电信诈骗极大损害用户利益,给运营商带来了声誉损失。运营商如何利用技术手段进行反诈一直以来都是研究重点。起初电信诈骗特征并不复杂,通过一些简单的行为分析与内容检测就可以达到不错的反诈效果。随着诈骗分子与反诈人员技术对抗不断升级,电信诈骗在网络侧的行踪已经越来越隐蔽。具体表现在诈骗分子开始进行精准诈骗,针对不同用户群量身定制诈骗脚本 ;诈骗分子同时用多个号码实施诈骗,避免反诈行为分析 ;诈骗分子采用多种渠道实施诈骗,运营商无法获得完整诈骗剧本。在新的反诈形势下,为了能够有效发现网络中发生的电信诈骗事件,需要对新的反诈技术手段进行研究。
1 电信诈骗的本质电信诈骗的本质
是通过伪装身份来骗取对方的信任从而牟取不法利益。由此可以看出,发现电信诈骗最根本手段是发现通信者是否在伪造自己的身份进行通信。比如消息发送者声称自己是 10086 的客服,但如果可以通过技术手段发现其不是,则该消息发送者较大概率是电信诈骗分子。诈骗分子的诈骗手段总是不断翻新,但这一本质特征是永久不变的。所以,如何通过技术手段发现诈骗分子的伪装身份是反电信诈骗的核心工作。
2 反电信诈骗的优劣势分析
电信诈骗分子能够让受害者受骗,证明其传递的信息从语义上很难辨识真伪。但运营商具有受害者所没有的全网视角,可以全面分析诈骗号码与不同受害者的通信行为,这是运营商反诈的有力条件。相比于互联网即时消息公司的反诈条件,运营商存在如下不利条件。
(1)互联网即时消息服务通常是一个熟人网络,用户必须彼此添加好友后才可以进行通信。而电信运营商的网络是一个陌生人网络,任何人可以在得知对方手机 号码的情况下与对方进行通信。这无疑降低了诈骗分子联系到受害者的门槛。
(2)互联网即时消息服务安装在用户终端处,消息既可以在网络侧拦截,也可以在终端侧拦截。在终端侧拦截的好处是用户可以恢复误拦截的消息。另外,在终端侧可以结合更多用户信息(如手机通讯录)进行反诈。而运营商唯一的治理手段是在网络侧拦截,存在误拦截风险,且用户感知度差。
(3)互联网即时消息服务会留存用户一段时间内的全量消息记录,包括文字、图片和语音消息等,反诈数据基础比较完备。运营商则默认不保存用户正常通信内容,仅保留用户的通信行为数据。此外,运营商仅会对网络中传播的不良信息(垃圾短信、垃圾彩信、骚扰电话语音和违规图片信息等)进行实时监控并保存留证,其规模远远小于全量的通信内容。
综上所述,电信网是陌生人网络,无法直接获得熟人关系。运营商只能进行网络侧治理,要结合多方数据进行精准判定才能进行实施消息拦截。运营商反诈数据基础不足,需要最大化利用现有信息与外部安全厂商实现数据共享。
3 反诈技术框架
如图 1 所示,整个电信诈骗流程可分为数据源选择、无关数据过滤、诈骗脚本粗筛、身份属性挖掘、身份属性检查和诈骗分析识别几个阶段。
3.1 数据源选择反诈的第一步是要选择好数据源。数据源包含内部数据源和外部数据源。其中内部数据源可以有很多种,比如垃圾短信数据、垃圾彩信数据、骚扰电话数据和电话话单等。外部数据源包括外部公司或组织共享的投诉举报数据、号码标记数据和外部提供的其它安全服务能力等。
3.2 无关数据过滤技术在数据源确定以后,可以对数据源中的数据进行预处理。预处理主要是对无关数据进行过滤。方法大体可以分为对结构化数据(如通话话单)过滤和对非结构化数据(如短消息)过滤。结构化数据过滤主要是筛选或限定字段的取值,非结构化数据过滤主要依靠人工智能分类模型进行处理。比较常用的有朴素贝叶斯分类、卷积神经网络分类和循环神经网络分类。
3.3 诈骗脚本粗筛诈骗分子通过各种黑、灰产业购买潜在受害者隐私信息,并将潜在受害者分类,编制不同的诈骗脚本。诈骗分子在与同类潜在受害者接触时,会使用相同的脚本。因此网络上会产生大量内容相似的通信数据。如相似措辞的短消息数据、相似开场白的语音数据和相似内容的图片数据等。故对过滤后的数据进行相似内容聚类可粗略定位网络中的诈骗脚本。
3.4 身份属性挖掘伪造身份信息是诈骗脚本的核心,所有的诈骗套路都是围绕伪造身份展开的。诈骗分子会使用各种伪造身份取信于受害者。同时,诈骗分子通常会准确地说出受害者的姓名和身份证号等隐私信息来强化自身身份。因此,身份属性信息在诈骗消息中是无法避开的内容。可以通过分析聚类中是否包含身份属性信息来进一步定位潜在的诈骗信息聚类。
3.5 身份属性检查在提取出身份属性信息后,需要对提取出的身份属性信息进行检查,以确定身份属性是否是已知具有诈骗性质的属性。比如号码是否为已知诈骗号码,网址是否是钓鱼网站。属性检查方法可以利用内部数据自行检查,也可借助外部安全服务进行检查。
3.6 诈骗分析识别在完成了数据聚类和身份属性提取后,结合属性检查能力,可采用多种方法发现网络中的诈骗事件。本文列出了比较常用的 4 种手段。
(1)直接借助外部服务发现诈骗号码。比如跟踪被安全公司标记为诈骗电话的号码在网络中发送的信息或拨打的电话,在取证无误后就可以对号码进行处理。另外,可以使用安全公司的钓鱼网站识别服务检查垃圾信息中附带的链接信息,若出现钓鱼网站,且发送量较大,则发送信息的号码可判定为诈骗号码。
(2)使用身份属性之间的矛盾来发现诈骗号码。诈骗分子在同时联系多个受害者实施诈骗时,会出现身份属性自相矛盾的情况。比如在相同诈骗脚本中,同一个手机号码给多个不同的手机号发送冒充子女类短信,明显不符合逻辑。又比如在相同诈骗脚本中,同一个手机号码声称自己的姓名不一致,甚至出现数十个不同的名字,也属于身份属性自相矛盾。
(3)结合身份属性与熟人关系圈发现诈骗号码。当手机号码的通信行为同时影响到多个不同的熟人关系圈,且这些熟人关系圈在之前彼此没有交集时,则这个手机号码很可能是诈骗号码。
4 结束语
反诈工作的核心内容是识别诈骗分子的伪造身份。在合理选择数据源后,在预处理阶段,首先通过分类技术过滤掉不相关的数据,其次通过相似聚类技术来粗略定位潜在的诈骗脚本。接下来使用命名实体识别技术进行身份属性提取,进一步缩小潜在诈骗脚本范围。针对号码类属性,可以使用行为分析技术或熟人关系圈进行诈骗号码判别。结合使用外部号码标记数据能够大幅提高查准率。针对网址类属性,可以使用钓鱼网站识别技术或外部安全服务来实现诈骗脚本的锁定。针对其它类别的属性可以通过发现相同诈骗脚本中的身份矛盾来锁定诈骗脚本。
本文提到的身份属性信息主要来自于文本信息。图片和语音也需先转为文本后再进行提取。实际上,图片中的人脸信息,语音中的声纹信息一样体现了身份信息。随着深度伪造的发展,这些身份信息有可能被伪造滥用,成为诈骗分子实施诈骗的新利器。未来工作有必要针对深度伪造技术背景下的反诈技术进行研究。
参考文献
[1] 刘冠军. 新技术条件下电信网络诈骗治理研究[J]. 山东农业工程学院学报, 2019(11).
[2] 黎宏. 电信诈骗中的若干难点问题解析[J]. 法学, 2017(5).
[3] 胡向阳, 刘祥伟, 彭魏. 电信诈骗犯罪防控对策研究[J]. 中国人民公安大学学报(社会科学版), 2010(5).
[4] 刘宏成. 电信诈骗的分析与防范[J]. 法制与社会, 2009(1).
《运营商反电信诈骗技术手段研究》来源:《电信工程技术与标准化》,作者:杜刚,朱艳云,张晨,杜雪涛
