林鹏：解析P2P金融安全风险

本文讲的是林鹏：解析P2P金融安全风险,说到P2P，就不得不说互联网金融。P2P简而言之，就是从网上借钱，把投资者和借贷者拉在一起，这也是P2P的初衷。互联网金融其实就是互联网+金融，互联网金融的风险其实等于互联网的风险与金融的风险的简单相加。互联网的风险包括DDoS、黑客入侵，是传统意义上的风险;金融风险包括盗号，以及其他与金融市场、产品、机构等相关的风险。

　　在7月17日--18日举行的乌云白帽子大会上，万达电商安全主任工程师林鹏对P2P的日常安全和业务方向的安全进行了解析。

　　P2P行业最高的漏洞是业务方面。P2P普遍薪资较高，但同时又是一个新兴行业，账号的密码重置问题很容易被程序员忽略。此外，平行越权问题也很严重，这其中有几个漏洞值得去关注。一个是Github，程序员喜欢把代码放在上面，这样导致的信息泄漏事件很多;第二个是边界和集团问题，很多P2P公司要依附在一些集团下面，但有些集团是传统行业，传统行业对于安全的等级比较低，所以有时候P2P行业自己本身做的好，但是由于集团的安全能力非常弱，导致P2P的安全能力也不高;第三个是DDoS，一般P2P或者互联网金融公司的带宽非常低，像DDoS这种流量攻击一打击就跨了。

　　林鹏把P2P安全行业解析分成几个步骤：第一个步骤是羊毛党，即在P2P里面搜一个关键字羊毛，会搜索很多羊毛党的东西。比如网信理财为了让很多P2P公司注册，扩大用户的注册量，会有很多返利产品，团队分工还极其明确。第二个步骤是自给自足，他们的信息来源一是打码平台，可以通过一大堆手机和码来实现信息收集，另一个方法是拿到身份证信息后直接去银行获得更具体的信息，再有就是里外勾结，银行和打码平台勾结。

　　相应地也有应对的方法：

　　针对羊毛党，第一增加他们的投资难度，也就是返现难度。因为羊毛党怕被平台反雇，所以让他们投一笔钱之后就会发现很明显羊毛党的数量变少。第二就是减少羊毛党的利润，比如以前返现十块钱，现在只返五元。还有一个方法是人工识别，有一些用户是真的用户，他的行为就是一个正常用户的特征，这时只能用客服来解决。

　　针对自给自足收集信息者，可采取绑卡的方式，身份证号扫公安部的接口，用银行卡验证。比如说某人的身份证号通过了，身份证号注册的时候也通过了，我绑定的银行卡是不是本人，这个时候可以应用四要素验证——身份证、银行卡、手机号、姓名，或者指定一张卡往里面打钱，但是不能防止用户套现，因为他是真实用户。还有就是支付和体现，支付最简单的就是支付漏洞，资金闭环，资金的走向问题。P2P行业或者金融行业有个天然屏障，天然屏障就是用户的银行卡是同款同出。所以P2P真正的用户进行理财，基本绑卡必须通过验证。

　　最后一个就是购买理财。从男女比例来看，基本男性为主，女性为辅。在交易期间，基本晚上6点开始交易高峰。以微信传播和新浪微博的传播比例来看，可以看到微信圈里面的P2P广告，但是新浪微博很少，基本看不到P2P。还有一个是股票比较多，表明着投资人的关键所在。

作者：宁飞虹

来源：IT168

原文标题：林鹏：解析P2P金融安全风险