數(shù)十家平臺死于黑客,是息事寧人還是絕地反擊?

數(shù)十家平臺死于黑客,是息事寧人還是絕地反擊?

9月21日訊,近日,上海警方偵破了一起特大網(wǎng)絡(luò)盜竊案,某理財(cái)APP遭到黑客攻擊,半天時(shí)間即被非法提現(xiàn)1056萬元。據(jù)媒體報(bào)道,該理財(cái)APP為諾諾鎊客。

但這僅是冰山一角。

前幾年,網(wǎng)貸平臺井噴式發(fā)展,龐大的資金交易額讓不法分子垂涎三尺。

2014年,人人貸、拍拍貸同一天遭遇了黑客的攻擊,這樣的事情在行業(yè)內(nèi)屢見不鮮,只是更多平臺選擇了息事寧人。

據(jù)數(shù)據(jù)披露,2016年,黑客攻擊導(dǎo)致中國互金行業(yè)損失超過200億元。

這是一場沒有硝煙的博弈,沒有平臺能幸免。有平臺高管也對觀察君表示,息事寧人只會助長貪欲,在這場與黑客的博弈中,只有反擊才能使自己更強(qiáng)大。

- 黑客天堂 -

數(shù)據(jù)顯示,截止2017年2月28日,互聯(lián)網(wǎng)金融平臺累計(jì)資金規(guī)模超過55萬億,近4個(gè)月活躍用戶超6.59億。

龐大的數(shù)據(jù)和資金交易額,這里,無疑成了黑客展示技術(shù)的聚集地、獲取利益的天堂。

2016年,互金行業(yè)平均每周發(fā)生安全事件12. 4萬次,據(jù)亞洲反黑客組織披露,黑客攻擊導(dǎo)致中國互金行業(yè)損失超過200億元。

平臺之于黑客,如蒼蠅見血,他們癱瘓系統(tǒng)、篡改數(shù)據(jù)、洗劫資金,多家平臺因黑客事件倒閉。

平臺一刻也不能松懈,稍不留神,就被攻擊。在這場與黑客的博弈中,只有更強(qiáng)才有反抗力。

理財(cái)平臺諾諾鎊客今年遭遇了一起黑客入侵案,半天時(shí)間即被非法提現(xiàn)千萬,事件引發(fā)關(guān)注。

今年2月底,有黑客利用第三方支付跳轉(zhuǎn)的漏洞,充值1塊錢,然后劫取數(shù)據(jù)包,把1塊錢到賬金額改成了1萬元,然后提現(xiàn)到自己的銀行卡里。

同時(shí),將作案手段通過網(wǎng)絡(luò)在黑客群體中進(jìn)行傳播,導(dǎo)致平臺半天時(shí)間內(nèi)被非法提現(xiàn)人民幣1056萬元。

諾諾鎊客迅速發(fā)現(xiàn)異常進(jìn)行補(bǔ)救并報(bào)警,剩下的150多個(gè)惡意賬戶此后無法提現(xiàn)。

近日,這起特大網(wǎng)絡(luò)盜竊系列案已被偵破,歷時(shí)半年,近百名涉案犯罪嫌疑人遍及全國30余個(gè)省份。用戶資金安全沒有受任何影響,公司被盜的資金追回了一部分,剩下的在追回中。

- 致命一擊 -

黑客無孔不入,攻擊網(wǎng)貸平臺早已成為日常。最初,所有的網(wǎng)貸平臺都沒經(jīng)驗(yàn),遇上黑客也束手無策。

2013年,上線不到兩年的微貸網(wǎng)遭遇黑客威脅,說要十萬塊錢,否則就發(fā)起攻擊,姚宏讓他等半個(gè)小時(shí),結(jié)果不到十分鐘,網(wǎng)站就癱瘓了。

盡管黑客的攻擊發(fā)生在半夜,但是經(jīng)驗(yàn)不足的微貸網(wǎng)當(dāng)時(shí)的技術(shù)沒辦法解決,第二天投資者無法順利登錄網(wǎng)站。

網(wǎng)貸行業(yè),一向容不得任何風(fēng)聲。一時(shí)間微貸網(wǎng)要跑路的謠言傳遍網(wǎng)貸圈。

微貸網(wǎng)一邊向投資人解釋一邊開發(fā)新系統(tǒng)。最終,渡過了這次毀滅性的大危機(jī)。然而,并不是每一個(gè)平臺都能走過這個(gè)坎。

2013年,網(wǎng)貸大規(guī)模崛起,整個(gè)行業(yè)也進(jìn)入被黑客集中攻擊階段。一些平臺因黑客的攻擊導(dǎo)致系統(tǒng)癱瘓,深陷擠兌泥潭。這一年,近70家平臺因?yàn)楹诳褪录归]。

當(dāng)年年底,冒出來一個(gè)黑鷹小組,專攻擊網(wǎng)貸平臺,進(jìn)行敲詐勒索,廣東多家平臺集中被攻擊。

平臺數(shù)量的井噴式發(fā)展,讓黑客的攻擊更為猖獗。2014年1月份,人人貸、拍拍貸都遭遇了黑客的攻擊,此后兩年間,平臺被黑的事件屢見不鮮,只是更多平臺選擇息事寧人,沒有見諸報(bào)端。

當(dāng)時(shí)網(wǎng)貸門檻極低,幾個(gè)人搭個(gè)網(wǎng)站就叫自己P2P的情況太多,這個(gè)離錢很近的行業(yè)魚龍混雜。而專門定制的平臺系統(tǒng)價(jià)格昂貴,很多平臺選擇退而求其次,“買模板”搭平臺,卻沒料到網(wǎng)絡(luò)安全的漏洞能帶來致命一擊。

- 損失慘重 -

黑客攻擊網(wǎng)貸平臺,有的為財(cái),有的只是作為初學(xué)者,在拿一些平臺練手以找到成就感。

財(cái)?shù)膩碓矗饕谟谄脚_與投資人。

對于平臺來說,黑客攻擊造成平臺癱瘓,進(jìn)行敲詐勒索。網(wǎng)貸行業(yè)的敏感,戰(zhàn)戰(zhàn)兢兢的平臺最終選擇息事寧人。

或者利用系統(tǒng)漏洞,充值1塊錢,截取數(shù)據(jù)包后,將數(shù)據(jù)改成其他金額再進(jìn)行提現(xiàn)。

此外,早期平臺間的惡性競爭也助長了黑客的威風(fēng)。有平臺曾公開表示,黑客說收錢受人指使,要對平臺攻擊一周!

這些,都要求平臺有強(qiáng)大的處理能力,應(yīng)對危機(jī)。一旦引起恐慌造成擠兌潮,最終可能會面臨倒閉。

對于投資人來說,除了平臺倒閉,黑客入侵個(gè)人賬戶惡意提現(xiàn),也將帶來資金的損失。

華南某平臺高管對觀察君表示,平臺本身沒有進(jìn)行資金存管或托管,或者不校驗(yàn)提現(xiàn)人姓名,提現(xiàn)卡可以任意填寫,這就容易造成賬戶資金被提取的情況。此外,利用賬戶同名的bug,也能做到提現(xiàn)。而這些狀況,主要是發(fā)生在羊毛平臺。

實(shí)際上,平臺采取了一系列措施來增加對個(gè)人信息的審核,比如說要求用戶提現(xiàn)的銀行卡必須是本人的銀行卡,甚至只能通過客服修改信息;或者向手機(jī)號發(fā)送驗(yàn)證碼。

但是上述高管表示,其實(shí)這些措施并沒有效果。平臺的數(shù)據(jù)庫,通道的數(shù)據(jù)庫,運(yùn)營商的數(shù)據(jù)庫,手機(jī)中木馬,黑客有太多的渠道可以截取關(guān)鍵信息。

黑客還可以將數(shù)據(jù)進(jìn)行“撞庫”操作。將用戶名和密碼,嘗試批量登錄其他網(wǎng)站,惡意提現(xiàn)或獲取數(shù)據(jù)。而大多數(shù)人為了方便,會設(shè)置同樣的密碼。

額外的軟硬件口令或許是一個(gè)較好的規(guī)避辦法,不過這會導(dǎo)致運(yùn)營成本增加,也影響了投資者的體驗(yàn)感,最終很少被應(yīng)用。

而這些,還只是黑客獲取資金的第一步。接下來,黑客會將獲取的數(shù)據(jù)信息進(jìn)行倒賣,造成嚴(yán)重的信息泄露。

數(shù)據(jù)的泄露,對于用戶來說,未來的影響不可預(yù)估。樂觀點(diǎn)來說只是收到垃圾短信與電話,嚴(yán)重的則可能會影響其他APP的賬戶資金安全甚至遭受詐騙。

- 意識崛起 -

基本上,每個(gè)平臺都遭遇過黑客攻擊,有業(yè)內(nèi)人士表示。

黑客的瘋狂與明目張膽,讓網(wǎng)貸平臺意識到網(wǎng)絡(luò)安全的重要性。在系統(tǒng)的開發(fā)和維護(hù)上投入更多的技術(shù)與成本,而后期運(yùn)營維護(hù)成本可能是開發(fā)成本的2倍,甚至更多。

黑客攻擊成本:平臺防護(hù)成本大約是1:5。簡單來說,黑客花1塊錢,平臺要花5倍的成本才能進(jìn)行成功防護(hù)。

開源(開放源碼)世界的bug是層出不窮,而技術(shù)畢竟是人設(shè)計(jì)的,需要不斷進(jìn)行技術(shù)的迭代修補(bǔ)漏洞。

“只要不及時(shí)更新,可能一天就會被好多人把數(shù)據(jù)偷走。”上述高管表示,“沒技術(shù)力量的平臺基本是經(jīng)營不下去的。”

2016年11月7日,全國人民代表大會常務(wù)委員會出臺首部《網(wǎng)絡(luò)安全法》,這意味著平臺使用廉價(jià)系統(tǒng),將要承擔(dān)嚴(yán)重的法律后果,荒蠻時(shí)代宣告結(jié)束。

現(xiàn)在,用戶個(gè)人資金被惡意提取的風(fēng)險(xiǎn)也有所下降。銀行存管是合規(guī)的條件之一,而銀行系統(tǒng)的安全性比第三方支付高很多。

這兩年,黑客入侵平臺的事件似乎有所減少,有優(yōu)勝劣汰的原因,也有平臺加大投入以及各類政策的原因。

但是黑客事件依然不斷發(fā)生,平臺經(jīng)常會遭遇黑客的攻擊,不過,造成的影響與平臺技術(shù)有關(guān)。對于技術(shù)較成熟的平臺來說,已經(jīng)有能力來進(jìn)行對抗,不過還是無法避免數(shù)據(jù)被盜取。

國家互聯(lián)網(wǎng)金融安全技術(shù)專家委員會數(shù)據(jù)顯示,截至2017年2月28日,系統(tǒng)共發(fā)現(xiàn)互聯(lián)網(wǎng)金融網(wǎng)站漏洞1023個(gè),系統(tǒng)監(jiān)測到針對互聯(lián)網(wǎng)金融網(wǎng)站的網(wǎng)絡(luò)攻擊達(dá)105萬次。

- 誰在裸泳 -

黑客的攻擊,有技術(shù)的漏洞,有人性的貪婪。我們可以通過技術(shù)降低風(fēng)險(xiǎn),卻不能阻止貪婪。

這是一場沒有硝煙的博弈,也是一場保衛(wèi)安全的持久戰(zhàn)。

已經(jīng)泄露的數(shù)據(jù)早就不能補(bǔ)救,黑產(chǎn)江湖里,我們每一個(gè)人都在裸泳,不多留一個(gè)心眼,也許就會造成損失。

選擇平臺時(shí),查詢信息安全等級情況,選擇運(yùn)營模式更成熟的平臺。去年8月份,網(wǎng)絡(luò)安全已經(jīng)上升為網(wǎng)貸平臺合規(guī)的必要條件。

第三方數(shù)據(jù)顯示,截至2017年5月31日,正常運(yùn)營平臺中通過國家信息安全等級保護(hù)三級認(rèn)證備案認(rèn)證的網(wǎng)貸平臺僅為138家。

此外,銀行存管,也讓賬戶安全多了一道防護(hù)。

使用專門的銀行卡進(jìn)行投資,減少多個(gè)平臺多張卡的情況出現(xiàn)。多數(shù)平臺不允許解綁以后卡,即使沒有投資,也會造成信息泄露。

可以在上傳個(gè)人證件照時(shí),可以在圖片上說明用途,僅用于某一事項(xiàng)。

生活中,我們只能提高警惕性,避免不知名鏈接、不知名電話給我們帶來損失。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2017-09-21
數(shù)十家平臺死于黑客,是息事寧人還是絕地反擊?
前幾年,網(wǎng)貸平臺井噴式發(fā)展,龐大的資金交易額讓不法分子垂涎三尺。

長按掃碼 閱讀全文