面對讓人深惡痛絕的騙子,如何從技術或產品手段識別欺詐者

1 評論 7532 瀏覽 30 收藏 13 分鐘

半個月前,整個網絡被掀翻了,一名學生被受騙,因壓力過大去世。事隔兩天,又一名學生因被騙,心臟驟停去世。對于電信詐騙,我們可能無從下手,對于預防,我們完全可以通過自己的力量來創造相應的“騙子模型”,不管是事先提示無辜用戶,還是用來作為自己內部參考,甚至之后是否可以實現這部分的數據共享,各公司之間的打通,匯總整理后統一交給公安機關進行處理,都是可以嘗試的。

顯而易見已經有相當多的軟件和公司正在做這件事,最常見的瀏覽網頁的時候,危險網頁會被標記,提示是否要打開,在接收短信的時候也會被提示疑似詐騙短信請謹慎,那么我們應該依據哪些數據進行建模呢?

抄錄一段場景,作為引入的開始:

我們有時候每天購買50條,有時候購買100條數據,然后打印下來,分給我的“小弟”進行電話聯系。當然我們是有分工的,同樣有幾個“小弟”已經守候在ATM門口,一有到賬,及時轉走。我的“小弟”在得手之后,馬上將手機關機,電話卡拿出砸碎扔掉,換上新的電話卡繼續開展業務,打一槍換一炮當然是為了安全,并且我們的手機都是諾基亞的,沒人知道為什么,從我“師傅”那輩就這么傳下來的。好了不跟你說了,財務給我打電話了,我要去拿分成了,拜拜。

有可笑,但并不可笑;有幽默,則多為心酸;互道一聲珍重,莫貪小便宜。

一、IP

毋庸置疑最重要的就是通過IP數據來看,也是最直接的。IP所揭示的風險幾何?可以從以下幾個角度來判斷:

1 代理IP

網上每天有許多公開的代理IP,代理IP的目的是為了隱藏自己的真實IP,所以使用代理的,基本上可以判斷為有欺詐嫌疑,并且從技術角度來說,就算使用代理,也是可以深挖出真實IP。我們可以通過每天的自動爬蟲,爬取互聯網上的代理IP作為黑名單。

Tips:HTTP頭的X-Forwarded-For:這個字段只有在通過了HTTP 代理時才會添加,如果帶有XFF,那就是代理了;以及帶有Proxy-Connection: Keep-Alive的報文,毫無疑問是代理。

2 IDCIP

一般的APP或者網頁,跑來注冊的IP是云服務器的IP,這正常嗎?顯然不正常。事實上很多就是被黑的服務器,或干脆就是自己租的服務器來達到惡意目的。這里就要去做一些收集,各大云服務商、各大IDC服務器段??梢跃S護下來作為黑名單。

3 技術手段

  • 反向探測對端端口開放情況:代理常用端口是80和8080,如果對端IP開啟了這些端口,顯然是不正常的,一個家用IP地址是不大會開放這些端口的。
  • 源端口:大于10000的源端口有兩種情況,不是代理就是大型機構,所以會有誤傷,建議判斷權重在50%。

二、手機號碼

用戶在注冊或者提交資料時候的手機號碼,也是一個可以驗證的維度。這里也可以通過一些方法收集所謂“黑名單”建立自己的高風險庫,可以有以下幾種途徑:

1 收碼平臺

欺詐分子通過在收碼平臺上開項目,可以使用大批量的不同號碼來注冊。通過爬蟲定期爬取,收集號段,可以得到這些信息,加入到風險庫中即可。

2 小號

目前有一些小號軟件,可以虛擬一個號碼出來,這些號碼像正常電話一樣,可以打出去,接聽,收發短信。在網上搜索:小號,即可找到大量類似平臺。把這些號碼爬取下來作為黑名單庫。

3 撞庫法

利用注冊用戶的手機號碼,去各類平臺上注冊,如果提示號碼已被注冊,則說明該用戶對某方向有較強需求。

Tips:金融類平臺尤為注意,一旦被式出目標手機,詐騙分子很可能通過電話,直接撥打給用戶“我是xxx平臺賠給您的理財經理……”后果不堪設想。并且這種模式實際在前臺并無提交,所以一般也都是產品忽略的地方,不會做限制,也就讓詐騙分子無門檻盡情碰撞數據庫中的手機號了。

4 定向爬蟲

在一些分類信息網站上爬取中介的手機號碼,或者對應搜索號碼爬取關鍵字,以及及時接入微信電話本、xx通訊錄的公開數據源,作為高風險庫。

三、設備指紋

世界上沒有完全相同的兩臺設備,每臺設備都是獨一無二的,與人類的指紋一樣。我們可以通過抓取用戶手機上的一些特征,形成一個特征編碼,這就是“設備指紋”。

通過設備指紋,可以判斷同一臺設備,注冊了多少賬戶,登陸了多少賬戶,是從設備角度進行判斷的一個重要手段。

同樣,欺詐分子在對抗中也逐漸在升級。欺詐分子也開發出了諸如008神器、海馬玩等軟件,可以一鍵修改設備相關信息,來以此繞過設備指紋。針對欺詐分子的工具,可以通過作弊軟件識別、冷門信息算法。所謂作弊軟件識別,市面上很多作弊軟件,都是通過同一框架進行開發,因此可以加入對這個框架的識別,來判斷是否使用了作弊。

而冷門信息算法,則是抓取一些欺詐分子沒有注意到的地方,例如傳感器的某些信息,例如藍牙、電池、音樂排序、網卡生產商的某些信息來組成算法,對欺詐分子在修改時不注意的這些地方進行判斷,找尋蛛絲馬跡。

四、GPS

位置數據主要使用GPS進行判斷,需要用戶授權。位置數據可以有多種使用方式:

  • 定期調取GPS,以此來判斷工作地址和家庭地址,與進件資料作比對,看用戶是否包裝資料。
  • 活動環境位置,用戶經常在一些不良場所活動,例如賭場、夜店活動,說明此人可能有不良習慣,可以加入疑似庫優先處理。
  • GPS移動異常:可以根據用戶的GPS移動距離計算,例如1小時前在上海,1小時候在北京,則有GPS造假可能。
  • 相同GPS:同一位置有很多操作,說明有欺詐嫌疑。
  • 多臺設備同一GPS,說明設備之間有關系,可以作為關聯欺詐的判斷,升級為詐騙網絡判斷依據標準之一。

五、APP數據

對用戶的APP數據進行采集,實際侵犯了用戶隱私,請慎重!我們可以探測用戶的APP列表,如果存在大量某種類APP,則說明用戶對某種需求及其強烈。同樣,如果用戶手機沒有其他APP,則說明該設備可能用來欺詐。

如果探測到安裝有模擬器類、GPS偽造類,說明用戶有欺詐可能。

六、設備賬戶信息

該類數據采集也是對用戶隱私的嚴重侵犯,請慎重!在設備上還可以采集到OS和其它APP的用戶名,以此來建立用戶名與設備之間的關系,同一個APP存在3個以上的用戶(退出重登),則說明該設備有盜賬戶嫌疑。

其它APP賬戶與業務申請吻合,則可以對該賬戶一個較高信任分數。

Tips:如果第三方OS開放部分數據,對于這塊工作將會進行的十分便利。例如某用戶在小米OS上注冊用戶名為mystic,某APP同樣是mystic,重合APP越多,則該用戶可信度相對較高,反之亦然。

七、通訊錄數據

通訊錄數據也是嚴重侵犯用戶隱私的行為,比之前的都敏感。對通訊錄信息的獲取,可以防止欺詐關系圈。有幾種情況:

  • 通訊錄為空,說明該設備有欺詐嫌疑。
  • 通訊錄內容,可以形成關系,作為關聯欺詐的一個重要判斷。
  • 通訊錄名稱標識,可以通過社交關系信用過判斷本人信用,并且關聯疑似詐騙網絡,為日后連窩端做準備。

八、設備關系數據

相同WiFi:兩個設備多次出現在同一WiFi下,則說明設備之間有關系。出現次數越多,關系越強。

藍牙配對:藍牙配對記錄的采集,可以獲得兩臺設備的關系。

GPS:前文已說過,同一GPS出現的設備,說明設備有關系。

通話記錄數據:通過通訊錄、通話記錄可以得到關系數據,而且可以根據通訊錄名稱直接標明關系。

九、其它

技術手段:此手段針對某一個體適用,也就是已確認該用戶為詐騙分子,并已造成較嚴重后果,聯合公安機關通過技術手段完成追查,具體什么手段我也不知道,畢竟新聞一般統稱“技術手段”。

電信手段:通過請求與電信公司的數據開放,可完成追查,同樣該項手段極其敏感,一般非政府機構無權調用,僅提供思路。

最大的Tips

以上僅是被動手段,我們技術、產品人員盡量杜絕漏洞、BUG,不給詐騙分子任何可乘之機,盡量構思完善。在一切關鍵數據必須模糊處理,并且必須只有高級權限領導層才能詳細查看關鍵數據,每一次導出、查詢必須留下記錄(說實話我認為導詳細聯系方式的人都有問題,互聯網看數據看的是趨勢,而不是某一個體,看個體你能看出什么?無非滿足你的好奇心而已,鬧不好還沾一身腥)。

一定在數據泄露和有可能發生漏洞的環節仔細排查,從自身內因找起,再做外部策略建模(如果要是在國家保密部門外泄數據,早被崩了好嗎,有真實案例支撐,有興趣的可以查查。民法還是太清,多死幾個,才重視,有毛用?)。

好了,以上就是我今天構思的“騙子模型”相關的指標的剝離,具體量化,需要各家根據自己具體情況具體分析,不過也有可能都是廢話,大家可能早都再用了的。當然,如果真的詐騙分子只用諾基亞,抱歉,我只好對各位說一聲保重,祝你好運……

#專欄作家#

吳邢一夫(微信號mystic326531548),人人都是產品經理專欄作家。3年產品經理工作經驗,需求、用戶、數據有深入研究。歡迎交流想法,拒絕無意義添加好友。

本文原創獨家發布于人人都是產品經理。未經許可,禁止轉載。謝謝合作。

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 厲害厲害!

    來自北京 回復