1

现代商业竞争，是一座赤裸裸的血腥森林。

资源是有限的，投资人的钱是有限的，用户是有限的，用户的时间是有限的，用户的注意力也是有限的，什么都是有限的。

但资本的欲望是无限的。

有限与无限的分割线下，竞争常常没有底线。

所谓的友谊竞争互相成全一段佳话，全都是屁话。

和平是打出来的，体面只是势均力敌的迫不得已，但凡有机会，大家第一时间就会把道德丢到地上踩上一脚。

丛林法则从未变过。

两家相同领域的公司竞争，如果产品本身没有本质性差异，那么大家比的就是谁下限低，谁更不讲理。

需要承认的是，如果两个人打架，一个有底线，一个没底线，在实力差不多的情况下，大概率是没底线的公司获胜，因为他们求胜的心已经超越了道德的束缚。

什么手段都可以，只要后果公司可以承受，就可以去做，哪怕背负骂名。

只要自己一家独大，完全可以动用大量的资源来洗白自己，人们的记忆只有3天，总有数不清的热点要追，谁有在乎谁呢？

这一切无关正义，只是生意。

今天讲的是风控中的进攻者的故事，在商业竞争的森林中，各大公司的风控们为了各自背后的利益在相互厮杀，赢者吃下一切。

现在，狩猎开始。

2

正常人理解的所谓的攻击竞争对手，无非是使用比对方更大的折扣，给客户更多的优惠，又或者在某些关键供应链上要求2选1，都不是什么秘密。

但真正有效的攻击，需要足够的想象力和执行力。

很多时候更重要的是借力打力。

作为企业盾牌的风控们，掌握着大量的企业漏洞与防守知识。

如果这套技能用在进攻上，同样也会是最锐利的矛。

这根矛配合足够聪明的运营，技术和市场，可以瞬间洞穿对方的心脏。

前一段时间，某著名云音乐软件下架一个月，就是一套完美的攻击策略组合。

该软件最大的特点是有着非常多精彩的乐评，评论区文化配合很多原生的民谣，产生了非常多忠实的用户。

攻击的开始，是一张无法追溯来源的图片，主要内容是某某云音乐的会员（需要付钱买）现在搞活动，删除APP后再安装，就可以免费送3个月。

一时之间很多人删除了APP，但是由于APP下架，所以删除过后没法再安装（起码要1个月才上架），然后就成了一个尴尬的状况，大量用户表示自己被骗了，非常生气。

为此，某某云音乐官方也发布了声明表示是谣言。

由于这种事情本身比较检测智商，所以并没有造成大规模负面舆论，倒是被人当做段子开始传播，攻击者的目的就在于此，把传播做起来，把某某云音乐摆到舆论的风口。

然后真正的招数是，在其APP的热度起来后，开始大量传播其APP删除用户本地音乐的内容，激发用户的愤怒，进而趁着这1个月的下架期，给予其最大的打击。

这个话题上了微博热搜，大家纷纷在怒斥该APP无耻，一时之间该APP的口碑跌入谷底，很多人都表示自己的本地音乐被删除了，然后再也不用该APP了，虽然该APP多次表明自己没有这种行为，同时还报警了，但这个标签目测要在身上贴个一段时间了。

这对于他们原本今年计划的上市和商业化计划都是重大的打击。

这套攻击最精妙的地方在于，该APP对于用户的本地音乐确实是有操作的，这个操作不是删除，而是格式更改和屏蔽。

音乐行业都是交叉授权的，产品方必须配合版权方来做打击盗版。

假如用户本地有一首音乐是没有授权的盗版，此时音乐类APP就会把该首歌自动修改为APP专属格式，并屏蔽播放和搜索，主要帮助保护版权。

我不评价这件事情是否合理，只能说这是音乐版权行业的一种潜规则。

所有音乐类APP都有这个问题，只不过这个问题多数用户是不知情的，用户看到的只是自己过去存的一些歌没有了（其实是版权方要求屏蔽的，音乐类APP只能配合版权方），再加上一些引导，很容易就被理解为是APP强行删除用户文件。

这一套攻击，时间，题材，传播，产品切入点都完美，效果也非常棒。

堪称经典。

3

很多公司对于风控的理解是非常粗浅的，在他们看来，风控可能就是所谓防刷单和防止内部腐败，确实绝大多数业务风控就是干这个的，但是企业其实面临的风险，远远不止这些。

内容攻击，已经是目前最流行的攻击竞争对手的方式。

所谓内容攻击，就是利用对方APP中可以展示内容的地方（例如评论区，例如论坛发言区等等），进行黄恐暴内容的饱和录入，然后引发对方APP被大量投诉，然后被下架，打乱对方的产品迭代发布计划，给自己争取有利的竞争窗口。

很多短时间下架的APP，就是被竞争对手使用了内容攻击。

某知名内容APP，很多年轻人都在用，可以使用文字，图片，来进行社交，分享各种趣事和沙雕图片，但是就在内容攻击中下架了，内容安全已经成了很多APP的核心弱点。

但可惜的是，很多APP对于内容安全的重视程度都不够，人类的本性就是喜欢黄恐暴，很多社交产品早期就是靠这个起家的，很多公司觉得这东西既然能有流量，岂不美哉？干脆先污染后治理得了。

在互联网文明越来越重要的今天，这种流量思维会害死公司的。

而攻击者们，则愈加肆无忌惮地利用内容来攻击竞争对手。

例如某知名95后00后陌生人匿名社交APP，近期就遭遇了潜在对手的饱和内容攻击，由于产品本身是支持声音的，并且还是全匿名的，这就诞生了大量操作空间，不需要很复杂，只需要把大量黄色音频灌入，密集且持续灌入，然后举报即可。

声音本身的可变性太多了。

音频的色情黄恐暴过滤，目前属于一个行业的技术难点，主要的实现方式是快速把音频转换为文字，然后利用敏感词来过滤，但这并不能完全解决谐音字和娇喘的问题，并且成本极高，如果不是巨头，创业公司那点融资还不够买语音转换的费用的。

这是一个现阶段近乎无解的攻击方法，当然也不是完全无解，只不过比较考验风控的功夫，没有经历过绝望的风控是不会有成长的。

4

同样是内容攻击，黄恐暴攻击比较适用于社交类产品，针对其他类型的产品，最流行的是垃圾信息和广告信息攻击。

如果你打开一个APP，发现里面大部分的信息都是非常垃圾的广告，并且广告已经影响了自己的使用，你是不是会特别愤怒的放弃这个APP，然后转投其竞争对手？

没错，这就是攻击者想要的。

这种内容攻击往往是通过拆解对手的APP，然后利用接口写入的方式来录入大量垃圾信息，例如前段时间某出行APP被大量用户投诉说打开界面里面全都是垃圾广告，各种某出行的广告和加微信的广告，从用户昵称到内容到订单信息，全都是垃圾信息。

当时一度在社交媒体上闹的沸沸扬扬。

这是非常有趣的一箭双雕，同时黑了2个竞争对手，第三者坐收渔翁之利。

内容攻击的另一种形式，不是使用垃圾信息填充，而是使用完全真实的假订单来挤占真实订单，这多发于电商类APP。

某纳斯达克上市的知名社交电商APP，就遭遇过假订单的批量攻击。

他们每次只要一搞促销，一搞秒杀，就会有大量机器来下单，下单后也不付款，目的就是要快速把活动商品的购买权占满，让真实用户无法购买。

即使电商平台修改库存机制或者使用补货，也往往已经错过了时间流，之前铺垫了很久的大促信息，用户的所有期待都应该在大促的一瞬间引爆。

在这种时候给踩一脚刹车，造成的后果是非常严重的，甚至可以毁掉一个策划已久的活动，造成对手大量的资源浪费。

还有一种内容攻击，与业务无关，与人有关。

现在很多招聘网站都在明里暗里销售用户的简历，于是就有公司想到了用这个方法来打击竞争对手。

最常用的方法就是从招聘网站那边买到竞争对手的关键人员信息，然后不停地发面试邮件，注意，是发邮件，不是打电话。

邮件内容从面试邀约到薪酬确认到后续工作安排应有尽有，如果被竞争公司看到的话，会很大程度上怀疑员工的忠诚度，这个关键人员，基本就算是废了。

某著名电商公司就层对某著名信息流公司发出过这种攻击，一时之间对方人员动荡。

杀人不见血。

5

我说了，进攻，最需要的不是技术能力，而是想象力。

很多被证明有效的套路，其实实现起来并不困难，要的是动脑子。

现在已经是大数据年代了，国内兴起了很多大数据独角兽，其中最大的几家的其中之一，其底层的数据库是被污染过的。

当初这家公司成立不久，疯狂的在市场上收购数据，甚至黑市也没有放过，那时是2017年6月1日之前，个人隐私法修正案还未生效。

他们自以为自己做的天衣无缝，但是早已被竞争对手盯上，这家竞争对手卖给了他们一批质量非常高的数据，但这个数据是被污染过的。

大数据公司最重要的核心资产是黑名单，竞争对手把优质用户的白名单当做黑名单卖给了他们，他们一时之间没有察觉，最终造成的就是数据库的失效，后续他们的黑名单产品在市场上就很难卖出去了，因为区分不出好坏，整体的融资节奏和业务发展规划都受到了很大的打击。

这个问题至今还未解决，业内最懂行的人往往不会使用他们家的数据产品。

更有想象力的进攻手段，是直接强占竞争对手的潜在客户。

某家知名O2O公司，为了让自己的用户不至于流失到竞争对手那边，直接使用自己用户的手机号和个人信息，来批量注册竞争对手的APP账户。

这样导致的效果是，当自己的用户想体验对方的APP时，会发现自己的手机号其实已经被拿来注册过了，导致自己无法再注册，如果想找回账户，由于留的信息全都不是自己的，只有手机号是自己的，导致无法追回，于是这个手机号就死了。

而绝大多数人也没有驱动力强到非得用某某不可，某种程度上这就构建了一个神奇的护城河。

再讲一个有想象力的进攻手段，也与用户身份有关，来自换脸。

人脸识别已经成为了很多APP的标配，但其实根本就没有什么所谓的真正的人脸识别。

所有人脸识别的核心原理就是拿着两张照片来进行比对相似度，然后输出一个分数。

由业务方自己决定多少分数通过，多少分数转人工，多少分数拒绝。

即使是同一家人脸识别公司，不同业务方设置不同的通过策略，也会有完全不同的效果。

诀窍就在这里，利用大量的用户身份证，外加技术把身份证上的静态图做成动态，去骗竞争对手的实名认证，然后彻底断掉这个用户成为对手用户的情况，同时如果对手有做推广，还能够骗对手的广告费。

当然由于涉及到用户资料的隐私，这部分一般做的都是外包给黑产做，而且不会去用自己的用户做（这么一搞岂不暴露自己），而是用黑市上已有的资料去做。

所以当某些公司发现自己用户量暴涨，但是日活却没有明显提升时，需要想一想，自己是不是被攻击了，而不是仅仅骂投放的人是SB。

6

前段时间，两家超级外卖公司掐起了官司，这次不是外卖员打架，也不是飞单，也不是互相贴海报恶心对方，这些都是常规操作。

核心原因是某一家公司拥有另一家公司的很多核心数据，然后被发现了。

这是使用爬虫来进行的情报收集，在目前的互联网公司竞争中非常普遍。

假如电商搞大促，想针对性的做补贴，保证同品类中自己的价格是最低的，要怎么操作？显然让人看是非常愚蠢的，而且也看不过来。

最基础的操作就是使用爬虫+脚本，爬取对方所有商品的价格，SKU，SPU等，核心原理就是模拟一个个真实用户来浏览网页，然后把信息都留存下来。

然后依据爬回的数据来动态调整自己同SKU,SPU的价格，保证优势。

当然对方也不是干坐着给爬，往往会设置各种反爬机制，例如给所有价格数据都加看不到的水印，所有页面的结构在前端代码中都是加密的，爬回去就是乱码；在例如限制每个账号的IP以及浏览时间等等等等，爬虫攻防可以写好几篇万字长文了。

当你使用APP或者浏览网页不停刷新或者快速点击时，偶尔你会遇到一个弹窗告诉你，你操作的太快了，要休息一下，这个其实就是反爬机制生效了。

恭喜你的麒麟臂又进步了。

7

上面说的很多攻击，都是建立在产品本身有漏洞或者存在思维盲区的基础上进行攻击的，可以说，本身是存在攻击目标的，可以是APP，可以是网站，可以是用户。

而有些具有想象力的攻击，其实本身不对竞争对手本身做任何攻击，他们通过一些其他手段来攻击对手。

APP换壳攻击就是一种很有趣的玩法。

所谓APP换壳攻击，其实主要是通过拆解APP本地安装包，逆向APP的源码，在这个基础上来给APP中嵌入自己想要的功能，最后再到处散播（主要通过H5，二维码和文字链传播，应用市场很难绕过去），达到自己的目的。

例如某知名电商APP就受到过换壳攻击，竞争对手逆向了他们的安装包，在里面植入了其他公司的订单系统以及支付，并大量通过群转发的方式传播安装包的下载。

导致的就是很多不明真相的用户在里面下单购物付款后，就没有然后了，因为整个订单系统被修改过了。

最终的结果就是某电商APP突然消失在了市场上一段时间，因为牵涉了大量的用户投诉和配合调查。

当然，大多数情况下，APP换壳不会做到这个程度（能做到这个程度说明原APP的技术烂到了一定程度上），一般都是做链接换壳，主要用于伪装成支付宝和微信支付界面，然后骗钱。

很多人都收到过电商诈骗电话，说退款之类的，然后给你一个链接，点进去完全是支付宝或者微信的样子，然后你就相信的付款了，最后钱就没有了。

更进一步，很多博彩和非法集资在公众号投广告，往往骗号主投文字链，给一个外网的链接，点开看是很正常的新闻网站，但是当号主们发出这个广告后，再后台操作更改链接导向博彩或者非法集资，很多号主因为这个被封号。

这种防不胜防的坑，也算是互联网界的一种降维打击吧。

8

洋洋洒洒讲了这么多的案例，能从里面领悟出多少进攻和防御的思路，全看个人的悟性。

进攻真的是一件非常需要想象力的事情，很吃天分，很多时候就是靠思维的盲区来实现局部信息的不对称然后获利。

我想告诉大家的是，我们日常经历的商业形态，都是血腥竞争后的产物，每一家巨头诞生的背后，都是上万家同类型公司的消失，商业从来都是残酷的，没有谁是无辜的。

如果你觉得哪家公司是无辜的，一定是他们已经形成了局部垄断。

其实我更想告诉大家的是，我们看到的很多新闻事件，很多互联网热点，背后争斗的复杂程度往往会超出大家的想象。

你看到的，只是别人想让你看到的。

有时候看新闻时，先不要急着批判或者发泄，多想想背后得利的是谁，动机驱动是谁，会发现多数人的喜怒哀愁都在被刻意引导。

我们只是棋盘上被驱动着的棋子。

下棋的又是谁？

所以希望大家能经常性跳出情绪，从利益链的角度看这个世界，从进攻者的角度来看事情。

或许你能看到更多更不一样的东西。

然后拥有更不一样的，独一无二的人生。