咳血的獨角獸 5 :揮向投資人的鐮刀

大家都是為了錢,都是親兄弟。


編者按:本文來自微信公眾號“半佛仙人”(ID:banfoSB),作者半佛仙人




好久沒有更新獨角獸系列了,這次是獨角獸系列第五篇。

之前的4篇因為這樣那樣的原因,已經看不到了,也成功得罪了一大票人。

不過沒關係,這個系列還是會寫下去的,畢竟互聯網公司的各種有趣的破事兒,永遠不會少。

說到互聯網創業,大家沒日沒夜在可勁兒的努力,到底是為了什麼?

除了極少數人是真的為了所謂夢想或者改變世界,絕大多數人都是在為了金錢而努力。

創業是為了能夠獲得超額的金錢回報,起碼要比上班強。

各路公司上市財務自由的傳奇,刺激著每一個創業者。

為錢創業,當然沒有什麼不對,這是天經地義的,商業公司不講究利益才是真正的犯罪。

但是在這個過程中,部分“聰明”的創業者,發現了一個問題。

既然創業的本質目的是為了錢,那是不是只要賺到錢,就達成了目的呢?

如果從用戶手裡賺錢不容易,那麼從投資人和資本手裡撈錢,不也是一樣的麼?

賺錢才是最重要的。

至於賺誰的錢,其實並不重要,不是麼。

當一部分創業者開始這樣思考的時候,有趣的事情就發生了。

於是鐮刀開始揮向投資人。

01
首先我們要澄清,投資人不是天使,更不是慈善家,投資人的目的也是要賺錢的。

不賺錢大家浪費時間精力幹什麼?忙著人工降雨麼?

資本的錢通過專業的投資人之手投給公司,其目的是用於公司運營和增長,獲取更大的市場份額與業務規模,然後可以在下一輪估值中讓公司股權變得更加值錢,實現讓自己獲益的目的。

至於變現方式是通過下一輪融資,二級市場(變現),被收購,合併,還是創業者回購,這個其實不重要。

在這個過程中,公司獲得了發展的錢,投資人的股權實現了增值和變現,大家都好。

當然,投資人本身也要對自己投出的錢負責,那是他們從上游資本融來的錢。

所以投資人的股權條款和打款方式會很苛刻,往往還連帶有與創業者個人綁定的一些擔保措施,有的還有業績對賭協議。

當然,這些都是為了保護自己以及母基金(投資人上游)的利益,無可厚非。

如果創業公司一路發展順利,大家都開心。

但如果一路順風,那往往不是創業,那叫撈錢,絕大多數中小企業不能挺過頭3年,這個成功率大家可以感受一下。

每一個光鮮的創業者背後,起碼有幾萬甚至幾十萬完犢子了的創業者。

公司一路發展順利,才是真正的小概率事件。

就連投資人也一樣,絕大多數投資人募集的第一期資金,就是他們的最後一期資金。

回到創業者角度,一旦公司不順利,眼瞅著靠股權變現無望,業績對賭難以完成,但成本不低。

公司運轉的每一天都是燒錢,大多數互聯網項目根本都不賺錢,別說財務自由了,眼瞅著抽菸都不敢抽貴一點的了。

所以有的創業者,就開始動心思了。

畢竟公司這種組織架構,稍微動點小心思,創始人從中搞點錢,吃投資人的蛋糕,並不是很困難的事情。

尤其是大量投資人本身也不怎麼專業,都是一群高學歷剛畢業的小朋友,講講理論還行,真到了實戰上,對於社會險惡往往一無所知。

我見過大量公司破產清算,但是創始人越來越富的情況。

這篇文章,就寫一點他們的故事。

02
資本打錢,往往都是打到公司對公賬戶的,直接把這些錢往私人賬戶裡轉的話,是風險非常高的。

直接這麼做的憨憨,往往快速實現了財務自由。

畢竟監獄裡是不需要花錢的,管吃管住。

不管怎樣騙投資人的錢,最終一定要把錢【洗】乾淨,要多走好幾道賬才可以,最好這幾道關聯方還要互相之間沒有強相關。

不然到最後一定會倒霉。

那麼問題來了。

如果要貪資本的錢,要怎麼騙,才能成功率最高?並且風險最低?而且洗的最乾淨?

答案一定是,要把騙錢這種行為本身,掩蓋在真實的業務邏輯中,只要掌控其中的幾個關鍵節點就好了。

業務是正當的,邏輯是流暢的,資金流是隱蔽的,這樣做才好。

核心指導思想就是把錢用合情合理合法的方式花掉,然後用隱蔽的手段把花出去的錢收回到某幾個人手中。

例如辦公耗材採購,就是一個非常好的方式。

開公司必然是有辦公採購耗材採購需求的,打印紙張,簽字筆,定製各種KT板,海報,傳單,橫幅等等等等,那麼從哪裡買這些東西,就很重要。

要知道辦公耗材的成本是非常低的,打印店的毛利率往往很驚人,這些毛利率裡,就藏了很多的貓膩。

很多公司都有指定合作的耗材公司or打印公司,往往這些公司的利潤裡面,會有公司領導的一部分。

或者領導的某個遠方親戚直接就入股了這個公司、

過去有些公司做的比較過分,例如已經某被巨頭收購的,佈局全國的某上海O2O公司(更細分一點你們就知道是哪家了),曾經一切耗材(包括城市運營的地推)指定在某供應商採購,外面市價1塊錢的東西,那家供應商要2塊甚至3塊,持續了整整3年,雖然這家公司從頭到尾都沒賺錢,但是不妨礙老闆賺了大錢。

而且最後收購的時候還還敲了收購方一大筆竹槓,真心厲害。

現在小部分投資人也聰明了(大部分都不怎麼聰明),你非得用特別貴的商家,也會來查你或者要求給解釋的。

現在的做法一般都是價格本身正常,但是批量採購沒有明顯的單價降低,吃這部分價格。

然後在採購量上做手腳,原本只需要1000份物料,但是採購了3000份,多出的採購量,激進點的直接是空氣,要錢;保守點的是確實做了3000份,但是只有1000份是正常版,剩下的2000是原材料縮水版。

各種涉及地推的公司中,物料貪腐是重災區。

而且這種物料貪腐投資人是查不了的,投資人這麼忙不可能天天盯著你地推發了多少傳單,用了多少海報的。

往往就連地推人員本身也不知道自己有多少物料。

除了地推物料之外,原材料採購也是一個重災區。

最近被爆出資金鏈斷裂,瘋狂裁員的某連鎖生鮮電商,其實就是因為管理層瘋狂吃採購吃的太多了,窟窿太大補不上。

整個採購體系都是自家人,從農產品原材料,到門店裝修物料,到地推物料,到辦公耗材,到顧問費,每個環節都有大量的吸血鬼存在,連旗下門店的流動資金都不放過,導致雖然天量融資,但依然難以繼續。

採購,永遠是最肥的,這是一個真理。

03
既然物料採購是可以貪腐的,那麼人的採購,為什麼就不能呢?

招聘本身,就是一個很容易出現貪腐空間的領域。

公司運轉總要招人吧?互聯網公司總歸是要用獵頭吧?獵頭總是要收費吧?

只要有收費,只要成本不透明,就有操作的空間。

一般來說,每通過獵頭招聘成功一個人,都要給獵頭公司一筆獵頭費用,一般是年薪的15%到30%之間,看具體條件談判。

由於互聯網人的薪酬普遍較高,所以這其實是一個很可觀的數字。

那麼獵頭費用要如何吃掉呢?

第一步,要和獵頭公司的老闆達成一致,這個費用到底是怎麼算,一般合作協議都是正常的,只不過私下會有返點。

例如合作協議上是年薪的25%,私下協商數字是15%,那候選人年薪的10%,就可以流入私人的腰包。

當和獵頭公司達成一致之後,就要在候選人這裡動手腳了。

如何動手腳?其實很簡單。

首先就是正常社招or內推合格的候選人,走合作獵頭的方式入職,就是把一個沒有獵頭費用的人,掛到獵頭那邊吃費用。

其次就是把其他獵頭推薦過來的人,掛到一個有回扣的獵頭公司名下,具體操作就是從A獵頭看到這人的簡歷之後,把信息透露給B獵頭(有合作回扣),讓B獵頭依據簡歷信息找到這個人,然後走B獵頭的渠道,給A獵頭說已經被別人搶先推薦了,或者命中內推去重了。

某國內前5的大廠,就很喜歡做這件事情,獵頭們很討厭他們,總是白嫖。

再然後,就是調整候選人的年薪,在不違反常理的情況下(1W變3W就很沙雕),把候選人的年薪做高,這樣總體的回扣數字也會增加。

而且這麼做還可以理直氣壯的告訴別人,買人就是要大方,給夠錢才能好好工作。

剛出問題的那家生鮮電商,開給員工的工資就很誇張,獵頭回扣,也很誇張。

有時候互聯網從業者的高工資中,有多少是投資人的泡沫,多少是獵頭和公司的心照不宣,這個比例其實非常心照不宣。

04
講完實物和人的採購,我們再來講講別的,和業務有關。

如何通過正常的業務行為,來黑掉投資人的錢?這才是真正的洗錢大頭。

首先必然繞不開的,就是廣告投放。

廣告投放屬於典型的高金額,彈性成本,效果成迷,但剛需的項目。

廣告投放中,又以電梯,寫字樓和公交站牌這種廣告為首。

這類廣告根本無法量化效果,廣告公司成本極低,但是又死貴,所以是吃回扣的重災區。

一筆百萬級的廣告投放,能返利返到30%以上,如果是長期客戶投大金額,返利返到50%以上也不是什麼問題,畢竟沒有什麼成本。

每一家廣告公司,都有專門的預算來應對甲方的吃拿卡要,這算是業內常識了,更厲害一點的,要數視頻製作公司和策劃公司。

因為廣告投放本身多少還是有一個模糊的市場價的,而策劃和視頻製作的費用,則是一個完全無法被估價的東西,創意值多少?創意你懂嗎?藝術你懂嗎?藝術就是貴。

只要沒法被估價,就有操作空間。

投資人這也算是為藝術買單了,支持藝術,人人有責。

除開樓宇廣告這種典型的坑之外,流量廣告和地推結算,也存在大量回扣行為。

一般來說,去投放APP推廣,往往都是按照CPA(用戶註冊)和CPS(用戶發生業務)來結算的,但是這裡面就有很多門道了。

渠道刷註冊量,是一個被默許的行為。

簡單說就是用機器人和接碼平台來註冊APP,最終形成有效註冊,如果企業提供大額優惠券,那麼CPS下單也可以做。

有些有經驗投資人做風險排查的時候,有一個簡單的否決條件,就是如果一家公司的註冊節點沒有接盾(註冊反欺詐產品),那麼這家公司直接就不看了,因為誰也不知道所謂的註冊用戶裡面,有多少是機器人。

更有經驗一些的,直接看用戶的手機型號分佈以及註冊來源,有幾個特定型號和來源直接可以幹掉。

當然科技是在發展的,現在純機器已經很low了,只能騙一些不太懂的沙雕投資人。

有點追求的,現在基本都是通過積分牆來操作,純人工操作,刷單眾包,做兼職,發揮人民的智慧和力量,大家一起開心一起分錢。

而作為一家創業公司,不僅僅是為了回扣,更為了數據好看(活躍用戶)能騙投資人投錢,紛紛加入這個渾水,大家發財,大家發財。

這才是真正的水軍,可以用於洗投資人錢的那種水。

即使不是創業公司,很多中型乃至大型公司,也有很多每天都在靠著水軍活躍續命的,前段時間公安打擊了一大批這種公司,導致很多公司的應用商店排名爆降,活躍用戶也爆降,場面非常魔幻。

5

說完廣告預算,我們再來說說營銷預算。

這個營銷預算,特指花在營銷活動中的非廣告成本。

簡單來說,就是搞拉新或者營銷活動時新送出去的各種優惠券,實物,可提現虛擬貨幣等等等等。

這部分預算,是當前比較流行的洗錢路徑,尤其是這兩年裂變營銷很火,這類支出大增。

每一個瞎搞的裂變營銷的公司背後,都是投資人的眼淚。

先說實物,註冊送XX,或者註冊即可1元購買XX,或者消費滿多少送XXX。

這類實物的價格和數量,本身就是有操作空間的。

價格就是原本批量採購3塊錢的東西報5塊錢。

數量就是原本應該送出去500個,但是通過調整數據湊單,硬生生可以送出去大幾千,多送出去的東西,就是利潤。

不是非常懂業務和數據的投資人,根本看不出來。

除了直接送的實物外,還有一些特惠商品。

創業公司只要和供應商串通,直接可以通過假髮貨來完成利益交換。

什麼叫假髮貨?

舉個例子,一家公司搞了個促銷活動,用戶可以以低於市價300元的方式購買一個比較緊俏的商品,但是公司和供應商搞了一個串通,使用大量虛假用戶來下單,然後把這批用戶也發貨,但是發空包或者假物流,貨物最終沒有出供應商倉庫,左手倒右手,這個營銷費用可以大家來分賬了。

很多公司的低價iphone,低價奶粉,低價牛奶,就存在了大量假髮貨的行為,不是說他們都是假髮貨,是真假摻在一起,比例全看良心。

注意,不是發假貨,是假髮貨。

哦對了,近期破產的某家社交電商,搞假髮貨和虛假營銷,搞的特別猛,搞到後面投資人都看不下去了,直接下一波資金不打了,只能燒供應商的錢,鬧得最後特別難看。

假髮貨已經是電商和生鮮領域的一大頑疾,在套投資人錢這個角度,他們是非常成功的。

不說實物類的,我們說說虛擬物品類。

這部分包含優惠券,可提現虛擬貨幣,乃至各種話費獎品等等。

按照道理,這些東西都是要發出去的,那麼發給誰,就是一個很有意思的問題。

所以需要一批官方假號來接收這些禮物,優惠券和獎項。

然後再有人利用這些獎項來進行變現。

最妙的是,羊毛黨可以在這裡被拿來背鍋。

如果投資人發現不太對勁,可以說是羊毛黨干的,然後和投資人一起痛罵羊毛黨。

賊喊捉賊,才是最騷的。

更騷的是,假髮貨+假補貼。

之前給某家知名公司做投資盡調的時候,直接發現代金券由定向的運營賬戶發到了一大批固定的用戶手裡,用戶購買的全都是補貼商品和硬通貨,然後供貨商直接假髮貨,形成了一個完美閉環,一魚多吃。

投資人看到之後都懵逼了,感慨這種天才沒有去幣圈簡直是韭菜界的一大損失。

然後非常熱情的把這個case推薦給了他一直看不順眼的另一個投資人,希望他們投了以後炸掉,太真實了。

一場聲勢浩大的營銷活動裡,到底有多少是真的給到了真實的用戶,多少給到了羊毛黨,多少被自己人拿掉了呢?

這屬於當代互聯網創投圈的一大迷思。

而且永遠沒有答案。

06
看到這裡,你是不是覺得風控特別重要,公司營銷如果沒有風控兜底的話,連大褲衩都保不住,一定要先有風控後有營銷?

其實也不是。

就連風控裡面,也有一堆一堆的歪門邪道。

數據採購,就是一個典型的存在貓膩的領域。

一家公司做營銷活動,如果公司本身不打算搞鬼的話,肯定是離不開外部採購風險數據的,起碼黑名單用戶和機刷用戶得攔下來吧。

哪怕不是營銷活動,身份核驗數據,銀行卡三要素四要素驗證,人臉識別,這些業務數據也總得要的,不然都沒法保證錢給了誰。

至於設備指紋,風控SDK,APP加固,雲採購之類的,更是多如牛毛

只要採購數據,這裡面就存在了回扣問題。

數據採購的回扣是這些年很多創業者悶聲發大財的小金庫。

首先就是數據價格。

數據價格是一個很玄學的東西,因為數據出售方本身就是看菜下碟的,沒有一個恆定的數據價格標準。

數據雖然賣的像白菜,但本身不如白菜價格透明。

並且數據的業務價值也是可以被人為操作的,業務增長的原因有很多,可以歸結為APP改版,可以歸結為模式優化,當然也可以歸結為使用了有效的數據,至於怎麼有效,那就是玄幻小說了。

這一切就代表了,採購什麼數據,用什麼價格來採購,就可以操作了。

尤其是,絕大多數投資人都不懂這裡面的貓膩,不割簡直對不起他們。

例如人臉識別。

人臉識別就是非常典型的智商價格歧視市場。

人臉識別主要分為2種,一種是網紋比對,用照片來對比公安的高清網紋照,這種相對貴一點,因為高清網紋是收費的。

還有一種是無源1:1,就是用2張照片來互相對比相似度,這種很便宜。

一般公司使用都是用戶第一次發生業務的時候,調數據眼比對,確認用戶信息與官方一致,然後存下第一次的照片。

在第二次的時候就用第一次的照片作為參照物來比對。

一般第二次的價格遠低於第一次,低1個數量級的水平。

這裡面其實就是牽涉了一個有趣的割韭菜方式。

就是同一個用戶,第一次調用的時候算作首調用,第二次調用的時候,是可以用無源1:1的。

而在計算成本的時候,全都按照首調來計費,不管調用多少次,都按照首次調用計費,和供應商結算也是,供應商那邊計費不是這麼計費的,會把差價的一定比例,進行返還。

所以你看,為什麼很多APP拼了命的在人臉核驗,動不動就人臉核驗一下,真的是業務需要麼?有的是業務需要,有的其實不那麼需要。

但是老闆需要。

另外吧,除了混淆首調和次調,人臉的通過率也可以操作。

人臉識別並不是通過率越高越好(我拿一條狗都能過,只能說明做的差),所以評價標準其實是存在一定隨機性的,這裡面的可操作空間更大。

設置幾個不同的調用策略,完全可以讓成本有幾倍的波動,有波動,就有差價,就有錢拿。

不說人臉,就說其他的數據採購,很多數據公司自己是有緩存數據的,甲方購買數據的時候,買緩存數據,算成本的時候,按照指導價付費,大家一起用陰陽合同割韭菜。

這幾年互聯網發展下來,最肥又最安全的,就是從數據採購裡面下手,因為調用量大,業務剛需,投資人搞不清楚裡面的技術差別,甚至即使被抓到都可以甩鍋自己不太懂數據行業一心為了業務,所以特別受歡迎。

絕大多數大數據公司(包括最近被抓的那幾家公司),也專門設置了這部分的預算,專門用於滿足用戶的DIY需求。

他們也需要規模和用戶量,從投資人那裡割韭菜。

成功的投資者,果然具有共性。

數據採購這個領域,這裡面有良心的和吃回扣的,成本可以相差好幾倍,而且很難被石錘,畢竟很多數據確實是業務需要的。

這桿秤,真的只在自己心裡。

07
寫到這裡,這篇文章快要結束了,沙雕套路還遠遠沒有寫完,但一個數據採購和渠道投放貓膩,就能寫好幾篇。

如果你看到這裡,你覺得投資人真慘,投資人都是冤大頭,那可能說明你沒看懂這篇文章。

實際上,很多投資人對此是心知肚明的,有默許的,有參與的,還有專門指導創業者怎麼操作的,甚至還有專門幫他們提供渠道的,例如介紹廣告公司和供應商。

畢竟投資經理們的核心訴求是什麼?也是賺錢。

他們可以靠拿著母基金的錢正正經經投錢等升值套現後分獎金。

他們可以和創業者串通數據造假騙下一波接盤俠。

他們自然也可以和創業者聯合起來,割母基金的錢,反正割個幾筆下來,跳槽就好了。

投資經理和創業者的利益,從各種角度,於公於私,都是一起的。

大家都是為了錢,都是親兄弟。

另外為什麼很多公司明明已經死了,都不走破產清算?

因為不敢。

因為破產清算要把公司的每一個細節都搞明白。

真的開始清算的話,把每一筆賬都弄明白了,很多人是真的可以進監獄的。

雖然這也是財務自由,但大家都不想要。

到了這時候,大家都很清醒。

清醒到魔幻。
1

現代商業競爭,是一座赤裸裸的血腥森林。

資源是有限的,投資人的錢是有限的,用戶是有限的,用戶的時間是有限的,用戶的注意力也是有限的,什麼都是有限的。

但資本的慾望是無限的。

有限與無限的分割線下,競爭常常沒有底線。

所謂的友誼競爭互相成全一段佳話,全都是屁話。

和平是打出來的,體面只是勢均力敵的迫不得已,但凡有機會,大家第一時間就會把道德丟到地上踩上一腳。

叢林法則從未變過。

兩家相同領域的公司競爭,如果產品本身沒有本質性差異,那麼大家比的就是誰下限低,誰更不講理。

需要承認的是,如果兩個人打架,一個有底線,一個沒底線,在實力差不多的情況下,大機率是沒底線的公司獲勝,因為他們求勝的心已經超越了道德的束縛

什麼手段都可以,只要後果公司可以承受,就可以去做,哪怕背負罵名。

只要自己一家獨大,完全可以動用大量的資源來洗白自己,人們的記憶只有3天,總有數不清的熱點要追,誰有在乎誰呢?

這一切無關正義,只是生意。

今天講的是風控中的進攻者的故事,在商業競爭的森林中,各大公司的風控們為了各自背後的利益在相互廝殺,贏者吃下一切。

現在,狩獵開始。

2

正常人理解的所謂的攻擊競爭對手,無非是使用比對方更大的折扣,給客戶更多的優惠,又或者在某些關鍵供應鏈上要求2選1,都不是什麼秘密。

但真正有效的攻擊,需要足夠的想像力和執行力。

很多時候更重要的是借力打力。

作為企業盾牌的風控們,掌握著大量的企業漏洞與防守知識。

如果這套技能用在進攻上,同樣也會是最銳利的矛。

這根矛配合足夠聰明的運營,技術和市場,可以瞬間洞穿對方的心臟。

前一段時間,某著名雲音樂軟體下架一個月,就是一套完美的攻擊策略組合。

該軟體最大的特點是有著非常多精彩的樂評,評論區文化配合很多原生的民謠,產生了非常多忠實的用戶。

攻擊的開始,是一張無法追溯來源的圖片,主要內容是某某雲音樂的會員(需要付錢買)現在搞活動,刪除APP後再安裝,就可以免費送3個月。

一時之間很多人刪除了APP,但是由於APP下架,所以刪除過後沒法再安裝(起碼要1個月才上架),然後就成了一個尷尬的狀況,大量用戶表示自己被騙了,非常生氣。

為此,某某雲音樂官方也發佈了聲明表示是謠言。

由於這種事情本身比較檢測智商,所以並沒有造成大規模負面輿論,倒是被人當做段子開始傳播,攻擊者的目的就在於此,把傳播做起來,把某某雲音樂擺到輿論的風口。

然後真正的招數是,在其APP的熱度起來後,開始大量傳播其APP刪除用戶本地音樂的內容,激發用戶的憤怒,進而趁著這1個月的下架期,給予其最大的打擊。

這個話題上了微博熱搜,大家紛紛在怒斥該APP無恥,一時之間該APP的口碑跌入谷底,很多人都表示自己的本地音樂被刪除了,然後再也不用該APP了,雖然該APP多次表明自己沒有這種行為,同時還報警了,但這個標籤目測要在身上貼個一段時間了。

這對於他們原本今年計畫的上市和商業化計畫都是重大的打擊。

這套攻擊最精妙的地方在於,該APP對於用戶的本地音樂確實是有操作的,這個操作不是刪除,而是格式更改和屏蔽。

音樂行業都是交叉授權的,產品方必須配合版權方來做打擊盜版。

假如用戶本地有一首音樂是沒有授權的盜版,此時音樂類APP就會把該首歌自動修改為APP專屬格式,並屏蔽播放和搜索,主要幫助保護版權。

我不評價這件事情是否合理,只能說這是音樂版權行業的一種潛規則。

所有音樂類APP都有這個問題,只不過這個問題多數用戶是不知情的,用戶看到的只是自己過去存的一些歌沒有了(其實是版權方要求屏蔽的,音樂類APP只能配合版權方),再加上一些引導,很容易就被理解為是APP強行刪除用戶文件。

這一套攻擊,時間,題材,傳播,產品切入點都完美,效果也非常棒。

堪稱經典。

3

很多公司對於風控的理解是非常粗淺的,在他們看來,風控可能就是所謂防刷單和防止內部腐敗,確實絕大多數業務風控就是幹這個的,但是企業其實面臨的風險,遠遠不止這些。

內容攻擊,已經是目前最流行的攻擊競爭對手的方式。

所謂內容攻擊,就是利用對方APP中可以展示內容的地方(例如評論區,例如論壇發言區等等),進行黃恐暴內容的飽和錄入,然後引發對方APP被大量投訴,然後被下架,打亂對方的產品疊代發佈計畫,給自己爭取有利的競爭窗口。

很多短時間下架的APP,就是被競爭對手使用了內容攻擊。

某知名內容APP,很多年輕人都在用,可以使用文字,圖片,來進行社交,分享各種趣事和沙雕圖片,但是就在內容攻擊中下架了,內容安全已經成了很多APP的核心弱點。

但可惜的是,很多APP對於內容安全的重視程度都不夠,人類的本性就是喜歡黃恐暴,很多社交產品早期就是靠這個起家的,很多公司覺得這東西既然能有流量,豈不美哉?乾脆先污染後治理得了。

在網際網路文明越來越重要的今天,這種流量思維會害死公司的。

而攻擊者們,則愈加肆無忌憚地利用內容來攻擊競爭對手。

例如某知名95後00後陌生人匿名社交APP,近期就遭遇了潛在對手的飽和內容攻擊,由於產品本身是支持聲音的,並且還是全匿名的,這就誕生了大量操作空間,不需要很複雜,只需要把大量黃色音頻灌入,密集且持續灌入,然後舉報即可。

聲音本身的可變性太多了。

音頻的色情黃恐暴過濾,目前屬於一個行業的技術難點,主要的實現方式是快速把音頻轉換為文字,然後利用敏感詞來過濾,但這並不能完全解決諧音字和嬌喘的問題,並且成本極高,如果不是巨頭,創業公司那點融資還不夠買語音轉換的費用的。

這是一個現階段近乎無解的攻擊方法,當然也不是完全無解,只不過比較考驗風控的功夫,沒有經歷過絕望的風控是不會有成長的。

4

同樣是內容攻擊,黃恐暴攻擊比較適用於社交類產品,針對其他類型的產品,最流行的是垃圾信息和廣告信息攻擊。

如果你打開一個APP,發現裡面大部分的信息都是非常垃圾的廣告,並且廣告已經影響了自己的使用,你是不是會特別憤怒的放棄這個APP,然後轉投其競爭對手?

沒錯,這就是攻擊者想要的。

這種內容攻擊往往是通過拆解對手的APP,然後利用接口寫入的方式來錄入大量垃圾信息,例如前段時間某出行APP被大量用戶投訴說打開介面裡面全都是垃圾廣告,各種某出行的廣告和加微信的廣告,從用戶暱稱到內容到訂單信息,全都是垃圾信息。

當時一度在社交媒體上鬧的沸沸揚揚。

這是非常有趣的一箭雙鵰,同時黑了2個競爭對手,第三者左手漁翁之利。

內容攻擊的另一種形式,不是使用垃圾信息填充,而是使用完全真實的假訂單來擠佔真實訂單,這多發於電商類APP。

某納斯達克上市的知名社交電商APP,就遭遇過假訂單的批量攻擊。

他們每次只要一搞促銷,一搞秒殺,就會有大量機器來下單,下單後也不付款,目的就是要快速把活動商品的購買權佔滿,讓真實用戶無法購買。

即使電商平台修改庫存機制或者使用補貨,也往往已經錯過了時間流,之前鋪墊了很久的大促信息,用戶的所有期待都應該在大促的一瞬間引爆。

在這種時候給踩一腳剎車,造成的後果是非常嚴重的,甚至可以毀掉一個策劃已久的活動,造成對手大量的資源浪費。

還有一種內容攻擊,與業務無關,與人有關。

現在很多招聘網站都在明裡暗裡銷售用戶的簡歷,於是就有公司想到了用這個方法來打擊競爭對手。

最常用的方法就是從招聘網站那邊買到競爭對手的關鍵人員信息,然後不停地發麵試郵件,注意,是發郵件,不是打電話。

郵件內容從面試邀約到薪酬確認到後續工作安排應有盡有,如果被競爭公司看到的話,會很大程度上懷疑員工的忠誠度,這個關鍵人員,基本就算是廢了。

某著名電商公司就層對某著名信息流公司發出過這種攻擊,一時之間對方人員動盪。

殺人不見血。

5

我說了,進攻,最需要的不是技術能力,而是想像力。

很多被證明有效的套路,其實實現起來並不困難,要的是動腦子。

現在已經是大數據年代了,國內興起了很多大數據獨角獸,其中最大的幾家的其中之一,其底層的資料庫是被污染過的。

當初這家公司成立不久,瘋狂的在市場上收購數據,甚至黑市也沒有放過,那時是2017年6月1日之前,個人隱私法修正案還未生效。

他們自以為自己做的天衣無縫,但是早已被競爭對手盯上,這家競爭對手賣給了他們一批質量非常高的數據,但這個數據是被污染過的。

大數據公司最重要的核心資產是黑名單,競爭對手把優質用戶的白名單當做黑名單賣給了他們,他們一時之間沒有察覺,最終造成的就是資料庫的失效,後續他們的黑名單產品在市場上就很難賣出去了,因為區分不出好壞,整體的融資節奏和業務發展規劃都受到了很大的打擊。

這個問題至今還未解決,業內最懂行的人往往不會使用他們家的數據產品。

更有想像力的進攻手段,是直接強佔競爭對手的潛在客戶。

某家知名O2O公司,為了讓自己的用戶不至於流失到競爭對手那邊,直接使用自己用戶的手機號和個人信息,來批量註冊競爭對手的APP帳戶。

這樣導致的效果是,當自己的用戶想體驗對方的APP時,會發現自己的手機號其實已經被拿來註冊過了,導致自己無法再註冊,如果想找回帳戶,由於留的信息全都不是自己的,只有手機號是自己的,導致無法追回,於是這個手機號就死了。

而絕大多數人也沒有驅動力強到非得用某某不可,某種程度上這就構建了一個神奇的護城河。

再講一個有想像力的進攻手段,也與用戶身份有關,來自換臉。

人臉識別已經成為了很多APP的標配,但其實根本就沒有什麼所謂的真正的人臉識別。

所有人臉識別的核心原理就是拿著兩張照片來進行比對相似度,然後輸出一個分數。

由業務方自己決定多少分數通過,多少分數轉人工,多少分數拒絕。

即使是同一家人臉識別公司,不同業務方設置不同的通過策略,也會有完全不同的效果。

訣竅就在這裡,利用大量的用戶身份證,外加技術把身份證上的靜態圖做成動態,去騙競爭對手的實名認證,然後徹底斷掉這個用戶成為對手用戶的情況,同時如果對手有做推廣,還能夠騙對手的廣告費。

當然由於涉及到用戶資料的隱私,這部分一般做的都是外包給黑產做,而且不會去用自己的用戶做(這麼一搞豈不暴露自己),而是用黑市上已有的資料去做。

所以當某些公司發現自己用戶量暴漲,但是日活卻沒有明顯提升時,需要想一想,自己是不是被攻擊了,而不是僅僅罵投放的人士SB。

6

前段時間,兩家超級外賣公司掐起了官司,這次不是外賣員打架,也不是飛單,也不是互相貼海報噁心對方,這些都是常規操作。

核心原因是某一家公司擁有另一家公司的很多核心數據,然後被發現了。

這是使用爬蟲來進行的情報收集,在目前的網際網路公司競爭中非常普遍。

假如電商搞大促,想針對性的做補貼,保證同品類中自己的價格是最低的,要怎麼操作?顯然讓人看是非常愚蠢的,而且也看不過來。

最基礎的操作就是使用爬蟲+腳本,爬取對方所有商品的價格,SKU,SPU等,核心原理就是模擬一個個真實用戶來瀏覽網頁,然後把信息都留存下來。

然後依據爬回的數據來動態調整自己同SKU,SPU的價格,保證優勢。

當然對方也不是干坐著給爬,往往會設置各種反爬機制,例如給所有價格數據都加看不到的水印,所有頁面的結構在前端代碼中都是加密的,爬回去就是亂碼;在例如限制每個帳號的IP以及瀏覽時間等等等等,爬蟲攻防可以寫好幾篇萬字長文了。

當你使用APP或者瀏覽網頁不停刷新或者快速點擊時,偶爾你會遇到一個彈窗告訴你,你操作的太快了,要休息一下,這個其實就是反爬機制生效了。

恭喜你的麒麟臂又進步了。

7

上面說的很多攻擊,都是建立在產品本身有漏洞或者存在思維盲區的基礎上進行攻擊的,可以說,本身是存在攻擊目標的,可以是APP,可以是網站,可以是用戶。

而有些具有想像力的攻擊,其實本身不對競爭對手本身做任何攻擊,他們通過一些其他手段來攻擊對手。

APP換殼攻擊就是一種很有趣的玩法。

所謂APP換殼攻擊,其實主要是通過拆解APP本地安裝包,逆向APP的源碼,在這個基礎上來給APP中嵌入自己想要的功能,最後再到處散播(主要通過H5,二維碼和文字鏈傳播,應用市場很難繞過去),達到自己的目的。

例如某知名電商APP就受到過換殼攻擊,競爭對手逆向了他們的安裝包,在裡面植入了其他公司的訂單系統以及支付,並大量通過群轉發的方式傳播安裝包的下載。

導致的就是很多不明真相的用戶在裡面下單購物付款後,就沒有然後了,因為整個訂單系統被修改過了。

最終的結果就是某電商APP突然消失在了市場上一段時間,因為牽涉了大量的用戶投訴和配合調查。

當然,大多數情況下,APP換殼不會做到這個程度(能做到這個程度說明原APP的技術爛到了一定程度上),一般都是做連結換殼,主要用於偽裝成支付寶和微信支付介面,然後騙錢。

很多人都收到過電商詐騙電話,說退款之類的,然後給你一個連結,點進去完全是支付寶或者微信的樣子,然後你就相信的付款了,最後錢就沒有了。

更進一步,很多博彩和非法集資在公眾號投廣告,往往騙號主投文字鏈,給一個外網的連結,點開看是很正常的新聞網站,但是當號主們發出這個廣告後,再後台操作更改連結導向博彩或者非法集資,很多號主因為這個被封號。

這種防不勝防的坑,也算是網際網路界的一種降維打擊吧。

8

洋洋灑灑講了這麼多的案例,能從裡面領悟出多少進攻和防禦的思路,全看個人的悟性。

進攻真的是一件非常需要想像力的事情,很吃天分,很多時候就是靠思維的盲區來實現局部信息的不對稱然後獲利。

我想告訴大家的是,我們日常經歷的商業形態,都是血腥競爭後的產物,每一家巨頭誕生的背後,都是上萬家同類型公司的消失,商業從來都是殘酷的,沒有誰是無辜的。

如果你覺得哪家公司是無辜的,一定是他們已經形成了局部壟斷。

其實我更想告訴大家的是,我們看到的很多公司負面事件,很多網際網路熱點,背後真相的複雜程度往往會超出大家的想像。

你看到的,只是別人想讓你看到的。

有時候看公司負面時,先不要急著批判或者發洩,多想想背後得利的是誰,動機驅動是誰,會發現多數人的喜怒哀愁都在被刻意引導。

我們只是棋盤上被驅動著的棋子。

下棋的又是誰?

所以希望大家能經常性跳出情緒,從利益鏈的角度看這個世界,從進攻者的角度來看事情。

或許你能看到更多更不一樣的東西。

然後擁有更不一樣的,獨一無二的人生。

延伸閱讀



-----------------------

公眾號:半佛仙人(ID:banfoSB)
01
諾亞旗下的理財產品出事了,這不是第一次,但這次是最大的,有34億,涉及承興國際對京東和蘇寧的應收帳款抵押造假。
作為當前國內規模最大的理財公司之一,千億資產的主理人,諾亞多年來在業內一直以激進的項目和強銷售驅動著稱,如果你是這座城市最富有的50人之一,那麼你要麼已經是諾亞的客戶,要麼正在成為諾亞客戶的路上。
諾亞的銷售人員總有辦法讓你成為他們的客戶,他們可以蹲在富豪門口幾個月,只為10分鐘向你介紹的機會,然後徹底打動你。
諾亞的銷售能力在業內被公認為不可思議,很多機構難以賣出去的債權和劣後資產,在諾亞這邊都不是問題。
這與諾亞部分高管出身保險行業(尤其是壽險)有關,保險是最強營銷驅動的行業。
而諾亞掌門汪靜波,我對她最深的印象是,她總鼓勵別人說,怕什麼,反正又不會死。
她自己也是如此,確實是個狠人。
她的確有這個資格,縱觀諾亞歷史上的風波,從2010年的悅榕基金事件,再到2014年景泰基金事件,2次大雷均被幸運的化解,一次提前撤退,一次為及時發現資金挪用,追回大部分損失。
但這次不太一樣。
諾亞報警是在6月20日,其實諾亞發現問題是更早,在6月19日,諾亞已經要求承興羅靜追加了大量的股權質押,然後才翻臉報警。
只可惜現在整個香港承興,博信股份,新加坡BAC.SES的股價都已經一瀉千里,追加的股權並不能挽回損失。
更麻煩的是,即使走破產清算,諾亞也不是第一優先級清算的,博信股份的相關股權已經被蘇州名城更早一步申請了凍結,諾亞只能算是輪候凍結,要等蘇州名城的事情解決後,才有諾亞的事情。
雖然汪靜波依然自信滿滿地表示可以處理好這次風波,也認為此次事件也是諾亞從非標類固收產品轉型的起點,但現實情況並非如此元氣滿滿。
這一關沒有那麼好過。
02
縱觀承興的案子,其實最弔詭的地方在於造假的京東蘇寧的應收帳款,應收帳款本身的造假是很容易被驗證出來的。
承興確實是京東和蘇寧的供應商之一,也確實有業務往來,造假的是數字金額,是業務真實性,而非合作關係本身。
之前我已經撰文抨擊了諾亞的風控在做盡調的過程中沒有把IPC做到極致,對於很多核心業務的驗證過於粗淺,沒有要求京東蘇寧出具相關的證明。
但是這個案件的關鍵其實在於,諾亞為什麼沒有做這個要求?
京東蘇寧作為強勢方是否配合不說,但提出訴求是完全可以的。
尤其是京東敢直接回應說諾亞沒有對業務真實性做校驗,可以看到是完全沒有。
到底是什麼讓諾亞放棄了直接和京東蘇寧對證核驗?
仔細看承興案子,可以發現一個細節。
最終這個合同是在相關公司的會議室裡,在相關公司員工的見證下籤的。
而蘇寧的案子更是直接在蘇寧北京的辦公室和一位所謂的管理者簽的,時候蘇寧表示沒有這個員工。
也就是說,在京東和蘇寧辦公室裡出現的,其實不是京東蘇寧的人,而諾亞以為是他們的人,所以默認了他們認可這件事情,沒有進一步要求雙錄(錄音錄像)和身份核驗,主要是當場面子實在抹不開。
諾亞犯的愚蠢錯誤不提了,承興為了騙錢找來演員本身也不是什麼難題,那麼真正嚴肅的問題來了。
為什麼京東和蘇寧的內部辦公室甚至是關鍵管理者的辦公室,可以被外人拿來簽合同?
他們是怎麼進入網際網路公司辦公區的,外來訪客即使進入辦公區,也往往也有本司員工引領才能到達固定的會議室。
為什麼辦公者們的擁有者們都剛剛好不在辦公室?誰洩露了他們的行程?抓住他們不在時候打了時間差?
在這個過程中,京東蘇寧內部,是否有人和承興乃至諾亞的人勾結?
這個人如果存在,那麼買通他需要什麼?
如果正常上班沒有辦法實現財務自由的話,那麼利用自己手中有限的權力,在模糊地帶進行一些可有可無的操作,例如引人入會議室,例如不經意洩露高管行蹤,例如提供一到兩張公章的照片用以造假,例如審核過程中適度放水,可以例如的太多了。
誰在簽字後離職了?前台監控的那一天有沒有拍下是誰?那人是不是知道錄像的保留時間特意計算過?
34億大炮一響,有多少人黃金萬兩?
又有多少人夜不能寐?
我們在屋裡發現一隻蟑螂,背後代表屋裡起碼有幾百隻蟑螂存在。
諾亞之後,又有多少大炮已經裝填完畢?
03
內鬼內外勾結已成當代公司的心腹大患,網際網路公司也沒有什麼不同,網絡並沒有讓公司更透明。
只要利益勾結帶來的收益高於丟掉工作的損失,Why Not?
大家都這麼聰明,只要算得清自己的糊塗帳公司可能算不清,你還在等什麼呢?
虧損是公司的,錢是自己的,來呀,造作呀。
前些時間的某行代銷的某P2P炸雷,投資者維權,很多人後台問我到底是怎麼回事?
其實不怎麼複雜,也沒啥黑幕,就很簡單一件事,確實是和銀行沒關係(真實的合作2017年底合同就到期了,沒有續簽),但是銀行裡的某些人利用了自己手中的一些模糊的力量,造出了和銀行很有關係的假象。
所謂的合作,無非是使用了某個子公司的外包開發,這種東西其實誰都能上,然後獲得了一個若有若無的背書,注意這個和法律無關,從法律上確實是無關的,但是對於很多外行就很唬人。
然後就是佈置任務,一線員工在不知情的情況下推銷。
內外勾結,虛假宣傳,暗示兜底,利用銀行渠道推銷,這種事情銀行內部發生過很多,尤其是P2P瘋狂的那幾年,各種飛單已經到了瘋狂的地步。
當年浙江某銀行連續飛單案,進去了6個人,其中有我同學,把客戶忽悠去高風險P2P,拿10%的提成,最後P2P跑路,他進去了,現在在裡面除了滿頭綠髮一無所有。
我不認為他是無辜的,10%的抽佣一定是帶血的,他不會不明白。
所有忽悠客戶讓其以為是銀行產品的,都活該。
至於銀行推廣產品本身,不代表銀行做背書,因為銀行本身就有一塊業務是做理財代售的,這塊業務很賺錢,而且不同於利差,這是純賺的錢,旱澇保收,各家銀行都在推。
很多時候你在銀行買到的產品,不代表這是銀行自己發行的,這個邏輯其實多數人都沒有理解,尤其是對於金融認知比較差的。
這裡也需要各位自己弄清楚,也跟家裡的家人們搞清楚。
你在銀行買到的產品,如果購買協議上不是只有你和銀行2方,多出了第三方,那麼你至少要清楚,這個產品不代表銀行。
不是說你在銀行買的東西就是銀行的,也不是說銀行賣三方不合理,而是你無法分辨這款到底是不是飛單。
很多營銷業績導向的銀行,銷售真的很野,夾雜私貨的內鬼也很多。
請一定小心。
04
我們再來談談網際網路行業的內外勾結,這裡面有很多有趣的東西。
我再次重申,網際網路公司並沒有比傳統公司更透明,反而是由於發展野蠻,且多數都是在燒投資人的錢,內外勾結貪腐的情況比起成熟的傳統行業更加嚴重。
我做風控,內部貪腐也是風控的一部分,這麼多年被我抓出來交給廉政和法務送進去的人有幾十人,他們很多人直到被抓時,才意識到自己做的事情有問題。
當然更多人是覺得自己不會被抓,僥倖心理每一個人都有。
採購,是網際網路公司貪腐的重災區,也是權利模糊化導致的套利空間。
專業採購部一般都是要求橫向比價並且多人多價的,並且採購們多多少少都知道貪腐被抓的後果,但是很多業務部門和職能部門的人,手裡也有採購權限,這種大殺器被外行拿到,他們一動起貪念,就會很麻煩。
尤其是業務和職能部門本身就負有一些業務屬性,他們中的聰明人完全可以利用自己職務屬性的便利,來合法的做一些對自己有利的事情。
下面給大家展示一些生動的小案例,裡面有一些是被我抓到過的。
05
一家稍具規模的網際網路公司,需要用獵頭,那麼,用哪家獵頭公司?
有的公司走集采,但更多公司都是掌握在HR手裡;
一個稍微有點水平的人才,往往簡歷一放出來,就有無數的獵頭跟進,這些獵頭都是歸屬於不同的公司,而且一個人才是不介意多個獵頭都幫他推薦的,因為這符合他的利益最大化。
那麼問題來了,用哪家獵頭來提供服務呢?
很多時候HR不需要向業務老闆說哪家公司好,只需要說哪幾家不好,就足夠達成目的了。
業務老闆也不想在人才上出紕漏,往往會默認相信HR。
HR告訴業務老闆哪家獵頭口碑不好,有什麼錯誤?這是非常正常的操作,甚至可以說是敬業。
但這裡面有沒有私貨,是無法求證的。
這屬於一種合理傷害權,在合理合法合情合規的情況下,實現自己的目的。
我們再問下去,獵頭成功獵到了候選人,一般獵頭費用是人才年薪的20%到30%,大概是6位數的一筆錢。
這筆錢什麼時候才能結算?這筆錢裡面,有沒有HR一份?
又甚至這筆錢是候選人年薪的20%到30%,那麼HR在熟悉的獵頭推人的Case裡,會不會幫助候選人去爭取最大乃至超出一個level的薪酬呢?
某些公司的HR是完全有這個權限的,為自己私密的獵頭推進來的候選人大力給出高額薪酬,自己可以拿的更多。
HR幫自己的共利候選人拿到更多的薪酬,有很多非常正當的原因,例如這人很難得,很多公司都在搶著要,獵頭也在幫他推別的公司;
例如這人業務很認可,可以快速發揮作用,不介意這些小錢;
這些原因有些是真的,但有些不是。
合理傷害權的奇妙之處就在於,即使你覺得不對勁,但對方做的完全符合職業思路,你不能硬說他們有問題。
再例如員工保險,員工體檢,這種採購,市面上能提供服務的機構條件都差不多,那麼核心競爭力在哪裡?
核心競爭力就在於誰能給到更多的返利,以及誰能滿足公司的一些特殊要求。
返利很簡單,就是返錢嘛,有一些體檢機構就比較缺德,和公司聯合起來坑入職者。
例如某上市體檢機構,在推進簽約的時候,支持依據客戶的要求,給入職者定製強制X光類項目,確保入職的候選人至少半年內不方便懷孕,幫公司利益最大化。
你看,不要以為內鬼與你無關,合理傷害權傷害的是所有人的權利。
06
再說說其他的採購。
雖然薪酬福利HR們的權利很大,在員工福利,服裝定製,獵頭,保險,乃至外賣合作上面都有很多油水,但這些油水其實傳統企業也都有,我們講一個網際網路的。
高利貸大戰中,誰是最後的勝者?
有人說是高利貸公司,有人說是做流量的,有人說是做數據的,有人說是催收公司,有人說是借錢不還的老賴。
其實都不是,真正的贏家是各家公司做數據採購的那些人。
高利貸的整個環節,需要使用大量的數據,有些與風控和業務有關,有些與簡訊通道有關,有些與身份驗證有關。
這裡面的油水,豐厚到你想想不到。
假使一款信用類評分產品,賣給A公司的價格是5毛,但實際結算是3毛,1毛給了數據採購保證用他們家;1毛給了風控部門,要求他們出評估報告的時候把這家吹上天。
按照一天放款1萬人(小型公司)來算,一天就是多少的收益?
而這種產品的成本,在使用大量緩存數據的前提下,成本可以押到更低。
再比如說簡訊通道,公司要給用戶發簡訊,大家都是直連供應商,服務都差不多,核心競爭力在哪裡?
回扣就是核心競爭力。
很多高利貸公司的土老闆們對此幾乎沒有防範意識,因為高利貸看起來足夠賺錢,並且他們也不太懂彎彎道道,風控和採購一串通,安排的明明白白。
甚至很多高利貸公司的逾期失控,背後就是風控和採購串通,買回了大量除了回扣一無所有的所謂風控產品,這個行業就是黑吃黑,有的吃別人,有的吃自己。
07
拋開高利貸,網際網路公司還有很多專屬於自身的數據需求。
例如人臉識別。
人臉識別就是非常典型的價格歧視市場。
人臉識別主要分為2種,一種是網紋比對,用照片來對比公安的高清網紋照,這種相對貴一點,因為高清網紋是收費的。
還有一種是無源1:1,就是用2張照片來互相對比相似度,這種很便宜。
一般公司使用都是用戶第一次發生業務的時候,調公安比對,確認用戶信息與公安一致,然後存下第一次的照片。
在第二次的時候就用第一次的照片作為參照物來比對。
這裡面的油水就非常多,公安比對和無源1:1的價格,超過某個閾值,可以說全都是吃回扣,很多大公司買來的人臉識別,價格高的很離譜,一大半都被吃掉了。
這個領域裡面有責任心的採購和吃回扣的採購,買來的價格可以差一個數量級。
而且由於人臉識別並不是通過率越高越好(我拿一條狗都能過,只能說明做的差),所以評價標準其實是存在一定隨機性的,這裡面的可操作空間更大。
面對這麼大的誘惑,這麼簡單的操作,能不能把持住,全看價值觀。
我親手送進去的幾個小朋友們反正價值觀是不怎麼過關。
讓我印象比較深的是一個95後,工資不高,平時一身潮牌,還開一輛保時捷,出手闊綽,張口閉口不把錢當一回事兒,換女朋友和玩兒一樣,大家都以為丫是一富二代。
我入職後開始盤點風險,盤到他那邊的時候就發現他負責的數據成本全都有問題,我給他一個自首機會,他一開始是非常囂張地說要告我。
等我把證據放在他面前的時候,他直接在會議室裡哭成了淚人,後面才發現其實家裡很窮,他自己吃了這麼多回扣,也沒怎麼攢下來,全都消費了,車還是大價錢租的。
最後他哭著問我說他知道錯了,能不能放他一馬,他還年輕,進去就完了。
對不起,這事兒我說了不算,法律說了算。
對你仁慈,就是對那些兢兢業業的同事殘忍。
08
以上說的都是比較低端的內外勾結和貪腐。
沒錯,即使是造假騙諾亞的錢,造假利用銀行渠道賣P2P,飛單賣私貨,利用合理傷害權給自己牟利,串通外部供應商和內部評估一起吃利差,都只是一些低端的內外勾結。
稍微中端一點的,都是聯合起來騙投資人的錢。
例如某知名生鮮O2O,每賣一單賠10%以上,但是對投資人的口徑就是盈虧平衡甚至盈利,數據分析師直接改後台代碼,數據隨便做,吃的就是投資人只懂看數據,不懂數據背後的業務場景。
從投資人那裡融了很多很多錢,不過最近是不太好過了。
但神奇的是,有些發現真相的投資人,不僅不敢揭露,還要幫他們填補漏洞,對外PR他們多麼牛逼,只有這樣才能忽悠到下一波投資人給自己接盤。
這樣的資金盤式的創業公司,在現在有很多。
例如某個即將迎接BAT投資的新零售公司,GMV造假在40%,玩兒的就是一個面向被收購創業。
再說一個中端內外勾結的案例,某網際網路知名併購案。
某個被收購的行業領頭公司(我不會告訴你是什麼行業的),在被收購前大半年,在收購方那裡挖來了一個財務老闆,從頭到尾梳理了內部的整個數據架構,從財務到業務,內部加班了很久很久在造數據,為的就是打造滿足收購方喜好的美麗數據和清爽架構,能夠賣出更高的身價。
果不其然,收購方很吃這一套,賣出了非常可觀的價格,老闆瀟灑套現離場,最後收購方接盤後發現被坑了,在公司內部進行了一批血洗,從上到下擼了個遍。
最後再說一個高端一些內外勾結,這個可能都不算是內外勾結,而是光明正大的資本遊戲。
某規模巨大到天文數字的超級基金,旗下生產出了無數超級獨角獸,記住,我用的是生產。
他們使用的方法說穿了很簡單,他們投了A公司,B公司,C公司,往往金額巨大,巨大到直接讓公司可以拿到碾壓競爭對手的錢。
然後快速燒錢,燒出漂亮的數字。
於此同時,再讓ABC公司之間互投,A投B,B投C,C投A,快速拉升估值,最後打折上市變現,哪怕是3折呢。
反正沒上市的科技公司的估值全都是都是可以瞎搞的,只要有A公司願意1個億美金買B公司1%的股權,就代表著B公司估值有100億美金。
通過這種手法,他近乎壟斷了世界級科技企業的未來,快速培育韭菜,然後韭菜互相分配肥料,最後一把割。
這不是陰謀,這是利用資本力量實現的陽謀。
但本質從未變過。
09
有時候我也很理解那些貪腐和內外勾結的人,錢那麼美麗,而且又那麼觸手可得。
人有了不該有的慾望很正常,我自己也經常面對誘惑,有的誘惑真的是非常誘人,我得承認真的很美。
而且似乎要錢已經成為了一種理所當然的事情,甚至是唯一的真理。
尤其是現在大家都這麼笑貧不笑娼,沒錢都把你當狗,只要成功了似乎做什麼都是對的。
我認同錢很重要,但這種錢是唯一重要的東西的結果導向我並不認同。
喜歡錢沒問題,誰不喜歡錢。
喜歡錢,用乾乾淨淨的方法,賺乾乾淨淨的錢,這才叫本事。
我鼓勵大家掙錢,我鼓勵大家貪財,我欣賞大家沉浸在錢堆裡的財迷的樣子,掙錢就是對平凡生活的反抗,我很認可這句話。
但不能走歪門邪道。
用歪門邪道掙那些無法安心花的錢的人,在我看來都是真正的弱者。
他們拿著公司的錢,享受著公司的待遇,卻在出賣自己的權力,是為不忠。
他們賺來了錢花天酒地,卻沒有想過某天東窗事發,再也沒有機會花錢,是為不智。
他們寧肯背負著法律和道德的風險去撈錢,也沒有勇氣正面去挑戰這個世界的難,是為不勇。
不忠,不智,不勇,不足掛齒。
不義而富且貴,於我如浮雲。
共勉。

-----------------------
公眾號:半佛仙人(ID:banfoSB)
咳血的獨角獸2:互聯網幕後攻防


  來源:半佛仙人(ID:banfoSB)

  0

  獨角獸咳血系列,主打的是黑產與公司間的攻防,也會涉及很多日常生活中的黑產與漏洞。

  這個系列會出現很多篇,畢竟這些年的投資泡沫,造就了大量只求規模,對於風控不敏感的公司,很多漏洞被黑產吃的肚兒圓,甚至有幾家公司,他們也是看了我的文章才驚覺自己可能存在問題。

  之前的獨角獸咳血1,由於寫的過於深入具體且指名道姓,給我帶來了一大堆麻煩。

  所以風波過去後,我又可以繼續寫獨角獸咳血系列了。

  這個系列中,會出現進攻內容,也會出現防守內容,攻守間的博弈,以錢為賭注,勝者把錢統統拿走,非常有趣。

  而風控與黑產間的戰鬥,猶如命運之風,永不止息。

  1

  風險控制,“知道”的人多,“瞭解”的人少。

  老朋友們應該都知道,我本職工作是做風控的,從線下盡調,信用卡,金融,電商,安全,數據,基本每一個領域的風險管理,我都玩過,並且玩的不錯,天天與黑灰產相愛相殺。

  在獨角獸咳血系列中,我想談談一些真實發生的案例,來給大家展示一下風險控制這個職業,能為公司產生什麼樣的價值或者帶來什麼樣的損失。

  每一個案例,都是以無數金錢的代價堆出來的。

  這些內容我保證是你花錢都買不到的,但也不是什麼一步登天的秘籍,風控不存在秘籍,就是天天與黑產廝殺出來的本能與直覺。

  需要注意的是,以下我講談及一些案例,以及其中的訣竅,功防技巧,我不會解釋細節,但是已經給了足夠多的線索。

  另外本文中我所介紹的進攻手段我自己是知道怎麼防守甚至怎麼反殺的,作為風控,我最開心的時刻不是擋住羊毛黨,而是直接讓他們血本無歸,我一直崇尚進攻多過防守。

  集中注意,我們開始案例講解。

  2

  B站出事了,有人把B站後端的源代碼上傳到了GitHUB,大量程序員對這些代碼進行了下載並解析。

  這件事的起因有傳言是被裁程序員的報復,這種傳言無法證實也無法證偽,所以不需要相信。

  我們今天要談的不是B站,雖然B站的代碼透露出很多很有趣的策略和漏洞,但這種明擺著又要吃函的事情,我還是不做了。

  今天要談的,是其他程序員對於公司命門的掌控,以及公司對於權限管理的疏於管控。

  在很多人眼中,互聯網公司的程序員是存在感很弱的群體,但他們掌握的其實是公司的命門,很多時候一次不經意的更新,一個簡單的BUG,就足以導致公司萬劫不復。

  尤其非常多的互聯網公司,其數據倉庫的管理是非常混亂的。

  非常多業務都依賴幾張特定的數據表,並且缺乏PlanB方案,整個公司的業務維繫於幾張表,這是非常大的風險漏洞。

  更可怕的是,很多公司在做數倉開發時,用跳轉機中,是公用賬號,且定期清日誌緩存,也就是很多大數據開發,用的是同一套賬號密碼,用這些賬號密碼做的事情,會被定期清除。

  這就代表著,某些程序員,只需要在關鍵的業務節點,例如某次大促,簡單的利用公用賬號登錄跳板機,做一個小小的定時更新程序,就可以對公司的業務造成重大的打擊。

  收買這樣一個程序員利用公司本身的風控不完善做局,這樣的價格雖高,但對競爭對手而言,是非常划算的,尤其是很乾淨。

  某電商類知名公司,因為某次數據事故,導致其整體財務數據和業務數據完全對不上,大量歷史數據丟失,資方質疑其數據造假,融資斷流,突然從業內掉隊,從此一蹶不振。

  所以看文章的各位,是不是在注重業務之餘,也要注重一些數倉的權限管控與備份呢?是不是需要內部排查一下此類問題呢?

  我知道看我文章的很多是各大公司的風控安全,誠懇建議各位排查一下此類問題,權限管理和操作日誌是那種看起來沒有產出,但關鍵時刻可能會要人命的東西,要謹慎。

  可惜了那家本來很有前途的公司,原本是有機會在中國互聯網界闖出更大的天地。

  3

  很多互聯網公司在做營銷拉新的時候,很喜歡做二維碼推廣,掃碼即可XXX,掃碼即可獲得現金等等。

  只要別人掃了你分享的二維碼並作出簡單的操作,你和掃碼人都可以獲得獎勵。

  這種活動設計的初衷是為了方便傳播,尤其是方便在微信傳播。

  但很多公司在掃碼得獎的風控設計上不夠完善,導致裡面存在很多漏洞,大量羊毛黨因此獲利。

  既然B掃A的碼,AB都可以獲得獎勵,那麼只要A的碼可以創造一個足夠多的場景,被足夠多的人掃到,那麼A就可以獲得大量獎勵。

  方法1:使用機器批量操作,黑產工作室利用大量設備,互相分享活動二維碼,互相掃碼(主要是點擊識別),大量套取利潤。

  很多沒有防範意識的互聯網公司,尤其是O2O公司,在獲客階段,會被大量掃走預算,某知名生鮮類互聯網公司,2018年,因此造成的套利損失在千萬級別,這些損失的發生只用了不到3天時間。

  方法2:很多公司後來聰明了,開始使用技術開始反設備批量互掃了,例如給每個設備製作唯一的設備ID(這個難度其實不低,尤其是H5場景無法直接獲取設備號),但是黑產們還有其他方法,例如社會工程學。

  利用人為塑造的場景,來誘導真人掃碼。

  我想之前大家都看到過一個新聞吧,某人使用掃碼送大白菜的方式,成功誘導大批大爺大媽來掃碼領白菜,最終獲利頗豐,還成了一個段子。

  而最經典的一戰,發生在單車大戰時,那個時候,是有團隊專門在共享單車上貼營銷二維碼的,用戶在不知情的情況下,以為是開鎖,結果掃了營銷二維碼,幫黑產做了羊毛。

  而最有趣的事情是,很多這種羊毛,其實是自己人下手的,不然誰能一夜間貼滿全城的單車呢?自己人黑自己公司的補貼,這種事情太多了。

  而我們退不回的押金裡,有多少是被這樣薅掉了呢?

  4

  講完二維碼營銷分享,再講手機號拉新營銷分享的一些玩法。

  所謂手機號拉新,就是我給你發送一個微信卡片,你點進去,可以輸入手機號,然後獲得一張券,存入這個手機號的賬戶中。

  我想大家對於這個已經非常熟悉了,各種外賣APP的紅包分享,都是這麼玩的,點進去,輸入手機號,然後領券,尤其是某咖啡,更是紅包不斷。

  而當前存在一種羊毛黨,養了大量的手機號,然後登陸微信,潛伏在各個外賣紅包群中,只要有人分享,就會點進去搶券,然後把最低價的券,拿出來下單,去買一些硬通貨(牛奶等),然後套利。

  如果產品本身不能買硬通貨,那麼也不重要,可以做成代下單,在一些二手平台上搜XX券,XX代下單,可以發現有大量人在做這個生意,就是你付一小筆錢給他,給他地址,他幫你下單,貨物送到你指定的位置,簡單方便。

  無數互聯網公司燒出的錢,補償的券,都沒有被補貼到真正的用戶,因為對於代下單的聚類分析缺失,對於用戶關係網的不重視,對於收貨地址的放鬆,導致砸了大錢也沒賺到用戶。

  那些已經認識到這一點的公司,就把券設置的非常摳門,門檻高,金額低,直接從源頭上就堵住這件事。

  而有些只要數據的公司,則反而加大力度在送,賣1塊賠2塊也要送,恨不得羊毛黨住在家裡。

  當前某著名連鎖外送互聯網公司,至少有四分之一的訂單來自代下單,風控形同虛設。

  當然這家公司也不傻,從一開始就是衝著圈錢上市來的,玩的就是一個披著互聯網外衣的資金盤。

  5

  刷券代下單,只是低端玩法,最近流行起一種新的玩法,也是基於手機號拉新營銷的。

  很多互聯網公司在做推廣的時候,是允許你邀請朋友的,只要輸入朋友的手機號,你們就可以建立一個綁定關係,如果這位朋友後續與這個互聯網公司產生了一定的業務交集,那麼你作為他的邀請人,是可以獲得很多獎勵的。

  就是所謂邀請碼和邀請手機號。

  而這裡面,存在了一個很有趣的玩法,就是暴力灌號,佔領號段綁定關係。

  什麼叫灌號,就是假如我是A,我要輸入BCD的手機號與他們建立綁定關係,BCD下單了,我就有獎勵。

  那麼我可以直接窮舉號碼,例如直接從13000000000一直到19999999999,全都往邀請鏈接裡導入,等於是只要有用戶註冊使用了他們,不管與我有沒有關係,我們都已經建立了綁定關係,我可以躺著收錢,儘管用戶本身都不知道我的存在。

  這種攻擊,對於大廠是無效的,但是對於很多初創企業尤其是急著要數據的企業,是非常致命的。

  針對大廠的類似推廣,他們會控制號碼的數量與規則,儘量一個號只邀請幾十個人,並且號段不會出現重複性,頻率也不會做到很高頻,具體的做法我就不公開了,但是每年大廠們在拉新上面的這種無感知損失,是無法估量的。

  當然可能運營們也不是很重視,畢竟某種意義上這就是拉新成果,無效補貼於運營何干?

  況且再仔細想一想,這種規則的洩露,是誰幹的?

  誰KPI完不成會心慌呢?

  6

  關於灌號,其實還有另一種精準灌號的玩法。

  就是灌號者,確實是知道這個手機號的主人的某些社會屬性。

  例如從一些無良4S店搞出來的車主手機號,從一些無良物業搞出來的業主手機號,從一些學校搞出來的家長手機號,從一些金融機構搞出來的理財客戶手機號,從某些防範不嚴的網站中脫褲出來的用戶手機號。

  然後拿著這些手機號,做定向灌號,成功率極高,因為這些人本就是互聯網公司重金去地推,去廣告覆蓋,去試圖引誘的群體。

  例如拿學生家長的手機號去灌教育類APP,拿車主手機號去灌車輛交易類APP,拿業主手機號,去灌裝修類APP,這種方法可以說是風險最低的套利方式之一了,並且收益較好。

  黑市上有專門這樣的交易渠道,只需要不多的一筆錢,就可以拿到大量具有精準屬性標籤的用戶,很多短信供應商也參與其中,利用自己發短信的優勢,偷偷倒賣數據,為了獲取更多數據,他們恨不得免費給垂直行業的大公司倒貼錢。

  甚至我知道的很多此類互聯網公司的運營,專門會和一些黑產串通,告知他們投放策略和方式,黑產批量灌號進行套利,最後大家分利潤,反正數據也好看,公司用戶也有增長,這部分無效補貼,不套白不套。

  我想很多互聯網公司,對於自己的營銷費用,應該重新審視一下了,尤其是在寒冬的時節。

  冬天不好過,對麼。

  7

  再說個不是很大,但與我們多數人都有關的小漏洞。

  搶票軟件都知道吧。。

  就是很多時候我們需要買到一些票(例如火車),但是票的數量有限,買的人太多,只能去用一些三方搶票軟件。

  而這些軟件,總是各種變著花的收錢,一張票要多收50到100元,甚至更多,堪稱新時代互聯網黃牛。

  既然有互聯網黃牛,那必然就有坑黃牛的黃牛。

  這些搶票軟件的核心原理是,利用機器調用票務網站的接口,極快的速度刷新和購買,往往速度可以快到1秒鐘幾千次,正常人根本搶不過他們。

  12306本身是嚴禁第三方用這種方法破壞公平的,所以不會提供完整的對外接口出來,他們只能用各種技術手段來利用12306本身的對外合作接口(速成OTA),想盡辦法來加快調用。

  而這就產生了一個很有趣的漏洞。

  如果黑產的手機上同時裝有某某搶票軟件和12306,且黑產的搶票軟件的付款方式綁定的是借記卡,在發起搶票時,把借記卡餘額轉走或者借記卡本身就沒錢,那麼當搶票搶到票時,必然扣款失敗。

  此時,可以登錄12306,付款,然後取消搶票。

  有些搶票軟件甚至都是搶到了才讓付款,那更簡單,連餘額和支付失敗都不用做,直接打開12306付款即可。

  好幾家著名公司旗下的搶票軟件,都存在這個漏洞,但不敢去找消費者的麻煩。

  因為搶票,加價搶票,本身都是模糊的灰色地帶,雖有有苦難言。

  很多電商網站上的代搶票服務,本質上就是在用這個方法空手套白狼,既白嫖了搶票軟件公司,又套了消費者的錢。

  美哉。

  51節要到了,搶票大戰又開始了,這個漏洞,又要被用起來了。

  8

  再講一個經典的營銷漏洞,與廣告有關。

  很多公司的推廣,都是依賴廣告的,APP裡,網站上,大馬路上,都是打廣告的好地方。

  而廣告的結算方式有很多,最常見的是CPT,CPC,CPA和CPS。

  CPT是指時間,按展示時間收費,廣告展示長時間,收費XXX元,一般電梯廣告都是CPT,部分網站的廣告也是CPT。

  CPC是指的點擊收費,點一次,多少錢。

  例如某些垃圾醫院在某些網站上打廣告,點一次,可能就是幾塊錢甚至幾十塊錢。

  CPA是指註冊收費,每個成功完成註冊的用戶,多少錢。

  例如很多貸款超市,很多APP裡浮動的頁游,都是CPA。

  而CPS,是指業務發生收費,發生一次業務,多少錢。

  例如以前盛行的貸款超市,用戶下款後,下款金額的一定比例給到貸款超市。

  再例如外賣軟件或打車軟件推廣,用戶註冊後完成一單,給推廣方XXX元。

  這些廣告計價方式裡面,就存在了很多漏洞。

  點擊結算(CPC)和註冊結算(CPA),是被刷的重災區。

  CPC是最簡單的,過去的CPC直接就是用機器暴力點擊刷量,不管有多少錢,都可以被快速點光。

  現在要麻煩一些,但也不是很麻煩,只需要一些微信群和QQ群,就可以完成大量真實用戶點擊,往往是以兼職任務的形式來完成的,點一次給XX元,甚至想加入這種兼職群,都要收費。

  CPA相對CPC要多一個步驟,就是點擊後註冊,由於很多公司對於CPA的監控是比較弱的,所以CPA可以大規模註冊,CPA的刷量更加嚴重,黑產手中都握有大量的真實資料和設備,很多資料都是網站被脫褲出來的信息,很多用戶都是神不知鬼不覺就被拿來做了註冊。

  說到這裡,你可能會問,黑產刷這個有什麼意義啊?這又不來錢?刷出去的廣告費也不給黑產啊?

  這你就比較天真了。

  首先是,有的黑產,是收了一些公司的錢,來專門點其競爭對手的廣告的,如果我花50萬,可以收買黑產點掉競爭對手1000萬的廣告費,為什麼不呢?

  當年高利貸大戰中,很多高利貸公司都與這些黑產有關,專門去給競爭對手的投放添堵。

  其次是,很多黑產,其實就是廣告公司的自己人,客戶充值要消耗掉,不然新的充值不會投入,適當在正常的點擊註冊中,添加一點點料,可以幫助客戶花錢花的更快,自然自己也能多賺錢。

  至於作為甲方要如何監控渠道有效性和投放策略,那就是另一個長篇大論了。

  最後,很多黑產,和甲方的運營是一夥的,甲方運營會把投放策略,結算方式,都給到黑產,黑產會幫助甲方運營快速消耗資金,然後甲方發起進一步充值,每次充值,廣告公司都是有返點給到甲方投放負責人的,這是非常常見的一種勾結。

  很多公司的市場負責人和投放負責人,本身工資不高,但是生活非常奢華浮誇,並且都是一年一跳槽,他們哪裡來的錢呢?

  各位老闆想一想,自己的公司有沒有這種隱患呢?

  不止是市場部門,我也知道很多創業公司的高管們也在通過這種手段來騙投資人的錢,實現自己的套現。

  去年倒閉清算的某幾家遊戲公司,老闆號稱屢敗屢戰的連續創業者,但是自己的生活卻是越來越好了,嘴上說著與版號有關,實際上就是吃光了廣告投放的錢。

  專業的廣告投放與風控,是一門大學問。

  9

  本次文章又講了7個案例,聰明一些的朋友肯定又從中悟出了一些有趣的東西,恭喜。

  相信各位讀者已經感受到了風險控制這個崗位的重要性,風控做不好,運營和市場投放永遠是拿錢打水漂。

  而且連個響都沒有。

  只可惜絕大多數公司的風控,空有一身本身,但無法發揮。

  因為很多時候,風控都是一個做減法的部門,而大多數公司的核心訴求,是加法加法加加法,只有增長,只有規模,才能讓公司拿到下一輪融資,活下去。

  而做減法的風控,自然就是業務老大們眼中的仇人。

  而在很多運營眼中,風控更是多餘且礙眼,因為風控往往會砍掉運營的一部分KPI,擋掉一些暗中交易,這些都是錢。

  斷人財路,必遭仇視,而且很多業務方都有一個不好的觀點,那就是做成了是自己的,做賠了是公司的,公司賠不賠錢不重要,只要自己的KPI和年終獎到手,就好了。

  所以作為一名風控,很多時候比起羊毛黨,更害怕的是來自背後的利刃與利益勾結。

  想起曾經一個風控的前輩,在某獨角獸尚未長出角的年代,在一次拉新活動阻止了上千萬的資金流失,純靠手寫的專家規則,逆天一樣的發揮。

  但他正在興奮的時候被運營老大一紙報告捅到了CEO那邊,說是耽誤公司市場推進,不然GMV可以翻倍。

  有意思的是,老闆居然認可了這個觀點,並且最終疏遠了這個不懂事的風控,而在這個風控離職之後,大面積數據造假,內部腐敗橫行。

  然後有意思的是,這家公司最後成為了一家獨角獸公司並且被併入了某一線互聯網公司,老闆套現離場,直到併購內部清算時,該公司才發現自己吃了個大虧當了冤大頭,然後血洗獨角獸。

  身為一個風控,從來都不會害怕羊毛黨,最怕的是來自交付背後的刀子和受傷後撕咬自己傷口的公司貪狼們。

  或許這就是風控的宿命。


咳血的獨角獸:互聯網的幕後攻防

  文/半佛仙人

  來源:半佛仙人(ID:banfoSB)

  1.

  風險控制,“知道”的人多,“瞭解”的人少。

  我想談談一些真實發生的案例,來給大家展示一下風險控制這個職業,能為公司產生什麼樣的價值或者損失。

  這些內容我保證是你花錢都買不到的。但可以從中領悟多少進攻或者防守的思路,就全看自己的悟性了。
  老朋友們應該都知道,我本職工作是做風控的,從線下盡調,信用卡,金融,電商,安全,數據,基本每一個領域的風險管理,我都玩過,並且玩的不錯。

  風險控制,或者說風險管理,在互聯網公司中,一直是一個比較尷尬又不上不下的崗位。

  說風控不重要吧,你去問任何一個公司的老闆,都可以balabala說出各種風控的重要性,大道理講到你吐血。

  說風控重要吧,在絕大多數公司的實際情況中,風控都是為業務方讓路的,運營部門要增長,市場部門要投放,活動部門要大促,這些都有明確的指標考核,而這些部門由於直接影響公司數據,進而影響公司講故事融資,所以往往特別強勢,風控這種做減法的部門,在他們眼中更是業績的阻礙,最好統統趕走。

  多數老闆為了面子好看,對外大力吹風控;為了裡子好看,對內往往是默許業務部門Diss風控甚至搞點小動作的,所以到最後,風控往往裡外不是人。

  某位老闆曾經在酒後對我說過,你們這些風控,如果業務沒有出現風險,養你們就像養豬;如果業務出了風險,養你們還不如養豬。

  某種程度上,這話是對的,風控只是業務的輔助。

  但在另一些維度中,業務營銷如果風控放水,那麼多少錢都只能打水漂。

  以下我講談及一些案例,以及其中的訣竅,功防技巧。

  本文中我所介紹的進攻手段我自己是知道怎麼防守甚至怎麼反殺的,這也是我的專業價值所在

  集中注意,我們開始案例講解。

  2.

  某某咖啡,號稱打倒星巴克,教育中國人的咖啡習慣,不差錢,估值數十億美金,即將嘗試美股IPO,一年虧損幾個億都不當回事的公司,在今天把自己的一堆咖啡機做了抵押,換取了4500萬人民幣抵押貸款,這很喜感。

  當然他們對外解釋是輕資產運營,設備利用最大化,這話是不是真的,每個人都有自己不同的見解。

  但作為2018年燒錢最猛,同樣也是增長最猛的品牌之一,營銷方面我不好說,只能說他們的風控做的不夠到位,當然也可能是為了漂亮的數據搞投資,默許風控滾開。

  某某咖啡曾有一個非常經典的用戶拉新活動,就是只要你邀請人別人註冊並下單,你就可以獲得一張免費喝咖啡的券,由於新註冊用戶有默認的免費券,所以等於是存在無成本套咖啡券的漏洞。

  A邀請B註冊並下單。

  A獲得一張免費券,B免費下單。

  所以,只要有批量註冊的手機號,就可以大量開始刷咖啡券了,只需要不停地用新手機號註冊,然後下單,然後就有券,操作一次可以免費喝至少2杯咖啡,美滋滋。

  而市場上買一次手機號帶驗證碼註冊的成本,是2毛到1元。

  如果你能批量使用2毛一次的成本,換取2杯免費咖啡,那麼你完全可以第一杯自己喝,第二杯以極低的價格賣給身邊的同事,這種便宜很少有人會拒絕。

  而且這個已經產業化了,標準灰產。

  在某些二手交易平台上,直接搜索,就有各種代下單。

  除了免費咖啡(他們被薅實在太狠了)之外,更多的是一些打折券,尤其是有一段時間,XX瘋狂在發3折券和2.8折券,這些券的領取方式更簡單,只要在H5頁面輸入手機號,就可以領取。

  所以在刷號註冊拿免費券之後,那些不能再享受新人券的賬號,可以再拿來領一些折扣券,同樣可以獲取套利。

  保守估算,其相關營銷投入的接近一半,是被刷掉了,沒有獲取到真實有效的用戶,這可是億級別的損失。

  並且這種手動機器註冊,並且用完首單資格再領券的玩法,適合一切有分享領券功能的電商和外賣平台。

  當然,無限制的下單也不可能,公司也不是傻子,總有一些規則可以攔截掉異常訂單,只不過他們的風控一肚子本領無從下手而已。

  你攔截了訂單,就是攔截了GMV,你攔截了GMV,就是攔截了業務的KPI,你攔截了業務的KPI,就攔截了公司融資,對於很多toSBVC的公司而言,這比殺了他們還難受。

  所以很弔詭的是,風控仇視羊毛黨,營銷仇視風控,同時營銷又跪舔羊毛黨。

  畢竟KPI和年終獎是自己的,虧損是公司的,豈不美哉?

  3.

  說到最近風投正勁的幾家O2O公司,就是各類XX買菜,XXX鮮,XX社區之流。

  他們一直在燒錢,且優惠多多風控不多。

  感謝他們的努力,很多羊毛黨已經很久沒有花錢買菜了,厲害一點的羊毛投資,各種拉新賬戶的餘額加起來有6位數甚至7位數,基本只要公司不倒,買東西就不用花錢。

  車釐子大閘蟹精釀啤酒進口牛排海鮮之類的消費升級,早就給他們吃膩了。

  先說XX買菜,他們最近燒錢最厲害。

  其拉新活動是,新人註冊有2張大額券,滿XX元,減XX元,裡面的東西最划算的是牛奶,扣除優惠券金額後,存在很大的套利空間。

  但是這家公司多少還有點風控意識的,其拉新套利單純使用接碼平台註冊是沒有意義的,因為會校驗支付賬戶信息以及下單頻次,同一個支付賬戶多次使用不同賬號,或者同一台設備多次使用不同賬號等等,會被直接攔截。

  所以很多專業刷子,會使用專業設備和專業賬戶來繞過規則,他們的風控漏洞對於專業選手而言非常明顯,只需要一點簡單的偽裝,這些基於用戶信息的核身規則都會失效。

  再說XXX鮮,在圈內被稱為羊毛X鮮,推廣及其豪爽,漏洞多不勝數。

  首先是拉新,現在的拉新是只有推薦下單後各享受大額滿減的,而早期的時候,還有滿多少人送多少餘額的活動。

  利用某些平台,及廣義地址(就是收貨地址只留小區,不留具體門牌號,靠配送員電話口述),連偽裝支付賬戶都不需要(他們沒有做校驗),就可以開刷,並且上面的某些硬通貨很便宜,特別適合套利,別忘了,還有送餘額的活動,這些餘額就是純賺的,可以買一切高折現率的產品,非常划算。

  其風控之簡陋,簡直是羊毛黨的提款機。

  不僅沒有收貨人一致性校驗,沒有支付賬號限制,沒有LBS規則,沒有用戶血緣關聯,沒有實時熱點監控,沒有虛擬號段封鎖,連IP牆和設備號限制都沒有,可以一台手機,一個支付賬戶外加一個接碼平台,就能無盡的刷。

  可能是被刷太厲害了,導致現在不搞餘額活動了,只給大額券,盈利少了不少,不過首單大額券,依然還是有吸引力。

  所以你們看,如果風控不到位,這些公司的營銷費用,全都白給。

  隨著黑產技術的進步,風控不好的公司,已經沒法靠燒錢贏市場了。

  4.

  連說了2個套取新人優惠以及券的案例,我們講點別的。

  大家都知道蘋果手機吧?這是一種硬通貨,手機市場唯一的硬通貨。

  而很多新興的社交電商平台,都是拿蘋果手機,當做引流商品的。

  什麼叫引流商品?就是這個產品本身賠錢,但是吸引你來我店裡消費,成為我的會員,你可能不止買這一個產品,我可以在別的商品上賺到錢。

  就像很多飯店的特價菜一樣,靠特價菜吸引你進店消費。

  他們的蘋果手機,出售價格往往是低於進貨價的,而且補貼力度不小,起碼我就知道某平台的XSMax,經常性低於市價300到500,這就存在了套利空間。

  要知道黃牛正常倒賣蘋果手機,一台往往也就100到200的利潤,而如果能批量搞到這些引流款的手機,其利潤非常可觀。

  所以各路黃牛都在試圖獲取更多特價菜。

  由於這裡面的利潤很吸引人,這些平台對於引流款的看管都是很嚴的,普通的進攻手段是沒有辦法繞過風控規則的。

  但是聰明的黃牛,都是用肉雞操作。

  什麼是肉雞?

  就是這人不是虛擬的機器,而是真正的人,是一個活生生的用戶。

  大家都知道人肉刷單吧,就是平時該買啥買啥,偶爾有黃牛聯繫的時候,就幫下單刷一下商品,搜索,點擊,聊天,砍價,支付,一條龍,就是活生生的人,只不過10單正常交易裡有2到3單刷單而已。

  目前蘋果代下單的肉雞價格是50元一單,很多人業餘做肉雞兼職,給自己加加雞腿。

  據我瞭解到的現狀是,很多平台的引流款蘋果手機,起碼70%是被肉雞刷走了,肉雞刷走後手機流到了市場上,所以我們才總能買到各種低於市價的便宜正品手機,大家各取所需,也很好。

  5.

  來個高階點的,鎖價套利。

  上面提到了蘋果手機。

  由於國內的電子市場非常發達,而蘋果手機的需求又非常旺盛,所以往往蘋果手機的價格是一天2變,可能一台手機早上是7000元,中午是7100元,下午是6900元,第二天是6850元。

  大宗商品,價格頻繁波動,某種程度上,蘋果手機可以算作一種期貨。

  那麼既然是期貨,就存在空手套白狼的純套利空間。

  一般來說,電商平台是不太會給你這個空間的,你買便宜是你運氣好,你買貴了就是買貴了,不管你是黃牛還是肉雞還是正常客戶,不管價格是便宜還是貴,你都應該是在某個固定時間以某個固定價格來買到這個商品。

  但是儘管電商規則是這麼設置的,但是可以從支付環節入手鎖定價格。

  例如某些電商平台曾經出現過漏洞,就是如果付款時,價格為A,選擇某付款通道,選擇支付方式為借記卡,卡中餘額不足,就會支付失敗,但是這筆支付訂單可以保留好幾天,在這個過程中可以隨時以A價格完成支付,進入發貨。

  所以很多黃牛就會下單,然後故意支付失敗,等著看平台調價,如果漲價了,價格高於A不少,他們就付A的錢拿貨,發貨地直接填付給他們錢的買家,空手套白狼;如果價格低於A,就取消訂單,不要了。

  再舉個利用餘額不足鎖定價格的案例。

  某著名連鎖披薩餐廳,出現過一種漏洞,就是購買某個數百元的套餐,在付款時如果卡種餘額是特定的XX元,再配合某個批次是優惠券,則可以觸發幾十塊買到幾百塊的套餐,一家人只花幾十塊就成吃到不想再吃,很有趣。

  同理,某連鎖商超的電子會員系統,同樣出現了支付餘額的漏洞,可以低價搞到大額優惠券和卡,這種機會往往稍縱即逝。

  國內有專門的黑產團隊,每天都在利用支付失敗這一條件來試探漏洞,因為支付是獨立的體系,電商是電商的體系,只要是不同體系的交互,就一定存在套利空間。

  這是不可避免的。

  6.

  換一種玩法。

  大家知道套現吧?

  就是把信用卡的額度,變成現金,這筆現金可以拿去投資,周轉。

  如果直接用信用卡取現的話,是要收取高昂的提現費用,並且被取出的額度按日計息,無法享受到信用卡的免息期。

  所以如何各種渠道,把信用卡的額度變為無利息的現金,是一門生意。

  當前最流行的就是各種二維碼和各種Pos機,本質原理就是虛構一款商品,用信用卡刷這款商品,在銀行眼中是正常消費,額度享受免息,但實際情況是刷卡人獲得了現金。

  這麼操作,也是有成本的,成本在0.38%到1.2%之間。

  所以如果有更低成本的套現渠道,就可以無風險套利。

  某些疏於做支付風控的互聯網公司,就有這樣的漏洞。

  大家還記得空空狐麼,一家做二手交易,巔峰時到達過市場份額第三(第一第二是閒魚和58),後來創始人和投資人決裂,瘋狂撕逼。

  很多人當時評價老闆不成熟,投資人不靠譜,行業門檻高云云,實際都搞錯了。

  空空狐是被套現套死的。

  當時為了增加市場佔有,空空狐想出了這樣一個營銷方案,就是用信用卡支付,空空狐補貼手續費,他們沒有意識到支付風險,也沒有專業風控對交易補貼做風險兜底策略。

  這種操作一放開,這家公司就已經死了。

  由於空空狐是二手交易平台,所以買賣雙方都可以自由上架貨物並交易,在這個過程中還補貼信用卡手續費,那就等於是可以自由套現。

  空空狐市場份額第三的GMV,就是這麼來的,全都是虛假交易和套現,他們老闆還開心的認為自己要成了,等到他們意識過來情況不對的時候,已經無錢可燒了。

  空空狐成為了歷史的塵埃。

  因為套現存在大量的無風險獲利,所以專門會有一支黑產團隊做套現生意,他們會用爬蟲爬取各家公司的營銷政策,然後找出那些補貼交易的漏洞,再把資金放到上面去滾動獲利,收益豐厚。

  信用卡,某唄,某白條,某某付,只要是可以用於分期的產品,都可以用來做套現交易,規模最大的還是信用卡。

  銀行信用卡規模發卡規模和交易金額的不斷攀升,表像是人民消費水平提高,而表象後面的本質,這些交易裡,究竟有多少是被套走了呢?裡面損失了多少利息收益和資金成本呢?

  答案是百億級別。

  7.

  共享單車,很多人都知道吧?

  共享單車的押金,很多人都咬牙切齒吧?

  如果我告訴你,共享單車的押金,也存在被黑產搞走的風險,好幾家倒掉的共享單車公司,死因是押金被黑,你是不是不知道該說什麼?

  押金可以存,可以取,並且基本都是走支付機構接口的,很多公司的單車押金都是作為一個池子存在一起的。

  當你提取押金的時候,會選擇一個支付機構賬號收款,資金池會和支付賬號發生一次交互,這裡面需要做相關的傳輸風控,需要定位打款的賬號,定位信息,定位token,定位身份,做到多信息符合邏輯勾稽,才能打款。

  而有些風控不嚴(共享單車沒啥風控)的公司,在固定的發版日,會出現短時間的提現異常。

  這個異常不是說不給你錢,而是可以利用機器偽裝,偽裝成不同的支付賬號,多收錢。

  某些共享單車,收了199押金,最後提現環節被人黑,掏了幾十個199出去。

  當然,這種極其內部的漏洞(短短十幾分鐘的系統真空),外界很難直接探知,是誰洩露了發版時間?是誰洩露了調用規則?

  再聯想一下最近某快完蛋的單車公司嚴查腐敗,你猜猜內外勾結賺了多少?

  當然說到內外勾結,最騷的還是某互金公司。

  其某總監把公司內部的各種規則漏洞透露給某個媒體,然後對方寫了一篇深度黑稿,各個黑到精髓上,然後公司大驚失色,大力投資在風控和PR上,作為控制投放資源和採購的總監,撈了好大一筆。

  這種內鬼,最為致命,很多堅固的堡壘,都是從內部被攻破的。

  8.

  你知道看新聞,看視頻,下載App可以領獎金的那些應用麼?

  就是某某條這種,閱讀多久多久,拉新多少多少,直接給現金。

  你知道掛機軟件嗎?

  就是遊戲掛機常見的那種軟件。

  這種軟件的原理就是通過腳本控制手機操作,然後模擬人的行為,解放人的雙手。

  那麼問題來了,既然可以掛遊戲,為什麼不能掛一些送錢的App呢?二手網站上有很多人公開售賣這種工具。

  很多被低價回收的二手安卓手機,沒有再次售賣的價值,被拿去幹什麼了呢?

  嘿嘿嘿。

  既然舊手機用不到了,何不掛上這些,去薅點錢呢?

  雖然賺的不多,但收益穩定,操作可控,多好的事情。

  你猜猜這些App的巨額流量背後,有多少是殭屍呢?

  又或者說,這些殭屍,是不是公司自己的培育的呢?這樣連補貼都不用給,但可以計入營銷費用,你想,這些差價哪去了?

  9.

  洋洋灑灑講了這麼多案例,相信各位讀者已經感受到了風險控制這個崗位的重要性,風控做不好,運營和市場投放永遠是拿錢打水漂。

  而比起和羊毛黨的戰鬥,風控最大的問題永遠來自背後,來自虎視眈眈的業務方和想著拿內部數據獲利的腐敗團夥,這是我多年戰鬥下來最深的感觸。

  除了業務成本,用戶數據的安全風控,則更為重要。

  業務投放只是錢的事情,而用戶隱私,是法律的事情。

  很多掌握大量用戶信息的互聯網公司,其風險意識之淡薄,難以置信。

  以前做進攻測試的時候,發現國內大批互聯網公司的數據庫沒有做到內外網分離,甚至很多密碼都是默認的admin和guest,還有123456,若是碰上別有用心且不懼法律的黑客,可以輕鬆把數據搞出來然後丟到黑市上打包賣掉。

  是不是騷擾推銷電話特別多?是不是營銷短信越來越密集了?是不是各種奇怪的推送都來了?

  他們從哪裡獲得的數據呢?

  就從各個風控意識淡薄的公司裡獲取的。

  天網年代的個人隱私,確實是很奢侈的事情。

  唯一值得欣慰的是,在隱私暴露面前,我們是人人平等的,不會因為你的金錢地位高低而有所變化。

  這可能是除了死亡之外,為數不多人人平等的事情。

  但我一點都不開心。

  你們呢?

擋廣告的DNS Adguard

AdGuard正式推出擋廣告DNS服務:無需安裝軟體就能擋廣告 擋廣告軟體「AdGuard」也提供了「擋廣告DNS」!不必安裝APP。 AdGuard的擋廣告DNS資訊: DNS servers: 176.103.130.130 或 176.103.130.131 為 一般模式(不擋色情); 176.103.130.132 或 176.103.130.134 為 家庭模式(擋色情網)。 DNS-over-TLS: (Android 9可直接設定加密DNS) 一般模式:dns.adguard.com 家庭模式:dns-family.adguard.com



LinkWithin

Related Posts with Thumbnails
top