P2P網站應用安全報告
0x00 前言
有關e租寶公司被調查的新聞在微博、朋友圈被引爆刷屏。許多人看中P2P理財的高收益,卻忽視其中的風險。獵豹移動安全實驗室監測發現,P2P網站已成釣魚欺詐網站的重災區,大量P2P手機理財軟體也存在安全隱患。網民須小心選擇P2P類理財產品。
0x01 P2P行業現狀
P2P網貸在2007開始傳入國內,2015年呈現爆發態勢,成交規模已進入萬億元時代。由於行業監管未出臺,P2P行業處於野蠻生長階段,魚龍混雜,平臺上線和跑路司空見慣。
據統計,截止今年,納入中國P2P網貸指數統計的網貸平臺有超過2500家,其中問題平臺近1000家。從全國範圍內看:廣東、山東的問題平臺數量最多,數量分別達到了163家和198家。從平臺性質來看,問題平臺無一例外都是民營系的。
圖1 截止11月全國各省正常平臺和問題平臺數量統計
問題平臺中29%出現提現困難,56%的問題平臺選擇了跑路,有的平臺跑路後甚至連公司員工都不知情。
圖2 問題平臺狀態比例
一般來講,P2P平臺運營出現跑路的有兩種,一種是經營不善出現資金鍊斷裂的;還有一種是純詐騙性質的網站,騙到投資者錢財後就立馬關閉網站跑路。即使是今天正常運營的平臺明天就有可能倒閉跑路,那麼如何識別詐騙和即將跑路的平臺呢?這就先要弄清楚它的詐騙流程。
0x02 P2P網站詐騙流程
很多平臺上線前期會以高利率為誘餌,釋出大量虛假標的,透過虛假宣傳、註冊返利、秒標等形式,吸引普通投資者大量資金,資金到賬後便捲款而逃。網站平臺突然無法登陸,公司高管失蹤,辦公地點人去樓空。
也有部分網貸平臺,宣稱出現投資未按時收回,說是提現困難,讓投資者繼續投資支援平臺。而在投資者交流群,會有一些人以低價收購無法提現的賬號餘額,業內稱之為“收草”。而實際上,低價“收草”的人和欺詐平臺是合謀詐騙。
圖3 典型網貸詐騙流程圖
0x03 詐騙手法
P2P詐騙網站吸收資金一般有以下幾種手法。
1、高利率吸引投資者資金:
一般的P2P網貸平臺年化收益率在10%左右,而超過20%,甚至接近30%都是需要高度警惕。監測發現,有的平臺網站赫然宣稱有700%以上的收益率。
圖4 詐騙平臺透過極高利率吸引投資者
2、高回報加獎勵
某臺上專案的年化收益率普遍超過22%,同時平臺給予投資者以3%-5%不等的投標獎勵。部分存在投機和僥倖心理的投資者很快就上鉤被套牢。
圖5 高利率、高獎勵的借款專案
3、設立虛標
偽造借款專案和虛構借款人資訊,並標出可觀的收益率,吸引缺乏風險意識的投資者。如下圖:某平臺的借款專案資訊說明含糊其辭,專案圖片一模一樣,明顯是虛標或拆標。
圖6 虛標或拆標的專案
4、龐氏騙局
利用新投資者的資金來向老投資者支付利息和短期回報,製造一種高盈利的假象,進一步騙取更多投資者的投資。一旦平臺沒有持續的投資來源,整個資金鍊就會斷裂,平臺就會跑路。前段時間風靡朋友圈的“MMM金融互助社群”就是典型例子。
0x04 P2P網站的安全性
除了詐騙平臺蓄意騙取投資者錢財之外,P2P網貸網站廣泛存在安全漏洞,極易導致駭客攻擊。資金安全是每一個網貸平臺應當首先保障的,而保障資金安全的首要前提是保障網站的安全。
P2P網站由於直接牽涉投資者的資金、個人資訊、銀行賬戶等敏感資訊,故其危險性比一般網站的漏洞更高。
圖7P2P平臺存在的一些安全性問題
我們對部分P2P網站進行了抽樣安全監測,目前發現有131家網站存在不同型別的安全漏洞。其中撞庫攻擊(40%)、資訊洩漏(24%)、後臺地址暴露(24%)是3個主要漏洞型別,嚴重危及網站的使用者資料安全和資金安全。
圖8部分P2P網站漏洞型別分佈
0x05 P2P應用的安全性
由於智慧手機的普及,很多平臺開發了自己的手機P2P理財應用,方便投資者隨時隨地投資理財;有的平臺甚至只能在手機應用上使用充值、投資、提現。
我們抽樣審計了104款理財應用,約37%存在資料明文傳輸問題,8%的簡訊校驗碼在客戶端校驗,只有24%使用了加密傳輸,剩下31%由於部分平臺倒閉跑路或其他原因,無法訪問伺服器。
圖9P2P手機應用安全問題型別分佈
密碼明文傳輸
104款應用中,有部分應用直接明文傳送密碼、支付密碼,或者僅僅只是簡單的base64編碼一下。
圖10某P2P手機應用明文傳輸密碼及金額簡訊驗證碼客戶端校驗
少部分應用中的手機簡訊驗證碼居然在客戶端驗證(HTTP回包中帶有簡訊驗證碼),這樣可以造成惡意註冊,刷紅包,修改任意使用者的密碼等嚴重問題。
圖11某P2P手機應用本地驗證簡訊校驗碼
顯而易見的風險存在於P2P手機應用中,正規P2P網貸平臺對安全十分重視,那些小平臺和詐騙平臺根本沒有實力、或者根本沒花心思去提升網站安全性。以下是獵豹移動安全實驗室對部分P2P類手機應用的分析結果:
| APP產品名 | 安全問題 |
|---|---|
| 愛貸網理財 | 明文傳輸 |
| 互貸網理財 | 明文上報 |
| 合信 | 明文傳輸 |
| 合盤貸 | 明文傳輸 |
| 漢金所 | 明文密碼 |
| 國誠金融 | 明文傳輸 |
| 眾可貸 | 明文傳輸 |
| 財加網 | 密碼MD5加密,簡訊驗證碼客戶端校驗 |
| 得利寶 | 明文密碼 |
| 道口貸 | 明文密碼,簡訊驗證碼客戶端校驗 |
| 勵國理財 | 明文密碼 |
| 力帆善融 | 明文密碼,簡訊驗證碼客戶端校驗。 |
| 聚誠財富 | 明文密碼 |
| 兢業貸 | 明文密碼 |
| 卓安e貸 | 明文密碼 |
| 中金貸 | 明文密碼 |
| 銀票網 | 明文密碼 |
| 鑫合匯理財 | 明文密碼 |
| 小油菜理財 | 明文密碼 |
| 三益寶 | 明文密碼 |
| 融貝網 | 明文密碼 |
| 錢內助 | 明文傳送登入密碼,身份證資訊明文 |
| 票據客 | 明文傳輸,個人資訊驗證明文,支付明文 |
| 胖胖豬 | 明文密碼,簡訊驗證碼客戶端校驗 |
| 理財樂錢包 | base64編碼密碼 |
| 騎士貸 | APK無法下載 |
| 寧創金融 | app無法下載(http://www.0086cf.com/app/index.html) |
| 你我貸理財 | app無法下載 |
| 智信創富 | app無法下載 |
| 芝麻金融 | 總是返回伺服器太忙 |
| 攜銀理財 | 無法執行 |
| 溫商貸理財 | app崩潰 |
| 蘇融貸 | 無法註冊 |
| 拍拍貸 | 連線不上伺服器 |
| 諾諾鎊客理財 | 連線不上伺服器 |
| 麻袋理財 | 連線不上伺服器 |
| 鏈家理財 | 無法註冊 |
| 九鬥魚 | 總是返回伺服器太忙 |
| 金聯儲 | 無法註冊 |
| 黃河金融 | 無法註冊 |
| 短融網 | 無法註冊 |
| 城城理財 | 無法註冊 |
| 誠投線上 | 無法註冊 |
| 愛利是 | 無法註冊 |
0x06 以P2P網貸為噱頭人釣魚網站
根據監測資料,2015年平均每月新增195家P2P理財釣魚網站。這些網站生存週期較短,為了逃避攔截,通常會設定多個域名指向同一個IP地址。
圖12 2015年每月新增P2P理財釣魚網站數量
根據最近兩月監測顯示,P2P理財釣魚網站的訪問量呈鋸齒狀波動:其原因是P2P類釣魚網站打一槍換一個地方,短短几天就完成建站上線->欺騙->關站->建新站的迴圈。
圖13 十月和十一月P2P理財釣魚詐騙網站訪問量
0x07 如何識別詐騙平臺
知道了P2P的詐騙流程和手法,就可以識別一個平臺是否為詐騙平臺了,通常有以下幾種方法。
第一,詐騙平臺的介面設計相對比較粗糙。很多詐騙平臺基本是幾千塊錢購買一個模板,再租一個主機空間就上線了,並且通常IP地址位於境外。
圖14套用同一個模板的理財詐騙網站
第二,宣傳的收益率很高,甚至遠遠高於行業平均水平。
圖15詐騙網站高利率的虛假專案
第三,公司介紹造假,備案和註冊資訊造假,辦公地址較為偏遠,甚至根本不存在。
圖16某P2P曝光群曝光的某詐騙平臺的虛假註冊資訊
第四,平臺活動不斷,常見日標、秒標,但標的資訊含糊其辭,如資金週轉等。甚至虛構借款人資訊,設立虛標。
第五,詐騙平臺基本沒有第三方資金託管平臺。投資者註冊平臺帳號後可以直接投資,不要求註冊第三方支付機構帳號的,可確定是沒有資金託管的。
第六,平臺負責人曾有過失信記錄,可登入最高人民法院網站(shixin.court.gov.cn)查詢。
第七,平臺業務是否公開透明,過往業務記錄是否可查詢調閱。
第八,平臺涉及自融,如果平臺資金被平臺本身或股東挪作他用,那就是自融,涉嫌非法集資、詐騙等違法犯罪行為。
0x08 真實案例
11月23日,宏量財富將網站<www.hongliangcf.com>關閉, 並把群裡的一千多使用者踢得一乾二淨。
這家名為宏量資產管理有限公司的平臺,成立時間不足三個月。該公司各種註冊和資質手續均齊備,且網站也有ICP備案。註冊資金為兩千萬元。
據受害者稱,10月份時,經過各項考察,認為平臺可信,於10月23日在平臺投資1萬元,隨後被告知該平臺三名高管於11月23日凌晨跑路,大概有十幾個投資者以及公司10名員工均被矇在鼓裡。據該平臺同為受害者的客服主管說,至少有4000投資者,涉及金額高達2400萬以上。
圖17宏量財富跑路爆料帖
即使是實地考察過的,平臺有正規備案的也可能因為經營不善,資金鍊斷裂而跑路;部分平臺在經營正常的情況下,負責人也可能由於貪婪而捲款跑路,甚至連平臺自身工作人員都不知情。目前宏量財富的受害者們已經建立維權群並報案。
0x09 正規平臺運作流程
除了識別一個平臺是否為問題平臺,還要知道正規平臺是如何運作的。像紅嶺創投、宜人貸、陸金所等大型正規網貸平臺都會有嚴格的運作流程,使用者的資訊和資金安全都有充分保障。
1、嚴格的貸前稽核
正規平臺針對借款人會有嚴格的貸前審查,透過背景調查、借款用途調查以及個人信用風險評估等稽核借款人提出的借貸需求,避免不良客戶的欺詐風險。
2、完善的貸後管理
借款專案遇到逾期未歸還借款的,平臺會採取充分手段催促借款人還款,甚至採取法律手段。並且對投資者完全公開透明。
3、充分的風險準備金
如果投資者的投資的某筆借款出現嚴重逾期,平臺應會透過風險準備金對投資者償付本金和利息,分散投資者投資行為所帶來的信用風險。
4、完善的法律和政策保障
正規平臺從事業務應當是合法合規的,不進行拆標和虛標行為,每個借款專案都有合法的電子合同、財務抵押憑證等必須的檔案文書。
5、第三方資金託管和擔保
正規平臺採取和第三方合作託管使用者資金,不私設資金池。嚴格規範資金管理,並有第三方擔保交易。
6、重視平臺自身和使用者資訊的安全
平臺網站建設充分重視安全問題,透過加密連線、防火牆、二次驗證等技術手段保證資料和資訊的安全。並有嚴格的IT管理規範,防止出現人為的安全事故。
0x0A 結語
P2P網貸是伴隨“網際網路+”興起的新生行業,目前行業監管不明,P2P行業在全國處於野蠻生長階段。由於P2P的特性,存在投資者分散,平臺不透明,資金監管缺失,借款人資訊難以核實等問題,使得部分平臺藉機詐騙斂財,捲款跑路事件屢屢發生。另一方面,由於平臺運營方對安全缺乏普遍的重視,網站的安全漏洞層出不窮,駭客攻擊造成的系統癱瘓、資料惡意篡改、資金盜取等時有發生。
對於投資者而言,面對高利率和高回報要保持理性,認真考察評估平臺的真實性、安全性、專業性以及可持續性,選擇可靠平臺並分散投資。隨時關注平臺及借貸專案的最新情況,儲存充值記錄、借貸專案合同、客服記錄等證據,方便及時維權。
對於網貸平臺方,要充分重視使用者資訊和資金安全,及時修復網站和應用存在的各種安全漏洞,並且對資金進行第三方託管,遭遇駭客攻擊要及時聯絡警方處理,不能姑息和縱容。
相關文章
- 360:2015年中國網站安全報告網站
- 社交網站與網民隱私安全報告(2009)網站
- 商城網站測試報告應該怎麼寫網站測試報告
- 2019年網站漏洞檢測報告安全分析網站
- 騰訊安全:2022年Android應用網路欺詐安全報告(附下載)Android
- P2P行業研究報告行業
- 5月第2周網路安全報告:應用程式漏洞佔比第一
- 網站安全公司告訴你網站為何會被黑網站
- 金山安全報告:二月漏洞頻出網站掛馬猖獗網站
- 網路安全應是P2P行業基本功行業
- 網路安全生態研究報告發布應用軟體漏洞成主要威脅
- 中國網際網路站發展狀況及其安全報告(2015)
- 網路遊俠:使用WEB應用防火牆保護網站安全Web防火牆網站
- Radware:2018-2019年全球應用和網路安全報告
- 數說安全:中國網路安全產業發展報告產業
- Sikuli測試應用研究報告
- 網站安全網站
- 中國網際網路協會:2020年移動應用安全形勢分析報告(附下載)
- CNNIC:2009年中國網民網路視訊應用報告CNN
- 【網站搭建】30分鐘輕鬆搭建網站應用網站
- Liftoff:移動應用趨勢報告
- Radware釋出2015-2016年全球應用及網路安全報告
- 網路為鄰—P2P網站監控技術網站
- P2P網路被谷歌用來共享離線安裝應用程式谷歌
- 中國網際網路協會:2014年中國網際網路站發展狀況及其安全報告
- 360:2016年中國網站安全漏洞形勢分析報告(附下載)網站
- 安全響應中心 — 垃圾郵件事件報告(4.18)事件
- 報告稱iOS應用整體風險高於Android應用iOSAndroid
- 「雜文」應用基礎實踐一(網路+Java)實驗報告Java
- AI前哨站:人臉識別應用公眾調研報告(附下載)AI
- Adsota:越南移動應用廣告報告
- InformationWeek:企業雲應用調查報告ORM
- 騰訊安全月報 | AI安全最新成果、物聯網安全標準立項、雲安全威脅報告發布……AI
- 推薦一個SaaS應用網站網站
- Zscaler:2021年企業網路安全報告
- Bitfinder:2024年網路安全評估報告
- 瑞星年度網路安全報告揭示“網際網路+”企業最“高危”
- 漫談計算機網路:應用層 ----- 從DNS域名解析到WWW全球資訊網再到P2P應用計算機網路DNS