验证码连续输入不正确？第二，即开启图形/滑块验证机制，或者开启编号/IP锁定机制。

避免在退货时暴露短信验证码。验证码只存在于服务器中，不能通过任何api直接获取(测试环境是任意的)。

来说说真实情况。对于真实的、灰色的员工，如果真的想篡改注册验证码，以上所有方法都直接无效。云控+云手机(下图)目前技术非常成熟，呈现规模化、集团化趋势。做金融和游戏的人对这种事情并不陌生。可以说，它们会出现在有羊毛可睡的地方，往往损失惨重。可见我们面临的安全风险形势依然极其严峻，小马哥一直说的‘科技好’有多重要。

另外，让我们关注一下对‘图像识别’的安全机制有信心的老板们。市场上已经有成熟的平台可以克服这种机制，支持的场景几乎可以覆盖市场上所有的图形验证方法。看一个平台的编码功能介绍，感受一波技术的力量:

二.活动

几乎每个平台都会做活动，产品推广，新产品推广，品牌营销。在设计了活动的主要功能和流程后，请务必将活动的安全性包含在所需项目中。

1.以“签到抽奖”为例，介绍被忽视的安全漏洞。

单个设备多次切换账户，也可以归类为注册安全。

未设置每日奖金池价值上限。操作方案考虑得好可以忽略，但是如果奖品是真的，请一定要考虑这个问题。

每天高价值奖品的数量上限没有设置。如果单个奖的价值很高，除了要考虑被抽中的概率，还要考虑被抽中的次数。

大量小号签到累积签到积分，提高数字，奖励积分兑换。在金融平台更常见

2.拉辛

作为棉絮重灾区的新活动，几乎所有有价值的新活动都没有幸免。在大多数情况下，我们对此无能为力。让我们列出拉新活动床具时的恐怖之处:

巨大的喇叭，画底攻击，大量新人权益\\奖品短时间内铺垫走。

一旦第一个“点火器”找到漏洞可钻，“*** *攻略”一天之内就会遍布网络。虽然也会带来一些新人的传播和注册，但大多来自白嫖党，对平台意义不大，增加了很多“僵尸”用户，肯定会伴随着公司的经济损失或者公司公关/法律资源的介入。

对于只有满足一定要求才能获得奖励的促销活动，用户可以在完成所需条件后发起售后\\退款来获得和使用奖励。这时如果你绑定了订单状态，也就是收到货后奖励才会生效，会影响活动效果。如何选择，取决于公司对这一活动新转型的重视程度和成本投入。

多个用户的手机号，拉着自己，注册了起来，但在后续的业务转型中并没有起到明显的作用。

还有许多其他类似于评分/投票的活动。只要你花一点钱，大量的第三方投票平台就能满足你的各种花式需求，包括但不限于:性别、年龄、IP地址、设备型号、投票频率等等。价格可以低至几美分，价值几百美元就能获得高价值的奖品。

先说一个极端的银行消费活动:单位时间内你花多少钱就可以参与多少，前十名有额外的高价值奖励。只要奖励值够高，消费门槛定多高都无所谓。为什么呢？因为土邦的老板有十几台pos机，可以设置消费者所在的城市、店铺的类型甚至指定店铺，银行怀疑这家银行的持卡人可以消费得这么猛！最后才发现，这只是别人的常规操作，损失的是X套的手续费，但与奖品相比完全可以忽略不计。把后面的那套米退掉，一拿到奖品就可以积攒很多积分，积分可以在平台上兑换一波奖品。骚操作可以让计划好的整个哭晕在大堂柜台，拉不起来~

那么~对于羊毛被褥的行为，有没有什么可行的解决方案，保护平台不受损失呢？

回答:没有。

你为什么这么肯定？让我们来看看像沸水一样强大的果树种植活动。！奖励的核心操作是获得大量的肥料和水滴给果树浇水，促进果实成熟，获得奖品。提炼我们想要的资源:肥料、水滴。化肥可以通过抽奖和购物获得，水滴用不完。平台上1分钱的大量商品/服务，购买时可以获得大量的水滴和话费。隔两三天吃一盒水果真的不太香。

活动一开始我就提到了用户购买后获得奖励并发起退款的现象。后来更新了活动规则:退款太多会永久删除奖励对应的任务。但是，还是受不了“智慧”的人，有的买超低价商品，有的买优惠券，不花，还有的过期平台自动退款，但我已经拿到了肥水不流外人田的奖励。这是用户在平台规则下钻你规则漏洞的企图，他无能为力。

最近果树的催熟进度延长到小数点后三位，每次浇水进度的改善速度也下降了不少。一方面，我们可以看到‘智能’用户占比很大；另一方面，我们也可以看到，这次活动确实在一定程度上对活动和秩序转换起到了很大的推动作用。

即便如此，初创企业和中小企业的情况就不用说了。但是我们在做活动的时候，是否应该严格控制活动的规则呢？相反，你不能。用户已经被非常甜的蜂蜜变甜了。如果给他们七分钟的甜度和半颗糖，活动效果肯定会打折扣。还是建议设置规范化的规则，尽量在成本范围内对新用户进行奖励，而产品和运营要注意奖励规则的制定。目前常见的操作有:时效性(比如当天有效)、范围设置(不一定是用户需要的商品，但一定是高利润或者仓库存储)、连续性(第一次奖励用完之后会有新的奖励，程度会逐渐降低)。

不管怎么设置，无非是在时间成本和订单总量/数量两个方面做文章。在短时间内，鼓励用户带奖励下单，或者连续下单可以获得连续奖励，用户的回购频率随着奖励不断增加，从而以获得的收益抵消部分平台损失。然而，在现实中，包括采购、运输、仓储和人工成本在内的活动都在亏损。但通过活动引入的流量，如果运营得当，可以继续活跃&保留在平台上，时间叠加最终会扭亏为盈，前提是公司能够维持。

我对活动有点啰嗦。这一块遇到的骚操作太多了，有些骚断腿的案例是不会拿出来的，只要有心就不要跟风。

三.支付

移动支付的兴起，在方便人们生活的同时，也在一定程度上让人们的财产不那么安全。目前，人们有几种支付保障:

客户:

木马和病毒:我们公司常见的事情空。即使国家和单位都很重视宣传，为什么每年都会发生这样的事情？

短信、电子邮件:打开未知链接，输入手机号即可获取验证码。银行转账消息来了。

二维码:替换收据二维码，识别二维码后是病毒链接。

小频道下载的APP:这篇文章是针对男性的，不要细说，什么都能看懂。

平台侧:

恶意下单不付款:从字面上看，是指到达付款页面后，不付款，锁定商家库存，干扰正常销售。最近，一直非常激烈的“显卡之战”，再次上演了这一操作。主要影响平台方个体商户/黄牛的利益。从平台和品牌形象来说，这个操作造成的伤害还不如拔罐，很快就会过去。

恶意退款:用户频繁购买大额商品，然后发起退款。这种操作对平台影响不大，但是和吃苍蝇一样难受。早期用于信用卡取款。目前主流支付平台与政府监管平台连接，这种现象少很多。

问:主要针对金融、游戏，以及一些大的交易平台。目前还是灰色。国内虽然有可以办理相关业务的公司，但是没有有效全面的防御手段。我们只能希望政府能够率先与各大金融机构联手，完善这方面的数字化建设。

网络攻击:主要有协议漏洞(静默短信、伪基站、IMSI捕获、GSM中间人)、代码实现漏洞(TMSI溢出、intel/Comneon、AUTU溢出、高通、短信PDU溢出)等手段替代或篡改支付数据。一旦用户的touchID和faceID被拦截和复制，后果将是…

无论我们只是一个有支付结账页面的小可爱，还是有支付中心平台支持的大中型企业，都要足够重视支付环境的安全，保护用户的财产安全。

最后，衷心希望上述事情永远不会发生在你身上，希望人们善良，希望每一个人都以善意推动这个国家的经济建设和商业发展。

本文最初由@汉武帝发表。每个人都是产品经理。未经作者许可，禁止转载。

图片来自Unsplash，基于CC0。