咳血的獨角獸 1:互聯網的幕後攻防

咳血的獨角獸:互聯網的幕後攻防

  文/半佛仙人

  來源:半佛仙人(ID:banfoSB)

  1.

  風險控制,“知道”的人多,“瞭解”的人少。

  我想談談一些真實發生的案例,來給大家展示一下風險控制這個職業,能為公司產生什麼樣的價值或者損失。

  這些內容我保證是你花錢都買不到的。但可以從中領悟多少進攻或者防守的思路,就全看自己的悟性了。
  老朋友們應該都知道,我本職工作是做風控的,從線下盡調,信用卡,金融,電商,安全,數據,基本每一個領域的風險管理,我都玩過,並且玩的不錯。

  風險控制,或者說風險管理,在互聯網公司中,一直是一個比較尷尬又不上不下的崗位。

  說風控不重要吧,你去問任何一個公司的老闆,都可以balabala說出各種風控的重要性,大道理講到你吐血。

  說風控重要吧,在絕大多數公司的實際情況中,風控都是為業務方讓路的,運營部門要增長,市場部門要投放,活動部門要大促,這些都有明確的指標考核,而這些部門由於直接影響公司數據,進而影響公司講故事融資,所以往往特別強勢,風控這種做減法的部門,在他們眼中更是業績的阻礙,最好統統趕走。

  多數老闆為了面子好看,對外大力吹風控;為了裡子好看,對內往往是默許業務部門Diss風控甚至搞點小動作的,所以到最後,風控往往裡外不是人。

  某位老闆曾經在酒後對我說過,你們這些風控,如果業務沒有出現風險,養你們就像養豬;如果業務出了風險,養你們還不如養豬。

  某種程度上,這話是對的,風控只是業務的輔助。

  但在另一些維度中,業務營銷如果風控放水,那麼多少錢都只能打水漂。

  以下我講談及一些案例,以及其中的訣竅,功防技巧。

  本文中我所介紹的進攻手段我自己是知道怎麼防守甚至怎麼反殺的,這也是我的專業價值所在

  集中注意,我們開始案例講解。

  2.

  某某咖啡,號稱打倒星巴克,教育中國人的咖啡習慣,不差錢,估值數十億美金,即將嘗試美股IPO,一年虧損幾個億都不當回事的公司,在今天把自己的一堆咖啡機做了抵押,換取了4500萬人民幣抵押貸款,這很喜感。

  當然他們對外解釋是輕資產運營,設備利用最大化,這話是不是真的,每個人都有自己不同的見解。

  但作為2018年燒錢最猛,同樣也是增長最猛的品牌之一,營銷方面我不好說,只能說他們的風控做的不夠到位,當然也可能是為了漂亮的數據搞投資,默許風控滾開。

  某某咖啡曾有一個非常經典的用戶拉新活動,就是只要你邀請人別人註冊並下單,你就可以獲得一張免費喝咖啡的券,由於新註冊用戶有默認的免費券,所以等於是存在無成本套咖啡券的漏洞。

  A邀請B註冊並下單。

  A獲得一張免費券,B免費下單。

  所以,只要有批量註冊的手機號,就可以大量開始刷咖啡券了,只需要不停地用新手機號註冊,然後下單,然後就有券,操作一次可以免費喝至少2杯咖啡,美滋滋。

  而市場上買一次手機號帶驗證碼註冊的成本,是2毛到1元。

  如果你能批量使用2毛一次的成本,換取2杯免費咖啡,那麼你完全可以第一杯自己喝,第二杯以極低的價格賣給身邊的同事,這種便宜很少有人會拒絕。

  而且這個已經產業化了,標準灰產。

  在某些二手交易平台上,直接搜索,就有各種代下單。

  除了免費咖啡(他們被薅實在太狠了)之外,更多的是一些打折券,尤其是有一段時間,XX瘋狂在發3折券和2.8折券,這些券的領取方式更簡單,只要在H5頁面輸入手機號,就可以領取。

  所以在刷號註冊拿免費券之後,那些不能再享受新人券的賬號,可以再拿來領一些折扣券,同樣可以獲取套利。

  保守估算,其相關營銷投入的接近一半,是被刷掉了,沒有獲取到真實有效的用戶,這可是億級別的損失。

  並且這種手動機器註冊,並且用完首單資格再領券的玩法,適合一切有分享領券功能的電商和外賣平台。

  當然,無限制的下單也不可能,公司也不是傻子,總有一些規則可以攔截掉異常訂單,只不過他們的風控一肚子本領無從下手而已。

  你攔截了訂單,就是攔截了GMV,你攔截了GMV,就是攔截了業務的KPI,你攔截了業務的KPI,就攔截了公司融資,對於很多toSBVC的公司而言,這比殺了他們還難受。

  所以很弔詭的是,風控仇視羊毛黨,營銷仇視風控,同時營銷又跪舔羊毛黨。

  畢竟KPI和年終獎是自己的,虧損是公司的,豈不美哉?

  3.

  說到最近風投正勁的幾家O2O公司,就是各類XX買菜,XXX鮮,XX社區之流。

  他們一直在燒錢,且優惠多多風控不多。

  感謝他們的努力,很多羊毛黨已經很久沒有花錢買菜了,厲害一點的羊毛投資,各種拉新賬戶的餘額加起來有6位數甚至7位數,基本只要公司不倒,買東西就不用花錢。

  車釐子大閘蟹精釀啤酒進口牛排海鮮之類的消費升級,早就給他們吃膩了。

  先說XX買菜,他們最近燒錢最厲害。

  其拉新活動是,新人註冊有2張大額券,滿XX元,減XX元,裡面的東西最划算的是牛奶,扣除優惠券金額後,存在很大的套利空間。

  但是這家公司多少還有點風控意識的,其拉新套利單純使用接碼平台註冊是沒有意義的,因為會校驗支付賬戶信息以及下單頻次,同一個支付賬戶多次使用不同賬號,或者同一台設備多次使用不同賬號等等,會被直接攔截。

  所以很多專業刷子,會使用專業設備和專業賬戶來繞過規則,他們的風控漏洞對於專業選手而言非常明顯,只需要一點簡單的偽裝,這些基於用戶信息的核身規則都會失效。

  再說XXX鮮,在圈內被稱為羊毛X鮮,推廣及其豪爽,漏洞多不勝數。

  首先是拉新,現在的拉新是只有推薦下單後各享受大額滿減的,而早期的時候,還有滿多少人送多少餘額的活動。

  利用某些平台,及廣義地址(就是收貨地址只留小區,不留具體門牌號,靠配送員電話口述),連偽裝支付賬戶都不需要(他們沒有做校驗),就可以開刷,並且上面的某些硬通貨很便宜,特別適合套利,別忘了,還有送餘額的活動,這些餘額就是純賺的,可以買一切高折現率的產品,非常划算。

  其風控之簡陋,簡直是羊毛黨的提款機。

  不僅沒有收貨人一致性校驗,沒有支付賬號限制,沒有LBS規則,沒有用戶血緣關聯,沒有實時熱點監控,沒有虛擬號段封鎖,連IP牆和設備號限制都沒有,可以一台手機,一個支付賬戶外加一個接碼平台,就能無盡的刷。

  可能是被刷太厲害了,導致現在不搞餘額活動了,只給大額券,盈利少了不少,不過首單大額券,依然還是有吸引力。

  所以你們看,如果風控不到位,這些公司的營銷費用,全都白給。

  隨著黑產技術的進步,風控不好的公司,已經沒法靠燒錢贏市場了。

  4.

  連說了2個套取新人優惠以及券的案例,我們講點別的。

  大家都知道蘋果手機吧?這是一種硬通貨,手機市場唯一的硬通貨。

  而很多新興的社交電商平台,都是拿蘋果手機,當做引流商品的。

  什麼叫引流商品?就是這個產品本身賠錢,但是吸引你來我店裡消費,成為我的會員,你可能不止買這一個產品,我可以在別的商品上賺到錢。

  就像很多飯店的特價菜一樣,靠特價菜吸引你進店消費。

  他們的蘋果手機,出售價格往往是低於進貨價的,而且補貼力度不小,起碼我就知道某平台的XSMax,經常性低於市價300到500,這就存在了套利空間。

  要知道黃牛正常倒賣蘋果手機,一台往往也就100到200的利潤,而如果能批量搞到這些引流款的手機,其利潤非常可觀。

  所以各路黃牛都在試圖獲取更多特價菜。

  由於這裡面的利潤很吸引人,這些平台對於引流款的看管都是很嚴的,普通的進攻手段是沒有辦法繞過風控規則的。

  但是聰明的黃牛,都是用肉雞操作。

  什麼是肉雞?

  就是這人不是虛擬的機器,而是真正的人,是一個活生生的用戶。

  大家都知道人肉刷單吧,就是平時該買啥買啥,偶爾有黃牛聯繫的時候,就幫下單刷一下商品,搜索,點擊,聊天,砍價,支付,一條龍,就是活生生的人,只不過10單正常交易裡有2到3單刷單而已。

  目前蘋果代下單的肉雞價格是50元一單,很多人業餘做肉雞兼職,給自己加加雞腿。

  據我瞭解到的現狀是,很多平台的引流款蘋果手機,起碼70%是被肉雞刷走了,肉雞刷走後手機流到了市場上,所以我們才總能買到各種低於市價的便宜正品手機,大家各取所需,也很好。

  5.

  來個高階點的,鎖價套利。

  上面提到了蘋果手機。

  由於國內的電子市場非常發達,而蘋果手機的需求又非常旺盛,所以往往蘋果手機的價格是一天2變,可能一台手機早上是7000元,中午是7100元,下午是6900元,第二天是6850元。

  大宗商品,價格頻繁波動,某種程度上,蘋果手機可以算作一種期貨。

  那麼既然是期貨,就存在空手套白狼的純套利空間。

  一般來說,電商平台是不太會給你這個空間的,你買便宜是你運氣好,你買貴了就是買貴了,不管你是黃牛還是肉雞還是正常客戶,不管價格是便宜還是貴,你都應該是在某個固定時間以某個固定價格來買到這個商品。

  但是儘管電商規則是這麼設置的,但是可以從支付環節入手鎖定價格。

  例如某些電商平台曾經出現過漏洞,就是如果付款時,價格為A,選擇某付款通道,選擇支付方式為借記卡,卡中餘額不足,就會支付失敗,但是這筆支付訂單可以保留好幾天,在這個過程中可以隨時以A價格完成支付,進入發貨。

  所以很多黃牛就會下單,然後故意支付失敗,等著看平台調價,如果漲價了,價格高於A不少,他們就付A的錢拿貨,發貨地直接填付給他們錢的買家,空手套白狼;如果價格低於A,就取消訂單,不要了。

  再舉個利用餘額不足鎖定價格的案例。

  某著名連鎖披薩餐廳,出現過一種漏洞,就是購買某個數百元的套餐,在付款時如果卡種餘額是特定的XX元,再配合某個批次是優惠券,則可以觸發幾十塊買到幾百塊的套餐,一家人只花幾十塊就成吃到不想再吃,很有趣。

  同理,某連鎖商超的電子會員系統,同樣出現了支付餘額的漏洞,可以低價搞到大額優惠券和卡,這種機會往往稍縱即逝。

  國內有專門的黑產團隊,每天都在利用支付失敗這一條件來試探漏洞,因為支付是獨立的體系,電商是電商的體系,只要是不同體系的交互,就一定存在套利空間。

  這是不可避免的。

  6.

  換一種玩法。

  大家知道套現吧?

  就是把信用卡的額度,變成現金,這筆現金可以拿去投資,周轉。

  如果直接用信用卡取現的話,是要收取高昂的提現費用,並且被取出的額度按日計息,無法享受到信用卡的免息期。

  所以如何各種渠道,把信用卡的額度變為無利息的現金,是一門生意。

  當前最流行的就是各種二維碼和各種Pos機,本質原理就是虛構一款商品,用信用卡刷這款商品,在銀行眼中是正常消費,額度享受免息,但實際情況是刷卡人獲得了現金。

  這麼操作,也是有成本的,成本在0.38%到1.2%之間。

  所以如果有更低成本的套現渠道,就可以無風險套利。

  某些疏於做支付風控的互聯網公司,就有這樣的漏洞。

  大家還記得空空狐麼,一家做二手交易,巔峰時到達過市場份額第三(第一第二是閒魚和58),後來創始人和投資人決裂,瘋狂撕逼。

  很多人當時評價老闆不成熟,投資人不靠譜,行業門檻高云云,實際都搞錯了。

  空空狐是被套現套死的。

  當時為了增加市場佔有,空空狐想出了這樣一個營銷方案,就是用信用卡支付,空空狐補貼手續費,他們沒有意識到支付風險,也沒有專業風控對交易補貼做風險兜底策略。

  這種操作一放開,這家公司就已經死了。

  由於空空狐是二手交易平台,所以買賣雙方都可以自由上架貨物並交易,在這個過程中還補貼信用卡手續費,那就等於是可以自由套現。

  空空狐市場份額第三的GMV,就是這麼來的,全都是虛假交易和套現,他們老闆還開心的認為自己要成了,等到他們意識過來情況不對的時候,已經無錢可燒了。

  空空狐成為了歷史的塵埃。

  因為套現存在大量的無風險獲利,所以專門會有一支黑產團隊做套現生意,他們會用爬蟲爬取各家公司的營銷政策,然後找出那些補貼交易的漏洞,再把資金放到上面去滾動獲利,收益豐厚。

  信用卡,某唄,某白條,某某付,只要是可以用於分期的產品,都可以用來做套現交易,規模最大的還是信用卡。

  銀行信用卡規模發卡規模和交易金額的不斷攀升,表像是人民消費水平提高,而表象後面的本質,這些交易裡,究竟有多少是被套走了呢?裡面損失了多少利息收益和資金成本呢?

  答案是百億級別。

  7.

  共享單車,很多人都知道吧?

  共享單車的押金,很多人都咬牙切齒吧?

  如果我告訴你,共享單車的押金,也存在被黑產搞走的風險,好幾家倒掉的共享單車公司,死因是押金被黑,你是不是不知道該說什麼?

  押金可以存,可以取,並且基本都是走支付機構接口的,很多公司的單車押金都是作為一個池子存在一起的。

  當你提取押金的時候,會選擇一個支付機構賬號收款,資金池會和支付賬號發生一次交互,這裡面需要做相關的傳輸風控,需要定位打款的賬號,定位信息,定位token,定位身份,做到多信息符合邏輯勾稽,才能打款。

  而有些風控不嚴(共享單車沒啥風控)的公司,在固定的發版日,會出現短時間的提現異常。

  這個異常不是說不給你錢,而是可以利用機器偽裝,偽裝成不同的支付賬號,多收錢。

  某些共享單車,收了199押金,最後提現環節被人黑,掏了幾十個199出去。

  當然,這種極其內部的漏洞(短短十幾分鐘的系統真空),外界很難直接探知,是誰洩露了發版時間?是誰洩露了調用規則?

  再聯想一下最近某快完蛋的單車公司嚴查腐敗,你猜猜內外勾結賺了多少?

  當然說到內外勾結,最騷的還是某互金公司。

  其某總監把公司內部的各種規則漏洞透露給某個媒體,然後對方寫了一篇深度黑稿,各個黑到精髓上,然後公司大驚失色,大力投資在風控和PR上,作為控制投放資源和採購的總監,撈了好大一筆。

  這種內鬼,最為致命,很多堅固的堡壘,都是從內部被攻破的。

  8.

  你知道看新聞,看視頻,下載App可以領獎金的那些應用麼?

  就是某某條這種,閱讀多久多久,拉新多少多少,直接給現金。

  你知道掛機軟件嗎?

  就是遊戲掛機常見的那種軟件。

  這種軟件的原理就是通過腳本控制手機操作,然後模擬人的行為,解放人的雙手。

  那麼問題來了,既然可以掛遊戲,為什麼不能掛一些送錢的App呢?二手網站上有很多人公開售賣這種工具。

  很多被低價回收的二手安卓手機,沒有再次售賣的價值,被拿去幹什麼了呢?

  嘿嘿嘿。

  既然舊手機用不到了,何不掛上這些,去薅點錢呢?

  雖然賺的不多,但收益穩定,操作可控,多好的事情。

  你猜猜這些App的巨額流量背後,有多少是殭屍呢?

  又或者說,這些殭屍,是不是公司自己的培育的呢?這樣連補貼都不用給,但可以計入營銷費用,你想,這些差價哪去了?

  9.

  洋洋灑灑講了這麼多案例,相信各位讀者已經感受到了風險控制這個崗位的重要性,風控做不好,運營和市場投放永遠是拿錢打水漂。

  而比起和羊毛黨的戰鬥,風控最大的問題永遠來自背後,來自虎視眈眈的業務方和想著拿內部數據獲利的腐敗團夥,這是我多年戰鬥下來最深的感觸。

  除了業務成本,用戶數據的安全風控,則更為重要。

  業務投放只是錢的事情,而用戶隱私,是法律的事情。

  很多掌握大量用戶信息的互聯網公司,其風險意識之淡薄,難以置信。

  以前做進攻測試的時候,發現國內大批互聯網公司的數據庫沒有做到內外網分離,甚至很多密碼都是默認的admin和guest,還有123456,若是碰上別有用心且不懼法律的黑客,可以輕鬆把數據搞出來然後丟到黑市上打包賣掉。

  是不是騷擾推銷電話特別多?是不是營銷短信越來越密集了?是不是各種奇怪的推送都來了?

  他們從哪裡獲得的數據呢?

  就從各個風控意識淡薄的公司裡獲取的。

  天網年代的個人隱私,確實是很奢侈的事情。

  唯一值得欣慰的是,在隱私暴露面前,我們是人人平等的,不會因為你的金錢地位高低而有所變化。

  這可能是除了死亡之外,為數不多人人平等的事情。

  但我一點都不開心。

  你們呢?

0 意見:

張貼留言

LinkWithin

Related Posts with Thumbnails
top