文 | 中国电信股份有限公司上海分公司网络和信息安全部反诈中心副主任 王明晓;中国信息通信研究院安全研究所电信网络诈骗治理中心工程师 霍艳芳 许晴雯
随着数字化脚步的加快,屏幕共享功能因其便捷高效的特点被广泛地运用到远程办公、在线教育、专业技术服务、金融等领域。然而,其“所见即所得”的特性也成为不法分子实施电信诈骗的一个新方式,并催生出一种极具迷惑性、危害性的新型诈骗手法——屏幕共享诈骗。诈骗者通常冒充公安、检察、法院工作人员,电商客服人员、银行职工、技术支持人员等身份,诱骗受害者在通话、聊天时打开屏幕共享,在受害者毫无察觉的情况下观看银行卡密码、手机短信验证码和身份证件等个人敏感信息,或者直接观看受害者网银操作界面、第三方支付软件操作过程来盗转资金。此类案件发案较多、单案损失巨大,是目前反诈工作的重点和难点。
尽管当前对电信网络诈骗的防控不断升级,但针对依赖即时屏幕互动的电信诈骗而言,电信运营商、互联网服务商平台、App与金融机构自身的“技防”仍然不足,且在不同行业的预警、拦截、追偿等方面存在短板,需要思考如何发挥各方面的技术优势,实现事前、事中、事后的一体化预警拦截追偿链条。本文聚焦于此类诈骗行为的技术防控关键环节,旨在深入剖析其防御体系中的关键难点,并系统阐述构建协同联防机制的有效路径。
一、屏幕共享诈骗的核心手法与特征分析
2024年10月27日,央视网在法治新闻频道发布了一条《通过共享屏幕诈骗学生 警方揭秘诈骗新手法》的报道,其中提到广东省深圳市发生多起针对学生群体的“共享屏幕”诈骗案件,受害者多为12至18岁的中学生,多因网络购物或账号交易引发,虽然不同的屏幕共享骗局使用的具体手段各不相同,但是诈骗者使用的手段基本可以分为以下几类。
(一)精准诱导与身份伪装
诈骗者使用非法手段获得的公民个人信息,通过电话、短信、社交软件、即时通信工具等联系事主,并精准定位到相关人员。诈骗者一般假冒国家相关机构(公安局、检察院、法院、社保局等)、有名望的企业(银行、电商、快递企业等)、技术人员,虚构涉案调查、理赔、退费、账号异常、系统升级等紧急事件达到实施诈骗的目的。
(二)技术手段应用与信息窃取
诈骗者引导受害者下载安装具备屏幕共享功能的会议软件,或利用通信软件内置的屏幕共享功能。在受害者开启屏幕共享后,诈骗者实时监控其操作界面,重点窃取以下信息:短信验证码,银行及支付平台发送的动态验证码;银行账户信息,包括银行卡号、登录密码及交易密码;支付操作流程,网银转账及第三方支付的完整操作过程;身份信息,身份证照片、银行卡照片等个人敏感资料。
(三)实时操控与资金转移
在获取关键信息后,诈骗者可能直接指导受害者进行转账操作,或在受害者不知情的情况下,利用窃取的信息在其他设备上迅速实施盗刷和转账等违法行为。整个过程通常在受害者屏幕“可见”但“未察觉”的状态下迅速完成。其主要特征包括:一是强迷惑性。犯罪分子假扮专业人士或谎称拥有影响力,并利用一定的专业知识骗取受害者信任;二是高技术性。充分运用一些合法互联网软件的工具特性,避开简单按关键词或网站地址判定的传统风控手段;三是瞬时性。窃取信息和转移资金行为一般都是在开放共享权限后的极短时间里完成的;四是跨平台性。涉及的平台包括通信工具、会议软件、银行App/网银和支付工具等多个环节,涉及链条较长;五是隐蔽性。诈骗者在受害者的设备上执行一些“合法”的操作,导致外部系统难以判定是否存在“异常”交易。
二、主要参与主体技术防范能力评估及协同障碍分析
当前,电信运营商、互联网服务提供商(包括应用程序提供者)与金融机构在应对屏幕共享诈骗行为时,面临技术防范能力方面的诸多挑战,同时跨行业协作存在显著壁垒。
(一)电信运营商
在电信运营商方面,可以针对一部分境外IP电话或号码伪装类诈骗实施预警及拦截。然而,由于涉及用户隐私保护问题,运营商无法获取通话内容和网络聊天内容,也就难以判定是否存在屏幕共享行为及具体内容,准确率欠佳。
(二)互联网服务提供商
在互联网服务提供商领域,涵盖会议及社交平台、应用程序提供者等主体,其在服务过程中可采集用户登录时的设备信息、IP地址以及应用的基础行为数据(包括会议是否创建、会议是否加入、时长、参会者等及可能的聊天的关键词)、屏幕共享是否打开等,而仅凭这些基础行为等数据难以精准判定用户是否遭遇诈骗。
(三)金融机构
在金融机构方面,已构建起相对完善的交易风险控制系统,可通过对异常交易特征的捕捉实现风险预警,具体表现为对陌生收款方、大额资金流动以及交易设备或IP地址变动等情形的敏锐感知,并据此实施拦截或强化验证等处置措施。此外,机构还尝试综合运用关联设备信息与交易环境数据开展风险评估。然而,该领域仍面临显著挑战,风险识别存在明显滞后性,往往需待资金即将或已完成转出方能触发警告,而此时受害者通常已暴露屏幕信息且诈骗者可能已按指令完成转账;由于缺乏对“屏幕共享”场景的实时监测能力,金融机构难以在信息泄露初期建立有效防线;同时,因难以精准区分相关行为系用户主动意愿还是受骗所致,进一步加剧了风险识别的复杂程度。
(四)核心协同难点
在这种多主体的协同风险防控中,其核心难点主要体现在以下几个方面:一是数据孤岛与隐私壁垒问题突出,各方数据受法律法规与商业机密约束,难以实现实时、充分共享,导致风险信息传递滞后;二是风险特征呈现碎片化态势,单一主体仅能获取局部信息,无法合规整合形成完整的风险画像;三是协同处置机制尚未建立,缺乏跨行业的标准定义、信息交换格式及联动响应流程;四是技术标准缺乏统一性,各机构模型、接口及数据格式差异大,增加了协同成本与难度;五是追损与溯源困难,资金转移速度快且路径复杂,跨机构追踪与司法流程漫长,挽损率低。
三、构建“预警—拦截—追损”全链条协同防控体系的路径探析
为有效应对屏幕共享诈骗问题,亟须突破行业壁垒,整合政策、技术与运营资源,构建涵盖多方参与、覆盖全链条的协同防控体系,该体系的核心框架主要包括以下几个方面。
(一)政策法规与机制优化
建立行业级风险信息共享平台,在网信、公安、工信、央行等行业监管部门的指导和支持下,通过健全安全可靠、规范高效的反诈信息共享、信息交换机制,形成统一的风险数据标准,包括异常通话事件编码、屏幕共享高风险行为标签、可疑交易特征码等,并建立分级分类共享规则,仅共享风险标签而不是原始数据内容。
健全和完善协同处置流程,建设标准化跨行业风险事件联动处置机制:当运营商检测发现疑似诈骗电话时且通话时间较长,则通过平台发送“高危通话中”标签给平台;当平台检测发现用户开机且已经开启屏幕共享时,自动提级为风险等级较高情形,并向用户发送强警示措施(强制弹窗提示、强制中断共享),并将报警信息推送给相关金融机构;金融机构在接收到预警后可以对该用户的账户采取临时的强控措施,例如,“高危通话中”也可以强控大额出账或直接禁止出账等。
(二)技术创新与能力融合
全链条协同防控体系的构建,需要以技术创新与能力集成为底座,推动整套流程的智能化与协同化。
1. 建设多模态风险感知及动态预警能力
具体而言,可以通过依托多层次技术融合,实现实时、精准的风险识别与预警响应。一是融合分析。在合法的前提下应用联邦学习、隐私计算等技术,做到多方数据“可用不可见”的联合建模,例如,综合利用运营商通话异常特征、平台检测屏幕共享是否打开、经用户授权分析的应用内存在可疑聊天关键词、金融机构账户登录设备/IP是否异常等分散的信息构建更精准的动态风险评估模型。二是行为图谱。利用用户授权或者设备环境信息,发现设备上安装多款应用(如用户结束打电话后立刻打开了会议软件,并且打开了屏幕共享)组合起来所形成的特殊行为模式,并判断该行为是否存在潜在的风险。三是终端侧轻量化防护。在手机操作系统或者是手机上的安全软件里嵌入风险感知模块,一旦检测到屏幕共享这个功能被打开,结合自己目前正在使用的银行类应用还有通话状态,给予用户提醒。
2. 智能化实时干预与拦截
在平台方面,可以加强对应用的检测,在检测到屏幕共享开启时增加更强的风险提示,例如,通过强制阅读和二次确认等方式来进行;对于极端的高风险场景(同时具有高风险标签),需要经过严格的授权以及安全审计之后才能给用户采用“一键终止共享”或者“临时冻结高风险应用”等应急处理手段。在金融机构方面,可以将外部协同预警信息注入实时交易风控模型里面,如果接到“屏幕共享中+高风险通话中”的预警强信号,那么对于一些需要做权限保护的操作。例如,大额转账、密码修改、新设备绑定等,必须进行严格的证件确认,或者延迟生效(仅15秒),并触发紧急转接人工客服场景验证。
3. 高效的溯源与追损协同
在快速止付协作方面,通过快速建立金融机构间涉案资金紧急止付、冻结绿色通道,保证警方指令能通过平台最快的速度传递到相关银行。在信息溯源整合方面,建立统一涉案信息跨行业的查询协作机制,将诈骗电话号码、AppID、会议号、收款账号、设备指纹等关联信息整合到一起,供公安机关快速调取相应证据材料,缩小冻结资金链条。资金流智能分析,可以运用大数据、人工智能技术归集银行和支付机构交易数据信息,提升涉案资金多层穿透及快速转移等模式自动识别、追踪的智能化水平。
(三)用户教育与常态化警示机制
有效的风险防控不能单纯依赖技术层面的防范与拦截,更需要通过系统性的用户教育和持续警示提升公众自主防范能力。
1. 精准化宣传防范
结合承贷三方的接触渠道,利用运营商短信及来电提醒、应用开屏界面、弹窗和推送通知、银行交易页面、短信和客服服务等,根据屏幕共享诈骗的特性,制作一些通俗易懂、警示效果明显的宣传材料,采取多种形式、高频度的方式开展防诈骗推送。
2. 高风险场景强化提醒
即使没有检测到异常行为,在用户开启屏幕共享后也应当自动弹窗提示:“切勿在共享屏幕期间输入密码、展示验证码或进行转账操作。”
3. 提升社会整体认知水平
动员政府部门、媒体和社区力量,大力组织各种形式的社会性防诈骗宣传,在广大民众中普及“屏幕共享即风险共享”的理念,进一步增强人民群众的识骗防骗意识,提高相关能力。
(四)体系实施面临的关键挑战及应对策略
尽管已经提出了全链条协同防控体系的思路,但在真正落地之前,仍然面临以下几个关键挑战:一是隐私与数据安全问题,需遵循最小必要原则,采用差分隐私、联邦学习等技术推进元数据共享,并强化访问授权与日志监测;二是跨行业协同难度大,需依托监管部门推动顶层设计,明确权责并建立成本分担与激励机制,鼓励第三方平台建设以降低协同成本;三是技术实现复杂性高,需制定统一技术标准与数据规范,推动产学研合作攻关隐私计算、多源数据融合等关键技术,分阶段分场景推进落地;四是诈骗手法动态演变,需建立风险特征库动态更新机制、模型迭代机制及跨界情报共享平台,以提升防控体系的灵活性与有效性。
四、结 语
屏幕共享诈骗这种伴随着新技术发展演化出的新类型的犯罪手段,在很大程度上依托跨平台跨行业的服务链条完成相关欺诈链条的拆分与合拢。单一主体的技术防护措施无法应对这种“降维打击”,信息孤岛和协同障碍造成防控难见成效。构建覆盖“预警—拦截—追损”全链条协同防控体系,以健全政策法律为基础,破除协同壁垒,明晰各方权责;以国家级、行业级风险信息共享平台为核心,依托信息安全保障的基础支撑作用,规范风险信息跨境协作的信息交互;以融合创新技术手段,增强多源风险感知能力、风险事件动态预警能力和风险行为精准干预能力,持续跟进业务新变化和新形势,严格遵照法律法规和信息安全规范要求;以增强用户风险防范意识为界线,筑牢社会的认知防线。将电信运营企业、互联网企业、金融机构资源、技术上各自的优势有机结合起来,发挥“监测更早、预警更准、响应更快、止损更有效”的合力。
然而,体系建设并非易事,面临着隐私保护难题、各方协作动力不足、技术复杂度高以及诈骗手段愈加猖獗等多重挑战。在此背景下,亟须调动监管部门、行业协会、企事业单位和社会公众等多方面力量,持续推动体系完善。面对不断演化升级的犯罪手法,我们需要突破既有局限,在实践探索中持续优化改进。只有充分借助协同共治与技术攻坚才有可能破解屏幕共享骗局的难题,为广大群众筑牢坚实的金融安全防线,进而构建起科学规范、运行有序、高效优质的数字社会运行机制。
(本文刊登于《中国信息安全》杂志2025年第7期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
