大白菜bcd指导维修工具 (大白菜修复驱动)

独角兽咳血系列专注于黑产品与公司之间的攻防,也涉及到日常生活中的许多黑产品和漏洞。本文是系列文章的第二篇。

这个系列会有很多文章。毕竟这几年的投资泡沫造就了大量只求规模的公司。对于风险控制不敏感的公司来说,很多漏洞都是黑生产吃的,甚至有几家公司看了我的文章才意识到可能有问题。

之前的独角兽咳血1给我带来了很多麻烦,因为它写得太深,太具体,太有名。因此,风暴过后,我可以继续写独角兽咳血系列。

在这个系列中,会有进攻内容和防守内容。攻防之间的之间的游戏,以钱为赌注,赢家拿走所有的钱,非常有趣。

而风险控制与黑产间的战斗,就像命运之风,永不止息。

01

风险控制,知道的人多,知道的人少。

老朋友应该知道,我自己的工作是做风险控制,从线下调整、信用卡、金融、电子商务、安全、数据,基本上每个领域的风险管理,我玩得很好,每天爱和杀死黑灰产品。

在独角兽咳血系列中,我想谈谈一些真实的案例,向你展示风险控制的职业,它能给公司带来什么价值或损失。

每一个案例,都是以无数钱的代价堆出来的。

我保证你花钱买不到这些内容,但也不是一步登天的秘籍。风险控制中没有秘密,也就是每天与黑产品搏斗的本能和直觉。

需要注意的是,我不会解释细节,但我给出了足够的线索。

另外,我知道如何防守甚至反杀本文介绍的进攻手段。作为风险控制,我最快乐的时刻不是阻止羊毛党,而是直接让他们赔钱。我一直提倡进攻多于防守。

注意,我们开始解释案例。

02

B站出事故时,有人上传了B站后端的源代码GitHUB,大量程序员下载并分析这些代码。

有传言说这件事是被裁程序员报复的,不能证实或伪造,所以不需要相信。

我们今天要谈的不是哔哩哔哩。虽然哔哩哔哩的代码揭示了很多有趣的策略和漏洞,但我还是不做这种明显需要写信的事情。

今天要讲的是其他程序员对公司命门的控制,以及公司对权限管理的忽视。

在许多人看来,互联网公司的程序员是一个存在感很弱的群体,但他们实际上掌握了公司的命运,大多数时候无意中更新,一个简单的BUG,足以导致公司万劫不复。

特别是很多互联网公司,其数据仓库管理非常混乱。很多业务依赖几个特定的数据表,缺乏PlanB整个公司的业务维持在几张表中,这是一个很大的风险漏洞。

更可怕的是,许多公司使用跳转机进行数字仓库开发,这是一个公共账户,并定期清除日志缓存——也就是说,许多大数据开发使用相同的账户密码,这些账户密码将定期删除。

这意味着一些程序员只需要使用公共账户登录跳板机,并在关键业务节点制作一个小的定期更新程序,就可以对公司的业务造成重大打击。

收购这样一个程序员利用公司自身的风险控制不完善,虽然这样的价格很高,但对竞争对手来说,非常划算,特别是非常干净。

一家著名的电子商务公司,由于一次数据事故,其整体财务数据和业务数据完全不匹配,大量的历史数据丢失,资本质疑其数据欺诈,融资断裂,突然落后于行业,从那时起无法恢复。

所以看文章的人,除了业务,还要注意一些数字仓库的权限控制和备份吗?这类问题需要内部调查吗?

我知道我的许多文章都是主要公司的风险控制和安全。我真诚地建议你调查这些问题。权限管理和操作日志是那种看起来没有输出,但在关键时刻可能会杀人的东西。

不幸的是,原本很有前途的公司,原本有机会在中国互联网界闯出更大的世界。

03

很多互联网公司在做营销拉新的时候,都喜欢做二维码推广,扫码就可以了XXX,扫码就能拿到现金等等。只要别人扫描你分享的二维码并做出简单的操作,你和扫描代码的人都可以得到奖励。

这种活动设计的初衷是方便传播,尤其是微信传播。

然而,许多公司在扫获奖的风险控制设计上并不完善,导致了很多漏洞,大量羊毛党盈利。

既然B扫A的码,AB所有这些都可以获得奖励,所以只要A的代码能创造出足够多的场景,被足够多的人扫描,那么A就可以获得很多奖励。

方法1:使用机器批量操作,黑色工作室使用大量设备共享活动二维码,扫描代码(主要是点击识别),获得大量利润。

许多没有防范意识的互联网公司,尤其是O2O一家知名的生鲜互联网公司,在客户获取阶段会被大量预算扫除。2018年,套利损失达到1000万元,不到3天。

方法2:后来,许多公司变得聪明起来,开始使用反设备批量扫描技术,比如为每个设备制造唯一的设备ID(这个难度不低,尤其是H5场景不能直接获得设备号),但黑产品还有其他方法,比如社会工程。

利用人造场景诱导真人扫码。

我想每个人以前都看过一则新闻。有人用扫码送大白菜,成功诱导大量叔叔阿姨扫码领大白菜,最终获利颇丰,成为笑话。

最经典的第一次世界大战发生在自行车大战中。当时,一个团队专门在自行车共享上发布了营销二维码。用户不知情的情况下解锁的。结果,他们扫描了营销二维码,帮助黑人生产羊毛。

最有趣的是:很多这种羊毛,其实都是自己人开始的,不然谁能一夜之间贴满全城的自行车呢?黑自己公司的补贴太多了。

还有多少押金我们退不回?

04

谈完二维码营销分享,再谈一些手机号拉新营销分享的玩法。

所谓手机号码拉新,就是我给你发微信卡,你点进去,可以输入手机号码,然后拿到优惠券,存入手机号码的账户。

我想大家都很熟悉这个,各种外卖APP红包分享就是这样玩的——点进去,输入手机号,然后拿到优惠券,尤其是咖啡,红包不断。

目前有一种羊毛党,养了很多手机号,然后登录微信,潜伏在各种外卖红包群里。只要有人分享,就会点进去抢优惠券,然后拿出最低价的优惠券下单,买一些硬通货(牛奶等。),然后套利。

如果产品本身不能购买硬通货,那就不重要了,可以代下单,在一些二手平台上搜索XX券,XX代下单。你可以发现很多人都在做这个生意,就是你给他一小笔钱,给他地址,他帮你下单,货物送到你指定的位置,简单方便。

无数互联网公司烧的钱和补偿券都没有被真正的用户补贴。由于缺乏代理订单的聚类分析,不重视用户关系网络,放松收货地址,花了很多钱,没有赚到用户。

那些已经意识到这一点的公司,把优惠券设置得很小气,门槛高,金额低,直接从源头上堵住。而且有些公司只要数据,反而加大了送货力度,卖一块赔两块也要送,希望羊毛党住在家里。

目前,一家著名的连锁外卖互联网公司,至少有四分之一的订单来自代理订单,风险控制是徒劳的。

当然,这家公司也不傻,从一开始就是为了圈钱上市,玩的是披着互联网外衣的资金盘。

05

刷券代下单,只是低端玩法,最近流行起来一种新的玩法,也是基于手机号拉新营销。

许多互联网公司允许你在推广时邀请朋友。只要输入朋友的手机号码,就可以建立绑定关系。如果这位朋友与这家互联网公司有一定的业务交集,你可以作为他的邀请人获得很多奖励。

这就是所谓的邀请码和手机号码。

还有一个很有趣的玩法,就是暴力灌号,占领号段绑定关系。

什么是灌号?

——假如我是A,我要输入BCD手机号码与他们建立绑定关系,BCD下单后,我会得到奖励。

然后,我可以直接穷举号码,比如从1.3万到199999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999不管和我有没有关系,我们都建立了绑定关系,我可以躺着收钱,虽然用户本身不知道我的存在。

这种攻击对大工厂是无效的,但对许多初创企业来说,尤其是那些渴望数据的企业,是非常致命的。

对于大厂的类似推广,他们会控制号码的数量和规则,尽量一个号只邀请几十个人,号段不会重复,频率也不会很高。具体做法我就不公开了,但是大厂每年都在拉新上面这种无感知的损失,是不可估量的。

当然,运营商可能不太重视。毕竟,从某种意义上说,这是一个新的结果。在运营中无效补贴是什么?

再仔细想想,谁来做这个规则的泄露?

谁KPI不能完成会心慌吗?

06

其实关于灌号,还有另一种精准灌号的玩法。

是灌号者,确实知道这个手机号主人的一些社会属性。

例如:从一些无良4S店主的手机号码,业主的手机号码从一些无良物业,家长的手机号码从一些学校,金融客户的手机号码从一些金融机构,用户的手机号码从一些松懈的网站。

然后,拿着这些手机号,做定向灌号,成功率极高。因为这些人是互联网公司推广、广告覆盖、试图引诱的群体。

例如,拿学生家长的手机号码灌教育APP,拿车主的手机号码灌车辆交易APP,拿业主的手机号,灌装修类APP,这种方法可以说是风险最低的套利方式之一,收入更好。

黑市有一个特殊的交易渠道,只需要一小笔钱,就可以得到大量的准确属性标签用户,许多短信供应商也参与其中,利用短信的优势,秘密转售数据,为了获得更多的数据,他们想免费给垂直行业的大公司。

我甚至知道很多这样的互联网公司的运营都会和一些黑产品串通,告诉他们投放策略和方式。黑产批量灌号套利,最后大家分利润,反正数据也不错,公司用户也有增长,这部分无效补贴,不套白不套。

我认为许多互联网公司应该重新审视自己的营销费用,尤其是在寒冷的冬天。

冬天不好过,对吧?

07

再说一个与我们大多数人相关的小漏洞,不是很大。

大家都知道抢票软件,就是很多时候需要买一些票(比如火车),但是票数有限,买的人太多,只能用一些三方抢票软件。

而且这些软件,总是花各种各样的钱,一张票要多收50到100元,甚至更多,堪称新时代的互联网黄牛。

既然有互联网黄牛,就一定有坑黄牛。

这些抢票软件的核心原理是利用机器调用票务网站的接口,以极快的速度刷新和购买。通常,速度可以快到秒钟几千次,正常人根本抓不到。

12306本身是禁止第三方以这种方式破坏公平的,因此不会提供完整的外部接口。他们只能使用12306本身的对外合作接口(速成OTA),想尽办法加快调用,产生了一个有趣的漏洞。

如果某某抢票软件和12306同时安装在黑色生产手机上,黑色生产抢票软件的支付方式与借记卡绑定。发起抢票时,借记卡余额转移或借记卡本身没有钱,抢票时扣款失败。

此时可登录12306,付款,然后取消抢票。

一些抢票软件甚至抢到了才让付款,那就更简单了,连余额和付款失败都不用做,直接打开12306付款即可。

几家知名公司的抢票软件,都有这个漏洞,却不敢去找消费者的麻烦。

因为抢票,加价抢票,都是模糊的灰色地带,虽然有苦难。

很多电商网站代抢票服务,本质 上就


电脑知识