最詳細講述電信詐騙套路：洗錢卡三天一換，詐騙分子用AI和大數據

2019年7月，林女士從海外留學歸來，順利成爲湖南某大型企業財務管理人員。

12月21日的一個下午，她接到一個“福建警方”打來的電話，對方稱林女士涉嫌一樁特大洗錢案，已被公安機關列爲通緝對象，並出示了一張“網絡通緝令”。他們說，爲了證明自己的清白，林女士需要把對企業賬戶進行“資金清算”。

在“公安機關”的電話指示下，林女士進入“最高人民檢察院”的網站，下載了網站中的“資金清算軟件”，林女士在該軟件頁面對應位置輸入了公司賬戶賬號和支付密碼，將公司對公賬戶的U盾插入電腦。

詐騙分子僞造的最高人民檢察院網站

“公安機關”告知林女士由於安全保密的要求需要關閉電腦屏幕。林女士照做後，接下來的兩個小時，公司賬上的1919萬元不翼而飛。

寫到這裏，常看黑奇士（id hqssima）的同學應該都明白，這個“公安機關”是假的、“最高人民檢察院的網站”是假的，通緝令是假的，只有被騙子轉走的錢是真的。

這是一個典型的“假冒公檢法詐騙”案例。

事後，根據警方調查，發現這個犯罪團伙誘導林女士下載的“資金清算軟件”實際上是一款遠程控制軟件（team***），通過這個軟件，騙子遠程操控了劉女士的辦公電腦直接實施轉賬，分了45次將1919萬元鉅款轉走。

2020年3月，經過近四個月的縝密偵查，長沙警方在河北石家莊將6名參與本案的犯罪嫌疑人抓獲，目前，案件正在進一步偵辦之中。

這是湖南迄今爲止涉案金額最大的一起電信網絡詐騙案。這種詐騙方式也是電信詐騙裏的一種典型手法：“公檢法詐騙”。

事實上，這種詐騙手法早在四百年前就被詐騙團伙使用，只不過那時候的人們，把這種騙局叫做“冒官行騙”。

（書中插圖，某太守被騙）

萬曆年間，張應俞編寫的《新刻江湖杜騙術》中寫到了這種騙術，這也是世界上第一部專業反欺詐書籍。（成書大約在1617年，離現在四百餘年）

詐騙歷史四百年

詐騙之術，古已有之，“種金術”、“法水照形”、“換騙銀”、“丟包騙”、“冒官行騙”、“冒名行騙”——《新刻江湖杜騙術》全書分爲四卷，總結了24類詐騙方式，詳細講述了83個詐騙案例。裏面很多騙術今天仍然在發生，比如“冒官行騙”其實就是古代版的公檢法詐騙。

90年代中後期，在我國臺灣地區，一種以中獎詐騙爲主的騙術開始流行，詐騙團伙會通過電話或者短信通發“恭喜你中了100萬元刮刮樂獎金”的信息給隨機的一組號碼段，有人上鉤後，告知對方領取獎金需要先交一筆手續費。有些防備心比較低的人就會信以爲真，乖乖地把“手續費”打到騙子提供的銀行賬戶上去。

大約2000年前後，這種騙術流傳到大陸，並且發展出了多個變種：購物退款詐騙、仿冒領導詐騙、仿冒軍警詐騙、仿冒公檢法詐騙、“重金求子”詐騙、“腦溢血”詐騙、機票退改簽詐騙。

在很多地方，詐騙形成了產業，一整個村、一整個鄉的人都從事電信詐騙，不少地方被公安部掛牌，成爲俗稱的“詐騙鄉”、“詐騙村”，例如2016年有7個地區被公安部列爲第一批電信詐騙重點整治地區，這些地區後來爲了“摘帽”也付出了艱辛的代價。

2016年8月，貧困女大學生徐玉玉因被詐騙電話騙走大學學費，傷心欲絕最終導致心臟驟停，不幸離世。徐玉玉案在社會上引起了強烈憤慨，警方也開展了空前的嚴打整治行動，電信詐騙蓬勃發展的勢頭遭到遏制。

某地的反詐騙誓師大會

徐玉玉案後，很多“電詐之鄉”受到來襲輿論和監管的雙重壓力，多地開展集中專項整治行動。圖爲某地方政府組織的反電詐“誓師大會”。

在暴利驅動下，鋌而走險的人不在少數。短暫的低潮後，電信詐騙又以更復雜的詐騙形式捲土重來，目前電信詐騙仍然以每年百分之三四十的複合比例在增長。

近幾年電信詐騙的主要據點往東南亞地區轉移，例如緬甸、老撾，讓抓捕變得很困難。即便有些友好邦交國願意爲抓捕提供便利的，跨國抓捕的成本動輒百萬以上。一邊是暴利吸引，一邊是犯罪成本低，所以東南亞的一些地區變成了電信詐騙團伙的天堂。

反欺詐之難：魔高一尺，道高一丈

電信詐騙猖獗一時，人民羣衆對運營商的意見極大：“爲什麼詐騙分子用電話、網絡騙我，三大運營商卻不管？”

實際上他們不知道，在海量的數據中篩選出異常數據，對運營商的技術防控是極大的挑戰。

誰能幫助數億網民反欺詐？

2015年，因爲一個偶然的機會，騰訊安全反詐騙實驗室和中國聯通達成了合作，並率先在深圳開展了試點。他們擁有紮實的網址雲、號碼雲、APK雲檢測能力，在這次合作中，實驗室把自己在號碼雲上多年積累的經驗移植到打擊電信詐騙上來。智能反電話詐騙盒子“鷹眼”也就是那時候誕生的。

短短几個月，“鷹眼”盒子首戰告捷，在騰訊反詐騙實驗室和深圳聯通試點合作期間，信息詐騙中涉案金額由最初的26%下降到6%，最爲嚴重的冒充公檢法詐騙案中，詐騙案件金額降低了80%。

他們具體是怎麼做的呢？

據騰訊安全反詐騙實驗室專家蔡工介紹，詐騙行爲有一些固定的行爲模式，反映到數據上來，就能提煉出特徵模型。“詐騙分子和受害者兩個端都有一些特徵。從受害者側而言，他的通話行爲通常都是********（因爲和電詐分子的對抗還是“正在進行時ing”，此處的對抗策略黑奇士作了模糊處理），一些很連續的異常，我們最早就通過這種用戶的連續異常行爲鎖定他正在遭遇詐騙。”

詐騙側也有一些特徵，犯罪分子通常都聚集在一個窩點、打電話都呈批量特性，利用這些地理位置、通話頻率頻率等數據上的特徵，騰訊反詐騙實驗室也可以對詐騙團伙進行識別。

不管是購物退款詐騙、仿冒領導詐騙、軍警詐騙還是公檢法詐騙，如果主要依靠電話行騙，基本上都能在通話側找到一些特徵，從而進行有效的打擊。以前的電詐打擊只能事後追溯，用大數據+人工智能的方式卻可以識別正在發生中的詐騙，可以及時報警並對資金進行凍結，把損失減到最低。

徐玉玉案發生後，全社會對於打擊電信呼聲空前高漲，有深圳聯通案例在先，2016年，二十多個地方運營商迅速採用了騰訊安全反詐騙實驗室的“鷹眼”盒子。除了騰訊之外，互聯網行業具備反詐騙技術實力的公司也紛紛投入到這場打擊詐騙的運動中。

與惡龍戰鬥：詐騙分子也有高科技，用AI和大數據騙人

此時，詐騙團伙的對抗也在升級。他們也採取一些新的手段，試圖繞過警方的打擊策略，新的電信詐騙融合了電話、網絡等各種手段，電話不再是主要工具，而只是一種前期撒網的方式，詐騙行爲主要通過添加受害者的社交網絡賬號進行。

這個時期最典型第一類詐騙方式就是虛假借貸詐騙。

“詐騙分子首先從黑產團伙手裏獲得大量用戶資料，篩選出其中徵信不好、急需用錢又在傳統銀行渠道借不到錢的用戶，通過電話推銷或者短信推銷找到潛在受害者，添加對方的社交賬號，由‘二線客服’來引導受害者下載一個虛假的借貸App，讓對方填寫資料、提交貸款申請，之後詐騙團伙在App後臺把狀態修改成‘審覈不通過’——這個人羣裏大部分人也清楚自己的徵信有問題——接着‘客服’就會打電話來，說需要交一筆包裝費，比如說2000塊，可以幫助他改善徵信狀況，等受害者交了一筆錢，審覈還是不通過，‘客服’又打電話來，又以仍然有風險需要保證金爲由，再收取一筆保證金。很多人就是在這樣的情況下一步一步被騙的。”

有了大數據和各種新技術的輔助，電信詐騙形成了一條完整的產業鏈。上游有黑產團伙負責倒賣用戶數據，下游有專業的App開發團隊，客服機器人用於電話篩選潛在受害者，在後續的網絡側，詐騙團伙用NLP（自然語言處理，AI應用的一個分支，你沒看錯，犯罪分子早就開始使用AI了）去對溝通的文本進行分析——所有的前期篩選流程都可以做到自動化。

有了大數據加持，這個時候的電信詐騙已經可以做到量身定製，有以談感情爲名實則是騙財的“殺豬盤”，受害者都是擁有一些經濟能力的年輕單身女性；有上文說的虛假借貸詐騙，受害者是一些在各種小貸平臺留下過個人信息、被標註爲缺錢的人羣；有刷單詐騙，面向的是閒暇時間比較多的在校大學生和家庭主婦。

在“徐玉玉案”裏，詐騙分子是從黑產手中購買了10萬山東省當年的高考考生個人資料，以教育部門發放助學金的名義實施的精準詐騙，在詐騙過程中，犯罪分子能準確地叫出徐玉玉的名字、就讀和被錄取的學校。

這種電話、短信撒網，或者短視頻和婚戀網站私信的方式篩選一輪目標用戶，並通過添加社交賬號一線“客服”、二線“客服”分工協作的方式，讓數據分散在各個不同的環節，單看其中某一個環節的行爲很難判斷是不是詐騙，給打擊造成了很大的障礙。

但是無論什麼形式的詐騙，最終都需要把騙到的贓款進行洗白，這個環節成爲了一個反詐騙的着力點。

識別惡意銀行卡是反詐關鍵，洗錢卡只用三天

通常詐騙團伙得手後，負責洗錢的“水房”就會開始工作。洗錢團隊會把贓款一級級拆分，直到不會引起銀行風控注意的額度，再通知車手去ATM將錢取出來存到“安全卡”上去。涉案卡片通常是一個網狀結構，一旦發現了其中一張卡有問題，通常能鎖定一批惡意卡。

“比如說一個用戶來報案，提供了一張涉案的銀行卡信息，公安部門馬上去查這張卡的流水，首先他先看看後面還有沒有錢，有錢的話趕緊凍結，如果沒錢的話也會進行拓展分析。以前公安是人工分析的，我們其實就把整個過程把它自動化模型化自動拓展、自動分析，根據它資金流水的情況和一些特殊金額判斷哪些是惡意卡。”

最開始的時候，一張惡意卡的生命週期有二十幾天，在技術手段的打擊下，洗錢門檻更高了，詐騙團伙也升級了對抗方式：將一張卡的生命週期縮短到兩三天。往往一張卡開卡到棄用，時間不會超過三天。“從上游買一張‘四件套’（指的是身份證件、銀行卡、手機卡、U盾）齊全的銀行卡需要好幾千，但詐騙團伙的回報足夠高，可以負擔這種成本。”

這又給反詐騙提出了另一個難題，往往警方找出惡意卡的時候，卡已經被棄用了。是否能將監測方式進一步前置，在開卡階段就找到哪些卡是惡意卡？

“開卡階段的識別主要用的是聚類分析法。我們發現開卡階段是有特徵的，單看一個人的開卡行爲可能只是一個普通小概率事件，但這種普通小概率事件在一個時間段內重複發生多次，就是一個異常事件，我們要做的就是把這種異常找出來。”

除了開卡本身的行爲，詐騙團伙開好一批新卡後，也會進行一系列的試卡操作，這也能幫助技術人員發現異常行爲。

目前騰訊安全反詐騙實驗室每天都能識別兩三千張涉及電信詐騙的惡意卡，從攔截金額上來看，每年至少來的都是10億級別的資金，但這還遠遠不夠。“像一些仿冒公檢法、虛假貸款詐騙，因爲它的模式也很成熟的，我們是能做到識別五六成，已經是業界最高了，但任何反詐騙策略都很難覆蓋很多詐騙類型，特別是很多長尾案件是很難的。”

蔡工說，目前電信詐騙仍然以每年百分之三四十的比例在複合增長。

打破數據孤島

電信詐騙爲什麼屢禁不止？

“數據分散應該是反詐最大的難點。另外一方面，本身電信網絡詐騙也是一直在高發，利益回報太高了，幹這個事情的人也就越來越多，對抗很激烈，詐騙手法也不停的變。”

對於前者，騰訊安全反詐騙實驗室正在努力推動不同數據方的數據串聯，運營商和下游的社交軟件、交友網站、短視頻應用和支付工具根據自己的反詐系統分析得出一些中間結果，多方進行數據的串聯，當一個平臺上的疑似受害者和另一個平臺上的疑似受害者重疊，就可以由人工採取進一步的核實和干預動作。

“我們也在嘗試把聯邦學習技術應用到數據串聯上來，因爲聯邦學習天然適合這種需要打破數據孤島的情況。所有的原始數據都不用出機房，各個合作方用聯邦學習進行數據交換計算，這樣既可以保護用戶隱私，通過數據的脫敏融合，也能更有效地找出潛在的受害者。”

目前，騰訊反詐騙實驗室已經和一些地方運營商、互聯網公司合作在推進數據串聯。據實驗室專家介紹，2020年下半年應該就會有一些階段性成效。

“一方面是推動數據融合，另一方面，我們也盡力做好單節點的防護，比如說通話側的分析，網絡流網絡流量網址測的攔截分析，包括QQ側、微信側的反詐打擊，每個節點都要有一些能力，即使不是覆蓋100%，但是層層去損耗詐騙團隊，他打電話沒被攔，但可能在下一個環節就被攔了。我們現在做最多的還是在每個節點上去硬橋硬馬地建立這些能力。”