咳血的獨角獸 4 |血腥叢林中的無底線戰爭

1

現代商業競爭,是一座赤裸裸的血腥森林。

資源是有限的,投資人的錢是有限的,用戶是有限的,用戶的時間是有限的,用戶的注意力也是有限的,什麼都是有限的。

但資本的慾望是無限的。

有限與無限的分割線下,競爭常常沒有底線。

所謂的友誼競爭互相成全一段佳話,全都是屁話。

和平是打出來的,體面只是勢均力敵的迫不得已,但凡有機會,大家第一時間就會把道德丟到地上踩上一腳。

叢林法則從未變過。

兩家相同領域的公司競爭,如果產品本身沒有本質性差異,那麼大家比的就是誰下限低,誰更不講理。

需要承認的是,如果兩個人打架,一個有底線,一個沒底線,在實力差不多的情況下,大機率是沒底線的公司獲勝,因為他們求勝的心已經超越了道德的束縛

什麼手段都可以,只要後果公司可以承受,就可以去做,哪怕背負罵名。

只要自己一家獨大,完全可以動用大量的資源來洗白自己,人們的記憶只有3天,總有數不清的熱點要追,誰有在乎誰呢?

這一切無關正義,只是生意。

今天講的是風控中的進攻者的故事,在商業競爭的森林中,各大公司的風控們為了各自背後的利益在相互廝殺,贏者吃下一切。

現在,狩獵開始。

2

正常人理解的所謂的攻擊競爭對手,無非是使用比對方更大的折扣,給客戶更多的優惠,又或者在某些關鍵供應鏈上要求2選1,都不是什麼秘密。

但真正有效的攻擊,需要足夠的想像力和執行力。

很多時候更重要的是借力打力。

作為企業盾牌的風控們,掌握著大量的企業漏洞與防守知識。

如果這套技能用在進攻上,同樣也會是最銳利的矛。

這根矛配合足夠聰明的運營,技術和市場,可以瞬間洞穿對方的心臟。

前一段時間,某著名雲音樂軟體下架一個月,就是一套完美的攻擊策略組合。

該軟體最大的特點是有著非常多精彩的樂評,評論區文化配合很多原生的民謠,產生了非常多忠實的用戶。

攻擊的開始,是一張無法追溯來源的圖片,主要內容是某某雲音樂的會員(需要付錢買)現在搞活動,刪除APP後再安裝,就可以免費送3個月。

一時之間很多人刪除了APP,但是由於APP下架,所以刪除過後沒法再安裝(起碼要1個月才上架),然後就成了一個尷尬的狀況,大量用戶表示自己被騙了,非常生氣。

為此,某某雲音樂官方也發佈了聲明表示是謠言。

由於這種事情本身比較檢測智商,所以並沒有造成大規模負面輿論,倒是被人當做段子開始傳播,攻擊者的目的就在於此,把傳播做起來,把某某雲音樂擺到輿論的風口。

然後真正的招數是,在其APP的熱度起來後,開始大量傳播其APP刪除用戶本地音樂的內容,激發用戶的憤怒,進而趁著這1個月的下架期,給予其最大的打擊。

這個話題上了微博熱搜,大家紛紛在怒斥該APP無恥,一時之間該APP的口碑跌入谷底,很多人都表示自己的本地音樂被刪除了,然後再也不用該APP了,雖然該APP多次表明自己沒有這種行為,同時還報警了,但這個標籤目測要在身上貼個一段時間了。

這對於他們原本今年計畫的上市和商業化計畫都是重大的打擊。

這套攻擊最精妙的地方在於,該APP對於用戶的本地音樂確實是有操作的,這個操作不是刪除,而是格式更改和屏蔽。

音樂行業都是交叉授權的,產品方必須配合版權方來做打擊盜版。

假如用戶本地有一首音樂是沒有授權的盜版,此時音樂類APP就會把該首歌自動修改為APP專屬格式,並屏蔽播放和搜索,主要幫助保護版權。

我不評價這件事情是否合理,只能說這是音樂版權行業的一種潛規則。

所有音樂類APP都有這個問題,只不過這個問題多數用戶是不知情的,用戶看到的只是自己過去存的一些歌沒有了(其實是版權方要求屏蔽的,音樂類APP只能配合版權方),再加上一些引導,很容易就被理解為是APP強行刪除用戶文件。

這一套攻擊,時間,題材,傳播,產品切入點都完美,效果也非常棒。

堪稱經典。

3

很多公司對於風控的理解是非常粗淺的,在他們看來,風控可能就是所謂防刷單和防止內部腐敗,確實絕大多數業務風控就是幹這個的,但是企業其實面臨的風險,遠遠不止這些。

內容攻擊,已經是目前最流行的攻擊競爭對手的方式。

所謂內容攻擊,就是利用對方APP中可以展示內容的地方(例如評論區,例如論壇發言區等等),進行黃恐暴內容的飽和錄入,然後引發對方APP被大量投訴,然後被下架,打亂對方的產品疊代發佈計畫,給自己爭取有利的競爭窗口。

很多短時間下架的APP,就是被競爭對手使用了內容攻擊。

某知名內容APP,很多年輕人都在用,可以使用文字,圖片,來進行社交,分享各種趣事和沙雕圖片,但是就在內容攻擊中下架了,內容安全已經成了很多APP的核心弱點。

但可惜的是,很多APP對於內容安全的重視程度都不夠,人類的本性就是喜歡黃恐暴,很多社交產品早期就是靠這個起家的,很多公司覺得這東西既然能有流量,豈不美哉?乾脆先污染後治理得了。

在網際網路文明越來越重要的今天,這種流量思維會害死公司的。

而攻擊者們,則愈加肆無忌憚地利用內容來攻擊競爭對手。

例如某知名95後00後陌生人匿名社交APP,近期就遭遇了潛在對手的飽和內容攻擊,由於產品本身是支持聲音的,並且還是全匿名的,這就誕生了大量操作空間,不需要很複雜,只需要把大量黃色音頻灌入,密集且持續灌入,然後舉報即可。

聲音本身的可變性太多了。

音頻的色情黃恐暴過濾,目前屬於一個行業的技術難點,主要的實現方式是快速把音頻轉換為文字,然後利用敏感詞來過濾,但這並不能完全解決諧音字和嬌喘的問題,並且成本極高,如果不是巨頭,創業公司那點融資還不夠買語音轉換的費用的。

這是一個現階段近乎無解的攻擊方法,當然也不是完全無解,只不過比較考驗風控的功夫,沒有經歷過絕望的風控是不會有成長的。

4

同樣是內容攻擊,黃恐暴攻擊比較適用於社交類產品,針對其他類型的產品,最流行的是垃圾信息和廣告信息攻擊。

如果你打開一個APP,發現裡面大部分的信息都是非常垃圾的廣告,並且廣告已經影響了自己的使用,你是不是會特別憤怒的放棄這個APP,然後轉投其競爭對手?

沒錯,這就是攻擊者想要的。

這種內容攻擊往往是通過拆解對手的APP,然後利用接口寫入的方式來錄入大量垃圾信息,例如前段時間某出行APP被大量用戶投訴說打開介面裡面全都是垃圾廣告,各種某出行的廣告和加微信的廣告,從用戶暱稱到內容到訂單信息,全都是垃圾信息。

當時一度在社交媒體上鬧的沸沸揚揚。

這是非常有趣的一箭雙鵰,同時黑了2個競爭對手,第三者左手漁翁之利。

內容攻擊的另一種形式,不是使用垃圾信息填充,而是使用完全真實的假訂單來擠佔真實訂單,這多發於電商類APP。

某納斯達克上市的知名社交電商APP,就遭遇過假訂單的批量攻擊。

他們每次只要一搞促銷,一搞秒殺,就會有大量機器來下單,下單後也不付款,目的就是要快速把活動商品的購買權佔滿,讓真實用戶無法購買。

即使電商平台修改庫存機制或者使用補貨,也往往已經錯過了時間流,之前鋪墊了很久的大促信息,用戶的所有期待都應該在大促的一瞬間引爆。

在這種時候給踩一腳剎車,造成的後果是非常嚴重的,甚至可以毀掉一個策劃已久的活動,造成對手大量的資源浪費。

還有一種內容攻擊,與業務無關,與人有關。

現在很多招聘網站都在明裡暗裡銷售用戶的簡歷,於是就有公司想到了用這個方法來打擊競爭對手。

最常用的方法就是從招聘網站那邊買到競爭對手的關鍵人員信息,然後不停地發麵試郵件,注意,是發郵件,不是打電話。

郵件內容從面試邀約到薪酬確認到後續工作安排應有盡有,如果被競爭公司看到的話,會很大程度上懷疑員工的忠誠度,這個關鍵人員,基本就算是廢了。

某著名電商公司就層對某著名信息流公司發出過這種攻擊,一時之間對方人員動盪。

殺人不見血。

5

我說了,進攻,最需要的不是技術能力,而是想像力。

很多被證明有效的套路,其實實現起來並不困難,要的是動腦子。

現在已經是大數據年代了,國內興起了很多大數據獨角獸,其中最大的幾家的其中之一,其底層的資料庫是被污染過的。

當初這家公司成立不久,瘋狂的在市場上收購數據,甚至黑市也沒有放過,那時是2017年6月1日之前,個人隱私法修正案還未生效。

他們自以為自己做的天衣無縫,但是早已被競爭對手盯上,這家競爭對手賣給了他們一批質量非常高的數據,但這個數據是被污染過的。

大數據公司最重要的核心資產是黑名單,競爭對手把優質用戶的白名單當做黑名單賣給了他們,他們一時之間沒有察覺,最終造成的就是資料庫的失效,後續他們的黑名單產品在市場上就很難賣出去了,因為區分不出好壞,整體的融資節奏和業務發展規劃都受到了很大的打擊。

這個問題至今還未解決,業內最懂行的人往往不會使用他們家的數據產品。

更有想像力的進攻手段,是直接強佔競爭對手的潛在客戶。

某家知名O2O公司,為了讓自己的用戶不至於流失到競爭對手那邊,直接使用自己用戶的手機號和個人信息,來批量註冊競爭對手的APP帳戶。

這樣導致的效果是,當自己的用戶想體驗對方的APP時,會發現自己的手機號其實已經被拿來註冊過了,導致自己無法再註冊,如果想找回帳戶,由於留的信息全都不是自己的,只有手機號是自己的,導致無法追回,於是這個手機號就死了。

而絕大多數人也沒有驅動力強到非得用某某不可,某種程度上這就構建了一個神奇的護城河。

再講一個有想像力的進攻手段,也與用戶身份有關,來自換臉。

人臉識別已經成為了很多APP的標配,但其實根本就沒有什麼所謂的真正的人臉識別。

所有人臉識別的核心原理就是拿著兩張照片來進行比對相似度,然後輸出一個分數。

由業務方自己決定多少分數通過,多少分數轉人工,多少分數拒絕。

即使是同一家人臉識別公司,不同業務方設置不同的通過策略,也會有完全不同的效果。

訣竅就在這裡,利用大量的用戶身份證,外加技術把身份證上的靜態圖做成動態,去騙競爭對手的實名認證,然後徹底斷掉這個用戶成為對手用戶的情況,同時如果對手有做推廣,還能夠騙對手的廣告費。

當然由於涉及到用戶資料的隱私,這部分一般做的都是外包給黑產做,而且不會去用自己的用戶做(這麼一搞豈不暴露自己),而是用黑市上已有的資料去做。

所以當某些公司發現自己用戶量暴漲,但是日活卻沒有明顯提升時,需要想一想,自己是不是被攻擊了,而不是僅僅罵投放的人士SB。

6

前段時間,兩家超級外賣公司掐起了官司,這次不是外賣員打架,也不是飛單,也不是互相貼海報噁心對方,這些都是常規操作。

核心原因是某一家公司擁有另一家公司的很多核心數據,然後被發現了。

這是使用爬蟲來進行的情報收集,在目前的網際網路公司競爭中非常普遍。

假如電商搞大促,想針對性的做補貼,保證同品類中自己的價格是最低的,要怎麼操作?顯然讓人看是非常愚蠢的,而且也看不過來。

最基礎的操作就是使用爬蟲+腳本,爬取對方所有商品的價格,SKU,SPU等,核心原理就是模擬一個個真實用戶來瀏覽網頁,然後把信息都留存下來。

然後依據爬回的數據來動態調整自己同SKU,SPU的價格,保證優勢。

當然對方也不是干坐著給爬,往往會設置各種反爬機制,例如給所有價格數據都加看不到的水印,所有頁面的結構在前端代碼中都是加密的,爬回去就是亂碼;在例如限制每個帳號的IP以及瀏覽時間等等等等,爬蟲攻防可以寫好幾篇萬字長文了。

當你使用APP或者瀏覽網頁不停刷新或者快速點擊時,偶爾你會遇到一個彈窗告訴你,你操作的太快了,要休息一下,這個其實就是反爬機制生效了。

恭喜你的麒麟臂又進步了。

7

上面說的很多攻擊,都是建立在產品本身有漏洞或者存在思維盲區的基礎上進行攻擊的,可以說,本身是存在攻擊目標的,可以是APP,可以是網站,可以是用戶。

而有些具有想像力的攻擊,其實本身不對競爭對手本身做任何攻擊,他們通過一些其他手段來攻擊對手。

APP換殼攻擊就是一種很有趣的玩法。

所謂APP換殼攻擊,其實主要是通過拆解APP本地安裝包,逆向APP的源碼,在這個基礎上來給APP中嵌入自己想要的功能,最後再到處散播(主要通過H5,二維碼和文字鏈傳播,應用市場很難繞過去),達到自己的目的。

例如某知名電商APP就受到過換殼攻擊,競爭對手逆向了他們的安裝包,在裡面植入了其他公司的訂單系統以及支付,並大量通過群轉發的方式傳播安裝包的下載。

導致的就是很多不明真相的用戶在裡面下單購物付款後,就沒有然後了,因為整個訂單系統被修改過了。

最終的結果就是某電商APP突然消失在了市場上一段時間,因為牽涉了大量的用戶投訴和配合調查。

當然,大多數情況下,APP換殼不會做到這個程度(能做到這個程度說明原APP的技術爛到了一定程度上),一般都是做連結換殼,主要用於偽裝成支付寶和微信支付介面,然後騙錢。

很多人都收到過電商詐騙電話,說退款之類的,然後給你一個連結,點進去完全是支付寶或者微信的樣子,然後你就相信的付款了,最後錢就沒有了。

更進一步,很多博彩和非法集資在公眾號投廣告,往往騙號主投文字鏈,給一個外網的連結,點開看是很正常的新聞網站,但是當號主們發出這個廣告後,再後台操作更改連結導向博彩或者非法集資,很多號主因為這個被封號。

這種防不勝防的坑,也算是網際網路界的一種降維打擊吧。

8

洋洋灑灑講了這麼多的案例,能從裡面領悟出多少進攻和防禦的思路,全看個人的悟性。

進攻真的是一件非常需要想像力的事情,很吃天分,很多時候就是靠思維的盲區來實現局部信息的不對稱然後獲利。

我想告訴大家的是,我們日常經歷的商業形態,都是血腥競爭後的產物,每一家巨頭誕生的背後,都是上萬家同類型公司的消失,商業從來都是殘酷的,沒有誰是無辜的。

如果你覺得哪家公司是無辜的,一定是他們已經形成了局部壟斷。

其實我更想告訴大家的是,我們看到的很多公司負面事件,很多網際網路熱點,背後真相的複雜程度往往會超出大家的想像。

你看到的,只是別人想讓你看到的。

有時候看公司負面時,先不要急著批判或者發洩,多想想背後得利的是誰,動機驅動是誰,會發現多數人的喜怒哀愁都在被刻意引導。

我們只是棋盤上被驅動著的棋子。

下棋的又是誰?

所以希望大家能經常性跳出情緒,從利益鏈的角度看這個世界,從進攻者的角度來看事情。

或許你能看到更多更不一樣的東西。

然後擁有更不一樣的,獨一無二的人生。

延伸閱讀



-----------------------

公眾號:半佛仙人(ID:banfoSB)
張貼留言 (0)
較新的 較舊