跳转至

国家反诈中心

简介#

〔待完善〕

强制安装#

待整理

2023年9月17日,江西师范大学要求师生下载安装,下周(18 日起)开始随机抽查安装情况。1

2023年9月22日,内蒙古乌兰察布市火车站,出站口有民警登记,要求出站的人下载。2

2023年9月26日,内蒙古赤峰,警察正在拦路检查行人是否下载。3

2023年10月20日,在成都电子信息职业中学,校方和公安机关将所有学生集中到操场上统一注册安装反诈 App。4

2023年11月27日,某个学校的班级群中,表示将在 2023年11月28日 开展安全周主题,需要检查 App 是否安装, 以及个人信息有没有设置完整。5

来自班级群的消息

[DING] 各位 21、22、23 级安全委员:明天 11,28 日安全周主题——检查国家反诈中心 App 是否安装及个人信息有没有设置完整。要求:

  1. 检查国家反诈中心 App 是否安装、个人信息有没有补充完整;
  2. 国家反诈中心绑定手机号必须和学工系统填写手机号一致;
  3. 上周群里发的公安反馈过来的各班对比失败名单辛苦各位及时核对。同时收齐好这部分对比失败同学国家反诈中心 App 个人信息界面截图,一并打包发送到群文件——28 日上交材料文件夹里,或者直接打包钉钉发给我。截图命名为: 名字 + 注册绑定手机号。

曾推广全民反诈强制安装#

待整理

部分地区劫持网页#

部分地区通过劫持网页,进行反诈骗。6

手机内置#

2022年1月 月初,MIUI 自称与国家反诈骗中心合作。

2022年1月16日,有用户发现 vivo 手机的安全管家里有「防骗中心」功能,尚不明确这与「国家反诈中心」的关系。7

2023年1月16日,有位 Realme GT Neo3RMX3562 用户将手机更新到了 realme UI 4.0/Android 13, 然后发现拦截规则里有「国家反诈中心拦截服务」的设置,该设置的简介是「拦截涉嫌诈骗的来电和信息, 由国家反诈中心提供数据支持」。8

2023年5月7日,有 OriginOS 用户发现手机内置的浏览器含有「vivo浏览器 | 国家反诈中心」「联合守护你的网络安全」字样。9 几乎同一天,此消息也在酷安传播,尚不明确谁先谁后。10 2023年5月11日,此消息传播的范围更广了。11

原创研究

尝试在非步步高旗下的手机上安装 vivo浏览器 13.7.0.0 (70137000) 版本,其中含有《vivo浏览器隐私政策》, 但时间是 2022年12月29日 版本,并没有「国家反诈中心」相关内容, 并且设置的安全中心底部也没有「vivo浏览器 | 国家反诈中心」「联合守护你的网络安全」字样, 也许是必须在 OriginOS 下才能复现。

光猫内置#

2019年10月28日,有人在 Pastebin 公开了一份华为路由器的某个配置文件, 其中就有 com.chinamobile.smartgateway.cmccdpi 插件。12

2023年4月23日,谷子猫发布了博文,表示移动的光猫含有一些特殊插件,分别是:13

  • com.cmcc.wuyougateway
  • com.chinamobile.smartgateway.andlink
  • com.chinamobile.smartgateway.cmccdpi
  • com.chinamobile.smartgateway.appcore

它们似乎被称为「软探针」,能够生成给用户观看的「家庭网络使用概览」,其中含有社交、游戏、视频等应用类型的流量占比, 并且还有「网络安全防护情况」,能为用户检测安全风险,比如「检测不良内容网站」。当使用桥接,通过路由器上网后, 上述功能就会失效。

所以 …cmccdpi 插件最后的 dpi,应该就是指深度包检测(DPI),或许还有 DNS 请求记录之类的功能。有这样的功能, 才能起到提供信息以及保护用户的作用。但是这些数据除了呈现给用户,是否还分享给第三方,暂不可知。

2021年1月28日,有用户发现天翼存在某种官方后门,通过 URL 192.168.1.1:8080/publicSecu.html, 就能进入写着「公安溯源 —— 本页可设置溯源平台」的页面,可选择广州巨泰或任子行,作为插件启用。14 尚不明确其含义。

2023年10月30日,V2EX 用户 oblivion 发现新安装的 FTTR(光纤到房间Fiber To The Room)光猫, 使用超级密码进入维修页面,就能看到 antifraud(反诈)插件,并且在访问一些网站后,当地反诈热线会电话,给予防止被诈骗的建议。15

oblivion 分析光猫的 nand 后,还发现了 GXBMONITOR 和 RZX(任子行)这两个隐蔽的插件,oblivion 分享的全部插件有:16

  • homegraudv3(此插件出现了拼写错误,应该是 homeguard)
  • antifraudv3(v3 可能是版本号,这些插件都是 v3 结尾)
  • dnslogv3
  • sniproxyv3
  • GXBMONITOR 会向 bbums.cnbbums.org.cn 发送数据,其中包含光猫特征信息,经纬度,周边 Wi-Fi 列表(可选), 宽带测速等信息。
  • RZX(任子行)可能是某种「依法合规」「网监对接」服务。1718

可能是考虑到先前强制安装反诈 App 的情况,以及在新安装的光猫后就接到反诈热线,并且安装宽带的师傅不给用户提供路由器桥接, 于是 oblivion 认为问题是光猫插件的问题,所以发布了《噫,某些运营商开始在光猫内置反诈插件了》《防不胜防,防不胜防啊, 经过对光猫固件分析发现更多插件》两篇文章。

然而很快,oblivion 就发布了《澄清及道歉信》,表示自己的行为是非法入侵国有资产, 触犯了刑法第二百八十条非法获取计算机信息系统数据、非法控制计算机信息系统罪。19

关于本人发表不实信息的澄清及道歉信

本人此前于 V2EX 平台发表的以下两个帖子相关信息未经证实系谣言,在此澄清,

/t/986550
/t/987392

以上两个帖子系本人非法侵入同事的光猫设备后断章取义,为炫耀技术发表,对相关运营商及相关公司带来不良影响和名誉损失,
经过现场民警网警和相关运营商技术人员的解答,光猫设备中不存在所谓的反诈插件, 相关插件系保障光猫设备正常运行所必须的插件,光猫设备不会收集任何隐私信息,大家可以放心使用, 相关运营商也为同事更换了另一型号的光猫设备,
所谓反诈电话是经过大数据研判存在被诈骗的风险时,由系统进行电话短信劝阻,防止群众因诈骗遭受损失。
文中所谓访问相关网站 3 分钟反诈来电实际为 11 分钟,与光猫设备无关,纯属巧合,
为了防范电信网络诈骗,建议下载安装国家反诈中心 APP,
光猫设备系国有资产,未经授权不可进入,本人及同事的行为触犯了刑法第二百八十条非法获取计算机信息系统数据、 非法控制计算机信息系统罪,感谢民警的及时制止,本人已经充分认识到错误,
经过民警的批评教育,本人充分认识到了自己行为及不当言论造成的危害,我已深刻反省认识到自身错误,在此对大家、 对相关运营商及相关公司道歉,同时也对因提供超级密码停职的装维师傅道歉

oblivion 自称发现的反诈插件后,一个月后的时间中,未有人重复找到相关插件, 仅有提供的 bbums.cnbbums.org.cn 域名有些令人在意,这是中国信息通信研究院拥有的域名, 并且是在 2023年10月24日 才通过 ICP 备案,而中国信息通信研究院是参与 FTTR 相关技术的机构。20 尚不明确关连性。

错误情况#

2020 年的年底,微软的短域名 aka.ms 被湖北电信污染。有人去电信了相关情况得到的回复是:这个域名被省公安厅反诈提交给了相关单位,导致被封锁。

湖北 aka.ms 被污染的原因21

这个微软官方域名从去年底就开始被湖北电信默认 DNS 202.103.24.68 和 202.103.44.150 污染到回环地址,前两天一时兴起去电信投诉了下问了下情况。后来直接被回复说这个域名是省公安厅反诈的提交了诈骗网站名单给管局,管局要求强制实施,要恢复得申诉。

附言:aka.ms 是微软公司的短域名服务,仅有微软公司有权创建短域名,并不是对外开放的服务,不过存在 XSS 攻击,然后被创建恶意的短域名跳转链接。

2021年4月到5月初,三位 酷安 用户称安装白描证件照之后,当地的「反诈骗系统」就很快打电话给当事人,要求卸载这个软件。22

一位要给出卸载白描证件照的证据(截图或当面卸载),另一位要安装国家反诈中心 App,最后一位需要亲自接受反诈宣传。

2021年12月24日,讯飞语记官方微信公众号,发布了关于被国家反诈中心误封的通知:23

关于近期网络服务异常说明及补偿

自 12 月 15 日起,我们陆续收到四川、北京、江苏、广东等地区用户反馈讯飞语记笔记无法同步、分享链接无法访问、无法炮买相关服务等异常表现。

首先,对于此次服务异常给大家带来不便深表歉意!我们已于讯飞语记手机安卓端上线补偿措施:1 分钱购买转写市场及月 VIP,补偿措施点击安卓端 App 首页 banner 即可领取(iOS 用户需在安卓设备登家账号领取补偿)。

经排查此次网络服务异常原因是国家反诈骗中心误封禁域名,核实后已通知各地陆续解封,给大家带来不便敬请谅解。

目前大部分地区服务已恢复,内蒙古、新疆等少数地区正在恢复中,各地服务回复进展请点击 >> 服务回复进展 查询。

为避免出现进一步影响,网塔服务恢复前,请多不要在语记内创建和修改笔记,不要卸载软件,待服务恢算正常后再进入使用。另外,已经局步到云湍的笔记不会丢失,请您放心。

2022年2月27日,A 岛匿名版 的一个客户端(可能是第三方客户端),被发现弹出了「国家反诈中心、工信部反诈中心、中国电信提示您,您访问的网站/网页存在诈骗风险,请注意个人信息和财产安全」这样的页面。24

2022年5月20日,有人在没有接到诈骗电话的情况,依然被警察上门。被普及防诈知识,并被推荐安装反诈 App。25

2023年7月27日,有 MIUI14 的用户称:从 Google Play 安装了 ChatGPT 的 App,但是不久就有派出所打电话, 称监测到当事人安装了诈骗软件,并询问是否被骗,千万不要转账、汇款等。26

评论里有人使用了 隐藏 App 列表 Xposed 模块, 但导致 com.miui.securitycenter 报错,其中就出现了「反诈anti fraud」相关内容:

MIUI14 com.miui.securitycenter 内置的「反诈」错误日志
08-11 19:44:25.233 12140 18984 E AntiFraud: hookDetectUnsafeAppStart error,
08-11 19:44:25.233 12140 18984 E AntiFraud: android.content.pm.PackageManager$NameNotFoundException: com.termux
08-11 19:44:25.233 12140 18984 E AntiFraud: at android.app.ApplicationPackageManager.getApplicationInfoAsUser(Unknown Source:22)
08-11 19:44:25.233 12140 18984 E AntiFraud: at android.app.ApplicationPackageManager.getApplicationInfo(Unknown Source:4)
08-11 19:44:25.233 12140 18984 E AntiFraud: at android.app.ApplicationPackageManager.getApplicationInfo(Unknown Source:5)
08-11 19:44:25.233 12140 18984 E AntiFraud: at e.d.f.n.b.b(Unknown Source:12)
08-11 19:44:25.233 12140 18984 E AntiFraud: at e.d.f.n.b$c.onForegroundInfoChanged(Unknown Source:21)
08-11 19:44:25.233 12140 18984 E AntiFraud: at com.miui.gamebooster.mutiwindow.h$a.onForegroundInfoChanged(Unknown Source:152)
08-11 19:44:25.233 12140 18984 E AntiFraud: at miui.process.IForegroundInfoListener$Stub.onTransact(Unknown Source:39)
08-11 19:44:25.233 12140 18984 E AntiFraud: at android.os.Binder.execTransactInternal(Unknown Source:105)
08-11 19:44:25.233 12140 18984 E AntiFraud: at android.os.Binder.execTransact(Unknown Source:16)
^C
130|:/data/data/com.termux/files/home # ps -ef | grep 12140
root 5588 3581 5 19:46:08 /debug_ramdisk/.magisk/pts/0 00:00:00 grep 12140
u10_system 12140 953 0 16:47:51 ? 00:00:32 com.miui.securitycenter.remote

2023年12月4日,V2EX 上有用户表示 Apple 官网被 GFW 封禁。北京联通的 DNS(202.106.195.68/202.106.46.151) 污染了苹果官网域名 apple.com127.0.0.12728

该 V2EX 用户在联系联通官方后,收到的回复是:北京公安反诈将该网站列为封禁名单。暂时没有影响到其他地区、北京电信以及 IPv6。

2023年12月28日,V2EX 上的 MIUI 用户称,自己手机安装的「澳门金沙度假区」App 名称和包名被警方知晓,警方发现与赌博 App 相同,于是威逼恐吓该用户让他自证其罪。随后警方要到了手机密码,仔细检查了相册、 通话记录和每个 App 后,发现弄错了,这确实是度假村的 App。。于是该用户在记录了信息,并按手印后离开了警局。29

2023年12月28日,V2EX 上,有位来自杭州的华为 Meta 40 Pro 用户 needahouse 称,自己年中接到派出所电话,提示手机安装了向日葵、Telegram、ToDesk, 需要去派出所提供 App 的使用情况笔录。(不过派出所没有提及,手机上已安装的 TeamViewer 与 RustDesk)30

附言:向日葵、ToDesk、TeamViewer 和 RustDesk 都是远程协作类的软件,能让电脑被远程控制,或被远程控制。

RustDesk 与反诈骗

2023年9月4日,RustDesk 从 Google Play 下架,因为作者觉得这样可以减少被欺诈的可能。随后网站和软件里也添加了「你可能被骗了」的提醒。31

2024年5月7日,RustDesk 的作者发文表示:诈骗受害者通过短信联系到了作者,告诉了被骗巨大金额的情况。于是作者打算暂停中国地区使用公共服务器,如果需要使用 RustDesk,需要自建服务器。而外国地区的公共服务器,也改为只允许同城使用。32

2024年3月19日,V2EX 有用户表示自己使用 facetime 后,接到了社区民警电话。因为近期很多人因为 facetime 被骗, 所以要求该用户关闭 facetime 功能。民警在被多次询问「为什么知道我在使用 facetime」后,表示是系统推给他的单子。33 也许该系统与反诈有关吧。

2024年3月20日,needahouse 再次表示自己接到了反诈电话。原因是使用夸克浏览器,结果接到了反诈电话。 反诈中心称有人使用此 App 被骗,所以在此提醒,并在后续上门确认。不过很快该用户的所有银行卡都被冻结了。34

2024年3月20日,HostLoc 论坛用户发帖称:自己从淘宝购买的实体 giffgaff SIM 卡,在插入华为手机后, 被 96110(国家反诈中心电话)致电。35

96110 询问此 giffgaff SIM 卡如何获取的,为什么要使用。不过发帖人没有透露自己的回答。 一天后,发帖人称此事件是自己捏造的。36

2024年8月10日,有人发帖,表示向家人拨打了 facetime。结果接到了警察的电话,警察提醒防范诈骗,注意资金安全。 评论中有人表示遇到了相似的情况,只是手机号直接被停机了,需要到营业厅签字画押才能恢复。甚至有人只是购买了出国的机票, 就收到了警察电话,请去「喝茶」,具体还是告诉当事人要小心受骗。37


  1. 李老师不是你老师, 「9月17日,江西师范大学也开始要求师生强制下载国家反诈app。」, X(Twitter), 2023-09-17. (参照 2023-09-17). 

  2. 李老师不是你老师, 「9月22日,内蒙古乌兰察布市,有市民发布抖音显示,民警在出站口登记,不下载国家反诈APP不让出站」, X(Twitter), 2023-09-22. (参照 2023-09-23). 

  3. 李老师不是你老师, 《内蒙古赤峰,警察正在拦路检查行人是否下载国家反诈app》, X(Twitter), 2023-09-26. (参照 2023-10-06). 

  4. 李老师不是你老师, 「10月20日,成都电子信息职业中学校方和公安机关将所有学生集中到操场上统一注册安装反诈app」, X(Twitter), 2023-10-20. (参照 2023-10-21). 

  5. 李老师不是你老师, 「网友投稿」, X(Twitter), 2023-11-28. (参照 2023-11-30). 

  6. XX 市反诈骗中心提示您:您访问的网站存在风险!电信这个反诈骗过滤能关掉吗?, V2EX. 

  7. Few-Sir9379, 《vivo也有反诈了》, r/China_irl, 2022-01-16. (参照 2023-05-17). 

  8. 带刀不带伞, 《安卓13内置国家反诈,无法关闭》, 百度贴吧/安卓13, 2023-01-16. (参照 2023-01-21). 

  9. 浪宸y, 《vivo和iQOO既然把国家反诈中心接入OriginOS浏览器中让它守护,我们v粉酷客个人信息安全防止意外泄漏!》, 哔哩哔哩, 2023-05-07. (参照 2023-05-12). 

  10. https://www.coolapk1s.com/feed/45804641 

  11. 李老师不是你老师, 「网友投稿 Vivo和iQOO手机已经将国家反诈中心接入其OriginOS浏览器中。 有用户在手机浏览器-设置-安全中心中发现证实了这一点」, Twitter, 2023-05-11. (参照 2023-05-12). 

  12. guest, Untitled, Pastebin.com, 2019-10-28. (参照 2023-11-27). 

  13. 谷子猫, 《移动宽带光猫为例,查看解决网络监测现象以及关闭网络监控办法》, 谷子猫, 2023-04-23. (参照 2023-11-27). 

  14. 🆕 科技新闻投稿📮TestFlight, 《中国电信光猫天邑官方后门无法关闭》, Telegram, 2021-01-25. (参照 2023-11-03). 

  15. oblivion, 《噫,某些运营商开始在光猫内置反诈插件了》, V2EX, 2023-10-29. (参照 2023-10-30). 

  16. oblivion, 《防不胜防,防不胜防啊,经过对光猫固件分析发现更多插件》, V2EX, 2023-11-01. (参照 2023-11-01). 

  17. 某个采购文件」. [Online]. 

  18. 任子行, 《合规审计解决方案》, 任子行网络技术股份有限公司, 2023-03-24. (参照 2023-11-01). 

  19. oblivion, 《关于本人发表不实信息的澄清及道歉信》, V2EX/水深火热, 2023-11-01. (参照 2023-11-01). 

  20. C114 通讯网, 《中国信通院敖立:FTTR成运营商全新赛道》, 新浪网, 2022-08-22. (参照 2023-11-27). 

  21. 湖北 aka.ms 被污染的原因, V2EX. 

  22. twitter 

  23. 中新经纬, 《讯飞语记:近日网络服务异常系因域名误封禁》, 新浪财经, 2021-12-24. (参照 2022-02-26). 

  24. LxnChan, 《电信的移动数据开始实装反诈页面了》, V2EX/宽带症候群, 2022-02-27. (参照 2022-02-28). 

  25. commoccoom, 《省级防诈系统误报,派出所找我两回了》, V2EX, 2022-05-22. (参照 2022-05-28). 

  26. Takizawa, 《MIUI 反诈实锤》, V2EX, 2023-07-27. (参照 2024-06-12). 

  27. 412999826, 《Apple 官网被封禁》, V2EX/水深火热, 2023-12-04. (参照 2023-12-05). 

  28. mifen, 《Apple 官网被北京联通和移动封锁》, 美国VPS综合讨论, 2023-12-05. (参照 2023-12-05). 

  29. zhangyu33159, 《小米 MIUI14 应该会把已安装应用信息上传到反诈中心》, V2EX/水深火热, 2023-12-28. (参照 2023-12-29). 

  30. needahouse, 《又被反诈照顾了》, V2EX/水深火热, 2023-12-28. (参照 2023-12-29). 附言:此页面没有存档。 

  31. Philippe34, Is Rustdesk app still avalaible in the Google Play Store ? · rustdesk/rustdesk · Discussion #5660, GitHub, 2023-09-11. (参照 2024-05-09). 

  32. RustDesk, 《RustDesk 由于诈骗猖獗,暂停国内服务》, OSCHINA - 中文开源技术交流社区, 2024-05-07. (参照 2024-05-09). 

  33. rtyxmd, 《使用 facetime 竟然会招来反诈民警要求上门》, V2EX/水深火热, 2024-03-19. (参照 2024-03-20). 

  34. needahouse, 《使用夸克浏览器,被反诈中心找上》, V2EX/水深火热, 2024-03-20. (参照 2024-03-20). 

  35. 天天想嫩模, 《安装了英国gg卡后我被致电了》, HostLoc, 2024-03-20. (参照 2024-03-20). 

  36. 天天想嫩模, 《被mjj害惨了 我辟谣昨天的事情是我捏造的》, 美国VPS综合讨论, 2024-03-21. (参照 2024-03-22). 

  37. Yosomi, 《不小心给我爸打了个 facetime,然后收到警察的电话了?》, V2EX/水深火热, 2024-08-10. (参照 2024-09-20). 

(由于更新时间是手动更新的,所以部分页面内容已更新,但忘记修改新的日期了……)