风控,不就是一群标志物吗?
长期以来,互联网企业的“安全人”都被外界误解成这样。
他们最大的成绩,就是平台上没有犯罪、没有黑产、无大事发生。他们的努力,也和黑产一样不被阳光所照射。
但没有人知道的是,国内的互联网黑产已是千亿规模的市场。虚假点击、羊毛党、“假靳东”、“宠粉诈骗”、同城招嫖,各种欺诈黑产层出不穷。
用户的信息无时不刻不被黑产窃取,一旦被盯上,等待他们的是精心布下的陷阱。
然而,同黑产对抗没有捷径可走,完全是一场人力和财力的比拼。
幸运的是,在这场战争中,有一支不计较财力、发誓要暗中保护大家的队伍。
就像是《冰与火》之歌里面的守夜人,永远眺望着森林幽暗的深处。这支守夜人队伍,则24小时盯着互联网黑产的深渊。
以下是关于这些守夜人的真实故事:
文 | 常宁宁
编辑 | 卓然
两个男孩拥抱亲吻,这正常吗?
“这个帐号不太对劲”,2020年3月,一凡收到了审核员发来的一条特殊视频。
视频内容的主人公是两个小学生模样的男孩在互相轻吻、拥抱。“这看起来一点都不像这个年纪的孩子会做的事情”,一凡的直觉告诉自己。
她翻看了发布视频的帐号,发现该帐号的历史视频里还有大量类似的内容:男主角永远是这两个男孩,除了轻吻、拥抱,还会彼此抚摸。
更奇怪的是,有些视频里还出现了一个成年男性,看起来似乎正在指挥这两个男孩的动作。
这显然是一条违禁信息,涉嫌儿童性侵。按一凡以往的经验,这种内容的直接处理方式就是下架视频、封帐号,确保平台上的内容正向、健康即可。
“但这样就足够了吗?”一凡犹豫了起来。
如果只是封锁帐号,那两个男孩真的遇到了危险,谁来帮忙他们?那个成年男性明显存在问题,封锁帐号并不会阻止他继续伤害孩子。
这是一次和潜在犯罪分子抢时间的赛跑。当时是夜里11点,一凡决定直接请示上级,如果对方没看到信息,她就打电话过去说明情况。
幸运的是,领导马上回复“拉群,同步线下打击组同学报警。”。
“报警”对应着最高风险等级——意味着高危内容背后可能有犯罪行为,通常需要极强的证据,经过法务和各方面研究判断后,才能下达“报警"的指令。
但面对一些比较极端的案例,抖音安全中心会直接评估是否需要立即报警。
“线上封几个号没用,得让这种渣滓现实中接受惩罚才行”,一凡的领导岳文峰当机立断地回复。
几乎是同一时间,审核组的同事,经过筛查帐号的历史视频,根据视频中的一些建筑、广告牌等场景信息,了解到了视频拍摄者的所在地——嫌疑人住在四川的某个县城里。
知道视频拍摄者所在地区的信息后,一凡线下打击组的同事就立刻动身从北京出发了——这也是少有的没有拿到研判结果就出发的情况。
拿不到研判结果,意味着证据不充分、或存在法律漏洞不予立案,很可能全员白跑一趟。此外,受疫情影响,国内北京到事发地没有直飞航班,转机也让线下打击组的人增加了滞留和隔离风险。
但他们没有迟疑过,每个人心里都清楚,每耽搁一分钟,视频里的两个小男孩就会遭受多一些伤害。
在线下打击组提供的线索和帮助下,该案件于3月27日侦破,当地警方发布通告称嫌疑人被抓获,两个小男孩被安全解救。
此时,距离一凡发现那条视频仅刚过去一周。
后续调查结果显示,这两个男孩都是四川当地的留守儿童,父母长期在外打工。
疫情期间,学校封禁,由于家中没有WIFI无法上网课,两个男孩前往犯罪嫌疑人家中使用网络,被哄骗拍摄视频并威胁不能告诉家长,嫌疑人还将视频在多个社交软件、其他短视频平台及网盘渠道发布兜售。
在警察实施抓捕的时候,嫌疑人还计划对两个未成年男童进行猥亵。
据《2019年性侵儿童案例统计及儿童防性侵教育调查报告》显示,2019年共发生301起儿童性侵案件,熟人作案超七成,其中师生关系占比最高。
性侵儿童案往往发生在非常隐蔽的情况下,除了当事人的陈述证言,很难有其他证据佐证。另外,还有受害人保存证据不及时导致证据遗失、当前低龄儿童证据采信难等问题。
抖音安全中心的及时介入,配合协助警方获取了重要线索和证据、锁定了犯罪嫌疑人,才保证了两个孩子才没有遭受更大的伤害。
得知两个孩子被成功解救以后,一凡焦灼的心才终于放下了。
“不想出成绩、害怕被cue到”
在此之前,一凡一直定义自己所在的团队,是一支最怕被领导cue到、也“不想做出成绩”的团队。
她所在的抖音安全中心,是抖音创办之初就设立的部门。尽管目前团队拥有数千名成员,但每个成员都过得很“憋屈”。
“平台没事发生,才说明你的工作到位了”,一凡说,但平台没事发生,外界也感知不到团队做了哪些工作。
这个年轻的团队被称为“抖音的安全护卫队”,目前团队平均年龄仅25岁。仅到今年12月初,该团队就处理了超过730万个违规帐号、1380多万违规视频。
在这里,忙碌是常态。他们每天要为平台上6亿用户保驾护航,要关注平台上每天所产生的数百亿次行为,这其中,要关注和处理无数风险性内容、违禁内容、以及黑产行为。整个团队的下班打车记录里,时常出现夜里11点至凌晨2点的情况。
一凡是在今年年初刚加入团队,上司岳文峰在她入职的头一天就给了个“下马威”。
“抖音有4亿用户(一凡加入时),全国500万黑产从业者对这4亿用户虎视眈眈,我们的责任就是和500万黑产人做对抗,保护用户的生命财产安全”。
从没有过“安全”经验的一凡心里有些发虚。但想到这即将面临的挑战,她充满了兴奋,“这是谁都想尝试的抖音啊!”
但一凡没想到,等待她的第一个任务,是当一名“嫖客”。
当时抖音正从4亿用户迈向6亿用户飞速增长。流量暴增的同时,背后多带来的黑产行为也成比例增长。
尽管抖音一直针对违规帐号进行打击、不断升级风控策略模型,但“道高一尺,魔高一丈”,狡猾的黑产人也通过各种方式逃避机器和算法的追捕——为此抖音不得不采用“无间道”的方式,通过异常帐号上留下联系方式,假扮“嫖客”,打入黑产内部。
初接这个任务时,一凡有些为难,她压根看不懂黑话——最开始她盯着后台发现的“茶叶”、“邀请喝茶”的帐号们百思不得其解。
图 | 涉黄行业的“黑话”
“茶叶招谁惹谁了?”在看到“上新”和一些美女视频时,一凡才发现事有蹊跷。
通过一段时间的卧底,一凡才知道“茶叶”相关的一整套引流术语是风月行业的黑话:“上新”则是指有新人加入了、“欢迎喝茶”则是表明营业了。
光知道黑话还不够,一凡必须找到证据证明帐号涉黄才能封号。同时,她必须研究和定义新犯罪行为的特征,辅助机器学会自动识别。
然而,大部分犯罪行为会跨平台进行:通过抖音上引流、去别的平台交流、再到第三方平台实现付款交易,每个平台的数据无法打通、很难跨平台取证。
一开始,一凡“放不开”。
“我还是个未婚女性,哪儿知道怎么做‘嫖客’?”,一凡说,常常是她一开口,对方就知道不是正经‘嫖客’,聊着聊着就不见了。
很长一段时间里,挫败感包裹着一凡。那段时间,她常常全天苦于如何‘更像’一个嫖客,每天都在质疑自己是谁、从哪儿来、为什么要干这个。
和一凡有着类似困惑的,还有反欺诈项目的负责人王宸。他是个95后,也是因为“读书时就玩抖音、喜欢抖音滤镜”而加入抖音。
但加入抖音后,他才发现这份工作并不如想象的有趣。“我无时无刻不在开始怀疑人生”,王宸说。
王宸每天的工作都要审核大量帐号、总结欺诈帐号相关的特点供给机器学习。“每天要看成千上百个帐号、发现各种细小的特征来判断黑产”,王宸说。
这种忙碌是永无止境的,在做重点专项打击项目的时候,加班到12点以后都是常事。
尤其是今年疫情爆发,抖音的用户也迎来飞跃增长。“从今年4月以后,团队里的人几乎就没有个人生活”,王宸说,同城招嫖、“假靳东”、双十一电商诈骗等各个事件层出不穷。
最忙的时候,一凡和王宸要加班到凌晨3点、甚至直接在公司过夜。
但下班时,内心的焦虑感依然没有减轻,唯恐自己的休息、“没有做到极致”,而让平台上的黑产多肆虐一天、让无辜的孩子多受一份伤害。
但也是在这样无数次的自我怀疑、痛苦挣扎后,一凡和王宸感觉自己突破了,得到了一种全新的体验。
通过和同事、警方的学习和总结,一凡摸索出来了和涉黄人员交流的话术。她开始直接询问对方“多少钱、在哪里、安不安全”。
问完这三句话之后,对方会发来“菜单”(价格表),取证环节才算完成,紧接着再截图举报到对应平台,一个任务圆满结束。
“后来组里都开玩笑说我是‘女流氓’了”,一凡说。
通过一凡她们坚持跨平台取证、举报,加上团队的努力,已经有其他互联网平台和抖音建立了合作。抖音提供取证完毕后的被举报帐号,对方再通过这个帐号查询IP,可以将相关的IP帐号全部封掉。
王宸则收到了一封感谢信,对方说自己因为抖音安全中心反欺诈小组的工作让自己免于被骗。
王宸这才体会到这份工作的意义:审核是第一道关卡,看起来普通,但在审核基础上,如何去用自己的力量帮助行业高效运转,这才是更重要的事情。
在今年双十一抖音成交额达到187亿时,王宸更觉得自己在做一件有意义的事情。
通过他所在的团队努力,今年双十一他们总共阻止了几十万风险帐号、几千万次的恶意攻击,在这背后,是无数羊毛党和数以亿计的止损额。
“我们为用户创造更好的网络环境,帮助他们获得成功,这种成就感,不是随便能得到的。”
确保安全,绝不是一刀切封号了事
被误解、自我怀疑……一凡和王宸的痛苦,岳文峰也一直看在眼里。
作为他们的直属上司,岳文峰也有相似的疑惑。
他入职抖音时,抖音在7个月内用户新增两亿、安全中心的成员也成倍增长。但外界对团队一直存在误解,大部分认为安全团队最大的作用就是“封号”。
如果团队做得好,其达到的效果是外界根本不知道有该团队的存在,但这样又如何让团队实现自我价值感?
这在他看来是极其荒谬的,“安全部门的工作不是简单封号就可以解决的。背后的问问往往比大家想的更复杂。”
但这种误会却曾一度引发内部产生巨大矛盾。
5月末,岳文峰被紧急拉进一个群里。一个自称家长的用户称儿子在看抖音时出现了早熟行为,要求封掉相应帐号。对方表示,该帐号有大量涉黄裸露内容。
但团队研判后发现该帐号是冲浪领域的垂直号,“裸露画面”是穿泳衣的冲浪爱好者,并没有达到封帐号标准。
但家长不依不饶,声称如果不封帐号,就要找媒体曝光。
抖音安全中心内部一下分成两派:一方主张封号,免得家长去曝光;一方主张不封号,因为原帐号没有任何问题,谁也说服不了谁。
在旁人看来,这无非就是一个简单的封号手续,但是在岳文峰看来是关乎底线的问题——不能因为一次不符合标准的举报而误杀。
岳文峰坚持“不封”。但这个举动一度让主张封号的团队成员不理解,甚至在双月会后收集问题时,有人提问质疑他:到底能不能带好团队。
没过几天,此前被举报的冲浪爱好者帐号突然发布了一条高危敏感的内容,符合封号条件。
虽然如此,岳文峰却觉得有哪里不对,一个冲浪领域的垂直号,突然发布一条明显违规的内容,有违常理。岳文峰还是选择“不封”,仅下架相关内容。
同时,他让安全技术团队的同事查询帐号是否存在异常,结果发现,这个帐号在发布违规视频时候的登录 IP 地址与以往不同,却和“举报家长”IP地址高度类似。
“会不会是举报人黑了帐号”,岳文峰暗自猜想。但怕冤枉好人,团队迅速以“遭受攻击"为名迅速报警。
警方出动调查后回复,一切正如岳文峰所预判的那样:举报人因举报不成而盗取帐号、发布高危内容诱导抖音封号。
但岳文峰没有想到的是,举报家长根本就没有儿子,该帐号在抖音的视频抢了举报人在三亚的冲浪生意,举报人希望通过封对方的号来挽回生意损失。
这也进一步证明了岳文峰的设想,风控绝不仅是封号而已。一旦简单粗暴地对待复杂问题,对抖音百害而无一利。
比如仅在与“骗”相关的案件上,就分为欺骗、诈骗、哄骗等等类型的案件。其中,“欺骗”就分为骗钱的“宠粉案”和骗互动数据(类似“假靳东案”)两种。
前者涉嫌违法犯罪,后者违规,处理方式完全不同,并不是仅靠封号能解决。
“封号是最简单的,最偷懒的做法”,岳文峰说。
另一方面,早期干预也可以降低风险。比如,为了防止青少年沉迷抖音、受到超过其年龄的内容影响,抖音也推出了青少年模式,对视频内容、使用时长进行了针对性设计。
“黑产是不可能被消灭的,我们能做的就是不断提高犯罪的成本,当犯罪成本高了,自然数量就下降了。”
从早期干预,到合理预判,到线下打击,通过岳文峰等人不计成本地建造这座“看不见”的围墙,抖音才得以保留健康、安全的内容生态。
守最长的夜,做最忠于用户的“守夜人”
在参与解救四川两个被猥亵男孩之前,一凡一度认为自己的工作“没有实感”。
作为全线上化的风险防范团队,对于风险、犯罪内容的审核和处理也大多是线上化进行,即便是成员自身都很难评估自己对企业、社会所作出的价值。
“但真的看到两个留守儿童因为我们的参与而获救,那一刻我觉得自己值了,这份工作非常实在”。
一凡说,“这个效果比我们在线上封几个帐号有效 1 万倍”,必须采取手段从精神、肉体上对其进行双重打击。
在此之后,她再也没有怀疑过自己加入抖音的目的和未来,“我每天敲的那些代码是能够实际上帮助到有需要的人的”。
曾做过10年“安全人”的岳文峰表示,抖音是他见过的、为数不多的在安全领域“不设上限”的公司,“在创办抖音之初就建立安全团队、为安全扩建进千人员工……”
“长夜将至,我从今开始守望,至死方休。我将不娶妻、不封地、不生子。我将不戴宝冠,不争荣宠。我将尽忠职守,生死於斯。我是黑暗中的利剑,长城上的守卫。我是抵御寒冷的烈焰,破晓时分的光线,唤醒眠者的号角,守护王国的坚盾。我将生命与荣耀献给守夜人,今夜如此,夜夜皆然。”
这段来自《冰与火之歌》的守夜人誓言,也完美诠释了这些守护着网络暗处的“抖音守夜人”。
在城中的老百姓幸福生活时,总要有人站在城墙上,眺望黑暗,及时扼杀逼近的危险。
让人庆幸的是,留下来的“守夜人”里,几乎没有选择离开的。