三、发现新线索
警方破解这些谜团要从龚小宇的身上找线索,龚小宇交代,2018年一个偶然的机会,他发现有人在互联网上销售微信账号。当时呢,他是在黑产的QQ群里发现其他人拿我微信账号来往外卖。龚小宇也开始学着从上家买过微信账号来,然后转手卖出去。在这个聊天群里,有一个叫阿浩的人,十分活跃,阿浩手里有大量的微信账号。龚小宇感觉很奇怪,为什么其他人都是一个两个的往外租或者往外卖,而这个阿浩呢,手里会有这么多?他就去请教阿浩,阿浩告诉他,他使用了改机软件,可以批量注册微信账号。在阿浩的教唆下,龚小宇买来二手手机,开始实施违法犯罪活动。刚开始不会用啊,是由阿浩手把手的去教他。两个人私下还见过面。龚小宇告诉侦查员,阿浩给他提供过三款改进软件,包括AW和京天龙。通过给龚小宇提供改进软件,阿浩中间也赚取差价,龚小宇卖的微信号如果数量不够的时候,可以从阿浩那边去拿,阿浩这边如果需要大量的微信账号的时候,也可以从龚小宇这边去拿。这两个团伙相互合作、相互利用的关。但是对于软件的来源,龚小宇并不知情。看来,要想找到开发软件的犯罪嫌疑人,侦查人员必须抓到阿浩。我们通过他们资金往来的梳理发现,当时阿浩手底下跟着他的是有七个。在湖南、浙江设立了两个工作室。
经过分析研判,侦查人员迅速锁定了阿浩的真实身份。曾浩,1987年出生,湖南省衡阳市人。2021年12月初,侦查人员来到湖南,准备对阿浩实施抓捕。经过侦查,警方发现阿浩一直居住在长沙。而此时,他已经停手不再从事非法注册微信账号的犯罪活动了。在湖南长沙租了一处民房,无正当职业,基本上靠自己以前赚钱生活。
2021年12月4日,在湖南省长沙市某小区,侦查人员将阿浩抓获之后,曾经和阿浩一起从事非法活动的小弟也被警方抓获。经过审讯,他们如实供述了自己的不法行为。这个犯罪团伙先后用同样的方法。生产注册大量微信号号,非法获利1000多万元。阿浩告诉侦查员,2017年网上就有人批量注册微信号了。在网上,阿浩认识了一个叫无极的网友,无极给阿浩推荐了一款他组织开发的软件。阿浩不知道无极的真实姓名,但他们见过面。阿浩为了能和这个无极建立长期的联系,还特意去广州见了无极本人,和他当面谈过这个相关的业务。二人一拍即合,阿浩成了无极销售改进软件的代理商。除了转手销售改机软件,他还组织了一个非法注册微信账号的犯罪团伙。根据这些线索,侦查人员迅速对这个名叫无极的网友展开调查。这个无当时的建国权力只是一个称呼,具体叫什么名字,谁有不知道。
从阿浩的手机里,警方发现一个阿浩组建的微信聊天群,龚晓宇、无极都在其中。阿浩在群里提供了一个虚拟币的冷钱包的收费地址,并且还在群里不断的发他们使用改进软件的这个账目,这种改进软件一般是注册成功一个微信,他收取相应的费用,便宜的时候是一元钱左右,贵的时候两元多。这是龚小宇等犯罪团伙使用改机软件需要支付的无极,根据销售行情拿走一定比例的提成。微信号注册出来以后,卖给电诈犯罪团伙是在15到20元不等。阿浩发在群里的虚拟币地址是无极,用来收取软件使用费的。虚拟货币账户随机生成能隐藏使用者的真实身份收取这个贩卖京天龙改软件这个费用。虚拟货币账户随机生成,能隐藏持有者的真实身份。
根据嫌疑人发布的虚拟币地址,侦查人员关联出92个账户。这92个收币地址,根据这些地址的资金来源梳理发现,从国内山东、湖南、江苏、福建等地给无极支付改机的费用,无极总共收取了264个比特币。264个比特币在高点的时候啊,已经折合人民币已经破亿了。通过侦办916案件,警方发现境内的黑灰产团伙早已形成庞大的利益集团,无论是社交账号的批量注册、销售,还是公民个人信息的泄露,以及银行账户大量流至境外,都是电信诈骗、网络赌博等新型犯罪的源头。只有彻底斩断这条利益链,才能从根本上遏制电信诈骗、网络赌博案件高发多发态势。
四、抓捕软件开发嫌疑人
警方通过调查分析,发现无极的真实身份是李依然。李依然于2019年组建了一个英然科技有限公司。李依然聚拢起了一批专业人才,其中最出色的当属范武。范武,1980年出生,华南理工大学博士研究生毕业。在范武的带领下,他们研发出了一款名为IG的改机软件,这款软件就在批量注册微信这个黑灰产业链中火起来。那个改机软件提供给国内的这些微信注册商使用。其中湖南的阿浩就在这里面,因为有些技术还不成熟,所以经常会出现微信死号,或者被封的情况。所以李依然就开发一个新的改机软件。几个人租了房子在那边继续开发改进软件。
2020年3月,陈琳和马海涛在IG软件的基础上开发出了京天龙改机软件。开发这个软件没有太大的收益,他们把所有的收入都买成比特币,共220个左右,结果比特币涨了好多倍,收获不小。在2019年,阿浩、龚小宇等犯罪团伙立即开始使用新的改机软件,非法注册微信号的成功率大大高于之前使用的IG。微信批量注册账号卖给电诈分子。李依然团伙通过这个软件疯狂敛财,由于针对改机软件的侵害,微信后台监管会不断调整防御犯罪团伙的软件虽然开发出来,但要想持续被使用,他们还需要继续对软件进行升级。后来李依然团伙受柬埔寨诈骗团伙的邀请,到柬埔寨为的诈骗团伙开发程序。亲眼看见有人用微信账号诈骗的时候,感到了害怕。
2021年初,李依然从涉诈团伙手中骗回护照,他和马海涛、李林分头逃回广州。李依然害怕诈骗团伙报复他。他离开了这个黑灰产业圈,与阿浩等有利益关联的犯罪团伙不再联系。阿浩与李依然失联后,他也收手不干了。只有龚小宇还在做着发财梦,没有改进软件。龚小宇从外网购买了新的改机软件,就在他不断扩大生产规模时,龚小宇犯罪团伙被警方一举打掉了。搜查完毕,侦查人员将李依然带到当地派出所。在李然犯罪团伙中,有七名犯罪成员,除一人外,其他六人都是本科以上学历。这些人从认知上不可能不知道自己开发的改题软件是做什么的。但是面对金钱的诱惑,他们迷失了自己。
2022年1月18日,李依然落网后的第二天,周村警方在广东省东莞市松山湖区将范武抓获。在李依然犯罪团伙中,范武应该是学历最高的。2019年,他遇到了依然,很快他就成为改机软件开发团伙的主要研发人员。为了应对其中出现的法律风险,范武回到母校,又修了一个法律专业的学位。开始范武和李依然的合作十分融洽,团伙中的每一个人都获得不菲的收入,作为研发IG的核心人员,范武拿得最多。2019年11月,软件开发进入第二期时,范武和李依然产生了分歧。 李依然对于法律意识比较淡薄,追求利润。几次争执过后,范武和李依然分道扬镳。2020年新冠疫情爆发,留在国内的范武将投资目标转向防疫物资。在福建生产口罩。
2021年1月,李依然从境外回到广州。春节期间,趁着过年,他联系了范武。参加一些项目,范武不知道李依然在境外干的事情。警察找上门将他抓捕后,范觉得自己有点冤枉。在与李依然合作的过程中,范武研究了相关法律,他认为自己开发的it软件并不违法,只是处在灰色地带,李依然和范武落网后,京天龙的核心开发人员陈琳和马海涛听到风声跑了。经过一段时间提心吊胆的躲藏后,2022年6月4日,马海涛从山东济南到淄博市公安局案自首了。两个月后,在安徽省铜陵市铜官区一个公寓内,陈琳被当地公安机关抓获。
2022年4月26日,警方专案组组织了100多名警力。到福建、江西、广东三省四地市15个区县展开统一的收网行动。早上六点多钟,负责在深圳行动的侦查人员将犯罪嫌疑人阿鹏等三人抓获。在抓捕过程中,这三个人都有一个共同的特点,他们没有顽抗,可能就是这些人对自己的犯罪行为是心知肚明。
与此同时,在厦门市海沧区的这个高档公寓里,侦查人员正在敲一个犯罪窝点的门。里面住的是阿超犯罪团伙的财务、技术等骨干成员。他们都是晚上出去玩,玩到很晚,白天起床晚。警察早晨去敲门,他们都可能听不见。警察找了开锁公司把门打开。在这栋楼里,阿超租了三套公寓,是团伙成员的宿舍。当时怀疑这三处有一处是他们的工作室,就是他们的窝点。在这里侦查人员抓了三个阿超团伙的成员。问了半天,什么都不说,侦查人员收获不大。在楼上的一个公寓里,侦查员们找到了大量涉案物品。有几个大纸箱子,里面装满了手机。接下来,在最后一处嫌疑人租住的公寓。客厅里面,并排的放着六台电脑,上面是屏幕,下面是电脑主机,然后茶几上还有电视柜上都是都是一个手机,有的是改装过的,就是把电源线接出来的那种手机。然后民警来到二楼,二楼有两间卧室,一间卧室里面呢,有一张双人榜,上面有两个人在睡着两个男的。其中一个是阿超团伙的财务人员阿飘,是阿超的表弟。在之前警方怀疑阿飘是他们阿超这个团伙的一个大财务,因为他涉嫌大额提现,查看他的账户目经手的金额很大。侦查人员翻看了阿飘的手机,发现阿飘的手机里面确实是有一个冷钱包的APP,里面有几个钱包地址。刚开始阿飘不肯说实话,当他得知这栋公寓里的同伙全部落网时,阿漂才开始交代问题。把他们涉案事件,包括这些冷钱包地址啊,是干什么用的,收钱的还是付钱的都交代了。阿飘与他的老板阿超是老兄弟,就在他向侦查人员交代犯罪团伙基本情况时,阿超在福建漳州也被警方抓获。做改机软件都是在一个圈子里面,这个圈子里面做的比较出名的就这几家,其中阿超这是国内的做的比较大的一家。在圈儿内有一定知名度,所以说他有很多的眼线,每个省发了一些什么样的案子,公安机关追到了什么程度,他们互相交流。据阿超讲,听到龚小宇落网后,他就关闭了一些犯罪窝点。他有一个非常严格的公司制度,就是公司里边的所有的设备和产品,员工都不允许带回家去,要定期的进行销毁,由公司统一处理,处理完了之后统一换新的产品。这无疑给警方固定所有犯罪证据带来难度。
但很快案件就发生了转机。当天下午,警方在对阿超犯罪团伙的一名技术骨干进行抓捕时,从他家的电脑里,侦查人员有了重大发现,侦查员发现了一台公司以前注册生产微信号的电脑,里面存有注册的微信号、账单、电话号码,还有联系方式、生产时间,提成什么的都有。据这名技术人员讲,因为贪小便宜,他没按要求将旧电脑销毁,而是带回家留下自用。经查,自2018年开始,江西丰城的阿超伙同亲属以投资入股的方式批量注册销售微信账号,先后在福建厦门、漳州、泉州、江西丰城等地设立多个犯罪窝点,形成了组织完备、分工明确的黑灰产犯罪团伙。截至案发,阿超犯罪团伙非法注册销售微信账号760余万个,非法获利五千余万元。几乎与此同时,福建邵武的阿鹏在厦门开始与阿超接触,二人共同进行批量注册微信账号的违法犯罪活动。
2018年初,阿鹏在这个圈子里认识了一个贩卖手机号的卡商。从卡商手里,阿鹏能拿到充足的空耗资源,这些手机号码能够发送和接收短信验证码。利用这个资源,阿鹏从网上购买了改机软件,组建了批量注册销售微信账号的犯罪团伙。阿鹏从号商处源源不断的取得手机号码,提供他们使用,还把手机号码当成一种资源。卖给全国各地的微信注册商团伙使用。截至案发,阿鹏犯罪团伙非法注册销售微信账号500余万个,通过销售微信账号和手机空号非法获利四千余万元。
至此,开发微信改机软件的犯罪嫌疑人全部落网。警方又将工作重点转向手机号码的来源。
五、追查电信内鬼
那么,这个给阿鹏提供手机号码的好商是谁?他是如何源源不断找到手机号码?正常一个手机号码流入市场以后,需要先实名登记,登记了以后再入网,入网以后再激活,才能正常的发送接收短信和打电话。但是手机空号没有交费费用,也没有入网,也没有激活,是如何发送短信的呢?
带着疑问,侦查员们咨询了当地的运营商。工作人员告诉我们,不管是空号也好,还是流入市场的实名号也好,最终发送短信的这个环节是在省级运营商的短信网关系统,是由省级运营商短信网关服务器去发送和接收短信。警方分析省级运营商里面必然有内鬼。
据阿鹏说,2018年,他在网上认识了一个叫吴哥的号商。他们有专门的这种微信注册手机号,就有号码资源。在这个交流群里,阿鹏搭上了吴哥,虽然现实生活中二人喝过一次茶,但按照圈中规矩,阿鹏不能打探吴哥的真实身份,只是从口音上,阿鹏听出吴哥是安徽人。
警方经过调查,确定吴哥叫吴大鹏,1980年出生,安徽省芜湖市人。警方发现吴大鹏没有固定工作,很明显,他只是一个中间人,他根本无法直接接触到手机空号。针对吴大鹏的社会关系,专案组迅速展开侦查。很快锁定安徽合肥一家科技公司。这家公司有两个负责人,一个姓石,一个姓刘。他们公司和电信部门有正常的合作关系。围绕这一情况,警方经过侦查。发现他们之间资金流量非常大。通过这家科技公司的资金流向分析,侦查人员发现运营商内鬼的踪迹。号商中间获取利益以后,他会将运营商内鬼的利润转入他们提供的银行账户,一般运营商内部提供的银行账户,是他们的亲属、朋友的一些银行账户,然后通过这些银行账户或者取现,或者转账,最终流入到运营商内部的手中。警方通过资金流向的分析,找到了电信运营商工作人员的真实身份。
2022年5月23日,在安徽省合肥市,侦查人员将科技公司的经营者刘悦、齐平抓获。刘悦,1970年出生,大学本科毕业后,他和同龄人齐平开了这家涉案的电子科技公司。2016年,电子商务蓬勃发展,头脑灵活的刘悦想改做电子商务。
经朋友介绍,他认识了电子商务从业人员吴大鹏。很多人在和吴大鹏合作挣钱,就是利用刘悦在运营商那里的人脉资源,搞些手机号码来销售,把这个虚拟的号码做成微信号。他们知道这是不符合相关规定的,但没有当回事。没有想到是违法犯罪。
由于正规渠道走不通,涉及到一些信息安全方面的问题。刘悦找到了电信运营商田林。田林通过签订虚假号码是业务合同,骗过运营商内部审核,在运营商机房搭建服务器,非法侵入运营商短信网关系统,将接口提供给下游微信注册商使用,再通过运营商号码池抽取空耗资源,使用大量空号接收发送短信验证码,为批量注册微信号奠定基础。
通过虚假号码池业务,刘悦从河南某省级运营商那里拿到大量手机号码。他们打通了运营商内部的渠道,可以直接从他这个这个虚拟号里面调出一个号码,发给这个腾讯的页面服务器,这些号码由吴大鹏经手,迅速为阿鹏犯罪团伙掌握。几年下来,刘悦获得巨大收益。大约1000多万。运营商里的内鬼田林也从中发了大财。
2022年6月7日,当侦查人员赶到河南郑州准备对田林实施抓捕时,他早已在河南电信辞职。田林的反侦查意识比较强,他用了他家属和大量其他人的银行卡收款,他并没有用自己的本人的银行卡。涉案资金高达1700多万人。后期,田林越来越狡猾,开始收取现金
2022年6月9日,周村警方在当地公安机关的配合下,在田林的家中将其抓获。田林的家很大很奢华。在他家的保险柜里,侦查人员搜出大量现金。经过清点,现金共计150万元。此外,侦查人员还发现田林名下有七处房产。在非法贩卖手机号码的过程中,刘悦只联系了河南这一家运营商。在刘悦、齐平落网的当天,周村警方已将吴大鹏抓获。
除了河南的这个运营商,其他四家运营商都是齐平为吴大鹏牵线搭桥的。马晓波是江苏某运营商省级公司的中层管理人员,当所谓的朋友找上门求他弄些手机卡时,他向嫌疑人推荐了这项虚拟号码业务。通过介绍,然后跟业务部门相接洽,然后把这个业务谈下来了,但是最终呢,没有按照最早的那种场景来使用,然而又微信注册。马晓波等人利用运营商内部的管理漏洞,给批量注册微信号的犯罪团伙搭建了一个非法通道。那这个通道平时有人监管。
马晓波将三个同事拉下水,总共非法获利900万,然后几个人分了。马晓波非法获利600万元。自2022年5月开始,周村警方陆续对运营商内奎展开抓捕行动,共抓获22名省级运营商内鬼。不法分子输送利益的人在运营商省级公司里,大多是手中有权、身居要职的中层管理人员。
在警方抓获的犯罪嫌疑人中,有一个身份特殊的运营商内鬼,他是吉林某大学通信工程学院的教授。张某教授与通信相关的课程在吉林省的运营商中有不少学生,他的学生让张教授通过关系做虚拟号码的业务。
2020年5月,张某通过私人关系,在电信为齐平搭建了一个号码池业务平台。但他并未和运营商履行相关手续。说是一直处于测试阶段。直到公安机关查到此事之后,才将通道才彻底的关闭。据张某讲,帮齐平做虚拟号码池时,他知道自己的做法违规,但他从没想过自己的行为会违法。而且张某为此获利数百万元。
运营商内鬼的不法行为,在这个非法注册微信号的黑灰产业利益链上,或许像张某说的那样,只是一个环节,他们看不到自己的违规行为,成为电诈分子的帮凶。这些内鬼通过这些非法业务,获利几十万元,上百万元,甚至千万元。
警方抓获犯罪嫌疑人后,对犯罪分子的电脑进行恢复数据,发现涉及手机号码数据达8000多万个。8000万条数据意味着什么?8000万条数据,就意味着有人提供海量手机号码,被犯罪嫌疑人制成微信号从事犯罪活动。侦查人员随即从中抽取了2000个微信号码,经过串并,他们发现六起涉诈案件。
警方克服重重困难,历时四个多月,先后调集200余名经理。分15个发布组奔赴12个省市开展四次集中收网行动,最终导致了这种盘踞全国各地的特大黑灰产犯罪集团,铲除了新型犯罪滋生土壤,为国家层面深度治理电信诈骗等新型犯罪提供了有力借鉴。
在国家大力推广手机实名制的今天,依然有人为了一己私利铤而走险,为电信诈骗犯罪分子提供帮助,尤其是个别电信部门的内部工作人员。
电信诈骗屡禁不止,究竟根源何在,值得我们深思!
同时提醒大家,电信诈骗防不胜防,大家务必小心,严防上当!
