數十家平臺死于黑客,是息事寧人還是絕地反擊?金融
近日,上海警方偵破了一起特大網絡盜竊案,某理財APP遭到黑客攻擊,半天時間即被非法提現1056萬元。據媒體報道,該理財APP為諾諾鎊客。
但這僅是冰山一角。
前幾年,網貸平臺井噴式發展,龐大的資金交易額讓不法分子垂涎三尺。
2014年,人人貸、拍拍貸同一天遭遇了黑客的攻擊,這樣的事情在行業內屢見不鮮,只是更多平臺選擇了息事寧人。
據數據披露,2016年,黑客攻擊導致中國互金行業損失超過200億元。
這是一場沒有硝煙的博弈,沒有平臺能幸免。有平臺高管也對觀察君表示,息事寧人只會助長貪欲,在這場與黑客的博弈中,只有反擊才能使自己更強大。
- 黑客天堂 -
數據顯示,截止2017年2月28日,互聯網金融平臺累計資金規模超過55萬億,近4個月活躍用戶超6.59億。
龐大的數據和資金交易額,這里,無疑成了黑客展示技術的聚集地、獲取利益的天堂。
2016年,互金行業平均每周發生安全事件12. 4萬次,據亞洲反黑客組織披露,黑客攻擊導致中國互金行業損失超過200億元。
平臺之于黑客,如蒼蠅見血,他們癱瘓系統、篡改數據、洗劫資金,多家平臺因黑客事件倒閉。
平臺一刻也不能松懈,稍不留神,就被攻擊。在這場與黑客的博弈中,只有更強才有反抗力。
理財平臺諾諾鎊客今年遭遇了一起黑客入侵案,半天時間即被非法提現千萬,事件引發關注。
今年2月底,有黑客利用第三方支付跳轉的漏洞,充值1塊錢,然后劫取數據包,把1塊錢到賬金額改成了1萬元,然后提現到自己的銀行卡里。
同時,將作案手段通過網絡在黑客群體中進行傳播,導致平臺半天時間內被非法提現人民幣1056萬元。
諾諾鎊客迅速發現異常進行補救并報警,剩下的150多個惡意賬戶此后無法提現。
近日,這起特大網絡盜竊系列案已被偵破,歷時半年,近百名涉案犯罪嫌疑人遍及全國30余個省份。用戶資金安全沒有受任何影響,公司被盜的資金追回了一部分,剩下的在追回中。
- 致命一擊 -
黑客無孔不入,攻擊網貸平臺早已成為日常。最初,所有的網貸平臺都沒經驗,遇上黑客也束手無策。
2013年,上線不到兩年的微貸網遭遇黑客威脅,說要十萬塊錢,否則就發起攻擊,姚宏讓他等半個小時,結果不到十分鐘,網站就癱瘓了。
盡管黑客的攻擊發生在半夜,但是經驗不足的微貸網當時的技術沒辦法解決,第二天投資者無法順利登錄網站。
網貸行業,一向容不得任何風聲。一時間微貸網要跑路的謠言傳遍網貸圈。
微貸網一邊向投資人解釋一邊開發新系統。最終,渡過了這次毀滅性的大危機。然而,并不是每一個平臺都能走過這個坎。
2013年,網貸大規模崛起,整個行業也進入被黑客集中攻擊階段。一些平臺因黑客的攻擊導致系統癱瘓,深陷擠兌泥潭。這一年,近70家平臺因為黑客事件倒閉。
當年年底,冒出來一個黑鷹小組,專攻擊網貸平臺,進行敲詐勒索,廣東多家平臺集中被攻擊。
平臺數量的井噴式發展,讓黑客的攻擊更為猖獗。2014年1月份,人人貸、拍拍貸都遭遇了黑客的攻擊,此后兩年間,平臺被黑的事件屢見不鮮,只是更多平臺選擇息事寧人,沒有見諸報端。
當時網貸門檻極低,幾個人搭個網站就叫自己P2P的情況太多,這個離錢很近的行業魚龍混雜。而專門定制的平臺系統價格昂貴,很多平臺選擇退而求其次,“買模板”搭平臺,卻沒料到網絡安全的漏洞能帶來致命一擊。
- 損失慘重 -
黑客攻擊網貸平臺,有的為財,有的只是作為初學者,在拿一些平臺練手以找到成就感。
財的來源,主要在于平臺與投資人。
對于平臺來說,黑客攻擊造成平臺癱瘓,進行敲詐勒索。網貸行業的敏感,戰戰兢兢的平臺最終選擇息事寧人。
或者利用系統漏洞,充值1塊錢,截取數據包后,將數據改成其他金額再進行提現。
此外,早期平臺間的惡性競爭也助長了黑客的威風。有平臺曾公開表示,黑客說收錢受人指使,要對平臺攻擊一周!
這些,都要求平臺有強大的處理能力,應對危機。一旦引起恐慌造成擠兌潮,最終可能會面臨倒閉。
對于投資人來說,除了平臺倒閉,黑客入侵個人賬戶惡意提現,也將帶來資金的損失。
華南某平臺高管對觀察君表示,平臺本身沒有進行資金存管或托管,或者不校驗提現人姓名,提現卡可以任意填寫,這就容易造成賬戶資金被提取的情況。此外,利用賬戶同名的bug,也能做到提現。而這些狀況,主要是發生在羊毛平臺。
實際上,平臺采取了一系列措施來增加對個人信息的審核,比如說要求用戶提現的銀行卡必須是本人的銀行卡,甚至只能通過客服修改信息;或者向手機號發送驗證碼。
但是上述高管表示,其實這些措施并沒有效果。平臺的數據庫,通道的數據庫,運營商的數據庫,手機中木馬,黑客有太多的渠道可以截取關鍵信息。
黑客還可以將數據進行“撞庫”操作。將用戶名和密碼,嘗試批量登錄其他網站,惡意提現或獲取數據。而大多數人為了方便,會設置同樣的密碼。
額外的軟硬件口令或許是一個較好的規避辦法,不過這會導致運營成本增加,也影響了投資者的體驗感,最終很少被應用。
而這些,還只是黑客獲取資金的第一步。接下來,黑客會將獲取的數據信息進行倒賣,造成嚴重的信息泄露。
數據的泄露,對于用戶來說,未來的影響不可預估。樂觀點來說只是收到垃圾短信與電話,嚴重的則可能會影響其他APP的賬戶資金安全甚至遭受詐騙。
- 意識崛起 -
基本上,每個平臺都遭遇過黑客攻擊,有業內人士表示。
黑客的瘋狂與明目張膽,讓網貸平臺意識到網絡安全的重要性。在系統的開發和維護上投入更多的技術與成本,而后期運營維護成本可能是開發成本的2倍,甚至更多。
黑客攻擊成本:平臺防護成本大約是1:5。簡單來說,黑客花1塊錢,平臺要花5倍的成本才能進行成功防護。
開源(開放源碼)世界的bug是層出不窮,而技術畢竟是人設計的,需要不斷進行技術的迭代修補漏洞。
“只要不及時更新,可能一天就會被好多人把數據偷走。”上述高管表示,“沒技術力量的平臺基本是經營不下去的。”
2016年11月7日,全國人民代表大會常務委員會出臺首部《網絡安全法》,這意味著平臺使用廉價系統,將要承擔嚴重的法律后果,荒蠻時代宣告結束。
現在,用戶個人資金被惡意提取的風險也有所下降。銀行存管是合規的條件之一,而銀行系統的安全性比第三方支付高很多。
這兩年,黑客入侵平臺的事件似乎有所減少,有優勝劣汰的原因,也有平臺加大投入以及各類政策的原因。
但是黑客事件依然不斷發生,平臺經常會遭遇黑客的攻擊,不過,造成的影響與平臺技術有關。對于技術較成熟的平臺來說,已經有能力來進行對抗,不過還是無法避免數據被盜取。
國家互聯網金融安全技術專家委員會數據顯示,截至2017年2月28日,系統共發現互聯網金融網站漏洞1023個,系統監測到針對互聯網金融網站的網絡攻擊達105萬次。
- 誰在裸泳 -
黑客的攻擊,有技術的漏洞,有人性的貪婪。我們可以通過技術降低風險,卻不能阻止貪婪。
這是一場沒有硝煙的博弈,也是一場保衛安全的持久戰。
已經泄露的數據早就不能補救,黑產江湖里,我們每一個人都在裸泳,不多留一個心眼,也許就會造成損失。
選擇平臺時,查詢信息安全等級情況,選擇運營模式更成熟的平臺。去年8月份,網絡安全已經上升為網貸平臺合規的必要條件。
第三方數據顯示,截至2017年5月31日,正常運營平臺中通過國家信息安全等級保護三級認證備案認證的網貸平臺僅為138家。
此外,銀行存管,也讓賬戶安全多了一道防護。
使用專門的銀行卡進行投資,減少多個平臺多張卡的情況出現。多數平臺不允許解綁以后卡,即使沒有投資,也會造成信息泄露。
可以在上傳個人證件照時,可以在圖片上說明用途,僅用于某一事項。
生活中,我們只能提高警惕性,避免不知名鏈接、不知名電話給我們帶來損失。
【來源:網貸天眼】
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。