我是怎麼入行做風控的

語言: CN / TW / HK

引言

常聽到周圍有人説“風控”這個詞,只知道這是一個神祕的部門,對他們做的事卻一知半解,只知道這個風控部門對公司非常重要,任何活動和信息都最好向風控部門報備以評估風險,尤其涉及到錢的問題。

到底什麼是風控?為什麼需要風控?風控到底在幹什麼?本文將向你解惑。

什麼是風控

風控,即風險控制(Risk Control), 智庫·百科 定義如下

風險控制是指風險管理者採取各種措施和方法,消滅或減少風險事件發生的各種可能性,或者減少風險事件發生時造成的損失。 風險控制的四種基本方法是:風險迴避、損失控制、風險轉移、風險保留

<!--more-->

以上信息是不是有種我好像明白了但是又沒全明白的感覺,我將結合實際案例來拆分講解一下。 舉一個栗子,假設你在職一家規模還算挺大的在線交易電商平台,公司老闆宣佈:我們也得搞一個像馬爸爸那樣的“雙十一”節日增加銷售額,提升利潤,錢憑什麼讓他一個人賺去,我們也要造勢! 那運營部的老大 get 到了老闆的要求後,知道來活了,立即準備搞各種形式多樣的營銷活動,怎麼搞?砸錢!沒錢沒客户,用大優惠大折扣來造勢!吸引用户過來,捨不得孩子套不着狼! 此時風控的老大也 get 到了老闆的要求,並且知道運營的老大要搞事,趕緊組織部門會議,商討活動方案

風險迴避

產運部想來個活動:咱有錢,活動節日當天,來了就送現金!一人 3 元,無門檻,且可直接提現,豪橫! 風控部立馬回覆:不行,你這個活動不能上( 風險迴避 ),知道這個風險有多大麼,無門檻且來就送,萬一黑產手上養了一批號,上來就給你薅禿了,而且他們速度非常快,可以直接用機器來代替人工,等真正的用户進來,啥也沒了,一地雞毛,不能上!

損失控制

產品一想也是,咱雖然老闆撥錢了,但是好鋼不能用在刀把上啊!萬一錢被薅沒了,平台沒啥完單,我不完犢子了。活動升級:先造勢,節日當天 3 元送現金只在 9:00 ~ 12:00 期間,且只給前 1w 名客户無腦送( 損失控制 ),這樣就算被薅了,活動金額上線就 30 萬塊,咱也損失不大,畢竟賺了一波人氣。

風險轉移

產品部一個抖機靈:我們可以聯和各大廠商做活動,在我支付 10 元,即可換購某某平台年卡會員卡( 風險轉移 ),現在那麼多互聯網平台需要拉新,我們流量大,他們肯定配合,而且他們應該也有風控的吧,不會出問題的。就算沒有,我們損失也不大,雙贏。

以上的例子舉得比較極端,主要是讓讀者朋友們有個大致的理解風控是什麼。 白話總結:風控是為公司省錢的,避免公司經濟上有較大的損失。日常工作中主要是尋找並發現公司的經營活動中存在的漏洞,且如果這些漏洞不及時修復的話,可能會給公司帶來重大經濟損失及形象影響。

為什麼需要風控

如上你已大致瞭解什麼是風控了,風控對於企業的重要毋庸置疑,但不是所有企業都是需要風控的,目前我們聽到最多僱傭風控從業的公司要麼是金融行業,要麼是互聯網那個行業,歸根結底也是和錢相關的。

打個比方:如果企業是一輛行駛的汽車,那麼風控就是安全帶和安全氣囊。車禍隨時都能發生,但是發生的那一刻,安全帶大概率能保證你的安全,甚至能救你的命。**風控不是消滅風險,而是和風險對抗,避免風險,或者將損失降至最小。**風控和企業的業務場景是有摩擦的,有時為了安全,不得不做出一定的業務妥協,就像安全帶雖然能關鍵時刻保命,但是你犧牲了舒適性:只要上車你就得戴着。

我們舉實際的、真實的案例來説明為什麼需要風控:

案例一:薅羊毛

某多多百元通用優惠券的營銷推廣出現重大漏洞,無論新老用户,都可以領取 100 元無門檻券,注意是領取,不是搶購。有網友通過接碼平台充值了 54 萬的 Q 幣和 64 萬的話費。有黑灰產團伙通過一個過期的優惠券漏洞取數千萬元平台優惠券,進行不正當牟利。

流量時代的到來,越來越多的互聯網企業站在風口上隨風而起,競爭也變得越來越激烈,各家企業為了“搶人”,不得不發開發各種營銷活動來刺激用户對平台的粘性,以期提升 GMV 。此時,黑產伺機切入活動的玩法漏洞,牟取暴利,導致企業損失慘重。

案例二:金融騙貸

某頭部互聯網小貸平台,被黑產騙帶金額高達數千萬元。黑產通過產業鏈工具包括但不限於:設備多開、肉雞、接碼平台、通訊錄養號等手段。成功騙過平台設置的各種活動限制關卡,貸款後即刻刪號,企業想追都沒辦法追。

互聯網金融的興起,即我們熟知的小貸行業。暫且不論它對社會的好與壞,黑產就是瞄準了他比銀行金融審核更輕,“人的信息”拿的更少的點,用技術突破了企業設置的門檻,成功的薅走了企業的資金。

案例三:水軍

某短視頻平台主播點贊和轉發創新高,但都是殭屍粉 某寶店鋪單量成交筆數及成交額一個月創新高。

互聯網催生了一批“刷子”產業,他們唯利是圖,抓住平台的依據用户是否喜歡(看得多、買點多)的曝光機制,瘋狂造就“爆款”。這嚴重破壞了競爭協議,對那些認證經營、認真創作的人非常不公平。

風控在企業中扮演着“警察”的角色,它不會去消滅風險,也沒辦法消滅,但是風險來的時候,能識別出風險,並且按照處罰級別,從輕到重約束破壞企業規範的用户,從而能讓企業走的更好走的更遠。

風控與黑產

洞察黑產

黑產羣體組織分工明細,並且善於偽裝。黑產從業者有全職或兼職,在兼職人羣中,有各行各業人員,辨認難度大。同時黑產羣體技術更新迭代迅速,可以在短時間內對廠商的防護手段破解並更新多個版本的作弊工具。據不完全統計,在這個龐大的黑色產業鏈條中,黑產從業人員已達數十萬餘人,每年給互聯網公司造成的經濟損失超過百億元。

説白了,這些人為了賺快錢,不擇手段,通過新型的技術,來突破傳統的防禦手段,無往而不利。黑產常用的武器有:虛擬號碼、代理 IP、設備偽造等等。每一種工具都對應一種攻擊場景。

洞察風控

在和黑產對抗的過程中,我們總結了很多經驗和教訓,全流程覆蓋業務玩法,從事前、事中、事後防控,業務全生命週期風控體系。 風控的武器庫有:設備指紋、生物探針(UBT)、智能驗證碼等等。

我是怎麼入行的

之前有別的部門同事問我:你是怎麼入行的?仔細思考一下,這是問題同樣適合所有行業,你是怎麼入行金融的?醫生?區塊鏈?教師? 我仔細回想了一下,我入行風控完全是興趣。但是這個前提是我接觸到了風控這個領域。我剛工作所在的公司是搞金融的,當時我是一個後端開發,你可以理解為就是做產品研發的,那這個過程肯定要和風控部門打交道的,對於公司非風控部門的人來説,對他們那幫人的標籤都是:“ 最牛*的團隊!裏面都是牛人! ”、“ 公司的借貸的逾期率,壞賬率能保持這麼低都是依賴風控團隊 ”、“ 不知道他們在幹嘛,很神祕 ”... 在工作對接的過程中,也逐漸知道了風控是怎麼玩的,比如上線一個活動,風控要求在參與活動、分享活動、領取獎勵、獎勵發放設置前置卡點,所有信息都調一次風控平台的接口,有風控判定當前用户能否參與活動。但是隻能看出其型,不得其解:憑什麼判定這筆單子不能過,需要拒絕?

本着提高自己和不服輸的精神,咱也想成為最牛逼的人,我就會主動和對接的風控研發打招呼,詢問不解的地方,久而久之,也大致明白了其中的概念,在下一次跳槽時,我在簡歷中標明有風控經驗,並且投給了招聘風控崗位的公司,幸運的是遇到了願意給培養並有學習機會公司,從此真正算是進入了風控這個領域。

給想入行的預備風控 er 的一些建議

風控相對教師、醫生、java 後端這種算是小眾行業,在你不瞭解或者完全沒聽過的情況下,你完全是沒有概念的,也就根本談不上入職也説。 如果你瞭解了後,想成為一個風控人的話,如下我是的一些建議:

儘早進入

這個對任何行業有效,儘早指的是應屆生~工作 3 內之內,此時企業在招人的時候認為你還是“白的”,是可塑的,此時如果你對風控感興趣,可直接向感興趣的公司投簡歷,此時儘管沒有任何經歷,但是企業是在儲備人才,部門是在培養“backup”,成功率非常高。

跨部門轉職

很多同事都是在公司內部瞭解了風控這個職業,還真的有一小戳人真的轉了過來,這相對社會招聘更有優勢,最起碼你進入公司時考核是過的,符合企業的人才標註。唯一的要求就是你當前的 TL 願意放和風控的 TL 願意收。

風控所在的公司一定是有一定的市場規模的,往往説中大體量的公司才會考慮接入風控,小公司一般也養不起風控團隊,一是沒有用户規模,沒那麼多錢,黑產瞧不上,二是風控研發的開銷確實不是一個小公司能抗住的,成本會超過很多。

總結

作為互聯網安全從業者,回顧這幾年走過的路,黑產的技術發展和規模膨脹給我們帶來了很大的壓力,同時也讓我們有了更大的動力去構建更加有效的安全防禦產品體系。黑產也是人,他們也會進步,所以風控面臨的挑戰非常大,也歡迎各位加入風控領域,共創和平的互聯網行業。

作為風控研發,我會在後續從 0 到 1 的分享風控的架構及技術細節,喜歡的歡迎關注訂閲,第一時間收到文章更新。

歡迎關注公眾號:咕咕雞技術專欄