winggundam
Would you like to react to this message? Create an account in a few clicks or log in to continue.

為什麽詐騙短信看上去那麽弱智?

向下

為什麽詐騙短信看上去那麽弱智? Empty 為什麽詐騙短信看上去那麽弱智?

發表 由 lung 周五 8月 10, 2012 10:51 pm

你肯定收到過詐騙短信。你可曾擔心過,那些詐騙短信編得如此劣質,騙子們會不會餓死?其實,他們才沒那麼笨。





XX集團舉行三十周年大慶典,您的手機號碼獲得了20萬大獎。

爸我在外嫖娼被抓手機被沒收,快匯5萬保釋費到XX。

相信用過手機的人都收到過類似的短信,你有沒有這樣的疑問:這些已經被媒體曝光成千上萬次騙術為什麼還是一再出現?騙子們看上去實在太不好學了,怎麼也不開拓創新一下理念,這麼out的東西還有人信嗎?最近,微軟的研究人員回答了這個問題,騙子才沒我們想的那麼簡單。

從“尼日利亞王子”說起
在英文 Email 裏,最流行的垃圾郵件就是“尼日利亞王子”,大體故事情節是尼日利亞幾位高官要把巨額資金以“國家秘密”的形式轉移到國外,需要使用你的名義和銀行賬戶,轉移成功之後你將獲得上千萬美元中的 10% 作為酬勞。如果答應和這些“高官”合作,過一段時間騙子就會以事情進展不順利為由,讓你先墊付一點“微不足道”的手續費和打點官員的小費,付過幾次錢之後,對方就變得無影無蹤。“尼日利亞王子”就是這樣一種沒有任何高明之處的詐騙方式。



一封“尼日利亞王子”郵件

這種騙術在之前的紙制信件裏就開始流傳,後來是通過傳真,再到後來的電子郵件,已經有幾十年的歷史了,可謂“經久不衰”。由於不斷被冒用名義,尼日利亞政府在 1991 年不得不公開發表聲明不存在這回事,不過這封郵件直到今天依然很流行。微軟的研究人員想弄清楚的是,這封文筆都不通順、谷歌一下就能找到的郵件為什麼還一直在被騙子使用。他們為何不寫些生動形象、新穎逼真的版本?

依據損失而設定的靈敏度
在回答這個問題前,我們先把目光移向與詐騙郵件風馬牛不相及的防火警報器。

在宿舍裏,火災報器常常半夜裏叫起來,最後卻發現是虛驚一場,它為什麼這麼不靠譜?這大概是因為警報器的本身“水平有限”,傳感器總是不能區分真正的火災和吸煙產生的煙霧、空氣濕度變化、氣溫過高這些正常情況,因而就會產生兩種錯誤:不應該響的時候亂響(false positive)和該響的時候不響(false negative)。可是 false positive 和 false negative 兩種情況總是一個變小另一個就變大。如果把警報器調的靈敏一些,它就會經常沒火的時候亂響,但是有火的時候失靈的幾率就小了很多;如果讓警報器遲鈍一些,就不會半夜裏總是把人吵醒,可是真著了火它也容易不響。警報器的靈敏度是一把雙刃劍,什麼樣的靈敏度才是適當的,要視 false positive 和 false negative 兩種後果造成的損失(即成本)大小而定。對於警報器來說,如果沒火的時候亂響,損失不大,可是真有了火災它沒有發揮作用,就會造成巨額財產損失甚至生命危險,權衡利弊,我們寧願把防火警報器調的靈敏一些,讓它亂響幾次以防萬一。

警報器不該響的時候響、該響的時候不響的困擾也存在於其他很多場景,不過靈敏度卻未必總是要越高越好。例如在法庭上,如果對一個嫌疑人的指控證據不充足,處於“半有罪半無罪”的狀態,法庭也會像火災報警器一樣犯兩個錯誤:把好人冤枉成壞人(false positive)和把壞人當好人放了(false negative)。這種情況下如果把靈敏度調得高一點,就意味著“寧可錯殺一千,不可放過一個”;如果把靈敏度調得低一點,就意味著“永遠不冤枉一個好人”。比較一下兩種情況的造成的損失,如果把一個好人誤判為有罪,這樣的冤案哪怕只有幾起,也會讓法庭的公信力大大下降,比暫時放掉一個壞人的損失要大得多。所以大多數國家在這裏會把敏感度調得比較低,這就是所謂的“疑罪從無”。

騙子沒有看上去那麼笨


回到最初的問題上來,靈敏度和詐騙短信有什麼關系?微軟研究人員認為,騙子發電子郵件和上述情形有共通之處。

對於騙子來說,目標就是在茫茫人群中找到一個受騙者,把錢騙到手。不過,大家要搞清楚的是,僅僅對騙子的電子郵件有興趣,回復了郵件,只能稱得上“上鉤”,最後把錢匯到騙子手裏才稱得上被騙。人群裏最後上當的人的比例跟電子郵件內容沒很大關系,因為上鉤者不會只因為最初的郵件內容就匯錢給騙子,更關鍵的是接下來與騙子的聯系情況,一旦“上鉤者”發現不對頭的地方,就會中斷與騙子的聯系。電子郵件的質量相當於“靈敏度”,會先把人群裏一部分可能上當的人篩選出來。

騙子們的false positive和false negative就是:

false positive:把人群裏本來不容易上當受騙的人釣上來了,進行行騙。false negative:錯過了人群裏很傻很天真的人,沒有騙到他們。



容易看出,騙子整體的騙術相當低劣,而如今人們警惕性又越來越高,能上當的人的比例少之又少,可能只有萬分之一。如果“尼日利亞王子”的郵件寫得像福爾摩斯偵探小說一樣滴水不漏,相當於把靈敏度調高,false positive會變大,false negative會變小,這就意味著騙子起初需要聯系的人變多了,但最後真正上當交錢的人未必會增加多少,結果不見得劃算。

那騙子在兩種情況下的成本各是什麼呢?

false positive:騙子進行這種詐騙也不是沒有投資,群發郵件沒有多少成本,可是如果跟鉤上來的魚一對一聯系起來,成本就變大了。如果聯系的人比較多,需要雇用更多的“客服”,需要開更多的銀行賬戶,需要制作更多的假材料,甚至還有把“放蛇”的警察引進來這種風險成本。最後這些不傻也不天真的人會在深入的交流之後發覺真相,拒絕交錢給騙子,那騙子就是白忙了。

false negative:很簡單,最後交錢的人少了,騙到的錢也減少了。

綜合下來就是,徹底把一個人的錢騙到手概率不大,false positive成本不小,false negative成本沒想象的大,三個因素合到一起會迫使騙子降低釣魚的靈敏度。他們故意發一些很假的郵件,這樣上當的都是些“真傻”的受害者,可以減少跟“釣上來的魚”辛苦聯系一番,最後卻一分錢沒騙到的情形。這一方面說明,現在這年代騙子們行騙的成本越來越高,這個行業越發不景氣。另一方面也說明,騙子們其實還是很有商業頭腦的。
lung
lung
Admin

文章數 : 26067
注冊日期 : 2009-07-12

回頂端 向下

回頂端


 
這個論壇的權限:
無法 在這個版面回復文章