有關(guān)e租寶公司被調(diào)查的新聞在微博、朋友圈被引爆刷屏。許多人看中P2P理財(cái)?shù)母呤找妫瑓s忽視其中的風(fēng)險(xiǎn)。獵豹移動(dòng)安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn),P2P網(wǎng)站已成釣魚欺詐網(wǎng)站的重災(zāi)區(qū),大量P2P手機(jī)理財(cái)軟件也存在安全隱患。網(wǎng)民須小心選擇P2P類理財(cái)產(chǎn)品。
P2P行業(yè)現(xiàn)狀
P2P網(wǎng)貸在2007開始傳入國(guó)內(nèi),2015年呈現(xiàn)爆發(fā)態(tài)勢(shì),成交規(guī)模已進(jìn)入萬億元時(shí)代。由于行業(yè)監(jiān)管未出臺(tái),P2P行業(yè)處于野蠻生長(zhǎng)階段,魚龍混雜,平臺(tái)上線和跑路司空見慣。
據(jù)統(tǒng)計(jì),截止今年,納入中國(guó)P2P網(wǎng)貸指數(shù)統(tǒng)計(jì)的網(wǎng)貸平臺(tái)有超過2500家,其中問題平臺(tái)近1000家。從全國(guó)范圍內(nèi)看:廣東、山東的問題平臺(tái)數(shù)量最多,數(shù)量分別達(dá)到了163家和198家。從平臺(tái)性質(zhì)來看,問題平臺(tái)無一例外都是民營(yíng)系的。
截止11月全國(guó)各省正常平臺(tái)和問題平臺(tái)數(shù)量統(tǒng)計(jì)
問題平臺(tái)中29%出現(xiàn)提現(xiàn)困難,56%的問題平臺(tái)選擇了跑路,有的平臺(tái)跑路后甚至連公司員工都不知情。
問題平臺(tái)狀態(tài)比例
一般來講,P2P平臺(tái)運(yùn)營(yíng)出現(xiàn)跑路的有兩種,一種是經(jīng)營(yíng)不善出現(xiàn)資金鏈斷裂的;還有一種是純?cè)p騙性質(zhì)的網(wǎng)站,騙到投資者錢財(cái)后就立馬關(guān)閉網(wǎng)站跑路。即使是今天正常運(yùn)營(yíng)的平臺(tái)明天就有可能倒閉跑路,那么如何識(shí)別詐騙和即將跑路的平臺(tái)呢?這就先要弄清楚它的詐騙流程。
P2P網(wǎng)站詐騙流程:
很多平臺(tái)上線前期會(huì)以高利率為誘餌,發(fā)布大量虛假標(biāo)的,通過虛假宣傳、注冊(cè)返利、秒標(biāo)等形式,吸引普通投資者大量資金,資金到賬后便后卷款而逃。網(wǎng)站平臺(tái)突然無法登陸,公司高管失蹤,辦公地點(diǎn)人去樓空。
也有部分網(wǎng)貸平臺(tái),宣稱出現(xiàn)投資未按時(shí)收回,說是提現(xiàn)困難,讓投資者繼續(xù)投資支持平臺(tái)。而在投資者交流群,會(huì)有一些人以低價(jià)收購無法提現(xiàn)的賬號(hào)余額,業(yè)內(nèi)稱之為“收草”。而實(shí)際上,低價(jià)“收草”的人和欺詐平臺(tái)是合謀詐騙。
典型網(wǎng)貸詐騙流程圖
詐騙手法:
P2P詐騙網(wǎng)站吸收資金一般有以下幾種手法。
1、高利率吸引投資者資金:
一般的P2P網(wǎng)貸平臺(tái)年化收益率在10%左右,而超過20%,甚至接近30%都是需要高度警惕,監(jiān)測(cè)發(fā)現(xiàn),有的平臺(tái)網(wǎng)站赫然宣稱有700%以上的收益率。
詐騙平臺(tái)通過極高利率吸引投資者
2、高回報(bào)加獎(jiǎng)勵(lì)
某臺(tái)上項(xiàng)目的年化收益率普遍超過22%,同時(shí)平臺(tái)給予投資者以3%-5%不等的投標(biāo)獎(jiǎng)勵(lì)。部分存在投機(jī)和僥幸心理的投資者很快就上鉤被套牢。
高利率、高獎(jiǎng)勵(lì)的借款項(xiàng)目
3、設(shè)立虛標(biāo)
偽造借款項(xiàng)目和虛構(gòu)借款人信息,并標(biāo)出可觀的收益率,吸引缺乏風(fēng)險(xiǎn)意識(shí)的投資者。如下圖:某平臺(tái)的借款項(xiàng)目信息說明含糊其辭,項(xiàng)目圖片一模一樣,明顯是虛標(biāo)或拆標(biāo)。
虛標(biāo)或拆標(biāo)的項(xiàng)目
4、龐氏騙局
利用新投資者的資金來向老投資者支付利息和短期回報(bào),制造一種高盈利的假象,進(jìn)一步騙取更多投資者的投資。一旦平臺(tái)沒有持續(xù)的投資來源,整個(gè)資金鏈就會(huì)斷裂,平臺(tái)就會(huì)跑路。前段時(shí)間風(fēng)靡朋友圈的“MMM金融互助社區(qū)”就是典型例子。
P2P網(wǎng)站的安全性
除了詐騙平臺(tái)蓄意騙取投資者錢財(cái)之外,P2P網(wǎng)貸網(wǎng)站廣泛存在安全漏洞,極易導(dǎo)致黑客攻擊。資金安全是每一個(gè)網(wǎng)貸平臺(tái)應(yīng)當(dāng)首先保障的,而保障資金安全的首要前提是保障網(wǎng)站的安全。
P2P網(wǎng)站由于直接牽涉投資者的資金、個(gè)人信息、銀行賬戶等敏感信息,故其危險(xiǎn)性比一般網(wǎng)站的漏洞更高。
P2P平臺(tái)存在的一些安全性問題
我們對(duì)部分P2P網(wǎng)站進(jìn)行了抽樣安全監(jiān)測(cè),目前發(fā)現(xiàn)有131家網(wǎng)站存在不同類型的安全漏洞。其中撞庫攻擊(40%)、信息泄漏(24%)、后臺(tái)地址暴露(24%)是3個(gè)主要漏洞類型,嚴(yán)重危及網(wǎng)站的用戶數(shù)據(jù)安全和資金安全。
部分P2P網(wǎng)站漏洞類型分布
P2P應(yīng)用的安全性
由于智能手機(jī)的普及,很多平臺(tái)開發(fā)了自己的手機(jī)P2P理財(cái)應(yīng)用,方便投資者隨時(shí)隨地投資理財(cái);有的平臺(tái)甚至只能在手機(jī)應(yīng)用上使用充值、投資、提現(xiàn)。
我們抽樣審計(jì)了104款理財(cái)應(yīng)用,約37%存在數(shù)據(jù)明文傳輸問題,8%的短信校驗(yàn)碼在客戶端校驗(yàn),只有24%使用了加密傳輸,剩下31%由于部分平臺(tái)倒閉跑路或其他原因,無法訪問服務(wù)器。
P2P手機(jī)應(yīng)用安全問題類型分布
●密碼明文傳輸
104款應(yīng)用中,有部分應(yīng)用直接明文發(fā)送密碼、支付密碼,或者僅僅只是簡(jiǎn)單的base64編碼一下。
某P2P手機(jī)應(yīng)用明文傳輸密碼及金額
●短信驗(yàn)證碼客戶端校驗(yàn)
少部分應(yīng)用中的手機(jī)短信驗(yàn)證碼居然在客戶端驗(yàn)證(HTTP回包中帶有短信驗(yàn)證碼),這樣可以造成惡意注冊(cè),刷紅包,修改任意用戶的密碼等嚴(yán)重問題。
某P2P手機(jī)應(yīng)用本地驗(yàn)證短信校驗(yàn)碼
顯而易見的風(fēng)險(xiǎn)存在于P2P手機(jī)應(yīng)用中,正規(guī)P2P網(wǎng)貸平臺(tái)對(duì)安全十分重視,那些小平臺(tái)和詐騙平臺(tái)根本沒有實(shí)力、或者根本沒花心思去提升網(wǎng)站安全性。以下是獵豹移動(dòng)安全實(shí)驗(yàn)室對(duì)部分P2P類手機(jī)應(yīng)用的分析結(jié)果:
|
APP產(chǎn)品名 |
安全問題 |
|
愛貸網(wǎng)理財(cái) |
明文傳輸 |
|
互貸網(wǎng)理財(cái) |
明文上報(bào) |
|
合信 |
明文傳輸 |
|
合盤貸 |
明文傳輸 |
|
漢金所 |
明文密碼 |
|
國(guó)誠金融 |
明文傳輸 |
|
眾可貸 |
明文傳輸 |
|
財(cái)加網(wǎng) |
密碼MD5加密,短信驗(yàn)證碼客戶端校驗(yàn) |
|
得利寶 |
明文密碼 |
|
道口貸 |
明文密碼,短信驗(yàn)證碼客戶端校驗(yàn) |
|
勵(lì)國(guó)理財(cái) |
明文密碼 |
|
力帆善融 |
明文密碼,短信驗(yàn)證碼客戶端校驗(yàn)。 |
|
聚誠財(cái)富 |
明文密碼 |
|
兢業(yè)貸 |
明文密碼 |
|
卓安e貸 |
明文密碼 |
|
中金貸 |
明文密碼 |
|
銀票網(wǎng) |
明文密碼 |
|
鑫合匯理財(cái) |
明文密碼 |
|
小油菜理財(cái) |
明文密碼 |
|
三益寶 |
明文密碼 |
|
融貝網(wǎng) |
明文密碼 |
|
錢內(nèi)助 |
明文發(fā)送登錄密碼,身份證信息明文 |
|
票據(jù)客 |
明文傳輸,個(gè)人信息驗(yàn)證明文,支付明文 |
|
胖胖豬 |
明文密碼,短信驗(yàn)證碼客戶端校驗(yàn) |
|
理財(cái)樂錢包 |
base64編碼密碼 |
|
騎士貸 |
APK無法下載 |
|
寧創(chuàng)金融 |
app無法下載(http://www.0086cf.com/app/index.html) |
|
你我貸理財(cái) |
app無法下載 |
|
智信創(chuàng)富 |
app無法下載 |
|
芝麻金融 |
總是返回服務(wù)器太忙 |
|
攜銀理財(cái) |
無法運(yùn)行 |
|
溫商貸理財(cái) |
app崩潰 |
|
蘇融貸 |
無法注冊(cè) |
|
拍拍貸 |
連接不上服務(wù)器 |
|
諾諾鎊客理財(cái) |
連接不上服務(wù)器 |
|
麻袋理財(cái) |
連接不上服務(wù)器 |
|
鏈家理財(cái) |
無法注冊(cè) |
|
九斗魚 |
總是返回服務(wù)器太忙 |
|
金聯(lián)儲(chǔ) |
無法注冊(cè) |
|
黃河金融 |
無法注冊(cè) |
|
短融網(wǎng) |
無法注冊(cè) |
|
城城理財(cái) |
無法注冊(cè) |
|
誠投在線 |
無法注冊(cè) |
|
愛利是 |
無法注冊(cè) |
以P2P網(wǎng)貸為噱頭人釣魚網(wǎng)站
根據(jù)監(jiān)測(cè)數(shù)據(jù),2015年平均每月新增195家P2P理財(cái)釣魚網(wǎng)站。這些網(wǎng)站生存周期較短,為了逃避攔截,通常會(huì)設(shè)置多個(gè)域名指向同一個(gè)IP地址。
2015年每月新增P2P理財(cái)釣魚網(wǎng)站數(shù)量
根據(jù)最近兩月監(jiān)測(cè)顯示,P2P理財(cái)釣魚網(wǎng)站的訪問量呈鋸齒狀波動(dòng):其原因是P2P類釣魚網(wǎng)站打一槍換一個(gè)地方,短短幾天就完成建站上線->欺騙->關(guān)站->建新站的循環(huán)。
十月和十一月P2P理財(cái)釣魚詐騙網(wǎng)站訪問量
如何識(shí)別詐騙平臺(tái)
知道了P2P的詐騙流程和手法,就可以識(shí)別一個(gè)平臺(tái)是否為詐騙平臺(tái)了,通常有以下幾種方法。
第一,詐騙平臺(tái)的界面設(shè)計(jì)相對(duì)比較粗糙。很多詐騙平臺(tái)基本是幾千塊錢購買一個(gè)模板,再租一個(gè)主機(jī)空間就上線了,并且通常IP地址位于境外。
套用同一個(gè)模板的理財(cái)詐騙網(wǎng)站
第二,宣傳的收益率很高,甚至遠(yuǎn)遠(yuǎn)高于行業(yè)平均水平。
詐騙網(wǎng)站高利率的虛假項(xiàng)目
第三,公司介紹造假,備案和注冊(cè)信息造假,辦公地址較為偏遠(yuǎn),甚至根本不存在。
某P2P曝光群曝光的某詐騙平臺(tái)的虛假注冊(cè)信息
第四,平臺(tái)活動(dòng)不斷,常見日標(biāo)、秒標(biāo),但標(biāo)的信息含糊其辭,如資金周轉(zhuǎn)等。甚至虛構(gòu)借款人信息,設(shè)立虛標(biāo)。
第五,詐騙平臺(tái)基本沒有第三方資金托管平臺(tái)。投資者注冊(cè)平臺(tái)帳號(hào)后可以直接投資,不要求注冊(cè)第三方支付機(jī)構(gòu)帳號(hào)的,可確定是沒有資金托管的。
第六,平臺(tái)負(fù)責(zé)人曾有過失信記錄,可登錄最高人民法院網(wǎng)站(shixin.court.gov.cn)查詢。
第七,平臺(tái)業(yè)務(wù)是否公開透明,過往業(yè)務(wù)記錄是否可查詢調(diào)閱。
第八,平臺(tái)涉及自融,如果平臺(tái)資金被平臺(tái)本身或股東挪作他用,那就是自融,涉嫌非法集資、詐騙等違法犯罪行為。
真實(shí)案例
11月23日,宏量財(cái)富將網(wǎng)站www.hongliangcf.com關(guān)閉,并把群里的一千多用戶踢得一干二凈。
這家名為宏量資產(chǎn)管理有限公司的平臺(tái),成立時(shí)間不足三個(gè)月。該公司各種注冊(cè)和資質(zhì)手續(xù)均齊備,且網(wǎng)站也有ICP備案。注冊(cè)資金為兩千萬元。
據(jù)受害者稱,10月份時(shí),經(jīng)過各項(xiàng)考察,認(rèn)為平臺(tái)可信,于10月23日在平臺(tái)投資1萬元,隨后被告知該平臺(tái)三名高管于11月23日凌晨跑路,大概有十幾個(gè)投資者以及公司10名員工均被蒙在鼓里。據(jù)該平臺(tái)同為受害者的客服主管說,至少有4000投資者,涉及金額高達(dá)2400萬以上。
宏量財(cái)富跑路爆料帖
即使是實(shí)地考察過的,平臺(tái)有正規(guī)備案的也可能因?yàn)榻?jīng)營(yíng)不善,資金鏈斷裂而跑路;部分平臺(tái)在經(jīng)營(yíng)正常的情況下,負(fù)責(zé)人也可能由于貪婪而卷款跑路,甚至連平臺(tái)自身工作人員都不知情。目前宏量財(cái)富的受害者們已經(jīng)建立維權(quán)群并報(bào)案。
正規(guī)平臺(tái)運(yùn)作流程
除了識(shí)別一個(gè)平臺(tái)是否為問題平臺(tái),還要知道正規(guī)平臺(tái)是如何運(yùn)作的。像紅嶺創(chuàng)投、宜人貸、陸金所等大型正規(guī)網(wǎng)貸平臺(tái)都會(huì)有嚴(yán)格的運(yùn)作流程,用戶的信息和資金安全都有充分保障。
1、嚴(yán)格的貸前審核
正規(guī)平臺(tái)針對(duì)借款人會(huì)有嚴(yán)格的貸前審查,通過背景調(diào)查、借款用途調(diào)查以及個(gè)人信用風(fēng)險(xiǎn)評(píng)估等審核借款人提出的借貸需求,避免不良客戶的欺詐風(fēng)險(xiǎn)。
2、完善的貸后管理
借款項(xiàng)目遇到逾期未歸還借款的,平臺(tái)會(huì)采取充分手段催促借款人還款,甚至采取法律手段。并且對(duì)投資者完全公開透明。
3、充分的風(fēng)險(xiǎn)準(zhǔn)備金
如果投資者的投資的某筆借款出現(xiàn)嚴(yán)重逾期,平臺(tái)應(yīng)會(huì)通過風(fēng)險(xiǎn)準(zhǔn)備金對(duì)投資者償付本金和利息,分散投資者投資行為所帶來的信用風(fēng)險(xiǎn)。
4、完善的法律和政策保障
正規(guī)平臺(tái)從事業(yè)務(wù)應(yīng)當(dāng)是合法合規(guī)的,不進(jìn)行拆標(biāo)和虛標(biāo)行為,每個(gè)借款項(xiàng)目都有合法的電子合同、財(cái)務(wù)抵押憑證等必須的文件文書。
5、第三方資金托管和擔(dān)保
正規(guī)平臺(tái)采取和第三方合作托管用戶資金,不私設(shè)資金池。嚴(yán)格規(guī)范資金管理,并有第三方擔(dān)保交易。
6、重視平臺(tái)自身和用戶信息的安全
平臺(tái)網(wǎng)站建設(shè)充分重視安全問題,通過加密連接、防火墻、二次驗(yàn)證等技術(shù)手段保證數(shù)據(jù)和信息的安全。并有嚴(yán)格的IT管理規(guī)范,防止出現(xiàn)人為的安全事故。
結(jié)語
P2P網(wǎng)貸是伴隨“互聯(lián)網(wǎng)+”興起的新生行業(yè),目前行業(yè)監(jiān)管不明,P2P行業(yè)在全國(guó)處于野蠻生長(zhǎng)階段。由于P2P的特性,存在投資者分散,平臺(tái)不透明,資金監(jiān)管缺失,借款人信息難以核實(shí)等問題,使得部分平臺(tái)借機(jī)詐騙斂財(cái),卷款跑路事件屢屢發(fā)生。另一方面,由于平臺(tái)運(yùn)營(yíng)方對(duì)安全缺乏普遍的重視,網(wǎng)站的安全漏洞層出不窮,黑客攻擊造成的系統(tǒng)癱瘓、數(shù)據(jù)惡意篡改、資金盜取等時(shí)有發(fā)生。
對(duì)于投資者而言,面對(duì)高利率和高回報(bào)要保持理性,認(rèn)真考察評(píng)估平臺(tái)的真實(shí)性、安全性、專業(yè)性以及可持續(xù)性,選擇可靠平臺(tái)并分散投資。隨時(shí)關(guān)注平臺(tái)及借貸項(xiàng)目的最新情況,保存充值記錄、借貸項(xiàng)目合同、客服記錄等證據(jù),方便及時(shí)維權(quán)。
對(duì)于網(wǎng)貸平臺(tái)方,要充分重視用戶信息和資金安全,及時(shí)修復(fù)網(wǎng)站和應(yīng)用存在的各種安全漏洞,并且對(duì)資金進(jìn)行第三方托管,遭遇黑客攻擊要及時(shí)聯(lián)系警方處理,不能姑息和縱容。
推薦閱讀
樂視19億入股TCL,傳統(tǒng)電視以退為進(jìn)
12月14日,在TCL&樂視投資暨戰(zhàn)略合作發(fā)布會(huì),TCL董事長(zhǎng)李東生和樂視董事長(zhǎng)賈躍亭雙雙亮相,首度對(duì)外解密雙方資本暨及戰(zhàn)略合作的內(nèi)幕。 此前,12月11日晚間,T>>>詳細(xì)閱讀
本文標(biāo)題:P2P網(wǎng)站應(yīng)用安全報(bào)告
地址:http://www.geekbao.cn/a/guandian/yejie/298521.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示