从e租宝被查看P2P网站应用安全
Date: 2015-12-18

有关e租宝公司被调查的新闻在微博、朋友圈被引爆刷屏,700多亿成交资金“打了水漂”,P2P再次成为金融业甚至经济领域的热门话题。许多人看中P2P理财的高收益,却忽视其中的风险。猎豹移动安全实验室监测发现,P2P网站已成钓鱼欺诈网站的重灾区,大量P2P手机理财软件也存在安全隐患。网民须小心选择P2P类理财产品。

P2P行业现状
 
P2P网贷在2007开始传入国内,2015年呈现爆发态势,成交规模已进入万亿元时代。由于行业监管未出台,P2P行业处于野蛮生长阶段,鱼龙混杂,平台上线和跑路司空见惯。
 
据统计,截止今年,纳入中国P2P网贷指数统计的网贷平台有超过2500家,其中问题平台近1000家。从全国范围内看:广东、山东的问题平台数量最多,数量分别达到了163家和198家。从平台性质来看,问题平台无一例外都是民营系的。e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
 
e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
 
\"1.jpg\"
 
图1 截止11月全国各省正常平台和问题平台数量统计
 
问题平台中29%出现提现困难,56%的问题平台选择了跑路,有的平台跑路后甚至连公司员工都不知情。
 
e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
 
\"2.jpg\"
 
图2 问题平台状态比例
 
一般来讲,P2P平台运营出现跑路的有两种,一种是经营不善出现资金链断裂的;还有一种是纯诈骗性质的网站,骗到投资者钱财后就立马关闭网站跑路。即使是今天正常运营的平台明天就有可能倒闭跑路,那么如何识别诈骗和即将跑路的平台呢?这就先要弄清楚它的诈骗流程。
 
P2P网站诈骗流程:
 
很多平台上线前期会以高利率为诱饵,发布大量虚假标的,通过虚假宣传、注册返利、秒标等形式,吸引普通投资者大量资金,资金到账后便卷款而逃。网站平台突然无法登陆,公司高管失踪,办公地点人去楼空。
 
也有部分网贷平台,宣称出现投资未按时收回,说是提现困难,让投资者继续投资支持平台。而在投资者交流群,会有一些人以低价收购无法提现的账号余额,业内称之为“收草”。而实际上,低价“收草”的人和欺诈平台是合谋诈骗。
 
e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
 
\"3.jpg\"

图3 典型网贷诈骗流程图
 
诈骗手法:
 
P2P诈骗网站吸收资金一般有以下几种手法。
 
1、高利率吸引投资者资金:
 
一般的P2P网贷平台年化收益率在10%左右,而超过20%,甚至接近30%都是需要高度警惕。监测发现,有的平台网站赫然宣称有700%以上的收益率。
 
e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
 
 \"1.jpg\"

图4 诈骗平台通过极高利率吸引投资者
 
2、高回报加奖励
 
某台上项目的年化收益率普遍超过22%,同时平台给予投资者以3%-5%不等的投标奖励。部分存在投机和侥幸心理的投资者很快就上钩被套牢。
 
e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
\"1.jpg\" 

图5 高利率、高奖励的借款项目
 
3、设立虚标
 
伪造借款项目和虚构借款人信息,并标出可观的收益率,吸引缺乏风险意识的投资者。如下图:某平台的借款项目信息说明含糊其辞,项目图片一模一样,明显是虚标或拆标。
 
e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
 
\"2.jpg\"

图6 虚标或拆标的项目
 
4、庞氏骗局
 
利用新投资者的资金来向老投资者支付利息和短期回报,制造一种高盈利的假象,进一步骗取更多投资者的投资。一旦平台没有持续的投资来源,整个资金链就会断裂,平台就会跑路。前段时间风靡朋友圈的“MMM金融互助社区”就是典型例子。
 
P2P网站的安全性
 
除了诈骗平台蓄意骗取投资者钱财之外,P2P网贷网站广泛存在安全漏洞,极易导致黑客攻击。资金安全是每一个网贷平台应当首先保障的,而保障资金安全的首要前提是保障网站的安全。
 
P2P网站由于直接牵涉投资者的资金、个人信息、银行账户等敏感信息,故其危险性比一般网站的漏洞更高。
 
e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
 
\"3.jpg\"
 
图7 P2P平台存在的一些安全性问题
 
我们对部分P2P网站进行了抽样安全监测,目前发现有131家网站存在不同类型的安全漏洞。其中撞库攻击(40%)、信息泄漏(24%)、后台地址暴露(24%)是3个主要漏洞类型,严重危及网站的用户数据安全和资金安全。
 
e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
 
\"4.jpg\"

图8 部分P2P网站漏洞类型分布
 
P2P应用的安全性
 
由于智能手机的普及,很多平台开发了自己的手机P2P理财应用,方便投资者随时随地投资理财;有的平台甚至只能在手机应用上使用充值、投资、提现。
 
我们抽样审计了104款理财应用,约37%存在数据明文传输问题,8%的短信校验码在客户端校验,只有24%使用了加密传输,剩下31%由于部分平台倒闭跑路或其他原因,无法访问服务器。
 
e租宝被查 e租宝理财安全吗 e租宝最新消息 P2P网站 网站安全
 
\"5.jpg\"
 
图9 P2P手机应用安全问题类型分布
 
●密码明文传输
 
104款应用中,有部分应用直接明文发送密码、支付密码,或者仅仅只是简单的base64编码一下。
 
 \"1.jpg\"
 
图10 某P2P手机应用明文传输密码及金额
 
●短信验证码客户端校验
 
少部分应用中的手机短信验证码居然在客户端验证(HTTP回包中带有短信验证码),这样可以造成恶意注册,刷红包,修改任意用户的密码等严重问题。
 
 \"2.jpg\"
 
图11 某P2P手机应用本地验证短信校验码
 
显而易见的风险存在于P2P手机应用中,正规P2P网贷平台对安全十分重视,那些小平台和诈骗平台根本没有实力、或者根本没花心思去提升网站安全性。以下是猎豹移动安全实验室对部分P2P类手机应用的分析结果:
 
联系我们

深圳市中网互联网络科技开发有限公司

地址:深圳市南山区创业路怡海广场东座12楼

Add: 12 / F, east block, Yihai Plaza, Chuangye Road, Nanshan District, Shenzhen

Tel: 0755-26645511

Email: sales01@30c.cn