“刷單群的截圖顯示投資1萬塊5分鐘的收益就3000多元，是銀行理財收益的三千倍不止，折合成年化收益率是9000%以上，是股神巴菲特的450倍。這已經不是造富神話了，而是笑話。老同事跟我吐槽：騙子設計圈套也好歹學點基本的經濟常識好不好．．．．．．”

　　提到“電信詐騙”，很多人都會聯想到那些操著蹩腳口音的詐騙電話、向獨居老人推銷假冒保健品的無良銷售、內藏奇怪鏈接的各種虛假短信、在電話另一頭冒充你領導、客服、公職人員編的一個個故事．……

　　如果真的這么簡單，恐怕每年就不會有那么多受害者上當了。

　　5月17日是世界電信日，也是一年一度的防電信詐騙宣傳日。根據騰訊聯合多個團隊發布的《2021年電信網絡詐騙治理研究報告》，截至2021年11月，公安機關共破獲電信網絡詐騙案件37萬起，抓獲犯罪嫌疑人54.9萬名。

　　根據中國人民銀行披露的信息，2021年商業銀行、支付機構根據公安部門的相關指令，緊急攔截涉詐資金3291億元。這個數字什么概念？

　　四大行公布的2021年凈利潤，工商銀行3502億元、建設銀行3039億元、農業銀行2412億元、中國銀行2166億元。也就是說，相關部門光攔截下來的涉詐資金，都快趕上中國最賺錢的銀行一年創造的凈利潤了。

　　如此龐大的利益誘惑下，金融詐騙黑產的水有多深，可想而知。作為防范金融詐騙的重要前沿陣地，銀行工作人員經歷和攔截下來的電信詐騙數不勝數，他們經歷了哪些驚險和荒誕故事，八妹找了幾位銀行人聊了聊。

　　1．

　　/ 你的App，真的是你在登錄嗎？/

　　爆料人：阿萊 來自某銀行業務研發中心

　　阿萊是總行業務研發中心的員工，本身就是技術宅的他喜歡研究，再加上產品安全性也涉及他的本職工作，于是話匣子就停不下來了：

　　近年來，我們接到不少行內外關于非本人登錄App造成的資金損失事件，有的客戶單筆損失金額甚至高達幾十萬。

　　很多受害者感嘆：“我設置了人臉識別登錄，這難道還不夠安全？”

　　不見得，正所謂道高一尺魔高一丈。在當前階段的正邪技術對抗中，手機記錄著你的臉，還真未必是“你的臉”。

　　現在大部分涉及用戶隱私的App都會用人臉識別和短信驗證碼作為識別用戶的關鍵信息。出于人臉和手機號的唯一性，很多用戶便放松了警惕。但是很遺憾，這兩種認證方式的漏洞都不同程度地被黑產攻破。

　　就以我們掌握已經破獲的一個案件來說，不法分子通過“短信驗證碼+人臉識別”的方式登錄受害人的手機App，以戶主的身份開通一鍵大額支付權限，從而成功進行資金竊取。

　　根據我們掌握的信息，目前黑產破解人臉識別共有ROM注入、虛擬相機、3D活化、三色工具箱以及人臉融合等至少五種攻擊手段。換成通俗的解釋就是，黑客定制操作系統的手機進行ROM注入攻擊，篡改手機攝像頭驅動的參數，將App活體檢測過程中拍攝的現場照片替換為受害人照片，從而繞過人臉識別。

　　由于關鍵步驟可以“繞過”，所以被這種類型攻擊的人臉識別，諸如點頭、搖頭、眨眼、張嘴等驗證動作統統無效了。而且更為遺憾的是，針對此類攻擊手法目前業界尚未提出通用有效的防護機制。

　　說到這里，有的受害者會問：人臉可以攻擊，但短信驗證碼可是自己的手機號才能收到的啊！

　　這對于黑產來說就更簡單了，短信嗅探技術早已是黑產業界公開的秘密，一臺成本僅需十幾元的N手設備就可以實現。更讓人驚訝的是，用不著傳說中的黑市，這些黑產設備在老百姓日常能接觸到的電商平臺上就正在被公開售賣，甚至黑客們可以在商品問答板塊里堂而皇之地“交流技術”。

　　看到這里，如果說你的App也許正在被黑客登錄，你還會感到意外嗎？

　　2．

　　/ 不是拿板斧的都叫李逵 /

　　爆料人：大雄 某網點客戶經理

　　大雄是基層的客戶經理，由于每天在一線接觸廣大客戶，所以日常緊繃著金融反詐的神經，提到這個話題，見多識廣的他先嘆了口氣：

　　都說“陌生鏈接需警惕”，可真發生在自己身上，就未必有這個意識嘍．．．

　　前些日子我接到一個客戶的電話，幸虧這電話打得及時，阻止了一場詐騙。

　　根據郵件的二維碼進入網頁之后，客戶發現是一個名為“工資補貼管理系統”的頁面，首頁就注明了依據的國家文件和聲明，看起來還挺正規。但是后面的操作需要綁定各類身份信息，這就讓他心生疑惑，產生了警覺，所以第一時間詢問了負責代發工資的銀行，就找到了我。

　　我去問了負責企業代發工資業務的同事，他表示目前還沒接到本月的代發業務，同時讓客戶去詢問財務，也反饋根本沒有這回事。

　　很顯然，這是一個包裝精致的金融詐騙。如果客戶被補貼迷惑，按照頁面提示輸入了自己的身份證和卡號等敏感信息，那后果不堪設想。幸虧他還有一些保護隱私的意識，第一時間找到了我們核實情況。

　　根據我們行內培訓的金融反詐課程，我相信在這個頁面輸入的個人信息除了詐騙錢財之外，很有可能還會被出售。說到出售，詐騙分子太可惡了，現在黑市上充斥著各類公民敏感信息，甚至以圈外人想象不到的白菜價交易著我們熟知明星的各種身份信息，就連包教包會的黑產教程也被包裝成正規技術培訓公開售賣。

　　你看，現在詐騙分子已經不是假冒領導讓你匯錢的“初級階段”了，通過層層看似合理又致命的包裝，把黑手伸向老百姓的口袋。到底是李逵還是李鬼，可不只要看他手里拿沒拿板斧這么簡單。

　　在我們日常接觸的客戶咨詢案例中，類似于信用卡積分兌換、ETC到期更換、征信修復、網絡貸款、銀行卡凍結、安全賬戶、繳存各名目保證金……這些關鍵字都是銀行金融類詐騙信息的重災區，所以看到這些信息一定不要輕易上當，打銀行客服或者聯系你開戶所在網點，千萬不要圖省事點擊鏈接。

　　所以不管什么由頭的郵件、信息、鏈接，可不能沖動，先冷靜下來問問為什么，然后盡可能通過自己的方式聯系官方核實。

　　3．

　　/ 差點讓銀行人上當的“劇本殺”/

　　爆料人：小小  來自某銀行分行網絡金融部

　　小小是分行網絡金融部的產品經理，網絡防詐騙是她工作的重要內容之一。前一陣，熱心又專業的她及時識破微信詐騙群的騙局，幫助了一位差點上當的銀行老同事：

　　那天我看到之前的老同事一反常態連發了兩條朋友圈。一條是朋友新店開業，發朋友圈幫忙宣傳就能領空氣炸鍋，照片上是名牌空氣炸鍋海報，還有宣傳新店的二維碼。

　　過了三分鐘，同事第二條朋友圈是炸鍋郵寄出庫單的照片，郵寄單上赫然寫著同事的名字、手機號和收貨地址，這條朋友圈的附帶文字是：鍋已寄出，活動真實有效。

　　這時我就覺得不對勁，一來是因為她之前根本不發朋友圈，二來她前兩天剛說想買炸鍋送給正在裝修新房的女兒，這就來了免費贈送的活動，實在是蹊蹺。

　　職業敏感告訴我這肯定有問題，于是我抱著“臥底探秘”的態度掃描了這個二維碼，看看究竟是怎么一回事。

　　第一步，掃碼上鉤。

　　在掃碼之后，過了沒多一會兒就接到了一個企業微信的邀請。本著職業嗅覺，我特意在工商信息App上查詢了該公司的注冊信息，發現是存續狀態，也沒有什么訴訟和風險提示的黑歷史。

　　工商信息顯示該公司的成立日期是今年3月30日，而且還是電子商務公司，很容易聯想為新成立的企業做活動賠本賺吆喝促銷量。到這一步還沒發現什么異常。

　　第二步，發朋友圈。

　　受邀通過之后，一個名為“登記員”的“工作人員”會客氣地詢問是不是參加領取空氣炸鍋活動。在得到肯定的答復后，“登記員”讓我發第一條朋友圈，內容和之前同事發的一致。

　　在確認我發的朋友圈截圖后，詢問了我的地址電話姓名，當然我提供的都是假信息。“登記員”隨即給我發了一個出庫郵寄單的照片，郵寄單上印著我提供的收貨信息，需要我用這張照片發第二條朋友圈：活動真實有效。

　　到這里有點意思，連郵寄單都能看見，戲做得很足。這一步詐騙分子有兩個目的，一個是讓你相信這個活動是真實的，順便看看你是否“聽話”，以便評估上套的難易程度；另一個是通過你個人的朋友圈信譽拉更多好奇的“下線”掃碼，類似于傳銷的套路。

　　第三步，羊入狼群。

　　兩條朋友圈發完，開始了真正的套路，把我拉進了企業微信群。

　　入群后，會發現參加活動的“群友”們七嘴八舌把自己的質疑都問了，給人一種“大家和你都在一條船上”的感覺。到目前，群消息的重點還是在空氣炸鍋上。

　　不過這里開始顯露馬腳，作為群主角色的“小玉”，主要發言都是圖片形式而不是文字。就像準備好的模板，而且提前預知了大家想要說什么。

　　第四步，群托表演。

　　在炸鍋郵寄的話題得到確認之后，群主甩出了鋪墊這么久的真正目的——刷單返利詐騙。“群友”變“群托”秀演技的時刻到了。

　　有“群友”拋出了問題和質疑。請大家關注X雯雯的發言，她略帶銳利的發言代表了很多受害者當時的真實想法。

　　此時，已經有“群友”帶著質疑的態度小試了50元的牛刀，隨后放出了58元返利的截圖。后面“群友”的膽子越來越大，金額從50元至100元，再到3000元，無一例外都在五分鐘內發送了返利提現到賬的截圖。

此時，之前一直狂懟群主的X雯雯也開始“相信”，投了1萬，很快放出1.3萬返利的截圖。

　　聊天記錄里的金額越來越大，隨著某“群友”相繼投入5萬、10萬大額資金并收回不菲的返利后，“劇本”表演結束，群主開啟了全員禁言。

　　在以上節選的詐騙群聊天記錄中，可以分析出這些發言的賬號無一例外都是由一個團伙操作的“托兒”，而且頭像應該是從網上隨機爬來的。所有截圖和聊天劇情推進都是早已準備好并實操過很多遍的固定套路，已經相當熟練。

　　在這個劇本中，除受害者之外，群里角色各有分工：

　　一個賬號扮演發布任務的“群主”，負責為“活動”畫餅忽悠、推進劇情；

　　一個賬號扮演“刺兒頭”，負責與受害者站在同一心理戰線，先提出質疑怒懟，再選擇嘗試，最終嘗到甜頭，一系列的心態變化再加上提現成功的截圖，很容易讓受害人共情上鉤；

　　一個賬號扮演“土豪”，陸續拋出更大額的投資截圖，以日賺過萬的噱頭誘導受害者頭腦發熱；剩下的都是“群演”，負責發布小金額截圖、即興打圓場、接茬起哄、烘托氣氛等等，以加強真實性。

　　站在上帝視角總覽全程，這就是一個典型的包裹著活動外衣的刷單詐騙“劇本殺”。到了這一步如果受害人腦子一熱投資參與，那么接下來的劇本大概率就是在提現、返利的時候，“客服”以操作超時、操作錯誤等理由告知目前無法提現，要繼續刷單，做更大的任務才能返利。

　　慶幸的是，雖然老同事不了解刷單詐騙的套路，但是熟悉理財產品的她計算了一下：當前銀行大部分理財產品的年化收益率在3%-4%之間，1萬塊存一年也就300多元的收益，一天的收益平均1元。而刷單群的截圖顯示投資1萬塊5分鐘的收益就3000多元，是銀行理財收益的三千倍不止，折合成年化收益率是9000%以上，是股神巴菲特的450倍。

　　這已經不是造富神話了，而是笑話。老同事玩不轉互聯網，但在銀行基層苦干了大半輩子的她就認一句話：收益越大，風險越大。認為這事實在不靠譜，于是她果斷退出，沒有遭受損失。后來老同事跟我吐槽：騙子設計圈套也好歹學點基本的經濟常識好不好．．．．．．

　　吐槽歸吐槽，炸鍋最后還是她自己掏錢買了。

　　根據我們行內掌握的宏觀數據，現在刷單返利是位居榜首的詐騙類型，占到接近30%的比例，也是最容易引人上鉤的人性博弈。雖然很多套路的設計既不合邏輯也違背常識，但就是止不住源源不斷的受害者上當受騙。

　　4．

　　/ 來自銀行人的幾點建議 /

　　上述銀行人反映的真實案例，雖然不是像商界財團間動輒上億的刀光劍影，但卻能防不勝防騙走很多人的生活費、養老錢甚至保命錢，每天都可能真實地發生在我們身邊。

　　隨著近年基于機器學習的大數據反欺詐風控技術的發展，各行業在風控領域取得長足進步，然而在巨大的經濟利益驅動下，黑色產業鏈手段、技術也在不斷發展。金融行業反欺詐在與黑產的博弈過程中，依然有一些問題難以解決：

1、部分中小銀行交易量少、科技實力不足，往往由于黑產樣本及建模能力的缺乏，限制自身反欺詐系統的建設，急需大型銀行的海量數據及反欺詐能力已成為很多中小銀行的迫切需求。

2、隨著黑產行業的智能化與集團化，各類欺詐手段的特征越發隱蔽，跨行業欺詐逐漸成為常態，欺詐行為貫穿社交平臺、金融App、銀行、電信運營商等多個環節，各機構基于自身數據難以應對。

　　卡號、卡密、短信驗證碼等信息較易被不法分子釣魚騙取，同時人臉識別作為身份認證技術存在被破解和被繞過的可能性，且業界暫無通用有效防護手段。

　　所以對于廣大用戶來說，做好“不貪不給不上當”的心理建設很重要。如果還是怕自己一時沖動，那么建議大家下載一個國家反詐中心App吧。

　　（金融八卦女頻道）

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：李琳琳