電信詐騙極大損害用戶利益，給運營商帶來了聲譽損失。運營商如何利用技術(shù)手段進行反詐一直以來都是研究重點。起初電信詐騙特征并不復(fù)雜，通過一些簡單的行為分析與內(nèi)容檢測就可以達(dá)到不錯的反詐效果。隨著詐騙分子與反詐人員技術(shù)對抗不斷升級，電信詐騙在網(wǎng)絡(luò)側(cè)的行蹤已經(jīng)越來越隱蔽。具體表現(xiàn)在詐騙分子開始進行精準(zhǔn)詐騙，針對不同用戶群量身定制詐騙腳本 ;詐騙分子同時用多個號碼實施詐騙，避免反詐行為分析 ;詐騙分子采用多種渠道實施詐騙，運營商無法獲得完整詐騙劇本。在新的反詐形勢下，為了能夠有效發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的電信詐騙事件，需要對新的反詐技術(shù)手段進行研究。

　　1 電信詐騙的本質(zhì)電信詐騙的本質(zhì)

　　是通過偽裝身份來騙取對方的信任從而牟取不法利益。由此可以看出，發(fā)現(xiàn)電信詐騙最根本手段是發(fā)現(xiàn)通信者是否在偽造自己的身份進行通信。比如消息發(fā)送者聲稱自己是 10086 的客服，但如果可以通過技術(shù)手段發(fā)現(xiàn)其不是，則該消息發(fā)送者較大概率是電信詐騙分子。詐騙分子的詐騙手段總是不斷翻新，但這一本質(zhì)特征是永久不變的。所以，如何通過技術(shù)手段發(fā)現(xiàn)詐騙分子的偽裝身份是反電信詐騙的核心工作。

　　2 反電信詐騙的優(yōu)劣勢分析

　　電信詐騙分子能夠讓受害者受騙，證明其傳遞的信息從語義上很難辨識真?zhèn)巍５�運營商具有受害者所沒有的全網(wǎng)視角，可以全面分析詐騙號碼與不同受害者的通信行為，這是運營商反詐的有力條件。相比于互聯(lián)網(wǎng)即時消息公司的反詐條件，運營商存在如下不利條件。

　　(1)互聯(lián)網(wǎng)即時消息服務(wù)通常是一個熟人網(wǎng)絡(luò)，用戶必須彼此添加好友后才可以進行通信。而電信運營商的網(wǎng)絡(luò)是一個陌生人網(wǎng)絡(luò)，任何人可以在得知對方手機 號碼的情況下與對方進行通信。這無疑降低了詐騙分子聯(lián)系到受害者的門檻。

　　(2)互聯(lián)網(wǎng)即時消息服務(wù)安裝在用戶終端處，消息既可以在網(wǎng)絡(luò)側(cè)攔截，也可以在終端側(cè)攔截。在終端側(cè)攔截的好處是用戶可以恢復(fù)誤攔截的消息。另外，在終端側(cè)可以結(jié)合更多用戶信息(如手機通訊錄)進行反詐。而運營商唯一的治理手段是在網(wǎng)絡(luò)側(cè)攔截，存在誤攔截風(fēng)險，且用戶感知度差。

　　(3)互聯(lián)網(wǎng)即時消息服務(wù)會留存用戶一段時間內(nèi)的全量消息記錄，包括文字、圖片和語音消息等，反詐數(shù)據(jù)基礎(chǔ)比較完備。運營商則默認(rèn)不保存用戶正常通信內(nèi)容，僅保留用戶的通信行為數(shù)據(jù)。此外，運營商僅會對網(wǎng)絡(luò)中傳播的不良信息(垃圾短信、垃圾彩信、騷擾電話語音和違規(guī)圖片信息等)進行實時監(jiān)控并保存留證，其規(guī)模遠(yuǎn)遠(yuǎn)小于全量的通信內(nèi)容。

　　綜上所述，電信網(wǎng)是陌生人網(wǎng)絡(luò)，無法直接獲得熟人關(guān)系。運營商只能進行網(wǎng)絡(luò)側(cè)治理，要結(jié)合多方數(shù)據(jù)進行精準(zhǔn)判定才能進行實施消息攔截。運營商反詐數(shù)據(jù)基礎(chǔ)不足，需要最大化利用現(xiàn)有信息與外部安全廠商實現(xiàn)數(shù)據(jù)共享。

　　3 反詐技術(shù)框架

　　如圖 1 所示，整個電信詐騙流程可分為數(shù)據(jù)源選擇、無關(guān)數(shù)據(jù)過濾、詐騙腳本粗篩、身份屬性挖掘、身份屬性檢查和詐騙分析識別幾個階段。

　　3.1 數(shù)據(jù)源選擇反詐的第一步是要選擇好數(shù)據(jù)源。數(shù)據(jù)源包含內(nèi)部數(shù)據(jù)源和外部數(shù)據(jù)源。其中內(nèi)部數(shù)據(jù)源可以有很多種，比如垃圾短信數(shù)據(jù)、垃圾彩信數(shù)據(jù)、騷擾電話數(shù)據(jù)和電話話單等。外部數(shù)據(jù)源包括外部公司或組織共享的投訴舉報數(shù)據(jù)、號碼標(biāo)記數(shù)據(jù)和外部提供的其它安全服務(wù)能力等。

　　3.2 無關(guān)數(shù)據(jù)過濾技術(shù)在數(shù)據(jù)源確定以后，可以對數(shù)據(jù)源中的數(shù)據(jù)進行預(yù)處理。預(yù)處理主要是對無關(guān)數(shù)據(jù)進行過濾。方法大體可以分為對結(jié)構(gòu)化數(shù)據(jù)(如通話話單)過濾和對非結(jié)構(gòu)化數(shù)據(jù)(如短消息)過濾。結(jié)構(gòu)化數(shù)據(jù)過濾主要是篩選或限定字段的取值，非結(jié)構(gòu)化數(shù)據(jù)過濾主要依靠人工智能分類模型進行處理。比較常用的有樸素貝葉斯分類、卷積神經(jīng)網(wǎng)絡(luò)分類和循環(huán)神經(jīng)網(wǎng)絡(luò)分類。

　　3.3 詐騙腳本粗篩詐騙分子通過各種黑、灰產(chǎn)業(yè)購買潛在受害者隱私信息，并將潛在受害者分類，編制不同的詐騙腳本。詐騙分子在與同類潛在受害者接觸時，會使用相同的腳本。因此網(wǎng)絡(luò)上會產(chǎn)生大量內(nèi)容相似的通信數(shù)據(jù)。如相似措辭的短消息數(shù)據(jù)、相似開場白的語音數(shù)據(jù)和相似內(nèi)容的圖片數(shù)據(jù)等。故對過濾后的數(shù)據(jù)進行相似內(nèi)容聚類可粗略定位網(wǎng)絡(luò)中的詐騙腳本。

　　3.4 身份屬性挖掘偽造身份信息是詐騙腳本的核心，所有的詐騙套路都是圍繞偽造身份展開的。詐騙分子會使用各種偽造身份取信于受害者。同時，詐騙分子通常會準(zhǔn)確地說出受害者的姓名和身份證號等隱私信息來強化自身身份。因此，身份屬性信息在詐騙消息中是無法避開的內(nèi)容。可以通過分析聚類中是否包含身份屬性信息來進一步定位潛在的詐騙信息聚類。

　　3.5 身份屬性檢查在提取出身份屬性信息后，需要對提取出的身份屬性信息進行檢查，以確定身份屬性是否是已知具有詐騙性質(zhì)的屬性。比如號碼是否為已知詐騙號碼，網(wǎng)址是否是釣魚網(wǎng)站。屬性檢查方法可以利用內(nèi)部數(shù)據(jù)自行檢查，也可借助外部安全服務(wù)進行檢查。

　　3.6 詐騙分析識別在完成了數(shù)據(jù)聚類和身份屬性提取后，結(jié)合屬性檢查能力，可采用多種方法發(fā)現(xiàn)網(wǎng)絡(luò)中的詐騙事件。本文列出了比較常用的 4 種手段。

　　(1)直接借助外部服務(wù)發(fā)現(xiàn)詐騙號碼。比如跟蹤被安全公司標(biāo)記為詐騙電話的號碼在網(wǎng)絡(luò)中發(fā)送的信息或撥打的電話，在取證無誤后就可以對號碼進行處理。另外，可以使用安全公司的釣魚網(wǎng)站識別服務(wù)檢查垃圾信息中附帶的鏈接信息，若出現(xiàn)釣魚網(wǎng)站，且發(fā)送量較大，則發(fā)送信息的號碼可判定為詐騙號碼。

　　(2)使用身份屬性之間的矛盾來發(fā)現(xiàn)詐騙號碼。詐騙分子在同時聯(lián)系多個受害者實施詐騙時，會出現(xiàn)身份屬性自相矛盾的情況。比如在相同詐騙腳本中，同一個手機號碼給多個不同的手機號發(fā)送冒充子女類短信，明顯不符合邏輯。又比如在相同詐騙腳本中，同一個手機號碼聲稱自己的姓名不一致，甚至出現(xiàn)數(shù)十個不同的名字，也屬于身份屬性自相矛盾。

　　(3)結(jié)合身份屬性與熟人關(guān)系圈發(fā)現(xiàn)詐騙號碼。當(dāng)手機號碼的通信行為同時影響到多個不同的熟人關(guān)系圈，且這些熟人關(guān)系圈在之前彼此沒有交集時，則這個手機號碼很可能是詐騙號碼。

　　4 結(jié)束語

　　反詐工作的核心內(nèi)容是識別詐騙分子的偽造身份。在合理選擇數(shù)據(jù)源后，在預(yù)處理階段，首先通過分類技術(shù)過濾掉不相關(guān)的數(shù)據(jù)，其次通過相似聚類技術(shù)來粗略定位潛在的詐騙腳本。接下來使用命名實體識別技術(shù)進行身份屬性提取，進一步縮小潛在詐騙腳本范圍。針對號碼類屬性，可以使用行為分析技術(shù)或熟人關(guān)系圈進行詐騙號碼判別。結(jié)合使用外部號碼標(biāo)記數(shù)據(jù)能夠大幅提高查準(zhǔn)率。針對網(wǎng)址類屬性，可以使用釣魚網(wǎng)站識別技術(shù)或外部安全服務(wù)來實現(xiàn)詐騙腳本的鎖定。針對其它類別的屬性可以通過發(fā)現(xiàn)相同詐騙腳本中的身份矛盾來鎖定詐騙腳本。

　　本文提到的身份屬性信息主要來自于文本信息。圖片和語音也需先轉(zhuǎn)為文本后再進行提取。實際上，圖片中的人臉信息，語音中的聲紋信息一樣體現(xiàn)了身份信息。隨著深度偽造的發(fā)展，這些身份信息有可能被偽造濫用，成為詐騙分子實施詐騙的新利器。未來工作有必要針對深度偽造技術(shù)背景下的反詐技術(shù)進行研究。

　　參考文獻(xiàn)

　　[1] 劉冠軍. 新技術(shù)條件下電信網(wǎng)絡(luò)詐騙治理研究[J]. 山東農(nóng)業(yè)工程學(xué)院學(xué)報, 2019(11).

　　[2] 黎宏. 電信詐騙中的若干難點問題解析[J]. 法學(xué), 2017(5).

　　[3] 胡向陽, 劉祥偉, 彭魏. 電信詐騙犯罪防控對策研究[J]. 中國人民公安大學(xué)學(xué)報(社會科學(xué)版), 2010(5).

　　[4] 劉宏成. 電信詐騙的分析與防范[J]. 法制與社會, 2009(1).

　　《運營商反電信詐騙技術(shù)手段研究》來源：《電信工程技術(shù)與標(biāo)準(zhǔn)化》，作者：杜剛，朱艷云，張晨，杜雪濤