而,有调查显示,中国金融领域每年遭受伪基站钓鱼攻击导致的金额损失高达100亿元；《反电信网络诈骗大数据季度报告》则显示,2016年第一季度,有据可查的诈骗短信接受人数高达3亿人!

对付伪基站,魔高一尺,道高一丈

面对伪基站非法短信这种有点儿“科技含量”的犯罪行为,一家家更有科技含量的互联网公司站了出来

“要想根治伪基站非法短信,只有修补GSM系统的漏洞。”360公司首席反诈骗专家裴智勇博士介绍说。

伪基站之所以泛滥,是因为它利用了手机GSM网络系统只能单向鉴定的特性。GSM系统全称“全球移动通信系统”,是当前应用最为广泛的2G移动电话国际标准。而所谓单向鉴定,是指基站可以鉴定手机信号的合法性,但是手机不会鉴定基站的合法性。有了这一特性作为保护伞,伪基站就可以伪装成各种号码向其波及范围内的手机发送垃圾短信了。由于目前手机网络大多已升级到3G、4G,不法分子利用伪基站作案时还会配合信号干扰器,令手机降频至2G网络后,再用伪基站发送短信。

目前,全球200多个国家和地区,超过10亿人都在使用GSM系统。而据裴智勇介绍:“修补GSM系统漏洞,就得要求所有通讯设施都必须改造,手机也都要进行改造。因为在全球范围内都必须修改,这个改造成本非常之高。”

那么对于伪基站,我们难道就无可奈何?

8月4日,公安部打击治理电信网络犯罪防控中心成立仪式暨麒麟反“伪”行动发布会在京召开,公安部表示将同腾讯研发的“麒麟伪基站实时检测系统”进行深度合作。

7月21日,2016年中国可视化与可视化分析大会在长沙举办,360公司展示了他们与北京、上海、湖南等多地警方有过成功合作的可视化技术的伪基站追踪系统。

7月28日,百度安全和新疆自治区公安部门达成战略合作成立反伪基站中心。至此,百度安全已与17个省市区公安单位,网安等建立合作关系,为公安机关提供伪基站信息技术支持。

……

面对伪基站非法短信这种有点儿“科技含量”的犯罪行为,一家家更有科技含量的互联网公司纷纷站了出来。而在这些互联网公司的背后,则是我们每个手机用户对伪基站展开的一场“全民皆兵”的战争。

大数据:用“人海战”对抗“游击战”

某伪基站上午从南四环出发,中午到三里屯,最远走到望京……帮忙绘制这张轨迹图的,是每一部被骚扰的手机

综观几家互联网巨头提供的伪基站追踪技术,全都离不开一个关键词——大数据。

传统追查伪基站的方式,一般是公安机关联合当地的运营商和无线电管理部门来追查伪基站的位置。据裴智勇博士介绍,由于运营商具有真实的基站网络,通过监测周边异常信号来查找伪基站,实际上是效果最精准的。但伪基站一般由笔记本、群发器等几个比较轻便的设备组成,可以轻松地“背包上路”；警方截获的一些新型车载式伪基站设备,甚至只有A4纸大小,藏在汽车或电动车里都很容易。这让不法分子可以很轻易地跟警方“打游击”。

而且,据工信部无线电管理局披露,如今的“伪基站”设备已经“更新”到第四代产品,每小时就能发5万条信息,效率极高。因此,这种“游击战”的“居无定所”根本不会影响不法分子的“生意”。

此前,检测到伪基站,但一出警就扑空。这成了伪基站屡禁不止的一个主要原因。

“运营商可以更精确地监测到伪基站位置的点,而我们是可以查找伪基站的运行轨迹。”360安全中心的专家徐先生向记者展示了360伪基站追踪系统中,某个垃圾短信伪基站“忙碌的一天”:上午从北京南四环出发,中午转到繁华的三里屯,下午又“转战”朝阳公园等地,最远甚至走到了望京……而帮忙绘制这些伪基站行动轨迹图的,正是每一部被伪基站骚扰的手机。

目前,诸家互联网巨头旗下的手机安全软件,每家都有数亿的装机量。每当手机收到一条来自伪基站的非法短信,安全软件就会把短信内容、伪装后的发送号码、接收时间以及当时手机所在的坐标信息等内容反馈给伪基站追踪系统。而当大量有同样号码、相近内容,但是时间、地点不同的数据被汇总到追踪系统的数据库之中时,这台伪基站的一举一动也就很容易清晰地呈现在追踪系统中……用典型的“人海战”对抗“游击战”。

一旦摸清某个伪基站在一段时期内的行动规律,警方就可以方便地提前安排警力,对伪基站进行围追堵截。

腾讯的“麒麟伪基站实时检测系统”,甚至还给相应的手机APP用户提供了手动及时报警的功能:只要你所在的城市警方与麒麟系统有合作,你收到可疑短信并立刻举报时,当地警方就会在确认目标后,及时出警!

藏在数据中的伪基站犯罪新动向

伪基站短信中,冒充95555(招商银行)的短信数量最多；从伪基站短信类型看,广告推销类短信数量最多

分析查找伪基站活动规律,只是这些追踪系统收集到的大数据的用途之一。更重要的是,这些数据,可以帮助警方从宏观层面了解一些伪基站犯罪的规律和新动向。

比如,360公司就把他们从2013年起开始通过手机安全软件收集到的各种垃圾短信数据进行分类整理,从地域、内容、时间、关键词等多个维度进行了归纳分析。

从他们在今年3月获取的伪基站短信数据统计结果来看:伪基站短信中,冒充95555(招商银行)的短信数量最多,其次是冒充95588(中国工商银行)、10086(中国移动)、95533(中国建设银行)和95599(中国农业银行)等号码的短信；从伪基站短信类型看,广告推销类短信数量最多,占比高达41.3%；其次为违法信息类短信33.8%；诈骗短信24.0%；从一天24小时的情况来看,9点至19点为伪基站短信频发时段,约占全天总拦截量的86.0%。上午11时为一日之内的最高峰,这一小时内伪基站短信数量占全天总量的8.8%；从地域来看,广告推销类短信河南、辽宁和山东位居前三,违法内容短信北京、河南与四川名列前三,诈骗短信则以广东、上海和河南最多……

有了这些数据,警方也可以据此对照自己相应的记录,更有针对性地追踪伪基站以及其背后的各种类别的犯罪团伙。“比如说在北京三里屯,酒吧、夜店多,晚上11点到凌晨1点,有伪基站大量发送违法的色情服务短信。警察就可以根据这些情况安排相应的人力蹲点来实施观察、抓捕。”裴智勇博士说。

凭借着各大互联网企业提供的伪基站追踪系统,北京市公安局网络安全保卫总队今年一季度破获多起在京活动的重大伪基站犯罪团伙案,捕获犯罪嫌疑人160余名,缴获伪基站设备100余套；上海警方共抓获伪基站犯罪嫌疑人141名,缴获设备121套；深圳刑侦局在为期90天的打击整治涉伪基站违法犯罪专项行动中,共打掉涉伪基站犯罪团伙13个,抓获犯罪嫌疑人110人,缴获伪基站设备59套,降低伪基站诈骗发案率八成……总体办案效率都有了明显提高。

对抗伪基站,还需更多力量联手

警方抓捕伪基站有了新帮手,不法分子也在琢磨各种对策:例如“现场灭迹”“躲猫猫伪基站”等

在裴智勇博士看来,警方与各大伪基站追踪系统合作的成功,并不代表警方以前追查伪基站的措施就“不给力”:“真正到了现场抓捕阶段,警察还是需要电信运营商提供的实时位置定位,还得带上无线电管理部门的信号鉴定系统,在近距离精确度和实时性方面,这些单位部门的作用无可取代。对付伪基站犯罪,单靠哪一方的力量都是不可能的。”

在追查伪基站方面,还有一些新的合作模式,正在逐步尝试。在上海,360的伪基站追踪系统就和道路交通管理的监视系统有过整合的试验:通过数据分析的伪基站行动轨迹与道路监控摄像头拍摄到的影像资料进行对照,可以把藏有车载伪基站的嫌疑车辆锁定在有限的几辆车的范围之内。然而,交通管理和公安部门并非同一个系统,这种比较有效的追踪伪基站的新模式,并不能在很多城市推广开来。

警方抓捕伪基站有了新帮手,不法分子也在琢磨各种对策。最常见的就是现场“毁尸灭迹”——在发现有警察追捕时,携带伪基站的人可能会迅速把一个U盘插入机器里,等警察赶到,他携带的伪基站已经变成了一台格式化过的空白机器。这种颇似“服毒自尽”的手法,有时会让公安机关无法人赃俱获。

而在南昌,公安机关还曾遭遇过会“躲猫猫”的伪基站——这种设备一般藏匿在宾馆、出租屋等隐蔽的室内,相比以往普通的伪基站还多了一块电子线路板,将伪基站发射主机、电源、定时开关插座以及藏匿的房间门框上的感应装置关联在一起。当有人开门进入后,门上的感应装置随即通过定时开关上的SIM卡将提示信息发送到远程操作者的手机上,远程操作者随即切断电源,伪基站信号即刻消失。

“网络信息诈骗已形成完整的黑色产业链,诈骗分子分工明确细致,并利用互联网技术手段进行诈骗犯罪活动,传统打击信息诈骗手段面对不断转化升级的新型网络犯罪明显滞后。”腾讯安全管理部副总经理朱劲松呼吁说,打击信息诈骗,需要全行业的联合、需要更多力量的加入。