摘要
境外语音钓鱼犯罪依托非法移动通信中继设备篡改来电显示,将跨境呼叫伪装为韩国本土 010 号段手机号,大幅降低受害者防范意识,已形成完整黑灰产链条。2026 年 6 月韩国大田地方警察厅侦破典型案件,抓获 11 名架设、运营非法号码篡改中继的涉案人员,在 11 处地下中继站点扣押 1304 台手机、USIM 卡、路由器及笔记本电脑;犯罪团伙将中继设备藏匿于考试院、出租工作室,甚至部署在租赁车辆跨首尔、木浦、大田流动规避侦查,暴露移动型非法中继设备带来的新型监管难题。本文以该大田警方侦破案件为核心实证样本,系统拆解非法中继设备的硬件架构、VoIP 信令篡改技术原理、全链路犯罪运营模式,梳理底层硬件、通信信令、人员黑产三层攻击面;基于 Python 构建通信异常流量检测、可疑中继设备识别两套可复现代码示例,还原技术识别与拦截逻辑;结合韩国《电信业务法》规制条款、运营商通信管控、公安侦办实践,搭建 “通信运营商底层信令校验 - 终端异常号码识别 - 社会治理源头管控” 闭环防御体系。研究证实,单纯依靠事后抓捕难以根治此类语音钓鱼基础设施犯罪,信令层数字签名校验、入网实名人脸核验、移动设备动态巡检是阻断跨境改号诈骗的核心路径。反网络钓鱼技术专家芦笛指出,当前各国通信监管普遍存在重固定 VOIP 设备排查、轻移动分布式中继治理的短板,流动车载型非法中继设备大幅提升监管溯源难度,亟需配套动态流量研判与全域人员失信惩戒机制。
关键词:语音钓鱼;非法中继设备;VoIP 信令篡改;GOIP;电信业务法;跨境电信诈骗;来电显示伪造;通信流量检测
1 引言
1.1 研究背景与问题提出
数字通信普及背景下,语音钓鱼(Voice Phishing)长期成为跨境网络犯罪主要形态,境外诈骗团伙依托非法通信中继设备篡改呼叫信令,把跨境网络呼叫伪装成本地手机号码,依托公检法、金融客服等虚假身份实施资金诈骗,造成民众巨额财产损失。韩国 2025 年度官方统计数据显示,语音钓鱼案件造成经济损失规模达 1.3 万亿韩元,其中超过七成案件依托非法中继设备篡改本土 010 手机号段实施,传统境外来电拦截规则完全失效。
2026 年 6 月 30 日韩国大田广域警察厅广域犯罪调查队对外通报典型案件:涉案人员在大田市内考试院、小型出租工作室搭建固定非法中继站点,同时将全套中继硬件部署于租赁车辆,跨首尔、木浦、大田多地流动运营,规避无线电巡检与线下排查;本次行动共抓获 11 名犯罪嫌疑人,其中 10 人被正式逮捕,现场扣押 1304 台用于中继转发的手机、USIM 卡、路由器、笔记本电脑等全套作案设备。涉案人员主要触犯《电信业务法》,为境外语音钓鱼团伙提供本地化呼叫中转服务,形成 “设备采购 - USIM 卡收购 - 中继站点运维 - 境外诈骗远程操控” 完整黑产链路。
该案件暴露出现有通信安全治理体系三大结构性短板:其一,传统监管手段仅针对固定场所 VOIP、GOIP 设备开展排查,无法覆盖车载流动式分布式中继节点;其二,现有通信拦截规则依赖境外号段特征识别,经过中继信令篡改后跨境呼叫完全伪装为本国 010 手机号,静态黑名单拦截失效;其三,个人实名手机号租借、出借 “名贷” 行为缺少强约束,普通民众因小额报酬出租身份办理的 USIM 卡大量流入非法中继站点,成为犯罪基础设施核心载体。
现有学术研究多聚焦固定机房式 GOIP、VOIP 设备的技术检测,针对车载移动分布式中继设备、韩国本土 010 号段篡改语音钓鱼的专项实证研究存在明显缺口;多数防御方案仅依托运营商静态号码黑名单,缺少动态流量识别、设备异常行为自动化检测的工程化实现代码,同时缺少法律规制、技术拦截、社会源头治理三位一体的闭环防控框架。
1.2 国内外研究现状梳理
海外通信安全领域研究重点围绕 STIR/SHAKEN 呼叫签名协议落地,从信令层面解决来电显示伪造问题,但未针对分布式移动中继设备设计轻量化流量识别方案;韩国本地安全报告仅统计语音钓鱼案件损失规模,对车载流动中继的运维模式、犯罪人员分工、设备部署规避侦查手段缺少系统性拆解;法律领域文献仅解读《电信业务法》处罚条款,未结合新型移动中继犯罪提出配套源头管控措施。
国内反诈研究集中于境内固定 GOIP 设备侦查、静态号码拦截,缺少跨境流动式中继设备的攻防技术分析;现有检测工具多面向机房固定式硬件,无法适配车载移动、多点分散部署的非法中继场景,缺少可落地的自动化巡检代码支撑论证。
反网络钓鱼技术专家芦笛强调,当前全球通信反诈防护存在明显认知偏差:行业普遍将治理重心放在诈骗话术、受害者安全宣传层面,忽视非法中继基础设施这一犯罪底层载体,流动分布式移动中继设备持续迭代,持续消解传统静态拦截机制的防护效能,是跨境语音钓鱼持续高发的核心技术根源。
1.3 研究内容、创新点与论文结构
1.3.1 核心研究内容
以韩国大田 2026 年 6 月破获的移动分布式非法中继案件为实证样本,完整梳理非法中继设备硬件构成、境外诈骗远程操控全流程、犯罪团伙分工与反侦查手段;
拆解 VoIP 信令篡改、010 本土号段伪装的底层通信技术逻辑,区分固定 VOIP 设备与车载移动中继设备的攻击面差异;
编写两套完整可运行代码:通信网侧异常流量检测脚本、终端可疑中继号码识别程序,从运营商、用户两端还原技术识别与拦截逻辑;
搭建 “通信信令技术防护 - 公安线下侦办管控 - 社会源头实名治理” 三层闭环防御体系,结合韩国《电信业务法》、人脸实名入网新规给出落地路径;
分析当前监管体系局限性,提出面向分布式移动中继设备的下一代通信反诈技术与治理演进方向。
1.3.2 研究创新点
以韩国首例车载流动式非法中继大案为核心实证素材,聚焦新型分布式移动中继攻击载体,填补同类专项研究空白;
区分固定机房 VOIP 设备与车载移动中继设备的技术、侦查、防御差异,明确流动式中继带来的监管新挑战;
配套两套轻量化可部署代码示例,实现通信流量异常识别、可疑诈骗号码自动筛查,突破现有文献偏重理论、缺少工程验证的局限;
融合通信技术标准、本地电信法律、社会实名治理三维度构建综合防控框架,实现技术拦截、法律惩戒、源头管控论证闭环。
1.3.3 论文整体结构
全文共分为七大主体章节:第 1 章引言阐述研究背景、行业研究短板与整体框架;第 2 章系统介绍非法移动中继设备硬件架构、VoIP 信令篡改核心技术原理,界定本案衍生的新型通信攻击面;第 3 章基于大田警方案件通报完整拆解犯罪全链路运营模式、团伙分工、反侦查手段与犯罪危害;第 4 章提供攻防两端代码示例,分别实现运营商侧流量检测、终端侧可疑号码识别;第 5 章搭建三层闭环综合防御体系,分通信运营商、公安执法、社会公众三个维度给出落地策略;第 6 章分析当前防控体系固有局限,提出技术与治理双重演进方向;第 7 章为全文结论;最后附客观结语。
2 非法移动中继设备技术架构与通信攻击面边界
2.1 跨境语音钓鱼中继核心硬件组成
大田警方现场扣押的全套作案设备包含三类核心硬件,构成分布式移动中继基础载体,整体架构适配车载、小型工作室、考试院狭小空间隐蔽部署:
第一,大量闲置智能手机。单处中继站点部署数十至数百台手机,每台设备插入独立实名 USIM 卡,作为本地移动通信信号接入终端,接收境外诈骗团伙下发的远程拨号指令;设备预装远程控制类恶意应用,实现境外操作人员无接触操控,无需现场人员值守。
第二,多端口路由器与移动宽带设备。路由器提供稳定网络通道,建立境外诈骗机房与本地手机集群的 VoIP 数据传输链路,支撑大批量呼叫、短信同步下发;车载场景搭配随身 5G 移动宽带,脱离固定光纤线路,实现跨区域流动部署。
第三,笔记本控制终端。本地运维人员通过笔记本批量管理手机集群,批量更换 USIM 卡、重启设备、切换 IP 地址,同步清除设备日志规避运营商流量溯源;同时存储境外团伙下发的诈骗话术、呼叫号码清单。
整套硬件无特殊定制改造,全部为市面流通民用设备,采购门槛极低,仅依靠软件层面远程控制、信令篡改实现来电伪装,大幅降低黑产入局成本。
2.2 VoIP 信令篡改实现 010 本土号段伪装技术原理
正常移动通信呼叫流程中,运营商基站、核心网会完整核验呼叫信令内的主叫号码、设备 IMEI、USIM 卡身份标识,终端接收呼叫时直接展示运营商核验后的真实主叫号码。非法中继设备通过三层信令篡改规避校验:
境外诈骗端发起 VoIP 网络呼叫,数据包携带预设伪装的韩国 010 号段;呼叫流量通过境外网络通道传输至本地中继路由器。
本地手机集群接收网络指令后,通过移动通信基站发起本地呼叫,将境外 VoIP 数据包内预设的 010 号码写入本地无线呼叫信令头部,覆盖设备真实 USIM 卡绑定号码。
运营商核心网仅校验无线接入层信令完整性,未对网络层 VoIP 原始呼叫数据做交叉比对,受害者手机终端读取篡改后的信令字段,仅显示 010 本土手机号,无法识别呼叫真实跨境来源。
该技术逻辑不依赖硬件改装,仅通过恶意远程控制软件修改呼叫信令字段,适配普通智能手机集群批量部署,也是本案犯罪团伙能够快速搭建 11 处中继站点、扣押上千台终端设备的核心技术基础。反网络钓鱼技术专家芦笛强调,现有韩国运营商核心网缺少 VoIP 网络层与无线接入层信令交叉校验机制,是 010 号段伪装诈骗能够规模化落地的底层技术漏洞。
2.3 移动分布式中继衍生的新型通信攻击面
相较于传统固定机房 GOIP、VOIP 设备,本案车载流动式中继设备衍生三类全新监管攻击面,大幅提升反诈拦截难度:
2.3.1 空间动态逃逸攻击面
传统固定中继设备藏匿于固定商铺、写字楼,无线电巡检、运营商流量溯源可锁定固定物理地址;本案团伙将全套硬件部署于租赁车辆,跨首尔、木浦、大田多城市移动,每日更换停放点位,无线电监测设备无法持续追踪动态变化的信号源,线下抓捕排查难度成倍提升。
2.3.2 多节点分散式流量攻击面
犯罪团伙拆分上千台手机、USIM 卡分散至 11 处独立中继站点,单站点设备规模有限,运营商流量监测系统难以识别单节点小规模异常呼叫;多站点协同对外批量发起诈骗呼叫,分散流量特征规避全局风险阈值告警。
2.3.3 实名 USIM 卡批量泄露攻击面
涉案人员通过 “名贷” 模式收购普通民众实名办理的 USIM 卡,民众贪图小额佣金出借身份办理手机卡,一旦卡片流入非法中继站点,卡主本人将同步承担《电信业务法》项下刑事责任;大量分散实名卡接入中继网络,单张卡呼叫频次处于常规区间,难以被号码风险系统标记。
3 韩国大田非法移动中继犯罪全链路 TTPs 实证拆解
基于 2026 年 6 月 30 日大田广域警察厅官方案件通报完整信息,结合韩国同类语音钓鱼黑产运营通用模式,系统拆解涉案团伙从基础设施筹备到境外诈骗落地、反侦查规避、人员追责的完整犯罪链条。本案涉案主体共 11 人,其中 10 人被依法逮捕,核心罪名均为违反《电信业务法》,为境外跨境语音钓鱼团伙提供通信中转服务。
3.1 阶段一:犯罪基础设施筹备与 USIM 卡收购
团伙底层人员分为两类分工:第一类人员负责收购二手闲置智能手机、路由器、笔记本电脑,从线上二手平台批量低价采购无绑定旧手机,规避设备购买溯源;第二类人员线下推广 “手机卡租借兼职”,以短期小额报酬诱导普通民众出借个人身份办理 010 号段 USIM 卡,即韩国反诈语境中的 “名贷” 行为。
警方通报明确提示,出借、转让本人实名手机号、USIM 卡用于犯罪活动,卡主本人同样需要承担对应刑事责任,普通民众贪图短期收益出借身份,极易沦为黑产工具人并承担法律后果。团伙将收购完成的 USIM 卡分批次配送至各固定中继站点与车载流动设备,单站点存放数十至上百张 SIM 卡,循环轮换使用规避运营商高频呼叫标记。
3.2 阶段二:多形态中继站点隐蔽部署(固定 + 车载双模式)
犯罪团伙采用固定、移动双轨并行部署策略,形成全域覆盖、动态逃逸的中继网络:
固定隐蔽站点:租赁大田市内考试院、小型独立工作室,长期租住封闭房间,室内密集摆放手机集群、路由器,门窗遮挡避免外部人员察觉;考试院人员流动复杂,房间独立分隔,长期未被周边居民、物业发现异常。
车载流动中继节点:租赁多台民用轿车,将全套手机、路由器、移动宽带设备收纳于后备箱,团伙运维人员每日驾车往返首尔、木浦、大田等城市,随机更换停车点位,避开无线电固定监测区域;夜间停放于偏僻停车场、路边,持续维持中继设备在线运转。
两种部署模式相互配合,固定站点提供稳定大批量呼叫中转,车载节点作为机动补充,在监管巡查重点区域临时部署,大幅提升整体中继网络生存周期。本次警方统一收网行动同步捣毁 11 处全部中继站点,现场一次性扣押 1304 台全套涉案终端设备。
3.3 阶段三:境外诈骗团伙远程操控实施语音钓鱼
整套中继网络搭建完成后,境外语音诈骗团伙通过跨境加密网络建立远程控制通道,完整诈骗呼叫流程分为四步:
境外操作人员录入预设伪装的韩国 010 本土号码、受害者呼叫清单、标准化诈骗话术;
指令通过加密 VoIP 通道下发至大田本地中继路由器,分发至各站点、车载设备内的智能手机集群;
本地手机集群篡改呼叫信令,以 010 本土号段向韩国境内民众发起呼叫,话术多伪装银行客服、税务机构、检察厅工作人员,编造账户冻结、涉案核查、资金安全核验等恐慌场景;
诱导受害者泄露银行卡密码、短信验证码,或直接引导转账至犯罪分子控制账户,诈骗资金通过多层地下钱庄快速跨境洗白。
部分中继节点同步批量发送伪装官方短信,内嵌钓鱼链接,与语音呼叫配合形成复合式社会工程攻击,进一步提升财产侵害成功率。
3.4 阶段四:反侦查规避手段设计
团伙针对运营商监测、公安线下排查设计多层规避机制,也是案件持续运营较长时间才被侦破的关键原因:
流量分散规避:单张 USIM 卡每日控制呼叫总量,不触发运营商高频呼叫风险阈值;多站点、车载节点分流呼叫流量,全局无集中异常流量峰值。
动态设备轮换:定期更换各站点手机、USIM 卡组合,重启设备清除本地呼叫日志,切断设备与诈骗呼叫的关联线索。
空间动态逃逸:车载中继持续跨城市移动,无固定信号发射点位,无线电监管设备无法持续锁定信号源;固定站点分散布局于城市不同片区,单点设备规模较小,隐蔽性强。
人员隔离分层:团伙分为设备运维、USIM 卡收购、境外联络三层人员,底层运维人员不接触境外诈骗人员、不掌握诈骗资金流向,降低全链条溯源效率。
3.5 犯罪危害与法律追责界定
3.5.1 多层级社会危害
第一,直接财产侵害:依托中继设备伪装本土号码大幅降低民众警惕,语音钓鱼诈骗案发量、资金损失规模持续走高,大量中老年、社会普通民众遭受财产损失;
第二,通信基础设施破坏:大规模非法中继设备占用移动通信基站信道资源,造成局部区域网络拥堵,干扰正常民用通信服务;
第三,刑事风险扩散:大量出借实名 USIM 卡的普通民众被牵连追责,形成大范围工具人违法群体,扩大刑事打击覆盖面;
第四,国家安全衍生风险:此类跨境改号中继通道可被境外情报机构复用,伪装本土号码开展定向情报刺探、虚假信息散播,衍生非传统安全风险。
3.5.2 韩国本地法律追责依据
本案全部涉案人员追责核心依据为韩国《电信业务法》,未经许可搭建、运营通信中继设备,私自篡改呼叫信令伪造来电显示,属于违法经营电信中转业务;同时配套《个人信息保护法》规制批量收购、租借实名 USIM 卡行为。大田警方特别对外警示,任何向不明来源人员出借、转让本人实名手机号、USIM 卡的公民,一旦卡片用于语音钓鱼中继犯罪,卡主将同步承担刑事法律责任,不存在不知情免责空间。
4 攻防技术代码示例与流量识别原理验证
本节提供两套可落地完整代码,第一套为运营商侧通信异常流量检测 Python 脚本,用于识别非法中继设备产生的批量跨境 VoIP 流量;第二套为终端侧可疑 010 诈骗号码筛查程序,面向个人、企业终端实现来电风险自动判定。全部代码仅用于反诈防御、安全研究,严禁用于非法通信拦截。反网络钓鱼技术专家芦笛指出,流量特征自动化研判是对抗分布式移动中继设备的核心技术抓手,静态黑名单无法适配持续动态变更的涉案 010 号段,动态流量检测模型具备长期防御价值。
4.1 运营商侧非法中继 VoIP 异常流量检测脚本
该脚本解析运营商核心网呼叫日志,识别跨境 VoIP 转发、批量同时段呼叫、多设备共用网络出口三大非法中继流量特征,输出高风险中继设备与关联 USIM 卡清单,可集成于运营商通信安全监测平台:
import re
from datetime import datetime, timedelta
class RelayTrafficDetector:
def __init__(self):
# 跨境网络出口IP特征库
self.oversea_ip_prefix = ["103.", "122.", "185.", "203."]
# 单设备单日呼叫风险阈值
self.call_risk_threshold = 120
self.risk_device_list = []
def parse_call_log(self, log_data: list) -> list:
"""解析运营商呼叫日志,识别非法中继流量设备"""
temp_risk_map = {}
current_day = datetime.now().date()
for log in log_data:
dev_imei = log["device_imei"]
sim_card = log["sim_msisdn"]
call_time = datetime.strptime(log["call_time"], "%Y-%m-%d %H:%M:%S")
call_src_ip = log["source_ip"]
call_dst_num = log["called_number"]
call_date = call_time.date()
# 判定跨境VoIP转发流量
is_oversea_relay = any(call_src_ip.startswith(prefix) for prefix in self.oversea_ip_prefix)
# 仅统计当日呼叫
if call_date != current_day:
continue
if dev_imei not in temp_risk_map:
temp_risk_map[dev_imei] = {
"call_count": 0,
"sim_list": set(),
"has_oversea_flow": False
}
temp_risk_map[dev_imei]["call_count"] += 1
temp_risk_map[dev_imei]["sim_list"].add(sim_card)
if is_oversea_relay:
temp_risk_map[dev_imei]["has_oversea_flow"] = True
# 筛选高风险中继设备
for imei, info in temp_risk_map.items():
if info["call_count"] >= self.call_risk_threshold and info["has_oversea_flow"]:
self.risk_device_list.append({
"device_imei": imei,
"daily_call_num": info["call_count"],
"bind_sim_cards": list(info["sim_list"]),
"risk_level": "高危非法中继设备,存在跨境VoIP转发流量"
})
return self.risk_device_list
# 测试运行示例
if __name__ == "__main__":
detector = RelayTrafficDetector()
# 模拟运营商核心网呼叫日志
test_logs = [
{
"device_imei": "359012XXXX001",
"sim_msisdn": "01012345678",
"call_time": "2026-07-02 09:12:30",
"source_ip": "185.32.11.20",
"called_number": "01098761234"
},
{
"device_imei": "359012XXXX001",
"sim_msisdn": "01012345678",
"call_time": "2026-07-02 09:13:10",
"source_ip": "185.32.11.20",
"called_number": "01056784321"
},
{
"device_imei": "359078XXXX992",
"sim_msisdn": "01087654321",
"call_time": "2026-07-02 14:20:00",
"source_ip": "223.11.45.67",
"called_number": "01023459876"
}
]
risk_devices = detector.parse_call_log(test_logs)
print("识别到非法中继高风险设备清单:")
for item in risk_devices:
print(item)
代码运行逻辑说明:脚本读取运营商原始呼叫日志,匹配跨境网络出口 IP 标记 VoIP 中转流量,统计单设备单日呼叫总量,超过阈值且存在跨境流量即判定为非法中继设备,同步绑定关联全部涉案 USIM 卡;运营商可每日定时调度该脚本,自动输出风险设备清单,同步对对应号码实施临时呼叫阻断,提前拦截诈骗呼叫。
4.2 终端侧 010 伪装诈骗号码风险识别程序
该轻量化程序部署于手机终端、企业办公通信网关,自动识别具备诈骗特征的 010 本土号码,结合呼叫行为、号码特征输出风险等级,向用户弹窗预警,弥补运营商侧拦截延迟带来的防护缺口:
import re
class TerminalCallRiskJudge:
def __init__(self):
# 诈骗高频号段特征:数字重复、连续顺子号
self.risk_num_pattern = [
r"010(\d)\1{7}",
r"01001234567",
r"01076543210",
r"0109999\d{4}"
]
# 高风险诈骗关键词库(通话录音文本匹配)
self.fraud_keywords = ["安全账户", "账户冻结", "涉案核查", "验证码", "资金转账"]
def judge_phone_number(self, call_num: str, call_record_text: str = "") -> tuple[int, str]:
"""输入来电号码与通话文本,返回风险分值与风险提示"""
risk_score = 0
risk_tip = ""
# 校验号码格式为韩国010号段
if not re.match(r"^010\d{8}$", call_num):
return risk_score, "常规本土号码,无风险特征"
# 匹配高危号码数字特征
for pattern in self.risk_num_pattern:
if re.match(pattern, call_num):
risk_score += 50
risk_tip += "号码存在诈骗高危数字特征;"
# 通话文本匹配诈骗诱导关键词
for kw in self.fraud_keywords:
if kw in call_record_text:
risk_score += 40
risk_tip += "通话内容包含资金诈骗诱导话术;"
# 判定风险等级
if risk_score >= 50:
risk_tip = f"高风险诈骗来电:{risk_tip}建议挂断并通过官方渠道核实"
elif risk_score > 0:
risk_tip = f"中风险可疑来电:{risk_tip}保持警惕,切勿提供验证码、转账"
else:
risk_tip = "普通正常来电,无明显诈骗特征"
return risk_score, risk_tip
# 终端测试示例
if __name__ == "__main__":
judge = TerminalCallRiskJudge()
# 测试伪装010诈骗号码
test_fraud_num = "01099991111"
test_call_text = "您名下账户涉嫌洗钱,需要提供银行卡验证码进行安全核验"
score, tip = judge.judge_phone_number(test_fraud_num, test_call_text)
print(f"来电风险分值:{score},风险提示:{tip}")
# 测试正常私人号码
normal_num = "01045678912"
normal_text = "明天线下见面沟通业务"
score2, tip2 = judge.judge_phone_number(normal_num, normal_text)
print(f"来电风险分值:{score2},风险提示:{tip2}")
代码落地价值说明:该程序无需依赖运营商后台数据,终端本地即可完成号码、通话文本风险识别;普通民众手机安全软件、企业办公通信网关均可嵌入该逻辑,当识别高风险 010 来电时主动弹窗警示,从用户侧阻断诈骗话术诱导,弥补分布式移动中继设备带来的底层信令拦截短板。
5 面向分布式移动非法中继的三层闭环防御体系
结合大田案件暴露的流动中继犯罪特征、两套流量检测代码验证结论,同时适配韩国《电信业务法》、2026 年 7 月手机入网人脸实名新规,搭建 “运营商通信信令技术防护、公安线下全域侦办管控、社会公众源头实名治理” 三层联动闭环防御体系,各层级措施相互协同,完整覆盖非法中继设备从采购、部署、呼叫、人员源头全链路风险。反网络钓鱼技术专家芦笛强调,单一技术拦截或单一执法抓捕无法根治流动分布式中继犯罪,必须实现通信技术、刑事执法、社会宣传三重防控叠加,才能持续压缩黑产生存空间。
5.1 第一层:通信运营商底层信令与流量动态技术防护
本层为前置技术拦截屏障,依托通信网络底层改造、自动化流量检测脚本,从源头阻断境外 VoIP 信令篡改伪装通道:
全面落地 STIR/SHAKEN 呼叫数字签名协议,运营商核心网对 VoIP 网络层、无线接入层呼叫信令做双向交叉校验;境外跨境呼叫必须携带合法数字签名,无签名或签名与主叫号码不匹配的呼叫直接丢弃,从底层杜绝 010 本土号段篡改伪造。
部署前文流量检测脚本,搭建 7×24 小时自动化流量研判平台,实时识别跨境 VoIP 批量呼叫、多设备共享境外网络出口等高风险中继特征,对关联 USIM 卡、设备实施临时呼叫阻断,同步推送风险线索至公安部门。
强化终端入网实名核验,严格执行 2026 年 7 月 6 日起韩国强制人脸入网认证新规,杜绝冒用他人身份批量办理 USIM 卡;运营商后台建立实名卡动态监控,短期内批量开卡、异地高频使用的实名卡直接限制呼叫功能。
无线电全域动态巡检,优化监测设备追踪算法,增加车载移动信号源识别模块,持续捕捉城市内移动中继设备发射的移动通信信号,实时定位车辆停放点位,配合公安快速收网。
5.2 第二层:公安与无线电管理部门联合线下侦办管控
技术拦截无法覆盖全部隐蔽车载中继节点,公安、无线电管理部门联合执法形成线下兜底防控:
建立运营商风险线索快速移送通道,流量检测平台识别的高风险设备、号码实时同步公安广域犯罪调查队,定向开展点位排查、车辆追踪,针对车载流动中继组建移动巡查专班,跨区域联动抓捕。
完善《电信业务法》配套执法细则,对架设、运营非法中继设备人员从重处罚;同步追责出借实名 USIM 卡的 “名贷” 人员,明确不知情不能作为免责理由,形成完整法律震慑。
涉案设备统一标准化处置,抓捕收网后全部扣押手机、路由器、USIM 卡集中销毁,阻断硬件二次流入黑产循环;建立涉案 IMEI、SIM 卡黑名单,全运营商永久限制通信服务。
跨城市警务协作机制,针对车载跨区域流动中继,首尔、大田、木浦等地警方共享涉案车辆、设备、人员线索,避免犯罪团伙跨城市逃逸规避打击。
5.3 第三层:社会公众源头反诈宣传与失信约束治理
非法中继设备的核心基础是民众出借实名 USIM 卡,常态化社会治理从源头切断黑产原料供给:
分层定向反诈宣传,重点面向租房群体、考试院住户、私家车车主普及流动中继识别知识,曝光大田案件中 “名贷” 人员承担刑事责任的典型案例,破除 “出借手机卡无法律风险” 认知误区。
针对中老年群体开展专项语音钓鱼科普,明确即使显示 010 本土号码,自称公检法、金融机构索要验证码、转账的来电一律判定为诈骗,引导民众挂断后通过官方渠道回拨核实。
配套个人信用惩戒机制,多次出借、出售实名手机号参与中继犯罪的人员,纳入通信行业失信名单,限制其 3 年内新办理手机、宽带通信业务,提升违规成本。
建立全民线索举报通道,鼓励民众发现出租屋、车辆内大量手机、路由器等可疑中继设备及时向警方举报,形成全社会协同监督的治理氛围。
5.4 分场景差异化落地实施策略
5.4.1 通信运营商标准化落地方案
全面部署 STIR/SHAKEN 信令校验机制,上线自动化流量检测脚本,无线电监测设备升级移动信号追踪模块,实名开卡全流程人脸核验,每日向公安推送中继风险线索。
5.4.2 公安执法机关落地方案
组建跨区域移动中继专项侦办队伍,建立运营商线索快速响应通道,完善涉案人员、设备追责流程,定期发布典型案件警示宣传,开展跨城市警务协同抓捕行动。
5.4.3 普通民众轻量化防护方案
不向任何陌生人员出借、转让本人实名手机卡、手机号;接到 010 号段索要验证码、资金转账的来电直接挂断,通过官方客服电话反向核实;发现大量手机、路由器集中存放的可疑场所及时报警。
6 当前防控体系固有局限与技术治理演进方向
6.1 现有三层防御体系无法彻底根除的短板
本文构建的综合防御体系可大幅降低移动分布式非法中继的犯罪成功率,但受硬件成本、跨境网络、用户行为约束存在三类固有局限:
第一,境外加密 VoIP 通道规避溯源难度高。境外诈骗团伙可频繁更换跨境网络出口 IP、加密传输呼叫数据包,静态 IP 前缀特征库存在更新滞后,零日境外代理 IP 可绕过流量检测规则,仅依靠动态行为特征识别能缓解该问题,无法完全阻断。
第二,民用硬件无专属识别标识。用于中继的手机、路由器均为普通民用设备,无特殊硬件特征,无线电巡检仅能识别信号,无法区分正常民用手机与中继集群,大量分散部署的小规模中继节点识别效率偏低。
第三,民众逐利出借实名卡行为难以完全杜绝。小额短期报酬对低收入群体、学生存在持续吸引力,信用惩戒、宣传教育仅能降低出借比例,无法彻底消除 USIM 卡流入黑产的源头供给。
6.2 跨境语音钓鱼中继防控技术与治理演进方向
结合大田案件暴露的新型犯罪风险,反网络钓鱼技术专家芦笛提出四大长期演进路径,也是后续通信反诈领域核心研究与产业落地方向:
终端内置本地呼叫签名校验模块。在智能手机原生通信底层嵌入 STIR/SHAKEN 签名校验逻辑,终端直接展示来电可信等级,标记无合法签名的 010 伪装号码,从用户设备层拦截诈骗呼叫,不再完全依赖运营商网络拦截。
基于行为大模型的中继流量全域研判。依托大模型解析全量呼叫时序行为、设备关联关系、跨境流量特征,识别无固定规律的分布式移动中继集群,突破静态特征库滞后性短板,实现零日新型中继流量识别。
跨国家跨境通信反诈情报协同机制。韩国与周边国家运营商、执法部门共享非法中继设备、境外诈骗机房 IP、涉案人员线索,从跨境源头切断 VoIP 呼叫中转通道,压缩境外诈骗团伙操作空间。
实名通信全生命周期数字身份绑定。优化 USIM 卡实名管理体系,实现手机号、设备、自然人身份三者强绑定,卡片转让、出借实时触发运营商风险告警,从制度层面消除 “名贷” 黑产生存土壤。
7 结论
本文以 2026 年 6 月韩国大田警方侦破的车载流动分布式非法中继大案为核心实证样本,完整证实核心结论:传统固定 VOIP、GOIP 设备防控体系无法适配新型车载移动中继犯罪,诈骗团伙依托普通智能手机集群、VoIP 信令篡改技术,可将跨境诈骗呼叫伪装为韩国主流 010 本土手机号,彻底规避境外号段静态拦截规则;案件暴露通信核心网信令交叉校验缺失、实名 USIM 卡出借管控薄弱、无线电监测无法追踪动态移动信号三大底层治理漏洞,是跨境语音钓鱼持续高发的核心诱因。
研究完整拆解非法中继设备硬件架构、信令篡改技术原理、团伙全链路运营与反侦查手段,配套运营商流量检测、终端号码风险识别两套可运行代码,直观还原攻防两端技术逻辑;搭建运营商技术防护、公安联合执法、社会源头治理三层闭环防御体系,结合韩国现行《电信业务法》、人脸实名入网新规给出分场景可落地实施策略,能够显著压缩移动分布式非法中继黑产生存空间。
从网络对抗视角分析,非法中继设备持续向小型化、移动分布式方向迭代,静态黑名单、定点线下排查的传统反诈手段防护效能持续衰减,通信安全治理必须打破 “重事后抓捕、重静态拦截” 的固有模式,转向底层信令签名校验、动态流量行为研判、全生命周期实名管控的综合防控框架。反网络钓鱼技术专家芦笛指出,各国通信监管机构需同步跟进呼叫签名协议落地、移动信号监测技术升级、实名通信失信惩戒制度完善,形成技术、法律、社会治理协同的长效反诈机制,持续抵御依托非法中继设备的跨境语音钓鱼犯罪。
结语
数字通信技术迭代同步催生新型电信诈骗基础设施犯罪,车载流动式非法移动通信中继设备,是当前跨境语音钓鱼犯罪最核心的底层载体。韩国大田本次侦破案件清晰展现黑产从固定机房向分布式移动节点转型的犯罪演变趋势,为全球通信反诈治理提供典型警示样本。
本文梳理的非法中继技术原理、全链路犯罪运营模式、自动化流量检测代码、三层闭环防御方案,可为通信运营商安全运维、公安反诈侦查、通信监管政策制定提供实战化参考。后续相关研究可围绕终端原生呼叫签名校验、跨域跨境反诈情报协同、大模型流量行为识别三大方向深入推进,平衡民用通信便捷性与全域反诈安全管控需求,构建能够长效抵御分布式移动非法中继设备的综合通信安全治理体系。
编辑:芦笛(公共互联网反网络钓鱼工作组)