网络诈骗并非新鲜事,近些年有愈演愈烈之势,手段不断迭代翻新,对网络平台的攻势也越来越强。在社交平台、通讯平台、视频平台上,各类网络诈骗广告气焰炽盛,以投资、理财、点赞、刷单、退款等各种赚钱噱头忽悠大学生、宝妈等用户群体。
据公安部信息显示,2020 年开展 " 云剑 -2020"" 断卡 "" 长城 2 号 " 等专项行动,共破获电信网络诈骗案件 25.6 万起,抓获犯罪嫌疑人 26.3 万名,拦截诈骗电话 1.4 亿个、诈骗短信 8.7 亿条,为群众直接避免经济损失 1200 亿元。
互联网平台与网络诈骗的对抗也越来越激烈,《抖音网络诈骗打击治理报告(2021 年 1 月至 6 月)》显示,2021 年上半年,抖音安全中心主动封禁涉嫌诈骗账号超过 80 万个,拦截下架涉嫌诈骗视频内容超过 100 万条。
双方激烈对抗的背后,是网络诈骗技术手段的持续升级,诈骗分子企图利用技术能力,突破企业安全风控策略,与之进行技术对抗。对于互联网平台来说,长期对抗的局面显然不可避免,那么被动的围追堵截一定会让平台面对网络诈骗疲于应付,如何利用平台优势,建设一套反诈体系至关重要。
看不见的网络诈骗 "DNA" 库
很多人见到的网络诈骗行为,大多集中在引流、沟通、骗钱这几个阶段。实际上,网络诈骗的链条长度远超我们的想象。
引流、沟通与骗钱已经属于网络诈骗链条的中下游部分。
在引流之前,网络诈骗团伙还需要养号,没有账号就无法进行引流。账号会有两类途径获得,一类是直接从不法渠道进行购买,一类是诈骗团伙利用违规方式进行注册养号。前一种账号的来源可能是黑灰产团伙违规批量注册,也可能是黑灰产团伙盗取的账号。
无论是黑灰产团伙违规批量注册,还是诈骗团伙自行批量注册,还可以继续往上游溯源,需要上游的基础资源支持,这包括几方面:
一是接码平台资源,接码平台背后会是猫池、卡池,这能够以非常低的成本价格获得一条短信验证码,用来在各大互联网平台批量注册账号。猫池是黑灰产常用的一种网络通信设备,具有批量通话、群发短信、远程控制等功能,一个猫池上,可以有 8 个、16 个乃至更多的电话卡。
二是 IP 资源,现在互联网平台的安全风控,最基本的能力就是能够对抗单个 IP 地址批量注册,所有网络诈骗团伙需要拥有大量 IP 地址,一旦某个地址被封禁,那需要更换新的 IP 地址继续作恶。
三是一些自动化脚本工具。现在网络诈骗在进行恶意违规注册与作恶引流时,各种信息编写、发布的工作,如果只是通过人工操作,效率太低,绝大部分团伙都会利用一些自动化脚本执行工具去做,比如安卓平台上有一种辅助服务叫做按键精灵。
四是群控设备,这也是批量操作作恶的必要工具,尤其是发布引流信息、批量沟通时,网络诈骗团伙会利用云手机、虚拟机和群控设备提升作恶效率。
这些基础资源,是网络诈骗团伙的作恶基石,也是互联网平台反诈首先需要攻破的对象。
以子之矛攻子之盾,当网络诈骗团伙利用技术手段批量违规作恶时,也给了互联网平台安全风控团队与之对抗的机会。
其实最早的网络诈骗,大多是钓鱼网站。2010 年前后,钓鱼诈骗逐渐形成产业链,有人设计网站模版,有人利用模版批量制作钓鱼网站,有人通过邮箱、论坛等各种渠道传播钓鱼网站。
HOSTS 反黑文件作者、反钓鱼专家蒲浪告诉锌刻度:" 那时,安全厂商每天鉴定的钓鱼网站数量在 8000 个 ~10000 个,而每天新增的钓鱼网站上万个,总有钓鱼网站成为漏网之鱼,威胁网民安全。"
网络安全厂商对此的解决办法就是提取钓鱼诈骗网站的 "DNA",提升安全工具对钓鱼诈骗网站的识别能力,从而提前进行拦截,遏制泛滥趋势。
与 10 年前不同,现在超级互联网平台早已意识到企业安全风控能力建设的重要性,都建设了自身的安全技术团队。同样,应对网络诈骗,也需要建设网络诈骗的 "DNA" 库。
从前面的几类基础资源及引流手段看,目前网络诈骗团伙的 "DNA" 大致可以分布在几类载体上:IP 地址、设备、文本、图片、视频及链接等。《抖音网络诈骗打击治理报告》显示,抖音为了打击网络诈骗,基于这几类载体,建立了百亿级样本量的风控数据库。
这些拥有海量样本的风控数据库,和人的 DNA 一样,我们用户根本看不到,但风控数据库可以说是所有互联网平台打击治理网络诈骗的基石,能够帮助互联网平台及时及早发现网络诈骗团伙的违规批量注册、引流内容发布等违规行为。
网络诈骗模型与策略研发:对症开药方
拥有了 "DNA" 库,怎么用?
一个 IP 地址,被网络诈骗团伙用来违规批量注册抖音账号,被平台发现并收录入风险 IP 库,如果网络诈骗团伙再试图利用该 IP 地址发布引流诈骗内容,就能够被第一时间发现并拦截阻断。
上述的发现拦截阻断,可能有网友会说,这不就是简单的数据匹配么?我在大街上看见一个骗子,穿着白 T 恤、黑牛仔裤,戴着鸭舌帽,梳着汉奸头,下次再看到,对上了,就知道这是个骗子,他的话不能信。
听起来似乎简单,然而实际案例中,网络诈骗行为打击的复杂度要远高于此。
这就需要互联网平台基于风控数据库,针对网络诈骗团伙建立系统的识别体系,包括针对账号、内容、行为及设备等多种因素进行识别。
比如账号识别,同样是评论 " 说的真好,给你点赞 " 这样的文本,网络诈骗账号可能使用,普通用户账号也会使用。那么显然无法简单粗暴地进行匹配识别,需要结合文本内容、行为与设备做综合的识别能力建设。举例来说,账号 A 在某个视频下留言 " 说的真好,给你点赞 ",如果之后该账号去观看其他视频,并且偶尔点赞、偶尔留言,且点赞时间不一、留言内容不一,这可能是我们普通用户的行为。
但是,如果是一个涉嫌 " 交友诈骗 " 的账号 B,在精准诈骗的同时为了提升效率,可能会呈现几方面特点:一是文本上留言内容大多保持一致,二是大多选择在女性账号下面留言,三是留言行为频率比较频繁,四是留言之后还会有关注行为甚至私信行为。
那么,反过来,如果平台想要通过账号识别体系打击 " 交友诈骗 ",应该怎么做?可以通过上面这几个特点想办法找出这类账号进行处罚。
这种情况下,通过人工去筛选肯定不现实。如果抖音希望这么做,估计招一百万人也难做到。
最有效的办法,通过深度学习、机器学习等人工智能技术,去挖掘网络诈骗账号的特征,研发对应的模型与策略进行识别、打击。这实际上有点类似于对症下药,模型、策略,有些像是药方。
目前,抖音平台上每天在运行的反欺诈模型有上百个,风控策略超过 8500 个,能够主动拦截超过 93% 的欺诈行为。
对于国内外绝大多数互联网平台来说,相比公安反诈机构,最大的优势无非是互联网技术的研发与应用能力。网络诈骗将目光聚焦互联网平台时,平台在被侵害的同时,收到海量数据,能够帮助平台的算法不断学习,产生模型,辅以安全风控团队的策略,将能够对网络诈骗进行有效打击。
当然,数据库建设和模型的研发,除了平台主动发现之外,用户的反馈与举报也是一类渠道。一名抖音用户告诉锌刻度:" 去年刷抖音,就发现一个疑似‘卖片’诈骗的新套路,抖音不准文案留下微信号、电话号码等联系方式,那个拍客就手写在笔记本上,然后拍成短视频,故意在深夜上传,看到之后顺手就举报了。"
这位网友进一步表示,后面就没有再看到过此类短视频。
幕后技术研发,台前产品运营
数据、模型与策略,这些都不是我们普通用户能够看到的,我们也无法感同身受。
真正让用户感同身受的,是平台对网络诈骗的直接打击与处罚。而这,在互联网平台的网络诈骗治理与打击中,属于台前的运营。
现在互联网平台遇到的各类网络诈骗,大多有着场景复杂、链条长、跨平台等多种特点。互联网对此的打击治理,也围绕其特点,大致分为事前事中事后三个部分:提前发现事先拦截,日常巡检事中阻断、联动打击事后治理。
不同平台在其中的运营工作,区分在于侧重点不同。举例来说,由于大量诈骗会在支付宝等支付平台进行转账汇款,所以对于支付宝反诈运营来说,事中的阻断更为频繁很重要。
提前发现事先拦截,大多针对的是账号注册阶段,平台是否能够基于研发的模型、策略,做好风险预判,在不同场景下做好提前拦截,至关重要。以抖音为例,账号注册方面,抖音安全中心通过打击垃圾账号注册、盗号卖号等违规行为,提升账号注册获得成本。同时,通过治理养号、刷粉刷赞行为,提升账号价值门槛。基于此,提升网络诈骗团伙的账号使用成本,降低网络诈骗行为的触达面。
事中阻断方面,大多依托产品运营、用户运营,通过搜索、推荐、热点榜单等内容消费场景,模拟用户真实使用习惯,从用户可触及的内容侧进行巡检,主动发现风险内容,及时做好人与人、人与内容的隔离。
例如,网络诈骗团伙在抖音上的引流大多会在点赞、关注、群聊及私信等场景触达潜在受害者。对此,抖音安全中心基于行为风险识别能力,研发上线异常行为检测模型,对相关违规账号的危险行为进行识别、拦截与打击,典型的例子就是我们前面讲的 " 交友诈骗 " 例子。
这类事中阻断,产品上也会有体现。我们在抖音、微信、支付宝的聊天场景中,常能够看到涉及财产的风险提示,这是典型的警示阻断。抖音将这类提示覆盖到聊天场景之外,如搜索场景,在抖音用户搜索诈骗相关关键词时,会向用户展示防诈警示语,提醒广大用户防范刷单、投资理财贷款、宠粉送礼等诈骗类型。2021 年 1 月 1 日至 2021 年 6 月 30 日,抖音搜索防诈提示展现量已达 11774062 次。其中,针对常见的投资理财贷款网络诈骗防诈提示展现量近 805 万次,刷单诈骗相关提示展示量超过 126 万次。
互联网反诈,打破壁垒才能治本
宋代小说《夷坚志》描绘了十几则古代骗术,可见诈骗这一犯罪形式由来已久。
眼下,网络诈骗已经不单单是一个互联网问题,也是一个社会问题,更是全民集体声讨的共同对象,这就需要各大互联网平台长期投入、不断迭代,与诈骗团伙反复对抗。
网络诈骗往往涉及多个互联网平台,网络诈骗团伙通常会在网络交友、视频等平台诱导平台用户添加微信、QQ 等联系方式,然后继续诱骗用户进入第三方购物、理财平台,甚至诈骗团伙单独搭建的 APP 网络平台,从而实施诈骗行为。
在网络诈骗治理打击的不同环节,虽然各个互联网平台投入颇大、技术积累颇多,然而互联网平台之间的交流偏少,割裂局面长期存在,导致反诈数据信息无法直接打通,互联网平各自为战,都需要凭借一己之力对抗整个网络诈骗产业链。
简而言之,抱着只求守好责任田的心态,试图单平台独力治理打击,只会陷入疲于奔命的局面,这也是诈骗团伙乐见其成的。
因此,互联网平台应持开放合作的精神,通过企业与企业联动、企业与反诈机构联动,共享先进的反诈技术,从而在不同环节提升反诈的研判能力、分析能力;建设反诈的合作机制,改变各自为战的现状,共同推进反诈技术提升以便对网络诈骗进行全链条打击。
例如,抖音安全中心与国家反诈中心建立信息共享机制,及时同步涉抖音类诈骗案件信息,联合公安部、各省网安总队、反诈骗中心进行落地打击。2021 年 1 月至 6 月,抖音安全中心联动多地公安机关,落地打击网络诈骗团伙 57 个,抓获嫌疑人 273 人。
当然,上述动作并非可以一蹴而就,如此一来单个平台技术反诈拼尽全力,仍可能有漏网之鱼,这也是短期难以改变的事实,对此外界不妨多些宽容。