7月17日中午,在乌云网举办的2015年乌云第二届“白帽子大会”上,万达电商安全主任工程师林鹏对P2P安全性进行了深度解析。根据NSTRT安全团队的2014互联网金融行业中134份安全漏洞报告显示,来自业务设计缺陷的漏洞占主要比例,达到27%。林鹏介绍,互联网金融风险是将互联网风险和金融风险结合的双重风险。而大部分P2P公司不具备资金和实力,需...
7月17日中午,在乌云网举办的2015年乌云第二届“白帽子大会”上,万达电商安全主任工程师林鹏对P2P安全性进行了深度解析。
根据NSTRT安全团队的2014互联网金融行业中134份安全漏洞报告显示,来自业务设计缺陷的漏洞占主要比例,达到27%。
林鹏介绍,互联网金融风险是将互联网风险和金融风险结合的双重风险。而大部分P2P公司不具备资金和实力,需要依托于大型集团。
P2P平台的业务流程一般包括注册、绑定卡、充值、购买理财、回收资金几个主要步骤。
在注册环节,有大量“羊毛党”(一些网贷平台为吸引投资者常推出一些收益丰厚的活动,如注册认证奖励、充值返现、投标返利等,催生了以此寄生的投资群体,他们也被称为P2P“羊毛党”)存在。林鹏说:“这些人员分工明确,以妇女、学生居多,很多人不知道P2P是什么,只是为赚钱照着做。还有低价买入高价卖出的黄牛党。也不乏有安羊毛党与银行、平台之间互相勾结的情况。”
林鹏介绍,防范这类羊毛党人群,首先要了解羊毛党心态,找到遏制他们收入的来源。另外也可以通过人工识别、机器识别、大数据应用等方法提高安全性。
在绑定银行卡环节,一般会验证姓名和身份证号,然而由于客观因素的限制,小的P2P平台通常是借用公安部接口校验身份证信息,想要骗过这些小平台并不难,因此这一步并不能起到实质的实名认证效果。
购买理财的环节是其中较为关键的一环。根据调查显示,P2P人群以男性为主、年龄在20—40之间;P2P平台交易的高峰从18点开始;微信的渗透作用高于微博,比例达到99.4%;而P2P用户普遍有较强的投资意识。
林鹏建议P2P平台可以具体了解以上用户的特点,如果遇到不符合以上特定的用户,基本可以认定为可疑用户。平台如果遇到异常用户行为,如在注册环节之后重复编辑资料,也可以将其列入可疑用户范畴。
一般正常的用户行为包括一整套业务流程,从注册登录到充值、投资、回款和提现。而异常的用户行为从注册登录后就一直停停滞在编辑资料的环节。
目前P2P平台还无法进行人机识别,利用钓鱼手段诈骗的行为也在逐渐增多,这些都是还在困扰P2P金融安全的痛点。如何加入机器识别核心技术、加强安全防范等都是P2P平台下一步需要解决的问题。
(编辑:谭翊飞)
21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权,任何人不得以任何方式使用。详情或获取授权信息请点击此处。
分享成功