014年8月,平安陆金所发现苹果App Store上线一款山寨版陆金所客户端,客户登录APP账户将面临风险;
2014年8月,深圳P2P网贷平台金海贷遭遇黑客勒索攻击,网站无法正常运营;
2014年3月,网贷之家遭到黑客持续一周多时间的恶意攻击,包括数万IP的CC攻击,持续10分钟30G/s的流量攻击;
2014年1月,拍拍贷、好贷网等多家互联网金融企业也同时遭遇黑客DDoS攻击;
2014年1月9日,人人贷刚刚宣布获得1.3亿美元融资,就遭到黑客猛烈的攻击;
…
互联网金融遭黑客攻击事件不胜枚举,黑客攻击从未停歇,也永远不会!
如果将互联网金融比作互联网上的钱庄,就必须要有“走镖人”——专业网站安全厂商保驾护航。
近日,在安全宝主办的“金融·互联跨界融合——2015互联网金融干货分享”沙龙上,安全宝CEO马杰接受媒体专访时表示:“互联网金融业务丰富,复杂得就像是一座城堡有无数门窗、无数入口。即便你守卫好前门和后门,仍然不能保证安全,因为还有天台、地下室等各个渠道可以潜入。安全风险无处不在。”
对于互联网金融平台的安全性复杂度,人人贷副总裁蓝晏翔深有感触:“互联网安全威胁一部分来自于产品本身,比如基础架构、产品研发和系统运维方面,另一部分则来自于信息安全,包括内部和外部信息安全。此外,安全风险还包括金融安全,主要来自于支付和交易的环节,如何识别出坏的客户和具有风险的交易。”
互联网金融的发展速度超乎预期,但是安全体系的建设却并非一朝一夕可以完成,因此跑得越快,漏洞也就越多。究其原因,马杰认为主要来自五个方面:一是安全意识还不够,甚至为了提高信息可信度,很多敏感数据直接展现出来了;二是IT技术薄弱,缺乏安全人才;三是IT基础架构设计不尽合理;四是行业发展快,程序上线前审核不够严格,漏洞百出;五是没有良好的运维体系。
资金量巨大、安全防护不足的现实,自然会吸引黑客不断寻找渗透机会。当前,互联网金融的安全风险包括资金安全威胁、用户信息安全风险、黑客勒索攻击甚至同业恶意竞争等多个方面。
在资金盗取方面,比特币网站是主要的受害者。昔日全球最大的比特币交易网站Mt.Gox就因为被黑客盗取65万个比特币而最终倒闭。“以比特币为代表的电子货币的设计机制是匿名的,因此被盗取之后根本无法追踪。”
无论用于用户客户获取、征信,还是用于账户资金窃取、电信诈骗,互联网金融的用户信息都具有很高价值。用户数据到了竞争对手那,对方还可以了解投资人和借款人资源,而这些都是互联网金融企业的核心竞争力,如果能够以更简单的途径获得,实际上是降低了运营成本,增加了商业机会。这就让一些地下黑色产业链看到了“商机”。
更重要的是,黑客攻击让企业损失的不仅仅是钱和用户信息,而且全方位地影响到企业运营的方方面面,包括商誉和公关战。
雇佣黑客对竞争对手进行DDoS攻击、CC攻击在互联网金融领域早已是公开的秘密。“这种暴力型流量攻击目的是让用户无法访问你的网站,让你没办法开门做生意。这里面有互相的恶性竞争,也有直接来自黑色产业链的勒索。”马杰提示,这种攻击在节日期间或者网站促销活动期间最容易发生。
事实上,互联网金融企业并不是不重视安全,而是大多还在忙于跑马圈地,无暇顾及安全防护。大部分互联网金融平台都是在碰到安全事件需要紧急处理时,才会想起跟安全厂商合作。
对此,马杰表示:“2014年安全事件已经足够多了,2015年互联网金融行业的发展将趋于成熟,企业在安全和风控方面的水平将直接影响用户的选择。因此,企业在发展过程中,越早与安全公司合作越好。”
马杰将互联网金融平台比作互联网上运送黄金的钱庄,而安全厂商则是保护黄金的“走镖人”。那么,互联网金融企业该如何选择自己的 “镖师”呢?
当前,安全厂商分为产品型公司和服务型公司两类。产品型公司适合规模较大,有自己强大运维团队的公司。而互联网金融行业大多是创业型公司,它们更适合选择服务型的安全公司。因为没有强大的运维团队,安全产品买回去之后如果用不好,不能及时更新规则就成了一个摆设。而既懂自身业务又懂网络安全的人才薪水一年要几十万,由此设备的总体拥有成本立即上升不少。
在服务类安全厂商中,既有提供普适安全服务的平台,也有提供个性化定制的服务型企业。基于互联网金融的特性,马杰更倾向于后者:“无论半夜几点出问题,我们都有人接电话,给企业做应急响应,为其修复漏洞,实时阻断黑客渗透,清除黑客攻击后门。当遇到DDoS和CC等暴力型的流量攻击,网站只要切入到安全宝的抗D中心,就可以轻松应对百G的攻击。”