文 | 木子
2019年7月19日,美国著名银行机构Capital One被发现遭遇黑客入侵,共有约1亿美国用户和600万加拿大用户的收入报告、信用评分、账户余额、付款记录和个人通讯录等多项数据被泄露。
互联网时代,网络攻击已成为金融系统面临的一个重大威胁。作为2015-2019年互联网金融中最火爆的单品,现金贷庞大的数据和交易资金,很容易就被黑客盯上。
黑客们在这片利益江湖中寻找漏洞、渗透攻击、盗取数据、洗劫资金……这里已经无疑成了他们展示技术、获取利益的天堂。
黑客出击
据一位资深人士介绍,黑客攻击现金贷大致分为两种:
一是DDOS攻击,就是黑客用超出正常流量范围的大流量把平台服务器搞瘫痪,使得平台方无法进入后台和用户无法打开网站、APP,然后平台给到黑客满意的费用后才将服务器恢复。当然这是比较低级的黑客干的事情。
二是入侵攻击,就是拿下平台的后台或者支付秘钥,然后盗刷平台资金。这种需要超级高的技术或者是系统商内鬼才可以干得出来的。
近日,有网友向媒体爆料,某现金贷平台遭遇黑客攻击,并收到勒索短信。
该黑客通过技术手段,在平台的H5注册页面,一直点击发送验证码,总共刷了10万条短信。一条验证码,收费几分钱,这10万条短信验证码,导致平台需要向通道商支付几千块钱。然后,黑客发送勒索短信给甲方“想APP不卡,不被刷验证码,请加微信号:XXX。”
黑客勒索短信 图片来自于网络
在平台通过技术手段解决了短信被攻击的事情后,也就没再搭理勒索短信。紧接着黑客就采用DDOS攻击的方式,用大量的流量来攻击平台的服务器,导致服务器无法正常访问,并再一次发送勒索短信,声称让平台系统无法正常使用。
另据该网友爆料,近期,还有两家现金贷平台同时遭受更恶劣的黑客攻击,直接渗入到了平台的支付账户。一家甲方平台支付账户里有几千块钱,而另一家是7万多,黑客最终只选择将7万多余额的账户的钱转走。
“我们目前主要做数据爬取业务,为有需求的买家提供平台的支付入口权限和密码,让他们自己去操作,一个平台报价200元。”黑客叶辉告诉消金社,他通过技术手段获取现金贷平台的登录权限后,再给到买家具体操作方法,买家便能轻松从平台爬取出几万条数据来。
而那些最鲜活的、刚刚放款的用户数据,在市场上出售,便可以大赚一笔。
在地下市场,质量高、没被洗过的一手借款用户数据,甚至能卖到7到8元一条。假设黑客一天盗取6万条数据,哪怕只按5元/条的价格出售,每天就可以净赚30万元。
一位黑客曾透露,他们已入侵了几十家平台,拖出几百万条数据来卖了,而且反复卖。数据囊括了姓名、密码、邮箱、身份证、电话、QQ等多个维度的用户信息。
根据防撸联盟报告,近期,现金贷行业平均每周发生安全事件390次,每周盗刷、敲诈勒索金额高达千万级别。“仅8月12日至8月18日这一周,统计就有143家平台被黑客攻击,占市场活跃平台的8%左右,其中有29家平台因为攻击停止拉新了。”一位现金贷行业观察人士表示。
如果没有过硬的安全技术,一不留神就会成为不法分子的炮灰。据传,有家上市公司开了家现金贷平台,结果被黑客薅掉了十个亿。
“直接勒索或盗刷资金的事情我们并没有经历过,但有黑客会攻破平台风控系统,进行批量的假借款。”一家现金贷平台的负责人陈超表示,这种撸贷的攻击方式对平台的伤害也非常大。
陈超告诉消金社,还有黑客通过技术手段导致网贷P2P官网无法打开,然后散发平台的各种跑路言论来造成投资人恐慌,以此逼迫平台为息事宁人“买单”。
攻防大战
网贷的本质是金融,金融的核心是风险控制,而风控也包括技术层面的网络安全风险控制。
为什么现金贷行业如此受到黑客们的“青睐”?
业内分析人士表示,首先,获利颇丰。现金贷平台交易的是钱,比电商平台更容易“招黑”,黑客即便不能直接从平台账户窃取到资金,也可以拖走数据库里的用户数据,转手卖钱。
其次,攻击容易。据了解,大量现金贷平台并没有自己的风控技术团队,而系统是直接从系统商那里采购。虽说市场上现金贷系统服务商有上千家,但大部分都是“二道贩子”,从其它系统商那里购买系统,改装一下,自己开始卖。因此,众多现金贷平台的系统漏洞为黑客提供了可乘之机。
有业内人士曾保守估计,真正自己开发系统的系统商,不会超过50家。而这也意味着,黑客只要渗透成功了一个平台,也意味着一批平台的系统风险已经暴露。
“我们研究超利贷的风控系统,研究他们的风控规则,找到漏洞后,只要搞定一家的系统,就可以同时拿下几百家平台,一单能赚几百万。”一位准备大力撸贷的黑客曾表示。
第三,风险不高。对一部分超利贷平台而言,就算是被偷了数据,或者被攻击瘫痪,这些平台也不敢报警,因为超利贷本身就是违法的。正因为如此,黑客才敢肆无忌惮。
平台遭遇DDOS攻击的提醒短信 图片来自于网络
在与黑客的攻防大战中,在对手凌厉的攻势下,现金贷的防御能力也在不断得到强化。
据统计,黑客攻击成本与平台防护成本之比大约是1:5。简单来说,黑客花1块钱,平台要花5倍的成本才能进行成功防护。因此,现金贷平台尽早进行技术的迭代修补漏洞,做好安全防护于是成为了最优选择。
“保持企业现金贷系统应用程序和嵌入式系统的安全,就像通过防止感染和其它疾病历史的攻击来管理人的健康。避免任何安全问题的最佳治疗方法是预防,最好尽早开始。”某现金贷系统专家向消金社表示,如果在现金贷系统开发阶段解决安全问题,与处理生产中的问题相比,它将节省近80-90%的成本和精力。
一位现金贷系统公司的工作人员告诉消金社,防黑客攻击这个比较保险的是换高仿服务器,比如说有的黑客攻击是用流量攻击,他们用20个G的流量攻击你10个G的防护,那肯定一攻击就破了,要是你的是50G的服务器就没事了。而在安全性方面,可选择与大公司合作,比如直接接入阿里云的服务器,黑客想攻击就没那么容易。
而对于不少想趁着现金贷热潮捞一笔快钱的现金贷平台来说,网络安全真的是一块鸡肋。要么没钱投入,要么投入再多钱,也不能保证不出事故,而这正好给了黑客们机会。
“目前微粒贷、玖富万卡这种大型平台我们不做,他们的风控系统比较严,我们主要做的是中小型平台。”黑客叶辉向消金社表示,中小型现金贷平台的服务器很少是阿里云的,有个别几个也只是注册的端口,“而不做大型平台其实影响不大,如果买家想多赚钱,可多做几个中小型平台。”黑客叶辉说道。
作为现金贷系统的供应商,系统商们深知,系统的漏洞越少、防护能力越强,其产品才能在市场上更畅销。消金社了解到,现在现金贷系统商越来越重视应对黑客的攻击,一些系统商已经开始从系统防御、服务器方面进行优化升级,为客户提供更完备的方案。
现金贷系统商产品防护升级方案
“扫黑”之路
人人都想在现金贷时代,分得一杯羹。
在现金贷行业风控的攻防大战中,不少“高精尖”的黑客团队和欺诈分子进场分食利益,而这带来的后果之一就是推动了地下现金贷行业逾期爆发。
多位现金贷从业者透露,从今年5月中旬开始,一些贷款平台的逾期率,已飙升到了60%或更高,更有甚者网上流传着一个平台“放出1000万,收回30万”的消息。
可以说最新4月份入场的小老板们已经有一批人血本无归,含恨离场。
逾期走高,除了流量紧张,多头借贷问题加剧,黑客以技术手段的升级撸贷也是原因之一。
严防黑客,打击黑产,“扫黑”已经成了现金贷行业的共识。
一位反黑产专家表示,打击黑产,平台做好技术升级还远远不够。因为防守方对于进攻方而言,永远是弱势的。就像守门员和前锋单挑,你永远不可能完全守住背后的大门,因为进攻方从什么角度攻击你是未知的。
在这位专家看来,打击黑产的关键,在于营造可逐步压缩黑产生存空间的市场环境。一方面在于加大黑客的惩罚力度,要让他们知道,非法勒索或入侵必被抓,抓到必被重罚,而目前的惩罚力度还没有真正达到让人恐惧的地步。
“像我们这种做爬取数据的,每次只要数量不是特别大,监管部门或网警没必要死咬着我们不放,因为网警每次出动的成本很高。”黑客叶辉对消金社表示,他们只把现金贷平台的支付入口权限和密码给买家,具体的由买家自己操作,他只是卖刀的,买家用来杀人还是切菜跟他无关。
黑客与买家聊天记录
很明显,叶辉并不想为自己从事的黑产交易承担任何责任和后果,事实上,目前相关部门也并未对他这种行为实施有威慑力的惩戒措施。
另一方面,打击黑客,需要建立反数据黑产的人才制度。例如从各大安全公司的风控和技术里抽调出一批人,专门用于打击黑产。据媒体报道,国内支付巨头支付宝目前就一直在花重金招聘黑客人才,以完善自身系统,加强网络安全护盾。
可喜的是,监管已经意识到了这一点,2019年开始,国内越来越多的顶尖的黑客们都在配合监管参与反黑,抓出了一大批黑产和漏洞。此外,互联网金融巨头们也在逐步地对外开放其成熟的智能风控能力。
某现金贷平台负责人陈超对消金社表示,他判断黑客未来在现金贷行业的活动空间会越来越小,毕竟现金贷属于金融体系的一部分,随着行业变得规范成熟,黑客想在这个安全系数高、监管严格的行业中真正有大的突破,可能性并不大。而即便侥幸有所“斩获”,相信也会付出难以承受的代价。
注:文中部分受访者为化名。