1. 某某咖啡,号称打倒星巴克,教育中国人的咖啡习惯,不差钱,估值数十亿美金,即将尝试美股IPO,一年亏损几个亿都不当回事的公司,在今天把自己的一堆咖啡机做了抵押,换取了4500万人民币抵押贷款,这很喜感。 当然他们对外解释是轻资产运营,设备利用最大化,这话是不是真的,每个人都有自己不同的见解。 但作为2018年烧钱最猛,同样也是增长最猛的品牌之一,营销方面我不好说,只能说他们的风控做的不够到位,当然也可能是为了漂亮的数据搞投资,默许风控滚开。 某某咖啡曾有一个非常经典的用户拉新活动,就是只要你邀请人别人注册并下单,你就可以获得一张免费喝咖啡的券,由于新注册用户有默认的免费券,所以等于是存在无成本套咖啡券的漏洞。 A邀请B注册并下单。 A获得一张免费券,B免费下单。 所以,只要有批量注册的手机号,就可以大量开始刷咖啡券了,只需要不停地用新手机号注册,然后下单,然后就有券,操作一次可以免费喝至少2杯咖啡,美滋滋。 而市场上买一次手机号带验证码注册的成本,是2毛到1元。 如果你能批量使用2毛一次的成本,换取2杯免费咖啡,那么你完全可以第一杯自己喝,第二杯以极低的价格卖给身边的同事,这种便宜很少有人会拒绝。 而且这个已经产业化了,标准灰产。 在某些二手交易平台上,直接搜索,就有各种代下单。 除了免费咖啡(他们被薅实在太狠了)之外,更多的是一些打折券,尤其是有一段时间,XX疯狂在发3折券和2.8折券,这些券的领取方式更简单,只要在H5页面输入手机号,就可以领取。 所以在刷号注册拿免费券之后,那些不能再享受新人券的账号,可以再拿来领一些折扣券,同样可以获取套利。 保守估算,其相关营销投入的接近一半,是被刷掉了,没有获取到真实有效的用户,这可是亿级别的损失。 并且这种手动机器注册,并且用完首单资格再领券的玩法,适合一切有分享领券功能的电商和外卖平台。 当然,无限制的下单也不可能,公司也不是傻子,总有一些规则可以拦截掉异常订单,只不过他们的风控一肚子本领无从下手而已。 你拦截了订单,就是拦截了GMV,你拦截了GMV,就是拦截了业务的KPI,你拦截了业务的KPI,就拦截了公司融资,对于很多toSBVC的公司而言,这比杀了他们还难受。 所以很吊诡的是,风控仇视羊毛党,营销仇视风控,同时营销又跪舔羊毛党。 毕竟KPI和年终奖是自己的,亏损是公司的,岂不美哉?
- 说到最近风投正劲的几家O2O公司,就是各类XX买菜,XXX鲜,XX社区之流。 他们一直在烧钱,且优惠多多风控不多。 感谢他们的努力,很多羊毛党已经很久没有花钱买菜了,厉害一点的羊毛投资,各种拉新账户的余额加起来有6位数甚至7位数,基本只要公司不倒,买东西就不用花钱。 车厘子大闸蟹精酿啤酒进口牛排海鲜之类的消费升级,早就给他们吃腻了。 先说XX买菜,他们最近烧钱最厉害。 其拉新活动是,新人注册有2张大额券,满XX元,减XX元,里面的东西最划算的是牛奶,扣除优惠券金额后,存在很大的套利空间。 但是这家公司多少还有点风控意识的,其拉新套利单纯使用接码平台注册是没有意义的,因为会校验支付账户信息以及下单频次,同一个支付账户多次使用不同账号,或者同一台设备多次使用不同账号等等,会被直接拦截。 所以很多专业刷子,会使用专业设备和专业账户来绕过规则,他们的风控漏洞对于专业选手而言非常明显,只需要一点简单的伪装,这些基于用户信息的核身规则都会失效。 再说XXX鲜,在圈内被称为羊毛X鲜,推广极其豪爽,漏洞多不胜数。 首先是拉新,现在的拉新是只有推荐下单后各享受大额满减的,而早期的时候,还有满多少人送多少余额的活动。 利用某些平台,及广义地址(就是收货地址只留小区,不留具体门牌号,靠配送员电话口述),连伪装支付账户都不需要(他们没有做校验),就可以开刷,并且上面的某些硬通货很便宜,特别适合套利,别忘了,还有送余额的活动,这些余额就是纯赚的,可以买一切高折现率的产品,非常划算。 其风控之简陋,简直是羊毛党的提款机。 不仅没有收货人一致性校验,没有支付账号限制,没有LBS规则,没有用户血缘关联,没有实时热点监控,没有虚拟号段封锁,连IP墙和设备号限制都没有,可以一台手机,一个支付账户外加一个接码平台,就能无尽的刷。 可能是被刷太厉害了,导致现在不搞余额活动了,只给大额券,盈利少了不少,不过首单大额券,依然还是有吸引力。 所以你们看,如果风控不到位,这些公司的营销费用,全都白给。 随着黑产技术的进步,风控不好的公司,已经没法靠烧钱赢市场了。
-
- 连说了2个套取新人优惠以及券的案例,我们讲点别的。 大家都知道苹果手机吧?这是一种硬通货,手机市场唯一的硬通货。 而很多新兴的社交电商平台,都是拿苹果手机,当做引流商品的。 什么叫引流商品?就是这个产品本身赔钱,但是吸引你来我店里消费,成为我的会员,你可能不止买这一个产品,我可以在别的商品上赚到钱。 就像很多饭店的特价菜一样,靠特价菜吸引你进店消费。 他们的苹果手机,出售价格往往是低于进货价的,而且补贴力度不小,起码我就知道某平台的XSMax,经常性低于市价300到500,这就存在了套利空间。 要知道黄牛正常倒卖苹果手机,一台往往也就100到200的利润,而如果能批量搞到这些引流款的手机,其利润非常可观。 所以各路黄牛都在试图获取更多特价菜。 由于这里面的利润很吸引人,这些平台对于引流款的看管都是很严的,普通的进攻手段是没有办法绕过风控规则的。 但是聪明的黄牛,都是用肉鸡操作。 什么是肉鸡? 就是这人不是虚拟的机器,而是真正的人,是一个活生生的用户。 大家都知道人肉刷单吧,就是平时该买啥买啥,偶尔有黄牛联系的时候,就帮下单刷一下商品,搜索,点击,聊天,砍价,支付,一条龙,就是活生生的人,只不过10单正常交易里有2到3单刷单而已。 目前苹果代下单的肉鸡价格是50元一单,很多人业余做肉鸡兼职,给自己加加鸡腿。 据我了解到的现状是,很多平台的引流款苹果手机,起码70%是被肉鸡刷走了,肉鸡刷走后手机流到了市场上,所以我们才总能买到各种低于市价的便宜正品手机,大家各取所需,也很好。
- 5. 来个高阶点的,锁价套利。 由于国内的电子市场非常发达,而苹果手机的需求又非常旺盛,所以往往苹果手机的价格是一天2变,可能一台手机早上是7000元,中午是7100元,下午是6900元,第二天是6850元。 大宗商品,价格频繁波动,某种程度上,苹果手机可以算作一种期货。 那么既然是期货,就存在空手套白狼的纯套利空间。
一般来说,电商平台是不太会给你这个空间的,你买便宜是你运气好,你买贵了就是买贵了,不管你是黄牛还是肉鸡还是正常客户,不管价格是便宜还是贵,你都应该是在某个固定时间以某个固定价格来买到这个商品。 但是尽管电商规则是这么设置的,但是可以从支付环节入手锁定价格。 例如某些电商平台曾经出现过漏洞,就是如果付款时,价格为A,选择某付款通道,选择支付方式为借记卡,卡中余额不足,就会支付失败,但是这笔支付订单可以保留好几天,在这个过程中可以随时以A价格完成支付,进入发货。 所以很多黄牛就会下单,然后故意支付失败,等着看平台调价,如果涨价了,价格高于A不少,他们就付A的钱拿货,发货地直接填付给他们钱的买家,空手套白狼;如果价格低于A,就取消订单,不要了。
再举个利用余额不足锁定价格的案例。 某著名连锁披萨餐厅,出现过一种漏洞,就是购买某个数百元的套餐,在付款时如果卡种余额是特定的XX元,再配合某个批次是优惠券,则可以触发几十块买到几百块的套餐,一家人只花几十块就成吃到不想再吃,很有趣。 同理,某连锁商超的电子会员系统,同样出现了支付余额的漏洞,可以低价搞到大额优惠券和卡,这种机会往往稍纵即逝。 国内有专门的黑产团队,每天都在利用支付失败这一条件来试探漏洞,因为支付是独立的体系,电商是电商的体系,只要是不同体系的交互,就一定存在套利空间。 这是不可避免的。
6. 换一种玩法。 大家知道套现吧? 就是把信用卡的额度,变成现金,这笔现金可以拿去投资,周转。 如果直接用信用卡取现的话,是要收取高昂的提现费用,并且被取出的额度按日计息,无法享受到信用卡的免息期。 所以如何各种渠道,把信用卡的额度变为无利息的现金,是一门生意。 当前最流行的就是各种二维码和各种Pos机,本质原理就是虚构一款商品,用信用卡刷这款商品,在银行眼中是正常消费,额度享受免息,但实际情况是刷卡人获得了现金。 这么操作,也是有成本的,成本在0.38%到1.2%之间。 所以如果有更低成本的套现渠道,就可以无风险套利。 某些疏于做支付风控的互联网公司,就有这样的漏洞。 大家还记得空空狐么,一家做二手交易,巅峰时到达过市场份额第三(第一第二是闲鱼和58),后来创始人和投资人决裂,疯狂撕逼。 很多人当时评价老板不成熟,投资人不靠谱,行业门槛高云云,实际都搞错了。 空空狐是被套现套死的。 当时为了增加市场占有,空空狐想出了这样一个营销方案,就是用信用卡支付,空空狐补贴手续费,他们没有意识到支付风险,也没有专业风控对交易补贴做风险兜底策略。 这种操作一放开,这家公司就已经死了。 由于空空狐是二手交易平台,所以买卖双方都可以自由上架货物并交易,在这个过程中还补贴信用卡手续费,那就等于是可以自由套现。 空空狐市场份额第三的GMV,就是这么来的,全都是虚假交易和套现,他们老板还开心的认为自己要成了,等到他们意识过来情况不对的时候,已经无钱可烧了。 空空狐成为了历史的尘埃。 因为套现存在大量的无风险获利,所以专门会有一支黑产团队做套现生意,他们会用爬虫爬取各家公司的营销政策,然后找出那些补贴交易的漏洞,再把资金放到上面去滚动获利,收益丰厚。 信用卡,某呗,某白条,某某付,只要是可以用于分期的产品,都可以用来做套现交易,规模最大的还是信用卡。 银行信用卡规模发卡规模和交易金额的不断攀升,表象是人民消费水平提高,而表象后面的本质,这些交易里,究竟有多少是被套走了呢?里面损失了多少利息收益和资金成本呢? 答案是百亿级别。
7. 共享单车,很多人都知道吧? 共享单车的押金,很多人都咬牙切齿吧? 如果我告诉你,共享单车的押金,也存在被黑产搞走的风险,好几家倒掉的共享单车公司,死因是押金被黑,你是不是不知道该说什么? 押金可以存,可以取,并且基本都是走支付机构接口的,很多公司的单车押金都是作为一个池子存在一起的。 当你提取押金的时候,会选择一个支付机构账号收款,资金池会和支付账号发生一次交互,这里面需要做相关的传输风控,需要定位打款的账号,定位信息,定位token,定位身份,做到多信息符合逻辑勾稽,才能打款。 而有些风控不严(共享单车没啥风控)的公司,在固定的发版日,会出现短时间的提现异常。 这个异常不是说不给你钱,而是可以利用机器伪装,伪装成不同的支付账号,多收钱。 某些共享单车,收了199押金,最后提现环节被人黑,掏了几十个199出去。 当然,这种极其内部的漏洞(短短十几分钟的系统真空),外界很难直接探知,是谁泄露了发版时间?是谁泄露了调用规则? 再联想一下最近某快完蛋的单车公司严查腐败,你猜猜内外勾结赚了多少? 当然说到内外勾结,最骚的还是某互金公司。 其某总监把公司内部的各种规则漏洞透露给某个媒体,然后对方写了一篇深度黑稿,各个黑到精髓上,然后公司大惊失色,大力投资在风控和PR上,作为控制投放资源和采购的总监,捞了好大一笔。 这种内鬼,最为致命,很多坚固的堡垒,都是从内部被攻破的。
8. 你知道看新闻,看视频,下载APP可以领奖金的那些应用么? 就是某某条这种,阅读多久多久,拉新多少多少,直接给现金。 你知道挂机软件吗? 就是游戏挂机常见的那种软件。 这种软件的原理就是通过脚本控制手机操作,然后模拟人的行为,解放人的双手。 那么问题来了,既然可以挂游戏,为什么不能挂一些送钱的APP呢?二手网站上有很多人公开售卖这种工具。 很多被低价回收的二手安卓手机,没有再次售卖的价值,被拿去干什么了呢? 嘿嘿嘿。 既然旧手机用不到了,何不挂上这些,去薅点钱呢? 虽然赚的不多,但收益稳定,操作可控,多好的事情。 你猜猜这些APP的巨额流量背后,有多少是僵尸呢? 又或者说,这些僵尸,是不是公司自己的培育的呢?这样连补贴都不用给,但可以计入营销费用,你想,这些差价哪去了?
9. 洋洋洒洒讲了这么多案例,相信各位读者已经感受到了风险控制这个岗位的重要性,风控做不好,运营和市场投放永远是拿钱打水漂。 而比起和羊毛党的战斗,风控最大的问题永远来自背后,来自虎视眈眈的业务方和想着拿内部数据获利的腐败团伙,这是我多年战斗下来最深的感触。 除了业务成本,用户数据的安全风控,则更为重要。 业务投放只是钱的事情,而用户隐私,是法律的事情。 很多掌握大量用户信息的互联网公司,其风险意识之淡薄,难以置信。 以前做进攻测试的时候,发现国内大批互联网公司的数据库没有做到内外网分离,甚至很多密码都是默认的admin和guest,还有123456,若是碰上别有用心且不惧法律的黑客,可以轻松把数据搞出来然后丢到黑市上打包卖掉。 是不是骚扰推销电话特别多?是不是营销短信越来越密集了?是不是各种奇怪的推送都来了? 他们从哪里获得的数据呢? 就从各个风控意识淡薄的公司里获取的。 天网年代的个人隐私,确实是很奢侈的事情。 唯一值得欣慰的是,在隐私暴露面前,我们是人人平等的,不会因为你的金钱地位高低而有所变化。 这可能是除了死亡之外,为数不多人人平等的事情。 但我一点都不开心。 你们呢?
B站出事了,有人把B站后端的源代码上传到了GitHUB,大量程序员对这些代码进行了下载并解析。
这件事的起因有传言是被裁程序员的报复,这种传言无法证实也无法证伪,所以不需要相信。
我们今天要谈的不是B站,虽然B站的代码透露出很多很有趣的策略和漏洞,但这种明摆着又要吃函的事情,我还是不做了。
今天要谈的,是其他程序员对于公司命门的掌控,以及公司对于权限管理的疏于管控。
在很多人眼中,互联网公司的程序员是存在感很弱的群体,但他们掌握的其实是公司的命门,很多时候一次不经意的更新,一个简单的BUG,就足以导致公司万劫不复。
尤其非常多的互联网公司,其数据仓库的管理是非常混乱的。
非常多业务都依赖几张特定的数据表,并且缺乏PlanB方案,整个公司的业务维系于几张表,这是非常大的风险漏洞。
更可怕的是,很多公司在做数仓开发时,用跳转机中,是公用账号,且定期清日志缓存,也就是很多大数据开发,用的是同一套账号密码,用这些账号密码做的事情,会被定期清除。
这就代表着,某些程序员,只需要在关键的业务节点,例如某次大促,简单的利用公用账号登录跳板机,做一个小小的定时更新程序,就可以对公司的业务造成重大的打击。
收买这样一个程序员利用公司本身的风控不完善做局,这样的价格虽高,但对竞争对手而言,是非常划算的,尤其是很干净。
某电商类知名公司,因为某次数据事故,导致其整体财务数据和业务数据完全对不上,大量历史数据丢失,资方质疑其数据造假,融资断流,突然从业内掉队,从此一蹶不振。
所以看文章的各位,是不是在注重业务之余,也要注重一些数仓的权限管控与备份呢?是不是需要内部排查一下此类问题呢?
我知道看我文章的很多是各大公司的风控安全,诚恳建议各位排查一下此类问题,权限管理和操作日志是那种看起来没有产出,但关键时刻可能会要人命的东西,要谨慎。
可惜了那家本来很有前途的公司,原本是有机会在中国互联网界闯出更大的天地。
3
很多互联网公司在做营销拉新的时候,很喜欢做二维码推广,扫码即可XXX,扫码即可获得现金等等。
只要别人扫了你分享的二维码并作出简单的操作,你和扫码人都可以获得奖励。
这种活动设计的初衷是为了方便传播,尤其是方便在微信传播。
但很多公司在扫码得奖的风控设计上不够完善,导致里面存在很多漏洞,大量羊毛党因此获利。
既然B扫A的码,AB都可以获得奖励,那么只要A的码可以创造一个足够多的场景,被足够多的人扫到,那么A就可以获得大量奖励。
方法1:使用机器批量操作,黑产工作室利用大量设备,互相分享活动二维码,互相扫码(主要是点击识别),大量套取利润。
很多没有防范意识的互联网公司,尤其是O2O公司,在获客阶段,会被大量扫走预算,某知名生鲜类互联网公司,2018年,因此造成的套利损失在千万级别,这些损失的发生只用了不到3天时间。
方法2:很多公司后来聪明了,开始使用技术开始反设备批量互扫了,例如给每个设备制作唯一的设备ID(这个难度其实不低,尤其是H5场景无法直接获取设备号),但是黑产们还有其他方法,例如社会工程学。
利用人为塑造的场景,来诱导真人扫码。
我想之前大家都看到过一个新闻吧,某人使用扫码送大白菜的方式,成功诱导大批大爷大妈来扫码领白菜,最终获利颇丰,还成了一个段子。
而最经典的一战,发生在单车大战时,那个时候,是有团队专门在共享单车上贴营销二维码的,用户在不知情的情况下,以为是开锁,结果扫了营销二维码,帮黑产做了羊毛。
而最有趣的事情是,很多这种羊毛,其实是自己人下手的,不然谁能一夜间贴满全城的单车呢?自己人黑自己公司的补贴,这种事情太多了。
而我们退不回的押金里,有多少是被这样薅掉了呢?
4
讲完二维码营销分享,再讲手机号拉新营销分享的一些玩法。
所谓手机号拉新,就是我给你发送一个微信卡片,你点进去,可以输入手机号,然后获得一张券,存入这个手机号的账户中。
我想大家对于这个已经非常熟悉了,各种外卖APP的红包分享,都是这么玩的,点进去,输入手机号,然后领券,尤其是某咖啡,更是红包不断。
而当前存在一种羊毛党,养了大量的手机号,然后登陆微信,潜伏在各个外卖红包群中,只要有人分享,就会点进去抢券,然后把最低价的券,拿出来下单,去买一些硬通货(牛奶等),然后套利。
如果产品本身不能买硬通货,那么也不重要,可以做成代下单,在一些二手平台上搜XX券,XX代下单,可以发现有大量人在做这个生意,就是你付一小笔钱给他,给他地址,他帮你下单,货物送到你指定的位置,简单方便。
无数互联网公司烧出的钱,补偿的券,都没有被补贴到真正的用户,因为对于代下单的聚类分析缺失,对于用户关系网的不重视,对于收货地址的放松,导致砸了大钱也没赚到用户。
那些已经认识到这一点的公司,就把券设置的非常抠门,门槛高,金额低,直接从源头上就堵住这件事。
而有些只要数据的公司,则反而加大力度在送,卖1块赔2块也要送,恨不得羊毛党住在家里。
当前某著名连锁外送互联网公司,至少有四分之一的订单来自代下单,风控形同虚设。
当然这家公司也不傻,从一开始就是冲着圈钱上市来的,玩的就是一个披着互联网外衣的资金盘。
5
刷券代下单,只是低端玩法,最近流行起一种新的玩法,也是基于手机号拉新营销的。
很多互联网公司在做推广的时候,是允许你邀请朋友的,只要输入朋友的手机号,你们就可以建立一个绑定关系,如果这位朋友后续与这个互联网公司产生了一定的业务交集,那么你作为他的邀请人,是可以获得很多奖励的。
就是所谓邀请码和邀请手机号。
而这里面,存在了一个很有趣的玩法,就是暴力灌号,占领号段绑定关系。
什么叫灌号,就是假如我是A,我要输入BCD的手机号与他们建立绑定关系,BCD下单了,我就有奖励。
那么我可以直接穷举号码,例如直接从13000000000一直到19999999999,全都往邀请链接里导入,等于是只要有用户注册使用了他们,不管与我有没有关系,我们都已经建立了绑定关系,我可以躺着收钱,尽管用户本身都不知道我的存在。
这种攻击,对于大厂是无效的,但是对于很多初创企业尤其是急着要数据的企业,是非常致命的。
针对大厂的类似推广,他们会控制号码的数量与规则,尽量一个号只邀请几十个人,并且号段不会出现重复性,频率也不会做到很高频,具体的做法我就不公开了,但是每年大厂们在拉新上面的这种无感知损失,是无法估量的。
当然可能运营们也不是很重视,毕竟某种意义上这就是拉新成果,无效补贴于运营何干?
况且再仔细想一想,这种规则的泄露,是谁干的?
谁KPI完不成会心慌呢?
6
关于灌号,其实还有另一种精准灌号的玩法。
就是灌号者,确实是知道这个手机号的主人的某些社会属性。
例如从一些无良4S店搞出来的车主手机号,从一些无良物业搞出来的业主手机号,从一些学校搞出来的家长手机号,从一些金融机构搞出来的理财客户手机号,从某些防范不严的网站中脱裤出来的用户手机号。
然后拿着这些手机号,做定向灌号,成功率极高,因为这些人本就是互联网公司重金去地推,去广告覆盖,去试图引诱的群体。
例如拿学生家长的手机号去灌教育类APP,拿车主手机号去灌车辆交易类APP,拿业主手机号,去灌装修类APP,这种方法可以说是风险最低的套利方式之一了,并且收益较好。
黑市上有专门这样的交易渠道,只需要不多的一笔钱,就可以拿到大量具有精准属性标签的用户,很多短信供应商也参与其中,利用自己发短信的优势,偷偷倒卖数据,为了获取更多数据,他们恨不得免费给垂直行业的大公司倒贴钱。
甚至我知道的很多此类互联网公司的运营,专门会和一些黑产串通,告知他们投放策略和方式,黑产批量灌号进行套利,最后大家分利润,反正数据也好看,公司用户也有增长,这部分无效补贴,不套白不套。
我想很多互联网公司,对于自己的营销费用,应该重新审视一下了,尤其是在寒冬的时节。
冬天不好过,对么。
7
再说个不是很大,但与我们多数人都有关的小漏洞。
抢票软件都知道吧。。
就是很多时候我们需要买到一些票(例如火车),但是票的数量有限,买的人太多,只能去用一些三方抢票软件。
而这些软件,总是各种变着花的收钱,一张票要多收50到100元,甚至更多,堪称新时代互联网黄牛。
既然有互联网黄牛,那必然就有坑黄牛的黄牛。
这些抢票软件的核心原理是,利用机器调用票务网站的接口,极快的速度刷新和购买,往往速度可以快到1秒钟几千次,正常人根本抢不过他们。
12306本身是严禁第三方用这种方法破坏公平的,所以不会提供完整的对外接口出来,他们只能用各种技术手段来利用12306本身的对外合作接口(速成OTA),想尽办法来加快调用。
而这就产生了一个很有趣的漏洞。
如果黑产的手机上同时装有某某抢票软件和12306,且黑产的抢票软件的付款方式绑定的是借记卡,在发起抢票时,把借记卡余额转走或者借记卡本身就没钱,那么当抢票抢到票时,必然扣款失败。
此时,可以登录12306,付款,然后取消抢票。
有些抢票软件甚至都是抢到了才让付款,那更简单,连余额和支付失败都不用做,直接打开12306付款即可。
好几家著名公司旗下的抢票软件,都存在这个漏洞,但不敢去找消费者的麻烦。
因为抢票,加价抢票,本身都是模糊的灰色地带,虽有有苦难言。
很多电商网站上的代抢票服务,本质上就是在用这个方法空手套白狼,既白嫖了抢票软件公司,又套了消费者的钱。
美哉。
51节要到了,抢票大战又开始了,这个漏洞,又要被用起来了。
8
再讲一个经典的营销漏洞,与广告有关。
很多公司的推广,都是依赖广告的,APP里,网站上,大马路上,都是打广告的好地方。
而广告的结算方式有很多,最常见的是CPT,CPC,CPA和CPS。
CPT是指时间,按展示时间收费,广告展示长时间,收费XXX元,一般电梯广告都是CPT,部分网站的广告也是CPT。
CPC是指的点击收费,点一次,多少钱。
例如某些垃圾医院在某些网站上打广告,点一次,可能就是几块钱甚至几十块钱。
CPA是指注册收费,每个成功完成注册的用户,多少钱。
例如很多贷款超市,很多APP里浮动的页游,都是CPA。
而CPS,是指业务发生收费,发生一次业务,多少钱。
例如以前盛行的贷款超市,用户下款后,下款金额的一定比例给到贷款超市。
再例如外卖软件或打车软件推广,用户注册后完成一单,给推广方XXX元。
这些广告计价方式里面,就存在了很多漏洞。
点击结算(CPS)和注册结算(CPA),是被刷的重灾区。
CPC是最简单的,过去的CPC直接就是用机器暴力点击刷量,不管有多少钱,都可以被快速点光。
现在要麻烦一些,但也不是很麻烦,只需要一些微信群和QQ群,就可以完成大量真实用户点击,往往是以兼职任务的形式来完成的,点一次给XX元,甚至想加入这种兼职群,都要收费。
CPA相对CPC要多一个步骤,就是点击后注册,由于很多公司对于CPA的监控是比较弱的,所以CPA可以大规模注册,CPA的刷量更加严重,黑产手中都握有大量的真实资料和设备,很多资料都是网站被脱裤出来的信息,很多用户都是神不知鬼不觉就被拿来做了注册。
说到这里,你可能会问,黑产刷这个有什么意义啊?这又不来钱?刷出去的广告费也不给黑产啊?
这你就比较天真了。
首先是,有的黑产,是收了一些公司的钱,来专门点其竞争对手的广告的,如果我花50万,可以收买黑产点掉竞争对手1000万的广告费,为什么不呢?
当年高利贷大战中,很多高利贷公司都与这些黑产有关,专门去给竞争对手的投放添堵。
其次是,很多黑产,其实就是广告公司的自己人,客户充值要消耗掉,不然新的充值不会投入,适当在正常的点击注册中,添加一点点料,可以帮助客户花钱花的更快,自然自己也能多赚钱。
至于作为甲方要如何监控渠道有效性和投放策略,那就是另一个长篇大论了。
最后,很多黑产,和甲方的运营是一伙的,甲方运营会把投放策略,结算方式,都给到黑产,黑产会帮助甲方运营快速消耗资金,然后甲方发起进一步充值,每次充值,广告公司都是有返点给到甲方投放负责人的,这是非常常见的一种勾结。
很多公司的市场负责人和投放负责人,本身工资不高,但是生活非常奢华浮夸,并且都是一年一跳槽,他们哪里来的钱呢?
各位老板想一想,自己的公司有没有这种隐患呢?
不止是市场部门,我也知道很多创业公司的高管们也在通过这种手段来骗投资人的钱,实现自己的套现。
去年倒闭清算的某几家游戏公司,老板号称屡败屡战的连续创业者,但是自己的生活却是越来越好了,嘴上说着与版号有关,实际上就是吃光了广告投放的钱。
专业的广告投放与风控,是一门大学问。
9
本次文章又讲了7个案例,聪明一些的朋友肯定又从中悟出了一些有趣的东西,恭喜。
相信各位读者已经感受到了风险控制这个岗位的重要性,风控做不好,运营和市场投放永远是拿钱打水漂。
而且连个响都没有。
只可惜绝大多数公司的风控,空有一身本身,但无法发挥。
因为很多时候,风控都是一个做减法的部门,而大多数公司的核心诉求,是加法加法加加法,只有增长,只有规模,才能让公司拿到下一轮融资,活下去。
而做减法的风控,自然就是业务老大们眼中的仇人。
而在很多运营眼中,风控更是多余且碍眼,因为风控往往会砍掉运营的一部分KPI,挡掉一些暗中交易,这些都是钱。
断人财路,必遭仇视,而且很多业务方都有一个不好的观点,那就是做成了是自己的,做赔了是公司的,公司赔不赔钱不重要,只要自己的KPI和年终奖到手,就好了。
所以作为一名风控,很多时候比起羊毛党,更害怕的是来自背后的利刃与利益勾结。
想起曾经一个风控的前辈,在某独角兽尚未长出角的年代,在一次拉新活动阻止了上千万的资金流失,纯靠手写的专家规则,逆天一样的发挥。
但他正在兴奋的时候被运营老大一纸报告捅到了CEO那边,说是耽误公司市场推进,不然GMV可以翻倍。
有意思的是,老板居然认可了这个观点,并且最终疏远了这个不懂事的风控,而在这个风控离职之后,大面积数据造假,内部腐败横行。
然后有意思的是,这家公司最后成为了一家独角兽公司并且被并入了某一线互联网公司,老板套现离场,直到并购内部清算时,该公司才发现自己吃了个大亏当了冤大头,然后血洗独角兽。
身为一个风控,从来都不会害怕羊毛党,最怕的是来自交付背后的刀子和受伤后撕咬自己伤口的公司贪狼们。
01
诺亚旗下的理财产品出事了,这不是第一次,但这次是最大的,有34亿,涉及承兴国际对京东和苏宁的应收账款抵押造假。 作为当前国内规模最大的理财公司之一,千亿资产的主理人,诺亚多年来在业内一直以激进的项目和强销售驱动著称,如果你是这座城市最富有的50人之一,那么你要么已经是诺亚的客户,要么正在成为诺亚客户的路上。 诺亚的销售人员总有办法让你成为他们的客户,他们可以蹲在富豪门口几个月,只为10分钟向你介绍的机会,然后彻底打动你。 诺亚的销售能力在业内被公认为不可思议,很多机构难以卖出去的债权和劣后资产,在诺亚这边都不是问题。 这与诺亚部分高管出身保险行业(尤其是寿险)有关,保险是最强营销驱动的行业。 而诺亚掌门汪静波,我对她最深的印象是,她总鼓励别人说,怕什么,反正又不会死。 她自己也是如此,确实是个狠人。 她的确有这个资格,纵观诺亚历史上的风波,从2010年的悦榕基金事件,再到2014年景泰基金事件,2次大雷均被幸运的化解,一次提前撤退,一次为及时发现资金挪用,追回大部分损失。 但这次不太一样。 诺亚报警是在6月20日,其实诺亚发现问题是更早,在6月19日,诺亚已经要求承兴罗静追加了大量的股权质押,然后才翻脸报警。 只可惜现在整个香港承兴,博信股份,新加坡BAC.SES的股价都已经一泻千里,追加的股权并不能挽回损失。 更麻烦的是,即使走破产清算,诺亚也不是第一优先级清算的,博信股份的相关股权已经被苏州名城更早一步申请了冻结,诺亚只能算是轮候冻结,要等苏州名城的事情解决后,才有诺亚的事情。 虽然汪静波依然自信满满地表示可以处理好这次风波,也认为此次事件也是诺亚从非标类固收产品转型的起点,但现实情况并非如此元气满满。 这一关没有那么好过。
02
纵观承兴的案子,其实最吊诡的地方在于造假的京东苏宁的应收账款,应收账款本身的造假是很容易被验证出来的。 承兴确实是京东和苏宁的供应商之一,也确实有业务往来,造假的是数字金额,是业务真实性,而非合作关系本身。 之前我已经撰文抨击了诺亚的风控在做尽调的过程中没有把IPC做到极致,对于很多核心业务的验证过于粗浅,没有要求京东苏宁出具相关的证明。 但是这个案件的关键其实在于,诺亚为什么没有做这个要求? 京东苏宁作为强势方是否配合不说,但提出诉求是完全可以的。 尤其是京东敢直接回应说诺亚没有对业务真实性做校验,可以看到是完全没有。 到底是什么让诺亚放弃了直接和京东苏宁对证核验? 仔细看承兴案子,可以发现一个细节。 最终这个合同是在相关公司的会议室里,在相关公司员工的见证下签的。 而苏宁的案子更是直接在苏宁北京的办公室和一位所谓的管理者签的,苏宁表示没有这个员工。 也就是说,在京东和苏宁办公室里出现的,其实不是京东苏宁的人,而诺亚以为是他们的人,所以默认了他们认可这件事情,没有进一步要求双录(录音录像)和身份核验,主要是当场面子实在抹不开。 诺亚犯的愚蠢错误不提了,承兴为了骗钱找来演员本身也不是什么难题,那么真正严肃的问题来了。 为什么京东和苏宁的内部办公室甚至是关键管理者的办公室,可以被外人拿来签合同? 他们是怎么进入互联网公司办公区的,外来访客即使进入办公区,也往往也有本司员工引领才能到达固定的会议室。 为什么办公者们的拥有者们都刚刚好不在办公室?谁泄露了他们的行程?抓住他们不在时候打了时间差? 在这个过程中,京东苏宁内部,是否有人和承兴乃至诺亚的人勾结? 这个人如果存在,那么买通他需要什么? 如果正常上班没有办法实现财务自由的话,那么利用自己手中有限的权力,在模糊地带进行一些可有可无的操作,例如引人入会议室,例如不经意泄露高管行踪,例如提供一到两张公章的照片用以造假,例如审核过程中适度放水,可以例如的太多了。 谁在签字后离职了?前台监控的那一天有没有拍下是谁?那人是不是知道录像的保留时间特意计算过? 34亿大炮一响,有多少人黄金万两? 又有多少人夜不能寐? 我们在屋里发现一只蟑螂,背后代表屋里起码有几百只蟑螂存在。 诺亚之后,又有多少大炮已经装填完毕?
03
内鬼内外勾结已成当代公司的心腹大患,互联网公司也没有什么不同,网络并没有让公司更透明。 只要利益勾结带来的收益高于丢掉工作的损失,Why Not? 大家都这么聪明,只要算得清自己的糊涂账公司可能算不清,你还在等什么呢? 亏损是公司的,钱是自己的,来呀,造作呀。 前些时间的某行代销的某P2P炸雷,投资者维权,很多人后台问我到底是怎么回事? 其实不怎么复杂,也没啥黑幕,就很简单一件事,确实是和银行没关系(真实的合作2017年底合同就到期了,没有续签),但是银行里的某些人利用了自己手中的一些模糊的力量,造出了和银行很有关系的假象。 所谓的合作,无非是使用了某个子公司的外包开发,这种东西其实谁都能上,然后获得了一个若有若无的背书,注意这个和法律无关,从法律上确实是无关的,但是对于很多外行就很唬人。 然后就是布置任务,一线员工在不知情的情况下推销。 内外勾结,虚假宣传,暗示兜底,利用银行渠道推销,这种事情银行内部发生过很多,尤其是P2P疯狂的那几年,各种飞单已经到了疯狂的地步。 当年浙江某银行连续飞单案,进去了6个人,其中有我同学,把客户忽悠去高风险P2P,拿10%的提成,最后P2P跑路,他进去了,现在在里面除了满头绿发一无所有。 我不认为他是无辜的,10%的抽佣一定是带血的,他不会不明白。 所有忽悠客户让其以为是银行产品的,都活该。 至于银行推广产品本身,不代表银行做背书,因为银行本身就有一块业务是做理财代售的,这块业务很赚钱,而且不同于利差,这是纯赚的钱,旱涝保收,各家银行都在推。 很多时候你在银行买到的产品,不代表这是银行自己发行的,这个逻辑其实多数人都没有理解,尤其是对于金融认知比较差的。 这里也需要各位自己弄清楚,也跟家里的家人们搞清楚。 你在银行买到的产品,如果购买协议上不是只有你和银行2方,多出了第三方,那么你至少要清楚,这个产品不代表银行。 不是说你在银行买的东西就是银行的,也不是说银行卖三方不合理,而是你无法分辨这款到底是不是飞单。 很多营销业绩导向的银行,销售真的很野,夹杂私货的内鬼也很多。 请一定小心。
04
我们再来谈谈互联网行业的内外勾结,这里面有很多有趣的东西。 我再次重申,互联网公司并没有比传统公司更透明,反而是由于发展野蛮,且多数都是在烧投资人的钱,内外勾结贪腐的情况比起成熟的传统行业更加严重。 我做风控,内部贪腐也是风控的一部分,这么多年被我抓出来交给廉政和法务送进去的人有几十人,他们很多人直到被抓时,才意识到自己做的事情有问题。 当然更多人是觉得自己不会被抓,侥幸心理每一个人都有。 采购,是互联网公司贪腐的重灾区,也是权利模糊化导致的套利空间。 专业采购部一般都是要求横向比价并且多人多价的,并且采购们多多少少都知道贪腐被抓的后果,但是很多业务部门和职能部门的人,手里也有采购权限,这种大杀器被外行拿到,他们一动起贪念,就会很麻烦。 尤其是业务和职能部门本身就负有一些业务属性,他们中的聪明人完全可以利用自己职务属性的便利,来合法的做一些对自己有利的事情。 下面给大家展示一些生动的小案例,里面有一些是被我抓到过的。
05
一家稍具规模的互联网公司,需要用猎头,那么,用哪家猎头公司? 有的公司走集采,但更多公司都是掌握在HR手里; 一个稍微有点水平的人才,往往简历一放出来,就有无数的猎头跟进,这些猎头都是归属于不同的公司,而且一个人才是不介意多个猎头都帮他推荐的,因为这符合他的利益最大化。 那么问题来了,用哪家猎头来提供服务呢? 很多时候HR不需要向业务老板说哪家公司好,只需要说哪几家不好,就足够达成目的了。 业务老板也不想在人才上出纰漏,往往会默认相信HR。 HR告诉业务老板哪家猎头口碑不好,有什么错误?这是非常正常的操作,甚至可以说是敬业。 但这里面有没有私货,是无法求证的。 这属于一种合理伤害权,在合理合法合情合规的情况下,实现自己的目的。 我们再问下去,猎头成功猎到了候选人,一般猎头费用是人才年薪的20%到30%,大概是6位数的一笔钱。 这笔钱什么时候才能结算?这笔钱里面,有没有HR一份? 又甚至这笔钱是候选人年薪的20%到30%,那么HR在熟悉的猎头推人的Case里,会不会帮助候选人去争取最大乃至超出一个level的薪酬呢? 某些公司的HR是完全有这个权限的,为自己私密的猎头推进来的候选人大力给出高额薪酬,自己可以拿的更多。 HR帮自己的共利候选人拿到更多的薪酬,有很多非常正当的原因,例如这人很难得,很多公司都在抢着要,猎头也在帮他推别的公司; 例如这人业务很认可,可以快速发挥作用,不介意这些小钱; 这些原因有些是真的,但有些不是。 合理伤害权的奇妙之处就在于,即使你觉得不对劲,但对方做的完全符合职业思路,你不能硬说他们有问题。 再例如员工保险,员工体检,这种采购,市面上能提供服务的机构条件都差不多,那么核心竞争力在哪里? 核心竞争力就在于谁能给到更多的返利,以及谁能满足公司的一些特殊要求。 返利很简单,就是返钱嘛,有一些体检机构就比较缺德,和公司联合起来坑入职者。 例如某上市体检机构,在推进签约的时候,支持依据客户的要求,给入职者定制强制X光类项目,确保入职的候选人至少半年内不方便怀孕,帮公司利益最大化。 你看,不要以为内鬼与你无关,合理伤害权伤害的是所有人的权利。
06
再说说其他的采购。 虽然薪酬福利HR们的权利很大,在员工福利,服装定制,猎头,保险,乃至外卖合作上面都有很多油水,但这些油水其实传统企业也都有,我们讲一个互联网的。 高利贷大战中,谁是最后的胜者? 有人说是高利贷公司,有人说是做流量的,有人说是做数据的,有人说是催收公司,有人说是借钱不还的老赖。 其实都不是,真正的赢家是各家公司做数据采购的那些人。 高利贷的整个环节,需要使用大量的数据,有些与风控和业务有关,有些与短信通道有关,有些与身份验证有关。 这里面的油水,丰厚到你想想不到。 假使一款信用类评分产品,卖给A公司的价格是5毛,但实际结算是3毛,1毛给了数据采购保证用他们家;1毛给了风控部门,要求他们出评估报告的时候把这家吹上天。 按照一天放款1万人(小型公司)来算,一天就是多少的收益? 而这种产品的成本,在使用大量缓存数据的前提下,成本可以押到更低。 再比如说短信通道,公司要给用户发短信,大家都是直连供应商,服务都差不多,核心竞争力在哪里? 回扣就是核心竞争力。 很多高利贷公司的土老板们对此几乎没有防范意识,因为高利贷看起来足够赚钱,并且他们也不太懂弯弯道道,风控和采购一串通,安排的明明白白。 甚至很多高利贷公司的逾期失控,背后就是风控和采购串通,买回了大量除了回扣一无所有的所谓风控产品,这个行业就是黑吃黑,有的吃别人,有的吃自己。
07
抛开高利贷,互联网公司还有很多专属于自身的数据需求。 例如人脸识别。 人脸识别就是非常典型的价格歧视市场。 人脸识别主要分为2种,一种是网纹比对,用照片来对比公安的高清网纹照,这种相对贵一点,因为高清网纹是收费的。 还有一种是无源1:1,就是用2张照片来互相对比相似度,这种很便宜。 一般公司使用都是用户第一次发生业务的时候,调公安比对,确认用户信息与公安一致,然后存下第一次的照片。 在第二次的时候就用第一次的照片作为参照物来比对。 这里面的油水就非常多,公安比对和无源1:1的价格,超过某个阈值,可以说全都是吃回扣,很多大公司买来的人脸识别,价格高的很离谱,一大半都被吃掉了。 这个领域里面有责任心的采购和吃回扣的采购,买来的价格可以差一个数量级。 而且由于人脸识别并不是通过率越高越好(我拿一条狗都能过,只能说明做的差),所以评价标准其实是存在一定随机性的,这里面的可操作空间更大。 面对这么大的诱惑,这么简单的操作,能不能把持住,全看价值观。 我亲手送进去的几个小朋友们反正价值观是不怎么过关。 让我印象比较深的是一个95后,工资不高,平时一身潮牌,还开一辆保时捷,出手阔绰,张口闭口不把钱当一回事儿,换女朋友和玩儿一样,大家都以为丫是一富二代。 我入职后开始盘点风险,盘到他那边的时候就发现他负责的数据成本全都有问题,我给他一个自首机会,他一开始是非常嚣张地说要告我。 等我把证据放在他面前的时候,他直接在会议室里哭成了泪人,后面才发现其实家里很穷,他自己吃了这么多回扣,也没怎么攒下来,全都消费了,车还是大价钱租的。 最后他哭着问我说他知道错了,能不能放他一马,他还年轻,进去就完了。 对不起,这事儿我说了不算,法律说了算。 对你仁慈,就是对那些兢兢业业的同事残忍。
08
以上说的都是比较低端的内外勾结和贪腐。 没错,即使是造假骗诺亚的钱,造假利用银行渠道卖P2P,飞单卖私货,利用合理伤害权给自己牟利,串通外部供应商和内部评估一起吃利差,都只是一些低端的内外勾结。 稍微中端一点的,都是联合起来骗投资人的钱。 例如某知名生鲜O2O,每卖一单赔10%以上,但是对投资人的口径就是盈亏平衡甚至盈利,数据分析师直接改后台代码,数据随便做,吃的就是投资人只懂看数据,不懂数据背后的业务场景。 从投资人那里融了很多很多钱,不过最近是不太好过了。 但神奇的是,有些发现真相的投资人,不仅不敢揭露,还要帮他们填补漏洞,对外PR他们多么牛逼,只有这样才能忽悠到下一波投资人给自己接盘。 这样的资金盘式的创业公司,在现在有很多。 例如某个即将迎接BAT投资的新零售公司,GMV造假在40%,玩儿的就是一个面向被收购创业。 再说一个中端内外勾结的案例,某互联网知名并购案。 某个被收购的行业领头公司(我不会告诉你是什么行业的),在被收购前大半年,在收购方那里挖来了一个财务老板,从头到尾梳理了内部的整个数据架构,从财务到业务,内部加班了很久很久在造数据,为的就是打造满足收购方喜好的美丽数据和清爽架构,能够卖出更高的身价。 果不其然,收购方很吃这一套,卖出了非常可观的价格,老板潇洒套现离场,最后收购方接盘后发现被坑了,在公司内部进行了一批血洗,从上到下撸了个遍。 最后再说一个高端一些内外勾结,这个可能都不算是内外勾结,而是光明正大的资本游戏。 某规模巨大到天文数字的超级基金,旗下生产出了无数超级独角兽,记住,我用的是生产。 他们使用的方法说穿了很简单,他们投了A公司,B公司,C公司,往往金额巨大,巨大到直接让公司可以拿到碾压竞争对手的钱。 然后快速烧钱,烧出漂亮的数字。 于此同时,再让ABC公司之间互投,A投B,B投C,C投A,快速拉升估值,最后打折上市变现,哪怕是3折呢。 反正没上市的科技公司的估值全都是都是可以瞎搞的,只要有A公司愿意1个亿美金买B公司1%的股权,就代表着B公司估值有100亿美金。 通过这种手法,他近乎垄断了世界级科技企业的未来,快速培育韭菜,然后韭菜互相分配肥料,最后一把割。 这不是阴谋,这是利用资本力量实现的阳谋。 但本质从未变过。
09
有时候我也很理解那些贪腐和内外勾结的人,钱那么美丽,而且又那么触手可得。 人有了不该有的欲望很正常,我自己也经常面对诱惑,有的诱惑真的是非常诱人,我得承认真的很美。 而且似乎要钱已经成为了一种理所当然的事情,甚至是唯一的真理。 尤其是现在大家都这么笑贫不笑娼,没钱都把你当狗,只要成功了似乎做什么都是对的。 我认同钱很重要,但这种钱是唯一重要的东西的结果导向我并不认同。 喜欢钱没问题,谁不喜欢钱。 喜欢钱,用干干净净的方法,赚干干净净的钱,这才叫本事。 我鼓励大家挣钱,我鼓励大家贪财,我欣赏大家沉浸在钱堆里的财迷的样子,挣钱就是对平凡生活的反抗,我很认可这句话。 但不能走歪门邪道。 用歪门邪道挣那些无法安心花的钱的人,在我看来都是真正的弱者。 他们拿着公司的钱,享受着公司的待遇,却在出卖自己的权力,是为不忠。 他们赚来了钱花天酒地,却没有想过某天东窗事发,再也没有机会花钱,是为不智。 他们宁肯背负着法律和道德的风险去捞钱,也没有勇气正面去挑战这个世界的难,是为不勇。 不忠,不智,不勇,不足挂齿。 不义而富且贵,于我如浮云。 共勉。
1
现代商业竞争,是一座赤裸裸的血腥森林。 资源是有限的,投资人的钱是有限的,用户是有限的,用户的时间是有限的,用户的注意力也是有限的,什么都是有限的。 但资本的欲望是无限的。 有限与无限的分割线下,竞争常常没有底线。 所谓的友谊竞争互相成全一段佳话,全都是屁话。 和平是打出来的,体面只是势均力敌的迫不得已,但凡有机会,大家第一时间就会把道德丢到地上踩上一脚。 丛林法则从未变过。 两家相同领域的公司竞争,如果产品本身没有本质性差异,那么大家比的就是谁下限低,谁更不讲理。 需要承认的是,如果两个人打架,一个有底线,一个没底线,在实力差不多的情况下,大概率是没底线的公司获胜,因为他们求胜的心已经超越了道德的束缚 什么手段都可以,只要后果公司可以承受,就可以去做,哪怕背负骂名。 只要自己一家独大,完全可以动用大量的资源来洗白自己,人们的记忆只有3天,总有数不清的热点要追,谁有在乎谁呢? 这一切无关正义,只是生意。 今天讲的是风控中的进攻者的故事,在商业竞争的森林中,各大公司的风控们为了各自背后的利益在相互厮杀,赢者吃下一切。 现在,狩猎开始。
2
正常人理解的所谓的攻击竞争对手,无非是使用比对方更大的折扣,给客户更多的优惠,又或者在某些关键供应链上要求2选1,都不是什么秘密。 但真正有效的攻击,需要足够的想象力和执行力。 很多时候更重要的是借力打力。 作为企业盾牌的风控们,掌握着大量的企业漏洞与防守知识。 如果这套技能用在进攻上,同样也会是最锐利的矛。 这根矛配合足够聪明的运营,技术和市场,可以瞬间洞穿对方的心脏。 前一段时间,某著名云音乐软件下架一个月,就是一套完美的攻击策略组合。 该软件最大的特点是有着非常多精彩的乐评,评论区文化配合很多原生的民谣,产生了非常多忠实的用户。 攻击的开始,是一张无法追溯来源的图片,主要内容是某某云音乐的会员(需要付钱买)现在搞活动,删除APP后再安装,就可以免费送3个月。 一时之间很多人删除了APP,但是由于APP下架,所以删除过后没法再安装(起码要1个月才上架),然后就成了一个尴尬的状况,大量用户表示自己被骗了,非常生气。 为此,某某云音乐官方也发布了声明表示是谣言。 由于这种事情本身比较检测智商,所以并没有造成大规模负面舆论,倒是被人当做段子开始传播,攻击者的目的就在于此,把传播做起来,把某某云音乐摆到舆论的风口。 然后真正的招数是,在其APP的热度起来后,开始大量传播其APP删除用户本地音乐的内容,激发用户的愤怒,进而趁着这1个月的下架期,给予其最大的打击。 这个话题上了微博热搜,大家纷纷在怒斥该APP无耻,一时之间该APP的口碑跌入谷底,很多人都表示自己的本地音乐被删除了,然后再也不用该APP了,虽然该APP多次表明自己没有这种行为,同时还报警了,但这个标签目测要在身上贴个一段时间了。 这对于他们原本今年计划的上市和商业化计划都是重大的打击。 这套攻击最精妙的地方在于,该APP对于用户的本地音乐确实是有操作的,这个操作不是删除,而是格式更改和屏蔽。 音乐行业都是交叉授权的,产品方必须配合版权方来做打击盗版。 假如用户本地有一首音乐是没有授权的盗版,此时音乐类APP就会把该首歌自动修改为APP专属格式,并屏蔽播放和搜索,主要帮助保护版权。 我不评价这件事情是否合理,只能说这是音乐版权行业的一种潜规则。 所有音乐类APP都有这个问题,只不过这个问题多数用户是不知情的,用户看到的只是自己过去存的一些歌没有了(其实是版权方要求屏蔽的,音乐类APP只能配合版权方),再加上一些引导,很容易就被理解为是APP强行删除用户文件。 这一套攻击,时间,题材,传播,产品切入点都完美,效果也非常棒。 堪称经典。
3
很多公司对于风控的理解是非常粗浅的,在他们看来,风控可能就是所谓防刷单和防止内部腐败,确实绝大多数业务风控就是干这个的,但是企业其实面临的风险,远远不止这些。 内容攻击,已经是目前最流行的攻击竞争对手的方式。 所谓内容攻击,就是利用对方APP中可以展示内容的地方(例如评论区,例如论坛发言区等等),进行黄恐暴内容的饱和录入,然后引发对方APP被大量投诉,然后被下架,打乱对方的产品迭代发布计划,给自己争取有利的竞争窗口。 很多短时间下架的APP,就是被竞争对手使用了内容攻击。 某知名内容APP,很多年轻人都在用,可以使用文字,图片,来进行社交,分享各种趣事和沙雕图片,但是就在内容攻击中下架了,内容安全已经成了很多APP的核心弱点。 但可惜的是,很多APP对于内容安全的重视程度都不够,人类的本性就是喜欢黄恐暴,很多社交产品早期就是靠这个起家的,很多公司觉得这东西既然能有流量,岂不美哉?干脆先污染后治理得了。 在互联网文明越来越重要的今天,这种流量思维会害死公司的。 而攻击者们,则愈加肆无忌惮地利用内容来攻击竞争对手。 例如某知名95后00后陌生人匿名社交APP,近期就遭遇了潜在对手的饱和内容攻击,由于产品本身是支持声音的,并且还是全匿名的,这就诞生了大量操作空间,不需要很复杂,只需要把大量黄色音频灌入,密集且持续灌入,然后举报即可。 声音本身的可变性太多了。 音频的色情黄恐暴过滤,目前属于一个行业的技术难点,主要的实现方式是快速把音频转换为文字,然后利用敏感词来过滤,但这并不能完全解决谐音字和娇喘的问题,并且成本极高,如果不是巨头,创业公司那点融资还不够买语音转换的费用的。 这是一个现阶段近乎无解的攻击方法,当然也不是完全无解,只不过比较考验风控的功夫,没有经历过绝望的风控是不会有成长的。
4
同样是内容攻击,黄恐暴攻击比较适用于社交类产品,针对其他类型的产品,最流行的是垃圾信息和广告信息攻击。 如果你打开一个APP,发现里面大部分的信息都是非常垃圾的广告,并且广告已经影响了自己的使用,你是不是会特别愤怒的放弃这个APP,然后转投其竞争对手? 没错,这就是攻击者想要的。 这种内容攻击往往是通过拆解对手的APP,然后利用接口写入的方式来录入大量垃圾信息,例如前段时间某出行APP被大量用户投诉说打开界面里面全都是垃圾广告,各种某出行的广告和加微信的广告,从用户昵称到内容到订单信息,全都是垃圾信息。 当时一度在社交媒体上闹的沸沸扬扬。 这是非常有趣的一箭双雕,同时黑了2个竞争对手,第三者左手渔翁之利。 内容攻击的另一种形式,不是使用垃圾信息填充,而是使用完全真实的假订单来挤占真实订单,这多发于电商类APP。 某纳斯达克上市的知名社交电商APP,就遭遇过假订单的批量攻击。 他们每次只要一搞促销,一搞秒杀,就会有大量机器来下单,下单后也不付款,目的就是要快速把活动商品的购买权占满,让真实用户无法购买。 即使电商平台修改库存机制或者使用补货,也往往已经错过了时间流,之前铺垫了很久的大促信息,用户的所有期待都应该在大促的一瞬间引爆。 在这种时候给踩一脚刹车,造成的后果是非常严重的,甚至可以毁掉一个策划已久的活动,造成对手大量的资源浪费。 还有一种内容攻击,与业务无关,与人有关。 现在很多招聘网站都在明里暗里销售用户的简历,于是就有公司想到了用这个方法来打击竞争对手。 最常用的方法就是从招聘网站那边买到竞争对手的关键人员信息,然后不停地发面试邮件,注意,是发邮件,不是打电话。 邮件内容从面试邀约到薪酬确认到后续工作安排应有尽有,如果被竞争公司看到的话,会很大程度上怀疑员工的忠诚度,这个关键人员,基本就算是废了。 某著名电商公司就层对某著名信息流公司发出过这种攻击,一时之间对方人员动荡。 杀人不见血。
5
我说了,进攻,最需要的不是技术能力,而是想象力。 很多被证明有效的套路,其实实现起来并不困难,要的是动脑子。 现在已经是大数据年代了,国内兴起了很多大数据独角兽,其中最大的几家的其中之一,其底层的数据库是被污染过的。 当初这家公司成立不久,疯狂的在市场上收购数据,甚至黑市也没有放过,那时是2017年6月1日之前,个人隐私法修正案还未生效。 他们自以为自己做的天衣无缝,但是早已被竞争对手盯上,这家竞争对手卖给了他们一批质量非常高的数据,但这个数据是被污染过的。 大数据公司最重要的核心资产是黑名单,竞争对手把优质用户的白名单当做黑名单卖给了他们,他们一时之间没有察觉,最终造成的就是数据库的失效,后续他们的黑名单产品在市场上就很难卖出去了,因为区分不出好坏,整体的融资节奏和业务发展规划都受到了很大的打击。 这个问题至今还未解决,业内最懂行的人往往不会使用他们家的数据产品。 更有想象力的进攻手段,是直接强占竞争对手的潜在客户。 某家知名O2O公司,为了让自己的用户不至于流失到竞争对手那边,直接使用自己用户的手机号和个人信息,来批量注册竞争对手的APP账户。 这样导致的效果是,当自己的用户想体验对方的APP时,会发现自己的手机号其实已经被拿来注册过了,导致自己无法再注册,如果想找回账户,由于留的信息全都不是自己的,只有手机号是自己的,导致无法追回,于是这个手机号就死了。 而绝大多数人也没有驱动力强到非得用某某不可,某种程度上这就构建了一个神奇的护城河。 再讲一个有想象力的进攻手段,也与用户身份有关,来自换脸。 人脸识别已经成为了很多APP的标配,但其实根本就没有什么所谓的真正的人脸识别。 所有人脸识别的核心原理就是拿着两张照片来进行比对相似度,然后输出一个分数。 由业务方自己决定多少分数通过,多少分数转人工,多少分数拒绝。 即使是同一家人脸识别公司,不同业务方设置不同的通过策略,也会有完全不同的效果。 诀窍就在这里,利用大量的用户身份证,外加技术把身份证上的静态图做成动态,去骗竞争对手的实名认证,然后彻底断掉这个用户成为对手用户的情况,同时如果对手有做推广,还能够骗对手的广告费。 当然由于涉及到用户资料的隐私,这部分一般做的都是外包给黑产做,而且不会去用自己的用户做(这么一搞岂不暴露自己),而是用黑市上已有的资料去做。 所以当某些公司发现自己用户量暴涨,但是日活却没有明显提升时,需要想一想,自己是不是被攻击了,而不是仅仅骂投放的人士SB。
6
前段时间,两家超级外卖公司掐起了官司,这次不是外卖员打架,也不是飞单,也不是互相贴海报恶心对方,这些都是常规操作。 核心原因是某一家公司拥有另一家公司的很多核心数据,然后被发现了。 这是使用爬虫来进行的情报收集,在目前的互联网公司竞争中非常普遍。 假如电商搞大促,想针对性的做补贴,保证同品类中自己的价格是最低的,要怎么操作?显然让人看是非常愚蠢的,而且也看不过来。 最基础的操作就是使用爬虫+脚本,爬取对方所有商品的价格,SKU,SPU等,核心原理就是模拟一个个真实用户来浏览网页,然后把信息都留存下来。 然后依据爬回的数据来动态调整自己同SKU,SPU的价格,保证优势。 当然对方也不是干坐着给爬,往往会设置各种反爬机制,例如给所有价格数据都加看不到的水印,所有页面的结构在前端代码中都是加密的,爬回去就是乱码;在例如限制每个账号的IP以及浏览时间等等等等,爬虫攻防可以写好几篇万字长文了。 当你使用APP或者浏览网页不停刷新或者快速点击时,偶尔你会遇到一个弹窗告诉你,你操作的太快了,要休息一下,这个其实就是反爬机制生效了。 恭喜你的麒麟臂又进步了。
7
上面说的很多攻击,都是建立在产品本身有漏洞或者存在思维盲区的基础上进行攻击的,可以说,本身是存在攻击目标的,可以是APP,可以是网站,可以是用户。 而有些具有想象力的攻击,其实本身不对竞争对手本身做任何攻击,他们通过一些其他手段来攻击对手。 APP换壳攻击就是一种很有趣的玩法。 所谓APP换壳攻击,其实主要是通过拆解APP本地安装包,逆向APP的源码,在这个基础上来给APP中嵌入自己想要的功能,最后再到处散播(主要通过H5,二维码和文字链传播,应用市场很难绕过去),达到自己的目的。 例如某知名电商APP就受到过换壳攻击,竞争对手逆向了他们的安装包,在里面植入了其他公司的订单系统以及支付,并大量通过群转发的方式传播安装包的下载。 导致的就是很多不明真相的用户在里面下单购物付款后,就没有然后了,因为整个订单系统被修改过了。 最终的结果就是某电商APP突然消失在了市场上一段时间,因为牵涉了大量的用户投诉和配合调查。 当然,大多数情况下,APP换壳不会做到这个程度(能做到这个程度说明原APP的技术烂到了一定程度上),一般都是做链接换壳,主要用于伪装成支付宝和微信支付界面,然后骗钱。 很多人都收到过电商诈骗电话,说退款之类的,然后给你一个链接,点进去完全是支付宝或者微信的样子,然后你就相信的付款了,最后钱就没有了。 更进一步,很多博彩和非法集资在公众号投广告,往往骗号主投文字链,给一个外网的链接,点开看是很正常的新闻网站,但是当号主们发出这个广告后,再后台操作更改链接导向博彩或者非法集资,很多号主因为这个被封号。 这种防不胜防的坑,也算是互联网界的一种降维打击吧。
8
洋洋洒洒讲了这么多的案例,能从里面领悟出多少进攻和防御的思路,全看个人的悟性。 进攻真的是一件非常需要想象力的事情,很吃天分,很多时候就是靠思维的盲区来实现局部信息的不对称然后获利。 我想告诉大家的是,我们日常经历的商业形态,都是血腥竞争后的产物,每一家巨头诞生的背后,都是上万家同类型公司的消失,商业从来都是残酷的,没有谁是无辜的。 如果你觉得哪家公司是无辜的,一定是他们已经形成了局部垄断。 其实我更想告诉大家的是,我们看到的很多公司负面事件,很多互联网热点,背后真相的复杂程度往往会超出大家的想象。 你看到的,只是别人想让你看到的。 有时候看公司负面时,先不要急着批判或者发泄,多想想背后得利的是谁,动机驱动是谁,会发现多数人的喜怒哀愁都在被刻意引导。 我们只是棋盘上被驱动着的棋子。 下棋的又是谁? 所以希望大家能经常性跳出情绪,从利益链的角度看这个世界,从进攻者的角度来看事情。 或许你能看到更多更不一样的东西。 然后拥有更不一样的,独一无二的人生。