國産電影的劇情蒼白無力?
因為中國最好的編劇,都在給電信詐騙團夥編劇本。
如果你“有幸”走過電信詐騙的種種套路,一定會被他們日天的思路,大開大合的劇本所征服。
然而,對付套路,永遠有更深的套路。黑客大神發現,騙子的套路在人工智能和機器學習面前,簡直就像三歲熊孩子的詭計。
知道創宇,被稱作網絡世界的特種兵,是很多人心中最酷的安全公司。潘少華,正是這支特種兵的“參謀長”。他帶領黑客們研發出了一套逆天的反詐騙系統,可以在騙子掄錘的關鍵時刻,飛身救險,拯救被害者,讓騙子在寒風中淚奔淩亂,在暗夜裡決定從良。
本期硬創公開課,雷鋒網(公衆号:雷鋒網)邀請到了知道創宇威脅情報中心的負責人、北京研發中心總監,顔值和智慧并存的網絡安全特種兵潘少華。他為我們講述的主題是——黑客特種兵如何用人工智能套路電信詐騙的騙子。
【潘少華】
▼
大家好,我是北京知道創宇資訊技術有限公司的潘少華。我們團隊的主要研究方向是電信網絡安全,主要集中在在電信反欺詐和業務反欺詐。
我個人從 2001 年開始,對網絡安全感興趣。從2008年加入知道創宇,我一直緻力于讓網際網路變得更好更安全。
我很欣賞愛因斯坦的一句話:
這個世界很危險,不是因為那些邪惡的人,而是因為哪些無動于衷的人。
這也是我在前沿對抗黑産的一個動力。
網際網路帶來了很多便利,但是也被壞人利用。在網際網路上獲得一些不合法收益的産業,我們都叫他們黑色或灰色産業鍊。早些年,黑産分子因為網上支付和個人隐私洩露沒有現在普遍。但這兩年,在詐騙方面的報案數量真的是越來越多。
例如:
xx車主,你今天在xx路口有交通違章行為。點選連結檢視詳情。
如果我們用手機一點,打開這個木馬連結,就會直接中招。
這是一個簡單的統計。僅僅 2015 年的報案資料,例如“猜猜我是誰”,“冒充公檢法”這類涉及電話詐騙的案件,全國群衆的損失就大概在 220 億左右。加上一些基于網址的詐騙,再加上手機病毒盜竊,實際總損失應該在 800億人民币以上。目測在詐騙分子背後提供技術能力的人員,全國應該上百萬。
【部分詐騙短信展示】
大家很普遍的想法是把這些詐騙歸罪于營運商,他們收了這麼多錢,卻讓壞人肆虐。營運商當然有自己的問題,但是它也有無奈。
例如電話卡實名制,主要就是為了打擊電信詐騙而施行的。但是詐騙分子很快就找到了一些變通的辦法。是以目前來看,實名制在詐騙短信這方面,效果并不理想。
這是為什麼呢?
詐騙分子背後,有一個完整的黑色産業鍊,這其中包括:
病毒制作, 惡意網站制作, 提供黑手機卡, 改号線路、 僞基站裝置(需要相關的專業工廠去制作), 短信群發平台(短信代發本身是一個灰色地帶,很多黑産技術人員也會直接給詐騙分子提供技術支援), 洗錢相關工作(進賬一百萬,他們會快速把錢分成小筆,多次交易,洗成一筆合法的錢然後轉出去)
每個團隊隻是專業做黑産鍊條上的一個環節,對他來講,不僅可以規避法律風險,還可以專注在某個特定的“黑技術領域”。
這一整條産業鍊,隻靠營運商自己很難去打擊,就連公安能發動的資源也是有限的。是以這件事需要民間各方來參與努力。
我們也做了很多和技術不相關的工作,例如聯合騰訊和百度發起了安全聯盟公益組織。我們共享了8億條惡意網址資料庫,每天日均交換 5000 萬次的惡意網址資料。所有的資料都在系統裡機器篩查,然後進入人工稽核平台,确定拉黑的資料都是沒有問題的。
另外我們還利用機器學習的方法,利用大量的計算資源來檢測識别網際網路上的惡意資料。
某些地方上的網民可以感受到,當你通路一個網址的時候,也許會彈出一個安全告警,提示你不要通路。在你收到詐騙電話之後,可能會收到營運商或公安機關的短信提醒,告訴你可能受到了詐騙騷擾,不要相信。這其中可能就用到了我們的技術。
反詐騙手段有一個演進的過程。
以前我們會基于營運商黑名單來做攔截。例如我們發現一個電話是詐騙電話。我們經過人工稽核,确認它是一個詐騙電話。于是在幾天之後把它加入黑名單。
營運商有一些技術手段對抗詐騙。例如國際端局封堵。營運商可以對特定開頭的國際長途号碼一刀切,卡掉。例如“0002”,這本身就是一個不規範的國際呼叫。另外還有一些 0057、0058 這類開頭,但是長度小于 10 位的主叫号碼也很可能存在問題。
但對于死闆的規則,詐騙分子有應對之道:
例如營運商設定了五條檢測規則。但是他會嘗試新的政策突破,例如在本地落地。在找到一種可行的方法之後,詐騙分子就可以一直利用這個方法繞過攔截。
最大的問題是,基于黑名單的攔截系統,沒有辦法對詐騙騷擾号碼做實時更新。
先要受害者去報案,然後公安機關做技術咨詢和偵查工作。确認有問題之後,公安機關會協調銀行當機資金,最後是破案環節。
但是這樣的處理方法存在很多弊端:
往往被騙以後,黑産馬上把錢轉走。真正銀行當機的時候,已經撲空了。另外全國每年有幾十萬次的通信詐騙,民警的力量很難覆寫。去年徐玉玉案件成為了全民事件,是以很快就被破掉了。但是平常如果你被詐騙一萬塊,而公安破案成本可能是幾十萬元。客觀上就很難把單個案件都查得水落石出。
我們會分析最近熱門的詐騙類型。例如這張圖裡展示的,大概分以下幾種:
【熱門詐騙類型】
對于使用者接打電話,我們通過機器學習的方法,能夠實時發現這個電話很可能是詐騙電話,是以需要馬上發出實時告警。
在使用者上網的時候,我們如果檢測到了他正在通路釣魚或詐騙網站,也可以立即對這個網站進行阻斷。總體的方法就是,在最終損失到來之前截斷詐騙過程。
接下來我詳細說一下實時阻斷在技術上是如何實作的。
我們會在營運商網絡裡部署一個實時監測系統。
1、話單采集。我們會從通話記錄裝置裡采集實時話單。
2、話單脫敏。由于誰給誰打電話這類資訊是敏感資訊,我們會通過特定的加密算法進行脫敏處理,從這些脫敏的資料裡,無法得知特定的通話記錄。
【脫敏之後的電話清單】
接收的電話,我們會進行哈希處理。對端的号碼,我們會保留明文(因為可能是詐騙電話)。
3、輸入機器學習系統。對于機器學習系統來說,它并不用知道電話是由哪個具體的号碼撥打的,它隻需要判斷這種行為是不是詐騙。
通過提取資料特征,輸入機器學習系統,就可以用事件模型來加以判斷,最終可以分辨出哪些通話行為是詐騙行為。在這個過程中,我們不斷地用雲端資料和參數調整來保證檢測結果的準确——誤報率低的同時,盡可能多地檢測出詐騙電話。
4、資料解密。把處理好的資料輸入營運商的資料,進行對稱解密。
5、告警提示。判斷出詐騙電話之後,營運商可以做選擇,利用自己的工單系統提示使用者。
短信提醒:你剛才接的是詐騙電話,千萬不要上當。 閃信提醒:通過手機彈窗方式,提醒使用者遭遇了詐騙。 電話提醒:給使用者撥打電話提示。 彩印提醒:為使用者下發和号碼關聯的彩印。
對于機器學習系統來說,最重要的是資料。這些資料來自雲端的 250 萬活躍詐騙号碼庫,包括網民舉報和曆史案件資料,這些作為訓練樣本來讓機器學會如何識别一個正在撥打的電話是詐騙電話。
由于這些資料很多都來自手機用戶端,是以資訊更新比較及時,是以這 250 萬資料是最新的。
大資料機器學習以前高高在上,但是現在已經在很多領域得到了應用。我們對于機器學習,也是開箱即用的方法,在反詐騙的特定領域進行工作。
我們在裡面内置了超過五十種詐騙電話的話單模型。這其中包括幾個要素,包括:
使用者被叫地的分布 被叫時長分布 被叫時間分布(早晚、半夜) 使用者特征 。。。
我們也并不知道這些要素和詐騙這個行為哪個是最強相關的。是以我們把資料扔到機器學習系統裡,進行有監督或者半監督的學習,自動找出相關性來。
号碼資料特征,大概分了六個方向。
例如日呼叫次數,平均通話時長,最早最晚通話時間等等基本的統計屬性。正常的一個号碼,應該是呼入和呼出次數差不多,并且不會每天連續撥打。
例如号碼的好友數,陌生人通話比例,你的号碼曾經給多少人打過等等。同樣,社交網絡還包括被撥打的号碼它有哪些好友,好友和呼叫号碼之間是否具有相關性等等。
一個号碼,前後幹過什麼事請,我們會作為一個事件流來分析。例如五分鐘之前打了号碼,過了四分鐘又打了一個。其中有多少是正常通話,有多少是不正常的。例如一個呼叫三秒鐘就挂斷,或者連續通話十分鐘,都是比較極端的不正常情況。
例如,使用者和海外号碼通話次數,和固話或短号通話的次數等等。有的詐騙分子專門打座機号來騙老師,有的詐騙分子專門打手機号。資料量大了之後,統計特征還是非常明顯的。
當我們的資料積累一定量之後,我們可以建立号碼信用度。正常使用者的行為會被識别為白名單,而和這種行為模式不相符的号碼,就可以被認為号碼信用度低。
例如,号碼的異常行為、呼叫異常号碼,會被計入異常行為檔案。對于我們認為有問題的号碼,會進行重點的監測分析。
例如詐騙号碼都是突然間開始使用的,可能用了一段時間就突然消失。(因為換了新的号碼)
【詐騙号碼通話量突增模型】
這是我們監測到的一個詐騙号碼。15年1月12号這一天還基本沒有撥通記錄,到了第二天的時候,它的撥打電話達到了一百多,第三天達到了一千個。而過了一周左右,它的撥打号碼就直接降為零。這種特征很明顯。
詐騙分子也有時間成本。對于他來說就是要在最短的時間裡盡可能多地撥出号碼,撈出盡可能多能上鈎的魚。是以不可能一個号碼專門騙一個人然後就廢棄不用。是以他的套路我們總是可以歸納分析出來。
我們來看一個經典的詐騙劇本:
五六個詐騙分子坐在一間屋子裡,啟動詐騙流程 1、先用+185這個自動語音系統撥打電話,告訴你有檔案沒投遞成功,讓你按9轉人工。如果你響應了,後面的“服務流程”就跟上了。如果你不接或者兩秒鐘就挂斷,後面的行為就取消了。 2、幾分鐘後,另外一個冒充警官的人打過來,他的目的是資訊作證,讓你相信這個騙局。他會引導你去“官網”查詢資訊,你去網上果然發現了這個資訊。 3、一個小時之後,使用者接到仿冒警察局的電話。 4、使用者根據警察局的電話訓示,撥打114來确認檢察院電話。 5、“經過确認的”檢察院打來電話。
【一個經典詐騙套路背後,有哪些規律?】
這其中越到後來的步驟,越是騙子“老司機”,也就是團隊 leader 來操作。根據這樣的事件模型,可以把看起來獨立的行為串起來。
電信詐騙可以跟刑事案件進行類比。
例如發現了一個殺人案,我們可以用不同的次元來縮小懷疑範圍。例如目擊證人發現這是個男性,發生事件時早上九點,根據探頭發現作案的交通工具,最後從被害人的社交關系裡來判斷哪些人和被害人有沖突。
同樣詐騙電話我們也可以用類似方法來縮小包圍圈。
如果一個号碼連續通話,很少撥入隻有播出,通話時長很長,經常給一大波分散的陌生人打電話。每觸發一個規則,我們就打一個分值。如果全部觸發,這個分值就會高一些。
邏輯上來講,一個正常的通話,很難同時觸發這麼多的異常事件。
【異常事件累加的“黑天鵝”事件機率非常低】
利用這種方式,我們可以區分出“淺層詐騙”和“深層詐騙”。淺層詐騙是随意打電話碰運氣,如果你願意搭理就中招了。而深層詐騙就是剛才提到的好幾個人分工合作,用“一整套服務”來騙你。
對于誤報,我們會進行驗證工作。
1、曆史檢測結果。對于曆史檢測結果,我們會輸送雲端,利用第三方資料,例如騰訊手機管家來進行校驗,看是不是相比對。由于二者判斷邏輯不同,是以可以用來校驗。 2、最新檢測結果。公安和營運商會進行抽樣回查。例如對于一百位發送了告警短信的使用者,抽取其中的三十個進行電話回訪,确認是否真的接到了“我是你上司”或者“猜猜我是誰”的電話。
【接到詐騙電話的人對客服的回報】
通過以上介紹的技術,實際的檢測準确率大概如下:
冒充公檢法的騙術,準确率大概是 99%,因為這種騙術存在一整套流程,更加利于判斷。 仿冒熟人的騙術,準确率稍微差一些,是97%。 仿冒客服的騙術,準确率也可以達到 99%。
根據一個城市試用半年的情況,使用者被騙金額下降了 70% 以上。
但是我們的系統也存在一些問題,例如對于仿冒公檢法的詐騙沒辦法做到全覆寫。因為第一個打進的騙子會給受騙者洗腦,讓他不要再接聽任何電話,隻能和“警方”單線聯系,或者幹脆讓被害人電話一直占線。是以有時我們做電話回訪,根本打不進去。當我們能接通的時候,被害人的錢已經被轉走了。
前一段時間清華大學教授被騙的事件。當時北京公安已經發現了這個情況,警察叔叔給老師連打了三個電話。但是詐騙分子給老師下的套太厲害,讓老師一定不要再接聽其他人的電話,老師相信騙子才是真正的公安,最終上當。
這裡我要提醒一下大家,不要輕易去騷擾詐騙分子。為什麼呢?對你來講,如果你不理他,你就是他無數的沉沒成本之一。如果你勾搭他,他就會認為你是可能上鈎的目标之一,會盯上你。如果你把他惹惱了,他有的是精力陪你玩。
前一陣子有一個使用者調戲了詐騙分子,過了兩天,他的手機号碼突然被各大安全公司攔截,營運商也把他拉黑了。原因是詐騙分子為了報複,仿造了他的手機号碼進行了大量垃圾資訊的發送。
最後我想說,雖然大家從旁觀者的角度,感覺被騙的人有點傻。但是當你處在騙局中的時候,有時真的很難繞出來。每當我看到這些技術可以真正阻斷詐騙的發生,都會覺得團隊付出的努力是值得的。
接下來是雷鋒網文末福利時間。
關注雷鋒網旗下微信公衆号“宅客頻道”并且回複“反詐騙”獲得公開課完整 ppt。