这世道,互联网利益纷争可不止大家眼皮底下,做着明亮生意的互联网er,还有从旧社会就一直潜藏在地下疯赚黑钱,肆虐不止的高利贷们。互联网技术的滋润下,他们生机蓬勃,但同时,为了争多点肥肉,这些高利贷们,开始狗咬狗,黑吃黑。这些本文将揭露套路贷和黑产之间的“暗斗”,大量攻防细节将被爆出!
在国内,有大大小小上万家高利贷平台,他们披着网络贷款或者借条的外衣,大肆放着短期的高利贷。
旧社会高利贷的极致,是九出十三归。所谓九出十三归,就是借1000元钱,到手只有900元,一个月后还1300元。这扣掉的100元,叫做砍头息。
而随着互联网的发展,以往潜藏在地下的民间高利贷,借助移动互联网和大数据的兴起,逐渐开始浮出水面,向更多的人发放各种高利贷。
1000元,到手只有700元,砍头300,7天或14天后,还1100元。
这叫714高炮,年化收益超过1000%。
更为极致的,1000元,到手只有500元,5天后还1100元,年化收益可以做到5000%甚至10000%,堪称印钱。
这叫55超级高炮,在714高炮被315晚会曝光后,大量的公司开始转做55超级高炮。
一个比一个快,一个比一个凶,生怕做晚了给同行接了盘。
他们不在乎借款人的信用,因为哪怕80%的坏账,在55超级高炮的盈利模型下,依然是赚钱。
他们更不在乎借款人的生死和尊严,毕竟没有钱,这年头谁有尊严?
杀头的买卖有人做,赔钱的买卖无人来。只要赚钱,就有人来。
为了赚钱,他们注册了无数公司,把无数借款人圈在其中,一家又一家的介绍,赚无数次砍头息,最后把滚了几十倍上百倍的债券卖给黑社会线下催收。
他们自己的电话催收,不仅骚扰借款人全家,甚至P借款人的图到黄图上传播,无数承受不住压力的人被逼浪迹天涯或结束生命。
他们不怕你不还,只怕你不借。
只要你碰了这些高炮,那么你的人生便没了前进的路,左边是地狱,右边也是地狱。
01:
世界是公平的。
既然有这样恶劣的套路高炮存在,并且这些套路高炮这么赚钱,赚的还是违法的钱。那么,面对黑钱,必然会有黑吃黑存在,这是自然规律。
市场上就专门有一批人,盯着这些套路贷下手,他们一口气申请几百笔高利贷,下款后就无影无踪,无数高利贷对之恨之入骨却又无可奈何。
报警?高利贷本身就是违法,警察正愁找不到他们。
走法律?别逗了,高利贷也配谈法律?
饱和催收?太天真了,连对方是谁,在哪,都找不到,如何催收?
这些专吃套路贷的人,构成比较复杂,他们中有非常专业的风控人员,有长期薅羊毛的黑产,有专业的黑客,更有熟知人工智能的专家,当然这些人往往在幕后,台前最多的,还是那些怀着一颗发财心不怕死的混不吝。
这场黑吃黑的战斗开始了。
本文将详细讲述套路贷与黑产间的攻防,大量攻防细节将被露出,就差给具体规则了,这是公开互联网看不到的资料,能从中领悟多少攻防思路,看你自己。
02:
黑产首先要做的,是有一套完整的,符合逻辑的身份信息。
这套信息包括,身份证原件,与身份证关联的银行卡及U盾,与身份证信息关联的SIM卡,身份证主人手持身份证的照片。
这些信息从哪里来?
当前最流行的渠道是:在一些偏远地方的农村,只需要几百块,就可以买到一个农民的全部资料,农民由于对保密资料的认知不够,往往觉得这些可以花几十块钱就能重办的东西能卖钱简直是在捡钱。
早期这样一套资料只要100块,现在随着农民保密意识的觉醒,要500块。资料分男女,女性的资料,要加100元,因为各大公司对于女性都有策略倾斜。还有一部分渠道,是利用社会工程学,骗资料。
最简单的方式,就是骗大学生的资料,只要获取相关信息就好了,这些信息的来源可以是兼职招募提交,可以是从电信公司直接行贿获取,可以是打着银行证券公司办卡开户的名义,可以是与银行人员窜通流出,可以是直接拖某大型民生类公司的库。
更可以是无数贷款中介承诺包下款,从无知的,缺钱的人那里骗来的各种资料。
在这个公民隐私形同虚设的大数据年代,只要你愿意,总有一款适合你。
这些一手拿到身份资料的人,往往不太会去自己申请贷款,而是转手卖掉这些资料,赚无风险的钱。
当前(写文章的现在)黑市上,一套完整资料的价格,是650元,包过活体。
03:
当你有了完整的身份资料后,你就需要来包装这些资料来保障下款。
你需要熟知包装知识。
首先,你需要猫池来伪造通话记录和,所谓猫池,就是几十张sim卡插在上面,可以互拨电话,伪造活跃的通话记录。你需要利用猫池,养sim卡至少6个月,因为各大公司的基础规则,就是近半年通话活跃。
为了节约成本,一般用的都是最便宜(9元包月)的套餐,但这样会被厉害的公司抓住。因为他们购买的爬虫不仅爬账单,也爬套餐,过于便宜的套餐,配合只有6个月的活跃期,组合起来就是高危特征。
聪明的黑产,不会刚好养6个月,他们会养7到9个月,甚至1年,同时使用电信或者联通的无保底套餐,这样可以有效避免规则,并且电信和联通可以在营业厅设置反爬,导致爬虫无法爬到有效账单。
SIM卡只是基础,一般普通套路贷公司在通话详单中,主要看的就是:活跃时长,“是否本人名下卡?”,“通话记录中号码是否命中贷款公司号码?”,通话记录号码与通讯录的契合度等等都可以造假。
甚至这些SIM卡之间的互拨规律、拨电话的时长、在什么时间(白天还是晚上)打电话,都有讲究。
04:
SIM卡之后,就是手机信息。
这里一般需要包装的信息是:本地通讯录、本地短信、APP List、GPS、LBS、imei、ip。
本地通讯录很简单,不要有贷款公司电话储存,并且最好是把那些和你互拨的sim卡存为亲戚朋友,很多风控比较弱的贷款,会忽略这些。
本地短信伪造一般是:伪造亲朋好友短信,号码来自互拨sim卡,删除贷款验证码短信,删除负面信息短信,伪造工资流水短信,伪造信用卡账单短信。
APP List一般是指手机内安装的软件,在申请一家贷款时,最好是把手机上其他家的贷款APP都删除,这些都是机器批量自动操作,保证在申请某一家贷款时,手机上是干净的。
GPS与LBS,一般都是用定位修改沙盒软件,来确保自己申请时的地址与买来的手机号归属地及身份证前6位归属地一致,另外99%的套路贷公司是不会做APP和H5加固的,他们对于这种定位修改,无法感知。
IMEI是指:手机唯一的设备号,IP是指申请时的网络地址,IMEI可以用专业软件来随机修改,针对不同机型修改。
这里要注意的是如果你修改成了A品牌,那么下载贷超的途径最好是A应用市场,应用市场与品牌也是特征。
IP有专门的IP池提供服务,很多没有加盾(阿里云,蚁盾,腾讯天御,网易易盾,同盾)的公司,对于IP池基本是无法反抗的,而加盾的成本,一般套路贷这种野路子吃不消。
哦对了,现在黑产最喜欢用苹果设备操作,这些设备来自早期IOS刷榜工作室,IOS设备的通过率要高于安卓。
05:
SIM卡和手机信息做过伪装后,你需要做的是伪造其他信息,或者说不是伪造,而是完善。
例如:电商购物记录,你需要6个月至少购买6次以上的实物,不要买虚拟物品,也不要买游戏,赌博,贷款资料等负面信息,并且收货地址和联系人,都需要小心翼翼的与你贷款提交资料以及GPS地理位置对应。
例如:信用分数,你需要用买来的身份做认证,一般会有起始分数,不过现在大多数公司都不用这个了。
例如:其他贷款公司的下款图,这个是可以P的,垃圾套路贷公司根本审核不出来。
例如:信用卡账单,懂原理的自己用基站改IP做,不懂的在某些网站上可以购买,但凡支持邮箱或者短信导入账单的公司,这里根本防不住,账单外加短信的大额入账提示,某些做长期贷款的公司,存量中有不少伪造。
一切伪造的逻辑,都是要让这个人不能有完整的负面信息,信息不能有完整的逻辑漏洞。具体“如何设计逻辑?”,“如何完善信息?”,“如何校验逻辑?”,“如何做ABtest实验公司规则?”,对不起,我不是黑产,也不打算做黑产,这种可以攻破大公司防御的技术,还是要那些不要命的风控专家们去搞。
不过他们最近的目标,是信用卡。因为很多银行有任务在身,拼命扩量,他们收益不菲,银行坏账飙升,业内人士应该都听闻了最近银行信用卡的雷。
其实,大多数黑产薅一薅套路贷,也用不到这么全面的知识。因为那些只顾着买流量的套路贷公司,本身也没啥风控,不需要很麻烦,就能骗到钱。只要身份真的,无异常负面,三方数据无太大异常,都是闭着眼放款。
06:
说到这里,很多人要提那些吹起来牛逼的大数据风控,可惜的是,除了少数几家有真本事的,大多数都是组装货,数据二道贩子,中看不中用。
那些吹牛逼的各种功能,在工程上根本就实现不了,除非这家大数据公司拥有全知全能的数据源。而这种数据,央行都没有,唯一有点用处的划扣数据和手机SDK数据,前者无法在白户申请进行拦截,后者都是被专门掩盖过得。
那些多头数据,很多时候共享机构共享来的都是白名单装黑名单,黑名单装白名单,同行互杀太多了。那些爬虫数据,除了运营商爬虫还有点用,其他的卵用没有,即使运营商爬虫,面对掩盖过的通话记录白户,第一次也不管用。
各类三方数据平台的所谓大数据风控,很难拦住这些包装过的身份,因为一切都不是假的,而负面则根本没有,你怎么可能找得到这些白户的负面信息呢?
尤其是很多大数据公司号称黑产库实时更新,其实都是纸老虎,因为他们为了优化成本,在一定时间内,返回的都是缓存数据。所以,只要这批伪造的身份,以随机的顺序,在短时间(36小时)内,同时申请不同的平台,然后再随机,再申请不同的平台,在随机,再申请。
这样循环下来,没有一家大数据公司的某款产品能拦得住这种申请,我曾专门做过进攻测试,没有一家能拦住。
能拦得住这种攻击的,只有实时关系网络,但是很可惜,如果你顺序做的足够优秀,数据伪造的足够完美,关系网和图数据挖掘也难以抵挡。
当然,套路贷们用不起关系网络,他们就是一群有几个钱想放高利贷赚钱的普通人,稍微复杂一些的系统,他们都用不上。因为贵,而且他们也招不起会用这些的模型与策略。
就连很多大公司,连怎么测数据有效性,KS,AUC,IV指标都搞不清楚。别笑,某知名上市公司旗下的高利贷公司内部做风控靠的是excel你敢信?简直LOW穿地心。
真是什么阿猫阿狗都来搞高利贷。
更骚的是,很多三方大数据公司,都会缓存这些套路贷的查询信息。因为都是精准的意向用户,他们自己也有自己的高利贷公司,专门拿这些信息低成本推广自己家的高利贷,或者直接自己做贷超把这些流量卖给别人。这个太赚钱了,他们甚至都愿意免费给高利贷公司用自己的产品,只要可以留存下数据,都是赤裸裸的钱。
尤其是那些爬虫公司和多头查询公司,为了防止律师函,我就不点名了。
真正能有效阻止这些的,需要业务逻辑设计和黑产进攻知识,只不过这些人才,多数都在进攻方,毕竟怎么上班也不如进攻赚钱。
07:
当你伪装好自己的一切资料后,你需要做的是:如何进入高利贷的流量中?
要知道高利贷都是在贷款超市买流量的,并且对贷款超市的流量都做了明确的区分,很多风控系统也对流量来源有标志。
你需要做的是:拿自己伪造的资料,注册最大的几家贷款超市,然后通过他们的手,推到套路贷那里,很多套路贷简单到所有资料完全信任贷款超市,所以走大超市的流量,最安全。
甚至很多大超市由于对接了无数高利贷,他们也知道怎么样的流量好。最好的流量,他们直接用自己的壳公司放高利贷下款。
而且,很多贷款超市为了多赚钱,还会自己编写机器人,点击自己贷款超市上的广告,甚至可以伪造注册,那些CPC,CPT结算的套路贷,很多都被贷超坑了一大笔。
还有的公司,为了搞竞争对手,专门搞了机器人去点竞争对手的广告,点垮他们的市场部。
08:
不管你走了什么渠道,最终,要下款了。
一般来说,到了这个节点,严谨一点的高利贷公司,是要求四要素验证的——就是姓名,身份证号,手机号,银行卡号(或ZFB,WX钱包号),必须为同一人,这就要求你伪装身份的时候,要买到同一人的资料。
不过绝大多数高利贷公司,连4要素都搞不清楚,他们给卡就放,这时候一些便宜的资料就排上用场了,如果不要实名银行卡和手机卡的话,那么资料的成本还会降低。
到这里,很多人都会提到一项技术——人脸(活体)识别。
讲白了,就是要确认你是你本人。不过这种技术,在专业黑产面前,都是小儿科。
最早大家用的都是视频,但是后来人脸识别公司也会进化,视频毕竟清晰度和边角有问题。
现在,厉害点的用AI仿真,不厉害的直接网店购买——50一次,可以把身份证上的静态图照片做成动态度,眨眼张嘴摇头过人脸都是小case。尤其是CV巨头们的价格比较贵,高利贷们用的大都是便宜的小公司人脸,技术low的一比。
这是一张静态图:
处理后,就是这样:
这种效果很多时候都不需要很麻烦,苹果商店里就有很多专业编辑作图软件可以实现这种效果。
所以人脸,是可以绕过的。
09:
当你绕过了一切规则,钱到手之后,是高枕无忧了吗?
并不是,因为你要想办法把钱聚在一起进行变现。
如果你认为单纯的卡卡转账汇集就可以搞定,那么只能说明你对于银行的反洗钱一无所知。
一般最常用的3种手法是:
买成硬通货,然后变现。最受欢迎的就是超市卡,因为折扣高。
电商上的各种学习卡,充值卡这种套现产品,大家渠道都是一致的。
自有POS机,随意刷,但是要换随机商户以及多借记卡绑定,不然POS也有反洗钱。
当然上面只是最常用,不是最流行,最流行的是各类扫一扫二维码,专业洗钱,无影无踪。
10:
以上说的是靠技术作假的黑产。
还有另一种朋克黑产,整个村拿自己真实信息申请这种高利贷,申请了就不还,全村一起申请,一起不还。骚扰电话直接用【接死你】全部接起,刷爆催收公司的花费,电话催收无效,骚扰朋友圈无效,大家都是熟门熟路吃这口饭的。
要是催收敢上门,就能感受人民的铁拳。
他们是最土,但最无解的朋克黑产,玩的就是黑吃黑,吃的就是不上征信的黑小贷,就当发工资。
11:
这场战争永无止境,只要有高利贷,就有黑产黑高利贷。攻防双方随时都会转换,这里面没有正义,只有黑吃黑。
315之后,套路贷被名正言顺扣上了帽子,之后会有更多专业风控加入攻击方,毕竟薅那些违法平台的钱,对方有苦难言。
最近非常多的高利贷平台被直接薅光,高利贷平台的资金方损失惨重,在浙江和福建某些地域,发生了大量高利贷资金方被债主(他们的钱也是借的)寻仇逃债。而面对黑产,又新诞生了针对黑产的黑产,就是直接做假的贷款超市壳子,骗黑产积累的用户资料,然后自己转手再去黑别人,干干净净不留痕迹。
这些带血的钱,让所有牵涉其中的人疯狂,进化,人已不是人。
只不过带血的钱,最终只有血来还。
起风了,风里有鲜血的味道。