摘要: 没有数据源,就没有诈骗源。

1

今天是2020年,1月10日,也是第34届110宣传日。作为经常与公安机关配合做防骗公益的人,每年这个日子,都是要复盘的时候。

年年的今天都会感慨1整年又过去了,防骗依然是任重道远的事情。信息不对称总能被最大化的利用。

已过去的2019年,骗局层出不穷。

从传销,到非法集资,到资金盘,到币圈,到数据倒卖,到境外地产投资,再到产业割韭菜,只要你有梦想,总有一种镰刀适合你。

只要有钱赚,人类的想象力是没有极限的。

2

说心里话,其实并不同情那些出于发财贪婪而被割韭菜的人,死于贪婪的可怜人必有可恨之处,很多人掉钱眼里是劝不醒的,甚至你苦口婆心的劝他他还能把你骂到狗血喷头。

韭菜要是能被轻易教育就不会称为韭菜了。

何况很多韭菜其实心里门清,自己知道自己玩儿的是什么东西,就是赌自己跑得快。结果往往别说跑得快了,腿都给人忽悠瘸了。

年初写P2P的伪命题劝大家别买了,年中写Plus Token,PTFX,趣步以及西港炒房,年底写加盟骗局,电影投资骗局等等等等,总是有人信有人不信。

我日常工作的一部分是和公安机关合作反诈的,被骗的妻离子散的案例看得都要吐出来,但其中很多人,真的是傻到哭笑不得。

甚至很多时候都不完全是傻,是坏,自己做了白日梦落空之后,期望警察满足自己的不合理诉求,为自己的贪婪兜底。

这些人无法拯救,摆脱了这个坑,还有下一个坑等着。

3

在被骗的案例中,只有一类是我明确支持受害人维权并且尽全力去保护的。那就是电信诈骗和网络诈骗。

和利用人贪心割韭菜不同,这类属于欺负老实人。

针对这部分骗子,我是专门做过研究分析的,实操过多个反欺诈项目,有时候和骗子作战是非常有趣的一件事。

斗智斗勇,相爱相杀。

有段时间,我的团队主要方向就铺在欺诈相关的风控上,那时候接了一个项目。

当时对抗的场景主要是用户信息泄露后产生的钓鱼诈骗,包括电话,短信,网络连接以及通过微信QQ的话术欺诈。

反映到具体案例上,用户收到网购退货短信被引诱提供个人信息,是一类。

毕竟身份信息在这个年代是可以卖钱的。

用户个人信息泄露,被拿来钓鱼(假扮公检法),吸引用户转账,是一类。

用户因不规范的上网行为(也有的是访问设备被劫持),导致自己的关键金融信息被劫持,骗子直接登录发起资产转移,是一类。

更高端的直接对关键网站进行攻击,底层脱裤,然后倒卖数据,也是一类,这一类往往是上三类的数据源。

数据源是一切欺诈的根源,要骗你,首先要了解你。

骗子们真的很努力,反诈的也得跟上才行。要比坏人们更强力,才能剁掉他们的手。

4

我们在做反欺诈的时候,第一件事是,保护信息安全。

如果没有信息泄露,那么就不会有欺诈。

考虑到整个用户服务的过程中,数据的流转并非百分百在内网环节,必然有部分是不在我们掌控范围内的,所以当时我们做了一件事情,就是数据加盐。

所有经过我们的数据,都会被加入某些难以被察觉的内容,这些内容可能连起来就是某个文字,可能顺序一变就是某种警告,MD5和脱敏更是基础内容。

通过这种方法,我们可以在欺诈发生时快速定位到数据泄露方追责,并且可以快速摸清受影响范围,及时通知用户提高警惕。

第二件事是,建立欺诈特征库。

虽然骗子的手法多种多样,但其行为本身是存在具体特征的。

例如专门的欺诈号段,整个手机号段就是虚拟机或者国外号码;

例如专门的IP池,池子里的IP在某些范围内以某些规律变动,某个时间节点的某个IP就是诈骗专用,其他时间节点可能只是一个普通的网吧IP;

特殊的设备号,诈骗分子使用的设备一般都不是常规手机,其设备号IMEI存在大量的篡改行为,需要识别可疑设备号;

可疑关系网络。

知道吗,骗子之间也是有联系的,这些联系可能是相同的通讯录,相同的通话记录,相同的聊天记录,这些数据交叉到某一信息泄露用户的关联;

当某个用户报案的时候,第一时间,他的高密度关联人就会被打标跑规则。

当然这只是冰山一角,可疑特征库的特征数量往往是数十万,讲也讲不完,更何况为了保密也不方便讲。

特征工程是反诈的重要工具。

这些特征收集起来,定义好内容,就可以跑反欺诈模型了。

第三件事,利用机器学习和模型算法来计算每一个人的可疑度。

机器是怎么认识猫的?

很简单,给他一张猫的图片,把猫的长相拆成几百个特征,然后告诉他这是猫。

当给了他几万几十万个猫的图片后,机器只要一识别到特征,就知道这是猫,其实和人认识猫一样,家长告诉小孩子这个毛茸茸,眼睛圆圆,耳朵弯弯,走路扭扭的,是猫。

同样,给机器大量的可疑特征,然后告诉他这个是骗子,这个不是,经过足够的训练,机器就可以找到新的可疑人物,然后再来跑规则。

第四件事,建立处置策略包。

当你找到了大量可疑人物的时候,需要依据这些人的特征进行归类,跑不同的策略。

一部分人是误伤,需要放出来。

一部分人是高危,需要直接干掉。

一部分人是疑似,需要进一步跑新的规则或者转人工。

一般所有可疑人物都会被依据可疑度做预处理,然后用规则匹配,再用关系网络串联。

最后锁定最高优先级的直接干掉。

5

第五件事,卡住骗子的提现通道。

再牛逼的诈骗分子,骗来的钱总归是需要转走的。

支付宝也好,微信也好,银行卡也好,POS也好,收款码也好,总要走资金渠道的。

所以一般识别高危用户的时候,都是直接去卡骗子的提现通道。

在支付渠道和转账功能中设置无数的交叉校验规则,这些规则正常人根本不会触发(或极小概率触发,往往增加二次验证),而诈骗分子想把收集来的钱拿走,就会被卡死,常用的手法是延迟到账,锁定诈骗群,然后一窝端。

每年国内都有大量的资金沉淀在一批账户中,需要户主当面来check身份才能流转,但可惜的是基本没有人敢来拿走。

锁支付渠道,才是最有效的风险兜底。

我自己最爱做的就是给骗子钓鱼,反薅他们的钱。

第六件事,在用户劝阻的过程中增加第三人介入。

反诈过程中,最无力的事情是,你明知道这是骗子,而且已经锁定了受害人身份,甚至诈骗还没成功,你已经提前发出了预警介入,但是受害人往往不相信劝阻,反而觉得你才是骗子。

一般被骗的人都是在一个人跟骗子沟通的情况下被骗的,而且往往这种情况下用户都是深度被骗,骗子说什么,受害人基本就照做,所以不论风控团队的欺诈防控怎么做,都很难阻止不用户被骗。

总不能两句话不和就发起账户冻结吧。

对应的解决方案就是去把信息同步给受害人的直系亲属,让多一个人介入到风险管控中来,就多一个人思考,往往不会被骗子的局套路的太深,甚至让骗子骗不到。

6

说老实话,风控做的再好,也一定是会存在风险的,因为风控本质上只是提高犯罪分子的作案成本,谁也不可能完全消灭诈骗。

完全消灭诈骗,可能连正常的商业行为都没法做了,更何况骗不骗的本身还要分场景区分,很多报案都是假报案或者只说对自己有利的一面。

怀疑一切,是风控的本能。

做反诈项目的时候,由于被反过来骂的太多,并且眼睁睁看着人滑落深渊的感觉过于强烈,到后期,心态已经彻底佛了,能救一个是一个的了,你又不是神仙,人家也未必需要你。

一般来说,当风控确认诈骗行为存在并锁定受害人与加害人时,风控往往就可以退场了,剩下的就是执行者和公权力的事情了。

作为个体用户,当大家日常发现网络违法行为或者疑似的诈骗行为,可以直接到小程序腾讯110去举报,卖茶叶的,杀猪盘的,骗你转账的,冒充公检法的,发送可疑链接的,都可以直接举报。

骗子很多,但更多的是只为利益数字负责不为用户利益负责的公司。

很多用户数据在数据库中是明文裸奔的,整个业务链路各种暴露数据给第三方,我甚至见过私下盗出用户数据贩卖的人,我一直认为不对用户负责的公司比骗子更可恶。

因为没有他们的努力,也没有骗子的生存土壤。

尽管防诈骗我们需要教育用户,但更需要被教育的,是那些手中有用户数据但心中没有用户利益的无良公司。

没有数据源,就没有诈骗源。