P2P網站應用安全報告

wyzsk發表於2020-08-19
作者: 獵豹科學院 · 2015/12/14 15:56

0x00 前言


有關e租寶公司被調查的新聞在微博、朋友圈被引爆刷屏。許多人看中P2P理財的高收益,卻忽視其中的風險。獵豹移動安全實驗室監測發現,P2P網站已成釣魚欺詐網站的重災區,大量P2P手機理財軟體也存在安全隱患。網民須小心選擇P2P類理財產品。

0x01 P2P行業現狀


P2P網貸在2007開始傳入國內,2015年呈現爆發態勢,成交規模已進入萬億元時代。由於行業監管未出臺,P2P行業處於野蠻生長階段,魚龍混雜,平臺上線和跑路司空見慣。

據統計,截止今年,納入中國P2P網貸指數統計的網貸平臺有超過2500家,其中問題平臺近1000家。從全國範圍內看:廣東、山東的問題平臺數量最多,數量分別達到了163家和198家。從平臺性質來看,問題平臺無一例外都是民營系的。

p1 圖1 截止11月全國各省正常平臺和問題平臺數量統計

問題平臺中29%出現提現困難,56%的問題平臺選擇了跑路,有的平臺跑路後甚至連公司員工都不知情。

p2 圖2 問題平臺狀態比例

一般來講,P2P平臺運營出現跑路的有兩種,一種是經營不善出現資金鍊斷裂的;還有一種是純詐騙性質的網站,騙到投資者錢財後就立馬關閉網站跑路。即使是今天正常運營的平臺明天就有可能倒閉跑路,那麼如何識別詐騙和即將跑路的平臺呢?這就先要弄清楚它的詐騙流程。

0x02 P2P網站詐騙流程


很多平臺上線前期會以高利率為誘餌,釋出大量虛假標的,透過虛假宣傳、註冊返利、秒標等形式,吸引普通投資者大量資金,資金到賬後便捲款而逃。網站平臺突然無法登陸,公司高管失蹤,辦公地點人去樓空。

也有部分網貸平臺,宣稱出現投資未按時收回,說是提現困難,讓投資者繼續投資支援平臺。而在投資者交流群,會有一些人以低價收購無法提現的賬號餘額,業內稱之為“收草”。而實際上,低價“收草”的人和欺詐平臺是合謀詐騙。

p3 圖3 典型網貸詐騙流程圖

0x03 詐騙手法


P2P詐騙網站吸收資金一般有以下幾種手法。

1、高利率吸引投資者資金:

一般的P2P網貸平臺年化收益率在10%左右,而超過20%,甚至接近30%都是需要高度警惕。監測發現,有的平臺網站赫然宣稱有700%以上的收益率。

p4 圖4 詐騙平臺透過極高利率吸引投資者

2、高回報加獎勵

某臺上專案的年化收益率普遍超過22%,同時平臺給予投資者以3%-5%不等的投標獎勵。部分存在投機和僥倖心理的投資者很快就上鉤被套牢。

p5 圖5 高利率、高獎勵的借款專案

3、設立虛標

偽造借款專案和虛構借款人資訊,並標出可觀的收益率,吸引缺乏風險意識的投資者。如下圖:某平臺的借款專案資訊說明含糊其辭,專案圖片一模一樣,明顯是虛標或拆標。

p6 圖6 虛標或拆標的專案

4、龐氏騙局

利用新投資者的資金來向老投資者支付利息和短期回報,製造一種高盈利的假象,進一步騙取更多投資者的投資。一旦平臺沒有持續的投資來源,整個資金鍊就會斷裂,平臺就會跑路。前段時間風靡朋友圈的“MMM金融互助社群”就是典型例子。

0x04 P2P網站的安全性


除了詐騙平臺蓄意騙取投資者錢財之外,P2P網貸網站廣泛存在安全漏洞,極易導致駭客攻擊。資金安全是每一個網貸平臺應當首先保障的,而保障資金安全的首要前提是保障網站的安全。

P2P網站由於直接牽涉投資者的資金、個人資訊、銀行賬戶等敏感資訊,故其危險性比一般網站的漏洞更高。

p7 圖7P2P平臺存在的一些安全性問題

我們對部分P2P網站進行了抽樣安全監測,目前發現有131家網站存在不同型別的安全漏洞。其中撞庫攻擊(40%)、資訊洩漏(24%)、後臺地址暴露(24%)是3個主要漏洞型別,嚴重危及網站的使用者資料安全和資金安全。

p8 圖8部分P2P網站漏洞型別分佈

0x05 P2P應用的安全性


由於智慧手機的普及,很多平臺開發了自己的手機P2P理財應用,方便投資者隨時隨地投資理財;有的平臺甚至只能在手機應用上使用充值、投資、提現。

我們抽樣審計了104款理財應用,約37%存在資料明文傳輸問題,8%的簡訊校驗碼在客戶端校驗,只有24%使用了加密傳輸,剩下31%由於部分平臺倒閉跑路或其他原因,無法訪問伺服器。

p9 圖9P2P手機應用安全問題型別分佈

  • 密碼明文傳輸

    104款應用中,有部分應用直接明文傳送密碼、支付密碼,或者僅僅只是簡單的base64編碼一下。

    p10 圖10某P2P手機應用明文傳輸密碼及金額

  • 簡訊驗證碼客戶端校驗

    少部分應用中的手機簡訊驗證碼居然在客戶端驗證(HTTP回包中帶有簡訊驗證碼),這樣可以造成惡意註冊,刷紅包,修改任意使用者的密碼等嚴重問題。

    p11 圖11某P2P手機應用本地驗證簡訊校驗碼

顯而易見的風險存在於P2P手機應用中,正規P2P網貸平臺對安全十分重視,那些小平臺和詐騙平臺根本沒有實力、或者根本沒花心思去提升網站安全性。以下是獵豹移動安全實驗室對部分P2P類手機應用的分析結果:

APP產品名 安全問題
愛貸網理財 明文傳輸
互貸網理財 明文上報
合信 明文傳輸
合盤貸 明文傳輸
漢金所 明文密碼
國誠金融 明文傳輸
眾可貸 明文傳輸
財加網 密碼MD5加密,簡訊驗證碼客戶端校驗
得利寶 明文密碼
道口貸 明文密碼,簡訊驗證碼客戶端校驗
勵國理財 明文密碼
力帆善融 明文密碼,簡訊驗證碼客戶端校驗。
聚誠財富 明文密碼
兢業貸 明文密碼
卓安e貸 明文密碼
中金貸 明文密碼
銀票網 明文密碼
鑫合匯理財 明文密碼
小油菜理財 明文密碼
三益寶 明文密碼
融貝網 明文密碼
錢內助 明文傳送登入密碼,身份證資訊明文
票據客 明文傳輸,個人資訊驗證明文,支付明文
胖胖豬 明文密碼,簡訊驗證碼客戶端校驗
理財樂錢包 base64編碼密碼
騎士貸 APK無法下載
寧創金融 app無法下載(http://www.0086cf.com/app/index.html)
你我貸理財 app無法下載
智信創富 app無法下載
芝麻金融 總是返回伺服器太忙
攜銀理財 無法執行
溫商貸理財 app崩潰
蘇融貸 無法註冊
拍拍貸 連線不上伺服器
諾諾鎊客理財 連線不上伺服器
麻袋理財 連線不上伺服器
鏈家理財 無法註冊
九鬥魚 總是返回伺服器太忙
金聯儲 無法註冊
黃河金融 無法註冊
短融網 無法註冊
城城理財 無法註冊
誠投線上 無法註冊
愛利是 無法註冊

0x06 以P2P網貸為噱頭人釣魚網站


根據監測資料,2015年平均每月新增195家P2P理財釣魚網站。這些網站生存週期較短,為了逃避攔截,通常會設定多個域名指向同一個IP地址。

p12 圖12 2015年每月新增P2P理財釣魚網站數量

根據最近兩月監測顯示,P2P理財釣魚網站的訪問量呈鋸齒狀波動:其原因是P2P類釣魚網站打一槍換一個地方,短短几天就完成建站上線->欺騙->關站->建新站的迴圈。

p13 圖13 十月和十一月P2P理財釣魚詐騙網站訪問量

0x07 如何識別詐騙平臺


知道了P2P的詐騙流程和手法,就可以識別一個平臺是否為詐騙平臺了,通常有以下幾種方法。

第一,詐騙平臺的介面設計相對比較粗糙。很多詐騙平臺基本是幾千塊錢購買一個模板,再租一個主機空間就上線了,並且通常IP地址位於境外。

p14 圖14套用同一個模板的理財詐騙網站

第二,宣傳的收益率很高,甚至遠遠高於行業平均水平。

p15 圖15詐騙網站高利率的虛假專案

第三,公司介紹造假,備案和註冊資訊造假,辦公地址較為偏遠,甚至根本不存在。

p16 圖16某P2P曝光群曝光的某詐騙平臺的虛假註冊資訊

第四,平臺活動不斷,常見日標、秒標,但標的資訊含糊其辭,如資金週轉等。甚至虛構借款人資訊,設立虛標。

第五,詐騙平臺基本沒有第三方資金託管平臺。投資者註冊平臺帳號後可以直接投資,不要求註冊第三方支付機構帳號的,可確定是沒有資金託管的。

第六,平臺負責人曾有過失信記錄,可登入最高人民法院網站(shixin.court.gov.cn)查詢。

第七,平臺業務是否公開透明,過往業務記錄是否可查詢調閱。

第八,平臺涉及自融,如果平臺資金被平臺本身或股東挪作他用,那就是自融,涉嫌非法集資、詐騙等違法犯罪行為。

0x08 真實案例


11月23日,宏量財富將網站<www.hongliangcf.com>關閉, 並把群裡的一千多使用者踢得一乾二淨。

這家名為宏量資產管理有限公司的平臺,成立時間不足三個月。該公司各種註冊和資質手續均齊備,且網站也有ICP備案。註冊資金為兩千萬元。

據受害者稱,10月份時,經過各項考察,認為平臺可信,於10月23日在平臺投資1萬元,隨後被告知該平臺三名高管於11月23日凌晨跑路,大概有十幾個投資者以及公司10名員工均被矇在鼓裡。據該平臺同為受害者的客服主管說,至少有4000投資者,涉及金額高達2400萬以上。

p17 圖17宏量財富跑路爆料帖

即使是實地考察過的,平臺有正規備案的也可能因為經營不善,資金鍊斷裂而跑路;部分平臺在經營正常的情況下,負責人也可能由於貪婪而捲款跑路,甚至連平臺自身工作人員都不知情。目前宏量財富的受害者們已經建立維權群並報案。

0x09 正規平臺運作流程


除了識別一個平臺是否為問題平臺,還要知道正規平臺是如何運作的。像紅嶺創投、宜人貸、陸金所等大型正規網貸平臺都會有嚴格的運作流程,使用者的資訊和資金安全都有充分保障。

1、嚴格的貸前稽核

正規平臺針對借款人會有嚴格的貸前審查,透過背景調查、借款用途調查以及個人信用風險評估等稽核借款人提出的借貸需求,避免不良客戶的欺詐風險。

2、完善的貸後管理

借款專案遇到逾期未歸還借款的,平臺會採取充分手段催促借款人還款,甚至採取法律手段。並且對投資者完全公開透明。

3、充分的風險準備金

如果投資者的投資的某筆借款出現嚴重逾期,平臺應會透過風險準備金對投資者償付本金和利息,分散投資者投資行為所帶來的信用風險。

4、完善的法律和政策保障

正規平臺從事業務應當是合法合規的,不進行拆標和虛標行為,每個借款專案都有合法的電子合同、財務抵押憑證等必須的檔案文書。

5、第三方資金託管和擔保

正規平臺採取和第三方合作託管使用者資金,不私設資金池。嚴格規範資金管理,並有第三方擔保交易。

6、重視平臺自身和使用者資訊的安全

平臺網站建設充分重視安全問題,透過加密連線、防火牆、二次驗證等技術手段保證資料和資訊的安全。並有嚴格的IT管理規範,防止出現人為的安全事故。

0x0A 結語


P2P網貸是伴隨“網際網路+”興起的新生行業,目前行業監管不明,P2P行業在全國處於野蠻生長階段。由於P2P的特性,存在投資者分散,平臺不透明,資金監管缺失,借款人資訊難以核實等問題,使得部分平臺藉機詐騙斂財,捲款跑路事件屢屢發生。另一方面,由於平臺運營方對安全缺乏普遍的重視,網站的安全漏洞層出不窮,駭客攻擊造成的系統癱瘓、資料惡意篡改、資金盜取等時有發生。

對於投資者而言,面對高利率和高回報要保持理性,認真考察評估平臺的真實性、安全性、專業性以及可持續性,選擇可靠平臺並分散投資。隨時關注平臺及借貸專案的最新情況,儲存充值記錄、借貸專案合同、客服記錄等證據,方便及時維權。

對於網貸平臺方,要充分重視使用者資訊和資金安全,及時修復網站和應用存在的各種安全漏洞,並且對資金進行第三方託管,遭遇駭客攻擊要及時聯絡警方處理,不能姑息和縱容。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章