文章总结: 本文详细剖析了2020年滨州‘苹果皮’诈骗案的侦破过程。案件中,境外诈骗团伙利用‘苹果皮’设备将境外网络信号伪装成国内官方客服号码,诱导受害人张建国转账35.8万元。警方通过基站信号回溯锁定设备位置,抓获境内设备维护员,并顺藤摸瓜揭示了诈骗链条中设备维护、卡商供卡、话务诈骗、水房洗钱等环节的运作模式,最终缴获设备并截留部分资金,但核心话务与洗钱上家因身处境外难以追查。 综合评分: 78 文章分类: 应急响应,漏洞分析,威胁情报,社会工程学,网络安全
“苹果皮”诈骗案侦破之藏在信号里的幽灵
原创
子午猫 子午猫
网络侦查研究院
2026年3月19日 07:11 湖南
#
一、消失的三十万
2020年8月12日,下午三点,滨州河江区。
张建国坐在自家客厅沙发上,手机开着免提放在茶几上。电话那头是个年轻女声,自称“京东金融客服”。
“张先生,您的京东白条账户存在异常,需要立即注销,否则会影响个人征信。”
张建国五十二岁,开了家小五金店,平时用京东买工具配件。一听“征信”,他有点慌——儿子明年要贷款买房,可不能受影响。
“怎么注销?”
“我帮您操作。您先下载一个‘京东会议’APP,我们远程协助。”
张建国没多想。他在应用商店搜“京东会议”,果然有。下载、安装、打开。
客服给了个会议号。加入会议后,屏幕跳出提示:“是否允许共享屏幕?”
他点了“允许”。
接下来的四十分钟,像一场噩梦。
客服让他打开微信,点“我”-“支付”-“钱包”-“零钱通”,查看余额:八万七。
“这是您的非法资金,需要转到安全账户核查。”
“非法资金?”张建国懵了,“这是我卖货收的钱啊!”
“系统显示异常。不转走的话,账户会被永久冻结。”
张建国手开始抖。他按照客服指示,把八万七转到一个陌生银行卡号。
“还有银行卡吗?”
“有……”
中国银行、建设银行、工商银行,三张卡,加起来二十二万三,全转走了。
最后,客服让他打开支付宝,把花呗、借呗额度全部提现,转到另一个账户。
“这是最后一步,转完就清除了。”
张建国照做。四万八。
挂断电话时,他整个人是木的。坐在沙发上,盯着手机屏幕,那些转账记录一条条跳出来,加起来:三十五万八千元。
他五金店一年的利润。
儿子买房的首付。
一辈子的积蓄。
电话又响了。这次是滨江区反诈中心。
“张先生,我们监测到您账户异常转账,是不是接到诈骗电话了?”
张建国嘴唇哆嗦,说不出话。
“您在哪?我们马上派人过来!”
二、第一个谜:电话从哪里来?
滨江区公安分局刑侦大队民警李锋赶到张建国家时,老头还在沙发上发抖,手机掉在地上。
“电话……京东客服……”他语无伦次。
李锋捡起手机,查看通话记录。最新一条:来电号码“010-5678XXXX”,通话时长42分钟。
“北京区号。”李锋皱眉,“但诈骗电话一般用虚拟号,这个像是座机。”
他回拨过去。
“您好,京东金融客服中心。”一个标准女声。
李锋亮明身份:“我是滨州河江公安,刚有位市民接到你们电话,被骗了三十多万。”
对方沉默几秒:“先生,我们这里是正规客服中心,不可能诈骗。您是不是搞错了?”
“来电号码是你们这里的吗?”
“是的,这是我们外呼号码之一。”
李锋要求核查。十分钟后,对方回复:“经查,今天下午三点,这个号码确实外呼了一位滨州用户,但通话内容是正常的账户咨询,没有涉及转账。”
“有录音吗?” “有,可以调取。”
李锋觉得不对劲。如果是诈骗,骗子怎么可能用京东官方的电话?
他让技术中队查这个号码的基站信号。
结果出来了:号码确实是京东官方客服号,但下午三点那通电话,信号接入点不在北京,而在滨州本地——滨江区星光大道附近的一个基站。
“伪基站?”李锋问。
技术员摇头:“不是伪基站,是真实基站。但这个号码的信号,被‘劫持’了。”
怎么劫持?
技术员解释:有一种设备,叫“苹果皮”。它可以把境外网络信号,转换成国内手机号码拨出。骗子在缅甸打电话,通过“苹果皮”中转,显示在受害人手机上的,就是北京、上海、滨州等地的真实号码,甚至是银行、平台的官方客服号。
“张建国接到的,就是这种电话。”技术员说,“号码是真的,但打电话的人,在境外。”
三、第二个谜:钱去哪儿了?
反诈中心紧急止付。
张建国的转账记录显示,资金流向五个不同的个人银行卡账户。这些账户的开户地分别在山东、河南、广东、云南、黑龙江。
“卡农账户。”李锋判断。
他们联系当地警方,冻结了其中三个账户,截留了十一万。但另外两个账户,钱已经转走了。
“查二级流向。”
资金组调取流水,发现那两个账户的钱,在到账后五分钟内,又转到了另外八个账户。八转十六,十六转三十二……像病毒分裂。
“这是跑分。”老侦查员王海说,“专门洗钱的团伙,用大量个人账户快速转账,把资金打散。”
最终,这些散碎的资金,汇入几个虚拟币交易平台,购买了USDT(泰达币)。
“虚拟币一买,就难追了。”王海叹气。
但李锋注意到一个细节:其中一个卡农账户,在收到张建国的钱后,没有立即转走,而是停留了十分钟。
“这十分钟,卡农在干什么?”
他们找到那个卡农——山东临沂的一个大学生。审讯后得知:他卖了自己的银行卡,但留了个心眼,装了手机银行APP,想看看钱怎么走。
“那天下午,我手机突然收到短信,说有三万块进账。我正纳闷,就接到一个电话,让我把手机卡拔了,扔水里。”
“谁打的?” “不知道,号码是虚拟的。”
“钱呢?” “我还没来得及看,卡就被停了。”
李锋调取了这个大学生的手机基站记录,发现他收到短信时,人在临沂大学宿舍。但那个让他“拔卡”的电话,信号接入点却在云南西双版纳。
“又是远程控制。”李锋说,“骗子在境外,通过‘苹果皮’打国内电话,指挥卡农操作。”
四、什么是“苹果皮”?
案件分析会上,技术中队展示了缴获的“苹果皮”设备。
巴掌大小,黑色塑料外壳,像个大号充电宝。正面有SIM卡槽,背面有网线接口和电源口。
“这东西,本来是个正经产品。”技术员小陈说,“最早是给iPod Touch用的,让它能插手机卡打电话。后来演变成多卡多待设备,一张‘苹果皮’能插十几张手机卡。”
他连接电源和网线,插上一张SIM卡,打开手机上一个叫“卡酷”的APP。
“看,现在这张卡,就能远程控制了。”
他在APP里点击“拨号”,输入一个号码。几秒后,会议室座机响了。
来电显示:正是插在“苹果皮”里的那张SIM卡的号码。
“但我在滨州,卡在云南,也能打。”小陈说,“只要‘苹果皮’联网,我在任何地方,都能通过APP操作这张卡打电话、发短信。”
李锋明白了:“所以骗子在缅甸,买一堆国内手机卡,插在‘苹果皮’里,把‘苹果皮’藏在滨州某个地方。然后他在缅甸远程控制,用这些卡打电话,显示的就是滨州本地号码?”
“对。而且他能随时换卡。一张卡打几个诈骗电话就废,换下一张。警方追查,只能找到‘苹果皮’的位置,找不到骗子本人。”
“那为什么张建国接到的是京东官方号码?” “那是另一种高级玩法。”小陈调出一张图,“这叫‘GOIP’网关,能模拟任意号码。骗子把‘苹果皮’接入GOIP,就能让来电显示为银行、平台、甚至110的号码。”
李锋后背发凉。
一个藏在暗处的设备,一堆不记名的手机卡,一个在境外的骗子。三者结合,就能伪造出任何官方电话。
老百姓怎么防?
五、侦查第一步:找到“苹果皮”
张建国案立案后,第一要务是找到那个在滨州的“苹果皮”。
怎么找?
技术中队通过基站信号回溯,锁定了骗子打电话时使用的SIM卡号码。但这些号码都是“黑卡”(用他人身份证办理),无法追踪持卡人。
“查这些卡的最后活跃位置。”李锋说。
运营商提供数据:这几张卡,最近一周的基站记录,都集中在滨江区星光大道、龙湖天街、彩虹城三个区域。
“设备应该在这附近,而且移动过。”小陈分析,“骗子可能把‘苹果皮’放在车里,到处跑,找信号好的地方。”
他们调取了这三个区域的监控。
星光大道,写字楼密集,每天车流量上万。龙湖天街,商业中心,人多车杂。彩虹城,居民区,监控死角多。
大海捞针。
但李锋注意到一个规律:这几张卡的通话时间,集中在工作日下午两点到五点。这个时间段,写字楼里人多,商业区热闹,居民区反而安静。
“骗子可能在办公场所作案。”王海说,“方便隐藏设备。”
他们重点排查写字楼。
在星光大道B座,物业反映:12楼有一家公司,最近半个月没人上班,但电表走得特别快。
“什么公司?” “叫‘滨州云创科技’,做网络服务的。”
警方上门查看。公司门锁着,玻璃门里黑漆漆。透过缝隙看,办公桌上没有电脑,只有几个路由器亮着灯。
“破门。”
门打开,一股热浪扑面而来——空调没开,但房间里堆着十几个黑色设备,散热风扇嗡嗡响。
正是“苹果皮”。
每个设备插着八张SIM卡,连接着路由器和移动电源。墙上贴着A4纸,写着操作流程:“开机→联网→APP绑定→保持在线”。
“人不在,设备在自动运行。”小陈检查后说,“骗子远程控制,不需要人到场。”
他们在房间里找到一份租赁合同,租期三个月,租金已付。租客叫“张伟”,身份证号是假的,电话号码空号。
“又是假身份。”李锋摇头。
但他们在垃圾桶里,找到一张外卖小票。下单时间:三天前,中午十二点。订单:麻辣香锅。送餐地址就是这间办公室。
“点外卖的人,可能来过。”李锋眼前一亮。
查外卖平台记录。下单手机号:188XXXX5678。机主:刘明,江西人,在滨州无业。
“抓人。”
六、侦查第二步:抓“设备维护员”
刘明在滨江一个网吧被抓。他二十五岁,瘦高个,戴眼镜,看起来像个大学生。
审讯室里,他一脸无辜:“我就是个打工的,老板让我去哪我就去哪。”
“老板是谁?” “网上认识的,叫‘龙哥’,没见过面。”
“让你干什么?” “每天去那个办公室,给设备换卡、充电、重启。一天五百块。”
刘明交代,“龙哥”在Telegram上联系他,给他寄了“苹果皮”设备和手机卡,教他怎么操作。他每天下午去一趟,确保设备在线。如果卡被封了,就换新的。
“你知道这些设备用来干什么吗?” “龙哥说……是做电话营销。”
“营销需要隐藏位置?需要不停换卡?” 刘明低头不说话了。
李锋调出刘明的手机,在Telegram里找到了“龙哥”。聊天记录全是操作指令:“去B座1203,换3号设备的卡。”“今天警察巡逻多,晚上再去。”“收到钱了吗?”
转账记录显示,“龙哥”通过虚拟币给刘明支付报酬。
“你怎么收钱?” “他给我一个虚拟币地址,我买USDT,转到那个地址。”
“地址还记得吗?” “记得,但每次都不一样。”
李锋让技术中队追踪那些虚拟币地址。发现它们最终都流向一个交易所,但交易所注册在开曼群岛,不配合调查。
“龙哥”的真实身份,依然是个谜。
但刘明的到案,让案件有了突破口。他属于“设备维护员”,是诈骗链条的最底层,但也是唯一在境内落地的环节。
“顺着刘明,往上挖。”李锋布置任务。
七、侦查第三步:挖“卡商”和“话务”
诈骗链条有四层:
- 设备维护员(刘明):负责架设、维护“苹果皮”。
- 卡商:提供手机卡。
- 话务团伙:打电话实施诈骗。
- 水房:洗钱。
刘明只知道“龙哥”,但不知道卡从哪里来,话务是谁,钱怎么洗。
警方从缴获的手机卡入手。
那些卡,来自三家运营商:移动、联通、电信。开户地遍布全国:黑龙江、云南、广东、湖南……但都有一个共同点:都是“实名不实人”——用他人身份证办理的。
“卡商有专门渠道收身份证。”王海说,“农村老人、大学生,一张身份证收两百块,办十张卡,转手卖一千。”
他们查了这些卡的快递记录。发现都是从云南西双版纳寄出的,收件人是“刘明”,但寄件人信息模糊。
“西双版纳靠近缅甸,很多卡商在那里活动。”李锋判断。
他们联系西双版纳警方,协查当地“卡商”。三天后,反馈来了:抓了一个团伙,专门从边境收购身份证,办卡后卖给缅北诈骗集团。
“但卡商也不知道话务是谁。他们只负责供卡,不管用途。”
话务团伙在境外,更难抓。
但李锋从张建国的通话录音里,发现一个细节:那个“京东客服”的口音,带点福建腔。
“话务可能是福建人,在缅北打工。”
他们排查了最近从云南出境的人员,重点找福建籍。发现一个叫“陈志强”的,2020年3月从西双版纳偷渡到缅甸,至今未归。
陈志强,福建安溪人,二十五岁,初中文化,之前在国内干过电话销售。
“安溪,电信诈骗重灾区。”王海说,“很可能就是他。”
但人在缅甸,抓不回来。
八、侦查第四步:打“水房”
资金组继续追查张建国的被骗资金。
那三十五万八千元,经过多层转账,最终买了虚拟币。但买币的账户,不是直接提现到境外,而是先转到几个“商户账户”。
这些商户,注册在广东、福建,经营类别是“珠宝”“茶叶”“电子产品”。
“虚假交易。”老赵说,“水房用这些商户账户接收诈骗资金,然后以‘货款’名义转出,洗白。”
他们查了其中一个商户——广州“华美珠宝店”。工商注册信息是真的,但实际经营地址是假的。法人叫“黄丽”,广东揭阳人。
抓黄丽时,她正在麻将馆打牌。
“我不知道啊!我就是把营业执照借给朋友用,一年收五千块。”
“什么朋友?” “网上认识的,叫‘阿斌’,说开网店需要执照。”
黄丽交代,阿斌让她办了张银行卡,绑定商户账户,每天有钱进账,她就转出去,收1%手续费。
“转给谁?” “阿斌给的账户,每次都不一样。”
警方调取黄丽的转账记录,发现资金最终流向香港的几个账户,然后消失。
“水房在香港,钱出境了。”老赵叹气。
但他们在黄丽的手机里,找到了阿斌的微信。阿斌的真实身份:陈斌,广东茂名人,有前科,专门做洗钱中介。
抓陈斌时,他正在深圳一家咖啡馆用笔记本电脑操作。
电脑屏幕上开着五个银行网银界面,正在转账。
“我在帮客户做外贸结算。”他狡辩。
警方检查电脑,发现一个Excel表格,记录着上百笔“订单”:日期、金额、来源账户、目标账户、手续费。
其中就有张建国的转账记录。
“这是洗钱账本。”李锋说。
陈斌交代,他的上家是香港一个地下钱庄,专门为缅北诈骗集团洗钱。他负责境内部分,把诈骗资金通过虚假交易转到香港,香港那边换成港币或虚拟币,再转到缅甸。
“怎么联系?” “Telegram,每次任务发加密消息。”
陈斌的手机里,果然有Telegram。但聊天记录是阅后即焚,早就没了。
“上家是谁?” “不知道,只知道叫‘财神爷’。”
线索到香港,又断了。
九、侦查思路总结:“苹果皮”诈骗的“四维打击法”
办完张建国案,我总结了一套侦查思路,叫“四维打击法”:
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络侦查研究院 子午猫 子午猫《“苹果皮”诈骗案侦破之藏在信号里的幽灵》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论