解读

“刷人头”是国内互联网黑灰产最常见的套利手段之一：团伙利用接码平台、猫池、群控、改机工具批量注册虚假账号，完成拉新任务后迅速提现，导致CAC（Customer Acquisition Cost）虚高、真实留存率暴跌、品牌口碑受损。面试官问这道题，核心想验证三点：

1. 你是否熟悉中国监管环境（工信部实名制、反诈法、数据安全法）；
2. 能否把**业务目标（拉新）与风控目标（反作弊）**放在同一框架下平衡；
3. 是否具备数据闭环与策略迭代能力，而不是简单“一刀切”。

知识点

1. 中国手机号实名制：2016 年起新入网用户必须人证合一，接码平台常用“物联网卡、海外卡、副卡池”绕过，需重点识别。
2. 设备指纹与改机检测：国内主流厂商已支持IMEI、OAID、MAC、传感器校准值多维交叉，可识别一键新机、云手机、多开分身。
3. 行为序列模型：利用XGBoost、LSTM、GNN对“注册-激活-领券-下单-提现”全链路耗时、点击坐标、陀螺仪抖动建模，AUC≥0.98即可上线。
4. 奖励发放节奏：国内监管要求T+1 可提现，但平台可设置**“阶梯到账+人工审核”**（首笔 1 元秒到，剩余 30 元分 7 日解锁），大幅提高套利现金流压力。
5. 联防联控：接入腾讯天御、阿里聚安全、数美、同盾等SaaS 风控引擎，共享黑产情报库，可拦截 80% 以上已知恶意设备。
6. 法律震慑：2022《反电信网络诈骗法》第 26 条明确，平台对异常账号有“二次实名”义务；可联合公安对**“卡商、号商”**刑事立案，形成威慑。

答案

我会用“三层六步漏斗”体系动态防御：
第一层 入口层（注册前）
① 设备前置判罚：调用厂商 SDK 获取root/xposed/多开/模拟器标记，置信度≥95% 直接拒绝；
② 手机号画像：对接运营商二次验证接口，识别物联网卡、海外卡、副卡池，命中即要求人脸识别+银行卡四要素；

第二层 行为层（注册后）
③ 实时行为序列：注册到领券≤30 秒、点击坐标呈网格状分布、陀螺仪方差<0.1，模型打分≥0.8 进入灰名单，奖励延迟 24h 发放；
④ 社交关系图谱：用GNN检测邀请树深度≥5 且单节点度≥50 的“洋葱结构”，一旦确认团伙簇，整簇封号并追回佣金；

第三层 业务层（发放前）
⑤ 阶梯奖励+任务穿透：把“拉新奖励”拆成注册 10%+次日回访 20%+7 日留存 30%+首购 40%，黑产需真实留存 7 天才能拿到全款，资金占用成本>套利收益时自然退出；
⑥ 人工审核+举报激励：对高价值奖励（≥100 元）引入“双人复核+随机回访”，同时设置**“举报分成 10%”**，鼓励老用户协助识别虚假账号。

指标闭环：每日监控**“异常注册率、羊毛占比、追回金额”三大指标，异常注册率>2% 或追回金额连续 3 天上涨**即触发策略迭代，7 日内完成模型升级或规则补丁。

通过以上体系，可在不伤害真实用户的前提下，把“刷人头”套利率从 15% 压到1% 以内，并保证CAC 真实反映市场水平。

拓展思考

1. AIGC 黑产新变种：2024 年起出现AI 合成真人视频过人脸核验，需引入**“随机动作序列+数字水印+光场检测”**多模态对抗。
2. 隐私计算落地：在合规前提下，可加入联邦学习与隐匿查询，让头部 App 联盟共享黑产设备指纹，但不泄露用户原始数据，解决“数据孤岛”难题。
3. 业务与风控 KPI 对齐：建议把**“风控追回金额”计入运营团队正向收入**，避免“业务冲量、风控背锅”的组织内耗，实现增长与安全的帕累托最优。