“XX集团举行三十周年大庆典，您的手机号码获得了20万大奖。”

“爸，我在外嫖娼被抓手机被没收，快汇5万保释费到XX。”

相信用过手机的人都收到过类似的短信，你有没有这样的疑问：这些已经被媒体曝光成千上万次骗术为什么还是一再出现？骗子们看上去实在太不好学了，怎么也不开拓创新一下理念，这么out的东西还有人信吗？最近，微软的研究人员回答了这个问题，骗子才没我们想的那么简单。

从“尼日利亚王子”说起

在英文 Email 里，最流行的垃圾邮件就是“尼日利亚王子”，大体故事情节是尼日利亚几位高官要把巨额资金以“国家秘密”的形式转移到国外，需要使用你的名义和银行账户，转移成功之后你将获得上千万美元中的 10% 作为酬劳。如果答应和这些“高官”合作，过一段时间骗子就会以事情进展不顺利为由，让你先垫付一点“微不足道”的手续费和打点官员的小费，付过几次钱之后，对方就变得无影无踪。“尼日利亚王子”就是这样一种没有任何高明之处的诈骗方式。

【一封“尼日利亚王子”邮件】

这种骗术在之前的纸制信件里就开始流传，后来是通过传真，再到后来的电子邮件，已经有几十年的历史了，可谓“经久不衰”。由于不断被冒用名义，尼日利亚政府在 1991 年不得不公开发表声明不存在这回事，不过这封邮件直到今天依然很流行。微软的研究人员想弄清楚的是，这封文笔都不通顺、谷歌就找到的邮件为什么还一直在被骗子使用。他们为何不写些生动形象、新颖逼真的版本？

依据损失设定的灵敏度

在回答这个问题前，我们先把目光移向与诈骗邮件风马牛不相及的防火警报器。

在宿舍里，火灾报器常常半夜里叫起来，最后却发现是虚惊一场，它为什么这么不靠谱？这大概是因为警报器的本身“水平有限”，传感器总是不能区分真正的火灾和吸烟产生的烟雾、空气湿度变化、气温过高这些正常情况，因而就会产生两种错误：不应该响的时候乱响（false positive）和该响的时候不响（false negative）。可是 false positive 和 false negative 两种情况总是一个变小另一个就变大。如果把警报器调的灵敏一些，它就会经常没火的时候乱响，但是有火的时候失灵的几率就小了很多；如果让警报器迟钝一些，就不会半夜里总是把人吵醒，可是真着了火它也容易不响。警报器的灵敏度是一把双刃剑，什么样的灵敏度才是适当的，要视 false positive 和 false negative 两种后果造成的损失（即成本）大小而定。对于警报器来说，如果没火的时候乱响，损失不大，可是真有了火灾它没有发挥作用，就会造成巨额财产损失甚至生命危险，权衡利弊，我们宁愿把防火警报器调的灵敏一些，让它乱响几次以防万一。

警报器不该响的时候响、该响的时候不响的困扰也存在于其他很多场景，不过灵敏度却未必总是要越高越好。例如在法庭上，如果对一个嫌疑人的指控证据不充足，处于“半有罪半无罪”的状态，法庭也会像火灾报警器一样犯两个错误：把好人冤枉成坏人（false positive）和把坏人当好人放了（false negative）。这种情况下如果把灵敏度调得高一点，就意味着“宁可错杀一千，不可放过一个”；如果把灵敏度调得低一点，就意味着“永远不冤枉一个好人”。比较一下两种情况的造成的损失，如果把一个好人误判为有罪，这样的冤案哪怕只有几起，也会让法庭的公信力大大下降，比暂时放掉一个坏人的损失要大得多。所以大多数国家在这里会把敏感度调得比较低，这就是所谓的“疑罪从无”。

骗子没有看上去那么笨

回到最初的问题上来，灵敏度和诈骗短信有什么关系？微软研究人员认为，骗子发电子邮件和上述情形有共通之处。

对于骗子来说，目标就是在茫茫人群中找到一个受骗者，把钱骗到手。不过，大家要搞清楚的是，仅仅对骗子的电子邮件有兴趣，回复了邮件，只能称得上“上钩”，最后把钱汇到骗子手里才称得上被骗。人群里最后上当的人的比例跟电子邮件内容没很大关系，因为上钩者不会只因为最初的邮件内容就汇钱给骗子，更关键的是接下来与骗子的联系情况，一旦“上钩者”发现不对头的地方，就会中断与骗子的联系。电子邮件的质量相当于“灵敏度”，会先把人群里一部分可能上当的人筛选出来。

骗子们的false positive和false negative就是：

false positive：把人群里本来不容易上当受骗的人钓上来了，进行行骗。

false negative：错过了人群里很傻很天真的人，没有骗到他们。

容易看出，骗子整体的骗术相当低劣，而如今人们警惕性又越来越高，能上当的人的比例少之又少，可能只有万分之一。如果“尼日利亚王子”的邮件写得像福尔摩斯侦探小说一样滴水不漏，相当于把灵敏度调高，false positive会变大，false negative会变小，这就意味着骗子起初需要联系的人变多了，但最后真正上当交钱的人未必会增加多少，结果不见得划算。

那骗子在两种情况下的成本各是什么呢？

false positive：骗子进行这种诈骗也不是没有投资，群发邮件没有多少成本，可是如果跟钩上来的鱼一对一联系起来，成本就变大了。如果联系的人比较多，需要雇用更多的“客服”，需要开更多的银行账户，需要制作更多的假材料，甚至还有把“放蛇”的警察引进来这种风险成本。最后这些不傻也不天真的人会在深入的交流之后发觉真相，拒绝交钱给骗子，那骗子就是白忙了。

false negative：很简单，最后交钱的人少了，骗到的钱也减少了。

综合下来就是，彻底把一个人的钱骗到手概率不大，false positive成本不小，false negative成本没想象的大，三个因素合到一起会迫使骗子降低钓鱼的灵敏度。他们故意发一些很假的邮件，这样上当的都是些“真傻”的受害者，可以减少跟“钓上来的鱼”辛苦联系一番，最后却一分钱没骗到。这一方面说明，现在这年代骗子们行骗的成本越来越高，这个行业越发不景气。另一方面也说明，骗子们其实还是很有商业头脑的。