e租宝可靠吗
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
从e租宝被查看P2P网站应用安全 安全豹认证厂商2015-12-14共646558人围观 ,发现 39 个不明物体 其他网络安全
U12138P31DT20151204111246.jpg
有关e租宝公司被调查的新闻在微博、朋友圈被引爆刷屏,700多亿成交资金“打了水漂”,P2P再次成为金融业甚至经济领域的热门话题。许多人看中P2P理财的高收益,却忽视其中的风险。猎豹移动安全实验室监测发现,P2P网站已成钓鱼欺诈网站的重灾区,大量P2P手机理财软件也存在安全隐患。网民须小心选择P2P类理财产品。
P2P行业现状
P2P网贷在2007开始传入国内,2015年呈现爆发态势,成交规模已进入万亿元时代。由于行业监管未出台,P2P行业处于野蛮生长阶段,鱼龙混杂,平台上线和跑路司空见惯。
据统计,截止今年,纳入中国P2P网贷指数统计的网贷平台有超过2500家,其中问题平台近1000家。从全国范围内看:广东、山东的问题平台数量最多,数量分别达到了163家和198家。从平台性质来看,问题平台无一例外都是民营系的。
图1 截止11月全国各省正常平台和问题平台数量统计
问题平台中29%出现提现困难,56%的问题平台选择了跑路,有的平台跑路后甚至连公司员工都不知情。
图2 问题平台状态比例
一般来讲,P2P平台运营出现跑路的有两种,一种是经营不善出现资金链断裂的;还有一种是纯诈骗性质的网站,骗到投资者钱财后就立马关闭网站跑路。即使是今天正常运营的平台明天就有可能倒闭跑路,那么如何识别诈骗和即将跑路的平台呢?这就先要弄清楚它的诈骗流程。
P2P网站诈骗流程:
很多平台上线前期会以高利率为诱饵,发布大量虚假标的,通过虚假宣传、注册返利、秒标等形式,吸引普通投资者大量资金,资金到账后便卷款而逃。网站平台突然无法登陆,公司高管失踪,办公地点人去楼空。
也有部分网贷平台,宣称出现投资未按时收回,说是提现困难,让投资者继续投资支持平台。而在投资者交流群,会有一些人以低价收购无法提现的账号余额,业内称之为“收草”。而实际上,低价“收草”的人和欺诈平台是合谋诈骗。
图3 典型网贷诈骗流程图
诈骗手法:
P2P诈骗网站吸收资金一般有以下几种手法。
1、高利率吸引投资者资金:
一般的P2P网贷平台年化收益率在10%左右,而超过20%,甚至接近30%都是需要高度警惕。监测发现,有的平台网站赫然宣称有700%以上的收益率。
图4 诈骗平台通过极高利率吸引投资者
2、高回报加奖励
某台上项目的年化收益率普遍超过22%,同时平台给予投资者以3%-5%不等的投标奖励。部分存在投机和侥幸心理的投资者很快就上钩被套牢。
图5 高利率、高奖励的借款项目
3、设立虚标
伪造借款项目和虚构借款人信息,并标出可观的收益率,吸引缺乏风险意识的投资者。如下图:某平台的借款项目信息说明含糊其辞,项目图片一模一样,明显是虚标或拆标。
图6 虚标或拆标的项目
4、庞氏骗局
利用新投资者的资金来向老投资者支付利息和短期回报,制造一种高盈利的假象,进一步骗取更多投资者的投资。一旦平台没有持续的投资来源,整个资金链就会断裂,平台就会跑路。前段时间风靡朋友圈的“MMM金融互助社区”就是典型例子。
P2P网站的安全性
除了诈骗平台蓄意骗取投资者钱财之外,P2P网贷网站广泛存在安全漏洞,极易导致黑客攻击。资金安全是每一个网贷平台应当首先保障的,而保障资金安全的首要前提是保障网站的安全。
P2P网站由于直接牵涉投资者的资金、个人信息、银行账户等敏感信息,故其危险性比一般网站的漏洞更高。
图7 P2P平台存在的一些安全性问题
我们对部分P2P网站进行了抽样安全监测,目前发现有131家网站存在不同类型的安全漏洞。其中撞库攻击(40%)、信息泄漏(24%)、后台地址暴露(24%)是3个主要漏洞类型,严重危及网站的用户数据安全和资金安全。
图8 部分P2P网站漏洞类型分布
P2P应用的安全性
由于智能手机的普及,很多平台开发了自己的手机P2P理财应用,方便投资者随时随地投资理财;有的平台甚至只能在手机应用上使用充值、投资、提现。
我们抽样审计了104款理财应用,约37%存在数据明文传输问题,8%的短信校验码在客户端校验,只有24%使用了加密传输,剩下31%由于部分平台倒闭跑路或其他原因,无法访问服务器。
图9 P2P手机应用安全问题类型分布
●密码明文传输
104款应用中,有部分应用直接明文发送密码、支付密码,或者仅仅只是简单的base64编码一下。
图10 某P2P手机应用明文传输密码及金额
●短信验证码客户端校验
少部分应用中的手机短信验证码居然在客户端验证(HTTP回包中带有短信验证码),这样可以造成恶意注册,刷红包,修改任意用户的密码等严重问题。
图11 某P2P手机应用本地验证短信校验码
显而易见的风险存在于P2P手机应用中,正规P2P网贷平台对安全十分重视,那些小平台和诈骗平台根本没有实力、或者根本没花心思去提升网站安全性。以下是猎豹移动安全实验室对部分P2P类手机应用的分析结果:
以P2P网贷为噱头人钓鱼网站
根据监测数据,2015年平均每月新增195家P2P理财钓鱼网站。这些网站生存周期较短,为了逃避拦截,通常会设置多个域名指向同一个IP地址。
图12 2015年每月新增P2P理财钓鱼网站数量
根据最近两月监测显示,P2P理财钓鱼网站的访问量呈锯齿状波动:其原因是P2P类钓鱼网站打一枪换一个地方,短短几天就完成建站上线->欺骗->关站->建新站的循环。
图13 十月和十一月P2P理财钓鱼诈骗网站访问量
如何识别诈骗平台
知道了P2P的诈骗流程和手法,就可以识别一个平台是否为诈骗平台了,通常有以下几种方法。
第一,诈骗平台的界面设计相对比较粗糙。很多诈骗平台基本是几千块钱购买一个模板,再租一个主机空间就上线了,并且通常IP地址位于境外。
图14 套用同一个模板的理财诈骗网站
第二,宣传的收益率很高,甚至远远高于行业平均水平。
图15 诈骗网站高利率的虚假项目
第三,公司介绍造假,备案和注册信息造假,办公地址较为偏远,甚至根本不存在。
图16 某P2P曝光群曝光的某诈骗平台的虚假注册信息
第四,平台活动不断,常见日标、秒标,但标的信息含糊其辞,如资金周转等。甚至虚构借款人信息,设立虚标。
第五,诈骗平台基本没有第三方资金托管平台。投资者注册平台帐号后可以直接投资,不要求注册第三方支付机构帐号的,可确定是没有资金托管的。
第六,平台负责人曾有过失信记录,可登录最高人民法院网站(shixin.court.gov.cn)查询。
第七,平台业务是否公开透明,过往业务记录是否可查询调阅。
第八,平台涉及自融,如果平台资金被平台本身或股东挪作他用,那就是自融,涉嫌非法集资、诈骗等违法犯罪行为。
真实案例
11月23日,宏量财富将网站 www.hongliangcf.com 关闭, 并把群里的一千多用户踢得一干二净。
这家名为宏量资产管理有限公司的平台,成立时间不足三个月。该公司各种注册和资质手续均齐备,且网站也有ICP备案。注册资金为两千万元。
据受害者称,10月份时,经过各项考察,认为平台可信,于10月23日在平台投资1万元,随后被告知该平台三名高管于11月23日凌晨跑路,大概有十几个投资者以及公司10名员工均被蒙在鼓里。据该平台同为受害者的客服主管说,至少有4000投资者,涉及金额高达2400万以上。
图17 宏量财富跑路爆料帖
即使是实地考察过的,平台有正规备案的也可能因为经营不善,资金链断裂而跑路;部分平台在经营正常的情况下,负责人也可能由于贪婪而卷款跑路,甚至连平台自身工作人员都不知情。目前宏量财富的受害者们已经建立维权群并报案。
正规平台运作流程
除了识别一个平台是否为问题平台,还要知道正规平台是如何运作的。像红岭创投、宜人贷、陆金所等大型正规网贷平台都会有严格的运作流程,用户的信息和资金安全都有充分保障。
1、严格的贷前审核
正规平台针对借款人会有严格的贷前审查,通过背景调查、借款用途调查以及个人信用风险评估等审核借款人提出的借贷需求,避免不良客户的欺诈风险。
2、完善的贷后管理
借款项目遇到逾期未归还借款的,平台会采取充分手段催促借款人还款,甚至采取法律手段。并且对投资者完全公开透明。
3、充分的风险准备金
如果投资者的投资的某笔借款出现严重逾期,平台应会通过风险准备金对投资者偿付本金和利息,分散投资者投资行为所带来的信用风险。
4、完善的法律和政策保障
正规平台从事业务应当是合法合规的,不进行拆标和虚标行为,每个借款项目都有合法的电子合同、财务抵押凭证等必须的文件文书。
5、第三方资金托管和担保
正规平台采取和第三方合作托管用户资金,不私设资金池。严格规范资金管理,并有第三方担保交易。
6、重视平台自身和用户信息的安全
平台网站建设充分重视安全问题,通过加密连接、防火墙、二次验证等技术手段保证数据和信息的安全。并有严格的IT管理规范,防止出现人为的安全事故。
结语
P2P网贷是伴随“互联网+”兴起的新生行业,目前行业监管不明,P2P行业在全国处于野蛮生长阶段。由于P2P的特性,存在投资者分散,平台不透明,资金监管缺失,借款人信息难以核实等问题,使得部分平台借机诈骗敛财,卷款跑路事件屡屡发生。另一方面,由于平台运营方对安全缺乏普遍的重视,网站的安全漏洞层出不穷,黑客攻击造成的系统瘫痪、数据恶意篡改、资金盗取等时有发生。
对于投资者而言,面对高利率和高回报要保持理性,认真考察评估平台的真实性、安全性、专业性以及可持续性,选择可靠平台并分散投资。随时关注平台及借贷项目的最新情况,保存充值记录、借贷项目合同、客服记录等证据,方便及时维权。
对于网贷平台方,要充分重视用户信息和资金安全,及时修复网站和应用存在的各种安全漏洞,并且对资金进行第三方托管,遭遇黑客攻击要及时联系警方处理,不能姑息和纵容。
*作者:渔村安全(企业账号),转自须注明来自FreeBuf黑客与极客(FreeBuf.COM)
安全豹
安全豹
32 篇文章
等级: 6级
||
上一篇:专访腾讯应急响应中心TSRC:“国内最早SRC” 的前世今生下一篇:Braviax与Fakerean的家族木马编年史
这些评论亮了
H2nn4p 回复
你赚的是别人的利息,人家赚的是你的本金.
)11(亮了
孜孜不倦 回复
楼主分析的给力~
)9(亮了
道极 (1级)回复
不得不说猎豹的研究是很靠前的,始终第一时间关注个人安全
)9(亮了
test 回复
那个第5条:平台有国资担保公司担保, 这个怎么解决?
)9(亮了
浆泥 回复
好好的一个行业就被这些人玩坏了
)8(亮了
发表评论已有 39 条评论
潇洒哥不爱吃肉 2015-12-14回复 1楼
沙发,板凳. 围观评论
亮了(7)
dbsnowwolf (1级) 2015-12-14回复 2楼
贪小便宜吃大亏啊,还是大厂商的好点,起码有信用背书
亮了(7)
dsb2468 (2级) 你居然会看这里,呵呵 2015-12-14回复 3楼
互联网金融是目前的热点。。。不过就目前的安全形势来看,无论是软件安全还是P2P本身,都存在很大一部分圈钱的企业啊。。。囧
亮了(7)
bingghost (1级) 2015-12-14回复 4楼
p2p收益虽高 但风险不小 投资需谨慎 入手有风险 不然就一买回到了解放前
亮了(7)
强行装逼 2015-12-14回复 5楼
bingghost (1级) 2015-12-14回复 4楼
p2p收益虽高 但风险不小 投资需谨慎 入手有风险 不然就一买回到了解放前
亮了(7)
辣条5毛一包 2015-12-14回复 6楼
投资需谨慎 入手有风险
亮了(7)
强行装逼 2015-12-14回复 7楼
p2p有风险,入坑需谨慎
亮了(7)
Mercury (1级) 2015-12-14回复 8楼
你看中的是利息,人家看中的是你的本金。
亮了(7)
bingghost (1级) 2015-12-14回复 9楼
p2p不安全, 好害怕。
亮了(8)
水缘泡泡 2015-12-14回复 10楼
在网络的飞速发展的同时,也给整个社会带来了不安全,一定要净化网络空间,不给违法犯罪分子可乘之机。
亮了(7)
马克西姆 2015-12-14回复 11楼
多说两句吧,纯属虚构哈:
e租宝的总公司钰诚集团为什么要在缅甸金三角腹地佤邦这种国际三不管地区成立东南亚联合银行,然后把从民间搞集资诈骗,从银行搞贷款诈骗来的大部分资金约600多亿转移投入其中?
金三角私人武装横行,既没有制造业、高新技术产业,也没有房地产业和大中型商业,只有每年产量占全球七成的毒品以及大大小小的赌场。而且从今年九月开始,这家公司已经开始秘密雇佣退伍军人去缅甸金三角当雇佣军分队长。
钰诚实际控制人丁宁,大专退学,在安徽蚌埠那种小地方,短时间内迅速崛起,事情哪有这么简单!
亮了(7)
hahalab 2015-12-14回复 12楼
表示见过丁宁一面,感觉很故作玄虚的一个人,比如人民武装部其实就是民兵嘛。。。弄的自己真跟军方一样,大概意思围绕几个中心,老子有钱有权有人,价格你出的起我给的起。。。。
亮了(7)
马克西姆 2015-12-14回复
@ hahalab
亮了(7)
yyy3333 2015-12-14回复 13楼
11月23日,宏量财富将网站 www.hongliangcf.com 关闭, 并把群里的一千多用户踢得一干二净。 ………………..要一个一个踢吗?直接解散群不好吗?
亮了(7)
啦一个哩 2015-12-14回复 14楼
P2P网贷行业是有点乱,应当源头治理、打防并举,必将收到良效果
亮了(8)
WWYY85 2015-12-14回复 15楼
泪]我是来自福建泉州,是E租宝的投资者。让我们所有投资者团结起来~让官方尽快对于我们的血汗钱给个说法吧~泪泪泪再这么继续没有任何官方消息,就真快撑不下去了~泪
亮了(7)
采花大盗夜郎君 2015-12-14回复 16楼
这个得赞
亮了(7)
孜孜不倦 2015-12-15回复 17楼
楼主分析的给力~
亮了(9)
道极 (1级) 2015-12-15回复 18楼
不得不说猎豹的研究是很靠前的,始终第一时间关注个人安全
亮了(9)
test 2015-12-15回复 19楼
那个第5条:平台有国资担保公司担保, 这个怎么解决?
亮了(9)
H2nn4p 2015-12-15回复 20楼
你赚的是别人的利息,人家赚的是你的本金.
亮了(11)
浆泥 2015-12-15回复 21楼
好好的一个行业就被这些人玩坏了
亮了(8)
he1en 2015-12-15回复 22楼
不说其他的 无法注册和连接不上服务器也能算是安全问题?????
亮了(7)
MEIAM 2015-12-22回复
@ he1en 资金安全问题不算安全问题么?? 其实 P2P 这些东西忽悠不了你们这些大黑阔。都不缺智商。
亮了(7)
bugone (1级) 2015-12-15回复 23楼
带着几百亿逃到金三角了,早有预谋啊
亮了(7)
windhawk (3级) 人,既无虎狼之爪牙,亦无狮象之力量,却能擒狼缚虎,驯狮猎象,... 2015-12-16回复 24楼
民营P2P投资还是要非常谨慎 投的话资金一定不能多 大额资金还是在银行基金理财吧~~
亮了(5)
Fiend520 (7级) 2015-12-18回复 25楼
惊悚
亮了(5)
金统贷理财 2015-12-22回复 26楼
默默说……我们的平台靠谱,还会有人信吗……
亮了(5)
nyhsjc (1级) 2015-12-22回复 27楼
贪小便宜吃大亏啊,天上掉馅饼怎么可能
亮了(4)
被时间打败的爱情_834 2015-12-24回复 28楼
坚决遏制网上非法投资活动的蔓延。保障人民的合法权益!
亮了(1)
灵怜兵荒马乱 2016-01-11回复 29楼
崛起的中国在加强治理网络犯罪了,犯罪分子要格外小心了。坑害老百姓的事情不能做,支持公安打击网络违法犯罪行为。
亮了(1)
春幼表里相符 2016-01-11回复 30楼
加强网络监管是必然趋势。保障国家正常的经济程序,打击网上非法运营软件蔓延的势头!保护群众合法利益。
亮了(2)
为什么出太阳 2016-01-13回复 31楼
投资市场该好好整顿一下了!!做生意就要在规则内做,就像做人要做诚信的人一样
亮了(1)
一个破扣扣 2016-01-12回复 32楼
严格投资准入机制是非常必要的。支持依法查处违法经营,还社会公平环境。
亮了(1)
迷人蜘蛛网 2016-01-12回复 33楼
e租宝是投资市场的个案,要以此为戒~~提高警惕,不可盲目跟风,支持警方调查。
亮了(1)
isu1228 2016-01-12回复 34楼
别让老百姓既丢了钱又伤了心。为国家营造一个和平、稳定的环境
亮了(2)
我能选什么名字嘛 2016-01-12回复 35楼
投资市场该好好整顿一下了!!非法融资,短时间内成交金额巨大,是应该好好查查,维护我们的权益
亮了(1)
接近森山大道 2016-01-12回复 36楼
真他妈象
亮了(1)
螳螂高原_70171 2016-01-12回复 37楼
e租宝是投资市场的个案,要以此为戒~~网恢恢疏而不漏,不要抱有侥幸心理,做了违法的事就要承担责任。
亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆?注册邮箱
请输入邮箱地址
必须(保密)表情插图
有人回复时邮件通知我
安全豹
安全豹认证厂商
珠海猎豹团队官方账号
32
文章数
3
评论数
最近文章
投资理财的那些坑,你踩过几个?
2018.10.29
投资理财的那些坑,你踩过几个?
2018.10.22
回顾电信诈骗的前世今生
2018.10.19
浏览更多
相关阅读
预告 | FreeBuf发布黑镜调查:深渊背后的真相之「薅羊毛产业」报告2016中国电脑恶意程序伪装与欺骗性研究报告阿里移动发布2015第三季度安全报告FreeBuf年终策划:2014年互联网安全厂商年终报告汇总(国内版)深度报告 | 揭秘朝鲜黑客组织Lazarus Group对加密货币的窃取手段
特别推荐
关注我们 分享每日精选文章
活动预告
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月
【16课时-连载中】挖掘CVE不是梦(系列课程2)
已结束
10月
【首节课仅需1元】挖掘CVE不是梦
已结束
9月
【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank
文章评论