反诈态势情报 | 远控技术的应用趋势，以及窝点黑产设备的监控和打击对策

近日，360反诈大数据预警系统发起警报，冒充身份类电话诈骗多发，通过对冒充类诈骗行为的研判和追踪，分析发现比较明显的诈骗特征，多为接听多通国际来电、国内来电，且用户手机在接听来电后会安装会议类软件，进而引导用户开启“屏幕共享”功能施诈。360手机卫士对赔付保用户反馈的案件进行复现时发现，远控类软件和聊天会议类软件被不法使用，成为诈骗团伙拨打诈骗电话的作案工具。

小众聊天会议软件备受诈骗团伙“青睐”

会议类软件的“屏幕共享”功能也被不法分子盯上了。随着攻防手段的升级，一些聊天会议类软件的平台方也加强了风控措施，比如开启屏幕共享功能会有弹窗提示、新注册用户禁止开启屏幕共享等，被围堵之下的诈骗团伙转而使用一些小众聊天会议类软件。不可忽视的是，现有风控措施还不能完全从根源遏制被不法利用的情况。

图为某应用商店某聊天会议软件的用户评论截图

360反诈中心上线的小众会议模型，根据号码呼叫行为（境内电话拨打、固话拨打等）共划分为6类，模型覆盖人群过万。其中，命中小众会议模型的受害人所在省级分布中，广东省占比最高为 9.53%，其次是四川省（8.05%）、河南省（7.14%）。

 诈骗电话拨打环节的技术升级

“GOIP”迎来2.0时代

传统的诈骗电话呼叫技术更多使用到多卡宝等goip设备，设备体积庞大，且对手机卡的需求量很大，随着断卡行动的打击和围剿，电话卡资源短缺问题，迫使诈骗团伙在技术环节上进行了升级改造。随之，一种成本更低、隐蔽性更强、操作更简单的“简易组网GOIP”技术开始出现并广泛使用，“GOIP”诈骗迎来2.0时代。

根据黑灰产情报显示，一些诈骗团伙为逃避侦查和打击，作案手段升级为使用远控、聊天这两类应用，以此作为跳板进行流程搭建。通过我们掌握的情报，远控技术已在短时间内完成了快速迭代：

初期，诈骗团伙主要使用第三方远控类应用，2部手机设备同时安装主控、被控端，另外2部手机设备通过聊天软件实时语音传输进行远程遥控，实现对外拨打诈骗电话。

迭代后，诈骗团伙通过自研技术开发，集成远控和聊天功能，整个过程只需要2部手机设备，即可完成主控被控、语音传输。

如何发掘诈骗窝点黑设备

动态监控，精准打击

基于对黑灰产业链运行模式的摸底，以及诈骗窝点的画像特征挖掘，研发推出黑灰产设备画像算法模型，实现对诈骗窝点的溯源分析，发掘黑灰产设备类型及其在产业链中所处的分工位置；根据其网络特点，可判断其网络身份真假，比如是否为ip代理。做到动态监控，精准打击，为案件的侦破和打击工作提供高效、便捷的安全服务。