20190722-中国信通院-移动数字金融与电子商务反欺诈白皮书_98页_13mb.pdf

参与单位牵头编写单位中国信息通信研究院泰尔终端实验室中移信息技术有限公司China Telecommunica on Technology Labs-Terminals泰尔终端实验室北京数美时代科技有限公司中国电信世纪龙有限公司统一推送联盟电话邦浙江每日互动网络科技股份有限公司 深圳市和讯华谷信息技术有限公司泰尔卓信科技（北京）有限公司北京数字联盟网络科技有限公司威胁猎人联洋国融 ( 北京 ) 科技有限公司北京邮电大学四川享宇金信金融科技有限公司t i移动数字金融与电子商务反欺诈白皮书 I 目录 图目录 . VI 表目录 . VII 一、移动数字金融与电子商务中的欺诈现状 . 1 1.1 移动数字金融与电子商务欺诈概述 . 1 1.1.1 营销活动欺诈 . 2 1.1.2 渠道流量欺诈 . 3 1.1.3 虚假用户裂变欺诈 . 5 1.1.4 盗取信息欺诈 . 6 1.1.5 恶意交易欺诈 . 6 1.1.6 金融支付欺诈 . 7 1.1.7 网络刷单欺 诈 . 7 1.1.8 电信欺诈 . 8 1.1.9 网贷欺诈 . 9 1.1.10 优质内容爬取欺诈 . 9 1.2 移动数字金融和电子商务领域的反欺诈场景 . 10 1.2.1 移 动用户的身份判断 . 10 1.2.2 移动欺诈的状况评估 . 11 移动数字金融与电子商务反欺诈白皮书 II 1.2.3 移动欺诈的行为判断 . 12 1.3 数字欺诈对我国经济的影响与分析 . 12 1.3.1 当前网络欺诈的现状 . 12 1.3.2 移动互联网欺诈的模型和结果分析 . 13 二、黑产欺诈态势分析 . 19 2.1 黑产欺诈问题当前态势 . 19 2.2 欺诈在移动业务中的趋势和特点 . 29 2.2.1 行为模式： “ 被动 ” 变为 “ 主动 ” . 30 2.2.2 安全漏 洞： “ 碎片 ” 变为 “ 系统 ” . 31 2.2.3 商业逻辑： “ 孤岛 ” 变为 “ 融合 ” . 31 2.2.4 变现逻辑： “ 量变 ” 变为 “ 质变 ” . 33 2.2.5 迭代速度： “ 缓慢 ” 变为 “ 迅速 ” . 34 三、移动数字金融和电子商务领域的反欺诈方案 . 35 3.1 现有反欺诈方案面临的挑战 . 35 3.2 全栈式实时反欺诈方案 . 36 3.2.1 全场景识别体系 . 37 3.2.2 全路径实时布控体系 . 37 3.2.3 全方位策略体系 . 39 移动数字金融与电子商务反欺诈白皮书 III 3.2.4 全流程运营体系 . 39 3.3 移动设备唯一性甄别实时反欺 诈方案 . 40 3.3.1 账号识别及保护反欺诈方案 . 41 3.3.2 营销活动反欺 诈方案 . 41 3.3.3 网络安全 /提供风控方案 . 42 3.3.4 互联网金融反欺诈方案 . 42 四、反欺诈的技术与效果评估 . 45 4.1 反欺诈技术体系架构 . 45 4.1.1 接入层 . 46 4.1.2 业务逻辑层 . 47 4.1.3 决策层 . 47 4.1.4 基础引擎层 . 47 4.1.5 模型数据层 . 48 4.1.6 基础平台层 . 48 4.1.7 管理层 . 49 4.2 反欺诈技术详解 . 49 4.2.1 反欺诈情报体系 . 49 4.2.2 设备指纹技术 . 49 移动数字金融与电子商务反欺诈白皮书 IV 4.2.3 实时决策引擎（规则引擎）技术 . 55 4.2.4 知识图谱 . 56 4.2.5 有监督机器学习技术 . 58 4.2.6 无监督机器学习技术 . 60 4.2.7 实时画像引擎技术 . 61 4.2.8 实时统计引擎技术 . 64 4.2.9 可信 ID技术 . 65 4.3 运营商风控技术实践 . 66 4.3.1 运营商业务风控系统 . 66 4.3.2 通信数据在风控中的应用 . 68 4.4 反欺诈效果验证与评估 . 70 4.4.1 事前评估 . 70 4.4.2 事中分析 . 71 4.4.3 事后评估 . 72 五、移动业务反欺诈的挑战及展望 . 75 5.1 反欺诈的困难和挑战 . 75 5.1.1 业务风险不确定性分散 . 75 5.1.2 风控效果不可判断性高 . 75 移动数字金融与电子商务反欺诈白皮书 V 5.1.3 认知盲区不认知性强 . 75 5.1.4 追求数据美观不务实性多 . 76 5.2 反欺诈未来展望 . 76 5.2.1 加强技术升级优化 . 76 5.2.2 基础共性技术开源 . 78 5.2.3 构建产业协作组织 . 78 5.2.4 推动完善法制建设 . 79 附录 A：移动互联网欺诈模型推演 . 80 附录 B： RETE算法详解 . 81 移动数字金融与电子商务反欺诈白皮书 VI 图目录 图 1 营销活动反欺诈示例 . 3 图 2 渠道流量反欺诈示例 . 4 图 3 虚假用户裂变反欺诈示例 . 5 图 4 网络刷单欺诈示例 . 8 图 5 反欺诈扩散模型示例 . 14 图 6 支付诈骗趋势（中国信息通信研究院） . 20 图 7 恶意机器流量趋势 （ CNNIC） . 20 图 8 黑产广告造成的人均损失 2018年网络诈骗趋势研究报告 . 21 图 9 诈骗场景示例 . 22 图 10 黑产手法及设备 . 22 图 11 黑产态势 . 23 图 12 黑产链条示例 . 23 图 13 全栈实时反欺诈方案 . 37 图 14 全路径实时布控体系 . 38 图 15 全流程闭环策略体系 . 40 图 16 反欺诈技术流程体系 . 45 图 17 反欺诈云架构 . 46 图 18 设备指纹的作用 . 50 图 19 虚拟机示例 . 51 图 20 安卓和苹果设备信息篡改示例 . 52 图 21 多开软件示例 . 53 移动数字金融与电子商务反欺诈白皮书 VII 图 22 RETE算法 . 56 图 23 知识图谱示例 . 57 图 24 黑产知识图谱建模 . 58 图 25 无监督学习 . 60 图 26 实时画像数据流转示意图 . 62 图 27 实时画像架构图 . 63 图 28 实时统计引擎示意图 . 64 图 29 运营商业务风控系统 . 67 图 30 通信大数据优势 . 69 图 31 反欺诈效果评估体系 . 72 移动数字金融与电子商务反欺诈白皮书 VII 表目录 表 1 电子商务及欺诈市场明细 . 16 表 2 拟合参数结 果 . 16 表 3 预测损失结果 . 16 表 4 欺诈损失 GDP占比预测 . 17 表 5 策略动态配置示例 . 55 表 6 风险控制与管控策略对应表 . 72 移动数字金融与电子商务反欺诈白皮书 1 一、移动数字金融与电子商务中的欺诈现状 随着移动互联网与传统金融和电子商务的深入结合， 其 不仅带给用户更便捷的使用体验，同时 极大地 推动了我国数字经济的发展。目前我国在移动互联网服务的发展深度和市场规模都已经领先全球，但与此同时，新的欺诈手段也不断衍生 。这 种 情 况 不 仅 给 我 国 广 大 消 费者造成了巨大的经济损失 ，同 时 也 影 响 了 行 业 的 整 体 形 象 ，给 我 国 移动互联网的长 期健康发展和产业创新带来 了 诸多消极影响。 按照欺诈对象的不同，欺诈行为主要分为两大类：针对用户的欺诈和针对企业的欺诈。本白皮书主要研究针对企业的欺诈行为及其防范方法 。 1.1 移动 数字金融与电子商务欺诈概述 金融和商品交易是现代经济体系的核心。随着信息技术的发展，金融和商品交易也在逐步信息化，形成了数字金融和电子商务的模式 。无论是 服务方式、获客渠道都基于现有的信息化基础设施， 极 大提升了传统经济活动的服务效率，降低了服务成本。然而，与此同时信息服务 也给欺诈 行为带来 了更多的手段和渠道，使得传统欺诈行为的危害大大提升。 以网贷平台为例，截止 2018年末， 累计出现问题的平台数量超过 4000家，占网贷平台总量的 70%以上。而在电子商务领域，根据移动数字金融与电子商务反欺诈白皮书 2 P在 2017年 10月发布的一份全球电子商务欺诈报告，电商欺诈将导致全球电商市场在 2017年损失 580亿美元。 在此背后的“黑色产业”肆虐发展，已经渗透到账号注册 、 身份伪造 、 宣传导流 、借贷支付等各个环节。据估计，相关“黑色产业”从业人员超过 500万，涉及金额达到千亿级别。总体而言，数字金融和电子商务是欺诈行为高发 的“重灾区”，成为形形色色的黑色产业攻击的主要对象。 整个市场流量“移动化”的背景下，不论是传统线下业务还是原本由 PC互联网承载的业务，都在逐步向移动端拓展。而其在整个移动互联网业务中，数字金融和电子商务是两个非常重要的领域，与广大居民的日常生活息息相关。 与此同时， 上述两个领域所暴露的 欺诈风险也越来越严峻。 具体而言 当前的移动欺诈主要包括以下几种形式： 1.1.1 营销活动欺诈 营销活动欺诈指，在企业进行新用户获客及老用户唤醒时所采取的如红包、优惠券等运营成本，被黑灰产利用技术手段不正当获利，导致营销活 动失败的场景。 在营销活动欺诈中，存在羊毛党和黄牛党两种关键角色。 移动数字金融与电子商务反欺诈白皮书 3 图 1 营销活动反欺诈示例 l 羊毛党：操纵大量账号 仿冒新用户， 参与营销活动，获取优惠券奖励 。或者 通过收取费用代人下单，从而获取利益。 l 黄牛党：操纵大量账号参与营销活动，活动购买资格，购买后，高价卖给其他用户，从而获取利益。对于比较稀缺的、价值比较高的商品，会出现黄牛党。 1.1.2 渠道流量欺诈 渠道流量欺诈指，黑灰产利用技术手段仿冒移动应用新增用户，独自或 与第三方推广平台合作，共同骗取移动互联 网应用（ App）市场运营成本 的场景 。 据 数美科技 统计， 2017年全球范围内 App安装 欺诈占总 App推广安装量的 7.8%左右，亚洲地区 App安装 欺诈占同地区总 App推广安装量的 11% 12%左右。保守估计 2017年全球由于渠道流量作弊导致的损失高达 11 13亿美元。 目前，随着移动互联网的高速发展，渠道流量作弊也呈现出快速移动数字金融与电子商务反欺诈白皮书 4 增长的趋势。 图 2 渠道流量反欺诈示例 如上图所示， App安装渠道流量作弊有不同的形式，其中常见的几种： l 机刷：通过批量地虚拟机、篡改设备等手段 ，刷安装激活； l 人刷：通过做奖励任务形式，人肉刷安装激活； l 木马刷：通过感染移动设备，在正常手机后台偷偷刷下载激活； l 点击劫持：通过恶意软件，当检测到用户下载安装某 App时，发出点击记录 。 除了这些手段， App安装渠道流量作弊也越来越隐蔽，使得检测难度越来越大，常见的伪装包括： l 通过代理 IP、位置模拟、设备型号伪装等，让群控设备看起来像是自然分布； l 在安装激活后，继续模拟后续的 App内用户行为，使得留存移动数字金融与电子商务反欺诈白皮书 5 率看起来正常； 1.1.3 虚假用户裂变欺诈 虚假用户裂变欺诈 是 指 App采用 “ 用户裂变 ” 的方式来进行推广 获客 时 ， 黑产通过 控制大量 假账号，骗取平台拉新补贴 的场景 。 当前，移动互联网用户流量红利渐渐消失， App常常使用“用户裂变”的方式进行拉新获客， 以期降低流量获取的费用。 如下图所示，所谓用户裂变，就是 将 App已有用户都是获取新用户的渠道， 即 通过一定的激励措施，刺激已有用户通过自己的关系链帮助平台拉新。 图 3 虚假用户裂变反欺诈示例 该场景中，常 依靠邀请码等方式建立师徒关系后，要求徒弟或者师傅做任务，才能获得所有奖励或者获得提现资格。例如，拉取新用户以后，需要徒弟每天 完成一定的任务量才可以获得奖励，一般需坚持 7天时间才能 将拉新奖励的 3-8元拿完。 黑产通常通过注册大量的假账号，骗取平台拉新补贴。 移动数字金融与电子商务反欺诈白皮书 6 1.1.4 盗取信息 欺诈 盗取信息欺诈指， 欺诈团伙通过高额利息、高价值奖品、高额度折扣等虚假宣传欺骗网络用户，并要求用户填写个人信息，从而实现非法盗取用户信息的目的。 相关欺诈作案手段多样，难以发现。而非法获取的公民信息又常常通过非法转卖的方式流入地下黑产 ，给居民造成巨大的隐患。 1.1.5 恶意交易欺诈 恶意交易欺诈 指，黑灰产利用移动互联网交易的便利性，在交易中的 货到付款、 退、换货政 策等 环节 中 ，利用 漏洞进行牟利 。 不同于传统的线下交易模式，在移动互联网的线上交易中，由于交易实现的便利性，交易生成的过程得到了大大简化。这在给消费带来便利的同时，也使得以欺诈为目的的大规模恶意交易成为可能。这些交易通常利用货到付款、退、换货政策等电子商务交易机制中的漏洞进行牟利，或以让商家受到损失为目的。这类欺诈通常隐蔽性更高，其中很大部分并不直接以牟利为主要目标，而来源于针对于对商业同行的恶意攻击。这类有组织的恶意交易近年来增长迅速，相关欺诈的恶意蔓延，可能对我国移动互联网健康的商业环境造成长期 重大的消极影响。 移动数字金融与电子商务反欺诈白皮书 7 1.1.6 金融支付 欺 诈 金融支付欺诈指，利用不正当的技术手段在支付的各个环节谋取不正当利益的行为。 目前，移动金融尤其是移动支付已经成为居民日常生活中不可或缺的组成部分。 目前，基于金融和支付的欺诈也在日益增长。包括利用的支付系统的漏洞在用户不知情的情况下非法盗取用户资金； 通过伪造网站、公司、项目等手段骗取用户资金； 通过一些第三方支付平台发行的商户 的 POS机 虚构交易套现； 将非法所得 的资金转移到第三方支付平台账户，在线购买游戏点卡、比特币、手机充值卡等物品 ，再对外销售进行洗钱等活动。这些行 为严重扰乱了金融和社会秩序。 1.1.7 网络刷单欺诈 网络刷单欺诈指，灰产模拟活跃用户对商品评论或购买数量进行恶意操纵，从而导致消费者 受 到欺骗或商家受到损失。 随着移动互联网业务日益发达， 评论和反馈机制对于商品质量和服务提升起到了重要作用，用户 评论 和购买数量等数据已经成为用户做出选择的重要依据。正因如此，相关业务也伴随着重大的经济价值，成为另一个欺诈高发的领域。一些商家有意的 恶意操纵 评论 ， 误导消费者做出错误选择， 严重破坏了 整个移动互联网商业生态的 信用体系 。目前， 刷好评、炒信用已经衍生为灰色产业链， 各种 刷 单 、刷 信 誉 等兼职层出不穷。 在这种情况下，很容易产业 “ 劣币驱逐良币 ”的 现移动数字金融与电子商务反欺诈白皮书 8 象，某些卖家刷好评、刷信誉度的同时，遵守规则的 商家 利益就会受到侵害 ，从而对我国数字经济的长期健康发展产生造成不良影响。 网络 刷单团伙的特点：操纵大量的账号，并通过运营刷手群或直接利 用软件工具来实现对平台玩家的粉丝数 /评论数等多项指标 进行刷榜造假；与有需求用户交易，从而谋取利益。 图 4 网络刷单欺诈示例 1.1.8 电信欺诈 电信诈骗主要通过电话、短信以及互联网联系作为主要手段的诈骗案件，意 在获取被害人的财产、银行账户等隐私信息。常见的手法有：冒充熟人进 行诈骗：如，冒充公司领导、摸清公司人员架构后向财务人员发送转账汇款指令；以中奖、退税、积分兑换等馅饼类为由，进行诈骗：如，事先获得事主购买的房产、汽车等信息，以税收政策调整办理退税为由，诱骗事主转账到指定账户；冒充公检法、公安局等政府机构，进行诈骗：如，通过收集的受害者的隐私信息如身份证号、工作单位、住址等，获得初步信任，再通过改号软件伪装移动数字金融与电子商务反欺诈白皮书 9 为警方电话，假称受害者涉嫌洗钱、非 法集资等重大犯罪案件，诱导其一步步将资金转入指定账户。 1.1.9 网贷欺诈 网贷欺诈风险是指，申请人的还款能力 无法通过互联网有效远程判断 ，申 请 人 利 用 线 上 申 请 环 节 的 漏 洞 伪 造 数 据 故 意 违 约 或 线 上 黑 色产业链利用技术手段劫持互联网贷款平台信息恶意进行团伙欺诈行为。 随着互联网 +模式的深入各个行业，互联网贷款市场也在不断扩大，随之而来的是大规模的线上逾期风险和线上黑色产业野蛮生长 。主要欺诈手段有；申领大量手机号码，同时利用这些非常用号码进行大量刷量消费从而提高信用评级；通过技术手段修改伪造身份信息、手机设备信息、位 置信息达到骗取贷款并躲避贷后催收的目的；利用公共信用信息更新缓慢的 时间差同时申请多家平台贷款，恶意透支信用度。 1.1.10 优质内容爬取欺诈 优质内容爬取欺诈，是指通过网络爬虫（又称网络蜘蛛），按照某种规则在网络上爬取所需内容的脚本程序。 对于被爬取内容的各种资讯类 App来说，损失非常巨大。这些平台雇佣大量编辑人员，投入大量时间、金钱成本、写出 运营出的高质量内容，却很快被爬虫窃取，形同侵权。 移动数字金融与电子商务反欺诈白皮书 10 再以各类出行机票类 App为例，此类 App上的机票价格大都采用动态定价的方式，服务器会结合当下浏览量判定机票的抢手程度并且调整价格。这时如果有大量爬虫在浏览 App，算 法 就 会 给 出 和 实际情况并不符合的定价，这也会损伤消费者购买到廉价产品的权益。 爬虫带来的危害远非如此，爬虫的行为会极大地增加数据分析难度，文章浏览量的失实让我们误判人们对新闻事实的关注程度、爬虫衍生出的虚拟 IP需要在数据清洗时剔除 技术越高超的爬虫，在行为模式上就越接近真人，也就更加增加数据分析时的难度。久而久之，那些我们以为从人类行为中寻找规律的算法，反而寻找到的是机器人的行为规律。 总体而言，爬虫盗取内容和数据的行为对企业危害甚大，不仅会降低企业内容新鲜度，甚至侵犯企业敏感数据、增加企业运营风险。 1.2 移动数 字金融 和电子商务领域的反欺诈场景 1.2.1 移动用户的身份判断 现在绝大部份 APP和网站在注册时都是需要利用手机号、 IP等基础资源。大部分欺诈行为也是首先囤积虚假 账号 然后进行后续的针对不同场景的欺诈行为。特别是当电商行业有某个重要的促销活动前（例如天猫双十一、京东 618）， 黑 灰 产 会 进 行 大 量 囤 积 账号 的行为；其中去年双十一时，电商平台遭遇的虚假注册 账号 已达到 160万次。虚假 账号 的识别 是 反欺诈场景的基础，也是企业对抗黑灰产的基础。 移动数字金融与电子商务反欺诈白皮书 11 1.2.2 移动欺诈的状况评估 在移动欺诈的场景中，企业自身 对 欺诈状况的掌控 是至关重要的。反欺诈与传统安全最大的区别在于，传统安全是边界安全，而业务场景下的反欺诈安全是叫安全可控。而反欺诈场景下的安全更多关注的不是企业是否存在容易被攻击的漏洞，而是企业的业务逻辑是否容易被黑灰产利用，黑灰产在企业各个场景下的欺诈成本有多少。例如，最开始黑灰产赚取 100元只用消耗 1元的成本，在企 业上线了很多策略后，黑灰产仍然能投入 1元赚取 100元的话，那说明这些策略的堆积并没有发挥作用。因此在移动欺诈场景下的状况评估，是通过对黑灰产攻防成本的监测和企业业务逻辑漏洞及流程缺陷进行监测，了解企业的移动欺诈 的状况。 可以从以下几个维度去判断： 虚假 账号 量 注册风险 登录风险 流量欺诈风险 内容风险 活动风险 数据风险 设备风险 移动数字金融与电子商务反欺诈白皮书 12 1.2.3 移动欺诈的行为判断 黑灰产在进行欺诈行为时，都会有一定的规律行为，而为了投入产出比的最大化，往往会利用自动化工具和脚本去运行这些固定的操作行为，让其看起来更像一个正 常人的操作，避开企业的风控策略。 例如某刷单厂商的整个刷单流程 需要经过待刷物品资料整理，模拟浏览，模拟聊天，付款，确认好评等步骤完成。 从以上整个流程来看，黑灰产进行刷单欺诈时其模仿正常用户的行为非常细致，并且 所使用的电商账号大多跟正常买家无异，所以电商平台需要通过多维度特征加行为分 析才能够有效识别出刷单的欺诈行为。 除此之外，还可以通过设备维度判定欺诈行为，可借助反欺诈工具 ，如“ 可信 ID”， 判 定 移 动 设 备 唯 一 性 。 若 设备是真实的，其背后的用户可能是真实的 ；若 设备是虚假的，其背后的用户则存在一定的风险。 1.3 数字欺诈对我国经济的影响与分析 1.3.1 当前网络欺诈的现状 目前 ， 我国 互联网在用户规模、业务模式创新、新零售与文娱产业等多个方面持续保持着快速增长，根据 CNNIC 发布的第四十一次中国互联网络发展状 况统计报告，中国网民规模在已经超过 8亿，普及率 超过 60，其中移动互联网用户占比达超过 90。与此同时，移动数字金融与电子商务反欺诈白皮书 13 基于移动互联网的应用场景不断丰富，移动支付比例已经超过 70，网络娱乐用户规模持续高速增长，网络直播用户年增长率超过 100，电子商务、网络游戏 、网络广告收入水平增速均在 20%以上。 但在享受互联网带来的生活品质提高的同时，我国用户也在遭遇多种有组织的网络欺诈行为。根据 CNNIC数据统计，在 2018年 30以上的网民遭遇了个人信息泄漏，超过 25的用户遭遇网上诈骗，23.8的用户遭遇了病毒或木马攻击， 19.2的用户账号或密码被盗。全年境内感染病的移动毒终端累计超过 3000万台，国内被篡改网站累计超过 7万个，安全 漏洞累计 18901个，其中高危系统漏洞累计7654个，较 2017年增长了 31。 对互联网行业的企业而言，灰色产业带来的不仅对正常业务的打扰更是真实的经济损失。 对于很多移动互联网企业 ，在 开 拓 市 场 之 初 ，纷纷推出了花样繁多的优惠活 动 。这 些 优 惠 在 吸 引 了 众 多 用 户 改 变 使用习惯的同时，也成为了灰色产业从业人员的目标。 大量不法分子 利用作弊软件与作弊硬件，通过绕过监控规则，通过虚假身份欺诈套利，获利丰厚，甚至 渐 渐 形成了 整套的灰色产业 链 。而 这 些 产 业 因 为 自 身的隐藏性与反侦察性并不为社会公众所感知。 1.3.2 移动互联网欺诈的模型和结果分析 数字金融及电子商务中的欺诈行为中，不管是企业还是消费者都可能成为 受害方。在进行服务的过程中，当一方采取虚假信息或者其他不正当手段欺骗、误导另一方，使得其在违背其真实意图的情况下移动数字金融与电子商务反欺诈白皮书 14 完成业务或服务，就构成了欺诈行为。 广义上来看，欺诈也是一种经济行为，并且通常可以带来超额利润，从而引起更多参与者的加入。从这个角度来看，是一种欺诈也可以看 作 是一种“反应 扩散”模型。反应扩散模型是一个同 时考虑扩散、迁移和增长的模型。 具体而言，构成移动互联网服务欺诈的组成部分如图 2所示： 图 5 反欺诈扩散模型示例 在欺诈者与受害 者 （商家和用户都可能成为欺诈者）的行为模式影响下，通过移动互联网服务为平台，与外部环境相互作用，形成欺诈者与受害者的反应扩散模式，最终使得移动互联网反欺诈行为 经过作用与反馈的不断迭代，形成较为成熟的模式。 从这种角度来看，欺诈模式的形成类似于传染病的传播模型，作为欺诈者和受害者都在不断的迁移、发展和退出。 同时，需要假设 反应扩散的过程 使在移 动互联 网的“状态空间”中连续变化，个体（欺诈行为）随机迁移并以相同的概率向各个方向（移动互联网的不同业务）扩散。其中，反应是指在这一过程中，欺诈者和被欺诈者之间的相互作用 一方面是在 欺诈者数量 ，欺诈所 获得 的收益 的条件下， 新的 欺诈行 者被“激发”出来，并表示为 。 以及 由于 某种 欺诈行SI移动数字金融与电子商务反欺诈白皮书 15 为带来的回报而诱使 其他欺诈 人员参与，并使得欺诈 “竞争激烈”并引发更严格的监管，使得欺诈 代价提升 。 作为一个典型的反应扩散模型， 可以看到欺诈者数量 ，欺诈所获得的收益 是相互耦合的， 欺诈者的数量会影响欺诈的收益，反过来欺诈的收益情况又会“激发”新的欺诈者。 与此同时， 和任何的经济行为一样，无论是欺诈者数量 还是欺诈所获得的收益 ，都会随着时间不断“扩散” 在不同领域中，欺诈者和收益都将沿着 “梯度”方向进行扩散，向着收益更大的方向 上演化。 在均匀的初始条件下，经过长时间的演化， 最终 通常会 呈现出某些宏观的空间特性（例如在电子商务和数字金融领域，欺诈发生的频率明显增高）。 具体推导过程可参照附录 A。 根据 我国电子商务、数字金融的市场规模以及我国近年来上述领域由于欺诈造成的 损失统计值来插值计算上述几个系数 。根 据 本 白 皮书参与单位联合提供的数据，首先我们统计出可疑账号的数量 ，从2014年到 2018年依次为 330万、 412万、 534万、 723万、 1060万 。 为了估算出从 2014-2018年欺诈造成的 总体（直接） 损失，我们选取了 653组调研和实际案例，并依此估算 欺诈造成的损失。 根据各年的案例估算每欺诈账户每年获得的收益为 3.13万、 3.98万、 4.51万、 4.24万、 3.31万。 (,)GSISISI移动数字金融与电子商务反欺诈白皮书 16 表 1 电子商务及欺诈市场明细 时间 电子商务市场规模（万亿） 数字金融市场规模（万亿） 欺诈造成的损失（亿） 疑似 欺诈者 账号 数量（万） 单账户欺诈造成年均的损失（ 万 元） 2014 12.6 8.1 1032 330 3.13 2015 16.9 11.2 1642 412 3.98 2016 19.3 15.7 2411 534 4.51 2017 22.4 16.1 3072 723 4.24 2018 25.2 17.2 3513 1060 3.31 不难看到，随着疑似欺诈账户的增加 ，使得欺诈的同行“竞争”更加激烈，并使得相关企业投入更多资源用于反欺诈 ，造 成 了 欺 诈 的收益率降低 ， 这也从侧面验证了 本文所提出的欺诈数学模型的有效性 。同时， 根据上述数据对本本模型进行参数拟合，可以得到 表 2 拟合参数结果 参数 数值 0.002 0.013 0.15 0.31 基于上述参数， 如果 我国移动互联网 产业发展以及 欺诈情况 继续维持当前现状，则未来 可能造成的 损失预测如下： 表 3 预测损失结果 年份 疑似欺诈者账号数量（万） 单账户欺诈造成年均的损失（万元） 欺诈造成的总损失（亿） 2019 1250 3.09 3870 2020 1310 3.93 5150 2021 1740 3.41 5940 2022 2300 3.08 7100 从统计结果来看， 2018年我国移动互联网欺诈造成的损失大约相当于我国当年 GDP的 0.3%。但 是 ，如 果 GDP保持在 6.5%的速度发展，则按上述预测，从 2019年到 2022年，互联网欺诈可能造成的损失占 GDP的比例依次为 abpq移动数字金融与电子商务反欺诈白皮书 17 表 4 欺诈损失 GDP占比预测 年份 2019 2020 2021 2022 欺诈造成的 损失占 GDP的比例 0.4% 0.5% 0.55% 0.61% 注意实际情况中，还存在大量未被发现的欺诈账号和欺诈行为，同时随着我国数字经济的发展，新的业务和新的欺诈形式也可能同时出现。因此， 在 实际中欺诈造成的损失很可能比本文推算的 更大。 移动数字金融与电子商务反欺诈白皮书 19 二、 黑产 欺诈态势分析 2.1 黑产欺诈问题 当前 态势 随着“互联网 +”的快速发展，包括金融、教育、医疗、零售、出行等在内，越来越多的行业与互联网深度结合，为消费者提供越来越便捷的服务。与此同时，越来越多的黑灰产也盯上了这里的巨大利益，网络 欺诈呈现出愈演愈烈的趋势。 研究报告欺诈经济学：规避快速增长和创新中的风险中指出 ，黑产从业人数高达 150万， 2015年网络欺诈损失占 GDP比例多达0.63%，约 4000多亿人民币。这些只是欺诈造成的直接经济损失，在这之外， 欺诈 造成的客户信任、 品牌 形象等方面的损失则难以衡量。 黑产欺诈问题 具体包括：支付诈骗交易规模逐年增长， 互联网恶意机器流量规模及增长率趋势逐年增长，黑产广告造成的损失逐年增长。 具体而言， 白皮书试图 从黑产的涵盖范围，黑产的技术手段，黑产的 实施方式及黑产的产业链条等四个维度论述黑产的欺诈态 势。 移动数字金融与电子商务反欺诈白皮书 20 图 6 支付诈骗趋势（中国信息通信研究院） 图 7 恶意 机器 流量趋势（ CNNIC） 移动数字金融与电子商务反欺诈白皮书 21 图 8 黑产广告造成的人均损失 2018年网络诈骗趋势研究报告 2.1.1 黑产 无孔不入，损失 巨大 如下图所示， 黑产遍布 金融，电商 /新零售，社交，出行，游戏等多个领域， 多个行业，造成的损失高达 4000亿，破坏极大。在银行转账，反欺诈，信用卡盗刷，刷帮刷单，广告导流，虚假用户裂变，盗 刷积分，渠道流量作弊等多场景下，都有黑产的相关身影。 移动数字金融与电子商务反欺诈白皮书 22 图 9 诈骗场景示例 2.1.2 黑产 作恶多端，手段多样 黑产手法多种多样，包括伪基站、猫池、卡池、设备农场、打码平台、积分墙等。 图 10 黑产手法及设备 2.1.3 黑产灵活多变，进化神速 黑产 7*24小时实时盯守，发现漏洞及时行动，发现被拦截后及时更改策略，进化神速；同时 黑产并且遍布全球，全球协同进化，技术全球范围转播，升级速度快。 移动数字金融与电子商务反欺诈白皮书 23 图 11 黑产态势 2.1.4 黑产链条完备，分工明确 黑产上下游分工明确，形成了产业链。 图 12 黑产链条示例 2.1.4.1 黑产情报 对于当今组织化规模化越来越强的黑灰产团伙来说，挖掘攻击情报往往是获利的第一步，团伙中会有专门角色负责欺诈线报收集，把相关 活动 的 时间范围、收益变现形式等信息准确、及时地在团伙内传移动数字金融与电子商务反欺诈白皮书 24 达清楚，线报人员获取情报的来源通常包含黑灰产论坛、信息分享 QQ/微信群、电报群等。 信息获取后，就会有专门的业务渗透人员和脚本 人员 ，了解分析清楚产品逻辑、必需资源和必要工具 /脚本， 厘清活动性质 ， 如 是新 账号 首单还是老 账号 拉活，是否 涉及 地域性，是否 涉及 绑卡 等。进而基于前期分析后做出相关操作决策，如 充钱，屯号 等 ， 以 确保在活动开始前，做好准备。 2.1.4.2 核心资源获取与基础工具 巧妇难为无米之炊，单个 账号 能薅的羊毛通常会有产品限制，且 IP和设备相关限制也是企业 做风控的基础依据，所以为了能有批量收益，提前准备好海量资源是重中之重。 （ 1） 账号 欺诈 账号 的来源有两个，一个是注册，一个是盗号 。 批量恶意注册需要批量手机号短信验证码，此类 黑产分为几代： 第一代：虚拟运营商手机号，即 170、 171开头的手机号 。 虚商从 2013年发展 至今 ，已有阿里、京东、苏宁等几十家机构拿到了虚拟运营商牌照 。虚 拟 卡 主 要 应 用 在 临时场景， 办卡门槛较低，因此受到了 黑灰产网络欺诈的 青睐 。 尽管其成为 较常见 的黑产手机号来源，但因为识别简单，防御起来门槛较低。 移动数字金融与电子商务反欺诈白皮书 25 第二代：海外、传统运营商流出的黑手机卡 。其 往往是处于欠费半停机状态（只能收短信）或 0月租的号码 。当 前 ， 越来越多的企业启用语音验证码，也出现不少质量较高的手机卡，可以接听语音。这类传统黑卡需要配合历史作恶黑库来识别，防御 门槛稍高，但效率存疑。 第三代：注册时使用的手机资源还需要提升接码效率，猫池 +卡池 的工具组合应运 而生，猫池负责解码接短信，模拟正常手机的功能，卡池为猫池提供足够卡源，实现全天无人工值守自动随机换卡，猫池和卡池的关系有点像步枪和弹夹。 该类方案成熟度较高 ， 但 成本较高。 第四代：运用一、二代的卡资源，再结合三代的工具，就组成了一体化的接码平台 。一 体 化 接 码 平 台 可 承 接 各 类 运 营 商 的 手 机 号 ， 同时提供专门客户端和高并发 API接口 ，采 用 会员充值制，给黑灰产注册欺诈提供了强有力的支持。 第二个号码来源是盗号，此类黑产同样也在不 断变迁： 第一代： 木马方式盗号。该产业链有明确的分工， 有人 设计木马程序 ，有 人 专 门 传 播 /控制木马，有人收集梳理盗取的号码库， 有人负责有价值的 号码变现 ，即 “ 洗库 ” 。 随着移动互联网大潮来临，很多厂商转型移动端 。 第二代： 号码及票据方式盗号。当企业级服务的 web端存在 时 ，可利用 XSS或 CSRF等漏洞， 使得 cookie中登录票据等 私密信息的泄漏 。 在此类登录票据的有效期内，黑灰产可以利用此号码 +票据 进移动数字金融与电子商务反欺诈白皮书 26 行盗号，并引发出 多次漏洞、蠕虫恶意传播事件。 第三代： 前述 两代是通过漏洞攻防安全技术作恶，技术门槛高，且对抗激烈 。第 三 代 盗号，瞄 准了 安全链条中最薄弱的一环， 人。当前， 基于社会工程学的攻击层出 不穷，花样迭出 。 盗号是社工的重灾区，无论是批量弱密码扫号还是仿造得惟妙惟肖的钓鱼网站盗号，都是成本较低且很难彻底防御的攻击手段 。 第四代： 撞库盗号。黑灰产利用 漏洞 进行拖库 ，结 合 人 性 弱 点（ 每个人平均能记住的密码不超过 3个，复用情况普遍），用手里的 “ 库 ”进行暴力 “ 撞库 ” 成了盗号的最省力方式，且性价比很高。 （ 2）设备 用户设备是承载 账号 的硬件载体，模拟 /更换设备是黑灰产的基本 方法 ，分为以下几代： 第一代： 基于协议破解的假设备。成本较低， 但 因无 设备 唯一标识，因此 防御方法也 相对简单。通过 设计设备唯 一标识并进行检测，即可事半功倍 。 防御 重点 主要在运营维护客户端版本，兼容历史包袱。 第二代：安卓手机模拟器 。 一台 PC往往可以同时执行 15-20个模拟器 。但 该 类 方 法 门 槛 较 低 ，可 通过设备风险识别等手段可以较轻松识别。 第三代：真手机设备篡改或多开 。该类方法基于 原生移动环境，通过改机工具来实现模拟换设备操作 。 当今风控厂商的设备风险识别移动数字金融与电子商务反欺诈白皮书 27 也基本可以识别到，门槛稍高。 第四代：设备农场 。 随着羊毛党收益等不断上涨，可以支持到黑灰产启用成本更高的作恶方式，真机 设备 农场就是典 型案例，也 即俗称的手机墙 。黑 灰 产 从二手货交易平台回收旧手机，统一刷机，结合三代的改机工具，批量作恶，给企业风控带来较大威胁。 （ 3） IP 用户 IP是网络接入载体，更换 IP也是黑灰产必修课，手法分为以下几代： 第一代： ADSL拨号 。通过 一根网线反复拨号，可以拨到多个相邻 IP地址段 ，但 无 法 跨越 更大 的网 段 和地域。 所以 ADSL拨号 虽然容易上手，但防御较容易。 第二代： VPN代理 。 较传统的代理架设模式， VPN私密性较好，部分场景用于翻墙， 可模仿 跨城市 的 IP网段 ，用 初 级 黑 库 +行为逻辑可以进行防御。 第三代：专门用于黑 灰产的代理服务器 。 包含扫描代理、肉鸡代理、私搭代理平台服务等形式， IP和城市数量较多 。 但因为鱼龙混杂，良莠不齐，攻击维护成本较高。 第四代： VPS混拨 。 远程在 VPS云服务器上架设多根网线，软件实现多 线混拨，远程控制 VPS服务器拨号可以跨城市，速度快，稳定性好，稍有规模的 VPS拨号厂商，可支持几十个省份上百个城市地域移动数字金融与电子商务反欺诈白皮书 28 几十万 IP的混拨更换，是目前黑灰产使用的主流换 IP模式。 2.1.4.3 黑产业务 工具 l 打码平台 打码平台，验证码是人机识别的标配，那么自动破解验证码的打码平台服务也成了必需品，从人工打码到深度 学习自动识别破解验证码，效率和收益都在不断提升。 l 脚本 按键精灵 +脚本，看似简单，但实际上是流程控制的核心，根据产品业务流程，设计脚本，通过按键精灵来模拟用户操作，成本低又能加入各种随机因素保证模拟质量。 l 工具 资源与基础工具，组成各作恶场景的业务工具，如撞库工具、引流脚本、羊毛软件，把所有核心资源串联起来，提升作恶效率。 l 模拟器 模拟器是能在电脑上模拟手