借此机会,开发一个小程序,抓一波红利。然后在公司floorshop干了两周,终于在一个凌晨解决了3次内测的累计修改需求。大家回去睡觉准备第二天正式发布。我的眼睛也在战斗,但我想在睡觉前确保没有其他虫子。正是这张睡前的拖延证救了我们这个小团队。当时不知道为什么,不小心打开了微商的交易记录。一打开,就看到两串金额相同的取款记录。最新记录是现在!第一串的量比较??少,一排有几十个,应该是试用;第二串的量开始增加,正好在第10列看到了。赶紧叫醒几个同事去处理。这要是睡着了,一晚上不知道要带走多少。那个时候,我从来没有想过会有这样一个上线前扫描界面,直接刷卡提现的操作。如果我也直接去睡觉,第二天醒来的时候,我们就该收拾东西回家了。所以谨慎风险控制永远不会错。这时候黑产业就是你的对手,他们是冲着钱来的,会千方百计地寻找各种漏洞。其实大家应该都有过类似的经历,毕竟现在的黑产业真的是无孔不入。不管是线上活动还是正常运维,你应该都遇到过机器攻击,各种批量报名,发帖泛滥,刷积分,刷优惠券,刷票,刷榜单,爬虫等等,甚至诸如我遇到过扫界面刷界面,只有你想不到,没有黑业做不到。至少一堆垃圾数据干扰了分析,当虚假繁荣的泡沫破灭时,人们就会怀疑人生:为什么我的用户要装死?更重要的是,人财两空,花了不少钱,却全拿走了,收入也没有了。为什么要用来养你。或者服务器响应慢,甚至挂掉,业务直接中断。防止黑产是一个系统性的活动,毕竟黑产已经成为了一个系统。对于一般的小公司来说,风控真的不是随便做就能做到的(大公司都应接不暇)。它需要业务(业务规则和运营策略)和风险控制(风险识别和风险控制处置)。它们应该紧密结合以达到一个平衡点。如果你放不下它们,你会受伤;但是你不能把他们都拒之门外,否则你就没法做生意。这涉及到机会成本。选择获得某物,必然伴随着某种代价。业务规则和运营策略必须根据自己的业务来完成。每个业务都是不同的,需要结合业务形态和用户体验来设置门槛。虽然业务不一样,但是你要用你的产品,要参与你的活动,都得发起请求,所以一般的风控需求就落在了技术同学身上,从请求上控制。这里的风险控制主要是进行风险识别和风险处置。风险识别首先,风险识别很重要!只有知道了问题,才能解决问题,才能进行下一步的风险管理。如果你还停留在“不知道就是不知道”的阶段,那你只能用懵懂的方式迎接黑社会的洗礼。为什么这么说,对于“有症状”的请求,技术或许能够检测出来;但是黑产也知道“有症状”的请求会被发现,所以会有很多“无症状”的请求潜伏在里面,靠自己是很难发现的,因为潜伏期好像一切正??常。你以为他是一个正常的用户请求,等到突发的攻击来的时候已经来不及了。因此,有必要尽可能全面地进行风险识别。可以从用户身份信息、用户环境信息、用户行为信息等维度进行风险识别。用户身份信息用户身份信息主要用于一些需要实名制的业务,尤其是征信业务,如验证手机号码风险等。一个手机号就是一张物联网卡,就是接收验证短信骗贷。它甚至没有通话功能。基本可以判断为高危用户。大家通常通过手机验证码来判断手机号码是否真实有效,通过简单的验证手机号码是否可以接受短信。事实上,它可能没有效果。除了物联网卡还有收码平台,收短信验证码,但是你是这个用户联系不上。用户环境信息用户环境信息是标识用户设备和IP等设备环境信息。如果你了解装备牧场,应该很容易理解。一排排手机刷红包注册,收到红包后刷一下手机,又来了一批新用户。.设备侧的防御是比较高级的防御。想了解更多可以百度一下设备指纹。如果还是不会用,可以从下面比较通用的入手。用户行为信息目前比较常见的识别用户行为信息就是行为验证,也就是大家平时看到的滑动验证和拼图验证。这是目前最高效、最通用的人机识别方式。其原理是通过收集用户行为信息来判断用户是人还是机器。基本上可以阻挡机器攻击,用户体验比较友好。对于有风控意识的同学,行为验证是标配,用于注册、登录、发帖、防挤群、防爬等各种接口调用场景。但是,仍然有很多网站和应用程序使用图形验证码或根本没有验证码。可能是他们还没有尝试过当今先进的图像识别技术的威力,或者还没有产生值得黑人关注的价值。目前最好的应该是鼎祥,基本上是圈内公认最安全的。曾经在交流群里看到一个大佬,说之前在某大网站可以自由进出,突然就破解不了了,纳闷,后来发现他改了验证代码。而且,目前的行为验证已经结合了设备指纹、行为特征、访问频率、地理位置等多维信息,基本是账户安全必不可少的工具。如果想自己做,做一个滑动验证样式很简单,但是很难做到这种安全级别。风险处理一旦识别出风险,就该进行处理了。之前的风险识别只是识别风险请求,不会直接影响业务,而风险处理会直接影响业务请求。风险管理是按照风险规则和风险策略进行的,复杂的业务也需要建立风险控制模型。比如一个请求是可疑的,不确定是黑产品还是真实用户,就需要一个策略来处理这个可疑请求,拒绝?接受?再次验证?让它进来但还没有发布?这只是一种策略。想要形成真正能够保护企业的策略库,还得靠真金白银。除了你和你同事的工资,还有营销和推广的投入,尤其是偷来的那部分。尤其是你还不知道的部分被拿走了。而且和黑品的交锋是连续的,砸一次不行,还得一直砸,直到黑品觉得破解你的case成本有点高,才会觉得不赚钱,拍拍屁股走人。可能有人会想,难道我就用最严密的策略来预防不行吗?做风控的时候你可以这么想,但是老板和运营者应该想杀了你。连真正的用户都误杀了,生意还能做吗?所以前面说了,业务和风控需要紧密结合,需要找到一个平衡点,就像机会成本一样,是动态的,需要随时取舍。先说这个吧。防机器攻击只是风控的第一步。目前最普遍有效的方式是行为验证码。防了机器,就要防人工。毕竟有打码平台,有羊毛党。这些都是真人的真实操作。下次再说吧。如果大家有什么问题或者兴趣点,欢迎在评论区留言讨论。——————————————————有需要的同学看这里:无感验证:https://www.dingxiang-inc.com/business/captcha
