查看原文
其他

把高利贷薅到倾家荡产,一文揭秘黑吃黑的地下江湖

烟语法萌 2019-07-03


来源 | 半佛仙人(ID:banfoSB)


本文将详细讲述套路贷与黑产间的攻防,大量攻防细节将被露出,就差给具体规则了,这是公开互联网看不到的资料,能从中领悟多少攻防思路,看你自己。

                                                           

 

在国内,有大大小小上万家高利贷平台。

 

他们披着网络贷款或者借条的外衣,大肆放着短期的高利贷。

 

旧社会高利贷的极致,是九出十三归。

 

所谓九出十三归,就是借1000元钱,到手只有900元,一个月后还1300元。

 

这扣掉的100元,叫做砍头息。

 

而随着互联网的发展,以往潜藏在地下的民间高利贷,借助移动互联网和大数据的兴起,逐渐开始浮出水面,向更多的人发放各种高利贷。

 

1000元,到手只有700元,砍头300,7天或14天后,还1100元。

 

这叫714高炮,年化收益超过1000%。

 

更为极致的,1000元,到手只有500元,5天后还1100元,年化收益可以做到5000%甚至10000%,堪称印钱。

 

这叫55超级高炮,在714高炮被315晚会曝光后,大量的公司开始转做55超级高炮。

 

一个比一个快,一个比一个凶,生怕做晚了给同行接了盘。

 

他们不在乎借款人的信用,因为哪怕80%的坏账,在55超级高炮的盈利模型下,依然是赚钱。

 

他们更不在乎借款人的生死和尊严,毕竟没有钱,这年头谁有尊严?

 

杀头的买卖有人做,赔钱的买卖无人来。

 

只要赚钱,就有人来。

 

为了赚钱,他们注册了无数公司,把无数借款人圈在其中,一家又一家的介绍,赚无数次砍头息,最后把滚了几十倍上百倍的债券卖给黑社会线下催收。

 

他们自己的电话催收,不仅骚扰借款人全家,甚至P借款人的图到黄图上传播,无数承受不住压力的人被逼浪迹天涯或结束生命。

 

他们不怕你不还,只怕你不借。

 

只要你碰了这些高炮,那么你的人生便没了前进的路,左边是地狱,右边也是地狱。


 

 

世界是公平的。

 

既然有这样恶劣的套路高炮存在,并且这些套路高炮这么赚钱,赚的还是违法的钱。

 

那么面对黑钱,必然会有黑吃黑存在,这是自然规律。

 

市场上就专门有一批人,盯着这些套路贷下手,他们一口气申请几百笔高利贷,下款后就无影无踪,无数高利贷对之恨之入骨却又无可奈何。

 

报警?高利贷本身就是违法,警察正愁找不到他们。

 

走法律?别逗了,高利贷也配谈法律?

 

饱和催收?太天真了,连对方是谁,在哪,都找不到,如何催收?

 

这些专吃套路贷的人,构成比较复杂,他们中有非常专业的风控人员,有长期薅羊毛的黑产,有专业的黑客,更有熟知人工智能的专家,当然这些人往往在幕后,台前最多的,还是那些怀着一颗发财心不怕死的混不吝。

 

这场黑吃黑的战斗开始了。

 

本文将详细讲述套路贷与黑产间的攻防,大量攻防细节将被露出,就差给具体规则了,这是公开互联网看不到的资料,能从中领悟多少攻防思路,看你自己。

 

 

黑产首先要做的,是有一套完整的,符合逻辑的身份信息。

 

这套信息包括,身份证原件,与身份证关联的银行卡及U盾,与身份证信息关联的SIM卡,身份证主人手持身份证的照片。

 

这些信息从哪里来?

 

当前最流行的渠道是,在一些偏远地方的农村,只需要几百块,就可以买到一个农民的全部资料,农民由于对保密资料的认知不够,往往觉得这些可以花几十块钱就能重办的东西能卖钱简直是在捡钱。

 

早期这样一套资料只要100块,现在随着农民保密意识的觉醒,要500块。

 

资料分男女,女性的资料,要加100元,因为各大公司对于女性都有策略倾斜。

 

还有一部分渠道,是利用社会工程学,骗资料。

 

最简单的方式,就是骗大学生的资料,只要获取相关信息就好了,这些信息的来源可以是兼职招募提交,可以是从电信公司直接行贿获取,可以是打着银行证券公司办卡开户的名义,可以是与银行人员窜通流出,可以是直接拖某大型民生类公司的库。

 

更可以是无数贷款中介承诺包下款,从无知的,缺钱的人那里骗来的各种资料。

 

在这个公民隐私形同虚设的大数据年代,只要你愿意,总有一款适合你。

 

这些一手拿到身份资料的人,往往不太会去自己申请贷款,而是转手卖掉这些资料,赚无风险的钱。

 

当前(写文章的现在)黑市上,一套完整资料的价格,是650元,包过活体。


 


当你有了完整的身份资料后,你就需要来包装这些资料来保障下款。

 

你需要熟知包装知识。

 

首先,你需要猫池来伪造通话记录和,所谓猫池,就是几十张sim卡插在上面,可以互拨电话,伪造活跃的通话记录。

 

你需要利用猫池,养sim卡至少6个月,因为各大公司的基础规则,就是近半年通话活跃。

 

为了节约成本,一般用的都是最便宜(9元包月)的套餐,但这样会被厉害的公司抓住,因为他们购买的爬虫不仅爬账单,也爬套餐,过于便宜的套餐,配合只有6个月的活跃期,组合起来就是高危特征。

 

聪明的黑产,不会刚好养6个月,他们会养7到9个月,甚至1年,同时使用电信或者联通的无保底套餐,这样可以有效避免规则,并且电信和联通可以在营业厅设置反爬,导致爬虫无法爬到有效账单。

 

SIM卡只是基础,一般普通套路贷公司在通话详单中,主要看的就是活跃时长,是否本人名下卡,通话记录中号码是否命中贷款公司号码,通话记录号码与通讯录的契合度,种种,这些,都可以造假。

 

甚至这些SIM卡之间的互拨规律,拨电话的时长,在什么时间(白天还是晚上)打电话,都有讲究。

 


SIM卡之后,就是手机信息。

 

这里一般需要包装的信息是本地通讯录,本地短信,APP List,GPS,LBS,imei,ip。

 

本地通讯录很简单,不要有贷款公司电话储存,并且最好是把那些和你互拨的sim卡存为亲戚朋友,很多风控比较弱的贷款,会忽略这些。

 

本地短信伪造一般是伪造亲朋好友短信,号码来自互拨sim卡,删除贷款验证码短信,删除负面信息短信,伪造工资流水短信,伪造信用卡账单短信。

 

APP List一般是指手机内安装的软件,在申请一家贷款时,最好是把手机上其他家的贷款APP都删除,这些都是机器批量自动操作,保证在申请某一家贷款时,手机上是干净的。

 

GPS与LBS,一般都是用定位修改沙盒软件,来确保自己申请时的地址与买来的手机号归属地及身份证前6位归属地一致,另外99%的套路贷公司是不会做APP和H5加固的,他们对于这种定位修改,无法感知。

 

IMEI是指手机唯一的设备号,IP是指申请时的网络地址,IMEI可以用专业软件来随机修改,针对不同机型修改,这里要注意的是如果你修改成了A品牌,那么下载贷超的途径最好是A应用市场,应用市场与品牌也是特征。

 

IP有专门的IP池提供服务,很多没有加盾(阿里云,蚁盾,腾讯天御,网易易盾,同盾)的公司,对于IP池基本是无法反抗的,而加盾的成本,一般套路贷这种野路子吃不消。

 

哦对了,现在黑产最喜欢用苹果设备操作,这些设备来自早期IOS刷榜工作室,IOS设备的通过率要高于安卓。



 

 

SIM卡和手机信息做过伪装后,你需要做的是伪造其他信息。

 

或者说不是伪造,而是完善。

 

例如电商购物记录,你需要6个月至少购买6次以上的实物,不要买虚拟物品,也不要买游戏,赌博,贷款资料等负面信息,并且收货地址和联系人,都需要小心翼翼的与你贷款提交资料以及GPS地理位置对应。

 

例如信用分数,你需要用买来的身份做认证,一般会有起始分数,不过现在大多数公司都不用这个了。

 

例如其他贷款公司的下款图,这个是可以P的,垃圾套路贷公司根本审核不出来。

 

例如信用卡账单,懂原理的自己用基站改IP做,不懂的在某些网站上可以购买,但凡支持邮箱或者短信导入账单的公司,这里根本防不住,账单外加短信的大额入账提示,某些做长期贷款的公司,存量中有不少伪造。

 

一切伪造的逻辑,都是要让这个人不能有完整的负面信息,信息不能有完整的逻辑漏洞,具体如何设计逻辑,如何完善信息,如何校验逻辑,如何做ABtest实验公司规则,对不起,我不是黑产,也不打算做黑产,这种可以攻破大公司防御的技术,还是要那些不要命的风控专家们去搞。

 

不过他们最近的目标,是信用卡,因为很多银行有任务在身,拼命扩量,他们收益不菲,银行坏账飙升,业内人士应该都听闻了最近银行信用卡的雷。

 

其实大多数黑产薅一薅套路贷也用不到这么全面的知识,因为那些只顾着买流量的套路贷公司,本身也没啥风控,不需要很麻烦,就能骗到钱,只要身份真的,无异常负面,三方数据无太大异常,都是闭着眼放款。

 

 

说到这里,很多人要提那些吹起来牛逼的大数据风控,可惜的是,除了少数几家有真本事的,大多数都是组装货,数据二道贩子,中看不中用。

 

那些吹牛逼的各种功能,在工程上根本就实现不了,除非这家大数据公司拥有全知全能的数据源,而这种数据,央行都没有,唯一有点用处的划扣数据和手机SDK数据,前者无法在白户申请进行拦截,后者都是被专门掩盖过得。

 

那些多头数据,很多时候共享机构共享来的都是白名单装黑名单,黑名单装白名单,同行互杀太多了。

 

那些爬虫数据,除了运营商爬虫还有点用,其他的卵用没有,即使运营商爬虫,面对掩盖过的通话记录白户,第一次也不管用。

 

各类三方数据平台的所谓大数据风控,很难拦住这些包装过的身份,因为一切都不是假的,而负面则根本没有,你怎么可能找得到这些白户的负面信息呢?

 

尤其是很多大数据公司号称黑产库实时更新,其实都是纸老虎,因为他们为了优化成本,在一定时间内,返回的都是缓存数据。

 

所以只要这批伪造的身份,以随机的顺序,在短时间(36小时)内,同时申请不同的平台,然后再随机,再申请不同的平台,在随机,再申请。

 

这样循环下来,没有一家大数据公司的某款产品能拦得住这种申请,我曾专门做过进攻测试,没有一家能拦住。

 

能拦得住这种攻击的,只有实时关系网络,但是很可惜,如果你顺序做的足够优秀,数据伪造的足够完美,关系网和图数据挖掘也难以抵挡。

 

当然,套路贷们用不起关系网络,他们就是一群有几个钱想放高利贷赚钱的普通人,稍微复杂一些的系统,他们都用不上,因为贵,而且他们也招不起会用这些的模型与策略。


就连很多大公司,连怎么测数据有效性,KS,AUC,IV指标都搞不清楚,别笑,某知名上市公司旗下的高利贷公司内部做风控靠的是excel你敢信?简直LOW穿地心。


真是什么阿猫阿狗都来搞高利贷。


更骚的是,很多三方大数据公司,都会缓存这些套路贷的查询信息,因为都是精准的意向用户,他们自己也有自己的高利贷公司,专门拿这些信息低成本推广自己家的高利贷,或者直接自己做贷超把这些流量卖给别人,这个太赚钱了,他们甚至都愿意免费给高利贷公司用自己的产品,只要可以留存下数据,都是赤裸裸的钱。


尤其是那些爬虫公司和多头查询公司,为了防止律师函,我就不点名了。


真正能有效阻止这些的,需要业务逻辑设计和黑产进攻知识,只不过这些人才,多数都在进攻方,毕竟怎么上班也不如进攻赚钱。

 

 

 

当你伪装好自己的一切资料后,你需要做的是,如何进入高利贷的流量中。

 

要知道高利贷都是在贷款超市买流量的,并且对贷款超市的流量都做了明确的区分,很多风控系统也对流量来源有标志。

 

你需要做的是,拿自己伪造的资料,注册最大的几家贷款超市,然后通过他们的手,推到套路贷那里,很多套路贷简单到所有资料完全信任贷款超市,所以走大超市的流量,最安全。

 

甚至很多大超市由于对接了无数高利贷,他们也知道怎么样的流量好,最好的流量,他们直接用自己的壳公司放高利贷下款。

 

而且很多贷款超市为了多赚钱,还会自己编写机器人,点击自己贷款超市上的广告,甚至可以伪造注册,那些CPC,CPT结算的套路贷,很多都被贷超坑了一大笔。

 

还有的公司,为了搞竞争对手,专门搞了机器人去点竞争对手的广告,点垮他们的市场部。

 

 


不管你走了什么渠道,最终,要下款了。

 

一般来说,到了这个节点,严谨一点的高利贷公司,是要求四要素验证的,就是姓名,身份证号,手机号,银行卡号(或ZFB,WX钱包号),必须为同一人,这就要求你伪装身份的时候,要买到同一人的资料。

 

不过绝大多数高利贷公司,连4要素都搞不清楚,他们给卡就放,这时候一些便宜的资料就排上用场了,如果不要实名银行卡和手机卡的话,那么资料的成本还会降低。

 

到这里,很多人都会提到一项技术,人脸(活体)识别。

 

讲白了就是要确认你是你本人。

 

不过这种技术,在专业黑产面前,都是小儿科。

 

最早大家用的都是视频,但是后来人脸识别公司也会进化,视频毕竟清晰度和边角有问题。

 

现在,厉害点的用AI仿真,不厉害的直接网店购买,50一次,可以把身份证上的静态图照片做成动态度,眨眼张嘴摇头过人脸都是小case,尤其是CV巨头们的价格比较贵,高利贷们用的大都是便宜的小公司人脸,技术low的一比。

 

这是一张静态图。


处理后,就是这样。


这种效果很多时候都不需要很麻烦,苹果商店里就有很多专业编辑作图软件可以实现这种效果。

 

所以人脸,是可以绕过的。

 

 

当你绕过了一切规则,钱到手之后,是高枕无忧了吗?

 

并不是,因为你要想办法把钱聚在一起进行变现。

 

如果你认为单纯的卡卡转账汇集就可以搞定,那么只能说明你对于银行的反洗钱一无所知。

 

一般最常用的3种手法是,买成硬通货,然后变现,最受欢迎的就是超市卡,因为折扣高。

 

第二种是电商上的各种学习卡,充值卡这种套现产品,大家渠道都是一致的。

 

第三种是自有POS机,随意刷,但是要换随机商户以及多借记卡绑定,不然POS也有反洗钱。

 

当然上面只是最常用,不是最流行,最流行的是各类扫一扫二维码,专业洗钱,无影无踪。

 

 

以上说的是靠技术作假的黑产。

 

还有另一种朋克黑产,整个村整个村,就是拿自己真实信息申请这种高利贷,申请了就不还,全村一起申请,一起不还,骚扰电话直接用【接死你】全部接起,刷爆催收公司的花费,电话催收无效,骚扰朋友圈无效,大家都是熟门熟路吃这口饭的。

 

要是催收敢上门,就能感受人民的铁拳。

 

他们是最土,但最无解的朋克黑产,玩的就是黑吃黑,吃的就是不上征信的黑小贷,就当发工资。

 

11

 

套路贷赚无知者带血的钱,就应当做好被反套路者薅光的准备。

 

这场战争永无止境,只要有高利贷,就有黑产黑高利贷。

 

攻防双方随时都会转换,这里面没有正义,只有黑吃黑。


315之后,套路贷被名正言顺扣上了帽子,之后会有更多专业风控加入攻击方,毕竟薅那些违法平台的钱,对方有苦难言。


最近非常多的高利贷平台被直接薅光,高利贷平台的资金方损失惨重,在浙江和福建某些地域,发生了大量高利贷资金方被债主(他们的钱也是借的)寻仇逃债。


而面对黑产,又新诞生了针对黑产的黑产,就是直接做假的贷款超市壳子,骗黑产积累的用户资料,然后自己转手再去黑别人,干干净净不留痕迹。


这些带血的钱,让所有牵涉其中的人疯狂,进化,人已不是人。

 

只不过带血的钱,最终只有血来还。

 

起风了,风里有鲜血的味道。


-----------------------

公众号:半佛仙人(ID:banfoSB)

微博:半佛仙人正在装

知乎:半佛仙人


           往期文章:安徽“股神”副省长被判无期徒刑,给国家造成经济损失超过周永康


           往期文章:最高法指导性判例:公司被吊销后不清算,股东应对公司债务连带清偿


         往期文章:一省高院两领导共同捏造诬告他人,自己涉嫌犯罪被“双开”并追究刑责


          往期文章:持枪杀人仅坐牢四年半的背后:公诉内卷丢失、重罪改成轻罪、两次蹊跷减刑......9名公检法“保护伞”被揪出



 本号法律支持:姜效禹,山东烟台人,从事法院工作十六年辞职,现山东智峰律师事务所实习律师,微信号:sdyt86,立足烟台诚交各界好友。

   



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存