牛盾云安全牛盾云安全

新闻

新闻

新闻 / 从e租宝被查 看P2P网站应用安全
管理员 管理员

从e租宝被查 看P2P网站应用安全

安全播报 - 2015-12-18
分享到:

最近有关e租宝公司被调查的新闻在微博、朋友圈被引爆刷屏,700多亿成交资金“打了水漂”,P2P再次成为金融业甚至经济领域的热门话题。许多人看中P2P理财的高收益,却忽视其中的风险。监测发现,P2P网站已成钓鱼欺诈网站的重灾区,大量P2P手机理财软件也存在安全隐患。用户须小心选择P2P类理财产品。


刨除P2P平台蓄意骗取投资者钱财之外,P2P网贷网站广泛存在安全漏洞,极易导致黑客攻击。资金安全是每一个网贷平台应当首先保障的,而保障资金安全的首要前提是保障网站的安全。


P2P网站由于直接牵涉投资者的资金、个人信息、银行账户等敏感信息,故其危险性比一般网站的漏洞更高。

7.png

P2P平台存在的一些安全性问题


我们对部分P2P网站进行了抽样安全监测,目前发现有131家网站存在不同类型的安全漏洞。其中撞库攻击(40%)、信息泄漏(24%)、后台地址暴露(24%)是3个主要漏洞类型,严重危及网站的用户数据安全和资金安全。

8.png

部分P2P网站漏洞类型分布


P2P应用的安全性

由于智能手机的普及,很多平台开发了自己的手机P2P理财应用,方便投资者随时随地投资理财;有的平台甚至只能在手机应用上使用充值、投资、提现。


我们抽样审计了104款理财应用,约37%存在数据明文传输问题,8%的短信校验码在客户端校验,只有24%使用了加密传输,剩下31%由于部分平台倒闭跑路或其他原因,无法访问服务器。

9.png

P2P手机应用安全问题类型分布



●密码明文传输

104款应用中,有部分应用直接明文发送密码、支付密码,或者仅仅只是简单的base64编码一下。

10.png

某P2P手机应用明文传输密码及金额


●短信验证码客户端校验

少部分应用中的手机短信验证码居然在客户端验证(HTTP回包中带有短信验证码),这样可以造成恶意注册,刷红包,修改任意用户的密码等严重问题。

11.png

某P2P手机应用本地验证短信校验码显而易见的风险存在于P2P手机应用中,正规P2P网贷平台对安全十分重视,那些小平台和诈骗平台根本没有实力、或者根本没花心思去提升网站安全性。

猎豹移动安全实验室对部分P2P类手机应用的分析结果

12.png

以P2P网贷为噱头人钓鱼网站

根据监测数据,2015年平均每月新增195家P2P理财钓鱼网站。这些网站生存周期较短,为了逃避拦截,通常会设置多个域名指向同一个IP地址。

13.png

2015年每月新增P2P理财钓鱼网站数量


根据最近两月监测显示,P2P理财钓鱼网站的访问量呈锯齿状波动:其原因是P2P类钓鱼网站打一枪换一个地方,短短几天就完成建站上线->欺骗->关站->建新站的循环。

14.png

十月和十一月P2P理财钓鱼诈骗网站访问量


如何识别诈骗平台

知道了P2P的诈骗流程和手法,就可以识别一个平台是否为诈骗平台了,通常有以下几种方法:

第一,诈骗平台的界面设计相对比较粗糙。很多诈骗平台基本是几千块钱购买一个模板,再租一个主机空间就上线了,并且通常IP地址位于境外。

15.png

套用同一个模板的理财诈骗网站

第二,宣传的收益率很高,甚至远远高于行业平均水平。

16.png

诈骗网站高利率的虚假项目

第三,公司介绍造假,备案和注册信息造假,办公地址较为偏远,甚至根本不存在。

17.png

某P2P曝光群曝光的某诈骗平台的虚假注册信息


第四,平台活动不断,常见日标、秒标,但标的信息含糊其辞,如资金周转等。甚至虚构借款人信息,设立虚标。

第五,诈骗平台基本没有第三方资金托管平台。投资者注册平台帐号后可以直接投资,不要求注册第三方支付机构帐号的,可确定是没有资金托管的。

第六,平台负责人曾有过失信记录,可登录最高人民法院网站(shixin.court.gov.cn)查询。

第七,平台业务是否公开透明,过往业务记录是否可查询调阅。

第八,平台涉及自融,如果平台资金被平台本身或股东挪作他用,那就是自融,涉嫌非法集资、诈骗等违法犯罪行为。


真实案例

11月23日,宏量财富将网站关闭,并把群里的一千多用户踢得一干二净。


这家名为宏量资产管理有限公司的平台,成立时间不足三个月。该公司各种注册和资质手续均齐备,且网站也有ICP备案。注册资金为两千万元。


据受害者称,10月份时,经过各项考察,认为平台可信,于10月23日在平台投资1万元,随后被告知该平台三名高管于11月23日凌晨跑路,大概有十几个投资者以及公司10名员工均被蒙在鼓里。据该平台同为受害者的客服主管说,至少有4000投资者,涉及金额高达2400万以上。

18.png


宏量财富跑路爆料帖


即使是实地考察过的,平台有正规备案的也可能因为经营不善,资金链断裂而跑路;部分平台在经营正常的情况下,负责人也可能由于贪婪而卷款跑路,甚至连平台自身工作人员都不知情。目前宏量财富的受害者们已经建立维权群并报案。


正规平台运作流程

除了识别一个平台是否为问题平台,还要知道正规平台是如何运作的。像红岭创投、宜人贷、陆金所等大型正规网贷平台都会有严格的运作流程,用户的信息和资金安全都有充分保障。

1、严格的贷前审核

正规平台针对借款人会有严格的贷前审查,通过背景调查、借款用途调查以及个人信用风险评估等审核借款人提出的借贷需求,避免不良客户的欺诈风险。


2、完善的贷后管理

借款项目遇到逾期未归还借款的,平台会采取充分手段催促借款人还款,甚至采取法律手段。并且对投资者完全公开透明。


3、充分的风险准备金

如果投资者的投资的某笔借款出现严重逾期,平台应会通过风险准备金对投资者偿付本金和利息,分散投资者投资行为所带来的信用风险。


4、完善的法律和政策保障

正规平台从事业务应当是合法合规的,不进行拆标和虚标行为,每个借款项目都有合法的电子合同、财务抵押凭证等必须的文件文书。


5、第三方资金托管和担保

正规平台采取和第三方合作托管用户资金,不私设资金池。严格规范资金管理,并有第三方担保交易。


6、重视平台自身和用户信息的安全

平台网站建设充分重视安全问题,通过加密连接、防火墙、二次验证等技术手段保证数据和信息的安全。并有严格的IT管理规范,防止出现人为的安全事故。


结语

P2P网贷是伴随“互联网+”兴起的新生行业,目前行业监管不明,P2P行业在全国处于野蛮生长阶段。由于P2P的特性,存在投资者分散,平台不透明,资金监管缺失,借款人信息难以核实等问题,使得部分平台借机诈骗敛财,卷款跑路事件屡屡发生。另一方面,由于平台运营方对安全缺乏普遍的重视,网站的安全漏洞层出不穷,黑客攻击造成的系统瘫痪、数据恶意篡改、资金盗取等时有发生。


对于投资者而言,面对高利率和高回报要保持理性,认真考察评估平台的真实性、安全性、专业性以及可持续性,选择可靠平台并分散投资。随时关注平台及借贷项目的最新情况,保存充值记录、借贷项目合同、客服记录等证据,方便及时维权。


对于网贷平台方,要充分重视用户信息和资金安全,及时修复网站和应用存在的各种安全漏洞,并且对资金进行第三方托管,遭遇黑客攻击要及时联系警方处理,不能姑息和纵容。


新闻 / 从e租宝被查 看P2P网站应用安全