咳血的獨角獸 | 互聯網幕后攻防(2)

4 評論 9417 瀏覽 34 收藏 25 分鐘

獨角獸咳血系列,主打的是黑產與公司間的攻防,也會涉及很多日常生活中的黑產與漏洞,本文為系列文章第二篇。

這個系列會出現很多篇,畢竟這些年的投資泡沫,造就了大量只求規模,對于風控不敏感的公司,很多漏洞被黑產吃的肚兒圓,甚至有幾家公司,他們也是看了我的文章才驚覺自己可能存在問題。

之前的獨角獸咳血1,由于寫的過于深入具體且指名道姓,給我帶來了一大堆麻煩。所以,風波過去后,我又可以繼續寫獨角獸咳血系列了。

這個系列中,會出現進攻內容,也會出現防守內容,攻守間的博弈,以錢為賭注,勝者把錢統統拿走,非常有趣。

而風控與黑產間的戰斗,猶如命運之風,永不止息。

01

風險控制,“知道”的人多,“了解”的人少。

老朋友們應該都知道,我本職工作是做風控的,從線下盡調、信用卡、金融、電商、安全、數據,基本每一個領域的風險管理,我都玩過,并且玩的不錯,天天與黑灰產相愛相殺。

在獨角獸咳血系列中,我想談談一些真實發生的案例,來給大家展示一下風險控制這個職業,能為公司產生什么樣的價值或者帶來什么樣的損失。

每一個案例,都是以無數金錢的代價堆出來的。

這些內容我保證是你花錢都買不到的,但也不是什么一步登天的秘籍,風控不存在秘籍,就是天天與黑產廝殺出來的本能與直覺。

需要注意的是,以下我講談及一些案例,以及其中的訣竅,功防技巧,我不會解釋細節,但是已經給了足夠多的線索。

另外,本文中我所介紹的進攻手段我自己是知道怎么防守甚至怎么反殺的。作為風控,我最開心的時刻不是擋住羊毛黨,而是直接讓他們血本無歸,我一直崇尚進攻多過防守。

集中注意,我們開始案例講解。

02

B站出事了,有人把B站后端的源代碼上傳到了GitHUB,大量程序員對這些代碼進行了下載并解析。

這件事的起因有傳言是被裁程序員的報復,這種傳言無法證實也無法證偽,所以不需要相信。

我們今天要談的不是B站,雖然B站的代碼透露出很多很有趣的策略和漏洞,但這種明擺著又要吃函的事情,我還是不做了。

今天要談的,是其他程序員對于公司命門的掌控,以及公司對于權限管理的疏于管控。

在很多人眼中,互聯網公司的程序員是存在感很弱的群體,但他們掌握的其實是公司的命門,很多時候一次不經意的更新,一個簡單的BUG,就足以導致公司萬劫不復。

尤其非常多的互聯網公司,其數據倉庫的管理是非?;靵y的。非常多業務都依賴幾張特定的數據表,并且缺乏PlanB方案,整個公司的業務維系于幾張表,這是非常大的風險漏洞。

更可怕的是,很多公司在做數倉開發時,用跳轉機中,是公用賬號,且定期清日志緩存——也就是很多大數據開發,用的是同一套賬號密碼,用這些賬號密碼做的事情,會被定期清除。

這就代表著,某些程序員,只需要在關鍵的業務節點,例如:某次大促,簡單的利用公用賬號登錄跳板機,做一個小小的定時更新程序,就可以對公司的業務造成重大的打擊。

收買這樣一個程序員利用公司本身的風控不完善做局,這樣的價格雖高,但對競爭對手而言,是非常劃算的,尤其是很干凈。

某電商類知名公司,因為某次數據事故,導致其整體財務數據和業務數據完全對不上,大量歷史數據丟失,資方質疑其數據造假,融資斷流,突然從業內掉隊,從此一蹶不振。

所以看文章的各位,是不是在注重業務之余,也要注重一些數倉的權限管控與備份呢?是不是需要內部排查一下此類問題呢?

我知道看我文章的很多是各大公司的風控安全,誠懇建議各位排查一下此類問題,權限管理和操作日志是那種看起來沒有產出,但關鍵時刻可能會要人命的東西,要謹慎。

可惜了那家本來很有前途的公司,原本是有機會在中國互聯網界闖出更大的天地。

03

很多互聯網公司在做營銷拉新的時候,很喜歡做二維碼推廣,掃碼即可XXX,掃碼即可獲得現金等等。只要別人掃了你分享的二維碼并作出簡單的操作,你和掃碼人都可以獲得獎勵。

這種活動設計的初衷是為了方便傳播,尤其是方便在微信傳播。

但很多公司在掃碼得獎的風控設計上不夠完善,導致里面存在很多漏洞,大量羊毛黨因此獲利。

既然B掃A的碼,AB都可以獲得獎勵,那么只要A的碼可以創造一個足夠多的場景,被足夠多的人掃到,那么A就可以獲得大量獎勵。

方法1:使用機器批量操作,黑產工作室利用大量設備,互相分享活動二維碼,互相掃碼(主要是點擊識別),大量套取利潤。

很多沒有防范意識的互聯網公司,尤其是O2O公司,在獲客階段,會被大量掃走預算,某知名生鮮類互聯網公司。2018年,因此造成的套利損失在千萬級別,這些損失的發生只用了不到3天時間。

方法2:很多公司后來聰明了,開始使用技術開始反設備批量互掃了,例如給每個設備制作唯一的設備ID(這個難度其實不低,尤其是H5場景無法直接獲取設備號),但是黑產們還有其他方法,例如社會工程學。

利用人為塑造的場景,來誘導真人掃碼。

我想之前大家都看到過一個新聞吧,某人使用掃碼送大白菜的方式,成功誘導大批大爺大媽來掃碼領白菜,最終獲利頗豐,還成了一個段子。

而最經典的一戰,發生在單車大戰時,那個時候,是有團隊專門在共享單車上貼營銷二維碼的,用戶在不知情的情況下,以為是開鎖,結果掃了營銷二維碼,幫黑產做了羊毛。

而最有趣的事情是:很多這種羊毛,其實是自己人下手的,不然誰能一夜間貼滿全城的單車呢?自己人黑自己公司的補貼,這種事情太多了。

而我們退不回的押金里,有多少是被這樣薅掉了呢?

04

講完二維碼營銷分享,再講手機號拉新營銷分享的一些玩法。

所謂手機號拉新,就是我給你發送一個微信卡片,你點進去,可以輸入手機號,然后獲得一張券,存入這個手機號的賬戶中。

我想大家對于這個已經非常熟悉了,各種外賣APP的紅包分享,都是這么玩的——點進去,輸入手機號,然后領券,尤其是某咖啡,更是紅包不斷。

而當前存在一種羊毛黨,養了大量的手機號,然后登陸微信,潛伏在各個外賣紅包群中。只要有人分享,就會點進去搶券,然后把最低價的券,拿出來下單,去買一些硬通貨(牛奶等),然后套利。

如果產品本身不能買硬通貨,那么也不重要,可以做成代下單,在一些二手平臺上搜XX券,XX代下單。可以發現有大量人在做這個生意,就是你付一小筆錢給他,給他地址,他幫你下單,貨物送到你指定的位置,簡單方便。

無數互聯網公司燒出的錢,補償的券,都沒有被補貼到真正的用戶。因為對于代下單的聚類分析缺失,對于用戶關系網的不重視,對于收貨地址的放松,導致砸了大錢也沒賺到用戶。

那些已經認識到這一點的公司,就把券設置的非常摳門,門檻高,金額低,直接從源頭上就堵住這件事。而有些只要數據的公司,則反而加大力度在送,賣1塊賠2塊也要送,恨不得羊毛黨住在家里。

當前某著名連鎖外送互聯網公司,至少有四分之一的訂單來自代下單,風控形同虛設。

當然這家公司也不傻,從一開始就是沖著圈錢上市來的,玩的就是一個披著互聯網外衣的資金盤。

05

刷券代下單,只是低端玩法,最近流行起一種新的玩法,也是基于手機號拉新營銷的。

很多互聯網公司在做推廣的時候,是允許你邀請朋友的,只要輸入朋友的手機號,你們就可以建立一個綁定關系。如果這位朋友后續與這個互聯網公司產生了一定的業務交集,那么你作為他的邀請人,是可以獲得很多獎勵的。

這就是所謂邀請碼和邀請手機號。

而這里面,存在了一個很有趣的玩法,就是暴力灌號,占領號段綁定關系。

什么叫灌號?

——就是假如我是A,我要輸入BCD的手機號與他們建立綁定關系,BCD下單了,我就有獎勵。

那么,我可以直接窮舉號碼,例如:直接從13000000000一直到19999999999,全都往邀請鏈接里導入,等于是只要有用戶注冊使用了他們。不管與我有沒有關系,我們都已經建立了綁定關系,我可以躺著收錢,盡管用戶本身都不知道我的存在。

這種攻擊,對于大廠是無效的,但是對于很多初創企業尤其是急著要數據的企業,是非常致命的。

針對大廠的類似推廣,他們會控制號碼的數量與規則,盡量一個號只邀請幾十個人,并且號段不會出現重復性,頻率也不會做到很高頻。具體的做法我就不公開了,但是每年大廠們在拉新上面的這種無感知損失,是無法估量的。

當然可能運營們也不是很重視,畢竟某種意義上這就是拉新成果,無效補貼于運營何干?

況且再仔細想一想,這種規則的泄露,是誰干的?

誰KPI完不成會心慌呢?

06

關于灌號,其實還有另一種精準灌號的玩法。

就是灌號者,確實是知道這個手機號的主人的某些社會屬性。

例如:從一些無良4S店搞出來的車主手機號,從一些無良物業搞出來的業主手機號,從一些學校搞出來的家長手機號,從一些金融機構搞出來的理財客戶手機號,從某些防范不嚴的網站中脫褲出來的用戶手機號。

然后,拿著這些手機號,做定向灌號,成功率極高。因為這些人本就是互聯網公司重金去地推,去廣告覆蓋,去試圖引誘的群體。

例如:拿學生家長的手機號去灌教育類APP,拿車主手機號去灌車輛交易類APP,拿業主手機號,去灌裝修類APP,這種方法可以說是風險最低的套利方式之一了,并且收益較好。

黑市上有專門這樣的交易渠道,只需要不多的一筆錢,就可以拿到大量具有精準屬性標簽的用戶,很多短信供應商也參與其中,利用自己發短信的優勢,偷偷倒賣數據,為了獲取更多數據,他們恨不得免費給垂直行業的大公司倒貼錢。

甚至我知道的很多此類互聯網公司的運營,專門會和一些黑產串通,告知他們投放策略和方式。黑產批量灌號進行套利,最后大家分利潤,反正數據也好看,公司用戶也有增長,這部分無效補貼,不套白不套。

我想很多互聯網公司,對于自己的營銷費用,應該重新審視一下了,尤其是在寒冬的時節。

冬天不好過,對么。

07

再說個不是很大,但與我們多數人都有關的小漏洞。

搶票軟件都知道吧,就是很多時候我們需要買到一些票(例如火車),但是票的數量有限,買的人太多,只能去用一些三方搶票軟件。

而這些軟件,總是各種變著花的收錢,一張票要多收50到100元,甚至更多,堪稱新時代互聯網黃牛。

既然有互聯網黃牛,那必然就有坑黃牛的黃牛。

這些搶票軟件的核心原理是:利用機器調用票務網站的接口,極快的速度刷新和購買,往往速度可以快到1秒鐘幾千次,正常人根本搶不過他們。

12306本身是嚴禁第三方用這種方法破壞公平的,所以不會提供完整的對外接口出來。他們只能用各種技術手段來利用12306本身的對外合作接口(速成OTA),想盡辦法來加快調用,而這就產生了一個很有趣的漏洞。

如果黑產的手機上同時裝有某某搶票軟件和12306,且黑產的搶票軟件的付款方式綁定的是借記卡,在發起搶票時,把借記卡余額轉走或者借記卡本身就沒錢,那么當搶票搶到票時,必然扣款失敗。

此時,可以登錄12306、付款,然后取消搶票。

有些搶票軟件甚至都是搶到了才讓付款,那更簡單,連余額和支付失敗都不用做,直接打開12306付款即可。

好幾家著名公司旗下的搶票軟件,都存在這個漏洞,但不敢去找消費者的麻煩。

因為搶票,加價搶票,本身都是模糊的灰色地帶,雖有有苦難言。

很多電商網站上的代搶票服務,本質上就是在用這個方法空手套白狼,既白嫖了搶票軟件公司,又套了消費者的錢。

美哉!

51節要到了,搶票大戰又開始了,這個漏洞,又要被用起來了。

08

再講一個經典的營銷漏洞,與廣告有關。

很多公司的推廣,都是依賴廣告的、APP里、網站上、大馬路上,都是打廣告的好地方,而廣告的結算方式有很多,最常見的是CPT,CPC,CPA和CPS。

CPT是指:時間,按展示時間收費,廣告展示長時間,收費XXX元,一般電梯廣告都是CPT,部分網站的廣告也是CPT。

CPC是指:點擊收費,點一次,多少錢。

例如:某些垃圾醫院在某些網站上打廣告,點一次,可能就是幾塊錢甚至幾十塊錢。

CPA是指:注冊收費,每個成功完成注冊的用戶,多少錢。

例如:很多貸款超市,很多APP里浮動的頁游,都是CPA。

而CPS,是指:業務發生收費,發生一次業務,多少錢。

例如:以前盛行的貸款超市,用戶下款后,下款金額的一定比例給到貸款超市。

再例如:外賣軟件或打車軟件推廣,用戶注冊后完成一單,給推廣方XXX元。

這些廣告計價方式里面,就存在了很多漏洞。

點擊結算(CPC)和注冊結算(CPA),是被刷的重災區。

CPC是最簡單的,過去的CPC直接就是用機器暴力點擊刷量,不管有多少錢,都可以被快速點光。

現在要麻煩一些,但也不是很麻煩,只需要一些微信群和QQ群,就可以完成大量真實用戶點擊。往往是以兼職任務的形式來完成的,點一次給XX元,甚至想加入這種兼職群,都要收費。

CPA相對CPC要多一個步驟,就是點擊后注冊,由于很多公司對于CPA的監控是比較弱的,所以CPA可以大規模注冊。CPA的刷量更加嚴重,黑產手中都握有大量的真實資料和設備,很多資料都是網站被脫褲出來的信息,很多用戶都是神不知鬼不覺就被拿來做了注冊。

說到這里,你可能會問,黑產刷這個有什么意義???這又不來錢?刷出去的廣告費也不給黑產???

這你就比較天真了。

首先是,有的黑產,是收了一些公司的錢,來專門點其競爭對手的廣告的,如果我花50萬,可以收買黑產點掉競爭對手1000萬的廣告費,為什么不呢?

當年高利貸大戰中,很多高利貸公司都與這些黑產有關,專門去給競爭對手的投放添堵。

其次是很多黑產,其實就是廣告公司的自己人,客戶充值要消耗掉,不然新的充值不會投入。適當在正常的點擊注冊中,添加一點點料,可以幫助客戶花錢花的更快,自然自己也能多賺錢。

至于作為甲方要如何監控渠道有效性和投放策略,那就是另一個長篇大論了。

最后,很多黑產和甲方的運營是一伙的,甲方運營會把投放策略、結算方式,都給到黑產。黑產會幫助甲方運營快速消耗資金,然后甲方發起進一步充值。每次充值,廣告公司都是有返點給到甲方投放負責人的,這是非常常見的一種勾結。

很多公司的市場負責人和投放負責人,本身工資不高,但是生活非常奢華浮夸,并且都是一年一跳槽,他們哪里來的錢呢?

各位老板想一想,自己的公司有沒有這種隱患呢?

不止是市場部門,我也知道很多創業公司的高管們也在通過這種手段來騙投資人的錢,實現自己的套現。

去年倒閉清算的某幾家游戲公司,老板號稱屢敗屢戰的連續創業者,但是自己的生活卻是越來越好了,嘴上說著與版號有關,實際上就是吃光了廣告投放的錢。

專業的廣告投放與風控,是一門大學問。

09

本次文章又講了7個案例,聰明一些的朋友肯定又從中悟出了一些有趣的東西,恭喜。

相信各位讀者已經感受到了風險控制這個崗位的重要性,風控做不好,運營和市場投放永遠是拿錢打水漂,而且連個響都沒有。

只可惜絕大多數公司的風控,空有一身本身,但無法發揮。

因為很多時候,風控都是一個做減法的部門,而大多數公司的核心訴求,是加法加法加加法。只有增長,只有規模,才能讓公司拿到下一輪融資,活下去。而做減法的風控,自然就是業務老大們眼中的仇人。

而在很多運營眼中,風控更是多余且礙眼,因為風控往往會砍掉運營的一部分KPI,擋掉一些暗中交易,這些都是錢。

斷人財路,必遭仇視,而且很多業務方都有一個不好的觀點——那就是做成了是自己的,做賠了是公司的,公司賠不賠錢不重要,只要自己的KPI和年終獎到手,就好了。所以,作為一名風控,很多時候比起羊毛黨,更害怕的是來自背后的利刃與利益勾結。

想起曾經一個風控的前輩,在某獨角獸尚未長出角的年代,在一次拉新活動阻止了上千萬的資金流失,純靠手寫的專家規則,逆天一樣的發揮。

但他正在興奮的時候被運營老大一紙報告捅到了CEO那邊,說是耽誤公司市場推進,不然GMV可以翻倍。

有意思的是,老板居然認可了這個觀點,并且最終疏遠了這個不懂事的風控,而在這個風控離職之后,大面積數據造假,內部腐敗橫行。

然后有意思的是,這家公司最后成為了一家獨角獸公司并且被并入了某一線互聯網公司,老板套現離場,直到并購內部清算時,該公司才發現自己吃了個大虧當了冤大頭,然后血洗獨角獸。

身為一個風控,從來都不會害怕羊毛黨,最怕的是來自交付背后的刀子和受傷后撕咬自己傷口的公司貪狼們,或許這就是風控的宿命。

 

作者:半佛仙人,微信公眾號:半佛仙人(ID:banfoSB),這是一個神奇的男人,你完全猜不出他會寫出什么,他自己也不知道。

來源:https://mp.weixin.qq.com/s/O289k21DSl1UxJP2AxUUmg

本文由@半佛仙人 原創發布于人人都是產品經理,未經許可,禁止轉載。

題圖來自Unsplash, 基于CC0協議。

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 最后一個說的是MB嗎?

    來自上海 回復
  2. 哇撒,這些都不知道啊

    來自江蘇 回復
  3. 學到很多,感謝

    來自浙江 回復
  4. 回復