“刷单群的截图显示投资1万块5分钟的收益就3000多元,是银行理财收益的三千倍不止,折合成年化收益率是9000%以上,是股神巴菲特的450倍。这已经不是造富神话了,而是笑话。老同事跟我吐槽:骗子设计圈套也好歹学点基本的经济常识好不好......”
提到“电信诈骗”,很多人都会联想到那些操着蹩脚口音的诈骗电话、向独居老人推销假冒保健品的无良销售、内藏奇怪链接的各种虚假短信、在电话另一头冒充你领导、客服、公职人员编的一个个故事.……
如果真的这么简单,恐怕每年就不会有那么多受害者上当了。
5月17日是世界电信日,也是一年一度的防电信诈骗宣传日。根据腾讯联合多个团队发布的《2021年电信网络诈骗治理研究报告》,截至2021年11月,公安机关共破获电信网络诈骗案件37万起,抓获犯罪嫌疑人54.9万名。
根据中国人民银行披露的信息,2021年商业银行、支付机构根据公安部门的相关指令,紧急拦截涉诈资金3291亿元。这个数字什么概念?
四大行公布的2021年净利润,工商银行3502亿元、建设银行3039亿元、农业银行2412亿元、中国银行2166亿元。也就是说,相关部门光拦截下来的涉诈资金,都快赶上中国最赚钱的银行一年创造的净利润了。
如此庞大的利益诱惑下,金融诈骗黑产的水有多深,可想而知。作为防范金融诈骗的重要前沿阵地,银行工作人员经历和拦截下来的电信诈骗数不胜数,他们经历了哪些惊险和荒诞故事,八妹找了几位银行人聊了聊。
1.
/ 你的App,真的是你在登录吗?/
爆料人:阿莱 来自某银行业务研发中心
阿莱是总行业务研发中心的员工,本身就是技术宅的他喜欢研究,再加上产品安全性也涉及他的本职工作,于是话匣子就停不下来了:
近年来,我们接到不少行内外关于非本人登录App造成的资金损失事件,有的客户单笔损失金额甚至高达几十万。
很多受害者感叹:“我设置了人脸识别登录,这难道还不够安全?”
不见得,正所谓道高一尺魔高一丈。在当前阶段的正邪技术对抗中,手机记录着你的脸,还真未必是“你的脸”。
现在大部分涉及用户隐私的App都会用人脸识别和短信验证码作为识别用户的关键信息。出于人脸和手机号的唯一性,很多用户便放松了警惕。但是很遗憾,这两种认证方式的漏洞都不同程度地被黑产攻破。
就以我们掌握已经破获的一个案件来说,不法分子通过“短信验证码+人脸识别”的方式登录受害人的手机App,以户主的身份开通一键大额支付权限,从而成功进行资金窃取。
根据我们掌握的信息,目前黑产破解人脸识别共有ROM注入、虚拟相机、3D活化、三色工具箱以及人脸融合等至少五种攻击手段。换成通俗的解释就是,黑客定制操作系统的手机进行ROM注入攻击,篡改手机摄像头驱动的参数,将App活体检测过程中拍摄的现场照片替换为受害人照片,从而绕过人脸识别。
由于关键步骤可以“绕过”,所以被这种类型攻击的人脸识别,诸如点头、摇头、眨眼、张嘴等验证动作统统无效了。而且更为遗憾的是,针对此类攻击手法目前业界尚未提出通用有效的防护机制。
说到这里,有的受害者会问:人脸可以攻击,但短信验证码可是自己的手机号才能收到的啊!
这对于黑产来说就更简单了,短信嗅探技术早已是黑产业界公开的秘密,一台成本仅需十几元的N手设备就可以实现。更让人惊讶的是,用不着传说中的黑市,这些黑产设备在老百姓日常能接触到的电商平台上就正在被公开售卖,甚至黑客们可以在商品问答板块里堂而皇之地“交流技术”。
看到这里,如果说你的App也许正在被黑客登录,你还会感到意外吗?
2.
/ 不是拿板斧的都叫李逵 /
爆料人:大雄 某网点客户经理
大雄是基层的客户经理,由于每天在一线接触广大客户,所以日常紧绷着金融反诈的神经,提到这个话题,见多识广的他先叹了口气:
都说“陌生链接需警惕”,可真发生在自己身上,就未必有这个意识喽...
前些日子我接到一个客户的电话,幸亏这电话打得及时,阻止了一场诈骗。
根据邮件的二维码进入网页之后,客户发现是一个名为“工资补贴管理系统”的页面,首页就注明了依据的国家文件和声明,看起来还挺正规。但是后面的操作需要绑定各类身份信息,这就让他心生疑惑,产生了警觉,所以第一时间询问了负责代发工资的银行,就找到了我。
我去问了负责企业代发工资业务的同事,他表示目前还没接到本月的代发业务,同时让客户去询问财务,也反馈根本没有这回事。
很显然,这是一个包装精致的金融诈骗。如果客户被补贴迷惑,按照页面提示输入了自己的身份证和卡号等敏感信息,那后果不堪设想。幸亏他还有一些保护隐私的意识,第一时间找到了我们核实情况。
根据我们行内培训的金融反诈课程,我相信在这个页面输入的个人信息除了诈骗钱财之外,很有可能还会被出售。说到出售,诈骗分子太可恶了,现在黑市上充斥着各类公民敏感信息,甚至以圈外人想象不到的白菜价交易着我们熟知明星的各种身份信息,就连包教包会的黑产教程也被包装成正规技术培训公开售卖。
你看,现在诈骗分子已经不是假冒领导让你汇钱的“初级阶段”了,通过层层看似合理又致命的包装,把黑手伸向老百姓的口袋。到底是李逵还是李鬼,可不只要看他手里拿没拿板斧这么简单。
在我们日常接触的客户咨询案例中,类似于信用卡积分兑换、ETC到期更换、征信修复、网络贷款、银行卡冻结、安全账户、缴存各名目保证金……这些关键字都是银行金融类诈骗信息的重灾区,所以看到这些信息一定不要轻易上当,打银行客服或者联系你开户所在网点,千万不要图省事点击链接。
所以不管什么由头的邮件、信息、链接,可不能冲动,先冷静下来问问为什么,然后尽可能通过自己的方式联系官方核实。
3.
/ 差点让银行人上当的“剧本杀”/
爆料人:小小 来自某银行分行网络金融部
小小是分行网络金融部的产品经理,网络防诈骗是她工作的重要内容之一。前一阵,热心又专业的她及时识破微信诈骗群的骗局,帮助了一位差点上当的银行老同事:
那天我看到之前的老同事一反常态连发了两条朋友圈。一条是朋友新店开业,发朋友圈帮忙宣传就能领空气炸锅,照片上是名牌空气炸锅海报,还有宣传新店的二维码。
过了三分钟,同事第二条朋友圈是炸锅邮寄出库单的照片,邮寄单上赫然写着同事的名字、手机号和收货地址,这条朋友圈的附带文字是:锅已寄出,活动真实有效。
这时我就觉得不对劲,一来是因为她之前根本不发朋友圈,二来她前两天刚说想买炸锅送给正在装修新房的女儿,这就来了免费赠送的活动,实在是蹊跷。
职业敏感告诉我这肯定有问题,于是我抱着“卧底探秘”的态度扫描了这个二维码,看看究竟是怎么一回事。
第一步,扫码上钩。
在扫码之后,过了没多一会儿就接到了一个企业微信的邀请。本着职业嗅觉,我特意在工商信息App上查询了该公司的注册信息,发现是存续状态,也没有什么诉讼和风险提示的黑历史。
工商信息显示该公司的成立日期是今年3月30日,而且还是电子商务公司,很容易联想为新成立的企业做活动赔本赚吆喝促销量。到这一步还没发现什么异常。
第二步,发朋友圈。
受邀通过之后,一个名为“登记员”的“工作人员”会客气地询问是不是参加领取空气炸锅活动。在得到肯定的答复后,“登记员”让我发第一条朋友圈,内容和之前同事发的一致。
在确认我发的朋友圈截图后,询问了我的地址电话姓名,当然我提供的都是假信息。“登记员”随即给我发了一个出库邮寄单的照片,邮寄单上印着我提供的收货信息,需要我用这张照片发第二条朋友圈:活动真实有效。
到这里有点意思,连邮寄单都能看见,戏做得很足。这一步诈骗分子有两个目的,一个是让你相信这个活动是真实的,顺便看看你是否“听话”,以便评估上套的难易程度;另一个是通过你个人的朋友圈信誉拉更多好奇的“下线”扫码,类似于传销的套路。
第三步,羊入狼群。
两条朋友圈发完,开始了真正的套路,把我拉进了企业微信群。
入群后,会发现参加活动的“群友”们七嘴八舌把自己的质疑都问了,给人一种“大家和你都在一条船上”的感觉。到目前,群消息的重点还是在空气炸锅上。
不过这里开始显露马脚,作为群主角色的“小玉”,主要发言都是图片形式而不是文字。就像准备好的模板,而且提前预知了大家想要说什么。
第四步,群托表演。
在炸锅邮寄的话题得到确认之后,群主甩出了铺垫这么久的真正目的——刷单返利诈骗。“群友”变“群托”秀演技的时刻到了。
有“群友”抛出了问题和质疑。请大家关注X雯雯的发言,她略带锐利的发言代表了很多受害者当时的真实想法。
此时,已经有“群友”带着质疑的态度小试了50元的牛刀,随后放出了58元返利的截图。后面“群友”的胆子越来越大,金额从50元至100元,再到3000元,无一例外都在五分钟内发送了返利提现到账的截图。
此时,之前一直狂怼群主的X雯雯也开始“相信”,投了1万,很快放出1.3万返利的截图。
聊天记录里的金额越来越大,随着某“群友”相继投入5万、10万大额资金并收回不菲的返利后,“剧本”表演结束,群主开启了全员禁言。
在以上节选的诈骗群聊天记录中,可以分析出这些发言的账号无一例外都是由一个团伙操作的“托儿”,而且头像应该是从网上随机爬来的。所有截图和聊天剧情推进都是早已准备好并实操过很多遍的固定套路,已经相当熟练。
在这个剧本中,除受害者之外,群里角色各有分工:
一个账号扮演发布任务的“群主”,负责为“活动”画饼忽悠、推进剧情;
一个账号扮演“刺儿头”,负责与受害者站在同一心理战线,先提出质疑怒怼,再选择尝试,最终尝到甜头,一系列的心态变化再加上提现成功的截图,很容易让受害人共情上钩;
一个账号扮演“土豪”,陆续抛出更大额的投资截图,以日赚过万的噱头诱导受害者头脑发热;剩下的都是“群演”,负责发布小金额截图、即兴打圆场、接茬起哄、烘托气氛等等,以加强真实性。
站在上帝视角总览全程,这就是一个典型的包裹着活动外衣的刷单诈骗“剧本杀”。到了这一步如果受害人脑子一热投资参与,那么接下来的剧本大概率就是在提现、返利的时候,“客服”以操作超时、操作错误等理由告知目前无法提现,要继续刷单,做更大的任务才能返利。
庆幸的是,虽然老同事不了解刷单诈骗的套路,但是熟悉理财产品的她计算了一下:当前银行大部分理财产品的年化收益率在3%-4%之间,1万块存一年也就300多元的收益,一天的收益平均1元。而刷单群的截图显示投资1万块5分钟的收益就3000多元,是银行理财收益的三千倍不止,折合成年化收益率是9000%以上,是股神巴菲特的450倍。
这已经不是造富神话了,而是笑话。老同事玩不转互联网,但在银行基层苦干了大半辈子的她就认一句话:收益越大,风险越大。认为这事实在不靠谱,于是她果断退出,没有遭受损失。后来老同事跟我吐槽:骗子设计圈套也好歹学点基本的经济常识好不好......
吐槽归吐槽,炸锅最后还是她自己掏钱买了。
根据我们行内掌握的宏观数据,现在刷单返利是位居榜首的诈骗类型,占到接近30%的比例,也是最容易引人上钩的人性博弈。虽然很多套路的设计既不合逻辑也违背常识,但就是止不住源源不断的受害者上当受骗。
4.
/ 来自银行人的几点建议 /
上述银行人反映的真实案例,虽然不是像商界财团间动辄上亿的刀光剑影,但却能防不胜防骗走很多人的生活费、养老钱甚至保命钱,每天都可能真实地发生在我们身边。
随着近年基于机器学习的大数据反欺诈风控技术的发展,各行业在风控领域取得长足进步,然而在巨大的经济利益驱动下,黑色产业链手段、技术也在不断发展。金融行业反欺诈在与黑产的博弈过程中,依然有一些问题难以解决:
1、部分中小银行交易量少、科技实力不足,往往由于黑产样本及建模能力的缺乏,限制自身反欺诈系统的建设,急需大型银行的海量数据及反欺诈能力已成为很多中小银行的迫切需求。
2、随着黑产行业的智能化与集团化,各类欺诈手段的特征越发隐蔽,跨行业欺诈逐渐成为常态,欺诈行为贯穿社交平台、金融App、银行、电信运营商等多个环节,各机构基于自身数据难以应对。
卡号、卡密、短信验证码等信息较易被不法分子钓鱼骗取,同时人脸识别作为身份认证技术存在被破解和被绕过的可能性,且业界暂无通用有效防护手段。
所以对于广大用户来说,做好“不贪不给不上当”的心理建设很重要。如果还是怕自己一时冲动,那么建议大家下载一个国家反诈中心App吧。
(金融八卦女频道)
责任编辑:李琳琳
产品入口: 新浪财经APP-股票-免费问股
产品入口: 新浪财经APP-股票-免费问股
产品入口: 新浪财经APP-股票-免费问股
APP专享直播
热门推荐
收起
24小时滚动播报最新的财经资讯和视频,更多粉丝福利扫描二维码关注(sinafinance)
