诈骗电话的发现和定位Word文档格式.docx

诈骗电话的发现和定位Word文档格式.docx

《诈骗电话的发现和定位Word文档格式.docx》由会员分享，可在线阅读，更多相关《诈骗电话的发现和定位Word文档格式.docx（28页珍藏版）》请在冰豆网上搜索。

1.3.诈骗电话的常见处理手段

目前普遍的处理手段如下：

1、停用诈骗语音信箱

接到用户投诉后，可根据诈骗电话呼转的语音信箱，取证确认后停用该语音信箱。

但由于语音信箱可简易申请且无法预先审查，犯罪分子可轻易批量申请新的语音信箱继续进行诈骗，堵不胜堵。

2、将呼叫号码停机

接到用户投诉后，可取证确认后停用该诈骗电话号码。

但事实证明这种方法收效甚微，由于犯罪分子所用SIM卡几乎都是外省号码，跨省停机的流程时间较长，且犯罪分子手中存有大量SIM卡，随时替换已停机的SIM卡，停不胜停。

3、向公安机关报案

由于小区覆盖范围内的民居众多，公安机关现有的定位手段有限，无法准确确定犯罪分子的具体位置，而且嫌疑人采取打一枪换一个地方的形式作案，不断更换拨号的地点和取款的地点，与警方打“游击战”，使得无法破案或破案成本极高。

1.4.开展打击行动

2008年，惠州境内出现大量的诈骗电话，给网络性能和公司形象造成严重影响，在传统处理手段无效的情况下，惠州公司转换思维方式，变被动应对为主动出击。

创新技术应用和工作流程，对诈骗电话实行实时监控和准确定位，配合公安机关破获犯罪团伙，从源头上打击了诈骗电话活动，有效制止这种犯罪活动的蔓延，保障了网络安全。

•2008年初惠州个别小区出现呼叫申请数突增、话务拥塞的情况，至3月此类异常小区已多达43个。

具体分布如下：

•频繁密集的拨打电话，浪费了网络资源，抢占了正常的通话信道，造成附近区域呼叫困难。

引起较多的用户投诉。

基于巩固网络安全的考虑，惠州公司总结了工作经验，把相关工作流程化、标准化，形成打击诈骗电话的创新工作模式。

二.工作成果

2.1.严密组织，精心准备

由于现在的回拨诈骗方式更加隐蔽，因此也就要求我们的定位和打击更加迅速，才能有效打击诈骗活动。

惠州公司解放思想，设计出更加有效的方案：

•事前周密部署：

对参加行动的人员进行统一培训；

通过CTR、MTR测量的信号强度和TA进行初步定位；

事先侦查街区地形制订扫频区域和线路，提高判断能力和速度；

•缩短定位时间：

通过兄弟公司的协助调集全省仪表，共计10台扫频仪对异常拨打区域进行合围式定位，使定位时间从以前的一周缩短到2个小时；

•多部门联动：

公司技术部门、安保部门与公安部门密切配合，扫频定位小组和公安人员一起行动，查找、定位、捣毁一次完成，使回拨诈骗行为无所遁形。

2.2.精确定位，雷霆出击

2008年4月16日开始，惠州分公司联合惠州市公安局，对诈骗窝点展开清剿行动，4天共打击、捣毁6个犯罪窝点。

国美微风窝

麦迪新村

松园坑

下埔大道

2.3.彻底围剿，大获全胜

•2008年4月16日开始，惠州分公司联合惠州市公安局，对诈骗窝点展开清剿行动。

截至4月24日清剿行动取得了圆满成功，犯罪窝点定位准确率100％，捣毁率100％。

•共捣毁犯罪窝点6个，抓捕犯罪嫌疑人1名，缴获用于拨打的手机终端555部，台式电脑2台，笔记本电脑1台，以及大量的充值卡、银行卡等犯罪工具。

2.4.打击行动，指标收效

•诈骗电话的拨打频率是10秒/次，每部手机平均每天的呼叫高达8640次，555部每天可产生479.5万次诈骗呼叫。

•全网晚忙时TCH拥塞数（不含切换）减少58.1％，TCH拥塞率（不含切换）减少50.1％。

•现场扫频定位，打击诈骗窝点后，非法话务小区的指标回落情况（1个小时指标对比）。

三.非法话务小区特征

3.1.话务异常小区基本特征

从话务统计指标看，话务异常小区多有这些基本特征，总结如下：

1.平均通话时长很短，大约在5至15秒间，而普通小区平均通话时长多在30秒以上；

2.全天24小时话务分布较均匀，即使在零晨时段话务仍较高；

3.SDCCH申请数和TCH申请数一般在全天维持在较高水平；

4.TCH拥塞数比较高。

附2008年3月全网非法话务小区24小区的话务指标情况，详见附件。

3.2.话务异常小区指标走势分析

1.拥塞次数和通话时长对比

Ø

非法话务小区话务及平均通话时长变化趋势：

（举例说明：

H72顺利街1）

从图中可以看出这些非法话务的小区全天的话务量和拥塞率都很高，不符合正常变化规律。

正常小区话务及通话时长变化趋势：

H81超能3）

正常小区的话务量和拥塞数有明显的变化规律，在凌晨2点至6点这段时间话务量会明显下降，全天的平均通话时长都在20秒以上。

2.T申请数和S申请数变化对比

TCH申请数和SDCCH的申请数全天都非常高，凌晨3点S申请数仍然有1万多次，TCH申请数高达4万次。

3月5日全天的话务和T申请数以及SDCCH申请数如下图示。

非法话务小区申请数24小时变化：

H21新墟打和岗3）

正常小区的24小区申请数变化趋势：

正常小区的话务量也比较高，但话务变化和申请数变化具有明显的高低变化特征，在凌晨3点至6点就会比较低。

四.全网非法话务小区信息

惠州全网涉及非法话务的小区共16个区域，涉及7个BSC，波及范围极大，诈骗电话犯罪分子窝点设置分布极多。

存在非法话务的小区

网元

小区

HZSM4B2

E42河背2

HZFBSC1

H61花边岭2

E42河背3

H61花边岭3

E42瑞丰3

H61麦迪新村1

E42新南海渔村2

H61汽车市场1

HZBBSC1

H21新墟打和岗2

H61国美微风窝

H21新墟打和岗3

HZSM3B1

H62南坛1

H21新墟镇府3

H62南坛3

H21新墟1

H62数码街2

H21新墟2

H62下埔大道2

H21新塘口1

H62玉滩宾馆1

H21新塘口3

H62滨江公园2

H22榕城1

H62长寿路2

H22榕城2

H62南门1

H22圆盘2

H62南门2

H22圆盘3

HZHBSC1

H81塔仔湖2

－

HZDBSC1

H41松园坑1

HZGBSC2

H72顺利街1

H72陈江商业街2

H72陈江3

H72经迪3

具体地址信息，详见附件：

五.非法话务小区对全网指标的影响

5.1.无线接入性指标

非法话务小区的无线接入性能波动比较大，最低时3月16日仅为63.30%，多数情况下低于85%；

而全网正常小区多维持在97%。

非法话务小区拖累全网（爱立信）无线接入性能指标大约2-3%，在3月8日至3月26日表现较为明显。

5.2.拥塞次数及拥塞率指标

1、全网异常小区拥塞次数

由上折线图知，异常小区（30个小区）的拥塞数（40万次）大约占到全网拥塞数（80万次）的一半。

2、全网异常小区拥塞率

非法话务小区的拥塞率达到50%-60%之高，全网正常小区的拥塞率在10%左右，非法话务小区大约拖累全局拥塞率指标5%-7%。

六.CTR功能定位分析（以H72经迪3为例）

6.1.CTR测量分析思路

1．将非法主小区及其附近影响较大的小区降功率（降低至33dBm），并都将CRO设置为0，观察前后话务变化情况，确定非法窝点大致范围；

2．在凌晨时段对非法话务小区做CTR定位，主要是根据CTR测量功能进行分析，测量数集中分布的TA和信号强度，确定非法窝点大概位置；

3．取全天的话务指标，对切换数据进行辅助分析，主要是依据相互小区间的切换次数的变化，确定非法窝点的大致方向。

6.2.H72经迪3的CTR分析过程

6.2.1.修改基站发射功率，缩小可疑范围

1、调整基站功率，确定范围的变化情况

A、在小区功率未进行任何调整时，H72经迪3和H72顺利街1附近小区话务情况。

（备注：

TRAFF－话务量，TFACALLS－TCH尝试分配数，MSESTB－TCH成功分配数，CONGS－TCH拥塞数，TFCASST－指配成功数）

B、H72经迪3调整为33dBm的几个小区话务情况。

由话务统计可见，H72经迪3在平时正常功率（41dBm）尝试分配数和拥塞数分别为3016和13487；

调整为33dBm，试分配数和拥塞数分别为3157和13204，前后变化不明显。

可见异常话务区域应该在H72经迪3功率为33dBm的覆盖范围内。

2、做CTR测量，确定窝点与基站的大概距离

1）凌晨时段的CTR测量分析（功率正常情况下测量）

H72经迪3TA=0

H72经迪3TA=1

H72经迪3TA=all

H72经迪3凌晨的CTR测量图表明，异常话务区域在距离H72经迪3大约1TA处，信号强度在57-73dBm之间。

2）功率下降至33dBm时的测量

由上三个CTR图可知，功率在33dBm时，话务集中在1个TA处，信号强度在52-64dB之间。

6.2.2.切换数据的辅助分析

从话务切换指标进一步确定异常话务区域与周围小区的关系。

时间

BSC

源小区

目标小区

切换数

切换成功数

内切成功率

回切数

2008-3-150:

00

H72JDI3

H72SLJ1

41463

41386

99.81

43

D72JDI2

13353

13017

97.48

323

H72SLJ3

8192

8041

98.16

130

H72JDI2

8140

7915

97.24

208

H72SLJ2

5601

5590

99.8

10

D72JDI1

4745

4648

97.96

92

H72CJF3

4667

4640

99.42

21

H72JDI1

3533

3495

98.92

29

D72CJB1

1665

1627

97.72

33

H72YHX1

1034

1025

99.13

6

由上表可知，H72经迪3与H72顺利街1、D72经迪2的切换是最频繁的，可见异常话务区域偏向D72经迪2，并在与H72顺利街1对打的位置。

6.2.3.大致确定非法话务分布位置

非法话务干扰源（窝点）主要在经迪3小区起呼，因为过度拥塞，部分话务分担到了H72顺利街1。

从方位来看，该干扰源（窝点）位于H72经迪3跟H72顺利街1对打的方位，偏向于H72经迪3；

在H72经迪3方位上又有点靠近H72经迪2的角度。

从以上的方位来看，我们在地图上定义出下面的位置：

七.现场扫频定位分析（以H72经迪3为例）

确认了有非法话务，我们于凌晨4点出发，驱车直达怀疑地点。

选择在这个时间段去扫频的原因主要是凌晨大部分用户都在沉睡中，打电话的人很少。

7.1.开展室外路测，确认窝点大致范围

我们扫频的第一个步骤是圈区域，进行室外路测确认大致范围。

很明显干扰源肯定是在H72经迪3的覆盖范围内的，那么我们先把H72经迪3的覆盖区域测试、探索清楚了，就能做到心里有数，明确扫频定位的区域。

7.2.开展地毯式扫频测试，精确定位窝点位置

把H72经迪3的覆盖区域确认后，连接好扫频仪，开始地毯式的搜索行动。

针对H72经迪3的CTR分析，我们进行了降功率预处理，发现当我们把功率降为33dBm的时候，H72经迪3的覆盖范围缩小了很多，但拥塞度变化不大。

根据这一重要的分析，我们扫频时就把功率降为33dBm，缩小扫频范围，方便定位查找，提高效率。

下图是经迪3功率降为33dBm时的主要覆盖范围：

H72经迪3降了功率后，主要的覆盖范围是该街道跟其两旁的房屋。

在以DT的方式确定了经迪3的覆盖范围后，我们进行了地毯式的搜索；

每栋楼房的扫，每条小巷子的找。

初始情况下，即没有找到非法话务干扰源前的扫频仪波形如下图：

在BSC人员配合和局方人员的共同帮助下，我们经过一个多小时的奋战，终于把可疑范围缩小在两栋出租屋，如下图：

在这两栋出租屋下面的小巷子扫频的时候，扫频仪波形出现了明显的波动，产生了连续不断的波形，突发脉冲振幅也提高了，底噪没有多大的变化，如下图：

为了进一步确认，我们绕着这两栋出租屋，从不同的角度扫频，并想方设法进入到旁边的出租屋楼顶和楼梯扫频。

扫频的结果很令人振奋，从不同的角度上，很明显的反映出干扰源所在的位置就是下图的出租屋：

在这样的情况下，我们决定再进一步确认并缩小范围，商量过后决定进入可疑目标的楼顶上扫频，但后来我们始终也找不到房东，所以也就只好尾随着房客进去了。

在楼层的4楼以上，我们发现了扫频仪有了很明显的波动，底噪也提高了。

下图是我们在5楼的楼梯上扫频仪的波形：

因为上楼顶天台的门锁上了，我们终也没有上到天台。

所以决定再上对面的楼层观察，下图为在旁边出租屋的楼顶拍到的照片：

在这里，我们很明显的发现了扫频仪波形有很强的波动，并且底噪也提高的很厉害，如下图：

至此，我们基本上可以确定，干扰源所在的出租屋，并且在该出租屋的4层以上的房间里面。

在我们定位到犯罪分子的出租屋后，由于犯罪分子非常狡猾，在第二天警察赶到现场之前将做案工具全部转移。

至此，H72经迪3的非法话务消失，指标恢复正常。

八.经验总结

对打击诈骗电话捣毁行动后，我们总结得出犯罪分子其采取的电话回拨的特

点如下：

•快速拨号，约10秒一次，占用大量网络资源，该类小区TCH申请数占全网的12.2%，TCH拥塞数占全网的48.7%。

•犯罪手段多变，在不接听用户回拨的情况下，通过语音信箱或播放彩铃散布诈骗信息；

语音信息诈骗和短信诈骗同时进行。

•犯罪份子为了躲避侦查和打击，往往将拨打设备放置在多个地点，定期转移，或是稍有风吹草动即立刻停止拨打电话并很快转移。

将打击诈骗电话工作流程化，其重点可以按如下步骤四步走。

8.1.日常监控

每日提取全网小区的闲时小时级话务统计，按如下条件进行筛选：

呼叫拥塞数>

0且

呼叫拥塞数/（呼叫拥塞数+切换拥塞数）>

0.9且

TCH分配尝试数（COUNTER:

TASSALL）>

10000次/小时

满足以上条件的即列为可疑小区。

8.2.验证异常（核心网人员协助）

在A接口对可疑小区的传输挂表跟踪信令，跟踪时间：

10分钟。

从信令中提取出10分钟内起呼次数>

40次的手机号码。

对获得的可疑手机号码进行回拨验证，如接通后为播放中奖信息的语音平台，即可确定为诈骗电话，录音为证。

8.3.现场扫频定位可疑地点

携带扫频仪奔赴可疑小区的覆盖范围进行扫频，锁定令扫频仪出现持续性的异常波动的楼宇。

当楼宇高度不超过4层楼高时，我们可以在楼底大门口调整扫频天线的方向和高度进行扫频；

当楼宇高度超过4层楼时，需进入楼中分层扫频。

在正常情况下，扫频仪的波形图是较平稳的，如下图所示：

当在扫频仪的天线附近有通话发生时，扫频仪的波形图会发生变化，而如果存在大量呼叫，则会在扫频仪的波形图上产生明显的脉冲。

如下图所示：

8.4.报案并协助破案

向公安机关报案，需准备如下证据材料：

可疑小区的小区名、覆盖范围，可

疑主叫号码，录音电话记录的录音文件，扫频仪锁定的可疑楼宇详细地址和外观照片。

总体说来，主动出击，打击诈骗电话的工作流程图如下：

九.结束语

随着移动用户的用户数量的快速增长，网络规模不断扩大，网络安全问题日益凸显。

经统计分析，假设异常小区每天异常呼叫尝试高达约1440000次，其中成功呼出的呼叫约为360000次，诈骗分子每天可成功向360000个手机用户拨打出诈骗电话，即使只有有万分之一的用户可能会上当受骗，每天也将有36个用户受害。

落实打击诈骗电话的工作流程，将此项工作纳入日常监控，化被动为主动，将有助于及时发现诈骗电话犯罪现象，准确定位诈骗电话犯罪窝点，节约网络资源，提升网络性能，巩固网络安全，提高客户满意度，并树立移动公司的公益形象，创建和谐社会。