最近接到了好多骗子的电话,我就顺便研究了一下。

8 月 4 日,周四

接到了一个来自 0731-81819766 的诈骗电话,打着“自称是银监会入驻京东金融处理京东白条利率过高”的幌子,想引导我按照他们的描述一步一步上钩。

刚好我一直挺好奇那些诈骗团队到底是怎么诈骗的(话术是怎样的?内部怎么分工?有标准 SOP 来解决信任问题吗?等等),于是我就假装自己啥也不会,啥也不懂,一步一步作为“被骗对象”,尝试进行体验。

当天接到诈骗电话之后,我就致电了来电归属地的长沙 110,和会议软件提供方。

获得信任

与常见的诈骗套路一样,当骗子自称是“银监会的工作人员”后,最亟待解决的问题就是“如何证明我是官方人员,来获得你的信任”。在这里,诈骗团队主要还是利用了“信息不对称”来制造双方沟通过程中的认知不一致。

制造信息不对称的方法也比较好理解,大多数人其实是很少点击“骗子实施诈骗”的页面的,对页面中包括的内容也不熟悉,骗子会使用“反问,惊叹,让你二次确认”的方法,来营造一种“你当前看到的信息不正确,肯定是你的账户确实出了问题”的景象

在我接到骗子电话时,他们基本对上图中所有高亮区域都营造了一种不正确的景象:

  1. 你的利率是 9.1%?这个利率是违法的,为什么你这里还没有更新?
  2. 为什么你这里到第三步就截止了?这里应该有一个第四步‘关闭额度’的按钮的!(在领取额度和优化下方);
  3. 为什么你在其他服务里看不到 XX 应用?这个东西之前给你发过提示,肯定是你自己忘记了!
  4. 让我在“功能反馈”中发送“申请关闭京东金融业务高利率”文案。

通过这样几步之后,大多数人可能都会感觉“诶?好像我这个东西真的不正确了,那我还是听听下一步怎么做吧。”

更进一步

如果到这里你还没有挂断电话,那骗子应该已经给你打上了“一条大鱼”的标签,然后引导你下载第三方会议软件,并且让你加入指定的会议室号码,由后续的人继续实施诈骗服务。

众所周知,很久以前骗子使用了腾讯会议进行诈骗,随着腾讯会议进行风控并且降低风险之后,骗子就会选用市面上已有的第三方会议软件,比如在我这里,骗子使用的是由“广州迈聆信息科技有限公司”提供的“迈聆会议”。

在我加入骗子提前建立的会议室之后,这里的骗子会明确自己的分工,介绍自己是“专门负责我所遇到的额度过高问题的银监会入驻京东的专门工作人员”,可能是为了引导我进一步了解自己“可能遭受的风险”,骗子在这里还以“确认我的邮箱号码”为理由,引导我在会议室的聊天中输入自己的邮箱号码,并立刻给我发送了一条诈骗邮件

这条邮件很“不幸”的被归纳进入了垃圾箱里,在我表述质疑时,骗子是这样说的“我们已经由工作人员给您发送了一封邮件,但可能之前的邮件您没有查收,被服务商错误的放在垃圾邮件里,需要您再去垃圾邮件箱中查看”,这个邮件大概是这样的:

在这里,骗子使用了一个常见的沟通方式“引导”。骗子不会自己说出来你遇到的困扰,而是会引导你查看“邮件中的相关内容”,并且自己讲出来,大概是这样的:

“先生,您看一下邮件中是怎么写的?可以麻烦您念出来吗,我们的通过全程有录音”。在这一步里,也是通过被骗对象自己讲述一件事情,给自己施加对应的暗示效果。

为了打消被骗对象的顾虑,骗子还会引导对方自己去搜索邮件中的相关信息,假如你按照骗子的指引,去百度里面搜索了“010-66279113”这个号码,那确实会发现这个是来自“银保监会的投诉热线”,有一些骗子还可以提供一套假装的资料信息,让对方进一步相信自己(假如你拿到了这一套资料,其实也没法校验,对吧)。

邮件中红色的图片是可以点击的,点击后我发现这里是链接到了美洽的一个问答机器人,因为工作的机会之前我也与美洽的同事沟通过,所以也已经将诈骗团队美洽的账户封禁了。

一个小插曲

一个比较有趣的事情在于,当我一接到这个电话之后,就理解意识到这个是骗子了。于是我也立即用另一个手机,分别联系了诈骗号码所在地的 110 以及移动客服,会议公司的客服,网络不良与垃圾信息举报受理中心 12321。但最终感觉没有哪一方可以特别的解决这个问题。

  • 长沙的警察叔叔很负责,接待了我的诉求,但因为我并没被骗,所以不知道后续怎么落地了;
  • 长沙的移动,电信客服反馈这个是虚拟号码,没法处理我这个问题;
  • 迈聆的客服说内部成立了专项组解决我的问题,让我自己退出会议即可(但我觉得迈聆不太靠谱,后文详述);
  • 12321 的官方电话打不通,没人接,打通了发现一次只能上报一个号码,公众号的体验又断档。

最后一步,只差一步

当完成前面的步骤之后,就应该到重头戏了。我也一直很期待这一步,“到底骗子会如何拿到我的钱呢”,我大概估算了一下,要么是让我分享屏幕,通过我的手机号和验证码完成账户异地登录的问题,再骗取我的交易密码之后完成转账;要么是引导我使用手机(或者去线下的英文版 ATM)在骗子的引导下完成转账。当然骗子也可能用 AIFake 的形式仿冒我的声音和视频再去骗我的家人(发散一下)。

但这个钱从哪里来呢?

终于,在演了一会戏之后,骗子终于引导我打开自己的微信,并且查看微粒贷的额度了。在这一步中,骗子想引导我查看微粒贷中的额度,并且借钱转入他们的安全账户。但是好像我的微粒贷中的额度利率和骗子话术中的文案并不一致。导致骗子在这里有一些卡壳,刚好那会我又要参与一些线上会议,于是婉拒了骗子的邀约,随便找了一个第二天下午 3 点的时候继续联系。

因此我也大概可以猜想到骗子后续的诈骗流程,首先引导我开通不同贷款产品,通过信用额度完成借款,随后引导我逐步将对应开通的贷款产品转账到骗子的对应账户中。

可能今年的工作压力确实很大,也可能是对于骗子来说我是一条已经上钩的鱼,第二天下午 3 点骗子疯狂来电,其中我接了几次又接不通。但是骗子又一直疯狂打电话。这件事让我一度感觉到“诈骗团伙的日子也不好过啊,不知道他们又是在哪个国家?每天的 KPI 是多少?”。

8 月 21 日, 周日

其实接到电话之后,我是对这件事很好奇的,一方面好奇为什么至今依然会有人上当被骗,另一方面也很好奇诈骗团队的分工合作是如何落地的。当然更无奈的是,一些国内的宣传和落地依然不那么“接地气”,比如我们在网上能搜到“96110”是反诈骗电话专线,在某些城市 96110 仅可作为外呼来电号码,而不接受去电。

但中途确实因为工作上的事情比较多,导致一直没有机会处理这件事。没想到昨天,我又接到诈骗电话了,这一次的来电号码变成了“029-85724834”,熟悉的套路 和方法,我都好奇他们的 SOP 没有变化。

依然是引导我下载迈聆会议,考虑到这件事应该过去大半个月了,我又一次联系了迈聆会议客服。他们告诉我“我们关闭了移动端共享功能哦”。

然后我尝试了一下,点击移动端投屏时确实有所风险提示,但好像这该投屏,还是能投屏……

复盘时间到

本着诈骗分子既然又给我打了电话,这么在乎我,那我也因此对这件事的前因后果进行了一些梳理。首先是我的身份信息为什么会泄露出去。

身份泄露之迷

身份信息的及时性很重要,诈骗分子肯定希望手中的联系方式是真的能打通电话的,而不是遇到“号码过期”等问题,因此信息泄露的周期不应该过长,我看了一下手头的网购记录,8 月 4 号及以前还是有几个第非京东自营的第三方店铺购买记录的,可能信息泄露的源头就在这里。

诈骗流程拆解

骗子营造的诈骗故事流程,一般都是这样的:

  1. 先利用泄露的真实身份信息,假装自己是来自银监会/保监会/银行/借贷机构的工作人员;
  2. 你在京东白条,金条中的利率过高(或者可借的额度过低),超过了国家的法定值,需要更新/你在借贷软件中的信息属于学生信息,现在已经是成年人的信息了,需要更新;
  3. 通过诈骗短信/邮件/在线会议等方式,强化被骗对象“自己不正确”的认知,为后续的诈骗做铺垫;
  4. 用“关闭贷款账户/清空额度”等各种借口,让你去别的平台借贷,然后将钱转入对应的“安全账户”,一旦钱被骗子拿到,立马就失联。

画一个流程图,那大概是这样的:

整个过程里的分工,肯定会包括第一轮“电话客服”,第二轮“会议客服”,在不同的角色中会提供对应的话术和 SOP 流程(可能并不全面,但基本都会打着“会议过程全部都有录音,事情处理完毕之后会一并提供资料”的借口)。而假如我们真的被骗了之后,就会有对应的“取现角色”,分别将大笔金额层层转账,并最终通过境外的金融网络进行提现。

不过由于我没有被骗,我一直很好奇的地方在于“骗子到底是在哪一步,将需要转账的号码发送给了被骗对象呢?”,研究了半天,大概在网上找到了对应的答案:

回想起来,骗子最开始联系我的时候,也有过类似的话术“点击京东-我的-设置-账户与安全-账号关联”,并且在其中打着“账号不安全存在风险”的幌子,提示我解绑 QQ,这样一说,整条诈骗的逻辑也就非常清楚了。

我尝试在京东中解绑了已有的 QQ 账户后,京东 App 会有这样的提示“请通过 PC 端-我的京东-账号设置-账号绑定页面,或 QQ 联合登录京东进行绑定”。而只要我完成了 QQ 账户解绑之后,骗子就可以在自己的电脑上,通过 QQ 快捷登录,并且输入我的手机号和短信,来尝试获取我的京东账户控制权。

也就是说,骗子可能会通过分享屏幕,话术引导或者其他方式,获得京东账户重复绑定的验证码,而京东在这里的风控闭环可能还不全面。这导致在某些场景中,骗子只要能获取了已有京东账号的短信验证码,就能够直接重新修改用户名,密码,并且修改对应的发票,收货地址等信息

对于被骗对象来说,从始至终都没有退登过自己的京东账户,由于骗子输入的信息量过大,又可能在过程中一些常见的安全风控手段(比如验证码,关联账户登)都被骗子绕过,最终导致诈骗方案得逞。

此外,骗子会在电话中询问“你用的是安卓还是苹果手机”,在得知我使用了苹果手机之后,会让我登录一个骗子伪造的网站“中国银保监会京东认证.com”,通过 thinkphp 搭建的客服系统获取用户信息,让我留下自己的京东账户和手机号码。我猜测如果是安卓手机,则可能会引导用户安装骗子自己开发设计的第三方 App 完成系统劫持。

很可惜的是,骗子注册的网站来自 godaddy.com,国内无法监管,我咨询了安全行业的朋友,也得知“这种诈骗网站国际上每天能发现几十个新增”,很难处理。

我们能做什么

聊完了骗子的诈骗思路,那就不免要聊聊我们如何提升自己的安全意识。

首先,从信息泄露的源头有这样的一些思路:换号码,或者针对不同的平台设置不同的收件人姓名来当例子了。换号码不一定需要置办第二张手机卡,使用类似“阿里小号”,“和多号”的第三方号码都应该是比较好的解决方案。收件人姓名则是不写完整的姓名,用“张先生/刘先生”或者“张淘宝/刘京东”之类的方式,收件地址也不一定需要精确到门牌号,从而避免自己的身份信息泄露。

其次,可以关闭京东或者其他购物平台中的“小额免密,京东快付”等相关能力,保证登录密码和交易密码不唯一,来提升购物支付时的门槛。

当然,相信天上不会掉馅饼,尽可能保证自己遇到突发事件时依然能够保持平稳的心态,避免“一遇到听起来很严重的问题”就“别人怎么说怎么办了”,遇到事情越急,可能越容易出现失控。

产品能做什么

普通大众能够做的工作有限,但我觉得技术和产品还有很多可以提升的空间。比如对应的权限边界是否可以进一步优化;对应的界面引导和防骗提示文案是否都考虑到位了;如何在“不打扰用户”的情况下,保证用户能获得尽可能多的安全保护。

产品经理很多时候可能也会面对“边界不明确”,“落地不闭环”的问题,不论大小公司可能都会发生这样的问题,我觉得也还是要保证产品经理对工作有足够的敬畏心吧。

不过……

不过说一千,道一万,还是不要轻信国外就能过“人上人”的生活吧。很多人轻信了“去东南亚的赌场混混日子,就能轻松月薪上万”,可没曾想最终都被抓去过上“被打,诈骗,被打”的循环日子了。中国人何苦为难中国人呢?