《反電信網路詐騙法(草案)》已於今年10月底公之於眾,其面向社會廣泛徵求意見的截止日期為2021年11月21日。
近年來,網路詐騙屢見不鮮,對廣大網民來説,電信詐騙、金融詐騙危害巨大。針對新型網路違法犯罪形勢的複雜嚴峻現狀,政府明確倡導要建立“全民反詐、全警反詐、智慧反詐”的工作格局。而隨著科技的發展,詐騙手段也變得防不勝防,在不斷“打怪升級”的金融反詐、電信反詐之間,形成了一場攻防“貓鼠遊戲”。
電信網路詐騙高發
“經過十幾年的演變,電信網路詐騙已經不再是新型犯罪了。”中國人民公安大學偵查學院副教授、研究生導師王曉偉教授對《中國消費者報》記者説,“犯罪手段不斷翻新、騙術不斷升級,且普遍性和增長速度都是前所未有的。目前,在東南沿海和一線大城市,電信網路詐騙的刑事立案佔比超過50%。”“網路通訊技術是一把雙刃劍,在犯罪領域,有越來越多的犯罪分子選擇遠端、非接觸性手段實施詐騙。”王曉偉認為,不只是電信網路詐騙,刑事犯罪整體上都出現了線上、遠端、非接觸式的趨勢。“金融行業的線上業務在逐步加速移動化、網際網路化,促使很多金融業務都轉為使用微信、支付寶等渠道。”支付清算協會反詐課題講師、同盾科技行業安全專家、國密局密碼演算法課題組成員閱微對《中國消費者報》記者説,“風險犯罪濃度隨著數字化轉型明顯在上升,金融詐騙向線上化轉型這一點在金融行業尤其突出。”“所有的犯罪、騙術都來源於生活場景。”王曉偉説,如今網路生産、生活方式越來越豐富,騙子可以利用的犯罪場景當然也就越來越多。“另外,隨著網路科技的發展,接觸性犯罪的生存空間在被持續壓縮。”王曉偉説。比如,城市裏的視頻監控系統如同天網,再加上偵查技術的不斷革新和進步,致使接觸性犯罪的空間變得非常狹小,犯罪成本也非常高。這些都決定了刑事犯罪整體向非接觸式發展的趨勢。
為何電信網路詐騙比其他類型的網上犯罪更高發呢?王曉偉認為,這是因為詐騙是一種侵財類犯罪,其目的在網路空間中更容易實現。犯罪分子在通過網路實施盜竊時,需要繞過多家機構、運營商的多重安全防範措施和驗證方式等,相比較而言,難度較大。“而網路電信詐騙只要犯罪分子話術足夠好,能忽悠人,消費者自己就把錢轉過來了。那些安全防護措施在騙子面前也就都無效了。”王曉偉補充説,“為什麼現在盜轉騙、傳銷轉騙、毒轉騙頻發?主要還是因為網路詐騙相對風險低、易實現、獲利高。”
量身定制精準詐騙
2021年4月,香港的一位婆婆被電信網路詐騙分子騙走了2.5億元,創下紀錄。“電信詐騙的單筆數額、案件數量都是往上走的,其核心表現就是單筆案件涉案資金非常高。”小盾安全技術專家、中國銀行大講堂講師狴犴對《中國消費者報》記者説,“浙江省杭州市余杭區網際網路大廠雲集,今年我在余杭區對派出所民警開展反詐業務培訓時,民警接到了一個電話,反映阿里巴巴的一位員工遭遇‘殺豬盤’,被騙了200萬元,其中的100多萬元還是通過網貸抽出來的。這對一個人、一個家庭的影響是非常大的。這位普通白領,恐怕以後沒有辦法正常地融入到工作中了。”“實際上,現在電信網路詐騙的手段翻新很快,也很精準。”王曉偉説。
小盾安全發佈的《2020反欺詐年度報告》(以下簡稱《年度報告》)顯示,電信網路詐騙風險演變的趨勢之一,就是詐騙手法的升級演變,欺詐風險持續暴露。以“殺豬盤”“殺魚盤”等為代表的新型電信網路詐騙發展迅猛,違法犯罪分子大多從非法違規渠道獲取受害人資訊後,進行精準詐騙,作案手法由騙取手機短信動態驗證碼後實施盜用,向主動誘導受害人轉移資金轉變。
“精準詐騙的內涵也發生了變化。”王曉偉説,犯罪嫌疑人會根據某一類人群,甚至針對某一個人的情況,量身定制騙術詐騙,詐騙成功率高。過去的精準詐騙都是先獲取個人資訊再定制騙術,而現在的精準詐騙,甚至都不需要獲取詳細的個人資訊,因為很多都是通過精準的網路引流實現的。“各種騙術都是通過網路推廣、彈窗廣告、朋友圈引流的。”王曉偉解釋道。
欺詐手段加速升級
新技術的出現,往往會被網路黑産吸收,並用到網路詐騙犯罪上去。最典型、最廣為人知的案例之一,莫過於去年的“假靳東案”了。通過智慧語音合成和AI換臉,一個惟妙惟肖的靳東對中老年婦女説説笑笑。而一個會説會笑,聲音、形象都能對上號的“靳東”,實在是讓人無從産生懷疑。
小盾安全的《年度報告》顯示,新技術在帶給人們更好的個人賬戶防護的同時,也讓網路黑産團夥的專業化程度不斷提升,大數據分析、深度學習和人工智慧技術都在被網路黑産使用。欺詐團夥借助大數據等前沿技術,精確識別欺詐目標並採取相應措施,攻擊變得更有針對性。網路黑産地下社工數據庫欺詐比例上升趨勢明顯,對數據庫的拖庫、撞庫操作更為機械化、集中化、智慧化,攻防難度持續升級。
“網路黑産常常通過大數據鎖定目標,再有的放矢地給自己建立可靠人設,以騙取受害者的信任。比如‘殺豬盤’的操縱者會給單親媽媽的小孩講半年的睡前故事,會給年輕的女孩發海外訂單、寄真品的奢侈品等。”王曉偉説。不僅如此,諸如股票K線、聊天截屏、交付帳單等,都有專門的涉詐軟體來生成,在去年,甚至還出現了轉賬憑證模擬器、虛假交易軟體和投資軟體等,看上去都和真的一模一樣。
閱微表示,隨著金融詐騙的網路監管趨嚴,欺詐手段也進一步加速升級。撞庫代替了木馬釣魚,成功率更高,目前已成為攻擊的主要模式。此外,還有一些隱患來自於用戶身份資訊的洩露,一部分是由於銀行、運營商的漏洞,另一部分是疫情防控科技之下的身份資訊漏洞。“在為銀行提供風控技術解決方案的過程中,可以看到,在不少遭洩露的銀行資訊源上,很多個人資訊其實就是用戶掃碼的出行資訊,都帶有身份證、人臉比對圖片和手機號等個人敏感資訊。不法分子擁有這些資訊就可以完成身份替換,去銀行辦理開戶或者其他金融業務。”閱微説。
推進整體防控機制
“所有的電信網路詐騙背後,其根本案發源都來自於個人或企業數據。”狴犴説。基於大數據的電信詐騙已將人群細分得非常精細、精準,以余杭區公安部門的數據為例,“殺豬盤”的轉化率達20%以上,高學歷被騙者達60%以上。而過去廣撒網式的中獎詐騙,其轉化率只有十萬分之一左右,被騙金額也很少超過10萬元。
欺詐技術不斷專業化,攻防難度持續升級,是現階段電信詐騙的另一個新特點。
“整體防控機制是一個穩步推進的、基於風控技術的長鏈條。”王曉偉認為,必須從一個案件整個發生發展的全過程,去分步採取防控機制。例如,從一個電話號碼最初註冊的時候,運營商和網際網路公司就要有開卡、開戶的風險控制,要有審核機制保證真人實名;手機卡、銀行卡被用於“灰黑産”,發出了詐騙資訊、打出了詐騙電話,這個階段就要有技術措施對涉詐電話進行識別、攔截;對網上的涉詐資訊,要有技術手段進行檢索、識別、阻斷。如果已經在欺詐實施的過程中了,要有技術手段及時反饋到前端,通過短信提醒、電話勸阻和當面勸阻等,防止群眾上當受騙。如果已經被騙,且受害者已轉出資金,要有技術手段緊急止付。“這些都是事前和事中的防範與技術反制。”王曉偉介紹道。
網路詐騙擁有極高的隱匿性,從受害人被騙到報警的時間裏,被騙的錢財往往早就被轉移了。在抓捕嫌疑人時,又會涉及到境外網站層層偽造的IP地址等問題,因此相關部門面臨著防範難、抓捕難、追回詐騙資金更難的局面。“面對越來越‘高能’的涉詐組織,尤其是以銀行為代表的金融行業,需要武器升級,戰法革新。”閱微説。銀行反詐機制的核心要素就是分辨真假虛實,主要是需要識別是人是機、是不是非本人、是不是本人異常、是不是被誘導的主觀操作,或者是資訊被洩露之後的他人代操作?“目前反欺詐的手段,基本上都是終端安全加上精準畫像,再加上機器學習和相關的知識圖譜。”閱微説,“基於電詐的操作鏈路,我們在給銀行和金融行業推出的整體方案中,進行了反電詐防控思路部署:第一步是做限量排查,實現部分交易的事中攔截,在名單和強特徵篩查規則的基礎之上,通過終端安全和專家涉賭涉詐模型,對當前的風險快速地進行偵測和止付;第二步是通過對銀行的用戶行為數據進行採集、清洗、加工,實現精準涉詐類的風險畫像,並且通過相關的機器學習演算法,實現對交易實時、準確的監測防控;第三步是在偵測出犯罪團夥的同時,發現與犯罪團夥相關的上下游鏈路,即借用知識圖譜完成針對上下游的順藤摸瓜。因為團夥犯罪的犯罪性質、操作鏈路、工具行為等,都高度相似。”“天下無詐”既是警察的心願,也是科技行業的追求。在這場科技戰、數據戰的較量中,科技賦能必將為提升治理能力貢獻力量。
●觀點
以技術為武器反詐
當下,即便是偏遠地區的人們,也離不開網路了,網際網路正逐步構建起萬物互聯的數字經濟時代。但是,數字技術的應用給我們帶來了巨大便利的同時,也衍生出諸如數據安全、個人隱私保護等新挑戰。
電信網路詐騙不再是木馬、偽基站、釣魚網站氾濫,也不再是短信、郵件、二維碼轟炸了,而是涉及資訊鏈、資金鏈、技術鏈、人員鏈等各環節,基於大數據、人工智慧乃至心理學的一整條犯罪鏈。刑事犯罪已經呈現出網路、遠端、非接觸式的趨勢,電信詐騙等犯罪已經成為犯罪常態。網路生活越豐富,犯罪分子的網路犯罪場景就越多,騙術翻新快、套路多、危害大。
同時,造成的經濟損失也非常大。數據顯示,去年電信網路詐騙的總體金額高達300多億元,單起案件過億元的不止一個,數千萬元的也有不少。受害者多半是普通人,很多被騙資金是上學的錢、看病的錢、小企業的流動資金……被騙會導致家庭返貧,生活無以為計,小企業破産,職工下崗。據專家介紹,每年都有遭受電信詐騙的受害者自殺和猝死案件發生。
從法律層面看,必須加強防範性制度措施建設,為統籌發展與安全、維護社會管理秩序和保障人民群眾財産安全的實際需要提供法律支撐。
由於新技術會很快被用於網路犯罪,因此,事前和事中的防範和技術反制,便成為非常重要的反詐手段。從金融等高危企業層面看,必須以大數據為依託,應用人工智慧等技術手段,通過推進智慧風控體系建設,提升實時風險分析決策能力,構建主動防禦、精準識別、聯防聯控的智慧風控能力。
同時,數字化時代下,消費者的需求更為個性化、場景化,用戶面臨的威脅與挑戰也更為複雜,對自身權益保護的意識也需要逐步提高。産業機構需要進一步完善消費者權益保護體系,以技術為武器,加強聯防協作,共同解決突出問題,推進線上業務規範創新發展,提升消費者權益保護水準。
金融反詐、電信反詐顯然是長期而複雜的,這場貓和老鼠的攻防之戰中,助攻反詐,科技手段賦能顯然是必不可少的。
(責任編輯:柯曉霽)