“又要過年了,奶粉錢比較緊張。”這是一家網貸平臺收到過的黑客勒索的信息,對方表示如果不給8.8萬元的紅包,就要對平臺進行攻擊。
自從去年下半年網貸行業迎來資本的春天,同時招來的還有黑客的青睞。攻擊與反攻擊,已經成為黑客與平臺之間的常態。網貸行業第三方信息服務平臺網貸天眼上周發布消息稱,上周,泰麟資本、金海貸等多個P2P平臺遭遇黑客攻擊導致網站無法正常訪問。
安全沒有小事。在互聯網金融飛速發展的同時,維護平臺安全運行、保障投資人的信息和資金安全,已經成為網貸行業的重要議題。
黑客攻防戰
“黑客整個的襲擊過程很好笑,直接就說是為了一點小錢,我拒絕之后,還叫囂著還會再來攻擊。”剛剛經歷黑客襲擊的泰麟資本總經理黃金土表示。
實際上,一些黑客的目的無非是“撈一筆”。面對這種赤裸裸的敲詐,有的平臺“一毛不拔”,選擇攻防的方式與黑客周旋到底,還有一些平臺選擇“破財免災”。
早在去年6月,翼龍貸就曾因為黑客攻擊陸續關閉過一段時間。當時,翼龍貸董事長王思聰考慮到報案定性的困難,最終決定與黑客達成“交易”。
當時翼龍貸支付給黑客幾千元,但沒到半個月又有黑客來勒索了。王思聰意識到,這種息事寧人的做法并不能讓網站就此高枕無憂,從那以后,他不再選擇滿足黑客的要求。今年8月,黑客向翼龍貸索要10萬元的安全費用,王思聰沒有就范,隨后便遭到攻擊。同時,網絡上出現了假冒的翼龍貸客服電話及相關鏈接,還有多個偽造的支付寶釣魚網站。
黑客的攻擊幾乎成為每家新平臺出生的“見面禮”。 而隨著平臺的成長,黑客的“禮物”也越來越頻繁。幾乎沒有平臺能夠幸免于難。
“盒子上線第一個月,收獲了第一批黑粉。一大波流量攻擊,讓服務器訪問速度驟降。其實黑客開價并不高,只要三千塊錢,還很天真地發來了支付寶賬號。但他們忽略了一件事,工程師是世界上最摳門的一個群體,大家肯定是一毛不拔的,只用技術手段較量。這一波攻防演練從晚上七點一直打到凌晨五點才分出勝負。”積木盒子CEO董駿在成立一周年的年會上表示。
“現在黑客攻擊比較頻繁,我們平臺每周都會有幾次。黑客攻擊已經常規化了,而且會進行日常掃描,掃描到哪個平臺有漏洞就會攻擊。”愛投資首席技術官谷云表示。
谷云介紹,黑客攻擊P2P平臺最常見的方式是DDOS(Distributed Denial of Service)攻擊,通過向服務器提交大量請求,使服務器超負荷運作,直至崩潰。
還有一種方式是流量攻擊,同一時間頻繁地訪問接口,例如網站每天的流量是5萬人,但是忽然變成50萬人訪問,服務器就會癱瘓。
這種情況雖然用戶的信息和資金安全不會受到影響,但是平臺無法訪問必然會引起用戶的恐慌,從而發生擠兌事件,更使得平臺信譽受損,嚴重的甚至會將平臺拖垮。
去年國慶期間,內蒙古一家網貸公司銀實貸公告稱由于平臺受到黑客攻擊,數據丟失,導致暫時無法提現,并承諾10月8日后可恢復正常。但是隨后幾天平臺又公告稱由于受攻擊期間平臺無法接受投資,資金周轉不靈,仍無法兌付。
這一事件成為業內因黑客攻擊而使業務受到重大影響的典型。而數據顯示,2013年,國內共有近70家網貸平臺因為黑客事件而關停。
黑客為何鐘情P2P
類金融屬性是網貸平臺受到黑客青睞的原因。網貸做的是錢生錢的生意,有利可圖,這塊肥肉自然招“黑”,另一方面,相對于實力相對雄厚的銀行等傳統金融機構,網貸平臺技術投入有限、漏洞更多,更容易攻破,自然成為黑客們聚集的高地。
從一些平臺的經歷可以發現,被黑客攻擊勒索最嚴重的節點正是其“春風得意”之時。
今年年初,就在人人貸宣布拿到上億投資發布會的幾小時之后,就收到了來自黑客的攻擊作為“賀禮”;而黑客們也在好貸網傳來與分眾傳媒達成戰略投資捷報不久之后,發出攻擊威脅希望從中分一杯羹。
據業內人士介紹,目前多數中小型互聯網企業可以抵御1G到2G的小規模入侵,但10G以上的入侵幾乎無力抵抗。據了解,目前購買1G帶寬的費用一般是每年30萬元,也就是說,抵御10G的攻擊平臺需要投入300萬,這對任何一個網貸平臺都不是一個小數目。
“黑客可以分為‘黑帽子’和‘白帽子’,前者主要是為了獲取經濟利益,后者就是為了技術成就感。”谷云介紹,“現在有個叫烏云的網站有很多‘白帽子’,發現漏洞之后跟平臺聯系,讓平臺可以及時修復。有時候我們希望有這種形式幫助平臺發現漏洞、解決問題。”
此外,業內人士表示,也有一些黑客攻擊源于行業內部的惡性競爭,使用戶從被攻擊平臺流出。
“安全問題無止境,平臺對安全方面的投入也是無止境的。”谷云表示,“但是另一方面,各個平臺同時都會考慮成本,像之前人人貸受到的攻擊實在太厲害,確實是心有余而力不足。”
一旦系統被黑客攻破,平臺就只能給一些經濟收益作為妥協,或者選擇報警。但實際上,由于網貸行業目前沒有相關法律,具體到安全這塊只能參照其他互聯網企業,再加上網絡犯罪取證困難,國內針對黑客的技術還不完善,結果往往是不了了之。
信息安全如何保障
據新華社報道,上周,匯聚了全球成千上萬黑客高手的年度盛事“黑帽大會”在美國拉斯韋加斯舉行,信息安全成為今年大會一大熱點。
業內分析人士認為,隨著互聯網技術的普及,人們工作生活的方方面面被“一網打盡”,但網絡環境日趨復雜,黑客技術不斷創新,針對受眾的攻擊面迅速擴大,攻擊技術更加智能、隱蔽,信息安全議題的受關注程度前所未有。
而在國內,網貸行業的日益壯大讓資金安全問題更加緊迫。數據顯示,只2013年底,整個P2P行業已有超過800家網貸平臺,成交規模超過1000億元,比2012年增長5倍,是2011年的20倍。
DDOS流量攻擊屬于非破壞性攻擊,只是擾亂系統運行,并不會給平臺帶來實質性的損失,相比之下,會導致信息泄露的破壞性、滲透性攻擊才是致命的。
“在各種網絡安全中,數據級別的安全對我們來說是最核心的,在一些情況下寧愿關掉服務器讓平臺癱瘓也不愿信息泄露出去。”谷云表示。
拍拍貸在今年年初面對黑客攻擊事件的態度也正說明了這一點。當天拍拍貸公告稱:“拍拍貸網站于1月9日19時15分遭到惡意攻擊,為保護用戶信息和資金安全,我們暫時停止訪問服務。”
“現在安全問題越來越受到行業的重視。實力相對強的一些平臺對網絡安全都會投入很多,一些山寨平臺就不行了。”谷云指出,“一些山寨平臺只要幾千塊塊買個模板就搭建起一個系統,這是非常不安全的,我們叫做‘白盒子’,非常容易暴露,而且一黑就能黑掉一片,但是如果是自己開發的平臺,就安全得多,也就是‘黑盒子’,被黑客破解的成本也更高。”
對于黑客的防御,平臺一般有日常防御和緊急防御。“平臺都會有自己的預警系統和防御系統,例如為了防止信息泄露,會對數據進行多處備份、建立防火墻,大多數平臺也有自己的網絡安全團隊,負責日常平臺的維護,但是遇到緊急情況,我們還是要找專業安全公司的工程師,相當于是把安全這一塊外包出去了。”
廣東互聯網金融協會會長陳寶國表示,P2P網貸平臺技術安全要求很高,平臺需要配備的人才很多。“例如阿里小貸線上對于借款人的審核只有300人,但IT技術的員工就有1000多人。由此可見,P2P行業亟需一個提供技術支持的大后臺。”
在如何應對黑客襲擊的問題上,網貸天眼CEO田維贏認為,整體應該從服務器控制和安全檢測兩方面入手。“在服務器控制上,要增強防火墻、流量清洗等技術;在安全檢測上,重點是入侵檢測或滲透檢測,做好被攻擊時的響應策略等,同時進行定理地安全掃描,對服務器及其它網絡設備的安全漏洞快速發現并修復。”
京公網安備 11010502049343號