当前位置: 主页 > 创富精英 > 内容

P2P网站应用安全报告

时间:2017-07-30 10:35  来源:未知  作者:admin

  有关e租宝公司被调查的新闻在微博、朋友圈被刷屏。许多人看中P2P理财的高收益,却忽视其中的风险。猎豹移动安全实验室监测发现,P2P网站已成钓鱼欺诈网站的重灾区,大量P2P手机理财软件也存在安全隐患。网民须小心选择P2P类理财产品。

  P2P网贷在2007开始传入国内,2015年呈现爆发态势,成交规模已进入万亿元时代。由于行业监管未出台,P2P行业处于生长阶段,鱼龙混杂,平台上线和跑司空见惯。

  据统计,截止今年,纳入中国P2P网贷指数统计的网贷平台有超过2500家,其中问题平台近1000家。从全国范围内看:广东、山东的问题平台数量最多,数量分别达到了163家和198家。从平台性质来看,问题平台无一例外都是民营系的。

  问题平台中29%出现提现困难,56%的问题平台选择了跑,有的平台跑后甚至连公司员工都不知情。

  一般来讲,P2P平台运营出现跑的有两种,一种是经营不善出现资金链断裂的;还有一种是纯诈骗性质的网站,骗到投资者钱财后就立马关闭网站跑。即使是今天正常运营的平台明天就有可能倒闭跑,那么如何识别诈骗和即将跑的平台呢?这就先要弄清楚它的诈骗流程。

  很多平台上线前期会以高利率为诱饵,发布大量虚假标的,通过虚假宣传、注册返利、秒标等形式,吸引普通投资者大量资金,资金到账后便后卷款而逃。网站平台突然无法登陆,公司高管,办公地点人去楼空。

  也有部分网贷平台,出现投资未按时收回,说是提现困难,让投资者继续投资支持平台。而在投资者交流群,会有一些人以低价收购无法提现的账号余额,业内称之为“收草”。而实际上,低价“收草”的人和欺诈平台是合谋诈骗。

  一般的P2P网贷平台年化收益率在10%左右,而超过20%,甚至接近30%都是需要高度,监测发现,有的平台网站赫然有700%以上的收益率。

  某台上项目的年化收益率普遍超过22%,同时平台给予投资者以3%-5%不等的投标励。部分存在投机和侥幸心理的投资者很快就上钩被套牢。

  伪造借款项目和虚构借款人信息,并标出可观的收益率,吸引缺乏风险意识的投资者。如下图:某平台的借款项目信息说明含糊其辞,项目图片一模一样,明显是虚标或拆标。

  利用新投资者的资金来向老投资者支付利息和短期回报,制造一种高盈利的,进一步骗取更多投资者的投资。一旦平台没有持续的投资来源,整个资金链就会断裂,平台就会跑。前段时间风靡朋友圈的“MMM金融互助社区”就是典型例子。

  除了诈骗平台骗取投资者钱财之外,P2P网贷网站广泛存在安全漏洞,极易导致黑客。资金安全是每一个网贷平台应当首先保障的,而保障资金安全的首要前提是保障网站的安全。

  P2P网站由于直接牵涉投资者的资金、个人信息、银行账户等信息,故其性比一般网站的漏洞更高。

  我们对部分P2P网站进行了抽样安全监测,目前发现有131家网站存在不同类型的安全漏洞。其中撞库(40%)、信息泄漏(24%)、后台地址(24%)是3个主要漏洞类型,严重危及网站的用户数据安全和资金安全。

  由于智能手机的普及,很多平台开发了自己的手机P2P理财应用,方便投资者随时随地投资理财;有的平台甚至只能在手机应用上使用充值、投资、提现。

  我们抽样审计了104款理财应用,约37%存在数据传输问题,8%的短信校验码在客户端校验,只有24%使用了加密传输,剩下31%由于部分平台倒闭跑或其他原因,无法访问服务器。

  104款应用中,有部分应用直接发送密码、支付密码,或者仅仅只是简单的base64编码一下。

  少部分应用中的手机短信验证码居然在客户端验证(HTTP回包中带有短信验证码),这样可以造成恶意注册,刷红包,修改任意用户的密码等严重问题。

  显而易见的风险存在于P2P手机应用中从农民到亿万富翁,正规P2P网贷平台对安全十分重视,那些小平台和诈骗平台根本没有实力、或者根本没花心思去提升网站安全性。以下是猎豹移动安全实验室对部分P2P类手机应用的分析结果:

  根据监测数据,2015年平均每月新增195家P2P理财钓鱼网站。这些网站周期较短,为了逃避拦截,通常会设置多个域名指向同一个IP地址。

  根据最近两月监测显示,P2P理财钓鱼网站的访问量呈锯齿状波动:其原因是P2P类钓鱼网站打一枪换一个地方,短短几天就完成建站上线--关站-建新站的循环。

  第一,诈骗平台的界面设计相对比较粗糙。很多诈骗平台基本是几千块钱购买一个模板,再租一个主机空间就上线了,并且通常IP地址位于境外。

  第四,平台活动不断,常见日标、秒标,但标的信息含糊其辞,如资金周转等。甚至虚构借款人信息,设立虚标。

  第五,诈骗平台基本没有第三方资金托管平台。投资者注册平台帐号后可以直接投资,不要求注册第三方支付机构帐号的,可确定是没有资金托管的。

  第八,平台涉及自融,如果平台资金被平台本身或股东挪作他用,那就是自融,涉嫌非法集资、诈骗等违法犯为。

  除了识别一个平台是否为问题平台,还要知道正规平台是如何运作的。像红岭创投、宜人贷、陆金所等大型正规网贷平台都会有严格的运作流程,用户的信息和资金安全都有充分保障。

  正规平台针对借款人会有严格的贷前审查,通过背景调查、借款用途调查以及个人信用风险评估等审核借款人提出的借贷需求,避免不良客户的欺诈风险。

  借款项目遇到逾期未归还借款的,平台会采取充分手段催促借款人还款,甚至采取法律手段。并且对投资者完全公开透明。

  如果投资者的投资的某笔借款出现严重逾期,平台应会通过风险准备金对投资者偿付本金和利息,分散投资者投资行为所带来的信用风险。

  正规平台从事业务应当是合规的,不进行拆标和虚标行为,每个借款项目都有的电子合同、财务抵押凭证等必须的文件文书。

  平台网站建设充分重视安全问题,通过加密连接、防火墙、二次验证等技术手段数据和信息的安全。并有严格的IT管理规范,防止出现人为的安全事故。

  P2P网贷是伴随“互联网+”兴起的新生行业,目前行业监管不明,P2P行业在全国处于生长阶段。由于P2P的特性,存在投资者分散,林园12只创富股票(3,平台不透明,资金监管缺失,借款人信息难以核实等问题,使得部分平台借机诈骗,卷款跑事件屡屡发生。另一方面,由于平台运营方对安全缺乏普遍的重视,网站的安全漏洞层出不穷,黑客造成的系统瘫痪、数据恶意、资金盗取等时有发生。

  对于网贷平台方,要充分重视用户信息和资金安全,及时修复网站和应用存在的各种安全漏洞,并且对资金进行第三方托管,黑客要及时联系警方处理,不能姑息和。

相关推荐