反诈骗，就要比骗子更“狡猾” | 半佛仙人

作为经常与公安机关配合做防骗公益的人，每年这个日子，都是要复盘的时候。

我年年的今天都会感慨1整年又过去了，防骗依然是任重道远的事情。

信息不对称总能被最大化的利用。

已过去的2019年，骗局层出不穷。

从传销，到非法集资，到资金盘，到币圈，到数据倒卖，到境外地产投资，再到产业割韭菜，只要你有梦想，总有一种镰刀适合你。

只要有钱赚，人类的想象力是没有极限的。

韭菜要是能被轻易教育就不会称为韭菜了。

何况很多韭菜其实心里门清，自己知道自己玩儿的是什么东西，就是赌自己跑得快。

结果往往别说跑得快了，腿都给人忽悠瘸了。

年初我写P2P的伪命题劝大家别买了，年中写Plus Token，PTFX，趣步以及西港炒房，年底写加盟骗局，电影投资骗局等等等等，总是有人信有人不信，很遗憾的是每一次我都是对的。

我日常工作的一部分是和公安机关合作反诈的，被骗的妻离子散的案例看得都要吐出来，但其中很多人，真的是傻到哭笑不得。

甚至很多时候都不完全是傻，是坏，自己做了白日梦落空之后，期望警察满足自己的不合理诉求，为自己的贪婪兜底。

这些人无法拯救，摆脱了这个坑，还有下一个坑等着。

所以我写文章也是一样，我写公众号就是想自己爽的同时能再接广告赚点钱，我不是什么正义使者，也没什么道德包袱，只不过偶尔开心就写，随手能救一个是一个，我只是一个贪财好色但还有点技能的胖子而已。

很多反诈文章爱信不信也不关我事儿。

骗的也不是我的钱，不听劝属于命不好，大家谁也别理谁。

那就是电信诈骗和网络诈骗。

和利用人贪心割韭菜不同，这类属于欺负老实人。

针对这部分骗子，我是专门做过研究分析的，实操过多个反欺诈项目，有时候和骗子作战是非常有趣的一件事。

斗智斗勇，相爱相杀。

有段时间，我的团队主要方向就铺在欺诈相关的风控上，那时候接了一个项目。

当时对抗的场景主要是用户信息泄露后产生的钓鱼诈骗，包括电话，短信，网络连接以及通过微信QQ的话术欺诈。

反映到具体案例上，用户收到网购退货短信被引诱提供个人信息，是一类。

毕竟身份信息在这个年代是可以卖钱的。

用户个人信息泄露，被拿来钓鱼（假扮公检法），吸引用户转账，是一类。

用户因不规范的上网行为（也有的是访问设备被劫持），导致自己的关键金融信息被劫持，骗子直接登录发起资产转移，是一类。

更高端的直接对关键网站进行攻击，底层脱裤，然后倒卖数据，也是一类，这一类往往是上三类的数据源。

数据源是一切欺诈的根源，要骗你，首先要了解你。

骗子们真的很努力，反诈的也得跟上才行。

要比坏人们更强力，才能剁掉他们的手。

如果没有信息泄露，那么就不会有欺诈。

考虑到整个用户服务的过程中，数据的流转并非百分百在内网环节，必然有部分是不在我们掌控范围内的，所以当时我们做了一件事情，就是数据加盐。

所有经过我们的数据，都会被加入某些难以被察觉的内容，这些内容可能连起来就是某个文字，可能顺序一变就是某种警告，MD5和脱敏更是基础内容。

通过这种方法，我们可以在欺诈发生时快速定位到数据泄露方追责，并且可以快速摸清受影响范围，及时通知用户提高警惕。

第二件事是，建立欺诈特征库。

虽然骗子的手法多种多样，但其行为本身是存在具体特征的。

例如专门的欺诈号段，整个手机号段就是虚拟机或者国外号码；

例如专门的IP池，池子里的IP在某些范围内以某些规律变动，某个时间节点的某个IP就是诈骗专用，其他时间节点可能只是一个普通的网吧IP；

特殊的设备号，诈骗分子使用的设备一般都不是常规手机，其设备号IMEI存在大量的篡改行为，需要识别可疑设备号；

可疑关系网络。

知道吗，骗子之间也是有联系的，这些联系可能是相同的通讯录，相同的通话记录，相同的聊天记录，这些数据交叉到某一信息泄露用户的关联；

当某个用户报案的时候，第一时间，他的高密度关联人就会被打标跑规则。

当然这只是冰山一角，可疑特征库的特征数量往往是数十万，讲也讲不完，更何况为了保密也不方便讲。

特征工程是反诈的重要工具。

这些特征收集起来，定义好内容，就可以跑反欺诈模型了。

第三件事，利用机器学习和模型算法来计算每一个人的可疑度。

机器是怎么认识猫的？

很简单，给他一张猫的图片，把猫的长相拆成几百个特征，然后告诉他这是猫。

当给了他几万几十万个猫的图片后，机器只要一识别到特征，就知道这是猫，其实和人认识猫一样，家长告诉小孩子这个毛茸茸，眼睛圆圆，耳朵弯弯，走路扭扭的，是猫。

同样，给机器大量的可疑特征，然后告诉他这个是骗子，这个不是，经过足够的训练，机器就可以找到新的可疑人物，然后再来跑规则。

第四件事，建立处置策略包。

当你找到了大量可疑人物的时候，需要依据这些人的特征进行归类，跑不同的策略。

一部分人是误伤，需要放出来。

一部分人是高危，需要直接干掉。

一部分人是疑似，需要进一步跑新的规则或者转人工。

一般所有可疑人物都会被依据可疑度做预处理，然后用规则匹配，再用关系网络串联。

最后锁定最高优先级的直接干掉。

再牛逼的诈骗分子，骗来的钱总归是需要转走的。

支付宝也好，微信也好，银行卡也好，POS也好，收款码也好，总要走资金渠道的。

所以一般识别高危用户的时候，都是直接去卡骗子的提现通道。

在支付渠道和转账功能中设置无数的交叉校验规则，这些规则正常人根本不会触发（或极小概率触发，往往增加二次验证），而诈骗分子想把收集来的钱拿走，就会被卡死，常用的手法是延迟到账，锁定诈骗群，然后一窝端。

每年国内都有大量的资金沉淀在一批账户中，需要户主当面来check身份才能流转，但可惜的是基本没有人敢来拿走。

锁支付渠道，才是最有效的风险兜底。

我自己最爱做的就是给骗子钓鱼，反薅他们的钱。

第六件事，在用户劝阻的过程中增加第三人介入。

反诈过程中，最无力的事情是，你明知道这是骗子，而且已经锁定了受害人身份，甚至诈骗还没成功，你已经提前发出了预警介入，但是受害人往往不相信劝阻，反而觉得你才是骗子。

一般被骗的人都是在一个人跟骗子沟通的情况下被骗的，而且往往这种情况下用户都是深度被骗，骗子说什么，受害人基本就照做，所以不论风控团队的欺诈防控怎么做，都很难阻止不用户被骗。

总不能两句话不和就发起账户冻结吧。

对应的解决方案就是去把信息同步给受害人的直系亲属，让多一个人介入到风险管控中来，就多一个人思考，往往不会被骗子的局套路的太深，甚至让骗子骗不到。

完全消灭诈骗，可能连正常的商业行为都没法做了，更何况骗不骗的本身还要分场景区分，很多报案都是假报案或者只说对自己有利的一面。

怀疑一切，是风控的本能。

做反诈项目的时候，由于被反过来骂的太多，并且眼睁睁看着人滑落深渊的感觉过于强烈，到后期，心态已经彻底佛了，能救一个是一个的了，你又不是神仙，人家也未必需要你。

一般来说，当风控确认诈骗行为存在并锁定受害人与加害人时，风控往往就可以退场了，剩下的就是执行者和公权力的事情了。

作为个体用户，当大家日常发现网络违法行为或者疑似的诈骗行为，可以直接到腾讯110去举报，卖茶叶的，杀猪盘的，骗你转账的，冒充公检法的，发送可疑链接的，都可以直接举报。

小程序码如下，效果拔群。