来源/作者:半佛仙人
数据猿官网 | www.datayuan.cn
今日头条丨一点资讯丨腾讯丨搜狐丨网易丨凤凰丨阿里UC大鱼丨新浪微博丨新浪看点丨百度百家丨博客中国丨趣头条丨腾讯云·云+社区
1
现代商业竞争,是一座赤裸裸的血腥森林。
资源是有限的,投资人的钱是有限的,用户是有限的,用户的时间是有限的,用户的注意力也是有限的,什么都是有限的。
但资本的欲望是无限的。
有限与无限的分割线下,竞争常常没有底线。
所谓的友谊竞争互相成全一段佳话,全都是屁话。
和平是打出来的,体面只是势均力敌的迫不得已,但凡有机会,大家第一时间就会把道德丢到地上踩上一脚。
丛林法则从未变过。
两家相同领域的公司竞争,如果产品本身没有本质性差异,那么大家比的就是谁下限低,谁更不讲理。
需要承认的是,如果两个人打架,一个有底线,一个没底线,在实力差不多的情况下,大概率是没底线的公司获胜,因为他们求胜的心已经超越了道德的束缚
什么手段都可以,只要后果公司可以承受,就可以去做,哪怕背负骂名。
只要自己一家独大,完全可以动用大量的资源来洗白自己,人们的记忆只有3天,总有数不清的热点要追,谁有在乎谁呢?
这一切无关正义,只是生意。
今天讲的是风控中的进攻者的故事,在商业竞争的森林中,各大公司的风控们为了各自背后的利益在相互厮杀,赢者吃下一切。
现在,狩猎开始。
2
正常人理解的所谓的攻击竞争对手,无非是使用比对方更大的折扣,给客户更多的优惠,又或者在某些关键供应链上要求2选1,都不是什么秘密。
但真正有效的攻击,需要足够的想象力和执行力。
很多时候更重要的是借力打力。
作为企业盾牌的风控们,掌握着大量的企业漏洞与防守知识。
如果这套技能用在进攻上,同样也会是最锐利的矛。
这根矛配合足够聪明的运营,技术和市场,可以瞬间洞穿对方的心脏。
前一段时间,某著名云音乐软件下架一个月,就是一套完美的攻击策略组合。
该软件最大的特点是有着非常多精彩的乐评,评论区文化配合很多原生的民谣,产生了非常多忠实的用户。
攻击的开始,是一张无法追溯来源的图片,主要内容是某某云音乐的会员(需要付钱买)现在搞活动,删除APP后再安装,就可以免费送3个月。
一时之间很多人删除了APP,但是由于APP下架,所以删除过后没法再安装(起码要1个月才上架),然后就成了一个尴尬的状况,大量用户表示自己被骗了,非常生气。
为此,某某云音乐官方也发布了声明表示是谣言。
由于这种事情本身比较检测智商,所以并没有造成大规模负面舆论,倒是被人当做段子开始传播,攻击者的目的就在于此,把传播做起来,把某某云音乐摆到舆论的风口。
然后真正的招数是,在其APP的热度起来后,开始大量传播其APP删除用户本地音乐的内容,激发用户的愤怒,进而趁着这1个月的下架期,给予其最大的打击。
这个话题上了微博热搜,大家纷纷在怒斥该APP无耻,一时之间该APP的口碑跌入谷底,很多人都表示自己的本地音乐被删除了,然后再也不用该APP了,虽然该APP多次表明自己没有这种行为,同时还报警了,但这个标签目测要在身上贴个一段时间了。
这对于他们原本今年计划的上市和商业化计划都是重大的打击。
这套攻击最精妙的地方在于,该APP对于用户的本地音乐确实是有操作的,这个操作不是删除,而是格式更改和屏蔽。
音乐行业都是交叉授权的,产品方必须配合版权方来做打击盗版。
假如用户本地有一首音乐是没有授权的盗版,此时音乐类APP就会把该首歌自动修改为APP专属格式,并屏蔽播放和搜索,主要帮助保护版权。
我不评价这件事情是否合理,只能说这是音乐版权行业的一种潜规则。
所有音乐类APP都有这个问题,只不过这个问题多数用户是不知情的,用户看到的只是自己过去存的一些歌没有了(其实是版权方要求屏蔽的,音乐类APP只能配合版权方),再加上一些引导,很容易就被理解为是APP强行删除用户文件。
这一套攻击,时间,题材,传播,产品切入点都完美,效果也非常棒。
堪称经典。
3
很多公司对于风控的理解是非常粗浅的,在他们看来,风控可能就是所谓防刷单和防止内部腐败,确实绝大多数业务风控就是干这个的,但是企业其实面临的风险,远远不止这些。
内容攻击,已经是目前最流行的攻击竞争对手的方式。
所谓内容攻击,就是利用对方APP中可以展示内容的地方(例如评论区,例如论坛发言区等等),进行黄恐暴内容的饱和录入,然后引发对方APP被大量投诉,然后被下架,打乱对方的产品迭代发布计划,给自己争取有利的竞争窗口。
很多短时间下架的APP,就是被竞争对手使用了内容攻击。
某知名内容APP,很多年轻人都在用,可以使用文字,图片,来进行社交,分享各种趣事和沙雕图片,但是就在内容攻击中下架了,内容安全已经成了很多APP的核心弱点。
但可惜的是,很多APP对于内容安全的重视程度都不够,人类的本性就是喜欢黄恐暴,很多社交产品早期就是靠这个起家的,很多公司觉得这东西既然能有流量,岂不美哉?干脆先污染后治理得了。
在互联网文明越来越重要的今天,这种流量思维会害死公司的。
而攻击者们,则愈加肆无忌惮地利用内容来攻击竞争对手。
例如某知名95后00后陌生人匿名社交APP,近期就遭遇了潜在对手的饱和内容攻击,由于产品本身是支持声音的,并且还是全匿名的,这就诞生了大量操作空间,不需要很复杂,只需要把大量黄色音频灌入,密集且持续灌入,然后举报即可。
声音本身的可变性太多了。
音频的色情黄恐暴过滤,目前属于一个行业的技术难点,主要的实现方式是快速把音频转换为文字,然后利用敏感词来过滤,但这并不能完全解决谐音字和娇喘的问题,并且成本极高,如果不是巨头,创业公司那点融资还不够买语音转换的费用的。
这是一个现阶段近乎无解的攻击方法,当然也不是完全无解,只不过比较考验风控的功夫,没有经历过绝望的风控是不会有成长的。
4
同样是内容攻击,黄恐暴攻击比较适用于社交类产品,针对其他类型的产品,最流行的是垃圾信息和广告信息攻击。
如果你打开一个APP,发现里面大部分的信息都是非常垃圾的广告,并且广告已经影响了自己的使用,你是不是会特别愤怒的放弃这个APP,然后转投其竞争对手?
没错,这就是攻击者想要的。
这种内容攻击往往是通过拆解对手的APP,然后利用接口写入的方式来录入大量垃圾信息,例如前段时间某出行APP被大量用户投诉说打开界面里面全都是垃圾广告,各种某出行的广告和加微信的广告,从用户昵称到内容到订单信息,全都是垃圾信息。
当时一度在社交媒体上闹的沸沸扬扬。
这是非常有趣的一箭双雕,同时黑了2个竞争对手,第三者左手渔翁之利。
内容攻击的另一种形式,不是使用垃圾信息填充,而是使用完全真实的假订单来挤占真实订单,这多发于电商类APP。
某纳斯达克上市的知名社交电商APP,就遭遇过假订单的批量攻击。
他们每次只要一搞促销,一搞秒杀,就会有大量机器来下单,下单后也不付款,目的就是要快速把活动商品的购买权占满,让真实用户无法购买。
即使电商平台修改库存机制或者使用补货,也往往已经错过了时间流,之前铺垫了很久的大促信息,用户的所有期待都应该在大促的一瞬间引爆。
在这种时候给踩一脚刹车,造成的后果是非常严重的,甚至可以毁掉一个策划已久的活动,造成对手大量的资源浪费。
还有一种内容攻击,与业务无关,与人有关。
现在很多招聘网站都在明里暗里销售用户的简历,于是就有公司想到了用这个方法来打击竞争对手。
最常用的方法就是从招聘网站那边买到竞争对手的关键人员信息,然后不停地发面试邮件,注意,是发邮件,不是打电话。
邮件内容从面试邀约到薪酬确认到后续工作安排应有尽有,如果被竞争公司看到的话,会很大程度上怀疑员工的忠诚度,这个关键人员,基本就算是废了。
某著名电商公司就层对某著名信息流公司发出过这种攻击,一时之间对方人员动荡。
杀人不见血。
5
我说了,进攻,最需要的不是技术能力,而是想象力。
很多被证明有效的套路,其实实现起来并不困难,要的是动脑子。
现在已经是大数据年代了,国内兴起了很多大数据独角兽,其中最大的几家的其中之一,其底层的数据库是被污染过的。
当初这家公司成立不久,疯狂的在市场上收购数据,甚至黑市也没有放过,那时是2017年6月1日之前,个人隐私法修正案还未生效。
他们自以为自己做的天衣无缝,但是早已被竞争对手盯上,这家竞争对手卖给了他们一批质量非常高的数据,但这个数据是被污染过的。
大数据公司最重要的核心资产是黑名单,竞争对手把优质用户的白名单当做黑名单卖给了他们,他们一时之间没有察觉,最终造成的就是数据库的失效,后续他们的黑名单产品在市场上就很难卖出去了,因为区分不出好坏,整体的融资节奏和业务发展规划都受到了很大的打击。
这个问题至今还未解决,业内最懂行的人往往不会使用他们家的数据产品。
更有想象力的进攻手段,是直接强占竞争对手的潜在客户。
某家知名O2O公司,为了让自己的用户不至于流失到竞争对手那边,直接使用自己用户的手机号和个人信息,来批量注册竞争对手的APP账户。
这样导致的效果是,当自己的用户想体验对方的APP时,会发现自己的手机号其实已经被拿来注册过了,导致自己无法再注册,如果想找回账户,由于留的信息全都不是自己的,只有手机号是自己的,导致无法追回,于是这个手机号就死了。
而绝大多数人也没有驱动力强到非得用某某不可,某种程度上这就构建了一个神奇的护城河。
再讲一个有想象力的进攻手段,也与用户身份有关,来自换脸。
人脸识别已经成为了很多APP的标配,但其实根本就没有什么所谓的真正的人脸识别。
所有人脸识别的核心原理就是拿着两张照片来进行比对相似度,然后输出一个分数。
由业务方自己决定多少分数通过,多少分数转人工,多少分数拒绝。
即使是同一家人脸识别公司,不同业务方设置不同的通过策略,也会有完全不同的效果。
诀窍就在这里,利用大量的用户身份证,外加技术把身份证上的静态图做成动态,去骗竞争对手的实名认证,然后彻底断掉这个用户成为对手用户的情况,同时如果对手有做推广,还能够骗对手的广告费。
当然由于涉及到用户资料的隐私,这部分一般做的都是外包给黑产做,而且不会去用自己的用户做(这么一搞岂不暴露自己),而是用黑市上已有的资料去做。
所以当某些公司发现自己用户量暴涨,但是日活却没有明显提升时,需要想一想,自己是不是被攻击了,而不是仅仅骂投放的人士SB。
6
前段时间,两家超级外卖公司掐起了官司,这次不是外卖员打架,也不是飞单,也不是互相贴海报恶心对方,这些都是常规操作。
核心原因是某一家公司拥有另一家公司的很多核心数据,然后被发现了。
这是使用爬虫来进行的情报收集,在目前的互联网公司竞争中非常普遍。
假如电商搞大促,想针对性的做补贴,保证同品类中自己的价格是最低的,要怎么操作?显然让人看是非常愚蠢的,而且也看不过来。
最基础的操作就是使用爬虫+脚本,爬取对方所有商品的价格,SKU,SPU等,核心原理就是模拟一个个真实用户来浏览网页,然后把信息都留存下来。
然后依据爬回的数据来动态调整自己同SKU,SPU的价格,保证优势。
当然对方也不是干坐着给爬,往往会设置各种反爬机制,例如给所有价格数据都加看不到的水印,所有页面的结构在前端代码中都是加密的,爬回去就是乱码;在例如限制每个账号的IP以及浏览时间等等等等,爬虫攻防可以写好几篇万字长文了。
当你使用APP或者浏览网页不停刷新或者快速点击时,偶尔你会遇到一个弹窗告诉你,你操作的太快了,要休息一下,这个其实就是反爬机制生效了。
恭喜你的麒麟臂又进步了。
7
上面说的很多攻击,都是建立在产品本身有漏洞或者存在思维盲区的基础上进行攻击的,可以说,本身是存在攻击目标的,可以是APP,可以是网站,可以是用户。
而有些具有想象力的攻击,其实本身不对竞争对手本身做任何攻击,他们通过一些其他手段来攻击对手。
APP换壳攻击就是一种很有趣的玩法。
所谓APP换壳攻击,其实主要是通过拆解APP本地安装包,逆向APP的源码,在这个基础上来给APP中嵌入自己想要的功能,最后再到处散播(主要通过H5,二维码和文字链传播,应用市场很难绕过去),达到自己的目的。
例如某知名电商APP就受到过换壳攻击,竞争对手逆向了他们的安装包,在里面植入了其他公司的订单系统以及支付,并大量通过群转发的方式传播安装包的下载。
导致的就是很多不明真相的用户在里面下单购物付款后,就没有然后了,因为整个订单系统被修改过了。
最终的结果就是某电商APP突然消失在了市场上一段时间,因为牵涉了大量的用户投诉和配合调查。
当然,大多数情况下,APP换壳不会做到这个程度(能做到这个程度说明原APP的技术烂到了一定程度上),一般都是做链接换壳,主要用于伪装成支付宝和微信支付界面,然后骗钱。
很多人都收到过电商诈骗电话,说退款之类的,然后给你一个链接,点进去完全是支付宝或者微信的样子,然后你就相信的付款了,最后钱就没有了。
更进一步,很多博彩和非法集资在公众号投广告,往往骗号主投文字链,给一个外网的链接,点开看是很正常的新闻网站,但是当号主们发出这个广告后,再后台操作更改链接导向博彩或者非法集资,很多号主因为这个被封号。
这种防不胜防的坑,也算是互联网界的一种降维打击吧。
8
洋洋洒洒讲了这么多的案例,能从里面领悟出多少进攻和防御的思路,全看个人的悟性。
进攻真的是一件非常需要想象力的事情,很吃天分,很多时候就是靠思维的盲区来实现局部信息的不对称然后获利。
我想告诉大家的是,我们日常经历的商业形态,都是血腥竞争后的产物,每一家巨头诞生的背后,都是上万家同类型公司的消失,商业从来都是残酷的,没有谁是无辜的。
如果你觉得哪家公司是无辜的,一定是他们已经形成了局部垄断。
其实我更想告诉大家的是,我们看到的很多公司负面事件,很多互联网热点,背后真相的复杂程度往往会超出大家的想象。
你看到的,只是别人想让你看到的。
有时候看公司负面时,先不要急着批判或者发泄,多想想背后得利的是谁,动机驱动是谁,会发现多数人的喜怒哀愁都在被刻意引导。
我们只是棋盘上被驱动着的棋子。
下棋的又是谁?
所以希望大家能经常性跳出情绪,从利益链的角度看这个世界,从进攻者的角度来看事情。
或许你能看到更多更不一样的东西。
然后拥有更不一样的,独一无二的人生。
相关阅读: