咳血的独角兽2:互联网幕后攻防|赚钱的游戏}

来自新浪网:   创建时间:2019-05-11 15:12   33人评论

赚钱的游戏,赚钱的游戏

欢迎关注“创事记”微信订阅号:sinachuangshiji

相关链接:咳血的独角兽:互联网的幕后攻防

文/半佛仙人

来源:半佛仙人(ID:banfoSB)

0

独角兽咳血系列,主打的是黑产与公司间的攻防,也会涉及很多日常生活中的黑产与漏洞。

这个系列会出现多篇,毕竟这些年的资泡沫,造就了大量求规模,对于风控不感的公司,很多漏洞黑产吃的肚儿圆,甚有几家公司,他们也看了我的文章才惊觉看了我的文章才惊觉自己可能存在问题。

之前的独角兽咳血1,由于写的过于深入具体且指名道姓,给我带来了一大堆麻烦。

所以风波过去后,我又可以继续写独角兽咳血系列了。

这个系列中,会出现进攻内容,也会出现防守内容,攻守间的博弈,以钱为赌注,胜者把钱统统拿走,非常有趣。

而风控与黑产间的战斗,犹如命运之风,永不止息。

1

赚钱的游戏

风险控制,“知道”的人多,“了解”的人少。

老朋友们应该都道,我本职工作是做控的,从线下尽调,用卡,金融,电商,全,数据,基本每一领域的风险管理,我玩过,并且玩的不错玩过,并且玩的不错,天天与黑灰产相爱相杀。

在独角兽咳血系列中,我想谈谈一些真实发生的案例,来给大家展示一下风险控制这个职业,能为公司产生什么样的价值或者带来什么样的损失。

每一个案例,都是以无数金钱的代价堆出来的。

这些内容我保证是你花钱都买不到的,但也不是什么一步登天的秘籍,风控不存在秘籍,就是天天与黑产厮杀出来的本能与直觉。

需要注意的是,以下我讲谈及一些案例,以及其中的诀窍,功防技巧,我不会解释细节,但是已经给了足够多的线索。

另外本文中我所绍的进攻手段我自己知道怎么防守甚至怎反杀的,作为风控,最开心的时刻不是挡羊毛党,而是直接让们血本无归,我一直们血本无归,我一直崇尚进攻多过防守。

集中注意,我们开始案例讲解。

2

B站出事了,有人把B站后端的源代码上传到了GitHUB,大量程序员对这些代码进行了下载并解析。

这件事的起因有传言是被裁程序员的报复,这种传言无法证实也无法证伪,所以不需要相信。

我们今天要谈的不是B站,虽然B站的代码透露出很多很有趣的策略和漏洞,但这种明摆着又要吃函的事情,我还是不做了。

赚钱的游戏

今天要谈的,是其他程序员对于公司命门的掌控,以及公司对于权限管理的疏于管控。

在很多人眼中,联网公司的程序员是在感很弱的群体,但们掌握的其实是公司命门,很多时候一次经意的更新,一个简的BUG,就足以导的BUG,就足以导致公司万劫不复。

尤其非常多的互联网公司,其数据仓库的管理是非常混乱的。

非常多业务都依赖几张特定的数据表,并且缺乏PlanB方案,整个公司的业务维系于几张表,这是非常大的风险漏洞。

更可怕的是,很公司在做数仓开发时用跳转机中,是公用号,且定期清日志缓,也就是很多大数据发,用的是同一套账密码,用这些账号密密码,用这些账号密码做的事情,会被定期清除。

这就代表着,某程序员,只需要在关的业务节点,例如某大促,简单的利用公账号登录跳板机,做个小小的定时更新程,就可以对公司的业,就可以对公司的业务造成重大的打击。

收买这样一个程序员利用公司本身的风控不完善做局,这样的价格虽高,但对竞争对手而言,是非常划算的,尤其是很干净。

某电商类知名公,因为某次数据事故导致其整体财务数据业务数据完全对不上大量历史数据丢失,方质疑其数据造假,资断流,突然从业内资断流,突然从业内掉队,从此一蹶不振。

所以看文章的各位,是不是在注重业务之余,也要注重一些数仓的权限管控与备份呢?是不是需要内部排查一下此类问题呢?

我知道看我文章很多是各大公司的风安全,诚恳建议各位查一下此类问题,权管理和操作日志是那看起来没有产出,但键时刻可能会要人命键时刻可能会要人命的东西,要谨慎。

可惜了那家本来很有前途的公司,原本是有机会在中国互联网界闯出更大的天地。

3

很多互联网公司在做营销拉新的时候,很喜欢做二维码推广,扫码即可XXX,扫码即可获得现金等等。

只要别人扫了你分享的二维码并作出简单的操作,你和扫码人都可以获得奖励。

这种活动设计的初衷是为了方便传播,尤其是方便在微信传播。

但很多公司在扫码得奖的风控设计上不够完善,导致里面存在很多漏洞,大量羊毛党因此获利。

既然B扫A的码,AB都可以获得奖励,那么只要A的码可以创造一个足够多的场景,被足够多的人扫到,那么A就可以获得大量奖励。

方法1:使用机器批量操作,黑产工作室利用大量设备,互相分享活动二维码,互相扫码(主要是点击识别),大量套取利润。

很多没有防范意的互联网公司,尤其O2O公司,在获客段,会被大量扫走预,某知名生鲜类互联公司,2018年,此造成的套利损失在万级别,这些损失的万级别,这些损失的发生只用了不到3天时间。

方法2:很多公后来聪明了,开始使技术开始反设备批量扫了,例如给每个设制作唯一的设备ID这个难度其实不低,其是H5场景无法直获取设备号),但是获取设备号),但是黑产们还有其他方法,例如社会工程学。

利用人为塑造的场景,来诱导真人扫码。

我想之前大家都看到过一个新闻吧,某人使用扫码送大白菜的方式,成功诱导大批大爷大妈来扫码领白菜,最终获利颇丰,还成了一个段子。

而最经典的一战发生在单车大战时,个时候,是有团队专在共享单车上贴营销维码的,用户在不知的情况下,以为是开,结果扫了营销二维,结果扫了营销二维码,帮黑产做了羊毛。

而最有趣的事情是,很多这种羊毛,其实是自己人下手的,不然谁能一夜间贴满全城的单车呢?自己人黑自己公司的补贴,这种事情太多了。

而我们退不回的押金里,有多少是被这样薅掉了呢?

4

讲完二维码营销分享,再讲手机号拉新营销分享的一些玩法。

所谓手机号拉新,就是我给你发送一个微信卡片,你点进去,可以输入手机号,然后获得一张券,存入这个手机号的账户中。

我想大家对于这已经非常熟悉了,各外卖APP的红包分,都是这么玩的,点去,输入手机号,然领券,尤其是某咖啡领券,尤其是某咖啡,更是红包不断。

而当前存在一种毛党,养了大量的手号,然后登陆微信,伏在各个外卖红包群,只要有人分享,就点进去抢券,然后把低价的券,拿出来下,去买一些硬通货(,去买一些硬通货(牛奶等),然后套利。

如果产品本身不买硬通货,那么也不要,可以做成代下单在一些二手平台上搜X券,XX代下单,以发现有大量人在做个生意,就是你付一笔钱给他,给他地址他帮你下单,货物送他帮你下单,货物送到你指定的位置,简单方便。

无数互联网公司出的钱,补偿的券,没有被补贴到真正的户,因为对于代下单聚类分析缺失,对于户关系网的不重视,于收货地址的放松,于收货地址的放松,导致砸了大钱也没赚到用户。

那些已经认识到这一点的公司,就把券设置的非常抠门,门槛高,金额低,直接从源头上就堵住这件事。

而有些只要数据的公司,则反而加大力度在送,卖1块赔2块也要送,恨不得羊毛党住在家里。

当前某著名连锁外送互联网公司,至少有四分之一的订单来自代下单,风控形同虚设。

当然这家公司也不傻,从一开始就是冲着圈钱上市来的,玩的就是一个披着互联网外衣的资金盘。

5

刷券代下单,只是低端玩法,最近流行起一种新的玩法,也是基于手机号拉新营销的。

很多互联网公司做推广的时候,是允你邀请朋友的,只要入朋友的手机号,你就可以建立一个绑定系,如果这位朋友后与这个互联网公司产了一定的业务交集,么你作为他的邀请人么你作为他的邀请人,是可以获得很多奖励的。

就是所谓邀请码和邀请手机号。

而这里面,存在了一个很有趣的玩法,就是暴力灌号,占领号段绑定关系。

什么叫灌号,就是假如我是A,我要输入BCD的手机号与他们建立绑定关系,BCD下单了,我就有奖励。

那么我可以直接举号码,例如直接从300000000一直到1999999999,全都往邀链接里导入,等于是要有用户注册使用了们,不管与我有没有系,我们都已经建立绑定关系,我可以躺绑定关系,我可以躺着收钱,尽管用户本身都不知道我的存在。

这种攻击,对于大厂是无效的,但是对于很多初创企业尤其是急着要数据的企业,是非常致命的。

针对大厂的类似广,他们会控制号码数量与规则,尽量一号只邀请几十个人,且号段不会出现重复,频率也不会做到很频,具体的做法我就公开了,但是每年大们在拉新上面的这种们在拉新上面的这种无感知损失,是无法估量的。

当然可能运营们也不是很重视,毕竟某种意义上这就是拉新成果,无效补贴于运营何干?

况且再仔细想一想,这种规则的泄露,是谁干的?

谁KPI完不成会心慌呢?

6

关于灌号,其实还有另一种精准灌号的玩法。

就是灌号者,确实是知道这个手机号的主人的某些社会属性。

例如从一些无良S店搞出来的车主手号,从一些无良物业出来的业主手机号,一些学校搞出来的家手机号,从一些金融构搞出来的理财客户机号,从某些防范不机号,从某些防范不严的网站中脱裤出来的用户手机号。

然后拿着这些手机号,做定向灌号,成功率极高,因为这些人本就是互联网公司重金去地推,去广告覆盖,去试图引诱的群体。

例如拿学生家长手机号去灌教育类AP,拿车主手机号去车辆交易类APP,业主手机号,去灌装类APP,这种方法以说是风险最低的套以说是风险最低的套利方式之一了,并且收益较好。

黑市上有专门这的交易渠道,只需要多的一笔钱,就可以到大量具有精准属性签的用户,很多短信应商也参与其中,利自己发短信的优势,偷倒卖数据,为了获更多数据,他们恨不更多数据,他们恨不得免费给垂直行业的大公司倒贴钱。

甚至我知道的很此类互联网公司的运,专门会和一些黑产通,告知他们投放策和方式,黑产批量灌进行套利,最后大家利润,反正数据也好,公司用户也有增长,公司用户也有增长,这部分无效补贴,不套白不套。

我想很多互联网公司,对于自己的营销费用,应该重新审视一下了,尤其是在寒冬的时节。

冬天不好过,对么。

7

再说个不是很大,但与我们多数人都有关的小漏洞。

抢票软件都知道吧。。

就是很多时候我们需要买到一些票(例如火车),但是票的数量有限,买的人太多,只能去用一些三方抢票软件。

而这些软件,总是各种变着花的收钱,一张票要多收50到100元,甚至更多,堪称新时代互联网黄牛。

既然有互联网黄牛,那必然就有坑黄牛的黄牛。

这些抢票软件的核心原理是,利用机器调用票务网站的接口,极快的速度刷新和购买,往往速度可以快到1秒钟几千次,正常人根本抢不过他们。

12306本身严禁第三方用这种方破坏公平的,所以不提供完整的对外接口来,他们只能用各种术手段来利用1236本身的对外合作接(速成OTA),想(速成OTA),想尽办法来加快调用。

而这就产生了一个很有趣的漏洞。

如果黑产的手机同时装有某某抢票软和12306,且黑的抢票软件的付款方绑定的是借记卡,在起抢票时,把借记卡额转走或者借记卡本就没钱,那么当抢票就没钱,那么当抢票抢到票时,必然扣款失败。

此时,可以登录12306,付款,然后取消抢票。

有些抢票软件甚至都是抢到了才让付款,那更简单,连余额和支付失败都不用做,直接打开12306付款即可。

好几家著名公司旗下的抢票软件,都存在这个漏洞,但不敢去找消费者的麻烦。

因为抢票,加价抢票,本身都是模糊的灰色地带,虽有有苦难言。

很多电商网站上的代抢票服务,本质上就是在用这个方法空手套白狼,既白嫖了抢票软件公司,又套了消费者的钱。

美哉。

51节要到了,抢票大战又开始了,这个漏洞,又要被用起来了。

8

再讲一个经典的营销漏洞,与广告有关。

很多公司的推广,都是依赖广告的,APP里,网站上,大马路上,都是打广告的好地方。

而广告的结算方式有很多,最常见的是CPT,CPC,CPA和CPS。

CPT是指时间,按展示时间收费,广告展示长时间,收费XXX元,一般电梯广告都是CPT,部分网站的广告也是CPT。

CPC是指的点击收费,点一次,多少钱。

例如某些垃圾医院在某些网站上打广告,点一次,可能就是几块钱甚至几十块钱。

CPA是指注册收费,每个成功完成注册的用户,多少钱。

例如很多贷款超市,很多APP里浮动的页游,都是CPA。

而CPS,是指业务发生收费,发生一次业务,多少钱。

例如以前盛行的贷款超市,用户下款后,下款金额的一定比例给到贷款超市。

再例如外卖软件或打车软件推广,用户注册后完成一单,给推广方XXX元。

这些广告计价方式里面,就存在了很多漏洞。

点击结算(CPC)和注册结算(CPA),是被刷的重灾区。

CPC是最简单的,过去的CPC直接就是用机器暴力点击刷量,不管有多少钱,都可以被快速点光。

现在要麻烦一些但也不是很麻烦,只要一些微信群和QQ,就可以完成大量真用户点击,往往是以职任务的形式来完成,点一次给XX元,,点一次给XX元,甚至想加入这种兼职群,都要收费。

CPA相对CP要多一个步骤,就是击后注册,由于很多司对于CPA的监控比较弱的,所以CP可以大规模注册,CA的刷量更加严重,产手中都握有大量的实资料和设备,很多料都是网站被脱裤出的信息,很多用户都的信息,很多用户都是神不知鬼不觉就被拿来做了注册。

说到这里,你可能会问,黑产刷这个有什么意义啊?这又不来钱?刷出去的广告费也不给黑产啊?

这你就比较天真了。

首先是,有的黑,是收了一些公司的,来专门点其竞争对的广告的,如果我花0万,可以收买黑产掉竞争对手1000掉竞争对手1000万的广告费,为什么不呢?

当年高利贷大战中,很多高利贷公司都与这些黑产有关,专门去给竞争对手的投放添堵。

其次是,很多黑,其实就是广告公司自己人,客户充值要耗掉,不然新的充值会投入,适当在正常点击注册中,添加一点料,可以帮助客户点料,可以帮助客户花钱花的更快,自然自己也能多赚钱。

至于作为甲方要如何监控渠道有效性和投放策略,那就是另一个长篇大论了。

最后,很多黑产和甲方的运营是一伙,甲方运营会把投放略,结算方式,都给黑产,黑产会帮助甲运营快速消耗资金,后甲方发起进一步充,每次充值,广告公都是有返点给到甲方都是有返点给到甲方投放负责人的,这是非常常见的一种勾结。

很多公司的市场负责人和投放负责人,本身工资不高,但是生活非常奢华浮夸,并且都是一年一跳槽,他们哪里来的钱呢?

各位老板想一想,自己的公司有没有这种隐患呢?

不止是市场部门,我也知道很多创业公司的高管们也在通过这种手段来骗投资人的钱,实现自己的套现。

去年倒闭清算的几家游戏公司,老板称屡败屡战的连续创者,但是自己的生活是越来越好了,嘴上着与版号有关,实际着与版号有关,实际上就是吃光了广告投放的钱。

专业的广告投放与风控,是一门大学问。

9

本次文章又讲了7个案例,聪明一些的朋友肯定又从中悟出了一些有趣的东西,恭喜。

相信各位读者已经感受到了风险控制这个岗位的重要性,风控做不好,运营和市场投放永远是拿钱打水漂。

而且连个响都没有。

只可惜绝大多数公司的风控,空有一身本身,但无法发挥。

因为很多时候,控都是一个做减法的门,而大多数公司的心诉求,是加法加法加法,只有增长,只规模,才能让公司拿规模,才能让公司拿到下一轮融资,活下去。

而做减法的风控,自然就是业务老大们眼中的仇人。

而在很多运营眼中,风控更是多余且碍眼,因为风控往往会砍掉运营的一部分KPI,挡掉一些暗中交易,这些都是钱。

断人财路,必遭视,而且很多业务方有一个不好的观点,就是做成了是自己的做赔了是公司的,公赔不赔钱不重要,只自己的KPI和年终自己的KPI和年终奖到手,就好了。

所以作为一名风控,很多时候比起羊毛党,更害怕的是来自背后的利刃与利益勾结。

想起曾经一个风控的前辈,在某独角兽尚未长出角的年代,在一次拉新活动阻止了上千万的资金流失,纯靠手写的专家规则,逆天一样的发挥。

但他正在兴奋的时候被运营老大一纸报告捅到了CEO那边,说是耽误公司市场推进,不然GMV可以翻倍。

有意思的是,老板居然认可了这个观点,并且最终疏远了这个不懂事的风控,而在这个风控离职之后,大面积数据造假,内部腐败横行。

然后有意思的是这家公司最后成为了家独角兽公司并且被入了某一线互联网公,老板套现离场,直并购内部清算时,该司才发现自己吃了个司才发现自己吃了个大亏当了冤大头,然后血洗独角兽。

身为一个风控,从来都不会害怕羊毛党,最怕的是来自交付背后的刀子和受伤后撕咬自己伤口的公司贪狼们。

或许这就是风控的宿命。

用微信扫描二维码分享至好友和朋友圈

' + _substr(uids[i].name, 0, 14) + '

' + _substr(uids[i].v_reason, 0, 16) + '

半佛仙人那些疯癫又暴躁的灵魂文章。

一条饱蘸同胞之血的利益链,人人都盆满钵满。

详细>>