本文讲的是林鹏:解析P2P金融安全风险,说到P2P,就不得不说互联网金融。P2P简而言之,就是从网上借钱,把投资者和借贷者拉在一起,这也是P2P的初衷。互联网金融其实就是互联网+金融,互联网金融的风险其实等于互联网的风险与金融的风险的简单相加。互联网的风险包括DDoS、黑客入侵,是传统意义上的风险;金融风险包括盗号,以及其他与金融市场、产品、机构等相关的风险。
在7月17日--18日举行的乌云白帽子大会上,万达电商安全主任工程师林鹏对P2P的日常安全和业务方向的安全进行了解析。
P2P行业最高的漏洞是业务方面。P2P普遍薪资较高,但同时又是一个新兴行业,账号的密码重置问题很容易被程序员忽略。此外,平行越权问题也很严重,这其中有几个漏洞值得去关注。一个是Github,程序员喜欢把代码放在上面,这样导致的信息泄漏事件很多;第二个是边界和集团问题,很多P2P公司要依附在一些集团下面,但有些集团是传统行业,传统行业对于安全的等级比较低,所以有时候P2P行业自己本身做的好,但是由于集团的安全能力非常弱,导致P2P的安全能力也不高;第三个是DDoS,一般P2P或者互联网金融公司的带宽非常低,像DDoS这种流量攻击一打击就跨了。
林鹏把P2P安全行业解析分成几个步骤:第一个步骤是羊毛党,即在P2P里面搜一个关键字羊毛,会搜索很多羊毛党的东西。比如网信理财为了让很多P2P公司注册,扩大用户的注册量,会有很多返利产品,团队分工还极其明确。第二个步骤是自给自足,他们的信息来源一是打码平台,可以通过一大堆手机和码来实现信息收集,另一个方法是拿到身份证信息后直接去银行获得更具体的信息,再有就是里外勾结,银行和打码平台勾结。
相应地也有应对的方法:
针对羊毛党,第一增加他们的投资难度,也就是返现难度。因为羊毛党怕被平台反雇,所以让他们投一笔钱之后就会发现很明显羊毛党的数量变少。第二就是减少羊毛党的利润,比如以前返现十块钱,现在只返五元。还有一个方法是人工识别,有一些用户是真的用户,他的行为就是一个正常用户的特征,这时只能用客服来解决。
针对自给自足收集信息者,可采取绑卡的方式,身份证号扫公安部的接口,用银行卡验证。比如说某人的身份证号通过了,身份证号注册的时候也通过了,我绑定的银行卡是不是本人,这个时候可以应用四要素验证——身份证、银行卡、手机号、姓名,或者指定一张卡往里面打钱,但是不能防止用户套现,因为他是真实用户。还有就是支付和体现,支付最简单的就是支付漏洞,资金闭环,资金的走向问题。P2P行业或者金融行业有个天然屏障,天然屏障就是用户的银行卡是同款同出。所以P2P真正的用户进行理财,基本绑卡必须通过验证。
最后一个就是购买理财。从男女比例来看,基本男性为主,女性为辅。在交易期间,基本晚上6点开始交易高峰。以微信传播和新浪微博的传播比例来看,可以看到微信圈里面的P2P广告,但是新浪微博很少,基本看不到P2P。还有一个是股票比较多,表明着投资人的关键所在。
作者:宁飞虹
来源:IT168
原文标题:林鹏:解析P2P金融安全风险
