咳血的獨角獸丨互聯(lián)網(wǎng)的幕后攻防

1

風險控制,“知道”的人多,“了解”的人少。

我想談談一些真實發(fā)生的案例,來給大家展示一下風險控制這個職業(yè),能為公司產(chǎn)生什么樣的價值或者損失。

這些內(nèi)容我保證是你花錢都買不到的。但可以從中領悟多少進攻或者防守的思路,就全看自己的悟性了。

老朋友們應該都知道,我本職工作是做風控的,從線下盡調(diào),信用卡,金融,電商,安全,數(shù)據(jù),基本每一個領域的風險管理,我都玩過,并且玩的不錯。

風險控制,或者說風險管理,在互聯(lián)網(wǎng)公司中,一直是一個比較尷尬又不上不下的崗位。

說風控不重要吧,你去問任何一個公司的老板,都可以balabala說出各種風控的重要性,大道理講到你吐血。

說風控重要吧,在絕大多數(shù)公司的實際情況中,風控都是為業(yè)務方讓路的,運營部門要增長,市場部門要投放,活動部門要大促,這些都有明確的指標考核,而這些部門由于直接影響公司數(shù)據(jù),進而影響公司講故事融資,所以往往特別強勢,風控這種做減法的部門,在他們眼中更是業(yè)績的阻礙,最好統(tǒng)統(tǒng)趕走。

多數(shù)老板為了面子好看,對外大力吹風控;為了里子好看,對內(nèi)往往是默許業(yè)務部門Diss風控甚至搞點小動作的,所以到最后,風控往往里外不是人。

某位老板曾經(jīng)在酒后對我說過,你們這些風控,如果業(yè)務沒有出現(xiàn)風險,養(yǎng)你們就像養(yǎng)豬;如果業(yè)務出了風險,養(yǎng)你們還不如養(yǎng)豬。

某種程度上,這話是對的,風控只是業(yè)務的輔助。

但在另一些維度中,業(yè)務營銷如果風控放水,那么多少錢都只能打水漂。

以下我講談及一些案例,以及其中的訣竅,功防技巧。

本文中我所介紹的進攻手段我自己是知道怎么防守甚至怎么反殺的,這也是我的專業(yè)價值所在

集中注意,我們開始案例講解。

2

某某咖啡,號稱打倒星巴克,教育中國人的咖啡習慣,不差錢,估值數(shù)十億美金,即將嘗試美股IPO,一年虧損幾個億都不當回事的公司,在今天把自己的一堆咖啡機做了抵押,換取了4500萬人民幣抵押貸款,這很喜感。

當然他們對外解釋是輕資產(chǎn)運營,設備利用最大化,這話是不是真的,每個人都有自己不同的見解。

但作為2018年燒錢最猛,同樣也是增長最猛的品牌之一,營銷方面我不好說,只能說他們的風控做的不夠到位,當然也可能是為了漂亮的數(shù)據(jù)搞投資,默許風控滾開。

某某咖啡曾有一個非常經(jīng)典的用戶拉新活動,就是只要你邀請人別人注冊并下單,你就可以獲得一張免費喝咖啡的券,由于新注冊用戶有默認的免費券,所以等于是存在無成本套咖啡券的漏洞。

A邀請B注冊并下單。

A獲得一張免費券,B免費下單。

所以,只要有批量注冊的手機號,就可以大量開始刷咖啡券了,只需要不停地用新手機號注冊,然后下單,然后就有券,操作一次可以免費喝至少2杯咖啡,美滋滋。

而市場上買一次手機號帶驗證碼注冊的成本,是2毛到1元。

如果你能批量使用2毛一次的成本,換取2杯免費咖啡,那么你完全可以第一杯自己喝,第二杯以極低的價格賣給身邊的同事,這種便宜很少有人會拒絕。

而且這個已經(jīng)產(chǎn)業(yè)化了,標準灰產(chǎn)。

在某些二手交易平臺上,直接搜索,就有各種代下單。

除了免費咖啡(他們被薅實在太狠了)之外,更多的是一些打折券,尤其是有一段時間,XX瘋狂在發(fā)3折券和2.8折券,這些券的領取方式更簡單,只要在H5頁面輸入手機號,就可以領取。

所以在刷號注冊拿免費券之后,那些不能再享受新人券的賬號,可以再拿來領一些折扣券,同樣可以獲取套利。

保守估算,其相關營銷投入的接近一半,是被刷掉了,沒有獲取到真實有效的用戶,這可是億級別的損失。

并且這種手動機器注冊,并且用完首單資格再領券的玩法,適合一切有分享領券功能的電商和外賣平臺。

當然,無限制的下單也不可能,公司也不是傻子,總有一些規(guī)則可以攔截掉異常訂單,只不過他們的風控一肚子本領無從下手而已。

你攔截了訂單,就是攔截了GMV,你攔截了GMV,就是攔截了業(yè)務的KPI,你攔截了業(yè)務的KPI,就攔截了公司融資,對于很多toSBVC的公司而言,這比殺了他們還難受。

所以很吊詭的是,風控仇視羊毛黨,營銷仇視風控,同時營銷又跪舔羊毛黨。

畢竟KPI和年終獎是自己的,虧損是公司的,豈不美哉?

3

說到最近風投正勁的幾家O2O公司,就是各類XX買菜,XXX鮮,XX社區(qū)之流。

他們一直在燒錢,且優(yōu)惠多多風控不多。

感謝他們的努力,很多羊毛黨已經(jīng)很久沒有花錢買菜了,厲害一點的羊毛投資,各種拉新賬戶的余額加起來有6位數(shù)甚至7位數(shù),基本只要公司不倒,買東西就不用花錢。

車厘子大閘蟹精釀啤酒進口牛排海鮮之類的消費升級,早就給他們吃膩了。

先說XX買菜,他們最近燒錢最厲害。

其拉新活動是,新人注冊有2張大額券,滿XX元,減XX元,里面的東西最劃算的是牛奶,扣除優(yōu)惠券金額后,存在很大的套利空間。

但是這家公司多少還有點風控意識的,其拉新套利單純使用接碼平臺注冊是沒有意義的,因為會校驗支付賬戶信息以及下單頻次,同一個支付賬戶多次使用不同賬號,或者同一臺設備多次使用不同賬號等等,會被直接攔截。

所以很多專業(yè)刷子,會使用專業(yè)設備和專業(yè)賬戶來繞過規(guī)則,他們的風控漏洞對于專業(yè)選手而言非常明顯,只需要一點簡單的偽裝,這些基于用戶信息的核身規(guī)則都會失效。

再說XXX鮮,在圈內(nèi)被稱為羊毛X鮮,推廣及其豪爽,漏洞多不勝數(shù)。

首先是拉新,現(xiàn)在的拉新是只有推薦下單后各享受大額滿減的,而早期的時候,還有滿多少人送多少余額的活動。

利用某些平臺,及廣義地址(就是收貨地址只留小區(qū),不留具體門牌號,靠配送員電話口述),連偽裝支付賬戶都不需要(他們沒有做校驗),就可以開刷,并且上面的某些硬通貨很便宜,特別適合套利,別忘了,還有送余額的活動,這些余額就是純賺的,可以買一切高折現(xiàn)率的產(chǎn)品,非常劃算。

其風控之簡陋,簡直是羊毛黨的提款機。

不僅沒有收貨人一致性校驗,沒有支付賬號限制,沒有LBS規(guī)則,沒有用戶血緣關聯(lián),沒有實時熱點監(jiān)控,沒有虛擬號段封鎖,連IP墻和設備號限制都沒有,可以一臺手機,一個支付賬戶外加一個接碼平臺,就能無盡的刷。

可能是被刷太厲害了,導致現(xiàn)在不搞余額活動了,只給大額券,盈利少了不少,不過首單大額券,依然還是有吸引力。

所以你們看,如果風控不到位,這些公司的營銷費用,全都白給。

隨著黑產(chǎn)技術的進步,風控不好的公司,已經(jīng)沒法靠燒錢贏市場了。

4

連說了2個套取新人優(yōu)惠以及券的案例,我們講點別的。

大家都知道蘋果手機吧?這是一種硬通貨,手機市場唯一的硬通貨。

而很多新興的社交電商平臺,都是拿蘋果手機,當做引流商品的。

什么叫引流商品?就是這個產(chǎn)品本身賠錢,但是吸引你來我店里消費,成為我的會員,你可能不止買這一個產(chǎn)品,我可以在別的商品上賺到錢。

就像很多飯店的特價菜一樣,靠特價菜吸引你進店消費。

他們的蘋果手機,出售價格往往是低于進貨價的,而且補貼力度不小,起碼我就知道某平臺的XSMax,經(jīng)常性低于市價300到500,這就存在了套利空間。

要知道黃牛正常倒賣蘋果手機,一臺往往也就100到200的利潤,而如果能批量搞到這些引流款的手機,其利潤非??捎^。

所以各路黃牛都在試圖獲取更多特價菜。

由于這里面的利潤很吸引人,這些平臺對于引流款的看管都是很嚴的,普通的進攻手段是沒有辦法繞過風控規(guī)則的。

但是聰明的黃牛,都是用肉雞操作。

什么是肉雞?

就是這人不是虛擬的機器,而是真正的人,是一個活生生的用戶。

大家都知道人肉刷單吧,就是平時該買啥買啥,偶爾有黃牛聯(lián)系的時候,就幫下單刷一下商品,搜索,點擊,聊天,砍價,支付,一條龍,就是活生生的人,只不過10單正常交易里有2到3單刷單而已。

目前蘋果代下單的肉雞價格是50元一單,很多人業(yè)余做肉雞兼職,給自己加加雞腿。

據(jù)我了解到的現(xiàn)狀是,很多平臺的引流款蘋果手機,起碼70%是被肉雞刷走了,肉雞刷走后手機流到了市場上,所以我們才總能買到各種低于市價的便宜正品手機,大家各取所需,也很好。

咳血的獨角獸丨互聯(lián)網(wǎng)的幕后攻防

5

來個高階點的,鎖價套利。

上面提到了蘋果手機。

由于國內(nèi)的電子市場非常發(fā)達,而蘋果手機的需求又非常旺盛,所以往往蘋果手機的價格是一天2變,可能一臺手機早上是7000元,中午是7100元,下午是6900元,第二天是6850元。

大宗商品,價格頻繁波動,某種程度上,蘋果手機可以算作一種期貨。

那么既然是期貨,就存在空手套白狼的純套利空間。

一般來說,電商平臺是不太會給你這個空間的,你買便宜是你運氣好,你買貴了就是買貴了,不管你是黃牛還是肉雞還是正??蛻簦还軆r格是便宜還是貴,你都應該是在某個固定時間以某個固定價格來買到這個商品。

但是盡管電商規(guī)則是這么設置的,但是可以從支付環(huán)節(jié)入手鎖定價格。

例如某些電商平臺曾經(jīng)出現(xiàn)過漏洞,就是如果付款時,價格為A,選擇某付款通道,選擇支付方式為借記卡,卡中余額不足,就會支付失敗,但是這筆支付訂單可以保留好幾天,在這個過程中可以隨時以A價格完成支付,進入發(fā)貨。

所以很多黃牛就會下單,然后故意支付失敗,等著看平臺調(diào)價,如果漲價了,價格高于A不少,他們就付A的錢拿貨,發(fā)貨地直接填付給他們錢的買家,空手套白狼;如果價格低于A,就取消訂單,不要了。

再舉個利用余額不足鎖定價格的案例。

某著名連鎖披薩餐廳,出現(xiàn)過一種漏洞,就是購買某個數(shù)百元的套餐,在付款時如果卡種余額是特定的XX元,再配合某個批次是優(yōu)惠券,則可以觸發(fā)幾十塊買到幾百塊的套餐,一家人只花幾十塊就成吃到不想再吃,很有趣。

同理,某連鎖商超的電子會員系統(tǒng),同樣出現(xiàn)了支付余額的漏洞,可以低價搞到大額優(yōu)惠券和卡,這種機會往往稍縱即逝。

國內(nèi)有專門的黑產(chǎn)團隊,每天都在利用支付失敗這一條件來試探漏洞,因為支付是獨立的體系,電商是電商的體系,只要是不同體系的交互,就一定存在套利空間。

這是不可避免的。

6

換一種玩法。

大家知道套現(xiàn)吧?

就是把信用卡的額度,變成現(xiàn)金,這筆現(xiàn)金可以拿去投資,周轉(zhuǎn)。

如果直接用信用卡取現(xiàn)的話,是要收取高昂的提現(xiàn)費用,并且被取出的額度按日計息,無法享受到信用卡的免息期。

所以如何各種渠道,把信用卡的額度變?yōu)闊o利息的現(xiàn)金,是一門生意。

當前最流行的就是各種二維碼和各種Pos機,本質(zhì)原理就是虛構一款商品,用信用卡刷這款商品,在銀行眼中是正常消費,額度享受免息,但實際情況是刷卡人獲得了現(xiàn)金。

這么操作,也是有成本的,成本在0.38%到1.2%之間。

所以如果有更低成本的套現(xiàn)渠道,就可以無風險套利。

某些疏于做支付風控的互聯(lián)網(wǎng)公司,就有這樣的漏洞。

大家還記得空空狐么,一家做二手交易,巔峰時到達過市場份額第三(第一第二是閑魚和58),后來創(chuàng)始人和投資人決裂,瘋狂撕逼。

很多人當時評價老板不成熟,投資人不靠譜,行業(yè)門檻高云云,實際都搞錯了。

空空狐是被套現(xiàn)套死的。

當時為了增加市場占有,空空狐想出了這樣一個營銷方案,就是用信用卡支付,空空狐補貼手續(xù)費,他們沒有意識到支付風險,也沒有專業(yè)風控對交易補貼做風險兜底策略。

這種操作一放開,這家公司就已經(jīng)死了。

由于空空狐是二手交易平臺,所以買賣雙方都可以自由上架貨物并交易,在這個過程中還補貼信用卡手續(xù)費,那就等于是可以自由套現(xiàn)。

空空狐市場份額第三的GMV,就是這么來的,全都是虛假交易和套現(xiàn),他們老板還開心的認為自己要成了,等到他們意識過來情況不對的時候,已經(jīng)無錢可燒了。

空空狐成為了歷史的塵埃。

因為套現(xiàn)存在大量的無風險獲利,所以專門會有一支黑產(chǎn)團隊做套現(xiàn)生意,他們會用爬蟲爬取各家公司的營銷政策,然后找出那些補貼交易的漏洞,再把資金放到上面去滾動獲利,收益豐厚。

信用卡,某唄,某白條,某某付,只要是可以用于分期的產(chǎn)品,都可以用來做套現(xiàn)交易,規(guī)模最大的還是信用卡。

銀行信用卡規(guī)模發(fā)卡規(guī)模和交易金額的不斷攀升,表象是人民消費水平提高,而表象后面的本質(zhì),這些交易里,究竟有多少是被套走了呢?里面損失了多少利息收益和資金成本呢?

答案是百億級別。

7

共享單車,很多人都知道吧?

共享單車的押金,很多人都咬牙切齒吧?

如果我告訴你,共享單車的押金,也存在被黑產(chǎn)搞走的風險,好幾家倒掉的共享單車公司,死因是押金被黑,你是不是不知道該說什么?

押金可以存,可以取,并且基本都是走支付機構接口的,很多公司的單車押金都是作為一個池子存在一起的。

當你提取押金的時候,會選擇一個支付機構賬號收款,資金池會和支付賬號發(fā)生一次交互,這里面需要做相關的傳輸風控,需要定位打款的賬號,定位信息,定位token,定位身份,做到多信息符合邏輯勾稽,才能打款。

而有些風控不嚴(共享單車沒啥風控)的公司,在固定的發(fā)版日,會出現(xiàn)短時間的提現(xiàn)異常。

這個異常不是說不給你錢,而是可以利用機器偽裝,偽裝成不同的支付賬號,多收錢。

某些共享單車,收了199押金,最后提現(xiàn)環(huán)節(jié)被人黑,掏了幾十個199出去。

當然,這種極其內(nèi)部的漏洞(短短十幾分鐘的系統(tǒng)真空),外界很難直接探知,是誰泄露了發(fā)版時間?是誰泄露了調(diào)用規(guī)則?

再聯(lián)想一下最近某快完蛋的單車公司嚴查腐敗,你猜猜內(nèi)外勾結賺了多少?

當然說到內(nèi)外勾結,最騷的還是某互金公司。

其某總監(jiān)把公司內(nèi)部的各種規(guī)則漏洞透露給某個媒體,然后對方寫了一篇深度黑稿,各個黑到精髓上,然后公司大驚失色,大力投資在風控和PR上,作為控制投放資源和采購的總監(jiān),撈了好大一筆。

這種內(nèi)鬼,最為致命,很多堅固的堡壘,都是從內(nèi)部被攻破的。

8

你知道看新聞,看視頻,下載APP可以領獎金的那些應用么?

就是某某條這種,閱讀多久多久,拉新多少多少,直接給現(xiàn)金。

你知道掛機軟件嗎?

就是游戲掛機常見的那種軟件。

這種軟件的原理就是通過腳本控制手機操作,然后模擬人的行為,解放人的雙手。

那么問題來了,既然可以掛游戲,為什么不能掛一些送錢的APP呢?二手網(wǎng)站上有很多人公開售賣這種工具。

很多被低價回收的二手安卓手機,沒有再次售賣的價值,被拿去干什么了呢?

嘿嘿嘿。

既然舊手機用不到了,何不掛上這些,去薅點錢呢?

雖然賺的不多,但收益穩(wěn)定,操作可控,多好的事情。

你猜猜這些APP的巨額流量背后,有多少是僵尸呢?

又或者說,這些僵尸,是不是公司自己的培育的呢?這樣連補貼都不用給,但可以計入營銷費用,你想,這些差價哪去了?

9

洋洋灑灑講了這么多案例,相信各位讀者已經(jīng)感受到了風險控制這個崗位的重要性,風控做不好,運營和市場投放永遠是拿錢打水漂。

而比起和羊毛黨的戰(zhàn)斗,風控最大的問題永遠來自背后,來自虎視眈眈的業(yè)務方和想著拿內(nèi)部數(shù)據(jù)獲利的腐敗團伙,這是我多年戰(zhàn)斗下來最深的感觸。

除了業(yè)務成本,用戶數(shù)據(jù)的安全風控,則更為重要。

業(yè)務投放只是錢的事情,而用戶隱私,是法律的事情。

很多掌握大量用戶信息的互聯(lián)網(wǎng)公司,其風險意識之淡薄,難以置信。

以前做進攻測試的時候,發(fā)現(xiàn)國內(nèi)大批互聯(lián)網(wǎng)公司的數(shù)據(jù)庫沒有做到內(nèi)外網(wǎng)分離,甚至很多密碼都是默認的admin和guest,還有123456,若是碰上別有用心且不懼法律的黑客,可以輕松把數(shù)據(jù)搞出來然后丟到黑市上打包賣掉。

是不是騷擾推銷電話特別多?是不是營銷短信越來越密集了?是不是各種奇怪的推送都來了?

他們從哪里獲得的數(shù)據(jù)呢?

就從各個風控意識淡薄的公司里獲取的。

天網(wǎng)年代的個人隱私,確實是很奢侈的事情。

唯一值得欣慰的是,在隱私暴露面前,我們是人人平等的,不會因為你的金錢地位高低而有所變化。

這可能是除了死亡之外,為數(shù)不多人人平等的事情。

但我一點都不開心。

你們呢?

文:半佛仙人@半佛仙人(banfoSB)

首席增長官CGO薦讀小紅書推廣

更多精彩,關注:增長黑客(GrowthHK.cn)

增長黑客(Growth Hacker)是依靠技術和數(shù)據(jù)來達成各種營銷目標的新型團隊角色。從單線思維者時常忽略的角度和高度,梳理整合產(chǎn)品發(fā)展的因素,實現(xiàn)低成本甚至零成本帶來的有效增長…

本文經(jīng)授權發(fā)布,不代表增長黑客立場,如若轉(zhuǎn)載,請注明出處:http://gptmaths.com/cgo/model/19491.html

(0)
打賞 微信掃一掃 微信掃一掃 支付寶掃一掃 支付寶掃一掃
上一篇 2019-04-05 22:01
下一篇 2019-04-05 22:34

增長黑客Growthhk.cn薦讀更多>>

發(fā)表回復

登錄后才能評論