玩轉手機號碼,讓犯罪團伙無所遁形
一個1962年出生的成功企業家前輩跟我抱怨,他的手機號不知道被誰賣了,垃圾信息一大堆,還有年輕的小姑娘說交不起大學學費,求贊助,願意「付出一切」來報答他之類的,不堪其擾。我問他為什麼不換手機號,他說,他從17歲來上海打拚到現在,從來沒有換過手機號,一是覺得麻煩,二是因為很多老熟人都知道他的手機號,換號碼的話,生意往來實在不便。
的確如此,尤其在互聯網如此發達的今天,手機號碼幾乎成了所有平台註冊的必備要素,包括各種社交平台、購物平台和金融理財平台,甚至是銀行和三方支付。所有大額支付和更改密碼等操作,都離不開手機號來接收驗證碼作為身份驗證。今天,我們就來聊一聊手機號碼於反欺詐的應用。
眾所周知,中國大陸有三大運營商:移動、聯通和電信,市場份額佔比約為7:2:1;有31個省級行政區域,其中22個省,4個直轄市和5個自治區。手機號為11位數字,其編碼規則主要是考慮運營商和省市區域。
我們可將手機號分為3+4+4組合。這裡的「3」叫做網路識別號,用於區分運營商;第一個「4」用於做地區編碼;第二個「4」是個隨機碼,也叫用戶碼。
對於網路識別碼,我們隨意問度娘,搜索結果首頁第一條就可以找到其對應關係:
中國電信號段
133、149、153、173、177、180、181、189、199;虛擬號段:1700、1701、1702;中國聯通號段
130、131、132、145、155、156、166、171、175、176、185、186;虛擬號段:1704、1707、1708、1709、171;上網卡專屬號段:145中國移動號段134(0-8)、135、136、137、138、139、147、150、151、152、157、158、159、172、178、182、183、184、187、188、198;虛擬號段:1703、1705、1706;上網卡專屬號段:147;
對於地區編碼,民間大神有過整理,例如百度文庫:
手機號碼段歸屬地數據表_百度文庫github上也有貢獻:
zengzhan/qqzeng-ip
對於用戶碼,看似是隨機碼,但事實上,一個發卡渠道的用戶碼是高度集中的。想想看你大學入學時領到的電話號碼與班級同學的號碼之間的關係,你或許就理解了(對於黃姐姐這種閑著蛋疼喜歡背手機號碼的人來說,到大學後背班級同學的手機號,只需要背最後2位,最多背5位,毫無挑戰有木有!)。
了解了手機號碼的基礎知識後,讓我們來具體看一看黃姐姐在做反欺詐時,是如何玩轉手機號碼的。
首先,來看手機號的拆解。
一、手機號前3位:可用於統計運營商分布。前面說過,三大運營商的市場佔比約為7:2:1,每個省市的側重點不同,例如,電信在某些城市可能更為強勢,在另一些城市則相對較弱。可以對每個城市的註冊用戶做一個統計,當採用無監督聚類出來的某一個群組的運營商比例嚴重偏離統計值時,則該群組可能存在較大風險。例如,在黃姐姐做的某虛假註冊的場景下,一個中國移動的大省,某200+個用戶的群組,電信比例竟高達91%,著實詭異。
二、手機號前4位:可用於比對iccid的解析手機號。這裡先科普一下什麼是iccid,iccid是sim卡的識別碼,可以理解成手機號的身份證。iccid由20位字元組成,三大運營商的編碼略有不同,分別是: 898600MFSSYYGXXXXXXP(移動),898601YYMHAAAXXXXXXP(聯通),898603MYYHHHXXXXXXXX(電信)。拿移動來舉例,M表示號段(手機號前3位),F是第4位,SS是省編號。拿到iccid後,我們便可以通過其解析出手機號前4位。這有什麼用呢?想像一個場景:你跑到一個中介那裡去請他幫忙申貸,中介說,用我的做單機幫你申吧,我這裡工具軟體裝得比較全。這裡假設做單機的手機號為1390開頭,你的手機號為1391開頭。那麼,在註冊的時候,填寫的是你自己的手機號1391,但埋點獲得的iccid則是1390手機號對應的值(sim卡)。通過對比註冊手機號前4位和iccid解析出的手機號前4位,則可以發現,這並非用戶自己手機操作,或者更準確地說,申請的手機里並沒有插著用於申請的手機號碼的sim卡(這不是繞口令,沒看懂的再讀一遍!)。那麼,背後的原因,可能會是冒用身份啊,中介代辦啊等等。
三、手機號前7位:可用於對地區聚類和比對。在基礎知識部分我們講過,手機號中間4位是地區編碼,那麼,對地區做聚類,則可以轉變為對手機號前7位做聚類。相比於前者,後者的聚類效果更強。為何這麼說呢?因為用前7位聚類,其聚集性更有說服力。舉個??,130號段,江蘇南京一共有7個:1300025,1300026,1300028-1300032。如果我們說,這群人是一個團伙,因為「一二三個原因以及他們都在江蘇南京」可能沒那麼讓人信服。但對於手機號前7位聚類出來的結果,我們可以說,這群人是一個團伙,因為「一二三個原因以及他們都在江蘇南京,並且手機號前7位還相同」,是不是相比來講更有意思些?如果這群人來找你理論,說:「胡說,我們互不相識」。好,那麼請問,南京那麼多號段,為何你們都選擇了130?就算130是你們的幸運數字,130號段有7個,你們怎麼就那麼巧都用1300032?再加上其他的一二三個原因,犯罪團伙可能就被你挖掘出來了。至於地區的對比,正常用戶中,手機號歸屬地、身份證所在地、IP解析出的地區、GPS解析出的地區、常住地址、卡寄地址等至少有兩個是一致的,如果都不一致,則風險較大。至於對每種地區如何做排列組合,大家且自己去發揮想像力吧!事實上,手機號前7位還有一個升級版玩法,就是識別偽造iccid。在黃姐姐的文章《無人行徵信,無芝麻分,無學歷,三方數據污染嚴重,可如何是好?》中介紹過一種偽造iccid的方法,其iccid可以任意輸入被更改掉。但如果我們發現,其iccid的SS省編碼與手機號中間4位地址編碼城市不符,則可判斷要麼不是一張sim卡,要麼iccid被篡改了。
四、手機號前9位:可用於對發卡渠道做聚類。在基礎知識部分,黃姐姐講到過,一個發卡渠道,手機號的用戶碼也會有一定的集中性。知道了發卡渠道集中,有什麼用呢?這一點,主要用於識別批量養卡用戶。做風控的人都知道,在信貸審核里,我們有一個指標,是看手機號的實名認證時間,通常如果一個號碼的實名認證小於半年,被駁回的可能性比較高,因為這表示你可能不是一個特別穩定的用戶,或者說,這個手機號背後的社會關係不是特別穩定(這也是文章開頭故事中,老前輩不願意換手機號的原因吧)。那麼,為了達到這個指標,騙貸團伙要麼去批量購買實名超過半年的手機號,要麼去批量養一批sim卡。而這個養卡的源頭,便是去發卡渠道購買並實名認證。所以,從發卡渠道上做聚類,也是一個比較有效的手段。在黃姐姐一個剛剛結束的項目中,發現了一個龍岩的480人的大型騙貸團伙,其所申貸的手機號就具有這類特徵,甚至是連號手機號。想必有些人知道,龍岩的電信詐騙比較猖獗,屢禁不止。這些電信詐騙用過的手機號,再進行二次利用來騙貸,可謂是對「物盡其用」這四個字的最好詮釋了!類似的案例可參考黃姐姐搜狐文章的第三個案例:
運營商數據——亟待開發的處女地
(插播:馬上到來的十一假期,黃姐姐就決定去龍岩這個神奇的地方看一看。有同行的小夥伴可以私信哦~)
其次,來看手機號的關聯。
手機號通常會存在於幾個地方:簡訊列表、通訊錄、通話詳單、緊急聯繫人的聯繫方式。特別提出:對於簡訊列表,為了方便分析,我們暫時將106開頭的系統簡訊號碼也認為是手機號碼。通過手機號碼,我們可以繪製一個大型的關聯圖譜來分析各個用戶之間的關聯關係(工具很多,不一一介紹了)。這裡,黃姐姐簡單羅列幾個可以關注的點:
1. 多人互為或共用緊急聯繫人(聯繫方式);
2. 緊急聯繫人姓名不同,但聯繫方式相同(這一點很好玩,黃姐姐甚至見過把10086備註為「爸爸」,在從通訊錄導入緊急聯繫人的時候,把這位「爸爸」導進來了,黃姐姐也真是佩服這幾位用戶的腦洞);
3. 挖掘壞人周邊;這是指,通過關聯譜圖繪製出來的社群中,假設有1個或者幾個人出現壞賬,則其他人出現壞賬的幾率則更大。具體可參考黃姐姐之前的文章:《反欺詐之血緣關係分析和犯罪傳導監測》
4. 通過歷史90+標籤,把簡訊列表的手機號做風險排序。方式如下:對每一個90+用戶的簡訊列表號碼做去重處理,再去掉10086,95555等官方號碼。其餘號碼,每在一個90+用戶中出現,就做+1分處理,最後根據得分做一個排序。這裡,名列前茅的通常是一些106開頭的系統簡訊,調查下來,發現其中不乏多頭借貸的驗證碼簡訊。這一發現很有趣,原來,除了去購買三方多頭數據以及看用戶手機安裝app list外,還有這種查看多頭的方式。另外,你還會發現壞人們都在玩什麼平台,玩哪些產品的人風險更高(賭博?網遊?)。類似的處理方式,大家還可以應用於通訊錄,通話詳單和用戶機裝app list,可鏈接wifi list,bssid等等。這種方式得到的風險指數,無論用於評分卡還是用於做聚類(需要自定義閾值),效果都不錯。
5. 虛擬號和上網號:虛擬號因為其優惠的套餐和選擇性更多的尾號,被很多人選擇和喜愛。但也被廣告推銷和犯罪份子所利用。目前來看,採用虛擬號段註冊平台的用戶,其風險指數比傳統號段的要高。此外,更有甚者,直接用145、147等上網卡號段做註冊,合著能收驗證碼就行是吧?但有些風控較弱的公司,還偏偏就沒有對此做限制,被人鑽了空子。某保險公司的一款財險app就沒有對此做限定,因此年初的一個營銷活動被大量欺詐份子薅羊毛,黃姐姐抓到這群人的時候,真是哭笑不得。。。
好啦,今天就跟大家分享這麼多。大家如果還有什麼對於手機號處理的好方法,歡迎跟黃姐姐分享 
推薦閱讀:
