金融公司產品經理揭秘:一個電話騙到上百萬的行騙套路
編輯導讀:網絡騙術花樣百出,盡管小心謹慎,還是有些人踩了坑。作為一名金融公司的產品經理,本文作者以一次金融詐騙為例,分析騙子的行騙套路,總結了一些防騙經驗,與你分享。
老狗從13年開始從事金融行業的產品工作,接觸不少利用金融產品進行的詐騙案例。這次分享一個18年上半年經歷的詐騙事件,以及如何搞定詐騙分子的過程。
當時老狗在一家杭州的頭部車貸P2P平臺任職,當時公司剛完成美股上市不久,上市公司的名頭以及當時平臺口碑較好,于是引起了詐騙分子的注意,開始打了歪腦筋。
一、緣起客戶投訴
一天投資管理部的美女boss MM來公司總部開會,期間到樓道抽煙聊天。
“上次跟你說的事,有人莫名其妙被騙了錢,你再看看啊~”,吐了一口長煙,“啪~”MM彈開煙頭就往里走,墻上又多了個煙灰印。
這時代,做的任何事情都會有印記。
老狗初步回想,印記的信息少到只有可憐的三點:
- 受害人都是來借錢的;
- 通過后臺查詢,受害人曾充值到平臺上一筆資金,然后自己又提現走人了;
- 受害人自己也說不清為啥就把錢打了詐騙分子,而且金額都在幾千上萬;
疑點:受害人自己充值到平臺,自己提現走了,對平臺而言,一切都符合業務操作規則,也符合資金存管要求。遵循金融業務的“原卡進出”規則,平臺沒有任何責任。
基于以上兩點,老狗當時也沒引起特別注意,只是讓客服給出標準話術:“不要把任何驗證碼告知第三人,且不要直接轉錢給陌生第三方,如果已經轉了,請及時報警”(其實也只是例行公事,馬后炮)。
開始的一段時間里,我們并沒有對這段時間發生的詐騙進行認真應對。
二、墨菲定律
擔心的事情一定會發生,詐騙還在繼續??头对V開始密集,更多人反饋資金被騙,并對客服進行攻擊,被騙金額也從原來幾千幾萬,突破了10萬,最高的金額到了20萬,且每天數起。
“老狗,我們最近很多投資人被騙,金額越來越大了,這個事情就沒法解決么?”又是一周的中書閣會議,MM已經面露不悅了。
“我們做了調查,客戶都是正常充值提現業務,沒毛病,而且都是客戶自己把錢轉給了詐騙分子,我們無力去阻止一個不知道在哪,也不知道什么時候會轉錢給騙子人”老狗為了留住臉面,義正詞嚴地狡辯:)
老板也清楚這事平臺這邊沒有責任,要阻止也很難,沒有直接表態,這個事似乎陷入僵局。
“但是那么多人啊,肯定有問題啊?!薄松瞄L的就是不依不饒(哦不,應該說是百折不撓)。
老狗雖然心里難,但也覺得,難道就沒辦法治一治?
再次調查,有一名受害人提供了較為完整的上當鏈路:
- 受害人在觀看視頻的時候,點擊了彈出的貸款廣告;
- 在彈出頁面中,錄入個人信息(手機號和借款需求);
- 受害人接到貸款服務商(騙子)電話,詢問詳細信息(姓名、證件號、手機號);
- 以借款為名,服務商(騙子)告知受害人,借款需要提供保證金和收入流水;
- 受害人和詐騙分子一頓神操作之后,在平臺存了錢,又取了錢,然后自己把錢轉給了詐騙分子;
- 受害人似乎并不知道我們平臺的存在(奇怪的是,你會在一個不了解的p2p平臺上充值嗎)
有了該用戶的鏈路故事,我們再次回訪其他受害人,得到信息基本一致或近似。由于屬于第二波的案件高峰,我們選擇了報警,但是警方的回復是需要受害人自己報案(好像也沒毛?。?/p>
三、凡事被騙,基本因為腦熱
猛點2根煙后,老狗回到位子上回想各種新聞報道,“某銀行職員識破詐騙,阻止受害人給騙子打錢……”
通常被騙,基本都是腦袋發熱,場景代入感太深了,一時反應不過來,才會被騙。思路有了!想個辦法讓受害人冷靜一下。
整個事件,與我們相關的環節,就在充值和提現,老狗不可能做無差別的充值限制,但我可以做針對性的提現控制,利用提現環節的阻斷,增加受害人的反映時間!
但重點是:平臺每日提現業務的金額都在幾千萬,限制必須精細化控制,否則影響正常提現業務,必定造成出借人恐慌,這招風險太大。
四、產品經理來玩個外科手術式的精準打擊
老狗調取了幾十個被騙的用戶數據,發現他們的特點:
- 注冊后,立即開通銀行存管業務;
- 立即進行平臺充值;
- 充值后立即提現;
- 沒有任何“出借”動作;
- 沒有任何“待收資產”;
以上幾個特點一看,基本點很清晰:“新注冊用戶,不為‘出借’而來”。
針對上述特點,老狗想了三招,精準圈出受害人。
招數一:埋下“凍結機關”
每個用戶的提現業務,增加一個“凍結開關”,當狀態為“凍結”時,不允許提現,并告知用戶走線下處理(制造平臺和對方的接觸機會,且萬一誤傷,也可安撫及處理)。
每個用戶開關默認為“解凍”,不影響提現,普通用戶無感知。
招數二:一套附加邏輯,識別潛在受害人后凍結賬戶,增加受害人冷靜期
識別機制:
- “提現業務時間戳”距離用戶的“注冊時間”小于48小時;
- 待收資產為“0”;
- 出借記錄為空;
同時滿足以上條件的用戶,一旦發起提現業務,則自動觸發凍結規則,轉而彈出對話框:“為了確保您的資產安全,新用戶提現,請致電客服 XXXXXX”。
招數三:教會客服,如何“守株待兔”,等著人家上門吧
客戶來電時,先甄別對方電話,是注冊手機號,還是存管銀行預留手機號(這是重點,識別是否本人在操作業務)。
- 若為存管銀行預留手機號,繼續步驟2;
- 若非存管銀行預留手機號,則可能不是本人操作,繼續步驟2,且需要特別留意,同時上報電話錄音。
請客戶提供身份證正反面照片,以及存管銀行的銀行卡照片(真實用戶一定可以提供,非本人則無法提供)。
- 提供材料者,與后臺提交的數據進行比對,正確者,解凍賬戶,允許提現。
- 無法提供材料者,且非存管手機號,然后主動致電存管銀行的手機號(真實受害人),詢問其是否遭遇詐騙,確認后將呼入的電話號碼(詐騙分子)進行報案處理。
五、用心良苦的數日準備,2分鐘KO騙子
以上幾招,理清了需求,研發團隊花了半天時間快速搞定上線。早點上線,就可能少讓幾個人被騙。
果然,中午代碼上線,下午客服就傳捷報:客服接到電話,要求解凍其賬戶進行提現,對方無法提供證件材料,且非銀行存管手機來電。
明顯,來電者并非受害者本人,騙子居然還敢來電,呵呵,手機號立即雙手奉上給公安!
本來團隊還期待著更多電話會進來,結果大失所望,只有這一個電話!
詐騙分子被客服一頓要求之后,得悉他們的套路被識破,手機變空號,再也沒有客戶投訴被詐騙了。
“這個時代,做的任何事情都會有印記”騙子更懂這個道理。
他們像極了偷吃的老鼠,一被發現,銷聲匿跡。
詐騙已是網絡生態的一部分,那些著實low到爆的詐騙手段,很多人都以調戲為樂。但其實在電話的那頭,一個“勤奮”小伙在掐斷電話后,不停鼓勵自己:“加油,打滿100個電話,一定能成一個!”
如果說有那么個人,任你虐他千百遍,他仍待你如初戀,這個人,不是銷售就是騙子(開個玩笑)。
六、完整復盤:騙子全套路分析
至此我們基本摸清了背后邏輯,一起來盤點下騙子的套路:
1. 下餌
通過一些非法網站投放非法的貸款廣告,跳轉虛假貸款申請網站,獲取受害人的手機號,并了解貸款金額的規模(便于初篩獵物的肥瘦程度)。
這部分信息,從受害人反饋中得到,并在后續“被騙金額不等”的表征,可推理出騙子利用受害人的用款需求大小來衡量獵物肥瘦程度(后續會要求受害人支付不同金額的保證金)。
2. 騙取關鍵信息
騙子拿到手機號之后,主動“電銷”受害人,以辦理貸款為名,要求提供保證金及收入流水。
- 假借某個第三方上市公司的互金平臺名義背書(這次我們公司背鍋),并以“存管銀行”賬戶是合規安全為說辭,誘騙受害人;
- 利用“存管銀行賬戶收取保證金”的方式,取得信任,騙取受害人的姓名、證件號、銀行卡號、以及銀行的短信驗證碼(短信驗證碼由銀行發送,受害人因此相信他的資金會被銀行安全存管的)。
至此受害人提供的信息,已經完全滿足開通一個金融平臺的投資賬戶,并取得該賬戶的交易權。
在金融反欺詐領域,核心兩個點:“防止用戶身份被冒用”,以及“確保業務屬于本人操作”——受害人的信息泄露面越廣,被冒用風險越大。銀行存管手機號的驗證碼,是銀行方面用來驗證是否是本人在操作業務。如果兩點都被騙子拿到,資金完全不保。
3. 冒充受害人,在線開通投資業務并進行充值
騙子在受害人不知情的情況下:
- 騙子冒用受害人身份信息,注冊了互金平臺的賬號(受害人認為自己提供信息是為了辦理貸款);
- 騙子利用受害人提供的短信驗證碼開通存管銀行賬戶(受害人認為自己提供驗證碼給對方是為了開通保證金賬戶并進行保證金托管);
- 騙子設置了該銀行存管賬戶的交易密碼,該交易密碼可用于充值及提現業務(受害人不知道賬戶的交易權已在騙子手上);
騙子利用平臺充值能力,實現了從受害人賬戶劃走錢的能力,幫助騙子實現“保證金劃扣”。但平臺限制了資金“從哪來只能回哪去”,并不能直接到騙子賬戶里,還需要后續操作。
4. 騙子執行充值業務,告知受害人保證金托管成功
騙子利用平臺的充值功能,從受害人銀行卡中,劃走大筆資金,用于所謂的“保證金托管”。
騙子從受害人賬戶扣款,是為了準備“用受害人的錢,給受害人支付流水”,而受害人誤以為自己的資金由銀行存管,是安全的——這里雙方的場景認識出現偏差,受害人被下套。
5. 保證金之后,要“做收入流水”
- 騙子告知受害人,保證金托管成功,下一步要幫助受害人友情“做收入流水”。
- 利用平臺的提現功能,把充值的保證金,拆分成小筆資金進行多筆提現,并告知受害人,騙子用的是自己錢友情幫忙做流水(事實上,這根本就是受害人自己的錢,平臺方看到的就是用戶自己“提現”了)
- 流水做完,要求受害人把剛才做的流水金額,承諾“歸還”給騙子之后,馬上給受害人放貸款。
騙子用受害人的錢,給受害人做流水,而受害人以為騙子用自己的錢給受害人做流水,感激得不得了。而我們在這個節點,對騙子的行為進行了凍結阻斷,并要求提供更多受害人的材料(身份證照片及銀行卡照片)——若能提供,則說明受害人自行操作,那么客服就可以詢問是否遇到可疑行為,對受害人進行喚醒;若無法提供,則說明受害人不知情,身份被冒用了。
事實的結果就是:騙子冒用了受害者的身份。
6. “歸還流水”給騙子
- 受害人信以為真,心想自己的保證金有銀行托管,騙子還主動承擔風險打錢給自己,幫忙做流水,這錢“不還”怎么好意思呢?然后大筆資金,劃入騙子銀行賬戶(事實上,所有的流水,都來自于自己的保證金)。
- 騙子得手,立即消失。
- 受害人找平臺索要保證金,一個接一個的電話響起來。
這就是為什么,受害人自己會打錢給騙子的原因。
七、總結
作為用戶,防止被騙的基礎知識點:
- 要短信驗證碼的,都是騙子;
- 凡是需要你先進行付錢的(不管付到哪,付給誰),都是騙子;
作為平臺方,反欺詐的基礎知識點:
- 確保業務辦理人的信息是真實的;
- 確保是本人意愿操作辦理;
本案例的核心思路:阻斷。
騙與被騙,兩方之間互相“配合”而發生;解決核心,就在于研究業務流程主干,并進行合理阻斷。
本案過程中,本想阻斷受害方,增加冷靜期,但事實上,切口下去,阻斷的是詐騙方;但不管如何,流程中斷就順利終結了整個詐騙行為。遺憾的是:抓不到騙子不能繩之以法,只能讓騙子去找另外的背鍋俠。
最終品牌部門利用這個案例,好好包裝,提升了一下公司的社會形象,還算有點小小欣慰。
本文由 @十六年產品老狗 原創發布于人人都是產品經理,未經作者許可,禁止轉載。
題圖來自Unsplash,基于CC0協議。
。。。。
一波漂亮的守株待兔和精準打擊
感覺和寫小說的一樣。
可是真實案例哈