数十家平台死于黑客，是息事宁人还是绝地反击？

来源: 支点研习社   

金评媒（https://www.jpm.cn） 编者按：据数据披露，2016年，黑客攻击导致中国互金行业损失超过200亿元。这是一场没有硝烟的博弈，没有平台能幸免。有平台高管也对观察君表示，息事宁人只会助长贪欲，在这场与黑客的博弈中，只有反击才能使自己更强大。

近日，上海警方侦破了一起特大网络盗窃案，某理财APP遭到黑客攻击，半天时间即被非法提现1056万元。据媒体报道，该理财APP为诺诺镑客。

但这仅是冰山一角。

前几年，网贷平台井喷式发展，庞大的资金交易额让不法分子垂涎三尺。

2014年，人人贷、拍拍贷同一天遭遇了黑客的攻击，这样的事情在行业内屡见不鲜，只是更多平台选择了息事宁人。

据数据披露，2016年，黑客攻击导致中国互金行业损失超过200亿元。

这是一场没有硝烟的博弈，没有平台能幸免。有平台高管也对观察君表示，息事宁人只会助长贪欲，在这场与黑客的博弈中，只有反击才能使自己更强大。

- 黑客天堂 -

数据显示，截止2017年2月28日，互联网金融平台累计资金规模超过55万亿，近4个月活跃用户超6.59亿。

庞大的数据和资金交易额，这里，无疑成了黑客展示技术的聚集地、获取利益的天堂。

2016年，互金行业平均每周发生安全事件12. 4万次，据亚洲反黑客组织披露，黑客攻击导致中国互金行业损失超过200亿元。

平台之于黑客，如苍蝇见血，他们瘫痪系统、篡改数据、洗劫资金，多家平台因黑客事件倒闭。

平台一刻也不能松懈，稍不留神，就被攻击。在这场与黑客的博弈中，只有更强才有反抗力。

理财平台诺诺镑客今年遭遇了一起黑客入侵案，半天时间即被非法提现千万，事件引发关注。

今年2月底，有黑客利用第三方支付跳转的漏洞，充值1块钱，然后劫取数据包，把1块钱到账金额改成了1万元，然后提现到自己的银行卡里。

同时，将作案手段通过网络在黑客群体中进行传播，导致平台半天时间内被非法提现人民币1056万元。

诺诺镑客迅速发现异常进行补救并报警，剩下的150多个恶意账户此后无法提现。

近日，这起特大网络盗窃系列案已被侦破，历时半年，近百名涉案犯罪嫌疑人遍及全国30余个省份。用户资金安全没有受任何影响，公司被盗的资金追回了一部分，剩下的在追回中。

- 致命一击 -

黑客无孔不入，攻击网贷平台早已成为日常。最初，所有的网贷平台都没经验，遇上黑客也束手无策。

2013年，上线不到两年的微贷网遭遇黑客威胁，说要十万块钱，否则就发起攻击，姚宏让他等半个小时，结果不到十分钟，网站就瘫痪了。

尽管黑客的攻击发生在半夜，但是经验不足的微贷网当时的技术没办法解决，第二天投资者无法顺利登录网站。

网贷行业，一向容不得任何风声。一时间微贷网要跑路的谣言传遍网贷圈。

微贷网一边向投资人解释一边开发新系统。最终，渡过了这次毁灭性的大危机。然而，并不是每一个平台都能走过这个坎。

2013年，网贷大规模崛起，整个行业也进入被黑客集中攻击阶段。一些平台因黑客的攻击导致系统瘫痪，深陷挤兑泥潭。这一年，近70家平台因为黑客事件倒闭。

当年年底，冒出来一个黑鹰小组，专攻击网贷平台，进行敲诈勒索，广东多家平台集中被攻击。

平台数量的井喷式发展，让黑客的攻击更为猖獗。2014年1月份，人人贷、拍拍贷都遭遇了黑客的攻击，此后两年间，平台被黑的事件屡见不鲜，只是更多平台选择息事宁人，没有见诸报端。

当时网贷门槛极低，几个人搭个网站就叫自己P2P的情况太多，这个离钱很近的行业鱼龙混杂。而专门定制的平台系统价格昂贵，很多平台选择退而求其次，“买模板”搭平台，却没料到网络安全的漏洞能带来致命一击。

- 损失惨重 -

黑客攻击网贷平台，有的为财，有的只是作为初学者，在拿一些平台练手以找到成就感。

财的来源，主要在于平台与投资人。

对于平台来说，黑客攻击造成平台瘫痪，进行敲诈勒索。网贷行业的敏感，战战兢兢的平台最终选择息事宁人。

或者利用系统漏洞，充值1块钱，截取数据包后，将数据改成其他金额再进行提现。

此外，早期平台间的恶性竞争也助长了黑客的威风。有平台曾公开表示，黑客说收钱受人指使，要对平台攻击一周!

这些，都要求平台有强大的处理能力，应对危机。一旦引起恐慌造成挤兑潮，最终可能会面临倒闭。

对于投资人来说，除了平台倒闭，黑客入侵个人账户恶意提现，也将带来资金的损失。

华南某平台高管对观察君表示，平台本身没有进行资金存管或托管，或者不校验提现人姓名，提现卡可以任意填写，这就容易造成账户资金被提取的情况。此外，利用账户同名的bug，也能做到提现。而这些状况，主要是发生在羊毛平台。

实际上，平台采取了一系列措施来增加对个人信息的审核，比如说要求用户提现的银行卡必须是本人的银行卡，甚至只能通过客服修改信息;或者向手机号发送验证码。

但是上述高管表示，其实这些措施并没有效果。平台的数据库，通道的数据库，运营商的数据库，手机中木马，黑客有太多的渠道可以截取关键信息。

黑客还可以将数据进行“撞库”操作。将用户名和密码，尝试批量登录其他网站，恶意提现或获取数据。而大多数人为了方便，会设置同样的密码。

额外的软硬件口令或许是一个较好的规避办法，不过这会导致运营成本增加，也影响了投资者的体验感，最终很少被应用。

而这些，还只是黑客获取资金的第一步。接下来，黑客会将获取的数据信息进行倒卖，造成严重的信息泄露。

数据的泄露，对于用户来说，未来的影响不可预估。乐观点来说只是收到垃圾短信与电话，严重的则可能会影响其他APP的账户资金安全甚至遭受诈骗。

- 意识崛起 -

基本上，每个平台都遭遇过黑客攻击，有业内人士表示。

黑客的疯狂与明目张胆，让网贷平台意识到网络安全的重要性。在系统的开发和维护上投入更多的技术与成本，而后期运营维护成本可能是开发成本的2倍，甚至更多。

黑客攻击成本：平台防护成本大约是1:5。简单来说，黑客花1块钱，平台要花5倍的成本才能进行成功防护。

开源(开放源码)世界的bug是层出不穷，而技术毕竟是人设计的，需要不断进行技术的迭代修补漏洞。

“只要不及时更新，可能一天就会被好多人把数据偷走。”上述高管表示，“没技术力量的平台基本是经营不下去的。”

2016年11月7日，全国人民代表大会常务委员会出台首部《网络安全法》，这意味着平台使用廉价系统，将要承担严重的法律后果，荒蛮时代宣告结束。

现在，用户个人资金被恶意提取的风险也有所下降。银行存管是合规的条件之一，而银行系统的安全性比第三方支付高很多。

这两年，黑客入侵平台的事件似乎有所减少，有优胜劣汰的原因，也有平台加大投入以及各类政策的原因。

但是黑客事件依然不断发生，平台经常会遭遇黑客的攻击，不过，造成的影响与平台技术有关。对于技术较成熟的平台来说，已经有能力来进行对抗，不过还是无法避免数据被盗取。

国家互联网金融安全技术专家委员会数据显示，截至2017年2月28日，系统共发现互联网金融网站漏洞1023个，系统监测到针对互联网金融网站的网络攻击达105万次。

- 谁在裸泳 -

黑客的攻击，有技术的漏洞，有人性的贪婪。我们可以通过技术降低风险，却不能阻止贪婪。

这是一场没有硝烟的博弈，也是一场保卫安全的持久战。

已经泄露的数据早就不能补救，黑产江湖里，我们每一个人都在裸泳，不多留一个心眼，也许就会造成损失。

选择平台时，查询信息安全等级情况，选择运营模式更成熟的平台。去年8月份，网络安全已经上升为网贷平台合规的必要条件。

第三方数据显示，截至2017年5月31日，正常运营平台中通过国家信息安全等级保护三级认证备案认证的网贷平台仅为138家。

此外，银行存管，也让账户安全多了一道防护。

使用专门的银行卡进行投资，减少多个平台多张卡的情况出现。多数平台不允许解绑以后卡，即使没有投资，也会造成信息泄露。

可以在上传个人证件照时，可以在图片上说明用途，仅用于某一事项。

生活中，我们只能提高警惕性，避免不知名链接、不知名电话给我们带来损失。

(编辑：田跃清)

来源: 支点研习社

企业新闻