ROCEYS's Archives

咳血的独角兽(二):互联网幕后攻防

【半佛仙人】咳血的独角兽系列文章


这个系列会出现很多篇,毕竟这些年的投资泡沫,造就了大量只求规模,对于风控不敏感的公司,很多漏洞被黑产吃的肚儿圆,甚至有几家公司,他们也是看了我的文章才惊觉自己可能存在问题。

之前的独角兽咳血1,由于写的过于深入具体且指名道姓,给我带来了一大堆麻烦。所以,风波过去后,我又可以继续写独角兽咳血系列了。

这个系列中,会出现进攻内容,也会出现防守内容,攻守间的博弈,以钱为赌注,胜者把钱统统拿走,非常有趣。

而风控与黑产间的战斗,犹如命运之风,永不止息。

01

风险控制,“知道”的人多,“了解”的人少。

老朋友们应该都知道,我本职工作是做风控的,从线下尽调、信用卡、金融、电商、安全、数据,基本每一个领域的风险管理,我都玩过,并且玩的不错,天天与黑灰产相爱相杀。

在独角兽咳血系列中,我想谈谈一些真实发生的案例,来给大家展示一下风险控制这个职业,能为公司产生什么样的价值或者带来什么样的损失。

每一个案例,都是以无数金钱的代价堆出来的。

这些内容我保证是你花钱都买不到的,但也不是什么一步登天的秘籍,风控不存在秘籍,就是天天与黑产厮杀出来的本能与直觉。

需要注意的是,以下我讲谈及一些案例,以及其中的诀窍,功防技巧,我不会解释细节,但是已经给了足够多的线索。

另外,本文中我所介绍的进攻手段我自己是知道怎么防守甚至怎么反杀的。作为风控,我最开心的时刻不是挡住羊毛党,而是直接让他们血本无归,我一直崇尚进攻多过防守。

集中注意,我们开始案例讲解。

02

B站出事了,有人把B站后端的源代码上传到了GitHUB,大量程序员对这些代码进行了下载并解析。

这件事的起因有传言是被裁程序员的报复,这种传言无法证实也无法证伪,所以不需要相信。

我们今天要谈的不是B站,虽然B站的代码透露出很多很有趣的策略和漏洞,但这种明摆着又要吃函的事情,我还是不做了。

今天要谈的,是其他程序员对于公司命门的掌控,以及公司对于权限管理的疏于管控。

在很多人眼中,互联网公司的程序员是存在感很弱的群体,但他们掌握的其实是公司的命门,很多时候一次不经意的更新,一个简单的BUG,就足以导致公司万劫不复。

尤其非常多的互联网公司,其数据仓库的管理是非常混乱的。非常多业务都依赖几张特定的数据表,并且缺乏PlanB方案,整个公司的业务维系于几张表,这是非常大的风险漏洞。

更可怕的是,很多公司在做数仓开发时,用跳转机中,是公用账号,且定期清日志缓存——也就是很多大数据开发,用的是同一套账号密码,用这些账号密码做的事情,会被定期清除。

这就代表着,某些程序员,只需要在关键的业务节点,例如:某次大促,简单的利用公用账号登录跳板机,做一个小小的定时更新程序,就可以对公司的业务造成重大的打击。

收买这样一个程序员利用公司本身的风控不完善做局,这样的价格虽高,但对竞争对手而言,是非常划算的,尤其是很干净。

某电商类知名公司,因为某次数据事故,导致其整体财务数据和业务数据完全对不上,大量历史数据丢失,资方质疑其数据造假,融资断流,突然从业内掉队,从此一蹶不振。

所以看文章的各位,是不是在注重业务之余,也要注重一些数仓的权限管控与备份呢?是不是需要内部排查一下此类问题呢?

我知道看我文章的很多是各大公司的风控安全,诚恳建议各位排查一下此类问题,权限管理和操作日志是那种看起来没有产出,但关键时刻可能会要人命的东西,要谨慎。

可惜了那家本来很有前途的公司,原本是有机会在中国互联网界闯出更大的天地。

03

很多互联网公司在做营销拉新的时候,很喜欢做二维码推广,扫码即可XXX,扫码即可获得现金等等。只要别人扫了你分享的二维码并作出简单的操作,你和扫码人都可以获得奖励。

这种活动设计的初衷是为了方便传播,尤其是方便在微信传播。

但很多公司在扫码得奖的风控设计上不够完善,导致里面存在很多漏洞,大量羊毛党因此获利。

既然B扫A的码,AB都可以获得奖励,那么只要A的码可以创造一个足够多的场景,被足够多的人扫到,那么A就可以获得大量奖励。

方法1:使用机器批量操作,黑产工作室利用大量设备,互相分享活动二维码,互相扫码(主要是点击识别),大量套取利润。

很多没有防范意识的互联网公司,尤其是O2O公司,在获客阶段,会被大量扫走预算,某知名生鲜类互联网公司。2018年,因此造成的套利损失在千万级别,这些损失的发生只用了不到3天时间。

方法2:很多公司后来聪明了,开始使用技术开始反设备批量互扫了,例如给每个设备制作唯一的设备ID(这个难度其实不低,尤其是H5场景无法直接获取设备号),但是黑产们还有其他方法,例如社会工程学。

利用人为塑造的场景,来诱导真人扫码。

我想之前大家都看到过一个新闻吧,某人使用扫码送大白菜的方式,成功诱导大批大爷大妈来扫码领白菜,最终获利颇丰,还成了一个段子。

而最经典的一战,发生在单车大战时,那个时候,是有团队专门在共享单车上贴营销二维码的,用户在不知情的情况下,以为是开锁,结果扫了营销二维码,帮黑产做了羊毛。

而最有趣的事情是:很多这种羊毛,其实是自己人下手的,不然谁能一夜间贴满全城的单车呢?自己人黑自己公司的补贴,这种事情太多了。

而我们退不回的押金里,有多少是被这样薅掉了呢?

04

讲完二维码营销分享,再讲手机号拉新营销分享的一些玩法。

所谓手机号拉新,就是我给你发送一个微信卡片,你点进去,可以输入手机号,然后获得一张券,存入这个手机号的账户中。

我想大家对于这个已经非常熟悉了,各种外卖APP的红包分享,都是这么玩的——点进去,输入手机号,然后领券,尤其是某咖啡,更是红包不断。

而当前存在一种羊毛党,养了大量的手机号,然后登陆微信,潜伏在各个外卖红包群中。只要有人分享,就会点进去抢券,然后把最低价的券,拿出来下单,去买一些硬通货(牛奶等),然后套利。

如果产品本身不能买硬通货,那么也不重要,可以做成代下单,在一些二手平台上搜XX券,XX代下单。可以发现有大量人在做这个生意,就是你付一小笔钱给他,给他地址,他帮你下单,货物送到你指定的位置,简单方便。

无数互联网公司烧出的钱,补偿的券,都没有被补贴到真正的用户。因为对于代下单的聚类分析缺失,对于用户关系网的不重视,对于收货地址的放松,导致砸了大钱也没赚到用户。

那些已经认识到这一点的公司,就把券设置的非常抠门,门槛高,金额低,直接从源头上就堵住这件事。而有些只要数据的公司,则反而加大力度在送,卖1块赔2块也要送,恨不得羊毛党住在家里。

当前某著名连锁外送互联网公司,至少有四分之一的订单来自代下单,风控形同虚设。

当然这家公司也不傻,从一开始就是冲着圈钱上市来的,玩的就是一个披着互联网外衣的资金盘。

05

刷券代下单,只是低端玩法,最近流行起一种新的玩法,也是基于手机号拉新营销的。

很多互联网公司在做推广的时候,是允许你邀请朋友的,只要输入朋友的手机号,你们就可以建立一个绑定关系。如果这位朋友后续与这个互联网公司产生了一定的业务交集,那么你作为他的邀请人,是可以获得很多奖励的。

这就是所谓邀请码和邀请手机号。

而这里面,存在了一个很有趣的玩法,就是暴力灌号,占领号段绑定关系。

什么叫灌号?

——就是假如我是A,我要输入BCD的手机号与他们建立绑定关系,BCD下单了,我就有奖励。

那么,我可以直接穷举号码,例如:直接从13000000000一直到19999999999,全都往邀请链接里导入,等于是只要有用户注册使用了他们。不管与我有没有关系,我们都已经建立了绑定关系,我可以躺着收钱,尽管用户本身都不知道我的存在。

这种攻击,对于大厂是无效的,但是对于很多初创企业尤其是急着要数据的企业,是非常致命的。

针对大厂的类似推广,他们会控制号码的数量与规则,尽量一个号只邀请几十个人,并且号段不会出现重复性,频率也不会做到很高频。具体的做法我就不公开了,但是每年大厂们在拉新上面的这种无感知损失,是无法估量的。

当然可能运营们也不是很重视,毕竟某种意义上这就是拉新成果,无效补贴于运营何干?

况且再仔细想一想,这种规则的泄露,是谁干的?

谁KPI完不成会心慌呢?

06

关于灌号,其实还有另一种精准灌号的玩法。

就是灌号者,确实是知道这个手机号的主人的某些社会属性。

例如:从一些无良4S店搞出来的车主手机号,从一些无良物业搞出来的业主手机号,从一些学校搞出来的家长手机号,从一些金融机构搞出来的理财客户手机号,从某些防范不严的网站中脱裤出来的用户手机号。

然后,拿着这些手机号,做定向灌号,成功率极高。因为这些人本就是互联网公司重金去地推,去广告覆盖,去试图引诱的群体。

例如:拿学生家长的手机号去灌教育类APP,拿车主手机号去灌车辆交易类APP,拿业主手机号,去灌装修类APP,这种方法可以说是风险最低的套利方式之一了,并且收益较好。

黑市上有专门这样的交易渠道,只需要不多的一笔钱,就可以拿到大量具有精准属性标签的用户,很多短信供应商也参与其中,利用自己发短信的优势,偷偷倒卖数据,为了获取更多数据,他们恨不得免费给垂直行业的大公司倒贴钱。

甚至我知道的很多此类互联网公司的运营,专门会和一些黑产串通,告知他们投放策略和方式。黑产批量灌号进行套利,最后大家分利润,反正数据也好看,公司用户也有增长,这部分无效补贴,不套白不套。

我想很多互联网公司,对于自己的营销费用,应该重新审视一下了,尤其是在寒冬的时节。

冬天不好过,对么。

07

再说个不是很大,但与我们多数人都有关的小漏洞。

抢票软件都知道吧,就是很多时候我们需要买到一些票(例如火车),但是票的数量有限,买的人太多,只能去用一些三方抢票软件。

而这些软件,总是各种变着花的收钱,一张票要多收50到100元,甚至更多,堪称新时代互联网黄牛。

既然有互联网黄牛,那必然就有坑黄牛的黄牛。

这些抢票软件的核心原理是:利用机器调用票务网站的接口,极快的速度刷新和购买,往往速度可以快到1秒钟几千次,正常人根本抢不过他们。

12306本身是严禁第三方用这种方法破坏公平的,所以不会提供完整的对外接口出来。他们只能用各种技术手段来利用12306本身的对外合作接口(速成OTA),想尽办法来加快调用,而这就产生了一个很有趣的漏洞。

如果黑产的手机上同时装有某某抢票软件和12306,且黑产的抢票软件的付款方式绑定的是借记卡,在发起抢票时,把借记卡余额转走或者借记卡本身就没钱,那么当抢票抢到票时,必然扣款失败。

此时,可以登录12306、付款,然后取消抢票。

有些抢票软件甚至都是抢到了才让付款,那更简单,连余额和支付失败都不用做,直接打开12306付款即可。

好几家著名公司旗下的抢票软件,都存在这个漏洞,但不敢去找消费者的麻烦。

因为抢票,加价抢票,本身都是模糊的灰色地带,虽有有苦难言。

很多电商网站上的代抢票服务,本质上就是在用这个方法空手套白狼,既白嫖了抢票软件公司,又套了消费者的钱。

美哉!

51节要到了,抢票大战又开始了,这个漏洞,又要被用起来了。

08

再讲一个经典的营销漏洞,与广告有关。

很多公司的推广,都是依赖广告的、APP里、网站上、大马路上,都是打广告的好地方,而广告的结算方式有很多,最常见的是CPT,CPC,CPA和CPS。

CPT是指:时间,按展示时间收费,广告展示长时间,收费XXX元,一般电梯广告都是CPT,部分网站的广告也是CPT。

CPC是指:点击收费,点一次,多少钱。

例如:某些垃圾医院在某些网站上打广告,点一次,可能就是几块钱甚至几十块钱。

CPA是指:注册收费,每个成功完成注册的用户,多少钱。

例如:很多贷款超市,很多APP里浮动的页游,都是CPA。

而CPS,是指:业务发生收费,发生一次业务,多少钱。

例如:以前盛行的贷款超市,用户下款后,下款金额的一定比例给到贷款超市。

再例如:外卖软件或打车软件推广,用户注册后完成一单,给推广方XXX元。

这些广告计价方式里面,就存在了很多漏洞。

点击结算(CPC)和注册结算(CPA),是被刷的重灾区。

CPC是最简单的,过去的CPC直接就是用机器暴力点击刷量,不管有多少钱,都可以被快速点光。

现在要麻烦一些,但也不是很麻烦,只需要一些微信群和QQ群,就可以完成大量真实用户点击。往往是以兼职任务的形式来完成的,点一次给XX元,甚至想加入这种兼职群,都要收费。

CPA相对CPC要多一个步骤,就是点击后注册,由于很多公司对于CPA的监控是比较弱的,所以CPA可以大规模注册。CPA的刷量更加严重,黑产手中都握有大量的真实资料和设备,很多资料都是网站被脱裤出来的信息,很多用户都是神不知鬼不觉就被拿来做了注册。

说到这里,你可能会问,黑产刷这个有什么意义啊?这又不来钱?刷出去的广告费也不给黑产啊?

这你就比较天真了。

首先是,有的黑产,是收了一些公司的钱,来专门点其竞争对手的广告的,如果我花50万,可以收买黑产点掉竞争对手1000万的广告费,为什么不呢?

当年高利贷大战中,很多高利贷公司都与这些黑产有关,专门去给竞争对手的投放添堵。

其次是很多黑产,其实就是广告公司的自己人,客户充值要消耗掉,不然新的充值不会投入。适当在正常的点击注册中,添加一点点料,可以帮助客户花钱花的更快,自然自己也能多赚钱。

至于作为甲方要如何监控渠道有效性和投放策略,那就是另一个长篇大论了。

最后,很多黑产和甲方的运营是一伙的,甲方运营会把投放策略、结算方式,都给到黑产。黑产会帮助甲方运营快速消耗资金,然后甲方发起进一步充值。每次充值,广告公司都是有返点给到甲方投放负责人的,这是非常常见的一种勾结。

很多公司的市场负责人和投放负责人,本身工资不高,但是生活非常奢华浮夸,并且都是一年一跳槽,他们哪里来的钱呢?

各位老板想一想,自己的公司有没有这种隐患呢?

不止是市场部门,我也知道很多创业公司的高管们也在通过这种手段来骗投资人的钱,实现自己的套现。

去年倒闭清算的某几家游戏公司,老板号称屡败屡战的连续创业者,但是自己的生活却是越来越好了,嘴上说着与版号有关,实际上就是吃光了广告投放的钱。

专业的广告投放与风控,是一门大学问。

09

本次文章又讲了7个案例,聪明一些的朋友肯定又从中悟出了一些有趣的东西,恭喜。

相信各位读者已经感受到了风险控制这个岗位的重要性,风控做不好,运营和市场投放永远是拿钱打水漂,而且连个响都没有。

只可惜绝大多数公司的风控,空有一身本身,但无法发挥。

因为很多时候,风控都是一个做减法的部门,而大多数公司的核心诉求,是加法加法加加法。只有增长,只有规模,才能让公司拿到下一轮融资,活下去。而做减法的风控,自然就是业务老大们眼中的仇人。

而在很多运营眼中,风控更是多余且碍眼,因为风控往往会砍掉运营的一部分KPI,挡掉一些暗中交易,这些都是钱。

断人财路,必遭仇视,而且很多业务方都有一个不好的观点——那就是做成了是自己的,做赔了是公司的,公司赔不赔钱不重要,只要自己的KPI和年终奖到手,就好了。所以,作为一名风控,很多时候比起羊毛党,更害怕的是来自背后的利刃与利益勾结。

想起曾经一个风控的前辈,在某独角兽尚未长出角的年代,在一次拉新活动阻止了上千万的资金流失,纯靠手写的专家规则,逆天一样的发挥。

但他正在兴奋的时候被运营老大一纸报告捅到了CEO那边,说是耽误公司市场推进,不然GMV可以翻倍。

有意思的是,老板居然认可了这个观点,并且最终疏远了这个不懂事的风控,而在这个风控离职之后,大面积数据造假,内部腐败横行。

然后有意思的是,这家公司最后成为了一家独角兽公司并且被并入了某一线互联网公司,老板套现离场,直到并购内部清算时,该公司才发现自己吃了个大亏当了冤大头,然后血洗独角兽。

身为一个风控,从来都不会害怕羊毛党,最怕的是来自交付背后的刀子和受伤后撕咬自己伤口的公司贪狼们,或许这就是风控的宿命。