近日，腾讯发布了《电信网络诈骗治理研究报告（2019上半年）》（下文称“报告”），该报告显示，近三年来，全国公安机关共破获电信网络诈骗案件31.5万起，共查处电信网络诈骗违法犯罪人员14.6万人，目前公民个人信息泄露情况依旧严峻。

男性被“色”所骗 女性为“钱”着迷

在2019年上半年中，交易诈骗、兼职诈骗、交友诈骗、返利诈骗占据了所有电信网络诈骗总数的70%。交易诈骗是指在商品交易过程中通过不发货、不付款或诱导扫描付款码，点击钓友链接实行诈骗；返利诈骗则是谎称支付指定金额后可获高倍金额返还，或购物后可获高价值赠品，引诱支付金钱或购买商品，实施诈骗。

受害人男女比列为63%和37%，也就是说男性被骗人数近乎女性被骗人数两倍。其中交友诈骗中男性受害人比例高达85%，色情诈骗男性受害人比例则是高达98%。如果说男性好色，女性则是爱财。在返利诈骗、免费送诈骗和兼职诈骗中超过一半受害人为女性。

根据数据显示，在所有受害人当中18-28岁之间的被害人所占比例高达54%，而40岁以上被害人所占比例低于30%，90后成为了被骗概率最高的群体。值得注意的是，45岁以上受害人平均受骗金额高达7000元，虽然他们触网时间较短，但是由于健康问题增加、收入来源逐渐减少等现状，养生保健和拓展收入渠道需求明显，因此更容易被诈骗分子利用和控制。

高科技成为代名词个人信息泄露是关键

从2015年6月公安部、最高人民法院、最高人民检察院、工业和信息化部、人民银行等23个部门和单位开始联合打击电信网络诈骗开始至今已经四年，在四年时间里取得了巨大的成果，但是电信网络诈骗依旧是网络空间治理的顽疾。

报告认为这种情况是由于犯罪分子的贪念作祟，亦是社会、科技、心理、法律等多方面原因共同作用的结果。在几个原因中，个人信息和高科技的作用是不可忽视的。

一份精准的公民个人信息能用来做什么呢？报告总结了黑产对个人信息的两个用法。一是进行恶意注册和养号。黑产使用大量的恶意账号和黑号提供网络身份并隐藏真实身份，以增加平台溯源难度、逃避法律追究。为保持账号的正常存续和使用，黑产利用精准的公民个人信息加入更多好友、群组，定期更新日志，开通支付等功能，甚至开设网店，使黑号更具真实感和欺骗性，也更易绕过互联网行业的安全策略。

二是使用精准的个人信息得到受害人的用户画像，从而实施精准诈骗。当公众对电信网络诈骗的既有观念还停留在“广撒网”的方式时，精准诈骗因其针对性强，更易突破公众的心理防线，为诈骗实施起到了推波助澜的作用。

个人信息泄露屡禁不止，是电信网络诈骗无法根除的主因之一。另一方面，电信网络诈骗高科技化使其更加高效，更加难以防范。

诈骗行为人会通过扫描漏洞建立后门或制作恶意SDK植入APP，获取大量包含公民个人信息的数据，并利用计算机人工智能算法等技术手段，对杂乱无章的数据进行分类整理、智能挖掘与分析，最终实现对被害人的精准画像，定向设置不同的诈骗场景，提高诈骗成功率整个过程需要很高的技术要求。

高科技甚至已经成为了黑产分子的助力。“秒拨”IP服务平台、接码平台、打码平台等黑产平台工具近期除使用AI、OCR等技术手段之外，已开始采取Hash值匹配校验与人工打码相结合的稳定方式，大幅提高了破解验证码的准确率。

金融支付机构如何反欺诈？

央行在三月下发了85号文，拉开了强化金融支付机构反欺诈反洗钱的大幕。面对目前的个人信息泄露情况和技术实力强悍的黑灰产，金融支付机构该如何做呢？

就如同前文所说，欺诈分子利用高科技使欺诈变得更为高效和难以防御。除此之外，欺诈黑产进一步的链条化、产业化且互相勾连，电信网络诈骗种类、形势不断快速变更和迭代，这些特点使反欺诈成为了一场持久战。

因此金融支付机构首先需要不断的研究、更新、升级安全治理工具和技术策略。强化涉欺诈内容在链接跳转、关联搜索、广告植入、用户信息共享等方面的审查功能，推动建立互联网信息审查处置机制，依法拦截、屏蔽不法内容并及时清理，积极消除安全隐患。

其次需要根据过往反欺诈的经验，建立针对不同手法的反欺诈治理体系，及时验证、更新、发布最新特征模型与对抗策略。提高“事前”止骗命中率，同时也要为“事中”和“事后”用户权益的维护、不法分子的打击处置，提供高效可靠的解决方案。

另一方面，需要强化用户个人信息保护。用户个人信息在欺诈过程中是不可或缺的重要因素，如果欺诈分子没有用户个人信息甚至无法进行欺诈。因此只要加强用户个人信息保护就可以从源头上打击电信网络欺诈。

首先需要减少不必要的个人信息采集。从去年开始，信安标委、网信办、工信部就个人信息安全问题、个人信息采集问题下发了多份规范、文件、草案。在这些规范文件中一个重要思想就是“只收集业务所必须的信息，不采集多余信息。”一项金融支付业务的进行并不需要太多的个人信息，只需要知道必要的信息就可以。被采集的信息越少，可能泄露的信息就越少，受害人被骗的可能性就越小。

另一方面就是加强个人信息从采集到销毁的全生命周期安全，并且要建立覆盖全生命周期的监管规则，加快行业标准、规范的建设和推广。事实上，这已经不是某个企业或者某个机构的事情，而是整个金融支付机构所要面对的任务。

最后

反欺诈是央行今年，甚至可能是以后几年的工作重点，其中会涉及到金融支付行业的方方面面，比如身份认证系统、风控系统、具体业务设计等等，必然会在金融支付行业引发风波。无论怎样，反欺诈、保护金融信息安全已经是不可动摇的潮流趋势，在这股潮流中，数据行业、互联网安全行业、金融支付行业又会有哪些变化呢？移动支付网将持续关注。

由北京移动金融产业联盟、移动支付网联合主办的2019第四届中国移动金融安全大会将于11月5日在深圳举行，今年主题聚焦金融信息安全，包括App安全、个人信息保护、信息收集权限、刷脸支付安全等，欢迎咨询手机/微信：18038063793。