國產電影的劇情蒼白無力？

因為中國最好的編劇，都在給電信詐騙團伙編劇本。

如果你“有幸”走過電信詐騙的種種套路，一定會被他們日天的思路，大開大合的劇本所征服。

然而，對付套路，永遠有更深的套路。黑客大神發現，騙子的套路在人工智能和機器學習面前，簡直就像三歲熊孩子的詭計。

知道創宇，被稱作網絡世界的特種兵，是很多人心中最酷的安全公司。潘少華，正是這支特種兵的“參謀長”。他帶領黑客們研發出了一套逆天的反詐騙系統，可以在騙子掄錘的關鍵時刻，飛身救險，拯救被害者，讓騙子在寒風中淚奔凌亂，在暗夜里決定從良。

本期硬創公開課，雷鋒網邀請到了知道創宇威脅情報中心的負責人、北京研發中心總監，顏值和智慧并存的網絡安全特種兵潘少華。他為我們講述的主題是——黑客特種兵如何用人工智能套路電信詐騙的騙子。

【潘少華】

公開課全文整理

▼

大家好，我是北京知道創宇信息技術有限公司的潘少華。我們團隊的主要研究方向是電信網絡安全，主要集中在在電信反欺詐和業務反欺詐。

我個人從 2001 年開始，對網絡安全感興趣。從2008年加入知道創宇，我一直致力于讓互聯網變得更好更安全。

我很欣賞愛因斯坦的一句話：

這個世界很危險，不是因為那些邪惡的人，而是因為哪些無動于衷的人。

這也是我在前沿對抗黑產的一個動力。

800億的大“生意”——詐騙

互聯網帶來了很多便利，但是也被壞人利用。在互聯網上獲得一些不合法收益的產業，我們都叫他們黑色或灰色產業鏈。早些年，黑產分子因為網上支付和個人隱私泄露沒有現在普遍。但這兩年，在詐騙方面的報案數量真的是越來越多。

例如：

XX車主，你今天在XX路口有交通違章行為。點擊鏈接查看詳情。

如果我們用手機一點，打開這個木馬鏈接，就會直接中招。

這是一個簡單的統計。僅僅 2015 年的報案數據，例如“猜猜我是誰”，“冒充公檢法”這類涉及電話詐騙的案件，全國群眾的損失就大概在 220 億左右。加上一些基于網址的詐騙，再加上手機病毒盜竊，實際總損失應該在 800億人民幣以上。目測在詐騙分子背后提供技術能力的人員，全國應該上百萬。

【部分詐騙短信展示】

大家很普遍的想法是把這些詐騙歸罪于運營商，他們收了這么多錢，卻讓壞人肆虐。運營商當然有自己的問題，但是它也有無奈。

例如電話卡實名制，主要就是為了打擊電信詐騙而施行的。但是詐騙分子很快就找到了一些變通的辦法。所以目前來看，實名制在詐騙短信這方面，效果并不理想。

這是為什么呢？

詐騙分子背后，有一個完整的黑色產業鏈，這其中包括：

病毒制作，

惡意網站制作，

提供黑手機卡，

改號線路、

偽基站設備（需要相關的專業工廠去制作），

短信群發平臺（短信代發本身是一個灰色地帶，很多黑產技術人員也會直接給詐騙分子提供技術支持），

洗錢相關工作（進賬一百萬，他們會快速把錢分成小筆，多次交易，洗成一筆合法的錢然后轉出去）

每個團隊只是專業做黑產鏈條上的一個環節，對他來講，不僅可以規避法律風險，還可以專注在某個特定的“黑技術領域”。

這一整條產業鏈，只靠運營商自己很難去打擊，就連公安能發動的資源也是有限的。所以這件事需要民間各方來參與努力。

我們也做了很多和技術不相關的工作，例如聯合騰訊和百度發起了安全聯盟公益組織。我們共享了8億條惡意網址數據庫，每天日均交換 5000 萬次的惡意網址數據。所有的數據都在系統里機器篩查，然后進入人工審核平臺，確定拉黑的數據都是沒有問題的。

另外我們還利用機器學習的方法，利用大量的計算資源來檢測識別互聯網上的惡意數據。

兩種反詐騙手段的對比

某些地方上的網民可以感受到，當你訪問一個網址的時候，也許會彈出一個安全告警，提示你不要訪問。在你收到詐騙電話之后，可能會收到運營商或公安機關的短信提醒，告訴你可能受到了詐騙騷擾，不要相信。這其中可能就用到了我們的技術。

反詐騙手段有一個演進的過程。

一、事后處置

運營商黑名單制度

以前我們會基于運營商黑名單來做攔截。例如我們發現一個電話是詐騙電話。我們經過人工審核，確認它是一個詐騙電話。于是在幾天之后把它加入黑名單。

運營商有一些技術手段對抗詐騙。例如國際端局封堵。運營商可以對特定開頭的國際長途號碼一刀切，卡掉。例如“0002”,這本身就是一個不規范的國際呼叫。另外還有一些 0057、0058 這類開頭，但是長度小于 10 位的主叫號碼也很可能存在問題。

但對于死板的規則，詐騙分子有應對之道：

例如運營商設定了五條檢測規則。但是他會嘗試新的策略突破，例如在本地落地。在找到一種可行的方法之后，詐騙分子就可以一直利用這個方法繞過攔截。

最大的問題是，基于黑名單的攔截系統，沒有辦法對詐騙騷擾號碼做實時更新。

繁復的報案流程

先要受害者去報案，然后公安機關做技術咨詢和偵查工作。確認有問題之后，公安機關會協調銀行凍結資金，最后是破案環節。

但是這樣的處理方法存在很多弊端：

往往被騙以后，黑產馬上把錢轉走。真正銀行凍結的時候，已經撲空了。另外全國每年有幾十萬次的通信詐騙，民警的力量很難覆蓋。去年徐玉玉案件成為了全民事件，所以很快就被破掉了。但是平常如果你被詐騙一萬塊，而公安破案成本可能是幾十萬元。客觀上就很難把單個案件都查得水落石出。

二、實時阻斷的方法

我們會分析最近熱門的詐騙類型。例如這張圖里展示的，大概分以下幾種：

【熱門詐騙類型】

對于用戶接打電話，我們通過機器學習的方法，能夠實時發現這個電話很可能是詐騙電話，所以需要馬上發出實時告警。

在用戶上網的時候，我們如果檢測到了他正在訪問釣魚或詐騙網站，也可以立即對這個網站進行阻斷。總體的方法就是，在最終損失到來之前截斷詐騙過程。

接下來我詳細說一下實時阻斷在技術上是如何實現的。

我們會在運營商網絡里部署一個實時監測系統。

1、話單采集。我們會從通話記錄設備里采集實時話單。

2、話單脫敏。由于誰給誰打電話這類信息是敏感信息，我們會通過特定的加密算法進行脫敏處理，從這些脫敏的數據里，無法得知特定的通話記錄。

【脫敏之后的電話列表】

接收的電話，我們會進行哈希處理。對端的號碼，我們會保留明文（因為可能是詐騙電話）。

3、輸入機器學習系統。對于機器學習系統來說，它并不用知道電話是由哪個具體的號碼撥打的，它只需要判斷這種行為是不是詐騙。

通過提取數據特征，輸入機器學習系統，就可以用事件模型來加以判斷，最終可以分辨出哪些通話行為是詐騙行為。在這個過程中，我們不斷地用云端數據和參數調整來保證檢測結果的準確——誤報率低的同時，盡可能多地檢測出詐騙電話。

4、數據解密。把處理好的數據輸入運營商的數據，進行對稱解密。

5、告警提示。判斷出詐騙電話之后，運營商可以做選擇，利用自己的工單系統提示用戶。

短信提醒：你剛才接的是詐騙電話，千萬不要上當。

閃信提醒：通過手機彈窗方式，提醒用戶遭遇了詐騙。

電話提醒：給用戶撥打電話提示。

彩印提醒：為用戶下發和號碼關聯的彩印。

機器學習的核心技術實現

一、數據

對于機器學習系統來說，最重要的是數據。這些數據來自云端的 250 萬活躍詐騙號碼庫，包括網民舉報和歷史案件數據，這些作為訓練樣本來讓機器學會如何識別一個正在撥打的電話是詐騙電話。

由于這些數據很多都來自手機客戶端，所以信息更新比較及時，所以這 250 萬數據是最新的。

二、機器學習系統

大數據機器學習以前高高在上，但是現在已經在很多領域得到了應用。我們對于機器學習，也是開箱即用的方法，在反詐騙的特定領域進行工作。

我們在里面內置了超過五十種詐騙電話的話單模型。這其中包括幾個要素，包括：

用戶被叫地的分布

被叫時長分布

被叫時間分布（早晚、半夜）

用戶特征

。。。

我們也并不知道這些要素和詐騙這個行為哪個是最強相關的。所以我們把數據扔到機器學習系統里，進行有監督或者半監督的學習，自動找出相關性來。

號碼數據特征，大概分了六個方向。

1、號碼活躍特征數據

例如日呼叫次數，平均通話時長，最早最晚通話時間等等基本的統計屬性。正常的一個號碼，應該是呼入和呼出次數差不多，并且不會每天連續撥打。

2、號碼的社交網絡

例如號碼的好友數，陌生人通話比例，你的號碼曾經給多少人打過等等。同樣，社交網絡還包括被撥打的號碼它有哪些好友，好友和呼叫號碼之間是否具有相關性等等。

3、號碼的行為事件流

一個號碼，前后干過什么事請，我們會作為一個事件流來分析。例如五分鐘之前打了號碼，過了四分鐘又打了一個。其中有多少是正常通話，有多少是不正常的。例如一個呼叫三秒鐘就掛斷，或者連續通話十分鐘，都是比較極端的不正常情況。

4、號碼的行為特征

例如，用戶和海外號碼通話次數，和固話或短號通話的次數等等。有的詐騙分子專門打座機號來騙老師，有的詐騙分子專門打手機號。數據量大了之后，統計特征還是非常明顯的。

5、號碼信用度

當我們的數據積累一定量之后，我們可以建立號碼信用度。正常用戶的行為會被識別為白名單，而和這種行為模式不相符的號碼，就可以被認為號碼信用度低。

6、號碼異常度

例如，號碼的異常行為、呼叫異常號碼，會被計入異常行為檔案。對于我們認為有問題的號碼，會進行重點的監測分析。

事件模型和機器學習模型交叉驗證

一、突增模型

例如詐騙號碼都是突然間開始使用的，可能用了一段時間就突然消失。（因為換了新的號碼）

【詐騙號碼通話量突增模型】

這是我們監測到的一個詐騙號碼。15年1月12號這一天還基本沒有撥通記錄，到了第二天的時候，它的撥打電話達到了一百多，第三天達到了一千個。而過了一周左右，它的撥打號碼就直接降為零。這種特征很明顯。

二、事件模型

詐騙分子也有時間成本。對于他來說就是要在最短的時間里盡可能多地撥出號碼，撈出盡可能多能上鉤的魚。所以不可能一個號碼專門騙一個人然后就廢棄不用。所以他的套路我們總是可以歸納分析出來。

我們來看一個經典的詐騙劇本：

五六個詐騙分子坐在一間屋子里，啟動詐騙流程

1、先用+185這個自動語音系統撥打電話，告訴你有文件沒投遞成功，讓你按9轉人工。如果你響應了，后面的“服務流程”就跟上了。如果你不接或者兩秒鐘就掛斷，后面的行為就取消了。

2、幾分鐘后，另外一個冒充警官的人打過來，他的目的是信息作證，讓你相信這個騙局。他會引導你去“官網”查詢信息，你去網上果然發現了這個信息。

3、一個小時之后，用戶接到仿冒公安局的電話。

4、用戶根據公安局的電話指示，撥打114來確認檢察院電話。

5、“經過確認的”檢察院打來電話。

【一個經典詐騙套路背后，有哪些規律？】

這其中越到后來的步驟，越是騙子“老司機”，也就是團隊 leader 來操作。根據這樣的事件模型，可以把看起來獨立的行為串起來。

三、基于通話行為的模式的智能分析

電信詐騙可以跟刑事案件進行類比。

例如發現了一個殺人案，我們可以用不同的維度來縮小懷疑范圍。例如目擊證人發現這是個男性，發生事件時早上九點，根據探頭發現作案的交通工具，最后從被害人的社交關系里來判斷哪些人和被害人有矛盾。

同樣詐騙電話我們也可以用類似方法來縮小包圍圈。

如果一個號碼連續通話，很少撥入只有播出，通話時長很長，經常給一大波分散的陌生人打電話。每觸發一個規則，我們就打一個分值。如果全部觸發，這個分值就會高一些。

邏輯上來講，一個正常的通話，很難同時觸發這么多的異常事件。

【異常事件累加的“黑天鵝”事件概率非常低】

利用這種方式，我們可以區分出“淺層詐騙”和“深層詐騙”。淺層詐騙是隨意打電話碰運氣，如果你愿意搭理就中招了。而深層詐騙就是剛才提到的好幾個人分工合作，用“一整套服務”來騙你。

反詐騙技術的誤報和困難

對于誤報，我們會進行驗證工作。

1、歷史檢測結果。對于歷史檢測結果，我們會輸送云端，利用第三方數據，例如騰訊手機管家來進行校驗，看是不是相匹配。由于二者判斷邏輯不同，所以可以用來校驗。

2、最新檢測結果。公安和運營商會進行抽樣回查。例如對于一百位發送了告警短信的用戶，抽取其中的三十個進行電話回訪，確認是否真的接到了“我是你領導”或者“猜猜我是誰”的電話。

【接到詐騙電話的人對客服的反饋】

通過以上介紹的技術，實際的檢測準確率大概如下：

冒充公檢法的騙術，準確率大概是 99%，因為這種騙術存在一整套流程，更加利于判斷。

仿冒熟人的騙術，準確率稍微差一些，是97%。

仿冒客服的騙術，準確率也可以達到 99%。

根據一個城市試用半年的情況，用戶被騙金額下降了 70% 以上。

但是我們的系統也存在一些問題，例如對于仿冒公檢法的詐騙沒辦法做到全覆蓋。因為第一個打進的騙子會給受騙者洗腦，讓他不要再接聽任何電話，只能和“警方”單線聯系，或者干脆讓被害人電話一直占線。所以有時我們做電話回訪，根本打不進去。當我們能接通的時候，被害人的錢已經被轉走了。

前一段時間清華大學教授被騙的事件。當時北京公安已經發現了這個情況，警察叔叔給老師連打了三個電話。但是詐騙分子給老師下的套太厲害，讓老師一定不要再接聽其他人的電話，老師相信騙子才是真正的公安，最終上當。

這里我要提醒一下大家，不要輕易去騷擾詐騙分子。為什么呢？對你來講，如果你不理他，你就是他無數的沉沒成本之一。如果你勾搭他，他就會認為你是可能上鉤的目標之一，會盯上你。如果你把他惹惱了，他有的是精力陪你玩。

前一陣子有一個用戶調戲了詐騙分子，過了兩天，他的手機號碼突然被各大安全公司攔截，運營商也把他拉黑了。原因是詐騙分子為了報復，仿造了他的手機號碼進行了大量垃圾信息的發送。

最后我想說，雖然大家從旁觀者的角度，感覺被騙的人有點傻。但是當你處在騙局中的時候，有時真的很難繞出來。每當我看到這些技術可以真正阻斷詐騙的發生，都會覺得團隊付出的努力是值得的。

接下來是雷鋒網文末福利時間。

福利1：完整 PPT 下載

關注雷鋒網旗下微信公眾號“宅客頻道”并且回復“反詐騙”獲得公開課完整 PPT。

福利2：本次公開課完整視頻

▼

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。