互联网公司的“蛋”疼

导读:收到一篇文风很诙谐洒脱的独家投稿文章,作者应该对黑色产业链很熟悉。

就我个人看来,“业务安全”是未来安全行业里最有钱途的金矿。但今天能做的好的公司非常少,因为每家公司的业务都有自己的特点,所以很难有通用的解决方案,这可能也是为什么安全行业几乎没有什么好产品来解决这个问题的原因。

技术只是安全的一部分,可能还是偏小的那部分。由术上升到“道”则正是“道哥”外号的由来。今天且听听这位投稿的神秘作者给大家谈谈他的安全之“道”。

—— 互联网公司的“蛋”疼 ——

作者:不偷心的盗贼

网店生意不好的主要原因就是缺少信誉度, 信誉高的往往更能让买家放心的购买。目前淘宝、联通、5173、“我要买商城”的网店半数以上信誉都要靠刷出来,前期不刷是不会有销量的。我们提供的兼职工作“兼职刷客”就是刷店铺商品的交易率,和好评,兼职长期可以做!

就是我们给你刷单任务→你拍下商品,付款到支付宝→通知我们订单已下→处理订单后支付佣金跟本金给你→你收到返款后→确认收货。给商家好评→交易完成。

虽然不抽烟,但摆的姿势要帅才能骗到小妹妹。看着这样的消息我摸了摸自己的蛋,看疼不疼。

结果是,不疼。但我知道这样的网赚兼职让很多人的蛋,疼过。

黑色产业链,神秘又垂涎的淘金梦,又同时是很多大公司风控的噩梦。

再加上很多起步不久或还未成一线巨头的互联网公司,还没有成熟的安全部门和安全团队。

(你别告诉我在 <非你莫属> 上找到了个某xx网站后台的少年叫做安全攻城狮,我会为你的智商捉急的。)

而且传统安全和风控安全还是有挺大区别的,不是你招个安全工程师,会码代码,会补漏洞,会撸管,会看女神,就可以做好风控,那样乐观单纯积极阳光的想法,心中念着 “我要代表月亮想灭你”,我只会想抽你两嘴巴。

对普通网民而言,黑色产业链是一个模糊且又畏惧的词,就像里面有个带头大哥,下面有一帮小弟,个个都是左青龙右白虎的。

甚至很多大公司的安全工程师跟普通网民对黑产的认知也多不到哪去,你想想一个刚毕业的大学生顶着个安全工程师的头衔进到安全部,听上去好像很牛b的样子,其实他懂个毛线安全,尿不湿都还没时间换呢。

lz抠了颗鼻屎放在泡面里搅了搅,加点料,平静的生活才会多一丝味道。

黑色产业链,有时你天真的以为你是在跟一帮黑客斗争,或又是在跟一帮骗子斗争,其实又都不是。

在工业化时代下,一个好的思路或想法,通过工业化的思维(自动化、批量化、规模化,自己YY的)就可以让它放大,得到质变。

正经人是这样想的,所以成就了大大小小的互联网公司,开始正常盈利,运作,数钞票。

不过也有那么一帮人同样对工业化时代的理解深入精髓,而且在此基础之上再加上一点 “猥琐化”,小妹妹想不想吃蜀黍的棒棒糖啊~

在淘宝上有一种商品,它只卖1元钱,叫做预售商品。大概模式是,假如有一双600+的Nike球鞋,商品描述神马神马感恩季,全场只卖1元,不过是预售,先拍商品付款,30天后货到了就会发给你。打着如意算盘的你会想,不就1元吗,就算骗了我也没啥损失,拍下也不会死人,如果是真的,还捞一600+的球鞋,多划算啊。

人这种群居生物,自然就要体现出它是群居生物的特性来,既然你会有这种想法,那么其他人也都会有这种想法,去瞄了一下这类商品,可以很轻易地就拿到上千乃至上万的已拍量。

这个时候,商品背后的店主女王般地俯视着你们这群愚蠢的人类(包括我)。在我们拍了商品后,意味着店主可以很短时间内收集到成千上万的真实个人信息(姓名、收货地址、手机号码),那意味着…… (嘘~ 一般人我不告诉他~)

假设算平均点,1个这样的虚假商品可以套取到1000人的个人信息(保守估计),如果我批量发1000个这样的商品,我的回收数可能会达到1000 * 100 = 100000 条个人信息(PS,不可能批量发1000会有1000的回收效应,假设是10%,即100)。这样我就拥有一个100000的个人信息数据库,还热乎着。接下来我可以把这些信息以各种组合销售模式卖给欺诈产业链,例如:

(A)你在我这里查询一条个人信息记录,我收你x元/条。

(B)我制作一个查询软件,可任意查询,但需要注册码,我收你x元/月的使用权。

(C)我把整个数据库卖给你,x元/条。

我掐指一算,貌似已收货的个人信息是5000元/条,未收货的个人信息是10000元/条,个中原因请自己意淫。(实际当然不是这个值,只是为了让大家看出来一个比另一个贵)

然后报告店主大王,今天我们盈利xxxx元。(不要叫我大王,要叫我女王大人~)

再回顾一下:

(猥琐化) 靠1元虚假商品收集用户信息,用户也不在意,加上群居生物特性,很容易上钩。

(自动化) 人肉发商品太outman了,再怎么也得写个工具啥的能傻瓜化地鼠标一点,商品就发出去了。

(批量化) 点一次发一个商品就更火星了,在商品发布数量那里填写一个数字1000,1000个商品就被批量发布出去了。

(规模化) 1个商品所获取到的个人信息 x 批量发布的商品数量 x 转化率 = 套取到的总个人信息数量。

(盈利化) 不同组合套餐卖给欺诈产业链的人。

看到这里,刚毕业的安全工程师小哥们,这整个利益链中,有多少技术环节需要你去补网站安全漏洞的吗?你需要补什么洞呢?Sql注入?XSS?还是吃点生蚝,补补你的小伙伴吧。

黑色产业链真正的核心不全是技术,甚至技术只是其中很小一部分,商业思维才是黑色产业链的核心。

从哪里去赚钱,做一笔能赚多少,怎么把赚一笔的流程批量复制产生规模化,怎么盈利,怎么分成给每个环节的人。

自动化、规模化或许会用到技术,但也有些产业链甚至不会用到多少技术。一个优秀的商人思维才是这个产业中真正牛b的地方。

所以当你还图样图森破地以为是在跟一帮黑客或一帮骗子斗的时候,其实真正幕后的大boss正抽着雪茄,搂着小妞,打着电话问,喂,我上次投的那个煤矿赚了多少了?

回过来,可以看到黑产是一个 “猥琐化盈利流程” + “工业化量变” 的商业模式。

现在你和你的小伙伴要好好想想对策,给对方一次first blood。

黑产按目标分的话可以比较粗地分为两大类,一种是落地起价的自由业务,一种针对互联网企业自身业务。

自由业务么,DDoS、广告、草榴网站、禁限售啥啥神马的是需要zf层面去管控的。

针对互联网业务的,例如钓鱼、欺诈、个人信息收集贩卖等,是依赖互联网企业自身业务成长的,通常只有你的公司业务成长到了一定规模,黑产的人才会来盯着你,你的平台可以提供他们猥琐利益点或工业化量变的机会。所以你既该高兴,也该高兴不起来。

既然是要在你的平台上兴风作浪,就要拿出泷泽萝拉、波多野结衣什么的图片视频神马的分散下敌人炮火,然后在后面狂次狂次地开搞。

(1)利益点 – 敌人运用了你的什么业务、什么场景,以何种方式能有利可图。

是你自己的业务逻辑本身就设计得有安全风险,还是属于业务和风险杂合在一起无法回避的情况。

(2)工业化 – 敌人是通过什么方式来达到量变的。

对方是通过你的OpenAPI来自动化、批量化的吗?还是消息群发?

你是不是可以限制外界调用OpenAPI的次数,反垃圾消息的策略,建立欺诈消息的文本识别模型?

如果对方是在第三方平台传播,但依然利用你的业务来盈利怎么办?

寻求第三方平台联防合作是非常重要的,现在的风控时常是多平台布窜。

了解对方的工业化技术或模式对你的风控趋势来说至关重要,能让你做到真正意义的 “风控”。这也是现在很多互联网公司安全部门所缺乏的,始终是跟着别人屁股后面走,别人干完一票,你才能跟上节奏修修补补。你要比他们更猥琐,能比他们想到更多能工业化的方式,每种方式能有什么样的预防方案,这才是你能说你牛的地方。

前者是为了消除黑产的利益点,后者是在无法消除利益点的情况下,限制对方的利益量变发展。

一个好的商业模式要良好运作,要么达到一定规模,要么规模呈上升趋势,有发展的潜力。

如果上面两者,你都能很好地限制到对方的商业运作,让对方再也没有搞这个的动力了,你就成了一个真正牛b的风控人员,这个时候你该出去加入创业公司了,职务是专门搞垮别的公司的商业运作。(开个玩笑~ 别真被我忽悠了)

因为你已经成功地搞死了一家 “公司”,甚至是搞死了一个 “行业”。

再抠了颗鼻屎,舔了舔手指,猥琐地坏笑。

其实看上去我好像说了很多,其实我又什么都没说。

[原文地址]