“Camel Tree,一所为教育工作者开设的在线学习大学”
一
说到风险控制,很多人“知道”,但很少有人“懂”。
我们来通过一些真实的案例,给大家看一下风控专业能给公司带来什么样的价值或者损失。
我保证这些内容是花钱买不到的。但你能从中学到多少进攻或防守的理念则完全取决于你自己的理解。
风控,或者说风险管理,在互联网公司一直是一个尴尬而又平庸的岗位。
都说风险控制不重要,你去问任何一个公司老板,他都能把各种风险控制的重要性说得让你吐血。
风险控制虽然重要,但在大多数公司的实际情况中,风险控制总是让位于业务方。
运营部门需要做增长,市场部门需要做投入,活动部门需要做推广,这些部门都有明确的考核指标,由于这些部门直接影响公司的数据,进而影响公司的故事讲述和融资,所以它们往往权势很大。在他们眼里,做减法的风控部门更是业绩的阻碍,最好干脆撤掉。
大多数老板为了面子,对外极力推崇风控;对内为了面子,又常常默许业务部门贬低风控,甚至耍些花招。所以最终,风控往往内外都不受欢迎。
曾经有位老板酒后说过:你们这些风险控制的人,如果生意没有风险,留着你们就像养猪一样;如果生意有风险,留着你们连养猪都不如。
从某种程度上来说,确实如此,风险控制对业务来说,只是辅助而已。
但从其他维度看,如果企业营销放松风险控制,所有的钱就都打了水漂。
以下是一些案例,以及其中涉及的技巧和防御技巧。
注意,我们开始案例分析。
二
某咖啡宣称要打败星巴克,并教育中国人了解他们的咖啡习惯。
可笑的是,一家资金雄厚、估值数十亿美元、即将登陆美股IPO、每年亏损数亿也不轻的公司,如今却用一堆自有咖啡机抵押出去,换来了4500万元的抵押贷款。
当然,他们对外解释是轻资产运营,最大化设备利用率,到底是不是这样,每个人心里都有不同的看法。
但作为2018年投入最多、增长最快的品牌之一,他们的营销我也不好说什么,只能说风控不到位,当然也可能是为了漂亮的数据而投入,默许风控不管。
某咖啡店曾经有一个非常经典的获取用户活动,就是只要你邀请别人注册下单,就能获得免费咖啡券。由于新注册用户都有默认的免费优惠券,因此免费咖啡券存在一个漏洞:
A邀请B注册并下订单:
A获得免费优惠券,B免费下订单。
所以,只要你有一批注册的手机号,就可以开始大批量刷咖啡券了,只需要不断用新手机号注册,然后下单,就能领券,一次操作就能免费喝至少2杯咖啡,太爽了。
在市场上购买一个带有验证码的手机号进行注册的成本为0.2元至1元。
如果能以每次0.2分钱的成本批量使用,换取2杯免费咖啡,那么第一杯你可以自己喝,第二杯以很低的价格卖给你的同事,这样的便宜没好货,没几个人会拒绝。
而且这已经产业化了,是标准的灰色产业。
在一些二手交易平台上,可以直接在各个平台上进行搜索和下单。
除了免费咖啡(确实被坑了),优惠券也更多了,特别是有段时间XX疯狂发3折券、7.2折券,这些优惠券比较容易拿到,只要在H5页面输入手机号就可以拿到。
因此,注册获得免费优惠券后,那些不能再享受新会员优惠券的账户可以用来获得一些折扣券,也可以获得套利。
据保守估计,其相关营销投入有将近一半被浪费,没有获取到真正的有效用户,损失高达数十亿美元。
这种人工机器注册,用完首单资格后再领取优惠券的方式,适用于所有有优惠券共享功能的电商、外卖平台。
当然,不限量下单是不可能的,公司也不傻,总有一些规则可以拦截异常订单,但他们的风控太精细了,根本不知道从何下手。
堵住了订单,就堵住了GMV,堵住了GMV,就堵住了业务的KPI,堵住了业务的KPI,就堵住了公司的融资。对于很多toSBVC的公司来说,这比杀了他们还要痛苦。
所以讽刺的是,风险控制讨厌搭便车的人,营销讨厌风险控制,但与此同时营销也奉承搭便车的人。
毕竟KPI和年终奖是你的,损失是公司的,这不是很好吗?
三
说起最近拿到不少风险投资的几家O2O公司,都是XX买菜,XXX生鲜,XX社区之类的各种类型。
他们一直在烧钱,提供很多折扣,但却缺乏风险控制。
在他们的努力下,很多趁机而入的人已经很久没有花钱买东西了,有些老练的,各种新账户的余额加起来有六位数甚至七位数,基本上只要公司不破产,他们就不用花钱买东西了。
他们早已厌倦了樱桃、大闸蟹、精酿啤酒、进口牛排、海鲜等消费升级。
先说XX家买菜的事儿,这是他们最近花钱最多的事儿了。
吸引新会员活动是新注册用户可获2张大额优惠券,消费满XX元立减XX元,其中性价比最高的商品是牛奶,扣除优惠券金额后,套利空间巨大。
不过这家公司还是有些风控意识的,单纯用收码平台注册新套利是没有意义的,因为会核实支付账户信息和下单频率,如果同一个支付账户用不同账户多次使用,或者同一个设备用不同账户多次使用等,会直接被封号。
所以很多职业刷子会利用职业装备、职业账号来绕过规则,他们的风控漏洞对于职业玩家来说非常明显,只需要稍微简单伪装一下,这些基于用户信息的认证规则就会失效。
再说一下在圈内被称为洋猫X线的XXX线,它在宣传上极其大方,漏洞无数。
第一是吸引新客,目前吸引新客的方式是推荐下单可以享受大折扣,早期也有根据下单人数赠送一定余额的活动。
通过利用某些平台和通用地址(即送货地址只留下街区,不留下具体门牌号,由送货员在电话中给出),你可以开始刷钱,甚至不需要伪装支付账户(他们不做任何验证)。他们上面的一些硬通货非常便宜,特别适合套利。别忘了,还有赠送余额的活动。这些余额是纯利润,可以用来购买所有折扣率高的产品,非常划算。
其风险控制十分粗糙,只不过是一台供不法之徒使用的自动取款机。
不仅无需收件人一致性验证、无需支付账户限制、无需LBS规则、无需用户血缘关系、无需实时热点监控、无需虚拟号段屏蔽,更没有IP墙和设备号限制。只需一部手机、一个支付账户、一个收码平台,就可以无限刷卡。
可能是刷量太大,导致现在没有余额活动,只送大额优惠券,收益减少不少,不过首单大额优惠券还是很诱人的。
所以你看,如果风险控制不到位,这些公司的营销费用就全部浪费了。
随着黑市技术的进步,风控能力差的公司已经不能再靠烧钱来赢得市场。
四
前面我们已经讲了两个利用新会员折扣和优惠券的案例,我们再讲点别的。
大家都知道苹果手机,苹果手机就是硬通货,手机市场唯一的硬通货。
很多新兴社交电商平台都以苹果手机作为引流产品。
什么是引流产品?这个产品本身是亏钱的,但是它吸引你来我店里购物,成为我的会员,你可能买的不只是这个产品,我还可以靠其他产品赚钱。
就如同很多餐厅的特色菜一样,都是靠特色菜来吸引你进店消费。
他们的iPhone售价往往低于进货价,补贴力度也不小,某平台的XSMax往往比市场价低300到500元,这就产生了套利空间。
要知道黄牛一般转卖一台苹果手机只能赚一两百元的利润,但如果能批量进货,利润就非常可观了。
因此黄牛们想方设法抢购更多折扣菜肴。
由于这里的利润非常诱人,这些平台对挪用资金的监管非常严格,普通的攻击手段无法绕过风控规则。
但聪明的黄牛会使用肉鸡。
什么是肉鸡?
这个人不是一个虚拟机,而是一个真实的人,一个活生生的用户。
大家都知道假单,就是你正常情况下该买什么就买什么,偶尔有黄牛联系你,就帮你下单,搜索、点击、聊天、砍价、付款,一条龙服务。只不过正常交易10笔里面,有2到3笔是假单。
目前苹果订购的肉鸡价格为50元/单,不少人兼职做肉鸡,为自己获取鸡腿。
据我了解,目前的情况是,很多平台用来引流的苹果手机至少有70%被僵尸电脑刷走了,刷走后流入市场,所以我们总能买到各种低于市场价的便宜正品手机,各取所需,也挺好。
五
让我们做一些更高级的事情,锁定价格进行套利。
上面提到了苹果手机,由于国内电子市场非常发达,苹果手机的需求量非常大,所以苹果手机的价格往往一天会变两次,一款手机可能上午是7000元,中午是7100元,下午是6900元,第二天就6850元了。
大宗商品的价格波动非常频繁,从某种程度上来说,iPhone可以看作是一种期货。
既然是期货,就有纯粹的套利空间,无中生有地赚钱。
一般来说,电商平台不会给你这个空间,买便宜了是走运,买贵了就太贵了,不管你是黄牛、肉鸡还是普通顾客,不管价格便宜还是贵,你都应该在固定的时间、固定的价格买下产品。
然而,虽然电商规则是这样设定的,但价格可以从支付阶段开始就被锁定。
比如部分电商平台就存在漏洞,即支付时如果价格为A,选择的是某个支付渠道,支付方式为借记卡,但卡上余额不足,则支付失败,但这个支付订单可以保留几天,在这个过程中,你可以随时以价格A完成支付,并进行发货。
所以很多黄牛会下单然后故意不付款,等着看平台调价。如果价格已经涨了,比A高很多,就给A的钱拿货,收货地址直接填上付款的买家,无中生有地赚钱;如果价格低于A,就取消订单不拿。
这是另一个利用余额不足锁定价格的例子。
某知名披萨连锁店曾出现漏洞:购买几百元套餐时,如果支付时卡内余额为特定的XX元,且使用某张优惠券,则只需花几十元即可触发购买几百元套餐,一家人只要花几十元就可以吃到不想吃,非常有意思。
同样,某连锁超市的电子会员系统也存在支付余额漏洞,让人可以低价获得大额优惠券、卡,这样的机会往往转瞬即逝。
国内有专门的黑市团队,每天利用支付失败来测试漏洞,因为支付是一个独立的系统,电商是电商系统,不同系统之间只要有互动,就会有套利空间。
这是不可避免的。
六
尝试不同的玩法。
大家都知道怎么提现吧?
就是把信用卡额度转化成现金,可以用于投资、周转。
如果用信用卡直接提取现金,会被收取高额的提款手续费,而且提取的金额会按日计息,所以不能享受信用卡的免息期。
因此,如何通过各种渠道将信用卡额度转换成免息现金,是一门生意。
目前比较流行的就是各种二维码、POS机,本质原理就是制造一个虚构的商品,用信用卡去刷这个商品,在银行眼里是正常消费,有额度免息,但实际情况是刷卡的人拿到的是现金。
这个操作也是有成本的,从0.38%到1.2%不等。
因此,如果有成本较低的套现渠道,就可以实现无风险套利。
一些忽视支付风控的互联网公司就存在这样的漏洞。
大家还记得空空狐吗,巅峰时期市场份额排名第三的二手交易公司(第一和第二分别是闲鱼和58),后来创始人和投资人闹翻了,还打了一场激战。
当时很多人评价老板不成熟、投资方不靠谱、行业门槛高,但其实他们都错了。
空空虎被套现坑死了。
当时,为了提高市场份额,空空虎想出了一个营销方案,就是使用信用卡支付,空空虎会补贴手续费。他们并没有意识到支付风险,也没有专业的风控来实施交易补贴的风险对冲策略。
这种操作一旦出台,公司就死定了。
由于空空虎是二手交易平台,买卖双方都可以自由上架商品、进行交易,并且过程中还有信用卡费用的补贴,也就是说可以自由套现。
就这样,空空虎拿下了 GMV 市场第三名,全靠刷单和套现,老板高兴得以为他们要成功了,等他们发现不对劲的时候,已经没钱了。
空空狐成为了历史的尘埃。
因为套现有大量无风险利润,所以有专门的黑市团队在做套现生意,他们会用爬虫爬取各个公司的营销政策,然后找到那些补贴交易的漏洞,再把资金投入其中滚动获利,利润丰厚。
信用卡、某些支付方式、某些白条、某些支付方式,只要是可以分期付款的产品,都可以进行套现交易,其中信用卡是规模最大的。
银行信用卡发卡规模和交易金额不断攀升,表面上看,人们的消费水平提高了,但表象背后的本质是,这些交易中到底有多少被挪用?有多少利息收入和资金成本被流失?
答案是数百亿。
七
很多人都知道共享单车吧?
很多人都对共享单车的押金问题感到很咬牙切齿吧?
如果我告诉你,共享单车的押金也面临被黑产行业卷走的风险,已经有好几家共享单车公司因为押金被盗而倒闭,你是不是会不知所措?
押金可以存可取,基本走支付机构接口,很多公司的单车押金都是存在一起作为一个池子的。
当你提现时,会选择一个支付机构账户接收支付,资金池会和支付账户进行交互,这就需要进行相关的传输风控,需要定位支付的账户、信息、token、身份,多个信息在逻辑上相互核对后才能进行支付。
但有些风控不严的公司(共享单车风控就差),会出现固定放款日的短期异常提现。
这种异常并不意味着您将无法获得付款,而是机器可以用来伪装成不同的支付账户并收取更多的钱。
有的共享单车收了199的押金,但在提现环节却被骗,被取走了几十个199。
当然,如此极其内部的漏洞(系统真空期不过十几分钟),局外人很难直接察觉。到底是谁泄露了发布时间?又是谁泄露了调用规则?
想想最近对一家濒临破产的自行车公司的反腐行动,你能猜出这家公司通过内外部勾结赚了多少钱吗?
当然,说到内外勾结,最离谱的还是某互联网金融公司。
某董事向某媒体揭露了公司内部规章制度的种种漏洞,该媒体随即撰写了一篇深度负面报道,对公司进行了彻头彻尾的批判,公司受到了极大的震惊,在风险控制和公关方面投入了巨额资金,作为掌控资源和采购的总监,他赚得盆满钵满。
这种叛徒是最致命的,很多坚固的堡垒都是从内部被攻破的。
八
您知道那些可以让您通过阅读新闻、观看视频和下载应用程序获得奖励的应用程序吗?
是这样的,你阅读某一篇文章的时间达到了一定的量,吸引了一定数量的新用户,就直接给你现金。
你知道挂机软件吗?
就是那种游戏挂机常用的软件。
这款软件的原理是通过脚本来控制手机的运行,然后模拟人的行为,从而解放人们的双手。
那么问题来了,既然可以破解游戏,为什么不能破解一些能给你赚钱的应用程序呢?有很多人在二手网站上公开出售此类工具。
很多低价回收的二手安卓手机,再卖出去已经没有价值了,用来干什么呢?
呵呵呵呵。
既然你不能再使用旧手机了,为什么不挂断它们并赚点钱呢?
虽然利润不多,但收入稳定,运营可控,是一件了不起的事情。
你能猜一下这些应用巨大流量的背后有多少僵尸吗?
或者说这些僵尸企业是公司自己培育的?这样就不需要补贴了,但可以算在营销费用里。你觉得这中间的差价去哪了?
九
说了这么多的案例,相信各位读者已经感受到了风控的重要性,如果风控做不好,运营、市场投入永远都是白费。
相比与空想方设法的斗争,风控的最大难题总是来自于后面,来自于对数据虎视眈眈的业务方,来自于想要从内部数据中牟利的腐败团伙。
除了业务成本外,用户数据的安全风险控制更为重要。
商业投资只是金钱问题,用户隐私则是法律问题。
很多掌握大量用户信息的互联网公司,风险意识极其薄弱。
我以前做进攻测试的时候发现,国内大量互联网公司的数据库没有区分内外网,很多密码甚至是默认的admin和guest,还有123456。如果遇到别有用心、不畏惧法律的黑客,可以很轻松地拿到这些数据,然后将其打包扔到黑市上卖。
骚扰电话是不是太多了?营销短信是不是越来越多了?各种奇怪的推送通知是不是越来越多了?
他们从哪里获得数据?
它是从风险控制意识较弱的公司获得的。
天网时代的个人隐私的确是一种奢侈品。
唯一的安慰是,在隐私暴露方面我们都是平等的,这不会因为你的财务状况而改变。
这也许是除了死亡以外,为数不多的对每个人来说都平等的事情之一。
但我一点也不高兴。
你呢?
§§
评论(0)