半個月前，整個網絡被掀翻了，一名學生被受騙，因壓力過大去世。事隔兩天，又一名學生因被騙，心臟驟停去世。對于電信詐騙，我們可能無從下手，對于預防，我們完全可以通過自己的力量來創造相應的“騙子模型”，不管是事先提示無辜用戶，還是用來作為自己內部參考，甚至之后是否可以實現這部分的數據共享，各公司之間的打通，匯總整理后統一交給公安機關進行處理，都是可以嘗試的。

顯而易見已經有相當多的軟件和公司正在做這件事，最常見的瀏覽網頁的時候，危險網頁會被標記，提示是否要打開，在接收短信的時候也會被提示疑似詐騙短信請謹慎，那么我們應該依據哪些數據進行建模呢？

抄錄一段場景，作為引入的開始：

我們有時候每天購買50條，有時候購買100條數據，然后打印下來，分給我的“小弟”進行電話聯系。當然我們是有分工的，同樣有幾個“小弟”已經守候在ATM門口，一有到賬，及時轉走。我的“小弟”在得手之后，馬上將手機關機，電話卡拿出砸碎扔掉，換上新的電話卡繼續開展業務，打一槍換一炮當然是為了安全，并且我們的手機都是諾基亞的，沒人知道為什么，從我“師傅”那輩就這么傳下來的。好了不跟你說了，財務給我打電話了，我要去拿分成了，拜拜。

有可笑，但并不可笑；有幽默，則多為心酸；互道一聲珍重，莫貪小便宜。

一、IP

毋庸置疑最重要的就是通過IP數據來看，也是最直接的。IP所揭示的風險幾何？可以從以下幾個角度來判斷：

1 代理IP

網上每天有許多公開的代理IP，代理IP的目的是為了隱藏自己的真實IP，所以使用代理的，基本上可以判斷為有欺詐嫌疑，并且從技術角度來說，就算使用代理，也是可以深挖出真實IP。我們可以通過每天的自動爬蟲，爬取互聯網上的代理IP作為黑名單。

Tips：HTTP頭的X-Forwarded-For：這個字段只有在通過了HTTP 代理時才會添加，如果帶有XFF，那就是代理了；以及帶有Proxy-Connection: Keep-Alive的報文，毫無疑問是代理。

2 IDCIP

一般的APP或者網頁，跑來注冊的IP是云服務器的IP，這正常嗎？顯然不正常。事實上很多就是被黑的服務器，或干脆就是自己租的服務器來達到惡意目的。這里就要去做一些收集，各大云服務商、各大IDC服務器段?？梢跃S護下來作為黑名單。

3 技術手段

• 反向探測對端端口開放情況：代理常用端口是80和8080，如果對端IP開啟了這些端口，顯然是不正常的，一個家用IP地址是不大會開放這些端口的。
• 源端口：大于10000的源端口有兩種情況，不是代理就是大型機構，所以會有誤傷，建議判斷權重在50%。

二、手機號碼

用戶在注冊或者提交資料時候的手機號碼，也是一個可以驗證的維度。這里也可以通過一些方法收集所謂“黑名單”建立自己的高風險庫，可以有以下幾種途徑：

1 收碼平臺

欺詐分子通過在收碼平臺上開項目，可以使用大批量的不同號碼來注冊。通過爬蟲定期爬取，收集號段，可以得到這些信息，加入到風險庫中即可。

2 小號

目前有一些小號軟件，可以虛擬一個號碼出來，這些號碼像正常電話一樣，可以打出去，接聽，收發短信。在網上搜索：小號，即可找到大量類似平臺。把這些號碼爬取下來作為黑名單庫。

3 撞庫法

利用注冊用戶的手機號碼，去各類平臺上注冊，如果提示號碼已被注冊，則說明該用戶對某方向有較強需求。

Tips：金融類平臺尤為注意，一旦被式出目標手機，詐騙分子很可能通過電話，直接撥打給用戶“我是xxx平臺賠給您的理財經理……”后果不堪設想。并且這種模式實際在前臺并無提交，所以一般也都是產品忽略的地方，不會做限制，也就讓詐騙分子無門檻盡情碰撞數據庫中的手機號了。

4 定向爬蟲

在一些分類信息網站上爬取中介的手機號碼，或者對應搜索號碼爬取關鍵字，以及及時接入微信電話本、xx通訊錄的公開數據源，作為高風險庫。

三、設備指紋

世界上沒有完全相同的兩臺設備，每臺設備都是獨一無二的，與人類的指紋一樣。我們可以通過抓取用戶手機上的一些特征，形成一個特征編碼，這就是“設備指紋”。

通過設備指紋，可以判斷同一臺設備，注冊了多少賬戶，登陸了多少賬戶，是從設備角度進行判斷的一個重要手段。

同樣，欺詐分子在對抗中也逐漸在升級。欺詐分子也開發出了諸如008神器、海馬玩等軟件，可以一鍵修改設備相關信息，來以此繞過設備指紋。針對欺詐分子的工具，可以通過作弊軟件識別、冷門信息算法。所謂作弊軟件識別，市面上很多作弊軟件，都是通過同一框架進行開發，因此可以加入對這個框架的識別，來判斷是否使用了作弊。

而冷門信息算法，則是抓取一些欺詐分子沒有注意到的地方，例如傳感器的某些信息，例如藍牙、電池、音樂排序、網卡生產商的某些信息來組成算法，對欺詐分子在修改時不注意的這些地方進行判斷，找尋蛛絲馬跡。

四、GPS

位置數據主要使用GPS進行判斷，需要用戶授權。位置數據可以有多種使用方式：

• 定期調取GPS，以此來判斷工作地址和家庭地址，與進件資料作比對，看用戶是否包裝資料。
• 活動環境位置，用戶經常在一些不良場所活動，例如賭場、夜店活動，說明此人可能有不良習慣，可以加入疑似庫優先處理。
• GPS移動異常：可以根據用戶的GPS移動距離計算，例如1小時前在上海，1小時候在北京，則有GPS造假可能。
• 相同GPS：同一位置有很多操作，說明有欺詐嫌疑。
• 多臺設備同一GPS，說明設備之間有關系，可以作為關聯欺詐的判斷，升級為詐騙網絡判斷依據標準之一。

五、APP數據

對用戶的APP數據進行采集，實際侵犯了用戶隱私，請慎重！我們可以探測用戶的APP列表，如果存在大量某種類APP，則說明用戶對某種需求及其強烈。同樣，如果用戶手機沒有其他APP，則說明該設備可能用來欺詐。

如果探測到安裝有模擬器類、GPS偽造類，說明用戶有欺詐可能。

六、設備賬戶信息

該類數據采集也是對用戶隱私的嚴重侵犯，請慎重！在設備上還可以采集到OS和其它APP的用戶名，以此來建立用戶名與設備之間的關系，同一個APP存在3個以上的用戶（退出重登），則說明該設備有盜賬戶嫌疑。

其它APP賬戶與業務申請吻合，則可以對該賬戶一個較高信任分數。

Tips：如果第三方OS開放部分數據，對于這塊工作將會進行的十分便利。例如某用戶在小米OS上注冊用戶名為mystic，某APP同樣是mystic，重合APP越多，則該用戶可信度相對較高，反之亦然。

七、通訊錄數據

通訊錄數據也是嚴重侵犯用戶隱私的行為，比之前的都敏感。對通訊錄信息的獲取，可以防止欺詐關系圈。有幾種情況：

• 通訊錄為空，說明該設備有欺詐嫌疑。
• 通訊錄內容，可以形成關系，作為關聯欺詐的一個重要判斷。
• 通訊錄名稱標識，可以通過社交關系信用過判斷本人信用，并且關聯疑似詐騙網絡，為日后連窩端做準備。

八、設備關系數據

相同WiFi：兩個設備多次出現在同一WiFi下，則說明設備之間有關系。出現次數越多，關系越強。

藍牙配對：藍牙配對記錄的采集，可以獲得兩臺設備的關系。

GPS：前文已說過，同一GPS出現的設備，說明設備有關系。

通話記錄數據：通過通訊錄、通話記錄可以得到關系數據，而且可以根據通訊錄名稱直接標明關系。

九、其它

技術手段：此手段針對某一個體適用，也就是已確認該用戶為詐騙分子，并已造成較嚴重后果，聯合公安機關通過技術手段完成追查，具體什么手段我也不知道，畢竟新聞一般統稱“技術手段”。

電信手段：通過請求與電信公司的數據開放，可完成追查，同樣該項手段極其敏感，一般非政府機構無權調用，僅提供思路。

最大的Tips

以上僅是被動手段，我們技術、產品人員盡量杜絕漏洞、BUG，不給詐騙分子任何可乘之機，盡量構思完善。在一切關鍵數據必須模糊處理，并且必須只有高級權限領導層才能詳細查看關鍵數據，每一次導出、查詢必須留下記錄（說實話我認為導詳細聯系方式的人都有問題，互聯網看數據看的是趨勢，而不是某一個體，看個體你能看出什么？無非滿足你的好奇心而已，鬧不好還沾一身腥）。

一定在數據泄露和有可能發生漏洞的環節仔細排查，從自身內因找起，再做外部策略建模（如果要是在國家保密部門外泄數據，早被崩了好嗎，有真實案例支撐，有興趣的可以查查。民法還是太清，多死幾個，才重視，有毛用？）。

好了，以上就是我今天構思的“騙子模型”相關的指標的剝離，具體量化，需要各家根據自己具體情況具體分析，不過也有可能都是廢話，大家可能早都再用了的。當然，如果真的詐騙分子只用諾基亞，抱歉，我只好對各位說一聲保重，祝你好運……

#專欄作家#

吳邢一夫（微信號mystic326531548），人人都是產品經理專欄作家。3年產品經理工作經驗，需求、用戶、數據有深入研究。歡迎交流想法，拒絕無意義添加好友。

本文原創獨家發布于人人都是產品經理。未經許可，禁止轉載。謝謝合作。