反电信诈骗简史

文|黑奇士司马子羽

2019年7月，林女士从海外留学归来，顺利成为湖南某大型企业财务管理人员。

12月21日的一个下午，她接到一个“福建警方”打来的电话，对方称林女士涉嫌一桩特大洗钱案，已被公安机关列为通缉对象，并出示了一张“网络通缉令”。他们说，为了证明自己的清白，林女士需要把对企业账户进行“资金清算”。

在“公安机关”的电话指示下，林女士进入“最高人民检察院”的网站，下载了网站中的“资金清算软件”，林女士在该软件页面对应位置输入了公司账户账号和支付密码，将公司对公账户的U盾插入电脑。

“公安机关”告知林女士由于安全保密的要求需要关闭电脑屏幕。林女士照做后，接下来的两个小时，公司账上的1919万元不翼而飞。

写到这里，常看黑奇士（id hqssima）的同学应该都明白，这个“公安机关”是假的、“最高人民检察院的网站”是假的，通缉令是假的，只有被骗子转走的钱是真的。

这是一个典型的“假冒公检法诈骗”案例。

事后，根据警方调查，发现这个犯罪团伙诱导林女士下载的“资金清算软件”实际上是一款远程控制软件（team***），通过这个软件，骗子远程操控了刘女士的办公电脑直接实施转账，分了45次将1919万元巨款转走。

2020年3月，经过近四个月的缜密侦查，长沙警方在河北石家庄将6名参与本案的犯罪嫌疑人抓获，目前，案件正在进一步侦办之中。

这是湖南迄今为止涉案金额最大的一起电信网络诈骗案。这种诈骗方式也是电信诈骗里的一种典型手法：“公检法诈骗”。

事实上，这种诈骗手法早在四百年前就被诈骗团伙使用，只不过那时候的人们，把这种骗局叫做“冒官行骗”。

万历年间，张应俞编写的《新刻江湖杜骗术》中写到了这种骗术，这也是世界上第一部专业反欺诈书籍。（成书大约在1617年，离现在四百余年）

诈骗历史四百年

诈骗之术，古已有之，“种金术”、“法水照形”、“换骗银”、“丢包骗”、“冒官行骗”、“冒名行骗”——《新刻江湖杜骗术》全书分为四卷，总结了24类诈骗方式，详细讲述了83个诈骗案例。里面很多骗术今天仍然在发生，比如“冒官行骗”其实就是古代版的公检法诈骗。

90年代中后期，在我国台湾地区，一种以中奖诈骗为主的骗术开始流行，诈骗团伙会通过电话或者短信通发“恭喜你中了100万元刮刮乐奖金”的信息给随机的一组号码段，有人上钩后，告知对方领取奖金需要先交一笔手续费。有些防备心比较低的人就会信以为真，乖乖地把“手续费”打到骗子提供的银行账户上去。

大约2000年前后，这种骗术流传到大陆，并且发展出了多个变种：购物退款诈骗、仿冒领导诈骗、仿冒军警诈骗、仿冒公检法诈骗、“重金求子”诈骗、“脑溢血”诈骗、机票退改签诈骗。

在很多地方，诈骗形成了产业，一整个村、一整个乡的人都从事电信诈骗，不少地方被公安部挂牌，成为俗称的“诈骗乡”、“诈骗村”，例如2016年有7个地区被公安部列为第一批电信诈骗重点整治地区，这些地区后来为了“摘帽”也付出了艰辛的代价。

2016年8月，贫困女大学生徐玉玉因被诈骗电话骗走大学学费，伤心欲绝最终导致心脏骤停，不幸离世。徐玉玉案在社会上引起了强烈愤慨，警方也开展了空前的严打整治行动，电信诈骗蓬勃发展的势头遭到遏制。

在暴利驱动下，铤而走险的人不在少数。短暂的低潮后，电信诈骗又以更复杂的诈骗形式卷土重来，目前电信诈骗仍然以每年百分之三四十的复合比例在增长。

近几年电信诈骗的主要据点往东南亚地区转移，例如缅甸、老挝，让抓捕变得很困难。即便有些友好邦交国愿意为抓捕提供便利的，跨国抓捕的成本动辄百万以上。一边是暴利吸引，一边是犯罪成本低，所以东南亚的一些地区变成了电信诈骗团伙的天堂。

反欺诈之难：魔高一尺，道高一丈

电信诈骗猖獗一时，人民群众对运营商的意见极大：“为什么诈骗分子用电话、网络骗我，三大运营商却不管？”

实际上他们不知道，在海量的数据中筛选出异常数据，对运营商的技术防控是极大的挑战。

谁能帮助数亿网民反欺诈？

2015年，因为一个偶然的机会，某安全反诈骗实验室和电信运营商达成了合作，并率先在深圳开展了试点。他们拥有网址云、号码云、APK云检测能力，在这次合作中，实验室把自己在号码云上多年积累的经验移植到打击电信诈骗上来。

其产品智能反电话诈骗盒子“鹰眼”也就是那时候诞生的。

短短几个月，“鹰眼”盒子首战告捷，试点合作期间，信息诈骗中涉案金额由最初的26%下降到6%，最为严重的冒充公检法诈骗案中，诈骗案件金额降低了80%。

他们具体是怎么做的呢？

据专家蔡工介绍，诈骗行为有一些固定的行为模式，反映到数据上来，就能提炼出特征模型。“诈骗分子和受害者两个端都有一些特征。从受害者侧而言，他的通话行为通常都是********（因为和电诈分子的对抗还是“正在进行时ing”，此处的对抗策略黑奇士作了模糊处理），一些很连续的异常，我们最早就通过这种用户的连续异常行为锁定他正在遭遇诈骗。”

诈骗侧也有一些特征，犯罪分子通常都聚集在一个窝点、打电话都呈批量特性，利用这些地理位置、通话频率频率等数据上的特征，腾讯反诈骗实验室也可以对诈骗团伙进行识别。

不管是购物退款诈骗、仿冒领导诈骗、军警诈骗还是公检法诈骗，如果主要依靠电话行骗，基本上都能在通话侧找到一些特征，从而进行有效的打击。以前的电诈打击只能事后追溯，用大数据+人工智能的方式却可以识别正在发生中的诈骗，可以及时报警并对资金进行冻结，把损失减到最低。

徐玉玉案发生后，全社会对于打击电信呼声空前高涨，互联网行业具备反诈骗技术实力的公司也纷纷投入到这场打击诈骗的运动中。

与恶龙战斗：诈骗分子也有高科技，用AI和大数据骗人

此时，诈骗团伙的对抗也在升级。他们也采取一些新的手段，试图绕过警方的打击策略，新的电信诈骗融合了电话、网络等各种手段，电话不再是主要工具，而只是一种前期撒网的方式，诈骗行为主要通过添加受害者的社交网络账号进行。

这个时期最典型第一类诈骗方式就是虚假借贷诈骗。

诈骗分子首先从黑产团伙手里获得大量用户资料，筛选出其中征信不好、急需用钱又在传统银行渠道借不到钱的用户，通过电话推销或者短信推销找到潜在受害者，添加对方的社交账号，由“二线客服”来引导受害者下载一个虚假的借贷App，让对方填写资料、提交贷款申请。
之后诈骗团伙在App后台把状态修改成“审核不通过”——这个人群里大部分人也清楚自己的征信有问题——接着“客服”就会打电话来，说需要交一笔包装费，比如说2000块，可以帮助他改善征信状况，等受害者交了一笔钱，审核还是不通过，“客服”又打电话来，又以仍然有风险需要保证金为由，再收取一笔保证金。很多人就是在这样的情况下一步一步被骗的。

有了大数据和各种新技术的辅助，电信诈骗形成了一条完整的产业链。

上游有黑产团伙负责倒卖用户数据，下游有专业的App开发团队，客服机器人用于电话筛选潜在受害者，在后续的网络侧，诈骗团伙用NLP（自然语言处理，AI应用的一个分支，你没看错，犯罪分子早就开始使用AI了）去对沟通的文本进行分析——所有的前期筛选流程都可以做到自动化。

有了大数据加持，这个时候的电信诈骗已经可以做到量身定制，有以谈感情为名实则是骗财的“杀猪盘”，受害者都是拥有一些经济能力的年轻单身女性；有上文说的虚假借贷诈骗，受害者是一些在各种小贷平台留下过个人信息、被标注为缺钱的人群；有刷单诈骗，面向的是闲暇时间比较多的在校大学生和家庭主妇。

在“徐玉玉案”里，诈骗分子是从黑产手中购买了10万山东省当年的高考考生个人资料，以教育部门发放助学金的名义实施的精准诈骗，在诈骗过程中，犯罪分子能准确地叫出徐玉玉的名字、就读和被录取的学校。

这种电话、短信撒网，或者短视频和婚恋网站私信的方式筛选一轮目标用户，并通过添加社交账号一线“客服”、二线“客服”分工协作的方式，让数据分散在各个不同的环节，单看其中某一个环节的行为很难判断是不是诈骗，给打击造成了很大的障碍。

但是无论什么形式的诈骗，最终都需要把骗到的赃款进行洗白，这个环节成为了一个反诈骗的着力点。

通常诈骗团伙得手后，负责洗钱的“水房”就会开始工作。洗钱团队会把赃款一级级拆分，直到不会引起银行风控注意的额度，再通知车手去ATM将钱取出来存到“安全卡”上去。涉案卡片通常是一个网状结构，一旦发现了其中一张卡有问题，通常能锁定一批恶意卡。

“比如说一个用户来报案，提供了一张涉案的银行卡信息，公安部门马上去查这张卡的流水，首先他先看看后面还有没有钱，有钱的话赶紧冻结，如果没钱的话也会进行拓展分析。以前公安是人工分析的，我们其实就把整个过程把它自动化模型化自动拓展、自动分析，根据它资金流水的情况和一些特殊金额判断哪些是恶意卡。”

最开始的时候，一张恶意卡的生命周期有二十几天，在技术手段的打击下，洗钱门槛更高了，诈骗团伙也升级了对抗方式：将一张卡的生命周期缩短到两三天。往往一张卡开卡到弃用，时间不会超过三天。“从上游买一张‘四件套’（指的是身份证件、银行卡、手机卡、U盾）齐全的银行卡需要好几千，但诈骗团伙的回报足够高，可以负担这种成本。”

这又给反诈骗提出了另一个难题，往往警方找出恶意卡的时候，卡已经被弃用了。是否能将监测方式进一步前置，在开卡阶段就找到哪些卡是恶意卡？

“开卡阶段的识别主要用的是聚类分析法。我们发现开卡阶段是有特征的，单看一个人的开卡行为可能只是一个普通小概率事件，但这种普通小概率事件在一个时间段内重复发生多次，就是一个异常事件，我们要做的就是把这种异常找出来。”

除了开卡本身的行为，诈骗团伙开好一批新卡后，也会进行一系列的试卡操作，这也能帮助技术人员发现异常行为。

目前上述提到的某互联网公司安全反诈骗实验室每天都能识别两三千张涉及电信诈骗的恶意卡，从拦截金额上来看，每年至少来的都是10亿级别的资金，但这还远远不够。“像一些仿冒公检法、虚假贷款诈骗，因为它的模式也很成熟的，我们是能做到识别五六成，已经是业界最高了，但任何反诈骗策略都很难覆盖很多诈骗类型，特别是很多长尾案件是很难的。”

电信诈骗仍然以每年百分之三四十的比例在复合增长。