6000字长文，详解黑色产业链的攻守道

　　一个常识就是：做反欺诈一定是要有对抗的实战经验的，否则光靠看了几篇微信公众号文章只会陷入凭空的猜测，以及看似理想化的策略当中。而在促销活动的反欺诈工作中实战经验更是难能可贵，因为你会遇到太多的业务流程漏洞、系统漏洞、人性的因素等等。
　　虽然过去了已经两三年，但是想起自己曾经经历过的一场跨度一年的促销活动，现在想起来依然受益匪浅自己绝大多数的风控意识也是在那个时候培养起来的，所以这场目前看起来很简单的促销活动，我决定还是花一整篇幅进行阐述，前前后后大概写了两周左右。
　　双十一刚过相信不少人都在吃土了，阿里京东等都有大量的促销活动，目前两家在促销这块的反作弊已经做得逐步健全，想薅个羊毛已经没那么容易了。
　　其实，对于现在稍微有点规模的电商企业而言，随便一场促销活动，不管策略是否有效，或多或少都会去做一些设置性的门槛。可能技术方案和流程方案会有很多漏洞，但是至少也说明现在的电商企业从公司上层到执行者、从运营到技术都已经有了反作弊风控的意识（不过二线城市的互联网企业能贯彻这样的思想意识大概迟了2年左右）这是我们这些风控从业者所期待看到，因为这会在公司内部大大降低推进风控方案策略的阻碍。
　　但是，也并不是无洞可钻。
　　比如在双十一期间，从某电商SN内部得知，他们的支付随机立减活动也被人刷了，得到大奖的人采用了某种手段得到了支付随机立减4999的机会。
　　不管怎么样，这样那样的漏洞总是无可避免的，有很多坑是需要我们栽过之后才能记得的；但是只要拥有风控思维，有坑填坑有洞补洞，才能最大限度的提高类似案件的作案门槛。
　　互联网公司的风控部门一直都存在，但是主要是来源于第三方支付和银行的支付环节的风控思维，反作弊风控的这波意识思想浪潮也是近几年才逐渐普及的。
　　时间往回倒三四年，尤其当时刚刚盛起的O2O创业浪潮，反作弊风控的思想很少有人去尝试了解；而公司的发展战略依然是拉新、拉新、拉新，然后在发现留存率低、复购率低、人均ADR低等等（当然低，来的都是假用户），然后一堆又一堆的创业公司活活被羊毛党薅干。
　　可以说，不重视反作弊风控的互联网企业都死了，留下来的是其中能够及时将反作弊思想及时自上而下贯彻公司。比如滴滴、美团都在业务发展期对风控策略和数据层面投入了大量硬件和人力资源。
　　我今天想说的三年前我参与的一场促销活动，那个时间点大概是反作弊风控思想从蛮荒走向繁荣的一个过渡期，也算是整个互联网业务风控领域黎明前的黑暗。在这场持续了一年的促销活动中，与黑产大军的攻守之道也很好的见证了这个在这个过渡期中双方的成长。
　　一、背景
　　1。宏观：大环境影响
　　2014年的互联网行业，人人都像是打了鸡血一般，国家政策引导，人人创业万众创新的推动，整个互联网行业的人异常兴奋。又有滴滴这样的独角兽的产生，更是有如催化剂一般。
　　那个时候的创业公司多如牛毛，在2014年下半年到2015年上半年尤甚，这一幕与当时的A股疯牛格局刚好对应。
　　在那个时候巨量资本在股市之外，也投入了天使的创投行业，整个大环境就是人人都觉得自己能够改变世界、超越阿里，不谈O2O都不好意思说过自己做过互联网。
　　2。中观：行业因素
　　整个互联网行业在那个时候进入了一个躁动期，那个时候北京望京、西二旗，出去吃个饭，路上扫个码下个APP都能捧回一大圈小礼物，简直就跟超市的免费试吃一般。烧钱、补贴、融资、再烧钱已经是一个互联网创业企业的必经之路。
　　OTA行业已经发展了十几年，市场已经相对成熟了；但是这个行业里面总有一些你无法想象的搅局者。
　　在OTA行业这个已经迈入红海期的成熟的互联网产业，面对搅局者这些成熟的OTA企业也不敢有一丝放松，因为市场份额很明显的就显现出来，哪怕一个已经拥有数千万用户的上市OTA公司，在这一块也要面临激烈的市场竞争。
　　你无法想象你的竞争对手为了侵蚀你的市场份额用了多少肮脏的手段，但是市场如此，不得不面对。
　　或许受到创业企业的氛围影响，OTA行业也逐渐走到这种负利的时代，因为你不贴钱，你的对手马上就要超越你的市场份额了，整个OTA行业也焦躁不安。
　　3。微观：企业自身诉求
　　面对这样的格局，每一个企业都很难置身事外的。就如我曾经供职的某家OTA企业一样，面对酒店市场份额逐渐被侵蚀的状态，也主动加入了这场价格大战中，高返佣、高营销，以费用换取用户数、DAU、市场份额。
　　从大环境、到行业到企业自身诉求，在那个阶段，不可避免的都要走上这样的路子。
　　在那样的背景下，OTA行业正处于往移动互联时代转变的时候，为了鼓励用户使用APP，就使用了“APP预定酒店享受五折优惠”的活动，这个活动就是今天文章的主线。
　　谁也没想到，这个活动会持续了一年之久，在这一年时间里慢慢摸到了黑产的链条，也见证了这一领域的成长。
　　二、黑白“攻守道”
　　这场持续了一年多的促销活动现在回想起来很精彩也很惨烈，经历过实战对抗的方知反作弊的真谛。
　　回望过往，这场“app预定五折”活动的“攻守道”大体可以分为以下四个阶段：
　　阶段无知无畏，表面风光
　　竞争对手Q家率先上了预定五折的活动，为了紧急跟进，我们也立刻上了该活动。一开始限制的措施是每个用户在单个自然月可以享受一次预定五折立减的机会，并做了限制账号、IMEI和支付银行卡号的限制我们一开始认为这样的限制对于一个正常用户而言已经足够，但是事实远远出乎我们预料。
　　2014年的时候，绝大多数互联网公司没有过类似的经历，比较早吃这些羊毛党亏的主要是一些团购、外卖行业。于是无知者无畏，在14年那场互联网盛宴泡沫中，所有的互联网企业都高潮了不管是老牌互联网企业，还是新兴的互联网企业，都加入了这场绚烂的泡沫中。
　　在仅做了上面的限制，在14年底就上线之后，来自app预定量不断攀升，稍微大点的城市都是每个月几千间夜的五折订单要知道一个大型的OTA公司，在15年的时候全年也就几千万间夜的住宿量，这真的是一个很可怕的数字。
　　所有人都沉迷在这场数字的盛宴中，看着各个城市、各个渠道、各类型酒店的app预定量都不断攀升，地推团队的收入月月荷包满满，跟竞争对手的线下短兵交接愈发严重，大家都沉浸在与竞争对手明面的交锋上，每天讨论的都是在某个城市把竞争对手给干了。
　　阶段被动防守，头破血流
　　这样开心的日子一直持续了好几个月，直到15年初风控接到一家忠实合作的酒店的电话：你们平台被多少酒店骗了五折订单都不知道，我都看不下去了。
　　后知后觉的风控同事才联同技术紧急排查：先筛查异常五折订单量的酒店，再查这些酒店的订单，回拨客人电话回访、查看支付宝微信支付号码、查看下单IP等等，通过这些现在看来本应在事前就能拦截的手段被动防御。
　　这些酒店在OTA平台支付订单金额的50，到账期日可以获得90的订单金额（10的平台佣金）。当时查出有明确证据且情节严重问题的酒店有数百家（相信只是一小部分订单），冻结的订单违规获利金额大几百万，最多的一家酒店查出违规订单数千张这还仅仅只是上线近四个月来有明确证据的严重行为，还有很多都是睁一只眼闭一只眼放过了。
　　查证出来之后只能采用事后追责机制。
　　但是很遗憾，发现特别严重的酒店已经提现跑路了再也找不到了，来不及跑路的酒店款项被冻结之后拒绝承认类似行为；于是不停的撕扯，上升到法务出面酒店当地的案件总共四起，上诉法院的有2起。有些案件追损额已经不划算了，但是公司领导对此事件表示出非常强势的态度，所以风控处理起来一直保持坚决的态度，哪怕地方市场人员多次斡旋我们也从来没有让步过。
　　后来证明：保持强硬的态度效果很好，基本上所有的酒店都认可了处罚机制，稍微强硬的法务出面也能解决，一直不解决的我们也是在拖着。
　　阶段前后夹击，策略先行
　　于是，风控的运营多了项工作：
　　人工排查订单量异常酒店
　　证据查找、确认酒店欺诈
　　通知冻结预付款
　　与酒店的协商处理
　　这项工作占据了风控运营大量的日常工作时间，因为更多的时候是在扯皮。
　　事情的演变比我们预料的更加严重：15年5月份的时候开始发现除了有酒店大规模作案之外，在TB上也出现了大量‘代客预定五折酒店’的服务，这下风控工作可就难办了这种代客预定服务酒店方面是无辜的，所以从酒店维度去排查是难以找到异常的；而这些人会换IP、换IMEI。
　　曾经装作顾客跟TB店主电话过，一个广东人，他很骄傲的说我有好几万张手机卡（当然不排除用了接码平台在吹牛的可能），而这些淘宝店主销量都有几千，大概好几十家。
　　有了之前那样被打得头破血流的经验，这次处理起来就有点游刃有余，系统上的对接较慢就先从策略上先做，比如我们结合前端业务做了很多措施：
　　每家酒店结合星级、房量、历史数据及专业经验等因素有单日促销房间数量上限
　　全款支付，入住后返还50金额，提升资金门槛。入住当日在酒店归属地2公里范围内方可申请返现
　　‘支付唯一性限制’从快捷支付到支付宝等第三方支付都有在做，不能拿到账号的支付方式一律禁止在该活动中使用
　　活动规则由单用户每月预定一间改到仅允许新用户预定
　　以上的所有策略都是我们主动发起的，所做的一切都是开始主动去提升风控的防御水平。
　　虽然策略很粗糙、绕过也很容易；但是显而易见的，作案门槛已经开始逐步提高了，我们的损失也开始逐步降到可控水平。
　　阶段立体进攻，纵深防御
　　在做了被动性的防范策略之后，针对该活动开始主动性的做了全流程的防范措施，这些防范措施在目前来看是比较简单的：
　　A注册环节的黑卡监控
　　现在我们都知道注册环节很多黄牛行为都来自于“卡池”，在当时哪个场景下，确实也是花了很久才了解到这一特性。
　　我们只知道这些电话打过去都是空的，主要归属地是广东东莞、深圳、福建福州、黑龙江齐齐哈尔、江西南昌、湖南等地方；一开始的时候会有风控运营人工拨打类似电话来确认酒店诈骗的证据链但是这样的处理手段极其低效。于是，在对接了多家外部数据供应商之后，选择了其中一家外部数据供应商防范类似的黑卡行为。
　　业内有太多的类似数据供应商，其实本质上都大体相同，最关键的是要有一套行之有效的数据更新机制；要不然等到X个月之后号码被重新再次利用，缺乏更新机制的数据对于企业的业务发展来说更是一剂毒药。
　　B订单完成后的事后监控环节
　　延长用户在整个业务中的流程链看起来是一个比较差的用户体验，但是其实也是提升用户粘性的一个过程。
　　在这场活动中，风控主动发起：要求所有的五折订单优惠以‘返现’而不是以‘立减’的方式，即所有用户需全额支付订单金额，订单完成后申请返现到自己的个人账户中。
　　这样的改动无外乎是为了提高用户的操作环节，而操作环节越多风控系统可以监控的点也越多。任何一次申请返现到个人账户、申请提现到个人银行卡、使用现金账户支付的行为都有可能暴露一个欺诈的踪迹，对于酒店环节的团伙作案、或者代订五折酒店这样的零散作案，整个流程下来，风控可以拦截得酣畅淋漓。
　　C业内作弊案件分享
　　在摸到整个业务流程的脉搏之后，风控的视野从公司内转向公司外，与友商更多的沟通交流和分享。
　　结合业务特点，细分的欺诈方式是多元化的，其他行业的风控经验在这个行业是不适用的；而随着业务格局的不断细分，其演变出来的作弊方式也是多样性的；因此及时与友商沟通，分享最近的欺诈案件和欺诈手法，有利于及早部署先验的反欺诈策略，避免更大的损失。
　　在这个促销活动的末期，我们也积极组织了与友商的多长沟通交流，确实收获良多；另外，黑名单的共享机制也是非常行之有效的共享方式。
　　三、事后总结
　　1。态度强硬，做好攻坚
　　这里的态度强硬主要分为两方面，一是对外，二是对内。
　　1）对外
　　在一开始遇到这起案件的时候，很幸运当时负责风控的VP态度非常强硬：只要风控有明确证据的，一律冻结账户扣除违规款项，否则永不合作。当时有多地分公司遭到地方酒店的强烈抗议，甚至有纠结地方黑恶势力影响分公司正常办公的情况；但是哪怕在这样的情况下，总部这边也没有拒绝妥协，由法务出面解决多地的类似问题。
　　结果相对而言还是令人欣慰的，替公司挽回了百万计的损失。
　　如果没有公司高层从态度上的支撑，有可能没办法支撑住这么大的外部压力，领导对类似案件的态度至关重要
　　2）对内
　　业务导向性的互联网企业尤其是电商类的企业，对于业务的重视程度不言而喻；所以如果风控对外没有一个较坚决的态度的话，公司内部的业务流程很多都会绕过风控，造成损失之后很多时候都是风控来背锅。
　　所以需要几次自上而下的推动，对风控外部的业务流程需要有非常坚决的态度，全程参与到业务流程的制定过程中。
　　2。业务导向，策略先行
　　在遇到风险的时候，很多都是需要业务小伙伴的理解和支持的，因为从他们的角度触发做的一些工作可以很好的解决风险问题。
　　比如在这次的活动中，我们的业务小伙伴就很给力，在风控系统和运营工作没有充分运转的情况下，业务小伙伴可以在风控的指引下通过一些策略、手段很好的去降低损失水平。这在以后的风控的工作中会发现，通过业务方式来主动进行一些防范性的策略措施，短期效果会非常明显。
　　因此，不管任何的风控工作，都需要风控和业务主动合作，以业务为导向执行业务上的策略，在风控系统作用未能前置的情况下业务上的一些策略改变效果是很好的。
　　3。统一认知，全程管控
　　业务跟风控是一对相爱相杀的小伙伴，但是在风控的工作中很多时候都需要业务的支持。在紧急关头业务主动帮风控承担一些风险的时候，需要风控系统不断提升自己的风险防范能力，在业务流程的关键节点从前至后做到全程管控。
　　而风险的意识，需要我们在一次又一次的坑中去贯彻类似的风险意识。
　　当时的效果也是比较诧异的，各业务部门甚至客服部门在活动展开之前，或遇到特殊场景都会及时与风控进行沟通，梳理业务流程，听取风控在业务流程上的建议（可能是为了怕背锅）。很显然，自上而下的贯彻全员的风险意识是降低整个业务流程损失的重要因素。
　　4。小结
　　这场促销活动过去已有2年之久，但是非常感谢这次活动的历练，因为我后面绝大多数的在与黑产对抗上的经验教训都来自于在这次活动中一次又一次栽的坑。