2016年11月19日下午，由中国新一代IT产业推进联盟主办、CIO时代学院承办的“第五期金融CIO论坛：走进奇虎360”在奇虎360总部顺利举行。360企业安全集团首席反诈骗专家裴智勇在活动上发表了题为《金融诈骗与金融系统安全威胁实例分析》的主题演讲。以下为演讲实录：

　　首先自我介绍一下，刚才两位专家都是科学家，我是社会学家，科学家是通过数据找到真相，社会学家是通过数据发现社会的真理。我是360首席反诈骗专家，个人走上反诈骗道路很大原因是在我年轻的时候，曾经遭遇过一起网络诈骗，所以立志于“报复”社会走上反诈骗道路。

　　一、关于金融诈骗的一般研究

　　大家对网络诈骗了解多少。先问几个基本问题，大家觉得什么人容易被骗，男的好骗还是女的好骗？女人。老人好骗还是年轻人好骗？老人。事实真是这样么？我将揭露一个巨大的社会现实。公司与公安有一个合作平台，可接受全国用户的举报。通过该平台网络诈骗受害者的投诉，可分析出被骗的是男性多还是女性多。第一次见到这个数据时，我认为不符合多年成长的认知。但事实便是如此经过连续三年的统计，男性受害者的比例始终在女性受害者的两倍左右，男性占60%多，女性占30%多。男性比女性好骗。但从人均损失角度来看，女性人均损失比男性人均损失高出20%-30%，因此，女性轻易不上当、上当就不轻。经研究女性好骗的原因主要基于两种心理，一是习惯网购，更容易被骗。二是男性觉得女性好骗。但研究中发现，女性追求安全感，不会轻易相信陌生人。这反映的是一个社会问题。有以下几种常见的诈骗类型：

　　成规模诈骗。诈骗对象不只一两人，很多人被骗，目前有二三十种常见的诈骗类型中很多属于人多但钱不多，这是第一类诈骗。被骗的人很多钱不是很多，损失不是很大。骗的人很多，被骗的钱也就多了。其中金融理财就属于这一类，人类的共同爱好都是一样的，都想着赚钱。

　　网络诈骗。这方面我们做了很多，不同诈骗对男女的影响力是不同的。平均来说男性是女性的两倍。网上兼职找工作被骗的，男性55%、女性44%，差不太多。但对于网络游戏的，92%都是男的，视频交友诈骗99%都是男性。在金融领域，受害者比例男性占71%，女性占20多。男性比女性的比例高，但是人均损失，男性是2万，女性是4万。女性是男性的两倍。

　　信用卡诈骗。被骗人均损失较多，但人不是很多，这是一个基本形势。

　　二、盗刷信用诈骗与征信体系危机

　　（一）盗刷信用诈骗

　　最近，发现的一种新的诈骗，盗刷信用卡诈骗，用你的信用向金融机构贷款。从今年9月开始便有这种诈骗。第一起是盗刷某“小额”信贷账户。犯罪分子利用他人账户密码身份证信息申请贷款，钱转到用户账户后，犯罪分子再把钱转走。

　　前段时间接到用户报案，他被骗程度较为复杂。在某电商平台购物，由于该电商平台出现漏洞，用户个人帐单部分被修改或被清空，告知你一笔交易失败，请联系电话或一个网址，被篡改的网址可告知骗子，骗子以打电话等方式诱骗其用某支付平台贷款出18.5万，之后再将钱转到骗子账户上。这个用户当时虽然一分钱没花，但每个月都收到帐单。实际上，早期信用诈骗的形式属于小额信贷。从今年开始，大量的利用金融机构所提供的小额信贷功能，其小额信贷信贷就是30万。这种诈骗产生了以往不存在的问题。之前的诈骗发生后，损失就发生了，但现在损失后，需在未来一段时间偿还。损失钱的是银行、支付机构和被骗受害者。从法理上，刑事案件高于民事案件，银行和用户之间属于民事纠纷，用户和银行之间属于刑事纠纷。刑事案件没有解决的情况下，客户有权不还银行的钱，即便犯罪分子抓到了，钱也找不回来。99%是抓不到人的，网络诈骗案破案率也不到10%。

　　但是，如果钱不还给银行，对银行而言是一笔坏账。最终还是客户还银行的钱，不还就会影响个人信用。正是由于有这种新形式的诈骗，在借钱给其他人的时候，不仅要考虑还贷能力和意愿，还要考虑防骗能力。

　　（二）征信体系危机

　　当时看到用户报案，我们最开始以为是一个P2P贷款，后来虽然证明不是，但我们想到，如果是的话，会怎样？犯罪分子利用他人信用到某个P2P平台向第三方人借款，钱通过银行转到骗子。表面上是两个人的事，突然发现里面有五个角色，整个体系是非常混乱的。

　　由于这种诈骗形式的出现，导致以往的认知发生变化。在建立企业和个人的征信体系时，需考虑个人的防骗能力和投资意愿。即便是金融系统，安全风控也很低。

　　三、针对某个邮件盗号团伙的追踪

　　今年下半年接到了一个公司的疑似邮箱被盗案例，我们进行了分析，发现该公司数百个邮箱账户通过异常IP登录，同时对外发送大量赌博、发票类垃圾邮件，这是盗号。当时我最担心的的是在虚假的垃圾邮件中，攻击背后掩藏ApT攻击，后来追查未发现ApT攻击迹象。该经过进一步深入调研后发现，查到最早发出OA钓鱼邮件的是某个通信设备制造商邮箱，该公司的网页也被挂马。目前，已知被该邮箱盗号团伙大规模盗号的企业有29家，其中制造业9家，互联网7家，通信3家，事业单位2家，金融证券2家。该团伙控制的盗号邮箱多达几万个。

　　其中有一个服务器是属于独立注册的，发现有QQ号和手机号。手机号注册了三个网址，这三个网址是比较危险的。当然这些并不能确定这是犯罪分子，有可能他用的是其他人的手机号。通过对该事件的追索过程，发现了一起大规模攻击事件，背后隐藏着更大规模的攻击事件，企业对此毫不知情。这个问题值得我们思考。

　　企业安全有应急响应团队，一年时间对所有上门企业进行安全服务，在遭遇安全攻击的企业中，仅有31%的攻击事件是用户自行发现的，69%的攻击是被别人告知的。换句话说，企业缺乏主动发现攻击的能力。自行发现该事件的公司中，84%是因为发生显著的财产损失，只有16%的企业能够通过自查自纠的方法发现安全威胁。

　　今年，通过双十一统计的数据，诈骗短信比日常多了三倍，广告短信比日常多了五倍。冒充955开头诈骗的短信达到38%，以及100、10086。还有一种是个人信息核实认证。国家推广实名制的过程是最可怕的。没有实名认证便会失效，实名制本来是为了保护大家信息，但有很多诈骗人员冒充银行，利用这种方式盗取你的个人信息。

　　结语

　　通过平台的举报量客观现实分析，与公安机关报案量相比会少很多。一年内平台有几万起报案，不是公安的统计。因此有些结论与公安不一样。主要有两个原因：

　　第一，公安统计的报案量是立案的。如果你被骗的数量很少，公安是不立案的，但我们都会统计。我们的方式倾向于网络举报，和去做笔录是有差别。数据曾经和北京市公安局做过很多沟通，数据是有差别，但反映的基本趋势是一致的。

　　第二，受害者的年龄问题。通过统计，在网络诈骗受害者当中，90后超过60%，80后是30%左右，剩下是60后、70后。经统计双十一期间，发现00后第一次超过了60后。受害者的人数，是谁上网多谁被骗的多。对于60后和70后，网络是生活的盲区，所以被骗几率自然就低。

　　通过各种元素判断，网络诈骗多是南方人骗北方人、西部人骗东部人。其中涉及到敏感数据，补天平台2015年数据统计，共接到2万多个，其中1410个漏洞可导致用户个人信息的泄露，漏洞共涉及网站1282个，可能或已造成泄露个人信息的网站高达55.3亿条，平均每人7到8条。人信息泄露严重，如果现在开始注重个人信息保护，下一代人可能会幸免。

　　这里存在一个可怕的问题，即地方计生委的网站，一个漏洞会泄露90万新生儿的出生证明，一个出生证明泄露三个人的信息。有漏洞不可怕，关键问题在于是否及时修复。通过2015年统计，发现真正修复的仅有4.7%，修复速度虽快慢不一，但能修复就好。

　　黑客界常说一句话，世界上只有两种人，一种人知道自己被黑，一种人不知道自己被黑。各位，你们的机构是否被黑了呢？

　　再举个例子，某企业有用户反馈网页上有挂马，却查不出来。后来我们未查出任何问题。用户的反馈是真的，于是我们开始在机构里部署大数据监控设备，运行一个月，通过动态的信息发现，网站被植入动态木马，木马在用户访问的时，在页面加挂马，用户访问结束后就将其删掉。将所有网页翻一遍，一个代码都没有。数据要做到足够的监管，数据采集要到位。

　　当企业遇到重大困难时，是否愿意接受安全审计，这是一个难点。企业希望数据不出自己的企业，但事实上由于缺乏安全审计，从而使黑客趁虚而入。我的介绍就这些，谢谢！
第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。