Sign up with your email address to be the first to know about new products, VIP offers, blog features & more.

如何做好产品风控?

前言

不务正业那么久,有时也得总结下工作…

从此篇开始,我将会开始写几篇关于自己的工作总结,重度软文洁癖人群请勿继续往下阅读


互联网中往往会有这样一群人:

他们贡献了非常高的注册量和PV、UV,但他们并不会按照既定规划去使用你的产品,而且会带来巨大的麻烦。

没错,他们就是让所有PM都闻风色变的一群人–黑产

从我们产品建立的第一天起,平台上面的违规表单就如同韭菜一般,割了一茬又一茬。什么「英国卫裤」、「诱惑香水」等等恶意表单,常年霸占浏览量排行榜前100。

CCTV曝光的各种诈骗新闻,在曝光前3~6个月就已经在我们平台中,完整地走过一遍「增长、爆发、衰落」流程,更多的详情请查看:《9个月,我们处理了8000份违规表单》

其导致了我们主站间歇性地被微信、QQ、360浏览器等第三方工具所屏蔽,我们团队疲于奔命,正常用户的利益也因此严重受损。这种情况下,产品风控就变得尤为重要;某种程度上,风控对于B端产品无异于生命线。

故在此撰写此文,以纪念我们团队与黑产斗智斗勇的过程。

内部风险

内部主要有以下几个风险点:

准入门槛:这指的是注册和使用门槛,在2016.8.26前,注册仅需验证邮件即可使用,而且每月可以收集1万条数据;这简直就是黑产工作者,恶意收集用户隐私的天然利器。

表单图文:在表单中可以放各种图文内容,其功能本意是提高表单填写率,但一些恶意用户肆无忌惮地放各种不堪入目的色情、钓鱼图片,不知情的人看了表单,都以为是在逛草榴….

跳转链接:在表单中,可以设置当表单填写成功后跳转到指定网址;这一功能原本是为补足用户业务流程,但也被这些黑产「天才」用于各种钓鱼场景:找回QQ密码,找回AppleID等,其页面无比精美,实在是让人叹服。

围绕这几点,我们也针对性地想了解决办法:

提高准入门槛

自从在G20期间,我们产品主站因为恶意表单,被CNNIC整个干翻后,我们迫不得己,于2016年8月底将产品的注册门槛无限拔高,用户注册时必须俺绑定手机,增加了语音验证码;同时将新注册的免费用户可收集数据上限,由1万条/月降为50条/月。

想对付贪官,你就要比贪官更“奸”,这个“奸”自然不是说让我们去同流合污,去变得狡诈阴险,而是说要学会“换位思考”。而作为一个互联网老司机,在我尚未进入职场时,便深刻地意识到这个道理,所以经常深入敌阵,刻苦实践,经常总结,至今也算是得到不少经验。

为什么挑选「语音验证码」作为验证手段呢?

因为语音验证码当然不能完全阻挡黑产,但任何「薅羊毛」行为都有一个前提,也即「收益大于成本」;当作恶成本高于收益成本时,恶意行为也将变得可控。

所以,这类恶意行为也可以分为两类:

个人恶意行为

一个能接受语音来电的手机号,目前个人途径能买到的,仅剩两个渠道:

1.中国移动出品的「和多号」,10元/月,一个手机号能绑定3个小号,每个月最多可更换3次,一个月最多有6个全新号码。

2.阿里巴巴出品的「阿里小号」,5月/月,一个手机号能绑定2个小号,每个月最多可更换3次,一个月最多可以有5个全新号码。

除此两者以外的渠道,个人一般很难购买(老司机除外)。这个前提下,一个需要用表单作恶的人,哪怕他同时使用这两种渠道,每月一个手机号最多也就可以注册:

6+5=11个小号,平均每个小号成本1.3元,这还不算手机号月租。

在这个前提下,换我是卖内裤的,我也要掂量掂量成本。

集体恶意行为

下图便是这些真·老司机的工作室和「开车设备」…

根据业内黑产动态,以及我们的风险监控,我们暂时没在后台发现大规模、集团化作战的恶意行为。我们猜测,估计这些「职业团队」看不上我们这种小平台;

原因很简单:随便套现信用卡、刷刷单、拿拿P2P平台的返现,分分钟月收入破十万甚至百万,还卖啥内裤呢?更多黑产现状可看以下两篇文章:

蝗虫般的刷客大军:手握千万手机号,分秒间薅干一家平台

起底花呗套现链条,对黑产永远别太天真

建立举报工作流

举报路径建立

提高准入门槛还不够,我们还为每个表单加了举报链接,当举报人点击后即可到专门的举报表单中,提交举报资料。

核实处理

提交完举报,当然要开始处理了。我们有一个非常强大的后台,会自动聚合所有举报信息,而我们的专职MM会进行核实处理;如举报属实,我们便会立即将该账户咔擦。

申诉通道

当然,有时候可能也会存在误封,故我们也提供了申诉渠道,被举报人可以提供详细的证明文件,经核实有效后,我们会解开封锁。

链接检测

针对一些钓鱼情况,我们抱紧了一个大腿:腾讯管家。

腾讯安全管家有一个非常强大的云数据安全库,可以自动识别潜在恶意网址。我们接入后,所有表单的链接自动会从该库走一遍:安全,则直接抵达目标网址;不安全,那不好意思了,链接直接被咔擦:

外部风险

经过上面的努力,我们已经将内部风险大大降低,但这并没实际解决问题;

Why?

因为我们的所有流量,有超过50%来自微信,而PC中360浏览器的访问也是占比过半。

How?

既然自家产品要在别人的地盘里进行运作,自然也需要和各个「地头蛇」打好招呼。我们仔细研究了微信封停网页的规则,基本可以确认,腾讯后台有一套黑箱算法,以判定一个网页是否违规,并采取相应的措施:封停单一网页或主域名。所以我们主动与360以及腾讯进行了联系,建立了合作关系。

360系:360提供了一个安全联盟网站,会自动汇总所有违规信息,我们的专职MM会定期查看及处理。

腾讯系:腾讯安全管家提供了非常实用的API,自动汇总所有jinshuju.net下的违规网页信息,并自动回调到我们的服务器;当我们接收到后,则会根据返回结果,自动封停所有违规账户。

合作后,在腾讯系和360系产品中,我们主站被屏蔽的风险基本降为0。

总结

产品风控是一个永恒的问题,对于绝大多数互联网产品,是一个值得深度考虑的问题,尤其是对稳定性更为看重的SaaS产品。而风控的投入与产品行业属性又息息相关,作为一个PM,除了需要考虑业务本身的价值,以及相关的可利用场景,还要从各种攻防角度去思考各种漏洞,比如:

有哪些验证码类型?

—–图形、滑动、语音、人机验证…..

常见内容风控手段?

—–自动鉴黄、关键词检测、代理IP库识别、一次性邮箱后缀库、各类小号库….

产品在业务上存在哪些潜在「被薅」风险?

—–P2P金融、电商为重灾区

如何平衡验证码与注册率之间的平衡?

—–验证码识别难度基本与注册率成反比

各大主流验证码识别平台手段与价格?

—–有些平台业务覆盖了语音验证码了,问你怕不怕?

各类验证码识别成本?

—–人肉识别验证码的市价低至0.18元/个问你怕不怕?怎么拦截?

多想、多实践,才可能做到有效风控,保证产品的生命力。

总结一句话:

要做好风控,内部堵上漏洞、外部抱紧大腿。

与君共勉。


原创文章,欢迎转载,转载请保留:如何做好产品风控?

No Comments Yet.

What do you think?

电子邮件地址不会被公开。 必填项已用*标注

Do NOT follow this link or you will be banned from the site!