圖片取自Facebook
文 / 吳子青 (美國普渡大學農業與生物工程系博士生)、鄭國威
在臉書上每天都會出現的「幫我收手機簡訊」詐騙或是「攝影比賽投票」詐騙,或是「購物社團強制邀請加入」詐騙,網友早已習以為常且嗤之以鼻,認為這些詐騙手法一點創意都沒有,甚至還可以反過頭來調侃這些詐騙者。但網路詐騙者真的就如同大家認為的那樣笨嗎?如果我說這其實是一種更加高明的詐騙策略呢?
對網路詐騙者來說,行動的目的在於獲得報酬,但行動同時也必須付出成本,結果可能成功或失敗。基於這些性質我們可以利用ROC (Receiver Operator Characteristic) Curve來探討網路詐騙者策略對詐騙成功與否的效益探討。微軟研究院的Cormac Herley發表的「Why do Nigerian Scammers Say They are from Nigeria?」這篇論文提供了我們探討這個問題的切入方式。以下就該論文提出的推論方式來討論。
這問題的前提規則是在所有的N人當中,有M人是能被成功詐騙獲得報酬G,稱之為「易受騙者」及其他「不易受騙者」兩種。則d = M/N 稱為可「被詐騙率」或「可被詐騙密度」。除此之外,網路詐騙者對一個人下手,無論成功與否都必須付出成本C,而且網路詐騙者無法事先獲知誰是「易受騙者」。
依照被詐騙的對象及是否成功將會有下列四種狀況發生:
- True Positive: 網路詐騙者攻擊「易受騙者」,詐騙成功獲得報酬。
- False Positive: 網路詐騙者攻擊 「不易受騙者」,詐騙失敗。
- False Negative: 網路詐騙者忽略攻擊「易受騙者」,損失詐騙成功的報酬(失敗)。
- True Negative: 網路詐騙者忽略攻擊 「不易受騙者」。
分別將Tp (True Positive rate)定義為被攻擊的「易受騙者」人數除以所有「易受騙者」人數,及Fp (False Positive rate)為被攻擊的「不易受騙者」人數除以所有「不易受騙者」人數,並利用下式代表網路詐騙者對一群人進行攻擊是否能成功,或獲取多少報酬:
為了更方便探討攻擊人數對網路詐騙者的獲利與否, 我們將式(1)化成式(2)的不等式:
式(2)描述了 「可被詐騙密度 d 」和網路攻擊的成本及獲利間的關係。舉例來說:「可被詐騙密度」 = 1% 代表在100人中有1人是「易受騙者」,而根據式(2),如果網路詐騙者攻擊這100人,則獲利G必須要比詐騙成本C高出100倍,網路詐騙者才能從中獲利,或者必須要將詐騙成本儘量降低至獲利的1/100。
我們藉著ROC Curve也去探討網路詐騙者的攻擊策略效益分析。如圖1所示,通常水平座標為False Positive rate而垂直座標為True Positive rate。圖上的紅色曲線上的每一點代表網路詐騙者的某一種策略,例如(0.2, 0.85)代表了詐騙者的某種攻擊策略,而此種策略能成功的騙到 85% 「易受騙者」而獲利,但同時也無效的攻擊了 「不易受騙者」中20%的人而付出額外的成本。
無論在曲線上的哪一點,都必須權衡於 True Positive 的獲益但同時承受False Positive的成本付出。最佳的策略(網路詐騙方式)座落在紅色曲線上的45度角切線的點,或稱為OOP (最佳操作點,Optimal Operating Point), 並注意OOP決定於「可被詐騙密度 d」 = M/N。當從OOP點往右方曲線移動時,雖然成功詐騙的人數稍增,但無效詐騙了「不易受騙者」的人數增加很多,在這結論下我們可以發現,要攻擊的人數並非越多越好,選擇適當的人數或對象(「易受騙者」)去進行網路詐騙所獲得的獲利更高,也因此網路詐騙者通常會擬定某些策略去篩選容易詐騙的人。
對網路詐騙者來說,轉寄信、盜用臉書帳號是成本很低,並且能同時攻擊數量相當大對象的詐騙策略,聽起來似乎是相當有效的攻擊方式,但是一開始有人上鉤,就得專人聯繫,並逐步引導至最終匯款,或其他可以盜取利益的步驟,過程很繁複、成本很高。如果一開始釣上來的人相對來說警覺性較高,很可能在中間的其他過程中就察覺詐騙或中止交易的話,那詐騙者投注的成本就浪費了。這過程其實就相對於ROC Curve圖上OOP點右方的點,雖然攻擊人數多並且能有效詐騙到不少的「易受騙者」,但增加速度遠遠不及高False positive rate無效攻擊所增加的成本。
相較之下,當詐騙者選擇適當的篩選策略有效選出「易受騙者」,降低攻擊人數,雖然因此攻擊到「易受騙者」的目標較少,但False positive rate變得非常的低,只要付出有限的攻擊成本。就能相當有效地透過詐騙手段獲利。網路詐騙者用很低能、甚至重複的爛梗來騙我們,為得是找到真正低能,或是非常沒有戒心、欠缺其他社會網絡支援的人。只有這樣的人才會從一開始上鉤,乃至於到後來的許多步驟都照著詐騙者的指示或誘導去做,讓詐騙者獲得利益,減少詐騙者的成本。
所以,其實那些看似最愚笨的網路詐騙手法,其實才是真正高明的手段呢!
參考資料:
Why do Nigerian Scammers Say They are from Nigeria?
为什么诈骗短信看上去那么弱智?