“第二,交易对手是‘正常企业’(云岭茶业等空壳公司但表面合规);”
“第三,转账间隔模仿项目拨款节奏(每月一次);”
“第四,他用的是对公账户转对公账户,这类交易的监测阈值本就较高。”
李靖补充系统性问题:“当时的行业风控存在‘规则化陷阱’——过度依赖明确规则,而缺乏对‘正常但可疑’模式的识别能力。危暐研究了各大银行的风控手册,专门设计了一条‘在规则缝隙中流动’的路径。”
程俊杰展示危暐的分析笔记:“他在笔记中写道:‘银行风控的逻辑是寻找‘异常’,但如果我的所有行为都在‘正常’范围内呢?秘诀在于——理解‘正常’的定义边界,然后紧贴着边界走。’”
“更讽刺的是,”梁露调出一组数据,“张坚的前三笔转账(30万、80万、200万)确实触发了低级别预警,但系统给出的建议是‘观察’而非‘拦截’。因为按照模型,国企中层干部向贸易公司转账‘可能用于采购’,属于可解释范围。直到累计超过500万,才升级为人工核查——但那时已经晚了。”
陈涛坦言:“案发后我们才意识到,风控不能只看‘是否违反规则’,更要看‘行为模式是否合理’。现在的新模型加入了‘行为基线分析’——为每个企业客户建立正常交易模式画像,一旦偏离基线,即使单笔交易合规也会预警。”
“误报率呢?”有市民代表问。
“上升了300%。”陈涛说,“这意味着我们的风控员每天要多处理几百条误报,客户抱怨增多,一些正常业务被延迟。但去年,我们成功拦截了七起类似张坚案的早期诈骗,挽回损失超过两千万。”
李靖总结:“金融安全的悖论在于:你要在‘阻止犯罪’和‘不妨碍正常交易’之间找平衡。过去我们太偏向后者,现在必须调整天平。这会让所有人都不那么‘方便’,但这是现代社会必须支付的信任成本。”
第三轮结论显示在大屏上:
“漏洞喂养机制3:当规则被研究透彻,当‘合法伤害’成为可能,系统的防御性变成了可预测性。”
(六)漏洞链四:通信安全——被忽略的“被控端”
第四轮涉及通信运营商和手机安全。证人席上是某运营商云海分公司技术总监吴浩,以及手机安全公司的首席工程师郑峰。
张帅帅作为技术侦查负责人提问:“张坚的手机被木马控制长达九个月,为什么没有被发现?”
吴浩解释:“2019年,我们的异常通讯监测主要针对‘诈骗外呼’——即骗子主动打出的电话。对于用户手机被控后‘被动接收指令’的情况,监测能力很弱。因为从技术角度看,那看起来就像用户自己在操作手机。”
郑峰展示手机安全数据:“当时市面上大部分安卓手机,包括张坚用的那款,存在已知系统漏洞。危暐团队利用漏洞植入木马后,木马会伪装成系统进程,避开常规杀毒软件。更糟糕的是,那个漏洞的补丁早在半年前就发布了,但张坚的手机没有更新——像他这样的中老年用户,很多人根本不关心系统更新。”
程俊杰调出危暐的测试日志:“危暐在选定张坚后,专门测试了他的手机型号和系统版本,确认漏洞存在且未被修补。他在笔记中写道:‘大多数人的数字安全意识停留在‘不下陌生软件’层面,对系统级风险毫无概念。这是最大的安全红利。’”
“现在呢?”陶成文问。
吴浩:“我们升级了监测系统,现在可以识别‘异常指令模式’——比如手机在凌晨自动发送短信、频繁在转账前后启用摄像头等。去年协助警方破获了三个远程控制诈骗团伙。”
郑峰:“手机厂商现在强制推送安全更新,如果用户长期不更新,手机会不断弹窗警告直至部分功能禁用。我们还推出了‘长辈安全模式’,自动屏蔽高风险操作,但代价是……限制了部分自由。有用户投诉‘管得太宽’。”
张帅帅展示一组对比数据:“加强通信安全防护后,云海市的远程控制类诈骗案下降了65%,但客服热线接到的‘手机不好用’投诉上升了200%。这又是一个平衡问题:安全和便利,你选哪个?”
第四轮结论:
“漏洞喂养机制4:当技术进步快于用户教育,当‘默认安全’成为幻觉,每个人都是潜在的薄弱节点。”
(七)漏洞链五:身份认证——“我是谁”的廉价伪装
第五轮聚焦身份冒用问题。证人席上是公安局户政科民警孙悦,以及市场监管局的注册登记负责人周倩。
付书云提问:“危暐使用的‘李主任’身份,以及那些空壳公司的注册信息,是如何通过认证的?”
孙悦展示当年的身份证挂失流程:“2018年,如果有人挂失身份证,我们会在系统里标记。但问题是——这个标记主要影响‘本人到场办理业务’,对于‘他人持证去银行、注册公司’