P2P(Peer To Peer)平臺風生水起的同時,關注它們的不僅是投資者,還有一群神秘的黑客。網. . .
P2P(Peer To Peer)平臺風生水起的同時,關注它們的不僅是投資者,還有一群神秘的黑客。網絡黑客通過攻擊P2P網站致平臺崩潰然后再索要錢財,不少P2P平臺因害怕攻擊產生業務損失而花錢了事,甚至有P2P平臺因黑客襲擊而倒閉。為何P2P平臺成了黑客的“搖錢樹”?而P2P平臺又為何如此容易受到攻擊?這些平臺該怎樣應對?
多家P2P平臺因黑客倒閉
P2P網貸平臺從去年開始大規模地進入市場,在高速發展的同時,倒閉跑路、投資者信息安全等一系列威脅層出不窮。一大波黑客盯上了P2P平臺這塊“肥肉”,也想趁機分而食之。深圳P2P平臺金海貸日前發布公告稱,因為遭遇黑客攻擊,網站不能正常運營。同時還有不少P2P平臺遭受了類似的攻擊。
而在7月7日,新聯在線發布關于遭受黑客占用寬帶攻擊的公告。公告稱,7日中午,新聯在線客服收到黑客敲詐信息,隨后網站出現不穩定現象。同時,公告表示此次黑客攻擊只是以占用寬帶的方式導致平臺系統暫時癱瘓,并不會造成任何投資者信息的泄露和財產的損失。
北京商報記者注意到,幾乎多數P2P平臺都遭受過黑客的攻擊,只不過不少攻擊并沒有曝光。“我們平臺幾乎每天都遭受到黑客攻擊,只不過沒有被攻破。”一位北京地區的P2P平臺相關負責人直言。
此前,人人貸、拍拍貸、翼龍貸、有利網、網貸之家等多家P2P行業相關公司都被黑客攻擊過。記者發現被攻擊的時間一般是在P2P平臺獲得融資或者利好消息曝出之后,如人人貸年初剛剛對外發布獲得1.3億美元的投資,時隔不到兩小時其官微就發布了被黑客攻擊的告示。
除此之外,還有不少平臺集中被黑,去年末廣東地區多家P2P平臺網站集中被黑。而另據公開資料顯示,截至2013年末,有70家P2P平臺因遭遇黑客襲擊而關門。但在不少業內人士看來,這些“不堪一擊”的P2P平臺其實存在很大的風險漏洞以及技術短板。
P2P平臺緣何成“肥肉”
互聯網金融網站眾多,為何近段時間P2P平臺密集受到黑客的青睞?獵豹移動安全專家李鐵軍認為,P2P平臺從去年開始瘋狂出現,像當年大熱的團購網站、電商平臺一樣,而且P2P平臺做的是投資理財的生意,“唯利是圖”的黑客自然不會放過賺錢的機會。
有業內人士分析稱,P2P網貸平臺本質上是融資平臺,上面沉淀著龐大的客戶數據和資金交易額,對于黑客來說,這是巨大的誘餌。
除了P2P平臺高速發展外,不少P2P平臺IT系統簡單、漏洞多也成為被黑客輕易攻擊的主要原因。人人聚財CEO許建文在接受北京商報記者采訪時表示,現在不少P2P平臺的IT系統并非自己開發,而是通過網絡渠道購買了一張“皮”(模板),黑客不用一家一家研究系統漏洞,只要研究模板漏洞,然后集中發起攻擊,就能“黑”掉一片P2P網站。
“自己研發的系統需要專業的人才,還需要耗費更大的人力、物力、精力,運營團隊一般需要10人以上,而一張模板只需要2-3個人就能進行運營,而且價位可能就是幾百元;而從黑客的層面來講開發攻擊代碼也需要核算成本收益,所以他們比較喜歡攻擊使用模板的平臺。”許建文補充道。
銀客網執行副總裁張天樂也認為,P2P平臺運營初期為了減少運營成本,購入公共模板進行日常運營,這為黑客提供了攻擊的便利。
其實,黑客攻擊的原因很簡單,一種就是收取“保護費”;另一種則是盜取客戶的信息;而比較“黑暗”的一種則是商業競爭。
收取保護費則是比較常見的一種方式,一位P2P行業從業人員告訴記者,一些黑客在攻擊網站之前就開始了敲詐勒索,他們通過電話、QQ等方式,而另一些則是在攻擊過程中要錢,并以連續攻擊作為威脅。敲詐的金額在幾百元至幾百萬元不等。
許建文直言,很多黑客都是“看人下菜碟”,根據平臺的規模要錢,而有一些則是根據自己的攻擊成本收錢。
黑客的三種攻擊方式
不少P2P平臺在經歷了攻擊之后,也開始研究攻擊方式以應對攻擊。北京商報記者通過采訪多位業內人士了解到,黑客攻擊P2P平臺的方式主要有三種。李鐵軍解釋道,最常見的一種就是DDOS(Distributed Denial of Service)攻擊,簡言之就是通過網絡過載來干擾甚至阻斷正常的網絡通訊,通過向服務器提交大量請求,使服務器超負荷崩潰。
“還有一種則是CC流量攻擊,比如同一時間頻繁地訪問接口,導致服務器暫時性、間歇性中斷,比如網站每天的流量是10萬人訪問,但是忽然變成100萬人,此時就會崩潰,可以采用流量轉讓、過濾非正常IP的方式進行保護。”張天樂解釋道。
張天樂補充道,還有一種就是對漏洞進行攻擊,這就涉及網貸公司的網站都是模板式的,那么黑客可以根據同樣的漏洞延伸到更多的企業進行攻擊。
據了解,黑客在攻擊的時候,一般會調集全球各地的服務器,來攻擊某一家或者幾家網站。“多數只是造成網站擁堵難以登錄,一般難以攻擊到后臺,如果攻擊到后果則不堪設想。”許建文直言。
P2P平臺的技術軟肋
但是不少市場人士疑惑道,為何那些被勒索敲詐的平臺不通過報警或者法律途徑解決,而選擇花錢了事呢?李鐵軍直言,一方面黑客“來無影去無蹤”,很多IP信息都是虛假的,難以查出行蹤;另一方面,通過公安等渠道需要的時間也比較長。
而張天樂直言,其實這種行為可以理解,不少平臺本身的IT系統不夠安全,如果不花錢了事,可能會讓投資者認為平臺不安全從而轉投其他平臺,用戶體驗非常差。
在如何應對黑客襲擊的問題上,網貸天眼CEO田維贏認為,整體應該從服務器控制和安全檢測兩方面入手。在服務器控制上,要增強防火墻、流量清洗等技術;在安全檢測上,重點是入侵檢測或滲透檢測,做好被攻擊時的響應策略等,同時進行定理地安全掃描,對服務器及其他網絡設備的安全漏洞,快速發現并修復。
“P2P平臺應該做雙重保護,一方面最好自己設計系統,進行數據規范和備份維護,比如我們在華北和華南有兩個機房,如果華北出現問題把客戶的數據、資金信息備份到華南,可以有效地保證資金的安全,另一方面則可以跟專業的流量防護公司合作,共同設計程序來防止惡意攻擊。”張天樂建議。
許建文則認為,首先平臺應該增加服務器的分散,把自己的服務器分布在全國各地,其次不要輕易向黑客屈服,吸取教訓,更重要的則是加強人員的配套建設。有消息稱,月底央行可能會出臺關于互聯網金融的框架性文件,未來在高管任職、IT系統建設上面應該都會有相應的規范。
此外田維贏還認為, P2P的發展改變著人們的理財方式,也誘惑著一些不良分子,所以P2P除了要在業務擴張上花費大力氣,還應該在技術上下功夫。
詳細內容,請登錄九思官方網站:http://jxiprlawyer.com
歡迎關注九思新浪微博:http://weibo.com/wanghaibo100
更多精彩內容,請關注九思OA官方微信
