黑产揭秘
最近一直在写新零售系列文章,感觉没个大几十篇可能写不完。有些读者朋友反馈想适当换换口味,后面我穿插些其它主题,尽量让营养均衡。
本文跟大家聊聊听上去很酷的黑产是怎么玩儿的。如果你是还在积累经验的产品经理或者运营人员,对光怪陆离花样繁多的黑产手法的了解,也许可以帮助你规避风险,减少公司损失,防止一不小心漏洞被黑产抓到,面对脸色铁青的老板不太好意思要求加薪升职。
真实案例
下面我们先从三个我亲身经历的血案说起。
1. “价格欺诈”事件
当初我在1号店刚刚接手移动端的时候,1号店有一个王牌频道“剁手价”,类似于京东秒杀,是一个限时打折促销的栏目。作为首页的钩子产品,有着巨大的日活和销售。
剁手价的首页入口当时类似于下面这个样子:
1号店剁手价
大家可以看到,剁手价的产品设计很常规,陈列促销价格,并对原价划线。为了让消费者清晰认知折扣力度,产品经理设计了“XX折”这样的标识。折扣由后台自动计算,四舍五入到小数点后一位,在前台直接打标展示。产品和运营同学们先想一想,这个设计可能会有什么问题?
那时,iPhone6上市不久,市场标准售价5488。有一天,剁手价运营同学设置了一个促销价5288。后台计算5288/5488=0.96355685...,于是系统计算后四舍五入,在前台自动打标“9.6折”。
不久,我们接到了工商局的通知,有位顾客从剁手价频道下单买了10台iPhone,随后截屏投诉1号店价格欺诈,要求一赔三(退一赔二),共计赔偿十万元!
一脸懵逼的我和对接工商局的同事聊了一下,原来,顾客投诉的理由是,系统说是九六折,那么5488*0.96=5268.48,可我店平台卖5288,贵了将近20块钱,所以是价格欺诈……
于是,懵逼变成了愤怒,我们尝试跟工商局争取,然而工商局老师在反复审视了本案后,最终结论价格欺诈成立,在对我们表示同情的同时,强调必须要赔。
叫天天不应,叫地地不灵,于是我只好环顾左右,开始研究这个历史遗留设计的来龙去脉,看看这口大锅有没有可能往运营部门飞……在双方用各种姿势查询历史文档和邮件之后,依然无法证明这是来自产品创意还是业务需求,最终,这十万元产品部和运营部各摊了一半。原来做产品这么危险。。。
这件事后不久,我发现一个聪明好学的运营同学在系统要求填写的年度学习目标里,赫然写到:“明年学习目标:深度学习如何甩锅,以及如何不被锅甩中……”
2. 投影仪“虚假宣传”事件
有一次客服部门反馈,有个顾客投诉该投影仪“虚假宣传”,因为在商品详情介绍中,有该投影仪“……色彩最鲜艳……”的文案。根据最新颁布的《广告法》,不可以使用“最,第一,国家级”之类的词汇。该顾客购买了三台这款投影仪,每台售价1.6万元,要求一赔三,共计赔偿约15万元。
带着悲愤的心情,我们找到工商局老师咨询。非常支持我们的工商局老师认为,不但毫无疑问本案成立,而且建议我们与该“顾客”私了。因为如果投诉到工商局,不但我们一定输,而且因为是“屡犯”(大型电商平台全部都是高频被诉对象),可能还会额外再罚50万!!!
带着崩溃的心情,大家研究后惊喜地发现,这不是自营商品,而是一个第三方商家的商品,其商品详情描述是由该商家提供并上传的。于是锅飞向了该商家。该商家一边悲愤地解释这个“最鲜艳”是机器对英文资料自动翻译的结果,另一边提出,其店铺在我店平台年营业额也就是不到10万,无法接受15万的赔偿要求,干脆保证金不要了,撤店了事。
本案结局是,经过与投诉“顾客”的沟通,“顾客”对赔偿金的诉求减少到10万元。为了扶持商家,公司和该商家最终对半承担了这笔费用。
这个案子之后,公关和风控同学告诉我,全国可能有3000多“职业打假人”团队,也就是本文和前一案例这种“顾客”,专门盯着我店平台,只要找到漏洞,他们就把工商局当枪使,批量购买商品后利用相关法规进行讹诈。他们甚至结合技术手段对系统内容进行扫描和监控,形成了一个黑色产业。这种情况各大电商无一幸免,防不胜防。
我再次深刻体会到了电商平台的难处,也开始和风控团队仔细研究怎么识别这些“顾客”,并让他们打开商品详情页根本找不到“加车”和“购买”按钮,打开购物车找不到“结算”按钮,或者干脆所有商品显示“缺货”。
3. 客服“诈骗”事件
有一天,我在亚马逊下了一个订单。当天晚上我跟同事在吃饭,忽然一个电话打进来,是一个广东的手机号,电话里一个非常专业的粤语腔声音说,“先生您好,我是亚马逊客服。看到你有一个订单申请退货,请告诉我你的邮箱,我给你发一个退款协议邮件,你确认一下就可以收到退款。”
我非常惊讶,明明没有申请退货啊。于是我向该客服询问,该客服表示我可以看下系统是否误操作,稍后他再打过来。我挂了电话打开App看了看,那个订单确实处在“申请退货”的状态。同时,我看到在个人中心左上角欢迎语的地方,赫然显示着“亚马逊客服电话:13521566714”的字样,如下图。
这个页面是我的产品经理负责,我很清楚这是个用户自定义字段,比如用户在系统中设置姓名为张三,这里会显示“您好,张三”。
于是我立刻确定这是个骗子,把自己的姓名设置为“亚马逊客服电话:13521566714”。不了解的顾客,有可能误以为这是亚马逊客服的官方电话,从而对来电“客服”身份信以为真。仔细想了一下,肯定是骗子用我的账号登录,在系统中设置了该用户名,并给我的订单申请了退货。于是,我想进一步看看这个骗子的全套服务流程。
过了一小会儿,这个电话又打过来了,骗子说,“给我你的邮箱,你确认一下退款协议,我给你退款”,我自然满口答应。随后收到一个邮件,发件人地址是“xxxx@163.com”,但署名却是“亚马逊客服”,里面的退款协议有一个网页链接,点击后不出意料是一个自称亚马逊的钓鱼网页,让我输入银行账户和密码信息。故事后面比较常规,一方面我和客服部门沟通,研究应对方案,一方面和技术部门协作,寻找安全解决方案。
事后查了一下系统记录,发现这样的钓鱼案子在那段时间每周都有不少起,给用户和平台造成了一定损失。技术端虽然可以针对具体问题修补漏洞,但骗子如果可以攻破大家的账号,防范心理弱的顾客被骗就是一个高概率事件了。而顾客蒙受损失后,大多会认为平台负有责任,因为诈骗的“案发现场”在平台,自然很难摆脱干系。
上面的三个案例,大家可以看到黑产给产品和运营带来的巨大挑战,防范和规避的能力,可能只能通过经验(不管自己的还是别人的)的积累来逐步建立。
黑产分类
黑产,全称是黑色产业,也有叫“灰产”的,即灰色产业。我理解这里面有三个类型:
1. 职业羊毛党
如果只是平时喜欢到处逛逛,搜罗一些券,签个到玩儿下游戏弄些积分,领领红包,薅些便宜商品的顾客,不属此列。我这里所说的黑产级别的职业羊毛党是以薅羊毛为职业,通过系统化的技术手段和数以万计的账号,利用自动化的脚本程序,来批量抓取电商平台提供的券、补贴、积分等权益,并通过直接转卖、代下单等方式套利,以此获取不法营收的类黑客的角色。
大家是否见过下面这样的设备?
手机群控系统
这种设备叫做“手机群控系统”,最简单的型号甚至只有SIM卡槽没有手机。可以通过电脑大批量控制终端设备,通过电脑上的脚本程序,在手机上操作指定App的打开、登录、点击,以完成设定的动作序列。
测试团队常常会用脚本程序跑自动化测试,以完成一轮轮操作具有高度重复性和一致性的回归测试或压力测试。而黑产则先通过移动运营商获取大量电话号码,随后利用手机群控系统和自动化脚本程序,在成千上万台手机上进行App的安装、登录、领券、签到、抢红包等各种设定的薅羊毛动作,以规模化套取平台给消费者的补贴。
更牛逼的黑产,可能会与互联网公司内部的程序员合作,利用对系统接口的知识,对网络可触达的领券接口、红包接口、游戏接口直接进行扫描,侦测权益的出现情况(例如新上了一批券、整点红包雨开始了,等等),随后模拟客户端向相关接口按定义的数据格式规范,发送带账号信息的指令(如“红包雨”的点中红包消息),以往指定账号获取权益数据,如券、小额红包、免费限量商品这些。
2. 职业打假人
这个职业我也把它纳入黑产,但依据行为性质要有所区分。如果是真正对商品质量和真伪进行监督,比如央视315记者或真正的打假团队,或者消费者真正的维权索赔,不在黑产之列。本文特指的是寻找法规漏洞或模糊地带,寻找并不损害消费者利益的平台疏漏进行讹诈,并以此为职业的团伙。比如上面提到的第一个和第二个案例。
职业打假人的鼻祖是早年的打假英雄王海,在百货公司买到了假货,故意再多买一批,然后根据保护消费者的相关法律法规进行索赔。中国的商场曾经假货泛滥,百货公司可能在知情或不知情的情况下或多或少地售卖假货,王海的行为虽然附带谋利诉求,但客观上完善了监督机制,帮助了消费者,让售假的企业有所顾忌和收敛,其结果是造福社会的。
然而,这种形态一旦被滥用,就发生了性质转移。目前这批所谓“职业打假人”,其实更贴切的说法是“职业讹诈人”。他们利用《广告法》、《消费者权益保护法》等相关监管法规的空间和漏洞,使用人工或技术手段来寻找电商平台的各种漏洞(比如文案中有没有出现“最”字),一旦发现瑕疵,就多件购买并投诉索赔,以此来讹诈谋利。
据统计,全国可能存在着数千个此类团伙,以此为职业,勒索讹诈各个互联网公司和电商平台。
对于在这个现象中工商局被当枪使的问题,我跟工商局的老师也沟通过,工商局对此心知肚明,但作为政府工作人员,虽然内心同情,也只能按相关法规仲裁处理。执行方面各地会存在一定差异,政府监管最为严格的上海和广东,如果消费者(不管是否真的消费者)的投诉不在规定时效内处理,可能会被当作“行政不作为”,因此,上海和广东也是此类“打假”团队横行的重灾区。
3. 诈骗团伙
这就是最恶劣的犯罪团伙了,和前面两个类型相比,后面这种就是以面向消费者的诈骗犯罪为目的了。在上面列举的案例里,第三个就属于此类。
他们往往利用少数网站泄漏的海量用户密码数据进行撞库(就是在各个网站用泄漏的用户名和密码进行登录),一旦攻破,就通过账户内操作的各种技俩,或设计钓鱼网站,或通过流量劫持,引导用户到特定网页,获取银行卡信息并对用户进行诈骗。在本文中会列举部分涉及到互联网网站的手段。更为广泛的类似诈骗行为不在本文讨论。