臉書詐騙為何總是那麼低能？

圖片取自Facebook

文 / 吳子青 (美國普渡大學農業與生物工程系博士生)、鄭國威

在臉書上每天都會出現的「幫我收手機簡訊」詐騙或是「攝影比賽投票」詐騙，或是「購物社團強制邀請加入」詐騙，網友早已習以為常且嗤之以鼻，認為這些詐騙手法一點創意都沒有，甚至還可以反過頭來調侃這些詐騙者。但網路詐騙者真的就如同大家認為的那樣笨嗎？如果我說這其實是一種更加高明的詐騙策略呢？

對網路詐騙者來說，行動的目的在於獲得報酬，但行動同時也必須付出成本，結果可能成功或失敗。基於這些性質我們可以利用ROC (Receiver Operator Characteristic) Curve來探討網路詐騙者策略對詐騙成功與否的效益探討。微軟研究院的Cormac Herley發表的「Why do Nigerian Scammers Say They are from Nigeria?」這篇論文提供了我們探討這個問題的切入方式。以下就該論文提出的推論方式來討論。

這問題的前提規則是在所有的N人當中，有M人是能被成功詐騙獲得報酬G，稱之為「易受騙者」及其他「不易受騙者」兩種。則d = M/N 稱為可「被詐騙率」或「可被詐騙密度」。除此之外，網路詐騙者對一個人下手，無論成功與否都必須付出成本C，而且網路詐騙者無法事先獲知誰是「易受騙者」。

依照被詐騙的對象及是否成功將會有下列四種狀況發生：

• True Positive: 網路詐騙者攻擊「易受騙者」，詐騙成功獲得報酬。
• False Positive: 網路詐騙者攻擊 「不易受騙者」，詐騙失敗。
• False Negative: 網路詐騙者忽略攻擊「易受騙者」，損失詐騙成功的報酬(失敗)。
• True Negative: 網路詐騙者忽略攻擊 「不易受騙者」。

分別將Tp (True Positive rate)定義為被攻擊的「易受騙者」人數除以所有「易受騙者」人數，及Fp (False Positive rate)為被攻擊的「不易受騙者」人數除以所有「不易受騙者」人數，並利用下式代表網路詐騙者對一群人進行攻擊是否能成功，或獲取多少報酬：

為了更方便探討攻擊人數對網路詐騙者的獲利與否, 我們將式(1)化成式(2)的不等式:

式(2)描述了 「可被詐騙密度 d 」和網路攻擊的成本及獲利間的關係。舉例來說：「可被詐騙密度」 = 1% 代表在100人中有1人是「易受騙者」，而根據式(2)，如果網路詐騙者攻擊這100人，則獲利G必須要比詐騙成本C高出100倍，網路詐騙者才能從中獲利，或者必須要將詐騙成本儘量降低至獲利的1/100。

我們藉著ROC Curve也去探討網路詐騙者的攻擊策略效益分析。如圖1所示，通常水平座標為False Positive rate而垂直座標為True Positive rate。圖上的紅色曲線上的每一點代表網路詐騙者的某一種策略，例如(0.2, 0.85)代表了詐騙者的某種攻擊策略，而此種策略能成功的騙到 85% 「易受騙者」而獲利，但同時也無效的攻擊了 「不易受騙者」中20%的人而付出額外的成本。

無論在曲線上的哪一點，都必須權衡於 True Positive 的獲益但同時承受False Positive的成本付出。最佳的策略(網路詐騙方式)座落在紅色曲線上的45度角切線的點，或稱為OOP (最佳操作點，Optimal Operating Point), 並注意OOP決定於「可被詐騙密度 d」 = M/N。當從OOP點往右方曲線移動時，雖然成功詐騙的人數稍增，但無效詐騙了「不易受騙者」的人數增加很多，在這結論下我們可以發現，要攻擊的人數並非越多越好，選擇適當的人數或對象(「易受騙者」)去進行網路詐騙所獲得的獲利更高，也因此網路詐騙者通常會擬定某些策略去篩選容易詐騙的人。

對網路詐騙者來說，轉寄信、盜用臉書帳號是成本很低，並且能同時攻擊數量相當大對象的詐騙策略，聽起來似乎是相當有效的攻擊方式，但是一開始有人上鉤，就得專人聯繫，並逐步引導至最終匯款，或其他可以盜取利益的步驟，過程很繁複、成本很高。如果一開始釣上來的人相對來說警覺性較高，很可能在中間的其他過程中就察覺詐騙或中止交易的話，那詐騙者投注的成本就浪費了。這過程其實就相對於ROC Curve圖上OOP點右方的點，雖然攻擊人數多並且能有效詐騙到不少的「易受騙者」，但增加速度遠遠不及高False positive rate無效攻擊所增加的成本。

相較之下，當詐騙者選擇適當的篩選策略有效選出「易受騙者」，降低攻擊人數，雖然因此攻擊到「易受騙者」的目標較少，但False positive rate變得非常的低，只要付出有限的攻擊成本。就能相當有效地透過詐騙手段獲利。網路詐騙者用很低能、甚至重複的爛梗來騙我們，為得是找到真正低能，或是非常沒有戒心、欠缺其他社會網絡支援的人。只有這樣的人才會從一開始上鉤，乃至於到後來的許多步驟都照著詐騙者的指示或誘導去做，讓詐騙者獲得利益，減少詐騙者的成本。

所以，其實那些看似最愚笨的網路詐騙手法，其實才是真正高明的手段呢！

參考資料：
Why do Nigerian Scammers Say They are from Nigeria?
为什么诈骗短信看上去那么弱智？