• <td id="yeskc"></td>
  • <li id="yeskc"></li>
  • <table id="yeskc"><li id="yeskc"></li></table><xmp id="yeskc"><li id="yeskc"></li>
    <li id="yeskc"></li>
  • <table id="yeskc"></table><td id="yeskc"><sup id="yeskc"></sup></td>
  • <table id="yeskc"></table>
  • <xmp id="yeskc">
  • <td id="yeskc"></td>
  • <td id="yeskc"></td>
    0431-85177688
    互聯網金融創業者遭黑客勒索 網貸平臺成網絡安全重災區

    摘要:2016年5月18日,全球最大黑客組織匿名者(Anonymous)突襲希臘央行之后,宣稱長達30天的DDoS攻擊開始。隨著塞浦路斯央行、荷蘭央 行、馬爾代夫央行等眾多官網站點被DDoS攻擊癱瘓,其他各國金融機構紛紛拉響抗DDoS警報。根據該黑客組織公布的攻擊名單,中國人民銀行也赫然在列。

    然而,正深受DDoS攻擊之擾的金融機構并非僅限于此,互聯網金融行業或許正在成為最大的受害者——螞蟻金融、網貸之家等多家P2P平臺或第三方信息服務平臺接連遭到黑客攻擊。

    今年上半年,全國金融行業(含互聯網金融)安全漏洞總量同比增長181.9%。相關人士表示,目前互聯網金融行業存在很大的安全隱患,客戶信息泄露、支付漏洞、惡意攻擊等為云平臺的普及帶來了新的威脅。

    “中國P2P網貸成為網絡安全的重災區?!敝醒胴斀洿髮W金融學院教授郭田勇在接受《法制日報》記者采訪時說。

    P2P創業者遭勒索

    見面地點,秦浩云選擇了一家社區醫院的中醫病房。頭、肩膀插滿針灸,嘴里談論著互聯網創業、黑客攻擊。這樣的采訪經歷,對于記者來說,也算是新鮮。

    對于如此選擇,秦浩云也滿是無奈。作為互聯網金融行業的年輕創業者,秦浩云正經歷創業以來最大的困境——連續兩次被黑客攻擊,“說是攻擊,還不如說是勒索”。

    幾天前,秦浩云的平臺遭受第一次攻擊,隨后客服收到黑客的敲詐,數目不多,1000元。

    在秦浩云提供的聊天截圖中,記者看到,黑客開門見山,“我們封了你們的網站”“通知老板聯系我”,并附上了聯系QQ。

    第一次被攻擊,摸不清狀況的秦浩云“滿足”了黑客敲詐勒索的條件。緊接著第二天,他又收到黑客的敲詐條件:

    “受同行業雇傭封你們的網站”——經過一晚上的了解,心里有譜的秦浩云知道,這是絕大多數黑客的慣用說法,真假不得而知;

    “受保護網站安全運行費,每月1000元”——黑客團隊表示只要交錢,將不再攻擊,即使遭遇其他黑客攻擊,也有他們“擺平”。

    交還是不交?交,會不會成為無底洞;不交,網站崩潰怎么辦,更重要的是客戶資金安全。

    在緊急磋商之后,秦浩云的團隊高價請人加固了網站防護措施,暫時化解這場危機。

    在秦浩云看來,這些經歷說起來輕描淡寫,但幾天下來,他已經瀕臨崩潰?!坝械钠脚_被敲詐走了七八萬元,而且黑客侵襲的不單單是那些實力弱小的P2P平臺,連某些防護能力一流的平臺也被攻擊過。扎完針灸,我要馬上和團隊討論防護升級,不能再有下次了”。

    作為互聯網金融平臺的年輕創業者,經歷過此輪“歷練”,秦浩云認識到,互聯網金融平臺最大的成本不是平臺的運營成本,也不是獲取客戶的支出成本,更不是企業監管上的投入成本,而是作為互聯網金融這個特殊行業的平臺信譽成本。

    曾有業內專家這樣評析,互聯網金融網站作為信譽展示的首要平臺,如果因為網站信息泄露、宕機、頁面篡改等原因導致用戶信任喪失,那么平臺也就丟失了本身的信譽,成為無源之水。再精妙的運營規劃、再強大的運營投入也于事無補。因此,作為互聯網金融企業,決不能讓安全技術成為業務發展的絆腳石。

    “互聯網金融平臺本身屬于一種創新性的金融業態或產品,將金融與科技進行了結合。但如果從安全的角度看,互聯網金融的風險肯定更加復雜和多樣,至少原有的金融風險一樣沒有少,還增加了更多的技術風險可能?;ヂ摼W金融起步于民營企業,來源于金融創新,在快速發展過程中,金融風險與金融安全問題越來越突出?!敝袊缈圃航鹑谒ㄅc金融室副主任尹振濤對《法制日報》記者說。

    黑客攻擊成最大隱患

    互聯網企業那么多,黑客為啥這么喜歡P2P?對此,曾有人作出這樣的比喻:如果你看著一個三歲娃娃抱著一箱錢走在街上,你不想搶???

    “互聯網黑客等惡意攻擊問題一直伴隨著互聯網技術的發展,這與互聯網技術本身有關,并不是互聯網金融或者說是中國特有的。在國際上,有很多有關黑客惡意攻擊國際知名機構的案例?!币駶蛴浾呓榻B說,從國內情況看,目前存在兩種傾向,一種是尋找漏洞攻擊國內知名的大平臺,用勒索手段獲得非法的利益。大機構一般會穩定投資者情緒,避免事件擴散及聲譽受損等,平息事件。另一種是黑客直接攻擊安全防范不健全的小平臺,直接攻擊其支付渠道等,盜取資金。

    黑客攻擊第三方支付平臺的手段多是流量攻擊,主要意圖是導致用戶無法正常訪問。而流量攻擊無法從根本解決,只能通過流量清洗、加大帶寬來應對。

    然而,流量清洗及防護的價格并不便宜。曾有P2P平臺受攻擊后,3個小時的DDoS防護就花了16萬元。據了解,以某公司的云盾DDoS防護為例,保底包月費用接近4萬元,按天的彈性付費根據攻擊流量的不同,價格從不到兩千元至兩萬余元不等,具體的收費總額還要看防護情況而定。

    正是基于被攻擊公司不舍得花錢的心態,黑客常常開出數萬元至數百萬元不等的勒索金額。

    據調查統計,黑客攻擊互聯網金融平臺的目的主要為竊取數據,占比高達48%,其次為敲詐勒索和商業競爭。

    秦浩云向記者介紹說,大批互聯網金融平臺被黑客攻陷,黑客攻擊除能引起系統癱瘓外,還將數據惡意修改、洗劫一空;黑客通過申請賬號、篡改數據、冒充投資人進行惡意提現甚至資金被盜事件也曾發生。

    根據中國權威第三方漏洞監測平臺烏云網從2014年至2015年8月對P2P行業漏洞數量統計顯示,高危漏洞占56.2%,中危漏洞占23.4%,低危漏洞占12.3%,其中8.1%被廠商忽略。除了系統安全漏洞,黑客攻擊技術的升級仍然是網絡安全最大的隱患。

    “黑客尋找漏洞攻擊國內知名大平臺,主要與互聯網技術本身相關,即便是大平臺,投入再大的人力物力研發系統,也同樣會存在不可預知的漏洞。因為,技術總歸是人設計的。這只能通過技術的不斷迭代去彌補漏洞?!币駶蛴浾叻治稣f,針對安全防范不健全的小平臺,則是因為在互聯網野蠻生長過程中,埋下了風險隱患,“那些對技術投入小,不重視金融安全風險的平臺,受惡意攻擊情況就會很突出。同時, 蒼蠅不叮無縫的蛋 ,這些平臺可能也存在著這樣或那樣的 不可告人的秘密 ,也給不法分子留下了機會”。

    有業內人士介紹,有些平臺直接在網上購買較為廉價、安全性缺乏保障的網貸系統,這樣的平臺在安全局勢尤為緊張的互聯網金融領域,無異于“裸奔”,平臺安全岌岌可危。

    對此,尹振濤透露說:“據我所知,一套這樣的網貸系統市場價在20萬元左右,這些系統存在大量風險漏洞。之前,也存在一個公司開發的網貸平臺系統受到攻擊,多家使用的平臺受影響的風險事件。主要原因在于,很多小平臺風險意識淡薄,只考慮如何做大規模、如何賺取利潤。同時,網貸平臺本身也有管理層結構問題。在這些小平臺,懂技術的不懂金融,懂金融知識的不懂網絡技術?!?/p>

    中央財經大學金融法研究所所長黃震也向記者介紹了這樣的情況:“有一些平臺確實是考慮不周,他們按照產業價格購買他人的軟件,或者由技術并不強的公司替他們開發所謂的軟件或在他人的軟件上修修改改而已?!?/p>

    安全如何不再是痛點

    監管,是互聯網金融發展繞不開的話題。

    黃震向記者介紹說,對于上述提到的購買廉價技術、安全意識不強的平臺,目前沒有相關監管,“此前有文件對這些P2P平臺提出批評,但具體怎么管,具體的政策還沒有出臺”。

    中央財經大學信息學院院長、金融信息安全研究所所長朱建明認為,安全是一個整體,互聯網安全措施的級別要與商業價值相一致?;ヂ摼W金融安全不僅是技術問題,更是管理問題。不僅包括一般的安全問題,更包括業務安全問題。當前行業的普遍觀點是,云計算的負載資源能力以及建立在虛擬化平臺上的安全設備和安全管理網站有很大優勢,大數據安全應該是互聯網金融公司安全問題的重中之重。

    在尹振濤看來,P2P平臺、監管者以及投資者應各盡其責:

    對平臺來說,互聯網金融安全風險,特別是技術風險問題,這是不可回避的。要從事前、事中和事后三個方面進行完善。事前要重視金融風險和安全問題,投入人力、物力進行防范。事中要有監控手段和方法及相應的機制。事后要有處置預案、補償機制設計等,盡量減少損失,降低破壞率;

    隨著互聯網金融治理的不斷深入,自然會淘汰那些技術落后和不健康的小平臺,這對整個行業的風險水平會有很好的提升。針對互聯網金融特有的性質,監管方面也應該有檢測的規章制度,或者互聯網金融協會主導或其他第三方評估機制主導的評價機制。當然,在實施過程中,也應該避免出現“賣認證”的問題;

    投資者作出選擇時,應該盡量選擇可靠的大平臺,自己增強風險防范意識,特別是互聯網技術和移動互聯安全問題。

    郭田勇則提出要提高從業人員的業務審查能力。

    黃震也提出了類似觀點:“按照現在已有的法律法規的標準,對于提供軟件和網絡服務的服務商嚴格審查,這是現有的服務要求?!?/p>

    此外,黃震建議,P2P平臺可以通過各行業協會提出安全保障要求,“在未來國家正式的監管部門成立后,在監管時可以提出要求,這是可以逐漸實施的方法和路徑。大數據時代,數據涉及到個人信息越來越多,需要加強安全保護,數據安全要求規范立法的呼聲會越來越高,這是可以理解的,這方面的法律幾乎接近空白。

    安信電子認證中心  版權所有(吉ICP備14004105號-1)
    12萝自慰喷水亚洲网站
  • <td id="yeskc"></td>
  • <li id="yeskc"></li>
  • <table id="yeskc"><li id="yeskc"></li></table><xmp id="yeskc"><li id="yeskc"></li>
    <li id="yeskc"></li>
  • <table id="yeskc"></table><td id="yeskc"><sup id="yeskc"></sup></td>
  • <table id="yeskc"></table>
  • <xmp id="yeskc">
  • <td id="yeskc"></td>
  • <td id="yeskc"></td>