风控PM必知必会:互联网业务安全的黑灰产业链的故事
副标题[/!--empirenews.page--]
在互联网行业做风控,首先需要学会的是:你要知道你的对手是谁、他们是怎么做的、他们想做什么、他们在哪做、他们什么时候做(who,how,what,where,when),这样才能不断提高现有的业务风控水平,在不断变化的业务环境中get到新业务可能存在的风险点并做好对预知风险的防范措施。所谓道魔互博,只有对对手足够了解,才能不断提高风险防范水平,在用户感知不到的节点为所有业务部门提供业务的支撑保护。 不以盈利为目的的黑产都不是好黑产,如下图: 图一:黑产链的获利渠道 当然,我这里指的仅仅是电商/信贷行业的业务风险,对于互联网这个圈子而言,会被黑产盯上的行业太多,比如游戏私服、网络彩票、色情赌博等,但凡有利益的行业都会有人去干;而企业面临的黑产风险类型也很多,主要分为技术风险与业务风险,大体上可以如下分类,为了配合本文行文方便,对我所已知的风险做了如下分类: 表1:互联网行业面临的风险分类 当然这里对风险的分类其实并不准确,但是结合我之前的工作,本文想阐述的仅仅是表格中的阴影部分。 这些风险点对于企业而言就犹如溃坝的蚁穴一般,单个风险点损失不是很大,几千几万的损失而已,但是不加控制就会全节点开花。因此对于一家略微成熟的互联网企业,所面临的风险一定是多层次全方位的,单单只对一个节点的控制是远远不能满足业务发展的需要的。 另外,很想跟大家说的一点是,很多业务风险的黑色产业从业者基本没有太高的技术水平,他们是整个环节的下游部分,基于网络上形形色色的数据信息来钻公司流程规则的漏洞。 这些对于业务风险点的风控体系设计后续可能会单独另开一篇文章,但是作为一名立志要干好风控的同学来说,知己知彼,知道这些业务风险的黑色产业链对于做好风险点的业务防控至关重要,这么好学的宝宝真是一个励志的boy。当然,从业这么长时间来,通过各种途径接触了形形色色的黑产介入的欺诈场景,也在与同行的交流中收益良多。 黑产看似离我们很遥远,但是其实就在黑产早已遍布我们的身边,离我们是如此之近。欢迎本文的主人公王小明,一个机票代理公司的小白领,要用他的经历跟大家分享这些黑色产业链的故事。 支付盗刷(一)盗刷端
这样的案例屡见不鲜,且从有银行卡的历史开始就开始有盗刷。对于电商网站而言,对此也苦不堪言,因为品牌形象受损、资产损失赔付。但是王小明的卡到底是怎么被干掉了呢。 卡号、身份证信息、手机号的泄露 等等,excuse me?这个也叫泄露,难道这个不都是算是公开的了么,银行内部人员泄露、社工库、定制化数据脱取、公共场合不安全刷卡方式泄密等等,是不是有人还收到送pos机给你的情况?哦,对了,还有爱占便宜的刷卡送米送油的活动是可以的哦~ 图二:盗卡渠道 验证码窃取 一张图,不多说,诸多技术手段老实说我也不是很了解,但是只想说,短信验证码绝对不安全。 图三:手机验证码泄露渠道 其实很多时候验证码泄露并没有想象的那么难,就跟我文章刚开始说的一样,业务风险方向的很多黑产是基于最简单的流程漏洞和人的心理,利用社会工程学很有可能就捞到验证码信息。 这里举一个曾经非常有名的利用社会工程学窃取G行网银用户验证码的案例:
这一起案例到底有多少G行客户收到影响、金额是多少至今我没有拿到有效数据,但是从我与G行人员的接触来看,这批案件已经惊动到了G行总行高层,所以金额不会少。 让我们继续说说王小明:
(二)销赃端
|