编者按:本文来自微信公众号“半佛仙人”(ID:banfoSB),作者 半佛仙人,36氪经授权发布。原题目《咳血的独角兽4|血腥丛林中的无底线战争》
1
现代商业竞争,是一座赤裸裸的血腥森林。
资源是有限的,投资人的钱是有限的,用户是有限的,用户的时间是有限的,用户的注意力也是有限的,什么都是有限的。
但资本的欲望是无限的。
有限与无限的分割线下,竞争常常没有底线。
所谓的友谊竞争互相成全一段佳话,全都是屁话。
和平是打出来的,体面只是势均力敌的迫不得已,但凡有机会,大家第一时间就会把道德丢到地上踩上一脚。
丛林法则从未变过。
两家相同领域的公司竞争,如果产品本身没有本质性差异,那么大家比的就是谁下限低,谁更不讲理。
需要承认的是,如果两个人打架,一个有底线,一个没底线,在实力差不多的情况下,大概率是没底线的公司获胜,因为他们求胜的心已经超越了道德的束缚。
什么手段都可以,只要后果公司可以承受,就可以去做,哪怕背负骂名。
只要自己一家独大,完全可以动用大量的资源来洗白自己,人们的记忆只有3天,总有数不清的热点要追,谁有在乎谁呢?
这一切无关正义,只是生意。
今天讲的是风控中的进攻者的故事,在商业竞争的森林中,各大公司的风控们为了各自背后的利益在相互厮杀,赢者吃下一切。
现在,狩猎开始。
2
正常人理解的所谓的攻击竞争对手,无非是使用比对方更大的折扣,给客户更多的优惠,又或者在某些关键供应链上要求2选1,都不是什么秘密。
但真正有效的攻击,需要足够的想象力和执行力。
很多时候更重要的是借力打力。
作为企业盾牌的风控们,掌握着大量的企业漏洞与防守知识。
如果这套技能用在进攻上,同样也会是最锐利的矛。
这根矛配合足够聪明的运营,技术和市场,可以瞬间洞穿对方的心脏。
前一段时间,某著名云音乐软件下架一个月,就是一套完美的攻击策略组合。
该软件最大的特点是有着非常多精彩的乐评,评论区文化配合很多原生的民谣,产生了非常多忠实的用户。
攻击的开始,是一张无法追溯来源的图片,主要内容是某某云音乐的会员(需要付钱买)现在搞活动,删除APP后再安装,就可以免费送3个月。
一时之间很多人删除了APP,但是由于APP下架,所以删除过后没法再安装(起码要1个月才上架),然后就成了一个尴尬的状况,大量用户表示自己被骗了,非常生气。
为此,某某云音乐官方也发布了声明表示是谣言。
由于这种事情本身比较检测智商,所以并没有造成大规模负面舆论,倒是被人当做段子开始传播,攻击者的目的就在于此,把传播做起来,把某某云音乐摆到舆论的风口。
然后真正的招数是,在其APP的热度起来后,开始大量传播其APP删除用户本地音乐的内容,激发用户的愤怒,进而趁着这1个月的下架期,给予其最大的打击。
这个话题上了微博热搜,大家纷纷在怒斥该APP无耻,一时之间该APP的口碑跌入谷底,很多人都表示自己的本地音乐被删除了,然后再也不用该APP了,虽然该APP多次表明自己没有这种行为,同时还报警了,但这个标签目测要在身上贴个一段时间了。
这对于他们原本今年计划的上市和商业化计划都是重大的打击。
这套攻击最精妙的地方在于,该APP对于用户的本地音乐确实是有操作的,这个操作不是删除,而是格式更改和屏蔽。
音乐行业都是交叉授权的,产品方必须配合版权方来做打击盗版。
假如用户本地有一首音乐是没有授权的盗版,此时音乐类APP就会把该首歌自动修改为APP专属格式,并屏蔽播放和搜索,主要帮助保护版权。
我不评价这件事情是否合理,只能说这是音乐版权行业的一种潜规则。
所有音乐类APP都有这个问题,只不过这个问题多数用户是不知情的,用户看到的只是自己过去存的一些歌没有了(其实是版权方要求屏蔽的,音乐类APP只能配合版权方),再加上一些引导,很容易就被理解为是APP强行删除用户文件。
这一套攻击,时间,题材,传播,产品切入点都完美,效果也非常棒。
堪称经典。
3
很多公司对于风控的理解是非常粗浅的,在他们看来,风控可能就是所谓防刷单和防止内部腐败,确实绝大多数业务风控就是干这个的,但是企业其实面临的风险,远远不止这些。
内容攻击,已经是目前最流行的攻击竞争对手的方式。
所谓内容攻击,就是利用对方APP中可以展示内容的地方(例如评论区,例如论坛发言区等等),进行黄恐暴内容的饱和录入,然后引发对方APP被大量投诉,然后被下架,打乱对方的产品迭代发布计划,给自己争取有利的竞争窗口。
很多短时间下架的APP,就是被竞争对手使用了内容攻击。
某知名内容APP,很多年轻人都在用,可以使用文字,图片,来进行社交,分享各种趣事和沙雕图片,但是就在内容攻击中下架了,内容安全已经成了很多APP的核心弱点。
但可惜的是,很多APP对于内容安全的重视程度都不够,人类的本性就是喜欢黄恐暴,很多社交产品早期就是靠这个起家的,很多公司觉得这东西既然能有流量,岂不美哉?干脆先污染后治理得了。
在互联网文明越来越重要的今天,这种流量思维会害死公司的。
而攻击者们,则愈加肆无忌惮地利用内容来攻击竞争对手。
例如某知名95后00后陌生人匿名社交APP,近期就遭遇了潜在对手的饱和内容攻击,由于产品本身是支持声音的,并且还是全匿名的,这就诞生了大量操作空间,不需要很复杂,只需要把大量黄色音频灌入,密集且持续灌入,然后举报即可。
声音本身的可变性太多了。
音频的色情黄恐暴过滤,目前属于一个行业的技术难点,主要的实现方式是快速把音频转换为文字,然后利用敏感词来过滤,但这并不能完全解决谐音字和娇喘的问题,并且成本极高,如果不是巨头,创业公司那点融资还不够买语音转换的费用的。
这是一个现阶段近乎无解的攻击方法,当然也不是完全无解,只不过比较考验风控的功夫,没有经历过绝望的风控是不会有成长的。
4
同样是内容攻击,黄恐暴攻击比较适用于社交类产品,针对其他类型的产品,最流行的是垃圾信息和广告信息攻击。
如果你打开一个APP,发现里面大部分的信息都是非常垃圾的广告,并且广告已经影响了自己的使用,你是不是会特别愤怒的放弃这个APP,然后转投其竞争对手?
没错,这就是攻击者想要的。
这种内容攻击往往是通过拆解对手的APP,然后利用接口写入的方式来录入大量垃圾信息,例如前段时间某出行APP被大量用户投诉说打开界面里面全都是垃圾广告,各种某出行的广告和加微信的广告,从用户昵称到内容到订单信息,全都是垃圾信息。
当时一度在社交媒体上闹的沸沸扬扬。
这是非常有趣的一箭双雕,同时黑了2个竞争对手,第三者左手渔翁之利。
内容攻击的另一种形式,不是使用垃圾信息填充,而是使用完全真实的假订单来挤占真实订单,这多发于电商类APP。
某纳斯达克上市的知名社交电商APP,就遭遇过假订单的批量攻击。
他们每次只要一搞促销,一搞秒杀,就会有大量机器来下单,下单后也不付款,目的就是要快速把活动商品的购买权占满,让真实用户无法购买。
即使电商平台修改库存机制或者使用补货,也往往已经错过了时间流,之前铺垫了很久的大促信息,用户的所有期待都应该在大促的一瞬间引爆。
在这种时候给踩一脚刹车,造成的后果是非常严重的,甚至可以毁掉一个策划已久的活动,造成对手大量的资源浪费。
还有一种内容攻击,与业务无关,与人有关。
现在很多招聘网站都在明里暗里销售用户的简历,于是就有公司想到了用这个方法来打击竞争对手。
最常用的方法就是从招聘网站那边买到竞争对手的关键人员信息,然后不停地发面试邮件,注意,是发邮件,不是打电话。
邮件内容从面试邀约到薪酬确认到后续工作安排应有尽有,如果被竞争公司看到的话,会很大程度上怀疑员工的忠诚度,这个关键人员,基本就算是废了。
某著名电商公司就层对某著名信息流公司发出过这种攻击,一时之间对方人员动荡。
杀人不见血。
5
我说了,进攻,最需要的不是技术能力,而是想象力。
很多被证明有效的套路,其实实现起来并不困难,要的是动脑子。
现在已经是大数据年代了,国内兴起了很多大数据独角兽,其中最大的几家的其中之一,其底层的数据库是被污染过的。
当初这家公司成立不久,疯狂的在市场上收购数据,甚至黑市也没有放过,那时是2017年6月1日之前,个人隐私法修正案还未生效。
他们自以为自己做的天衣无缝,但是早已被竞争对手盯上,这家竞争对手卖给了他们一批质量非常高的数据,但这个数据是被污染过的。
大数据公司最重要的核心资产是黑名单,竞争对手把优质用户的白名单当做黑名单卖给了他们,他们一时之间没有察觉,最终造成的就是数据库的失效,后续他们的黑名单产品在市场上就很难卖出去了,因为区分不出好坏,整体的融资节奏和业务发展规划都受到了很大的打击。
这个问题至今还未解决,业内最懂行的人往往不会使用他们家的数据产品。
更有想象力的进攻手段,是直接强占竞争对手的潜在客户。
某家知名O2O公司,为了让自己的用户不至于流失到竞争对手那边,直接使用自己用户的手机号和个人信息,来批量注册竞争对手的APP账户。
这样导致的效果是,当自己的用户想体验对方的APP时,会发现自己的手机号其实已经被拿来注册过了,导致自己无法再注册,如果想找回账户,由于留的信息全都不是自己的,只有手机号是自己的,导致无法追回,于是这个手机号就死了。
而绝大多数人也没有驱动力强到非得用某某不可,某种程度上这就构建了一个神奇的护城河。
再讲一个有想象力的进攻手段,也与用户身份有关,来自换脸。
人脸识别已经成为了很多APP的标配,但其实根本就没有什么所谓的真正的人脸识别。
所有人脸识别的核心原理就是拿着两张照片来进行比对相似度,然后输出一个分数。
由业务方自己决定多少分数通过,多少分数转人工,多少分数拒绝。
即使是同一家人脸识别公司,不同业务方设置不同的通过策略,也会有完全不同的效果。
诀窍就在这里,利用大量的用户身份证,外加技术把身份证上的静态图做成动态,去骗竞争对手的实名认证,然后彻底断掉这个用户成为对手用户的情况,同时如果对手有做推广,还能够骗对手的广告费。
当然由于涉及到用户资料的隐私,这部分一般做的都是外包给黑产做,而且不会去用自己的用户做(这么一搞岂不暴露自己),而是用黑市上已有的资料去做。
所以当某些公司发现自己用户量暴涨,但是日活却没有明显提升时,需要想一想,自己是不是被攻击了,而不是仅仅骂投放的人是SB。
6
前段时间,两家超级外卖公司掐起了官司,这次不是外卖员打架,也不是飞单,也不是互相贴海报恶心对方,这些都是常规操作。
核心原因是某一家公司拥有另一家公司的很多核心数据,然后被发现了。
这是使用爬虫来进行的情报收集,在目前的互联网公司竞争中非常普遍。
假如电商搞大促,想针对性的做补贴,保证同品类中自己的价格是最低的,要怎么操作?显然让人看是非常愚蠢的,而且也看不过来。
最基础的操作就是使用爬虫+脚本,爬取对方所有商品的价格,SKU,SPU等,核心原理就是模拟一个个真实用户来浏览网页,然后把信息都留存下来。
然后依据爬回的数据来动态调整自己同SKU,SPU的价格,保证优势。
当然对方也不是干坐着给爬,往往会设置各种反爬机制,例如给所有价格数据都加看不到的水印,所有页面的结构在前端代码中都是加密的,爬回去就是乱码;在例如限制每个账号的IP以及浏览时间等等等等,爬虫攻防可以写好几篇万字长文了。
当你使用APP或者浏览网页不停刷新或者快速点击时,偶尔你会遇到一个弹窗告诉你,你操作的太快了,要休息一下,这个其实就是反爬机制生效了。
恭喜你的麒麟臂又进步了。
7
上面说的很多攻击,都是建立在产品本身有漏洞或者存在思维盲区的基础上进行攻击的,可以说,本身是存在攻击目标的,可以是APP,可以是网站,可以是用户。
而有些具有想象力的攻击,其实本身不对竞争对手本身做任何攻击,他们通过一些其他手段来攻击对手。
APP换壳攻击就是一种很有趣的玩法。
所谓APP换壳攻击,其实主要是通过拆解APP本地安装包,逆向APP的源码,在这个基础上来给APP中嵌入自己想要的功能,最后再到处散播(主要通过H5,二维码和文字链传播,应用市场很难绕过去),达到自己的目的。
例如某知名电商APP就受到过换壳攻击,竞争对手逆向了他们的安装包,在里面植入了其他公司的订单系统以及支付,并大量通过群转发的方式传播安装包的下载。
导致的就是很多不明真相的用户在里面下单购物付款后,就没有然后了,因为整个订单系统被修改过了。
最终的结果就是某电商APP突然消失在了市场上一段时间,因为牵涉了大量的用户投诉和配合调查。
当然,大多数情况下,APP换壳不会做到这个程度(能做到这个程度说明原APP的技术烂到了一定程度上),一般都是做链接换壳,主要用于伪装成支付宝和微信支付界面,然后骗钱。
很多人都收到过电商诈骗电话,说退款之类的,然后给你一个链接,点进去完全是支付宝或者微信的样子,然后你就相信的付款了,最后钱就没有了。
更进一步,很多博彩和非法集资在公众号投广告,往往骗号主投文字链,给一个外网的链接,点开看是很正常的新闻网站,但是当号主们发出这个广告后,再后台操作更改链接导向博彩或者非法集资,很多号主因为这个被封号。
这种防不胜防的坑,也算是互联网界的一种降维打击吧。
8
洋洋洒洒讲了这么多的案例,能从里面领悟出多少进攻和防御的思路,全看个人的悟性。
进攻真的是一件非常需要想象力的事情,很吃天分,很多时候就是靠思维的盲区来实现局部信息的不对称然后获利。
我想告诉大家的是,我们日常经历的商业形态,都是血腥竞争后的产物,每一家巨头诞生的背后,都是上万家同类型公司的消失,商业从来都是残酷的,没有谁是无辜的。
如果你觉得哪家公司是无辜的,一定是他们已经形成了局部垄断。
其实我更想告诉大家的是,我们看到的很多新闻事件,很多互联网热点,背后争斗的复杂程度往往会超出大家的想象。
你看到的,只是别人想让你看到的。
有时候看新闻时,先不要急着批判或者发泄,多想想背后得利的是谁,动机驱动是谁,会发现多数人的喜怒哀愁都在被刻意引导。
我们只是棋盘上被驱动着的棋子。
下棋的又是谁?
所以希望大家能经常性跳出情绪,从利益链的角度看这个世界,从进攻者的角度来看事情。
或许你能看到更多更不一样的东西。
然后拥有更不一样的,独一无二的人生。
公众号:半佛仙人(ID:banfoSB)
微博:半佛仙人正在装
知乎:半佛仙人
这是一个神奇的男人,你完全猜不出他会写出什么,他自己也不知道。