如何用大数据揪出一个骗子？-每日电讯报中文版

本篇文章2960字，读完约7分钟

有些人从偏远的山村低价购买身份证，然后以每张身份证几百元的价格卖给下一户人家；

黑客开发自动程序和脚本来寻找和开发最先进的移动模拟器；

在数不清的编码平台上，想赚外快的人正在手动输入他们看到的每一分钱的图形验证码；

所有的“分工”都指向一个明确的目的:使用某种o2o或财务管理应用来吸引高补贴的新家庭。

对于许多创业团队来说，新企业经常受到“薅羊毛”帮派的炮轰，并因过度补贴而被迫下线。然而，这还远远不够。在网络世界中，针对各种企业的“灰色帮派”已经集结成一支军队。

[“羊毛信息”在qq群中]

大数据会出卖骗子吗？对于薅羊毛的o2o行业来说，计费和垃圾注册可能会立刻导致一个平台瘫痪。对于互联网金融来说，恶意借贷和信用欺诈也给公司造成了巨大的损失。最可怕的问题是，这些遭受损失的公司可能根本无法找到它们的竞争对手。

哪里有压迫，哪里就有反抗。在这种“土匪横行”的危险环境中，出现了利用尖端技术实现反欺诈的“民兵”。对于通盾科技反欺诈和基础产品总监朱伟来说，他认为大数据和相关技术是一把火炬，可以赶走无知，看到敌人的一举一动。

通过对正常用户的分析，我们可以得到一个行为模型。和潜在威胁，出于恶意目的，他的行为必须不同于普通用户。

朱伟告诉雷锋，在各种数据维度上发现“骗子”的行为特征，判断潜在风险，是通盾科技的核心技术。从这个角度来看，足够大的数据量就像一瓶显影剂，这使得骗子出现在茫茫人海中。然而，什么行为会背叛骗子？

坏人的线索代表知识产权。坏人从不希望他们的受害者和警察一起来到门口。因此，当做坏事时，他需要一个代理ip。

任何访问网站的互联网用户都将被分配一个ip地址，与网站通信的过程相当于邮寄一封信。所有访客必须填写他们的地址，因为他们需要回复。“他们”显然不希望自己的真实ip地址被人知道。因此，他们会通过代理软件和跳板访问网站，这样他们就可以隐藏真实的ip地址。

我们需要做的是使用模拟的ip代理协议来检测一个ip是否向外界提供代理功能。绝大多数代理ip都可以通过扫描来识别。然而，由于ip的时效性差，有可能该ip前一天是代理ip，但第二天就变成了正常ip，所以我们的检测基本上是准实时的。

然而，代理ip只是评估访问者是否有风险的数千条规则之一。要定位一个特定的人，还需要其他的判断条件，比如准确定位这个人使用的设备。

[IP代理软件]

设备指纹

如果我面对面，我可以很容易地识别你用的是什么手机和电脑，而你的设备会在我心中留下相应的图像；但是下次我见到你的时候，我很难判断你手里的手机是否和上次一模一样。仅仅通过数千英里之外的数字和代码来为一个设备打印一个独特的“指纹”就更加困难了。

“只要设备连接到网站，系统就会在其权限范围内尽可能多地探测设备信息，如终端环境和mac地址等硬件参数。通过大量数据为每个设备分配一个id。”

朱伟告诉雷锋。搜索“雷锋”。com“公共号码注意”)设备指纹可以应用于许多场景:

许多帐户通过相同的ip地址登录网站，这种情况可能会发生。例如，一个公司的wi-fi可以连接100个同事，他们共享一个ip。但这100个同事中有10个很有可能会登录淘宝，这并不罕见。因此，在这种情况下，ip不能用作判断条件，但应该采用更精细的设备指纹。在一个特定的设备上，如果有10个账户登录到淘宝，这种行为本身就是一种异常，这表明它很有可能注册计费。

如何用大数据揪出一个骗子？

不仅如此，通过设备的指纹很容易找到单个团伙。

几个帐户同时登录在一个设备上，并且这些帐户已经登录在其他设备上。根据这种“交叉登录”行为，可以列出一个团伙使用的所有设备。当然，设备指纹作为一个重要的维度，通过结合用户提交的ip、ID信息以及用户的其他行为，可以准确描述团伙的行为和规模。

模拟机灰烬生产已经组装成了一支军队。由于它是一支军队，它将使用大规模杀伤性武器——自动工具。

这些自动化工具通常使用模拟器在电脑上模拟手机的运行环境，然后根据脚本分批执行特定的操作。如果检测到用户正在使用虚拟机登录，则用户是可疑的，因为普通用户几乎不可能使用虚拟机登录这些服务。

朱伟告诉雷锋，他注意到通盾科技的检测系统报告了某个平台的异常登录。

一天早上，一名用户试图登录多个账户，但被平台拦截；

然后他试图改变一个不同的ip地址来登录，或者它被识别；

然后，他使用模拟器登录，但他仍然被拒绝。

这是典型的异常行为。后来，我们跟踪了这个用户，发现ta最近在一个著名的“羊毛论坛”上发表了一篇关于这个平台的“薅羊毛”技术文章。根据这些数据的全球相关性，我们恢复了ta尝试“薅羊毛”的路径，并认为这是一个典型的羊毛聚会。

[一个安卓手机模拟器]

艰难的大数据，通过技术手段的判断和用户的反馈，已经在风险控制云背后积累了大量的普通用户和风险用户的数据。对于分散在各种行业和平台中的一些数据，它没有明显的价值，但是一旦将其聚合到一个统一的系统中，价值将呈几何级数增长。

朱伟称这一艰难的数据应用为“联合防御和联合控制”。他举了一个信贷行业的例子:

主要借贷平台的借款人有可能重叠。

如果一个人在平台甲申请贷款，大数据显示他在平台乙因拖欠贷款而无法讨债。此时，系统会提示平台A的用户存在很大的风险。

如果一个人在平台A上申请贷款，大数据显示他同时也在bcdef平台上申请了贷款，这说明这个人很贪财，这可能说明这个人的经济状况不好，存在一定的风险。

如果一个人在平台A申请贷款，大数据显示他已经在bcd平台上成功借款，这说明他的债务金额非常大。

当然，数据的维度并不止于此。例如，我们还可以通过高等法院的接口调查此人是否曾有过法庭纠纷。对于平台A来说，这些数据使得此人的背景并不黑暗，他们可以根据自己的风险承受能力来选择是否批准。

当然，所有的技术手段，如判断账户的交叉登录、用同一台设备的多个账户登录、用某个特定归属的电话号码用户登录等，实际上都是采用多组数据形成多个规则来筛选潜在风险的方法。为了准确地找出“坏人”，需要高质量的情报，因此各大羊毛党论坛和qq群已经成为非常重要的情报来源。

朱伟表示，当羊毛党在论坛或团体发帖征集“同伙”时，系统会根据一定的关键词自动抓取此类“羊毛信息”，然后将信息通知给相应的平台。当然，最重要的一步是测试你是否有任何防范下一轮攻击的措施。

以前有一个客户平台，他们的新产品刚刚推出。我们的系统监测到一个羊毛派对正在一个特别的论坛上关注这种产品。令人惊讶的是，在很短的时间内，他们准备好了刷牙产品的所有方法、教程和软件工具，并把它们放到了互联网上。虽然Wool Party的攻击是多种多样的，但其基本原理是相似的，比如使用不同的方法来实现代理ip，或者使用最新的模拟器来逃避模拟器的检测。在这种不断对抗的攻防中，我们要做的是不断更新自己的规则，以确保识别效果。

如何用大数据揪出一个骗子？