鏈接:https://www.zhihu.com/question/309682706/answer/577933329
關注Java小優秀,分享更多Java技術資訊
作為天天與羊毛黨相愛相殺的風控從業者,昨夜我一夜沒睡。
別問我幹了啥,不懂薅羊毛策略的風控在我看來全都是沒有實戰經驗的弱雞。
昨夜整個羊毛世界都沸騰了。
先講暴露了哪些問題,再講追責。
1.在電商行業,對於無門檻券是非常非常重視的,因為不同於有門檻券(滿多少減多少,創造GMV和毛利抵扣),某種程度上,無門檻券等同於送現金,所以針對無門檻券,必須有一系列的核身策略,保證這張券不能被相同的人所領取。
核身策略中最常見的就是不同賬號出現了同一收貨手機號,同一收貨地址,同一歷史行為,同一IP,同一設備ID,同一支付ID,LBS,資料血緣,關係網絡等等等一系列策略,這些可以防範住最大批量的LOW比羊毛黨和低端機刷黨,是電商最常見基礎防範手段。
但昨夜,拼多多暴露出來沒有這套東西,或者說這套東西沒有配置到這張券的ID上,因為直接用貓池+腳本API,就能批量自動操作,這也是鉅額數字怎麼在9小時內就被搞出來的,因為基本沒有設置門檻。
2.由於無門檻券幾乎等同於現金,所以除了核身策略,往往還有其他匹配的風控體系,例如單人領取金額上限(1個月內領券不得超過XXX元),例如券額限制(無門檻券不得高於單張10元),例如消費領域限制(不得用於購買Q幣,話費,遊戲充值等虛擬物品)等等等等,這一系列的策略的目的就是攔截灰產的變現體系以及追溯灰產身份,例如無門檻只能買實物,那麼就必然要留收穫地址,那麼這個地址就可以做很多事情,即使是假地址。
而且實物發貨的話,拼多多是來得及攔截髮貨和半路撤回的,我經歷過這種大面積撤回包裹。
關注Java小優秀,分享更多Java技術資訊
但昨夜,這一系列限制統統都沒有,羊毛黨的變現最看重的就是高流通性和贏通性的產品,例如Q幣,話費,這些東西很容易就能洗乾淨變成現金,很多羊毛黨都有專門的洗白通道,現在這個節點,速度快的羊毛黨已經全部變現了。
3.即使1和2都沒有,也應該有一整套監控體系,對於優惠券的流向以及流量監控,並且設置報警閾值,失效機制,熔斷機制,這些風控和大數據都應該早就準備好的。
就算我上面說的實現起來需要時間,那麼就基礎電商平臺該有的商品銷售TOP10,品類TOP10這樣的可視化數字大盤也該有吧?肯定第一時間就發現就TM這些Q幣話費賣的好,GMV出現同比環比的各種異常。
但是也沒有,這個東西居然是被研發因為併發異常先發現的。
根據123,透露出來的問題是,優惠券設置邏輯沒有過大腦,高風險業務無風險意識,風控交易與反欺詐策略缺失,數據監控體系及熔斷機制缺失,要麼是拼多多的風控沒腦子,要麼就是業務驅動,逼的風控不敢多講話,這不奇怪,電商公司都是業務驅動,GMV是爹媽,風控這種擋GMV的角色往往被業務踩在腳下摩擦。
關注Java小優秀,分享更多Java技術資訊
4.說完風控,再看看其他部門。
這張券是凌晨1點上線的,無門檻,大面額,全品類通用,假使這張券真的應該存在,那麼,這種券的上線難道沒有經過多級審批麼?測試沒有測出來嗎?上線後沒有至少120分鐘的持續觀察效果嗎?
整個系統上線流程都有問題,運行監控也是缺失。
相關的研發到測試到運維,都有很大的責任。
5.問了下內部的朋友,說是這張券是某人配置失誤,系統自動上線。
那問題又來了,整個優惠券系統裡面,對於券的條件限制(金額,門檻,適用範圍)是缺失的,並且在券發佈的時候,沒有中間隔一層預發環境來做緩衝,也沒有做流量測試,就能直接上生產環境?上了也沒有持續監控?
即使是配置的運營犯傻逼,但涉及到現金的業務如此草率,這部分研發是拼多多上買來的嗎?
結合4和5,透露出的問題是,整個系統上線機制不合理,業務系統配置中沒有加入風險校驗環節,預發環境形同虛設,業務上線後的持續人工監控缺失。
考慮到拼多多引以為傲的高併發支持,我只能理解這條壯漢外功已經登峰造極,但內力大概是腎虛的小學生水平,這不意外,因為內功修煉是很難拿出去吹KPI的,所以大神程序員都不願意做,都是能用就行的態度,這是血的教訓。
關注Java小優秀,分享更多Java技術資訊
6.我們來談談如何止損。
6.1已充出去的Q幣和話費,如果還沒有被羊毛黨變現,那麼也許還能追會一部分,QQ可以直接回收賬號,三大運營商也能鎖號扣費,但是這裡面涉及到了很麻煩的一個問題。
那就是他們憑什麼配合拼多多?因為這些交易都是拼多多認可後才讓他們執行的,他們沒有道理由著拼多多任性,騰訊爸爸可能會幫一把親兒子,但是三大運營商可未必會配合,當然聯通由於混改加入了股東騰訊,所以聯通可能會配合。
另外不知道拼多多和他們是怎麼結算的,是像iphone代理一樣實時結算,還是類支付寶的先資金池再按時結算。
如果是前者,那基本很難追回了,如果是後者,那就是一場驚天撕逼大戰。
6.2拼多多肯定不會善罷甘休的,羊毛黨深知這一點,所以才在薅夠了之後公開這個BUG,期望把水攪混,法不責眾。
這個BUG是夜裡5點左右公佈出來的,然後就是全民狂歡,這些狂歡的人,我們一般稱之為肉機,就是真人,真機,真身份,真行為。
現在的情況是,假使拼多多報警,能否抓到這些羊毛黨頭子,作為攻防的老手,我想說的是可以抓,但前提是拼多多有足夠多的人力物力往裡面投,並且數據保留要足夠精準。
如果拼多多的數據部門和運維部門傻逼到定時清緩存,或者設置了某個系統BUG直接重啟的話,那就不用抓了,沒數據你怎麼追溯。
另外就是這些被刷的都是虛擬物品,就看拼多多能不能抓住他們變現的節點來追溯身份了,祝他們好運。
6.3這批羊毛黨一定有法律風險,但是隻是那批最low的會被逮住,最大的幾個早就變現隱匿了,人家用的東西都是沒法追溯的。
真正的反追溯不是隱藏自己,而是創造更多虛假的自己,這才是高手所為。
6.4不用擔心拼多多破產,最終的實發金額,虧損金額,未追回金額等等一系列的數字沒有那麼誇張的,雖然金額不會特別天文,但是拼多多自己說的千萬級也太糊弄人了。
關注Java小優秀,分享更多Java技術資訊
還有買了拼多多股票的各位,下一個交易日見,對於電商而言,這麼初級的錯誤很有可能會導致投資者信心喪失。
總結一下這個案子,拼多多是狂奔的超級獨角獸不假,但在業務猛增的時候,內功沒有修煉好,導致被一劍封喉。
原本就不該出現這種券,就算出現了也不該上線,就算上線了也應該被監控到,就算沒有監控到也不該被同一批人領走,就算被同一批人領走也不該能應用於虛擬物品,就算能被應用於虛擬物品也不該9小時後才被制止,這其實不是一個問題,而是一系列問題。
這一系列不應該的陰差陽錯,導致了這個鉅額虧損,那麼問題來了,這一系列問題下,拼多多的交易數字還可靠嗎?之後美股怎麼看這件事?這也是一場好戲。
內功一塌糊塗。
至於為啥不修內功嘛,一來修內功外人看不到,對外不方便吹逼講故事,對內不利於個人晉升答辯(畢竟風控這種東西,除了金融領域,都很難量化成果),這種事情聰明人最不愛做了,可惜這只是小聰明。
二來嘛,很多電商為了講故事,拉高估值,GMV可著勁兒注水,高層睜一隻眼閉一隻眼,很多運營恨不得管羊毛黨叫爸爸,跪求他們來薅,反正羊毛薅完,GMV是特別好看,虧損是公司的,績效獎金和升職加薪是自己的,所以何苦來哉?
對風控而言,最大的敵人,永遠在內部。
這是風控的宿命。
關注Java小優秀,分享更多Java技術資訊
閱讀更多 Java小優秀 的文章
