◆王嘯虎

淺析電信詐騙案件中VOIP技術(shù)關(guān)鍵設(shè)備的取證要點(diǎn)

◆王嘯虎

（內(nèi)蒙古包頭市公安局昆都侖區(qū)分局網(wǎng)安大隊(duì) 內(nèi)蒙古 014010）

隨著互聯(lián)網(wǎng)時(shí)代的高速發(fā)展，電信詐騙成爆發(fā)式增長(zhǎng)，詐騙手法層出不窮，詐騙中所使用的技術(shù)手段不斷升級(jí)，VOIP技術(shù)更是被犯罪分子廣泛應(yīng)用于電信詐騙。本文主要介紹了VOIP技術(shù)關(guān)鍵設(shè)備取證要點(diǎn)。

VOIP；GOIP；SIMPOOL；電信詐騙

0 前言

近年來(lái)，隨著中國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)、中國(guó)金融業(yè)、通信業(yè)的快速發(fā)展，借助各類現(xiàn)代化高科技手段實(shí)施的電信詐騙犯罪在國(guó)內(nèi)迅速發(fā)展蔓延，其騙術(shù)手段多變，識(shí)別防范難度較大，致使人民群眾深受其害。尤其是在電信詐騙案件中VOIP技術(shù)的應(yīng)用給公安機(jī)關(guān)在偵查破案過(guò)程中帶來(lái)非常大的阻力，熟悉并掌握VOIP技術(shù)中關(guān)鍵設(shè)備GOIP、SIM POOL的取證要點(diǎn)是案件偵破和后期起訴的重要支撐。

1 VOIP技術(shù)介紹

VoIP（Voice over Internet Protocol）簡(jiǎn)而言之就是將模擬信號(hào)數(shù)字化，以數(shù)據(jù)封包的形式在IP網(wǎng)絡(luò)上做實(shí)時(shí)傳遞。VoIP最大的優(yōu)勢(shì)是能廣泛地采用Internet和全球IP互連的環(huán)境，提供比傳統(tǒng)業(yè)務(wù)更多、更好的服務(wù)。VoIP可以在IP網(wǎng)絡(luò)上便宜的傳送語(yǔ)音、傳真、視頻、和數(shù)據(jù)等業(yè)務(wù)，如統(tǒng)一消息業(yè)務(wù)、虛擬電話、虛擬語(yǔ)音、傳真郵箱、查號(hào)業(yè)務(wù)、Internet呼叫中心、Internet呼叫管理、電話視頻會(huì)議、電子商務(wù)、傳真存儲(chǔ)轉(zhuǎn)發(fā)和各種信息的存儲(chǔ)轉(zhuǎn)發(fā)等。

1.1 VoIP的三種主要方式

（1）網(wǎng)絡(luò)電話：完全基于Internet傳輸實(shí)現(xiàn)的語(yǔ)音通話方式，一般是PC和PC之間進(jìn)行通話。

（2）與公眾電話網(wǎng)互聯(lián)的IP電話：通過(guò)寬帶或?qū)Ｓ玫腎P網(wǎng)絡(luò)，實(shí)現(xiàn)語(yǔ)音傳輸。終端可以是PC或者專用的IP話機(jī)。

（3）傳統(tǒng)電信運(yùn)營(yíng)商的VoIP業(yè)務(wù)：通過(guò)電信運(yùn)營(yíng)商的骨干IP網(wǎng)絡(luò)傳輸語(yǔ)音。提供的業(yè)務(wù)仍然是傳統(tǒng)的電話業(yè)務(wù)，使用傳統(tǒng)的話機(jī)終端。通過(guò)使用IP電話卡，或者在撥打的電話號(hào)碼之前加上IP撥號(hào)前綴，這就使用了電信運(yùn)營(yíng)商提供的VoIP業(yè)務(wù)。

1.2 VOIP技術(shù)實(shí)現(xiàn)方案

VOIP的技術(shù)解決方案通常分為行業(yè)應(yīng)用、企業(yè)應(yīng)用和虛擬運(yùn)營(yíng)，其中行業(yè)應(yīng)用包括：語(yǔ)音機(jī)器人解決方案、呼叫中心解決方案、調(diào)度系統(tǒng)解決方案；企業(yè)應(yīng)用中包括：企業(yè)通信解決方案；虛擬運(yùn)營(yíng)中包括：回?fù)芙鉀Q方案和電信營(yíng)銷解決方案。

1.3 VOIP技術(shù)中關(guān)鍵設(shè)備介紹

（1）GOIP無(wú)線語(yǔ)音網(wǎng)關(guān)

GOIP無(wú)線語(yǔ)音網(wǎng)關(guān)是一款多功能融合設(shè)備，主要用于連接移動(dòng)運(yùn)營(yíng)商網(wǎng)路與IP網(wǎng)絡(luò)，實(shí)現(xiàn)運(yùn)營(yíng)商網(wǎng)絡(luò)與IP網(wǎng)絡(luò)的上下車，并廣泛應(yīng)用于虛擬運(yùn)營(yíng)、呼叫中心、企業(yè)介入、短信營(yíng)銷、無(wú)線移動(dòng)等領(lǐng)域。

GOIP無(wú)線語(yǔ)音網(wǎng)關(guān)根據(jù)所支持的運(yùn)營(yíng)商（移動(dòng)、聯(lián)通、電信）、支持頻段（GSM、CDMA、WCDMA、全網(wǎng)通）、信號(hào)（2G、3G、4G）、插卡數(shù)量（4、8、16、32、64、128）、并發(fā)數(shù)量（4、8、16、32）可分為多種型號(hào)。

（2）SIMPOOL

SIMPOOL是一款能夠集中存儲(chǔ)管理大量sim卡的設(shè)備。可與GOIP語(yǔ)音網(wǎng)關(guān)完美兼容，并且和sim center管理平臺(tái)一起使用，通過(guò)TCP/IP協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)機(jī)卡分離的效果。為用戶提供了一套完整的、具備強(qiáng)大sim卡管理能力的無(wú)線VOIP解決方案。

目前市場(chǎng)上常見的SIMPOOL設(shè)備主要特點(diǎn)：128/256個(gè)通道可選；支持瀏覽器：Firefox/Chrome/IE/Opera；NAT穿透和防火墻；SIM卡熱拔插；支持Qos；遠(yuǎn)程管理SIM 卡；支持多種語(yǔ)言：中文和英語(yǔ)；動(dòng)態(tài)分配SIM卡；防封卡；HTTP/TFTP升級(jí)。

SIMPOOL的工作模式包括兩種：一種是不通過(guò)服務(wù)器實(shí)現(xiàn)機(jī)卡分離，這種工作模式為點(diǎn)對(duì)點(diǎn),該模式要求網(wǎng)關(guān)直接與SIMPOOL對(duì)接，SIMPOOL和網(wǎng)關(guān)必須在同一個(gè)局域網(wǎng)下或者二者均具有公網(wǎng)IP；另一種工作模式是通過(guò)服務(wù)器注冊(cè)方式實(shí)現(xiàn)SIMPOOL設(shè)備與GOIP語(yǔ)音網(wǎng)關(guān)的通信，這種工作模式為注冊(cè)。

2 VOIP技術(shù)在電信詐騙案件中的運(yùn)用

目前很大一部分電信網(wǎng)絡(luò)詐騙案件中嫌疑人所使用的通信手段都是基于VOIP技術(shù)實(shí)現(xiàn)的，通過(guò)實(shí)際辦案過(guò)程中發(fā)現(xiàn)有專業(yè)的犯罪團(tuán)伙負(fù)責(zé)建設(shè)的專門用于違法犯罪活動(dòng)的通信線路，俗稱“線路商”，這些團(tuán)伙利用虛假身份信息在全國(guó)各地租住公寓式出租屋放置落地網(wǎng)關(guān)（GOIP無(wú)線語(yǔ)音網(wǎng)關(guān)），通過(guò)互聯(lián)網(wǎng)將GOIP無(wú)線語(yǔ)音網(wǎng)關(guān)接入SIP服務(wù)器（例如VOS），同時(shí)利用GOIP無(wú)線語(yǔ)音網(wǎng)關(guān)遠(yuǎn)程換卡功能實(shí)現(xiàn)機(jī)卡分離，遠(yuǎn)程管理所有網(wǎng)關(guān)設(shè)備。“線路商”將自己所組建的VOIP線路出租給各類詐騙團(tuán)伙從中牟利。在“線路商”所建立的用于詐騙的VOIP線路中，主要由落地網(wǎng)關(guān)、SIMPOOL、VOS、CC服務(wù)器等組成。

【VOS】：一款電話軟交換系統(tǒng)，主要用來(lái)在VOIP傳輸網(wǎng)絡(luò)中進(jìn)行計(jì)費(fèi)，其中會(huì)存儲(chǔ)話單信息。

【CC】【群呼系統(tǒng)】【呼叫中心】：本文特指詐騙團(tuán)伙用來(lái)進(jìn)行詐騙電話群呼的系統(tǒng)，可以理解成詐騙業(yè)務(wù)系統(tǒng)（OA），其中會(huì)存儲(chǔ)詐騙業(yè)務(wù)所使用各類關(guān)鍵數(shù)據(jù)，如話單、連接IP、帳號(hào)、組織號(hào)、坐席號(hào)等。

【窩點(diǎn)】：本文特指某個(gè)犯罪團(tuán)伙，為一個(gè)邏輯概念。

通常情況下一個(gè)VOIP線路建好后會(huì)租用給不同的犯罪團(tuán)伙使用，在案件偵破過(guò)程中必須根據(jù)自身的案件線索結(jié)合對(duì)VOIP線路中關(guān)鍵設(shè)備的現(xiàn)場(chǎng)勘驗(yàn)和遠(yuǎn)程勘驗(yàn)所獲得的實(shí)際數(shù)據(jù)情況進(jìn)行案件分析，找到實(shí)施詐騙的犯罪團(tuán)伙。

3 詐騙案件中VOIP技術(shù)關(guān)鍵設(shè)備取證要點(diǎn)

電信詐騙案件中通常的偵查方向有兩個(gè)：一個(gè)是信息流，一個(gè)是資金流。電信網(wǎng)絡(luò)詐騙團(tuán)伙利用各類金融手法，通過(guò)第三方備付金、地下錢莊、境外賬戶等多種手段進(jìn)行洗錢，對(duì)于偵查機(jī)關(guān)追蹤資金流來(lái)說(shuō)難度較大。本文中所提到的VOIP技術(shù)主要涉及到的就是信息流，通過(guò)案件中所掌握的線索對(duì)信息流進(jìn)行偵查，對(duì)于VOIP技術(shù)中的一些關(guān)鍵設(shè)備的取證工作就顯得尤為重要。

圖1 詐騙路徑圖解

3.1 GOIP無(wú)線語(yǔ)音網(wǎng)關(guān)取證要點(diǎn)

偵查機(jī)關(guān)在鎖定嫌疑人所使用的GOIP無(wú)線語(yǔ)音網(wǎng)關(guān)后，要及時(shí)對(duì)該設(shè)備進(jìn)行現(xiàn)場(chǎng)勘驗(yàn)，提取、固定設(shè)備中的配置數(shù)據(jù)，現(xiàn)場(chǎng)勘驗(yàn)時(shí)必須保證電腦與設(shè)備在同一個(gè)局域網(wǎng)下，通過(guò)瀏覽器訪問(wèn)該設(shè)備，登錄默認(rèn)用戶名是“root”，默認(rèn)密碼是“root”，主要注意獲取以下幾個(gè)內(nèi)容：

（1）固定、提取GOIP無(wú)線語(yǔ)音網(wǎng)關(guān)中SIP服務(wù)器設(shè)置信息，其中包括：SIP服務(wù)器IP地址、服務(wù)器端口、賬號(hào)和密碼，這一數(shù)據(jù)可以用于后期對(duì)SIP服務(wù)器的遠(yuǎn)程勘驗(yàn)工作。

（2）固定、提取網(wǎng)絡(luò)狀態(tài)信息，WAN口狀態(tài)，包括：工作模式、連接狀態(tài)、IP、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器地址、MAC地址；LAN口狀態(tài)，包括：IP、子網(wǎng)掩碼、DHCP服務(wù)器狀態(tài)；其他狀態(tài)包括：當(dāng)前標(biāo)準(zhǔn)時(shí)間、系統(tǒng)運(yùn)行時(shí)間、硬件版本、固件版本、軟件版本、發(fā)布時(shí)間。通過(guò)以上狀態(tài)信息可以了解設(shè)備的硬件情況、設(shè)備運(yùn)行情況和網(wǎng)絡(luò)情況。

（3）固定、提取設(shè)備端口狀態(tài)，其中包括：端口號(hào)、注冊(cè)狀態(tài)、模塊狀態(tài)、IMEI號(hào)碼，由于該設(shè)備中每個(gè)端口的IMEI號(hào)碼是可以修改的，所以必須及時(shí)的固定設(shè)備的端口IMEI數(shù)據(jù)，以便和案件中的線索進(jìn)行前后關(guān)聯(lián)。

（4）固定、提取設(shè)備中短信收件箱和發(fā)件箱里的內(nèi)容，GOIP設(shè)備具備短信收發(fā)功能，因此設(shè)備里短信內(nèi)容極有可能是案件的重要線索和證據(jù)。

（5）固定、提取設(shè)備中SIM卡的號(hào)碼列表，電信網(wǎng)絡(luò)詐騙案件中所使用的GOIP設(shè)備中的SIM是機(jī)卡分離模式，通過(guò)SIMPOOL對(duì)SIM卡進(jìn)行集中管理，因此設(shè)備中所寫入的SIM卡號(hào)碼是案件的重要線索和證據(jù)。

（6）固定、提取設(shè)備中遠(yuǎn)程換卡配置信息，包括SIM Center服務(wù)器地址、SIM Center服務(wù)器上創(chuàng)建的設(shè)備賬戶、GOIP設(shè)備賬戶對(duì)應(yīng)的密碼、SIM調(diào)度模式、連接傳輸協(xié)議、連接存活時(shí)間。獲取SIM Center服務(wù)器相關(guān)數(shù)據(jù)后，可以用于后期對(duì)該服務(wù)器進(jìn)行遠(yuǎn)程勘驗(yàn)。

（7）固定、提取設(shè)備網(wǎng)管信息，包括：網(wǎng)管類型、網(wǎng)管地址、網(wǎng)管端口、賬號(hào)、密碼，這類設(shè)備通常會(huì)由遠(yuǎn)程網(wǎng)管系統(tǒng)提供給用戶方便管理，用戶只需要注冊(cè)好網(wǎng)管賬戶，正確設(shè)置后，網(wǎng)關(guān)將會(huì)注冊(cè)到遠(yuǎn)程網(wǎng)管服務(wù)器上并建立正確的連接，便可通過(guò)設(shè)置的賬號(hào)登錄到相應(yīng)的網(wǎng)關(guān)。偵查人員第一時(shí)間拿到網(wǎng)管信息便可以登陸遠(yuǎn)程網(wǎng)管系統(tǒng)，可以通過(guò)社會(huì)工程學(xué)破解網(wǎng)管系統(tǒng)上同一團(tuán)伙所布置的其他網(wǎng)關(guān)設(shè)備。

（8）固定、提取設(shè)備中的日志信息，包括：sysmsg.log、messages.log等。

3.2 SIMPOOL設(shè)備取證要點(diǎn)

偵查機(jī)關(guān)在鎖定嫌疑人所使用的 SIMPOOL設(shè)備后，要及時(shí)對(duì)該設(shè)備進(jìn)行現(xiàn)場(chǎng)勘驗(yàn)，提取、固定設(shè)備中的配置數(shù)據(jù)，現(xiàn)場(chǎng)勘驗(yàn)時(shí)必須保證電腦與設(shè)備在同一個(gè)局域網(wǎng)下，通過(guò)瀏覽器訪問(wèn)該設(shè)備，登錄默認(rèn)用戶名是“root”，默認(rèn)密碼是“root”，主要注意獲取以下幾個(gè)內(nèi)容：

（1）固定、提取設(shè)備中的ESP設(shè)置信息，ESP設(shè)置為SIMPOOL與網(wǎng)關(guān)對(duì)接的相關(guān)配置，分點(diǎn)對(duì)點(diǎn)和注冊(cè)兩種模式。點(diǎn)對(duì)點(diǎn)模式下，SIMPOOL與網(wǎng)關(guān)對(duì)接無(wú)需通過(guò)服務(wù)器，只要保證網(wǎng)絡(luò)互通就行。注冊(cè)模式下SIMPOOL將注冊(cè)到SIM Center，通過(guò)SIM Center和GOIP網(wǎng)關(guān)對(duì)接，此時(shí)我們需要固定提取SIM Center服務(wù)器地址、用戶名和密碼，用于對(duì)SIM Center服務(wù)器的遠(yuǎn)程勘驗(yàn)。

（2）固定、提取設(shè)備遠(yuǎn)程網(wǎng)管信息，包括：網(wǎng)管地址、網(wǎng)管端口、賬號(hào)、密碼，遠(yuǎn)程網(wǎng)管的作用是方便用戶遠(yuǎn)程管理設(shè)備。

（3）固定、提取系統(tǒng)狀態(tài)信息，WAN口狀態(tài)，可以查看SIMPOOL的WAN口的網(wǎng)絡(luò)設(shè)置信息，包括IP地址、默認(rèn)網(wǎng)關(guān)、DNS、MAC地址等一系列信息；其他狀態(tài)，可以查看SIMPOOL的遠(yuǎn)程網(wǎng)關(guān)注冊(cè)信息、當(dāng)前時(shí)間、系統(tǒng)運(yùn)行時(shí)間、硬件軟件固件版本等；

（4）固定、提取呼叫狀態(tài)信息，包括端口（代表SIMPOOL的卡座號(hào)）、模塊（與SIMPOOL綁定的網(wǎng)關(guān)端口）、模塊類型、呼叫狀態(tài)（該SIMPOOL端口狀態(tài)）、持續(xù)時(shí)間（SIMPOOL端口某種狀態(tài)下的持續(xù)時(shí)間）、余額（該SIMPOOL端口余額）、描述（SIMPOOL端口狀態(tài)的描述，如通話將顯示主叫號(hào)與被叫號(hào)）。

（5）固定、提取設(shè)備中的日志信息，可以用來(lái)分析設(shè)備的運(yùn)行狀態(tài)。

由于VOIP線路中SIMPOOL設(shè)備通常與GOIP設(shè)備是分開存放，而且一般都存放在境外，所以針對(duì)無(wú)法進(jìn)行現(xiàn)場(chǎng)勘驗(yàn)的SIMPOOL設(shè)備，要通過(guò)GOIP設(shè)備中獲取的SIM Center服務(wù)器的相關(guān)信息進(jìn)行遠(yuǎn)程勘驗(yàn)。

3.3 現(xiàn)場(chǎng)勘驗(yàn)注意事項(xiàng)

電信網(wǎng)絡(luò)詐騙案件中的GOIP、SIMPOOL設(shè)備的放置現(xiàn)場(chǎng)通常為單身公寓，案發(fā)現(xiàn)場(chǎng)布置簡(jiǎn)單，只用來(lái)放置作案設(shè)備，并接入互聯(lián)網(wǎng)，需要注意的是在房間內(nèi)犯罪分子為了隨時(shí)掌握設(shè)備情況會(huì)放置網(wǎng)絡(luò)攝像頭正對(duì)房間門，因此在辦案過(guò)程中進(jìn)入房間時(shí)要采取技術(shù)性手段中止房間內(nèi)網(wǎng)絡(luò)攝像頭工作，以防止被犯罪分子發(fā)現(xiàn)窩點(diǎn)被查。同時(shí)電信網(wǎng)絡(luò)詐騙案件中這些設(shè)備內(nèi)的數(shù)據(jù)更換頻率快，保存時(shí)間段，為了有效的固定涉案的電子數(shù)據(jù)要在案件發(fā)生第一時(shí)間找到放置設(shè)備的地點(diǎn)進(jìn)行取證。

4 總結(jié)

隨著信息技術(shù)的高速發(fā)展，電信網(wǎng)絡(luò)詐騙案件占所有案件比重逐年上升，犯罪分子在詐騙案件中所使用的技術(shù)手段不斷升級(jí)，反偵察意識(shí)非常之強(qiáng)，使得案件偵破過(guò)程中證據(jù)的收集、提取和固定阻力重重。要想將犯罪分子繩之以法，必須熟悉并掌握犯罪分子所使用的各種技術(shù)手段，能夠準(zhǔn)確提取、固定犯罪分子的作案證據(jù)成為了案件偵破工作的重中之重。

[1]中國(guó)通信學(xué)會(huì)信息通信科學(xué)傳播專家團(tuán)隊(duì).信息通訊技術(shù)百科全書[M].北京：人民郵電出版社， 2015.