编者按:本文来自互联网怪盗团(ID:TMTphantom),作者怪盗团团长裴培,创业邦经授权转载。题图来自tuchong.com
《骗中骗》是我特别喜欢的一部好莱坞电影。在这部电影里,反派大Boss、芝加哥黑社会老大罗纳根坠入了一个彻头彻尾的骗局:他来到了一个假的赛马投注站,这里的所有人都是演员,收音机里传出的赛马消息也是编造的;他向街角的酒吧酒保询问投注站的底细,那个酒保也是假扮的;他在一个路边电话亭里听到了“独家赛马消息”,可就连这个电话亭都是假的。
请允许我剧透一下:最后一群FBI探员冲进了投注站,予以查封并驱逐了黑社会老大,而这群探员同样是假的……做戏就要做全套,只有影片最后五分钟发生的事情是真的。
你可能会好奇:在这一场包罗万象、惊天动地的骗局里,到底有什么是真的。答案很简单:黑老大的钱是真的。他带了五十万美金到投注站,企图大赚一笔,结果全部被骗走了。那可是1930年代的五十万美金啊!最后他甚至不敢报警,因为他以为警察已经介入了(其实也是骗子一伙人)。这个故事很好笑、很解气,因为黑老大是反面人物;不过,如果上当的那个人是你,别说被骗走五十万美金,就算被骗走五千人民币,恐怕也笑不出来了。
2018年,国家全面整治P2P小贷行业的时候,我跟几位前校园贷从业者(已经金盆洗手上岸)深聊过几次,听到了很多让人大开眼界的故事——简直可以拍几部生动惊险的电影,如果能够过审的话。其中一位告诉我:“很多大学生本来是想做正规兼职的,但是无良中介骗他们签的却是校园贷合同。大学生嘛,你知道,基本都是不看合同条款的。给他们几百块兼职费用,他们就背上几千块的债咯。”
我问:“后来怎么样了呢?”
“后来当然还不起——高利贷的利息那么高!而且无良中介本来就没指望你还清。然后你就任凭他们摆布,出卖自己的一切了。很多无良中介还经营用假身份办信用卡的业务:你想想,他们的真实身份证、真实联系方式都是从哪里来的?出事了背锅的人到底是谁?”
我还在努力咀嚼他说的话,他又补充了一段:“我见过闹得最大的,就是有个大学班长,拿着全班同学身份证去做贷款,赌球。输了,自杀了。全班人都要给他还贷款,这还不是最绝的;你想想,全班人的身份证被拿去干什么了?”
很显然,市场上多出了几十个可以用来申请正规贷款、信用卡、刷单、排号的身份信息。由此会产生多么庞大的黑产收入,不得而知;可以确知的是,黑产会揪住一切机会往死里打。2017年,腾讯云跟某金融公司合作做了一个研究:选取5249个用户放贷,不设置任何的风控策略,申请即放贷,每一笔都是三千元左右。结果,在30天期满之后,超过20%的用户没有偿还贷款(或者说,不良率高达20%)。
我曾经认真研究过一阵子“三和大神”,也就是在深圳三和人才市场混吃等死的自由而无用的灵魂。“三和大神”一般分为两种:卖过身份证的,以及没有卖过身份证的。前者还可以进一步分为两类:卖过一次身份证的,以及卖过多次身份证的。一般而言,身份证第一次卖最值钱,越卖就越不值钱(取决于被搞了多少“案底”)。如果三和大神特别缺钱,收身份证的人还可以提供更高价的选项——例如让三和大神手持自己的身份证拍照,以及对着摄像头眨眼、点头、说一段话之类的。
多年以后,当三和大神回到家乡准备做个小生意,却得知自己被列入“失信被执行人”名单时,可能要花很长一段时间才能想起自己对着“收身份证大仙”的手机点头的那个下午。“收身份证大仙”及其背后的二老板、大老板们可能已经跑到澳洲的临海别墅里低调种田,也可能在某个城郊看守所里老实交代——这就得看他们的造化了。至于银行、保险公司或其他金融机构被骗了多少钱,那也得看造化了。
2020年发生了两件特别大的事情,它们都足以让各路互联网黑产集团跃跃欲试,也足以让三和大神或受骗大学生的身份证卖出更高的价钱:
首先,银保监会起草了《商业银行互联网贷款管理暂行办法(征求意见稿)》,目前公开征求意见工作已进入尾声。在此之前,大批城商行、农商行是没有信用卡业务资质的;如果这个《办法》正式实施,这些银行就相当于获得了“互联网信用卡牌照”,可以名正言顺地进行面向个人及中小企业的互联网贷款业务。
其次,在上半年的疫情高峰期,“零接触银行”,也就是物理隔断、没有人身接触行为的银行业务,成为了常态。就算疫情平息,“零接触银行”也可能会常态化,用户会习惯使用银行App、小程序,或者无人值守的智能设备进行身份验证并办理很复杂的业务,毕竟这样更方便、更灵活。
那么问题来了:银行如何去抵御无孔不入的互联网黑产?直到今天,很多人还对黑产的力量一无所知。大部分城商行和农商行甚至没有独立的风控体系——这意味着上百人的风控团队,还需要强大的IT系统。即便看似很完善的风控体系,在黑产大佬面前可能也是纸糊的。别忘了,三和大神为了几百块钱能做出什么,涉世未深的大学生又会在黑中介的忽悠之下做出什么!
上述问题到底该怎么解决呢?一句话:解铃还须系铃人。互联网黑产,只能用互联网公司的方式,由互联网巨头出面去打败。至少,发达国家市场的经验是如此:在美国,亚马逊、微软于2019年推出了自己的反欺诈解决方案;Gartner认为这可能是在线反欺诈市场多年以来最大的变局。在中国,腾讯的“天御”反欺诈产品也入选了Gartner的这份报告。
(Amazon Fraud Detector的报价,不算太便宜)
简而言之,亚马逊、微软以及腾讯这样的大型互联网公司,会利用自己体系内的庞大数据及技术能力为金融机构提供风控服务。亚马逊使用的是海量的电商历史数据;微软使用的则是更广泛的、基于大量事务数据的混合ML模型。至于腾讯就更不用说了,它一直就是黑灰产进攻的重点目标,从当年的QQ到现在的微信,腾讯在对抗中积累的黑灰产相关数据规模非常庞大。将这些活生生的、高度实用的黑灰产数据,脱敏之后建立人工智能反欺诈模型,可能是目前对问题的最优解。
这也是国内监管部门希望互联网公司做的事情——从2017年开始,央行等金融监管当局就强调,互联网公司不应亲自上阵发展“金融表内业务”,而应该把这些业务留给持有牌照的金融机构去做;互联网公司应该基于自己庞大的客户和数据体系,对金融机构提供科技服务。从那时起,“互联网金融”公司纷纷强调自己的“科技”色彩,收缩甚至完全退出了表内业务。站在互联网巨头的角度,这个选择也是合情合理的——传统的银行、券商或消费金融公司,往往只能享受1-2倍P/B甚至更低的估值倍数,而软件或科技服务公司的估值远远更高。如果它们能为金融机构提供急需的风控服务,金融机构完全有意愿也有能力付出报酬。
我从腾讯云的朋友那里听到了一个典型案例:2020年1月27日下午4时,某银行的微信网贷业务平台突然出现了新增用户激增、授信通过率骤降的情况;根据经验判断,这显然是一次黑产团伙“撸口子”的试单攻击。腾讯云天御安全团队通过客户数据分析,发现了问题所在:
超过90%的新注册客户来源于搜索;
90.6%的新注册客户的身份认证信息来自自己地理区域以外;
授信拒绝原因显示,新注册客户多为具有不良征信记录的客户,具有明显的撸口子黑产特征;
后续发现,黑产攻击的源头是一款贷超类(贷款超市)APP。
既然已经判明了攻击的性质和来源,扑灭它就很容易了——只要修改风控策略,就可自动拒绝具备上述特征的贷款申请。不过,如果没有互联网公司的数据及技术介入,在春节疫情期间的“无接触”状态下,这样的“撸口子”攻击能否被抵御住,就要打一个很大的问号。
(互联网黑产不断进化,现在已经进入第四阶段)
差不多两年前,我曾经跟朋友讨论:互联网行业究竟诞生了几种常见的商业模式?显然,游戏、电商、广告、直播都算,内容付费、知识付费也算;就连制造概念忽悠投资者的"To VC"模式,可能也算。最后,朋友提醒我:“你还忘了一种特别强大、特别普遍的商业模式,不过这个模式下永远不可能产生上市公司。”我马上理解了:那就是灰产。互联网黑产的技术手段进步非常快:建手机墙、采用群控软件模仿真人自动完成操作等新型科技手段,甚至雇佣真人羊毛党通过广播平台与APP分发任务完成刷量指标。电商、直播、游戏……只要有福利、有补贴、有优惠,就是黑产刷单的重灾区。
不过,电商、直播、游戏等行业遭受的损失,与金融行业比起来,就是小巫见大巫了。电商平台可能被刷走几千件礼物和优惠券,游戏平台可能被刷走数十万个新手礼包并转卖——由此导致的实际损失,很可能还不如一笔不良网贷的损失大。电商、直播、游戏公司可以对黑产睁一只眼闭一只眼,但是金融机构对黑产只能采取零容忍的态度。一旦金融机构的风控体系出现漏洞,训练有素的黑产团队可能在一夜之间制造巨大的不良资产,甚至直接威胁它们的生存。
过去几年,互联网巨头一直在发展To B业务:在移动流量红利耗尽之后,大家都盯着广阔的、很大程度上尚未开发的企业服务市场。现在看来,金融科技和反欺诈可能是一个重要突破口。正如Gartner在2020年5月的报告中指出:凭借着成熟的市场地位、分销渠道和广泛的交叉销售机会,亚马逊与微软有可能在“数年之内”颠覆在线反欺诈服务市场;Gartner也提到了一家中国公司,那就是腾讯。
如果上述领域未来几年能够产生一些独角兽公司,并且为现存互联网巨头增加巨大的收入成长空间,我不会感到奇怪。当然,由此是否会导致三和大神的身份证不再能卖出价钱,或者“收身份证大仙”作为一个职业彻底消失,也是非常有趣、非常值得关注的。
本文为专栏作者授权创业邦发表,版权归原作者所有。文章系作者个人观点,不代表创业邦立场,转载请联系原作者。如有任何疑问,请联系editor@cyzone.cn。
