正文
0.
在国内,有大大小小上万家高利贷平台。
他们披着网络贷款或者借条的外衣,大肆放着短期的高利贷。
旧社会高利贷的极致,是九出十三归。
所谓九出十三归,就是借
1000
元钱,到手只有
900
元,一个月后还
1300
元。
这扣掉的
100
元,叫做砍头息。
而随着互联网的发展,以往潜藏在地下的民间高利贷,借助移动互联网和大数据的兴起,逐渐开始浮出水面,向更多的人发放各种高利贷。
1000
元,到手只有
700
元,砍头
300
,
7
天或
14
天后,还
1100
元。
这叫
714
高炮,年化收益超过
1000%
。
更为极致的,
1000
元,到手只有
500
元,
5
天后还
1100
元,年化收益可以做到
5000%
甚至
10000%
,堪称印钱。
这叫
55
超级高炮,在
714
高炮被
315
晚会曝光后,大量的公司开始转做
55
超级高炮。
一个比一个快,一个比一个凶,生怕做晚了给同行接了盘。
他们不在乎借款人的信用,因为哪怕
80%
的坏账,在
55
超级高炮的盈利模型下,依然是赚钱。
他们更不在乎借款人的生死和尊严,毕竟没有钱,这年头谁有尊严?
杀头的买卖有人做,赔钱的买卖无人来。
只要赚钱,就有人来。
为了赚钱,他们注册了无数公司,把无数借款人圈在其中,一家又一家的介绍,赚无数次砍头息,最后把滚了几十倍上百倍的债券卖给黑社会线下催收。
他们自己的电话催收,不仅骚扰借款人全家,甚至
P
借款人的图到黄图上传播,无数承受不住压力的人被逼浪迹天涯或结束生命。
他们不怕你不还,只怕你不借。
只要你碰了这些高炮,那么你的人生便没了前进的路,左边是地狱,右边也是地狱。
1.
世界是公平的。
既然有这样恶劣的套路高炮存在,并且这些套路高炮这么赚钱,赚的还是违法的钱。
那么面对黑钱,必然会有黑吃黑存在,这是自然规律。
市场上就专门有一批人,盯着这些套路贷下手,他们一口气申请几百笔高利贷,下款后就无影无踪,无数高利贷对之恨之入骨却又无可奈何。
报警?高利贷本身就是违法,警察正愁找不到他们。
走法律?别逗了,高利贷也配谈法律?
饱和催收?太天真了,连对方是谁,在哪,都找不到,如何催收?
这些专吃套路贷的人,构成比较复杂,他们中有非常专业的风控人员,有长期薅羊毛的黑产,有专业的黑客,更有熟知人工智能的专家,当然这些人往往在幕后,台前最多的,还是那些怀着一颗发财心不怕死的混不吝。
这场黑吃黑的战斗开始了。
本文将详细讲述套路贷与黑产间的攻防,大量攻防细节将被露出,就差给具体规则了,这是公开互联网看不到的资料,能从中领悟多少攻防思路,看你自己。
2.
黑产首先要做的,是有一套完整的,符合逻辑的身份信息。
这套信息包括,身份证原件,与身份证关联的银行卡及
U
盾,与身份证信息关联的
SIM
卡,身份证主人手持身份证的照片。
这些信息从哪里来?
当前最流行的渠道是,在一些偏远地方的农村,只需要几百块,就可以买到一个农民的全部资料,农民由于对保密资料的认知不够,往往觉得这些可以花几十块钱就能重办的东西能卖钱简直是在捡钱。
早期这样一套资料只要
100
块,现在随着农民保密意识的觉醒,要
500
块。
资料分男女,女性的资料,要加
100
元,因为各大公司对于女性都有策略倾斜。
还有一部分渠道,是利用社会工程学,骗资料。
最简单的方式,就是骗大学生的资料,只要获取相关信息就好了,这些信息的来源可以是兼职招募提交,可以是从电信公司直接行贿获取,可以是打着银行证券公司办卡开户的名义,可以是与银行人员窜通流出,可以是直接拖某大型民生类公司的库。
更可以是无数贷款中介承诺包下款,从无知的,缺钱的人那里骗来的各种资料。
在这个公民隐私形同虚设的大数据年代,只要你愿意,总有一款适合你。
这些一手拿到身份资料的人,往往不太会去自己申请贷款,而是转手卖掉这些资料,赚无风险的钱。
当前(写文章的现在)黑市上,一套完整资料的价格,是
650
元,包过活体。
3.
当你有了完整的身份资料后,你就需要来包装这些资料来保障下款。
你需要熟知包装知识。
首先,你需要猫池来伪造通话记录和,所谓猫池,就是几十张
sim
卡插在上面,可以互拨电话,伪造活跃的通话记录。
你需要利用猫池,养
sim
卡至少
6
个月,因为各大公司的基础规则,就是近半年通话活跃。
为了节约成本,一般用的都是最便宜(
9
元包月)的套餐,但这样会被厉害的公司抓住,因为他们购买的爬虫不仅爬账单,也爬套餐,过于便宜的套餐,配合只有
6
个月的活跃期,组合起来就是高危特征。
聪明的黑产,不会刚好养
6
个月,他们会养
7
到
9
个月,甚至
1
年,同时使用电信或者联通的无保底套餐,这样可以有效避免规则,并且电信和联通可以在营业厅设置反爬,导致爬虫无法爬到有效账单。
SIM
卡只是基础,一般普通套路贷公司在通话详单中,主要看的就是活跃时长,是否本人名下卡,通话记录中号码是否命中贷款公司号码,通话记录号码与通讯录的契合度,种种,这些,都可以造假。
甚至这些
SIM
卡之间的互拨规律,拨电话的时长,在什么时间(白天还是晚上)打电话,都有讲究。
4.SIM
卡之后,就是手机信息。
这里一般需要包装的信息是本地通讯录,本地短信,
APP List
,
GPS
,
LBS
,
imei
,
ip
。
本地通讯录很简单,不要有贷款公司电话储存,并且最好是把那些和你互拨的
sim
卡存为亲戚朋友,很多风控比较弱的贷款,会忽略这些。
本地短信伪造一般是伪造亲朋好友短信,号码来自互拨
sim
卡,删除贷款验证码短信,删除负面信息短信,伪造工资流水短信,伪造信用卡账单短信。
APP List
一般是指手机内安装的软件,在申请一家贷款时,最好是把手机上其他家的贷款
APP
都删除,这些都是机器批量自动操作,保证在申请某一家贷款时,手机上是干净的。
GPS
与
LBS
,一般都是用定位修改沙盒软件,来确保自己申请时的地址与买来的手机号归属地及身份证前
6
位归属地一致,另外
99%
的套路贷公司是不会做
APP
和
H5
加固的,他们对于这种定位修改,无法感知。
IMEI
是指手机唯一的设备号,
IP
是指申请时的网络地址,
IMEI
可以用专业软件来随机修改,针对不同机型修改,这里要注意的是如果你修改成了
A
品牌,那么下载贷超的途径最好是
A
应用市场,应用市场与品牌也是特征。
IP
有专门的
IP
池提供服务,很多没有加盾(阿里云,蚁盾,腾讯天御,网易易盾,同盾)的公司,对于
IP
池基本是无法反抗的,而加盾的成本,一般套路贷这种野路子吃不消。
哦对了,现在黑产最喜欢用苹果设备操作,这些设备来自早期
IOS
刷榜工作室,
IOS
设备的通过率要高于安卓。
5.
SIM
卡和手机信息做过伪装后,你需要做的是伪造其他信息。
或者说不是伪造,而是完善。
例如电商购物记录,你需要
6
个月至少购买
6
次以上的实物,不要买虚拟物品,也不要买游戏,赌博,贷款资料等负面信息,并且收货地址和联系人,都需要小心翼翼的与你贷款提交资料以及
GPS
地理位置对应。
例如信用分数,你需要用买来的身份做认证,一般会有起始分数,不过现在大多数公司都不用这个了。
例如其他贷款公司的下款图,这个是可以
P
的,垃圾套路贷公司根本审核不出来。
例如信用卡账单,懂原理的自己用基站改
IP
做,不懂的在某些网站上可以购买,但凡支持邮箱或者短信导入账单的公司,这里根本防不住,账单外加短信的大额入账提示,某些做长期贷款的公司,存量中有不少伪造。
一切伪造的逻辑,都是要让这个人不能有完整的负面信息,信息不能有完整的逻辑漏洞,具体如何设计逻辑,如何完善信息,如何校验逻辑,如何做
ABtest
实验公司规则,对不起,我不是黑产,也不打算做黑产,这种可以攻破大公司防御的技术,还是要那些不要命的风控专家们去搞。
不过他们最近的目标,是信用卡,因为很多银行有任务在身,拼命扩量,他们收益不菲,银行坏账飙升,业内人士应该都听闻了最近银行信用卡的雷。
其实大多数黑产薅一薅套路贷也用不到这么全面的知识,因为那些只顾着买流量的套路贷公司,本身也没啥风控,不需要很麻烦,就能骗到钱,只要身份真的,无异常负面,三方数据无太大异常,都是闭着眼放款。
6.
说到这里,很多人要提那些吹起来牛逼的大数据风控,可惜的是,除了少数几家有真本事的,大多数都是组装货,数据二道贩子,中看不中用。
那些吹牛逼的各种功能,在工程上根本就实现不了,除非这家大数据公司拥有全知全能的数据源,而这种数据,央行都没有,唯一有点用处的划扣数据和手机
SDK
数据,前者无法在白户申请进行拦截,后者都是被专门掩盖过得。
那些多头数据,很多时候共享机构共享来的都是白名单装黑名单,黑名单装白名单,同行互杀太多了。
那些爬虫数据,除了运营商爬虫还有点用,其他的卵用没有,即使运营商爬虫,面对掩盖过的通话记录白户,第一次也不管用。
各类三方数据平台的所谓大数据风控,很难拦住这些包装过的身份,因为一切都不是假的,而负面则根本没有,你怎么可能找得到这些白户的负面信息呢?
尤其是很多大数据公司号称黑产库实时更新,其实都是纸老虎,因为他们为了优化成本,在一定时间内,返回的都是缓存数据。
所以只要这批伪造的身份,以随机的顺序,在短时间(
36
小时)内,同时申请不同的平台,然后再随机,再申请不同的平台,在随机,再申请。
这样循环下来,没有一家大数据公司的某款产品能拦得住这种申请,我曾专门做过进攻测试,没有一家能拦住。
能拦得住这种攻击的,只有实时关系网络,但是很可惜,如果你顺序做的足够优秀,数据伪造的足够完美,关系网和图数据挖掘也难以抵挡。
当然,套路贷们用不起关系网络,他们就是一群有几个钱想放高利贷赚钱的普通人,稍微复杂一些的系统,他们都用不上,因为贵,而且他们也招不起会用这些的模型与策略。
就连很多大公司,连怎么测数据有效性,KS,AUC,IV指标都搞不清楚,别笑,某知名上市公司旗下的高利贷公司内部做风控靠的是excel你敢信?简直LOW穿地心。
真是什么阿猫阿狗都来搞高利贷。
更骚的是,很多三方大数据公司,都会缓存这些套路贷的查询信息,因为都是精准的意向用户,他们自己也有自己的高利贷公司,专门拿这些信息低成本推广自己家的高利贷,或者直接自己做贷超把这些流量卖给别人,这个太赚钱了,他们甚至都愿意免费给高利贷公司用自己的产品,只要可以留存下数据,都是赤裸裸的钱。
尤其是那些爬虫公司和多头查询公司,为了防止律师函,我就不点名了。
真正能有效阻止这些的,需要业务逻辑设计和黑产进攻知识,只不过这些人才,多数都在进攻方,毕竟怎么上班也不如进攻赚钱。
7.
当你伪装好自己的一切资料后,你需要做的是,如何进入高利贷的流量中。
要知道高利贷都是在贷款超市买流量的,并且对贷款超市的流量都做了明确的区分,很多风控系统也对流量来源有标志。
你需要做的是,拿自己伪造的资料,注册最大的几家贷款超市,然后通过他们的手,推到套路贷那里,很多套路贷简单到所有资料完全信任贷款超市,所以走大超市的流量,最安全。
甚至很多大超市由于对接了无数高利贷,他们也知道怎么样的流量好,最好的流量,他们直接用自己的壳公司放高利贷下款。
而且很多贷款超市为了多赚钱,还会自己编写机器人,点击自己贷款超市上的广告,甚至可以伪造注册,那些
CPC
,
CPT
结算的套路贷,很多都被贷超坑了一大笔。
还有的公司,为了搞竞争对手,专门搞了机器人去点竞争对手的广告,点垮他们的市场部。
8.
不管你走了什么渠道,最终,要下款了。
一般来说,到了这个节点,严谨一点的高利贷公司,是要求四要素验证的,就是姓名,身份证号,手机号,银行卡号(或
ZFB
,
WX
钱包号),必须为同一人,这就要求你伪装身份的时候,要买到同一人的资料。
不过绝大多数高利贷公司,连
4
要素都搞不清楚,他们给卡就放,这时候一些便宜的资料就排上用场了,如果不要实名银行卡和手机卡的话,那么资料的成本还会降低。
到这里,很多人都会提到一项技术,人脸(活体)识别。
讲白了就是要确认你是你本人。
不过这种技术,在专业黑产面前,都是小儿科。
最早大家用的都是视频,但是后来人脸识别公司也会进化,视频毕竟清晰度和边角有问题。
现在,厉害点的用
AI
仿真,不厉害的直接网店购买,
50
一次,可以把身份证上的静态图照片做成动态度,眨眼张嘴摇头过人脸都是小
case
,尤其是
CV
巨头们的价格比较贵,高利贷们用的大都是便宜的小公司人脸,技术
low
的一比。
这是一张静态图。
处理后,就是这样。
这种效果很多时候都不需要很麻烦,苹果商店里就有很多专业编辑作图软件可以实现这种效果。
所以人脸,是可以绕过的。
9.
当你绕过了一切规则,钱到手之后,是高枕无忧了吗?
并不是,因为你要想办法把钱聚在一起进行变现。
