引言

常听到周围有人说“风控”这个词，只知道这是一个神秘的部门，对他们做的事却一知半解，只知道这个风控部门对公司非常重要，任何活动和信息都最好向风控部门报备以评估风险，尤其涉及到钱的问题。

到底什么是风控？为什么需要风控？风控到底在干什么？本文将向你解惑。

什么是风控

风控，即风险控制（Risk Control），智库·百科定义如下

风险控制是指风险管理者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或者减少风险事件发生时造成的损失。
风险控制的四种基本方法是：风险回避、损失控制、风险转移、风险保留

以上信息是不是有种我好像明白了但是又没全明白的感觉，我将结合实际案例来拆分讲解一下。
举一个栗子，假设你在职一家规模还算挺大的在线交易电商平台，公司老板宣布：我们也得搞一个像马爸爸那样的“双十一”节日增加销售额，提升利润，钱凭什么让他一个人赚去，我们也要造势！
那运营部的老大 get 到了老板的要求后，知道来活了，立即准备搞各种形式多样的营销活动，怎么搞？砸钱！没钱没客户，用大优惠大折扣来造势！吸引用户过来，舍不得孩子套不着狼！
此时风控的老大也 get 到了老板的要求，并且知道运营的老大要搞事，赶紧组织部门会议，商讨活动方案

风险回避

产运部想来个活动：咱有钱，活动节日当天，来了就送现金！一人 3 元，无门槛，且可直接提现，豪横！
风控部立马回复：不行，你这个活动不能上（风险回避），知道这个风险有多大么，无门槛且来就送，万一黑产手上养了一批号，上来就给你薅秃了，而且他们速度非常快，可以直接用机器来代替人工，等真正的用户进来，啥也没了，一地鸡毛，不能上！

损失控制

产品一想也是，咱虽然老板拨钱了，但是好钢不能用在刀把上啊！万一钱被薅没了，平台没啥完单，我不完犊子了。活动升级：先造势，节日当天 3 元送现金只在 9:00 ~ 12:00 期间，且只给前 1w 名客户无脑送（损失控制），这样就算被薅了，活动金额上线就 30 万块，咱也损失不大，毕竟赚了一波人气。

风险转移

产品部一个抖机灵：我们可以联和各大厂商做活动，在我支付 10 元，即可换购某某平台年卡会员卡（风险转移），现在那么多互联网平台需要拉新，我们流量大，他们肯定配合，而且他们应该也有风控的吧，不会出问题的。就算没有，我们损失也不大，双赢。

以上的例子举得比较极端，主要是让读者朋友们有个大致的理解风控是什么。
白话总结：风控是为公司省钱的，避免公司经济上有较大的损失。日常工作中主要是寻找并发现公司的经营活动中存在的漏洞，且如果这些漏洞不及时修复的话，可能会给公司带来重大经济损失及形象影响。

为什么需要风控

如上你已大致了解什么是风控了，风控对于企业的重要毋庸置疑，但不是所有企业都是需要风控的，目前我们听到最多雇佣风控从业的公司要么是金融行业，要么是互联网那个行业，归根结底也是和钱相关的。

打个比方：如果企业是一辆行驶的汽车，那么风控就是安全带和安全气囊。车祸随时都能发生，但是发生的那一刻，安全带大概率能保证你的安全，甚至能救你的命。风控不是消灭风险，而是和风险对抗，避免风险，或者将损失降至最小。风控和企业的业务场景是有摩擦的，有时为了安全，不得不做出一定的业务妥协，就像安全带虽然能关键时刻保命，但是你牺牲了舒适性：只要上车你就得戴着。

我们举实际的、真实的案例来说明为什么需要风控：

案例一：薅羊毛

某多多百元通用优惠券的营销推广出现重大漏洞，无论新老用户，都可以领取 100 元无门槛券，注意是领取，不是抢购。有网友通过接码平台充值了 54 万的 Q 币和 64 万的话费。有黑灰产团伙通过一个过期的优惠券漏洞取数千万元平台优惠券，进行不正当牟利。

流量时代的到来，越来越多的互联网企业站在风口上随风而起，竞争也变得越来越激烈，各家企业为了“抢人”，不得不发开发各种营销活动来刺激用户对平台的粘性，以期提升 GMV 。此时，黑产伺机切入活动的玩法漏洞，牟取暴利，导致企业损失惨重。

案例二：金融骗贷

某头部互联网小贷平台，被黑产骗带金额高达数千万元。黑产通过产业链工具包括但不限于：设备多开、肉鸡、接码平台、通讯录养号等手段。成功骗过平台设置的各种活动限制关卡，贷款后即刻删号，企业想追都没办法追。

互联网金融的兴起，即我们熟知的小贷行业。暂且不论它对社会的好与坏，黑产就是瞄准了他比银行金融审核更轻，“人的信息”拿的更少的点，用技术突破了企业设置的门槛，成功的薅走了企业的资金。

案例三：水军

某短视频平台主播点赞和转发创新高，但都是僵尸粉
某宝店铺单量成交笔数及成交额一个月创新高。

互联网催生了一批“刷子”产业，他们唯利是图，抓住平台的依据用户是否喜欢（看得多、买点多）的曝光机制，疯狂造就“爆款”。这严重破坏了竞争协议，对那些认证经营、认真创作的人非常不公平。

风控在企业中扮演着“警察”的角色，它不会去消灭风险，也没办法消灭，但是风险来的时候，能识别出风险，并且按照处罚级别，从轻到重约束破坏企业规范的用户，从而能让企业走的更好走的更远。

风控与黑产

洞察黑产

黑产群体组织分工明细，并且善于伪装。黑产从业者有全职或兼职，在兼职人群中，有各行各业人员，辨认难度大。同时黑产群体技术更新迭代迅速，可以在短时间内对厂商的防护手段破解并更新多个版本的作弊工具。据不完全统计，在这个庞大的黑色产业链条中，黑产从业人员已达数十万余人，每年给互联网公司造成的经济损失超过百亿元。

说白了，这些人为了赚快钱，不择手段，通过新型的技术，来突破传统的防御手段，无往而不利。黑产常用的武器有：虚拟号码、代理 IP、设备伪造等等。每一种工具都对应一种攻击场景。

洞察风控

在和黑产对抗的过程中，我们总结了很多经验和教训，全流程覆盖业务玩法，从事前、事中、事后防控，业务全生命周期风控体系。
风控的武器库有：设备指纹、生物探针（UBT）、智能验证码等等。

我是怎么入行的

之前有别的部门同事问我：你是怎么入行的？仔细思考一下，这是问题同样适合所有行业，你是怎么入行金融的？医生？区块链？教师？
我仔细回想了一下，我入行风控完全是兴趣。但是这个前提是我接触到了风控这个领域。我刚工作所在的公司是搞金融的，当时我是一个后端开发，你可以理解为就是做产品研发的，那这个过程肯定要和风控部门打交道的，对于公司非风控部门的人来说，对他们那帮人的标签都是：“最牛*的团队！里面都是牛人！”、“公司的借贷的逾期率，坏账率能保持这么低都是依赖风控团队”、“不知道他们在干嘛，很神秘”...
在工作对接的过程中，也逐渐知道了风控是怎么玩的，比如上线一个活动，风控要求在参与活动、分享活动、领取奖励、奖励发放设置前置卡点，所有信息都调一次风控平台的接口，有风控判定当前用户能否参与活动。但是只能看出其型，不得其解：凭什么判定这笔单子不能过，需要拒绝？

本着提高自己和不服输的精神，咱也想成为最牛逼的人，我就会主动和对接的风控研发打招呼，询问不解的地方，久而久之，也大致明白了其中的概念，在下一次跳槽时，我在简历中标明有风控经验，并且投给了招聘风控岗位的公司，幸运的是遇到了愿意给培养并有学习机会公司，从此真正算是进入了风控这个领域。

给想入行的预备风控 er 的一些建议

风控相对教师、医生、java 后端这种算是小众行业，在你不了解或者完全没听过的情况下，你完全是没有概念的，也就根本谈不上入职也说。
如果你了解了后，想成为一个风控人的话，如下我是的一些建议：

尽早进入

这个对任何行业有效，尽早指的是应届生~工作 3 内之内，此时企业在招人的时候认为你还是“白的”，是可塑的，此时如果你对风控感兴趣，可直接向感兴趣的公司投简历，此时尽管没有任何经历，但是企业是在储备人才，部门是在培养“backup”，成功率非常高。

跨部门转职

很多同事都是在公司内部了解了风控这个职业，还真的有一小戳人真的转了过来，这相对社会招聘更有优势，最起码你进入公司时考核是过的，符合企业的人才标注。唯一的要求就是你当前的 TL 愿意放和风控的 TL 愿意收。

风控所在的公司一定是有一定的市场规模的，往往说中大体量的公司才会考虑接入风控，小公司一般也养不起风控团队，一是没有用户规模，没那么多钱，黑产瞧不上，二是风控研发的开销确实不是一个小公司能抗住的，成本会超过很多。

总结

作为互联网安全从业者，回顾这几年走过的路，黑产的技术发展和规模膨胀给我们带来了很大的压力，同时也让我们有了更大的动力去构建更加有效的安全防御产品体系。黑产也是人，他们也会进步，所以风控面临的挑战非常大，也欢迎各位加入风控领域，共创和平的互联网行业。

作为风控研发，我会在后续从 0 到 1 的分享风控的架构及技术细节，喜欢的欢迎关注订阅，第一时间收到文章更新。

欢迎关注公众号：咕咕鸡技术专栏
个人技术博客：https://jifuwei.github.io/