半個(gè)月前，整個(gè)網(wǎng)絡(luò)被掀翻了，一名學(xué)生被受騙，因壓力過(guò)大去世。事隔兩天，又一名學(xué)生因被騙，心臟驟停去世。對(duì)于電信詐騙，我們可能無(wú)從下手，對(duì)于預(yù)防，我們完全可以通過(guò)自己的力量來(lái)創(chuàng)造相應(yīng)的“騙子模型”，不管是事先提示無(wú)辜用戶(hù)，還是用來(lái)作為自己內(nèi)部參考，甚至之后是否可以實(shí)現(xiàn)這部分的數(shù)據(jù)共享，各公司之間的打通，匯總整理后統(tǒng)一交給公安機(jī)關(guān)進(jìn)行處理，都是可以嘗試的。

顯而易見(jiàn)已經(jīng)有相當(dāng)多的軟件和公司正在做這件事，最常見(jiàn)的瀏覽網(wǎng)頁(yè)的時(shí)候，危險(xiǎn)網(wǎng)頁(yè)會(huì)被標(biāo)記，提示是否要打開(kāi)，在接收短信的時(shí)候也會(huì)被提示疑似詐騙短信請(qǐng)謹(jǐn)慎，那么我們應(yīng)該依據(jù)哪些數(shù)據(jù)進(jìn)行建模呢？

抄錄一段場(chǎng)景，作為引入的開(kāi)始：

我們有時(shí)候每天購(gòu)買(mǎi)50條，有時(shí)候購(gòu)買(mǎi)100條數(shù)據(jù)，然后打印下來(lái)，分給我的“小弟”進(jìn)行電話(huà)聯(lián)系。當(dāng)然我們是有分工的，同樣有幾個(gè)“小弟”已經(jīng)守候在ATM門(mén)口，一有到賬，及時(shí)轉(zhuǎn)走。我的“小弟”在得手之后，馬上將手機(jī)關(guān)機(jī)，電話(huà)卡拿出砸碎扔掉，換上新的電話(huà)卡繼續(xù)開(kāi)展業(yè)務(wù)，打一槍換一炮當(dāng)然是為了安全，并且我們的手機(jī)都是諾基亞的，沒(méi)人知道為什么，從我“師傅”那輩就這么傳下來(lái)的。好了不跟你說(shuō)了，財(cái)務(wù)給我打電話(huà)了，我要去拿分成了，拜拜。

有可笑，但并不可笑；有幽默，則多為心酸；互道一聲珍重，莫貪小便宜。

一、IP

毋庸置疑最重要的就是通過(guò)IP數(shù)據(jù)來(lái)看，也是最直接的。IP所揭示的風(fēng)險(xiǎn)幾何？可以從以下幾個(gè)角度來(lái)判斷：

1 代理IP

網(wǎng)上每天有許多公開(kāi)的代理IP，代理IP的目的是為了隱藏自己的真實(shí)IP，所以使用代理的，基本上可以判斷為有欺詐嫌疑，并且從技術(shù)角度來(lái)說(shuō)，就算使用代理，也是可以深挖出真實(shí)IP。我們可以通過(guò)每天的自動(dòng)爬蟲(chóng)，爬取互聯(lián)網(wǎng)上的代理IP作為黑名單。

Tips：HTTP頭的X-Forwarded-For：這個(gè)字段只有在通過(guò)了HTTP 代理時(shí)才會(huì)添加，如果帶有XFF，那就是代理了；以及帶有Proxy-Connection: Keep-Alive的報(bào)文，毫無(wú)疑問(wèn)是代理。

2 IDCIP

一般的APP或者網(wǎng)頁(yè)，跑來(lái)注冊(cè)的IP是云服務(wù)器的IP，這正常嗎？顯然不正常。事實(shí)上很多就是被黑的服務(wù)器，或干脆就是自己租的服務(wù)器來(lái)達(dá)到惡意目的。這里就要去做一些收集，各大云服務(wù)商、各大IDC服務(wù)器段?？梢跃S護(hù)下來(lái)作為黑名單。

3 技術(shù)手段

• 反向探測(cè)對(duì)端端口開(kāi)放情況：代理常用端口是80和8080，如果對(duì)端IP開(kāi)啟了這些端口，顯然是不正常的，一個(gè)家用IP地址是不大會(huì)開(kāi)放這些端口的。
• 源端口：大于10000的源端口有兩種情況，不是代理就是大型機(jī)構(gòu)，所以會(huì)有誤傷，建議判斷權(quán)重在50%。

二、手機(jī)號(hào)碼

用戶(hù)在注冊(cè)或者提交資料時(shí)候的手機(jī)號(hào)碼，也是一個(gè)可以驗(yàn)證的維度。這里也可以通過(guò)一些方法收集所謂“黑名單”建立自己的高風(fēng)險(xiǎn)庫(kù)，可以有以下幾種途徑：

1 收碼平臺(tái)

欺詐分子通過(guò)在收碼平臺(tái)上開(kāi)項(xiàng)目，可以使用大批量的不同號(hào)碼來(lái)注冊(cè)。通過(guò)爬蟲(chóng)定期爬取，收集號(hào)段，可以得到這些信息，加入到風(fēng)險(xiǎn)庫(kù)中即可。

2 小號(hào)

目前有一些小號(hào)軟件，可以虛擬一個(gè)號(hào)碼出來(lái)，這些號(hào)碼像正常電話(huà)一樣，可以打出去，接聽(tīng)，收發(fā)短信。在網(wǎng)上搜索：小號(hào)，即可找到大量類(lèi)似平臺(tái)。把這些號(hào)碼爬取下來(lái)作為黑名單庫(kù)。

3 撞庫(kù)法

利用注冊(cè)用戶(hù)的手機(jī)號(hào)碼，去各類(lèi)平臺(tái)上注冊(cè)，如果提示號(hào)碼已被注冊(cè)，則說(shuō)明該用戶(hù)對(duì)某方向有較強(qiáng)需求。

Tips：金融類(lèi)平臺(tái)尤為注意，一旦被式出目標(biāo)手機(jī)，詐騙分子很可能通過(guò)電話(huà)，直接撥打給用戶(hù)“我是xxx平臺(tái)賠給您的理財(cái)經(jīng)理……”后果不堪設(shè)想。并且這種模式實(shí)際在前臺(tái)并無(wú)提交，所以一般也都是產(chǎn)品忽略的地方，不會(huì)做限制，也就讓詐騙分子無(wú)門(mén)檻盡情碰撞數(shù)據(jù)庫(kù)中的手機(jī)號(hào)了。

4 定向爬蟲(chóng)

在一些分類(lèi)信息網(wǎng)站上爬取中介的手機(jī)號(hào)碼，或者對(duì)應(yīng)搜索號(hào)碼爬取關(guān)鍵字，以及及時(shí)接入微信電話(huà)本、xx通訊錄的公開(kāi)數(shù)據(jù)源，作為高風(fēng)險(xiǎn)庫(kù)。

三、設(shè)備指紋

世界上沒(méi)有完全相同的兩臺(tái)設(shè)備，每臺(tái)設(shè)備都是獨(dú)一無(wú)二的，與人類(lèi)的指紋一樣。我們可以通過(guò)抓取用戶(hù)手機(jī)上的一些特征，形成一個(gè)特征編碼，這就是“設(shè)備指紋”。

通過(guò)設(shè)備指紋，可以判斷同一臺(tái)設(shè)備，注冊(cè)了多少賬戶(hù)，登陸了多少賬戶(hù)，是從設(shè)備角度進(jìn)行判斷的一個(gè)重要手段。

同樣，欺詐分子在對(duì)抗中也逐漸在升級(jí)。欺詐分子也開(kāi)發(fā)出了諸如008神器、海馬玩等軟件，可以一鍵修改設(shè)備相關(guān)信息，來(lái)以此繞過(guò)設(shè)備指紋。針對(duì)欺詐分子的工具，可以通過(guò)作弊軟件識(shí)別、冷門(mén)信息算法。所謂作弊軟件識(shí)別，市面上很多作弊軟件，都是通過(guò)同一框架進(jìn)行開(kāi)發(fā)，因此可以加入對(duì)這個(gè)框架的識(shí)別，來(lái)判斷是否使用了作弊。

而冷門(mén)信息算法，則是抓取一些欺詐分子沒(méi)有注意到的地方，例如傳感器的某些信息，例如藍(lán)牙、電池、音樂(lè)排序、網(wǎng)卡生產(chǎn)商的某些信息來(lái)組成算法，對(duì)欺詐分子在修改時(shí)不注意的這些地方進(jìn)行判斷，找尋蛛絲馬跡。

四、GPS

位置數(shù)據(jù)主要使用GPS進(jìn)行判斷，需要用戶(hù)授權(quán)。位置數(shù)據(jù)可以有多種使用方式：

• 定期調(diào)取GPS，以此來(lái)判斷工作地址和家庭地址，與進(jìn)件資料作比對(duì)，看用戶(hù)是否包裝資料。
• 活動(dòng)環(huán)境位置，用戶(hù)經(jīng)常在一些不良場(chǎng)所活動(dòng)，例如賭場(chǎng)、夜店活動(dòng)，說(shuō)明此人可能有不良習(xí)慣，可以加入疑似庫(kù)優(yōu)先處理。
• GPS移動(dòng)異常：可以根據(jù)用戶(hù)的GPS移動(dòng)距離計(jì)算，例如1小時(shí)前在上海，1小時(shí)候在北京，則有GPS造假可能。
• 相同GPS：同一位置有很多操作，說(shuō)明有欺詐嫌疑。
• 多臺(tái)設(shè)備同一GPS，說(shuō)明設(shè)備之間有關(guān)系，可以作為關(guān)聯(lián)欺詐的判斷，升級(jí)為詐騙網(wǎng)絡(luò)判斷依據(jù)標(biāo)準(zhǔn)之一。

五、APP數(shù)據(jù)

對(duì)用戶(hù)的APP數(shù)據(jù)進(jìn)行采集，實(shí)際侵犯了用戶(hù)隱私，請(qǐng)慎重！我們可以探測(cè)用戶(hù)的APP列表，如果存在大量某種類(lèi)APP，則說(shuō)明用戶(hù)對(duì)某種需求及其強(qiáng)烈。同樣，如果用戶(hù)手機(jī)沒(méi)有其他APP，則說(shuō)明該設(shè)備可能用來(lái)欺詐。

如果探測(cè)到安裝有模擬器類(lèi)、GPS偽造類(lèi)，說(shuō)明用戶(hù)有欺詐可能。

六、設(shè)備賬戶(hù)信息

該類(lèi)數(shù)據(jù)采集也是對(duì)用戶(hù)隱私的嚴(yán)重侵犯，請(qǐng)慎重！在設(shè)備上還可以采集到OS和其它APP的用戶(hù)名，以此來(lái)建立用戶(hù)名與設(shè)備之間的關(guān)系，同一個(gè)APP存在3個(gè)以上的用戶(hù)（退出重登），則說(shuō)明該設(shè)備有盜賬戶(hù)嫌疑。

其它APP賬戶(hù)與業(yè)務(wù)申請(qǐng)吻合，則可以對(duì)該賬戶(hù)一個(gè)較高信任分?jǐn)?shù)。

Tips：如果第三方OS開(kāi)放部分?jǐn)?shù)據(jù)，對(duì)于這塊工作將會(huì)進(jìn)行的十分便利。例如某用戶(hù)在小米OS上注冊(cè)用戶(hù)名為mystic，某APP同樣是mystic，重合APP越多，則該用戶(hù)可信度相對(duì)較高，反之亦然。

七、通訊錄數(shù)據(jù)

通訊錄數(shù)據(jù)也是嚴(yán)重侵犯用戶(hù)隱私的行為，比之前的都敏感。對(duì)通訊錄信息的獲取，可以防止欺詐關(guān)系圈。有幾種情況：

• 通訊錄為空，說(shuō)明該設(shè)備有欺詐嫌疑。
• 通訊錄內(nèi)容，可以形成關(guān)系，作為關(guān)聯(lián)欺詐的一個(gè)重要判斷。
• 通訊錄名稱(chēng)標(biāo)識(shí)，可以通過(guò)社交關(guān)系信用過(guò)判斷本人信用，并且關(guān)聯(lián)疑似詐騙網(wǎng)絡(luò)，為日后連窩端做準(zhǔn)備。

八、設(shè)備關(guān)系數(shù)據(jù)

相同WiFi：兩個(gè)設(shè)備多次出現(xiàn)在同一WiFi下，則說(shuō)明設(shè)備之間有關(guān)系。出現(xiàn)次數(shù)越多，關(guān)系越強(qiáng)。

藍(lán)牙配對(duì)：藍(lán)牙配對(duì)記錄的采集，可以獲得兩臺(tái)設(shè)備的關(guān)系。

GPS：前文已說(shuō)過(guò)，同一GPS出現(xiàn)的設(shè)備，說(shuō)明設(shè)備有關(guān)系。

通話(huà)記錄數(shù)據(jù)：通過(guò)通訊錄、通話(huà)記錄可以得到關(guān)系數(shù)據(jù)，而且可以根據(jù)通訊錄名稱(chēng)直接標(biāo)明關(guān)系。

九、其它

技術(shù)手段：此手段針對(duì)某一個(gè)體適用，也就是已確認(rèn)該用戶(hù)為詐騙分子，并已造成較嚴(yán)重后果，聯(lián)合公安機(jī)關(guān)通過(guò)技術(shù)手段完成追查，具體什么手段我也不知道，畢竟新聞一般統(tǒng)稱(chēng)“技術(shù)手段”。

電信手段：通過(guò)請(qǐng)求與電信公司的數(shù)據(jù)開(kāi)放，可完成追查，同樣該項(xiàng)手段極其敏感，一般非政府機(jī)構(gòu)無(wú)權(quán)調(diào)用，僅提供思路。

最大的Tips

以上僅是被動(dòng)手段，我們技術(shù)、產(chǎn)品人員盡量杜絕漏洞、BUG，不給詐騙分子任何可乘之機(jī)，盡量構(gòu)思完善。在一切關(guān)鍵數(shù)據(jù)必須模糊處理，并且必須只有高級(jí)權(quán)限領(lǐng)導(dǎo)層才能詳細(xì)查看關(guān)鍵數(shù)據(jù)，每一次導(dǎo)出、查詢(xún)必須留下記錄（說(shuō)實(shí)話(huà)我認(rèn)為導(dǎo)詳細(xì)聯(lián)系方式的人都有問(wèn)題，互聯(lián)網(wǎng)看數(shù)據(jù)看的是趨勢(shì)，而不是某一個(gè)體，看個(gè)體你能看出什么？無(wú)非滿(mǎn)足你的好奇心而已，鬧不好還沾一身腥）。

一定在數(shù)據(jù)泄露和有可能發(fā)生漏洞的環(huán)節(jié)仔細(xì)排查，從自身內(nèi)因找起，再做外部策略建模（如果要是在國(guó)家保密部門(mén)外泄數(shù)據(jù)，早被崩了好嗎，有真實(shí)案例支撐，有興趣的可以查查。民法還是太清，多死幾個(gè)，才重視，有毛用？）。

好了，以上就是我今天構(gòu)思的“騙子模型”相關(guān)的指標(biāo)的剝離，具體量化，需要各家根據(jù)自己具體情況具體分析，不過(guò)也有可能都是廢話(huà)，大家可能早都再用了的。當(dāng)然，如果真的詐騙分子只用諾基亞，抱歉，我只好對(duì)各位說(shuō)一聲保重，祝你好運(yùn)……

#專(zhuān)欄作家#

吳邢一夫（微信號(hào)mystic326531548），人人都是產(chǎn)品經(jīng)理專(zhuān)欄作家。3年產(chǎn)品經(jīng)理工作經(jīng)驗(yàn)，需求、用戶(hù)、數(shù)據(jù)有深入研究。歡迎交流想法，拒絕無(wú)意義添加好友。

本文原創(chuàng)獨(dú)家發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。謝謝合作。