有關e租寶公司被調查的新聞在微博、朋友圈被引爆刷屏。許多人看中P2P理財的高收益,卻忽視其中的風險。獵豹移動安全實驗室監測發現,P2P網站已成釣魚欺詐網站的重災區,大量P2P手機理財軟件也存在安全隱患。網民須小心選擇P2P類理財產品。
P2P行業現狀
P2P網貸在2007開始傳入國內,2015年呈現爆發態勢,成交規模已進入萬億元時代。由于行業監管未出臺,P2P行業處于野蠻生長階段,魚龍混雜,平臺上線和跑路司空見慣。
據統計,截止今年,納入中國P2P網貸指數統計的網貸平臺有超過2500家,其中問題平臺近1000家。從全國范圍內看:廣東、山東的問題平臺數量最多,數量分別達到了163家和198家。從平臺性質來看,問題平臺無一例外都是民營系的。
截止11月全國各省正常平臺和問題平臺數量統計
問題平臺中29%出現提現困難,56%的問題平臺選擇了跑路,有的平臺跑路后甚至連公司員工都不知情。
問題平臺狀態比例
一般來講,P2P平臺運營出現跑路的有兩種,一種是經營不善出現資金鏈斷裂的;還有一種是純詐騙性質的網站,騙到投資者錢財后就立馬關閉網站跑路。即使是今天正常運營的平臺明天就有可能倒閉跑路,那么如何識別詐騙和即將跑路的平臺呢?這就先要弄清楚它的詐騙流程。
P2P網站詐騙流程:
很多平臺上線前期會以高利率為誘餌,發布大量虛假標的,通過虛假宣傳、注冊返利、秒標等形式,吸引普通投資者大量資金,資金到賬后便后卷款而逃。網站平臺突然無法登陸,公司高管失蹤,辦公地點人去樓空。
也有部分網貸平臺,宣稱出現投資未按時收回,說是提現困難,讓投資者繼續投資支持平臺。而在投資者交流群,會有一些人以低價收購無法提現的賬號余額,業內稱之為“收草”。而實際上,低價“收草”的人和欺詐平臺是合謀詐騙。
典型網貸詐騙流程圖
詐騙手法:
P2P詐騙網站吸收資金一般有以下幾種手法。
1、高利率吸引投資者資金:
一般的P2P網貸平臺年化收益率在10%左右,而超過20%,甚至接近30%都是需要高度警惕,監測發現,有的平臺網站赫然宣稱有700%以上的收益率。
詐騙平臺通過極高利率吸引投資者
2、高回報加獎勵
某臺上項目的年化收益率普遍超過22%,同時平臺給予投資者以3%-5%不等的投標獎勵。部分存在投機和僥幸心理的投資者很快就上鉤被套牢。
高利率、高獎勵的借款項目
3、設立虛標
偽造借款項目和虛構借款人信息,并標出可觀的收益率,吸引缺乏風險意識的投資者。如下圖:某平臺的借款項目信息說明含糊其辭,項目圖片一模一樣,明顯是虛標或拆標。
虛標或拆標的項目
4、龐氏騙局
利用新投資者的資金來向老投資者支付利息和短期回報,制造一種高盈利的假象,進一步騙取更多投資者的投資。一旦平臺沒有持續的投資來源,整個資金鏈就會斷裂,平臺就會跑路。前段時間風靡朋友圈的“MMM金融互助社區”就是典型例子。
P2P網站的安全性
除了詐騙平臺蓄意騙取投資者錢財之外,P2P網貸網站廣泛存在安全漏洞,極易導致黑客攻擊。資金安全是每一個網貸平臺應當首先保障的,而保障資金安全的首要前提是保障網站的安全。
P2P網站由于直接牽涉投資者的資金、個人信息、銀行賬戶等敏感信息,故其危險性比一般網站的漏洞更高。
P2P平臺存在的一些安全性問題
我們對部分P2P網站進行了抽樣安全監測,目前發現有131家網站存在不同類型的安全漏洞。其中撞庫攻擊(40%)、信息泄漏(24%)、后臺地址暴露(24%)是3個主要漏洞類型,嚴重危及網站的用戶數據安全和資金安全。
部分P2P網站漏洞類型分布
P2P應用的安全性
由于智能手機的普及,很多平臺開發了自己的手機P2P理財應用,方便投資者隨時隨地投資理財;有的平臺甚至只能在手機應用上使用充值、投資、提現。
我們抽樣審計了104款理財應用,約37%存在數據明文傳輸問題,8%的短信校驗碼在客戶端校驗,只有24%使用了加密傳輸,剩下31%由于部分平臺倒閉跑路或其他原因,無法訪問服務器。
P2P手機應用安全問題類型分布
●密碼明文傳輸
104款應用中,有部分應用直接明文發送密碼、支付密碼,或者僅僅只是簡單的base64編碼一下。
某P2P手機應用明文傳輸密碼及金額
●短信驗證碼客戶端校驗
少部分應用中的手機短信驗證碼居然在客戶端驗證(HTTP回包中帶有短信驗證碼),這樣可以造成惡意注冊,刷紅包,修改任意用戶的密碼等嚴重問題。
某P2P手機應用本地驗證短信校驗碼
顯而易見的風險存在于P2P手機應用中,正規P2P網貸平臺對安全十分重視,那些小平臺和詐騙平臺根本沒有實力、或者根本沒花心思去提升網站安全性。以下是獵豹移動安全實驗室對部分P2P類手機應用的分析結果:
|
APP產品名 |
安全問題 |
|
愛貸網理財 |
明文傳輸 |
|
互貸網理財 |
明文上報 |
|
合信 |
明文傳輸 |
|
合盤貸 |
明文傳輸 |
|
漢金所 |
明文密碼 |
|
國誠金融 |
明文傳輸 |
|
眾可貸 |
明文傳輸 |
|
財加網 |
密碼MD5加密,短信驗證碼客戶端校驗 |
|
得利寶 |
明文密碼 |
|
道口貸 |
明文密碼,短信驗證碼客戶端校驗 |
|
勵國理財 |
明文密碼 |
|
力帆善融 |
明文密碼,短信驗證碼客戶端校驗。 |
|
聚誠財富 |
明文密碼 |
|
兢業貸 |
明文密碼 |
|
卓安e貸 |
明文密碼 |
|
中金貸 |
明文密碼 |
|
銀票網 |
明文密碼 |
|
鑫合匯理財 |
明文密碼 |
|
小油菜理財 |
明文密碼 |
|
三益寶 |
明文密碼 |
|
融貝網 |
明文密碼 |
|
錢內助 |
明文發送登錄密碼,身份證信息明文 |
|
票據客 |
明文傳輸,個人信息驗證明文,支付明文 |
|
胖胖豬 |
明文密碼,短信驗證碼客戶端校驗 |
|
理財樂錢包 |
base64編碼密碼 |
|
騎士貸 |
APK無法下載 |
|
寧創金融 |
app無法下載(http://www.0086cf.com/app/index.html) |
|
你我貸理財 |
app無法下載 |
|
智信創富 |
app無法下載 |
|
芝麻金融 |
總是返回服務器太忙 |
|
攜銀理財 |
無法運行 |
|
溫商貸理財 |
app崩潰 |
|
蘇融貸 |
無法注冊 |
|
拍拍貸 |
連接不上服務器 |
|
諾諾鎊客理財 |
連接不上服務器 |
|
麻袋理財 |
連接不上服務器 |
|
鏈家理財 |
無法注冊 |
|
九斗魚 |
總是返回服務器太忙 |
|
金聯儲 |
無法注冊 |
|
黃河金融 |
無法注冊 |
|
短融網 |
無法注冊 |
|
城城理財 |
無法注冊 |
|
誠投在線 |
無法注冊 |
|
愛利是 |
無法注冊 |
以P2P網貸為噱頭人釣魚網站
根據監測數據,2015年平均每月新增195家P2P理財釣魚網站。這些網站生存周期較短,為了逃避攔截,通常會設置多個域名指向同一個IP地址。
2015年每月新增P2P理財釣魚網站數量
根據最近兩月監測顯示,P2P理財釣魚網站的訪問量呈鋸齒狀波動:其原因是P2P類釣魚網站打一槍換一個地方,短短幾天就完成建站上線->欺騙->關站->建新站的循環。
十月和十一月P2P理財釣魚詐騙網站訪問量
如何識別詐騙平臺
知道了P2P的詐騙流程和手法,就可以識別一個平臺是否為詐騙平臺了,通常有以下幾種方法。
第一,詐騙平臺的界面設計相對比較粗糙。很多詐騙平臺基本是幾千塊錢購買一個模板,再租一個主機空間就上線了,并且通常IP地址位于境外。
套用同一個模板的理財詐騙網站
第二,宣傳的收益率很高,甚至遠遠高于行業平均水平。
詐騙網站高利率的虛假項目
第三,公司介紹造假,備案和注冊信息造假,辦公地址較為偏遠,甚至根本不存在。
某P2P曝光群曝光的某詐騙平臺的虛假注冊信息
第四,平臺活動不斷,常見日標、秒標,但標的信息含糊其辭,如資金周轉等。甚至虛構借款人信息,設立虛標。
第五,詐騙平臺基本沒有第三方資金托管平臺。投資者注冊平臺帳號后可以直接投資,不要求注冊第三方支付機構帳號的,可確定是沒有資金托管的。
第六,平臺負責人曾有過失信記錄,可登錄最高人民法院網站(shixin.court.gov.cn)查詢。
第七,平臺業務是否公開透明,過往業務記錄是否可查詢調閱。
第八,平臺涉及自融,如果平臺資金被平臺本身或股東挪作他用,那就是自融,涉嫌非法集資、詐騙等違法犯罪行為。
真實案例
11月23日,宏量財富將網站www.hongliangcf.com關閉,并把群里的一千多用戶踢得一干二凈。
這家名為宏量資產管理有限公司的平臺,成立時間不足三個月。該公司各種注冊和資質手續均齊備,且網站也有ICP備案。注冊資金為兩千萬元。
據受害者稱,10月份時,經過各項考察,認為平臺可信,于10月23日在平臺投資1萬元,隨后被告知該平臺三名高管于11月23日凌晨跑路,大概有十幾個投資者以及公司10名員工均被蒙在鼓里。據該平臺同為受害者的客服主管說,至少有4000投資者,涉及金額高達2400萬以上。
宏量財富跑路爆料帖
即使是實地考察過的,平臺有正規備案的也可能因為經營不善,資金鏈斷裂而跑路;部分平臺在經營正常的情況下,負責人也可能由于貪婪而卷款跑路,甚至連平臺自身工作人員都不知情。目前宏量財富的受害者們已經建立維權群并報案。
正規平臺運作流程
除了識別一個平臺是否為問題平臺,還要知道正規平臺是如何運作的。像紅嶺創投、宜人貸、陸金所等大型正規網貸平臺都會有嚴格的運作流程,用戶的信息和資金安全都有充分保障。
1、嚴格的貸前審核
正規平臺針對借款人會有嚴格的貸前審查,通過背景調查、借款用途調查以及個人信用風險評估等審核借款人提出的借貸需求,避免不良客戶的欺詐風險。
2、完善的貸后管理
借款項目遇到逾期未歸還借款的,平臺會采取充分手段催促借款人還款,甚至采取法律手段。并且對投資者完全公開透明。
3、充分的風險準備金
如果投資者的投資的某筆借款出現嚴重逾期,平臺應會通過風險準備金對投資者償付本金和利息,分散投資者投資行為所帶來的信用風險。
4、完善的法律和政策保障
正規平臺從事業務應當是合法合規的,不進行拆標和虛標行為,每個借款項目都有合法的電子合同、財務抵押憑證等必須的文件文書。
5、第三方資金托管和擔保
正規平臺采取和第三方合作托管用戶資金,不私設資金池。嚴格規范資金管理,并有第三方擔保交易。
6、重視平臺自身和用戶信息的安全
平臺網站建設充分重視安全問題,通過加密連接、防火墻、二次驗證等技術手段保證數據和信息的安全。并有嚴格的IT管理規范,防止出現人為的安全事故。
結語
P2P網貸是伴隨“互聯網+”興起的新生行業,目前行業監管不明,P2P行業在全國處于野蠻生長階段。由于P2P的特性,存在投資者分散,平臺不透明,資金監管缺失,借款人信息難以核實等問題,使得部分平臺借機詐騙斂財,卷款跑路事件屢屢發生。另一方面,由于平臺運營方對安全缺乏普遍的重視,網站的安全漏洞層出不窮,黑客攻擊造成的系統癱瘓、數據惡意篡改、資金盜取等時有發生。
對于投資者而言,面對高利率和高回報要保持理性,認真考察評估平臺的真實性、安全性、專業性以及可持續性,選擇可靠平臺并分散投資。隨時關注平臺及借貸項目的最新情況,保存充值記錄、借貸項目合同、客服記錄等證據,方便及時維權。
對于網貸平臺方,要充分重視用戶信息和資金安全,及時修復網站和應用存在的各種安全漏洞,并且對資金進行第三方托管,遭遇黑客攻擊要及時聯系警方處理,不能姑息和縱容。
推薦閱讀
12月14日,在TCL&樂視投資暨戰略合作發布會,TCL董事長李東生和樂視董事長賈躍亭雙雙亮相,首度對外解密雙方資本暨及戰略合作的內幕。 此前,12月11日晚間,T>>>詳細閱讀
本文標題:P2P網站應用安全報告
地址:http://www.brh9h.cn/a/guandian/yejie/298521.html
網友點評
精彩導讀
科技快報
品牌展示