风控不是消灭风险,而是和风险对抗,避免风险,或者将损失降至最小。风控与黑产洞察黑产黑产群体组织分工明细,并且善于伪装。洞察风控在和黑产对抗的过程中,我们总结了很多经验和教训,全流程覆盖业务玩法,从事前、事中、事后防控,业务全生命周期风控体系。
常听到周围有人说“风控”这个词,只知道这是一个神秘的部门,对他们做的事却一知半解,只知道这个风控部门对公司非常重要,任何活动和信息都最好向风控部门报备以评估风险,尤其涉及到钱的问题。
到底什么是风控?为什么需要风控?风控到底在干什么?本文将向你解惑。
什么是风控风控,即风险控制(Risk Control),智库·百科定义如下
风险控制是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或者减少风险事件发生时造成的损失。
风险控制的四种基本方法是:风险回避、损失控制、风险转移、风险保留
以上信息是不是有种我好像明白了但是又没全明白的感觉,我将结合实际案例来拆分讲解一下。
举一个栗子,假设你在职一家规模还算挺大的在线交易电商平台,公司老板宣布:我们也得搞一个像马爸爸那样的“双十一”节日增加销售额,提升利润,钱凭什么让他一个人赚去,我们也要造势!
那运营部的老大 get 到了老板的要求后,知道来活了,立即准备搞各种形式多样的营销活动,怎么搞?砸钱!没钱没客户,用大优惠大折扣来造势!吸引用户过来,舍不得孩子套不着狼!
此时风控的老大也 get 到了老板的要求,并且知道运营的老大要搞事,赶紧组织部门会议,商讨活动方案
风险回避产运部想来个活动:咱有钱,活动节日当天,来了就送现金!一人3元,无门槛,且可直接提现,豪横!
风控部立马回复:不行,你这个活动不能上(风险回避),知道这个风险有多大么,无门槛且来就送,万一黑产手上养了一批号,上来就给你薅秃了,而且他们速度非常快,可以直接用机器来代替人工,等真正的用户进来,啥也没了,一地鸡毛,不能上!
损失控制产品一想也是,咱虽然老板拨钱了,但是好钢不能用在刀把上啊!万一钱被薅没了,平台没啥完单,我不完犊子了。活动升级:先造势,节日当天3元送现金只在 9:00 ~ 12:00 期间,且只给前 1w 名客户无脑送(损失控制),这样就算被薅了,活动金额上线就30万块,咱也损失不大,毕竟赚了一波人气。
风险转移产品部一个抖机灵:我们可以联和各大厂商做活动,在我支付10元,即可换购某某平台年卡会员卡(风险转移),现在那么多互联网平台需要拉新,我们流量大,他们肯定配合,而且他们应该也有风控的吧,不会出问题的。就算没有,我们损失也不大,双赢。
以上的例子举得比较极端,主要是让读者朋友们有个大致的理解风控是什么。
白话总结:风控是为公司省钱的,避免公司经济上有较大的损失。日常工作中主要是寻找并发现公司的经营活动中存在的漏洞,且如果这些漏洞不及时修复的话,可能会给公司带来重大经济损失及形象影响。
为什么需要风控如上你已大致了解什么是风控了,风控对于企业的重要毋庸置疑,但不是所有企业都是需要风控的,目前我们听到最多雇佣风控从业的公司要么是金融行业,要么是互联网那个行业,归根结底也是和钱相关的。
打个比方:如果企业是一辆行驶的汽车,那么风控就是安全带和安全气囊。车祸随时都能发生,但是发生的那一刻,安全带大概率能保证你的安全,甚至能救你的命。风控不是消灭风险,而是和风险对抗,避免风险,或者将损失降至最小。风控和企业的业务场景是有摩擦的,有时为了安全,不得不做出一定的业务妥协,就像安全带虽然能关键时刻保命,但是你牺牲了舒适性:只要上车你就得戴着。
我们举实际的、真实的案例来说明为什么需要风控:
案例一:薅羊毛某多多百元通用优惠券的营销推广出现重大漏洞,无论新老用户,都可以领取100元无门槛券,注意是领取,不是抢购。有网友通过接码平台充值了54万的Q币和64万的话费。有黑灰产团伙通过一个过期的优惠券漏洞取数千万元平台优惠券,进行不正当牟利。
流量时代的到来,越来越多的互联网企业站在风口上随风而起,竞争也变得越来越激烈,各家企业为了“抢人”,不得不发开发各种营销活动来刺激用户对平台的粘性,以期提升 GMV 。此时,黑产伺机切入活动的玩法漏洞,牟取暴利,导致企业损失惨重。
案例二:金融骗贷某头部互联网小贷平台,被黑产骗带金额高达数千万元。黑产通过产业链工具包括但不限于:设备多开、肉鸡、接码平台、通讯录养号等手段。成功骗过平台设置的各种活动限制关卡,贷款后即刻删号,企业想追都没办法追。
互联网金融的兴起,即我们熟知的小贷行业。暂且不论它对社会的好与坏,黑产就是瞄准了他比银行金融审核更轻,“人的信息”拿得更少的点,用技术突破了企业设置的门槛,成功的薅走了企业的资金。
案例三:水军某短视频平台主播点赞和转发创新高,但都是僵尸粉
某宝店铺单量成交笔数及成交额一个月创新高。
互联网催生了一批“刷子”产业,他们唯利是图,抓住平台的依据用户是否喜欢(看得多、买点多)的曝光机制,疯狂造就“爆款”。这严重破坏了竞争协议,对那些认证经营、认真创作的人非常不公平。
风控在企业中扮演着“警察”的角色,它不会去消灭风险,也没办法消灭,但是风险来的时候,能识别出风险,并且按照处罚级别,从轻到重约束破坏企业规范的用户,从而能让企业走的更好走的更远。
风控与黑产洞察黑产黑产群体组织分工明细,并且善于伪装。黑产从业者有全职或兼职,在兼职人群中,有各行各业人员,辨认难度大。同时黑产群体技术更新迭代迅速,可以在短时间内对厂商的防护手段破解并更新多个版本的作弊工具。据不完全统计,在这个庞大的黑色产业链条中,黑产从业人员已达数十万余人,每年给互联网公司造成的经济损失超过百亿元。
说白了,这些人为了赚快钱,不择手段,通过新型的技术,来突破传统的防御手段,无往而不利。黑产常用的武器有:虚拟号码、代理 IP、设备伪造等等。每一种工具都对应一种攻击场景。
洞察风控在和黑产对抗的过程中,我们总结了很多经验和教训,全流程覆盖业务玩法,从事前、事中、事后防控,业务全生命周期风控体系。
风控的武器库有:设备指纹、生物探针(UBT)、智能验证码等等。
我是怎么入行的之前有别的部门同事问我:你是怎么入行的?仔细思考一下,这是问题同样适合所有行业,你是怎么入行金融的?医生?区块链?教师?
我仔细回想了一下,我入行风控完全是兴趣。但是这个前提是我接触到了风控这个领域。我刚工作所在的公司是搞金融的,当时我是一个后端开发,你可以理解为就是做产品研发的,那这个过程肯定要和风控部门打交道的,对于公司非风控部门的人来说,对他们那帮人的标签都是:“最牛*的团队!里面都是牛人!”、“公司的借贷的逾期率,坏账率能保持这么低都是依赖风控团队”、“不知道他们在干嘛,很神秘”...
在工作对接的过程中,也逐渐知道了风控是怎么玩的,比如上线一个活动,风控要求在参与活动、分享活动、领取奖励、奖励发放设置前置卡点,所有信息都调一次风控平台的接口,有风控判定当前用户能否参与活动。但是只能看出其型,不得其解:凭什么判定这笔单子不能过,需要拒绝?
本着提高自己和不服输的精神,咱也想成为最牛逼的人,我就会主动和对接的风控研发打招呼,询问不解的地方,久而久之,也大致明白了其中的概念,在下一次跳槽时,我在简历中标明有风控经验,并且投给了招聘风控岗位的公司,幸运的是遇到了愿意给培养并有学习机会公司,从此真正算是进入了风控这个领域。
给想入行的预备风控er的一些建议风控相对教师、医生、java后端这种算是小众行业,在你不了解或者完全没听过的情况下,你完全是没有概念的,也就根本谈不上入职也说。
如果你了解了后,想成为一个风控人的话,如下我是的一些建议:
尽早进入这个对任何行业有效,尽早指的是应届生~工作3内之内,此时企业在招人的时候认为你还是“白的”,是可塑的,此时如果你对风控感兴趣,可直接向感兴趣的公司投简历,此时尽管没有任何经历,但是企业是在储备人才,部门是在培养“backup”,成功率非常高。
跨部门转职很多同事都是在公司内部了解了风控这个职业,还真的有一小戳人真的转了过来,这相对社会招聘更有优势,最起码你进入公司时考核是过的,符合企业的人才标注。唯一的要求就是你当前的 TL 愿意放和风控的 TL 愿意收。
风控所在的公司一定是有一定的市场规模的,往往说中大体量的公司才会考虑接入风控,小公司一般也养不起风控团队,一是没有用户规模,没那么多钱,黑产瞧不上,二是风控研发的开销确实不是一个小公司能抗住的,成本会超过很多。
总结作为互联网安全从业者,回顾这几年走过的路,黑产的技术发展和规模膨胀给我们带来了很大的压力,同时也让我们有了更大的动力去构建更加有效的安全防御产品体系。黑产也是人,他们也会进步,所以风控面临的挑战非常大,也欢迎各位加入风控领域,共创和平的互联网行业。
作为风控研发,我会在后续从0到1的分享风控的架构及技术细节,喜欢的欢迎关注订阅,第一时间收到文章更新。
欢迎关注公众号:咕咕鸡技术专栏
