4.解析 p2 p 金融安全

关于我
乌云⽩白帽⼦子
安全爱好者
安全防御研究
2012-2015 当当⺴⽹网⺴⽹网信⾦金融
2015-今万达电商

互联⺴⽹网⾦金融及P2P简介
P2P⽇日常安全解析
P2P业务安全解析
1
2
3

01
互联⺴⽹网⾦金融及P2P简介

互联⺴⽹网巨头众安在线
⾦金融⼤大佬
创新玩家
互联⺴⽹网⾦金融三类玩家

P2P介绍
渠道、平台
融资⽅方投资者
直接对接
• ⾦金融机构
• ⺴⽹网站平台
提供服务
特⾊色：
1. 投资者直接与融资⽅方签约
2. 融资⽅方的资质与项⺫⽬目透明
3. 通过借贷⽅方式获得收益，简
单直接
4. 投资者所需⾦金融相关专业知
识要求⾼高
• 担保公司
• 咨询公司
中介机构

线上电商
⾦金融理财
⼿手机钱包
消费⾦金融
众筹
商户⾦金融
钓⻥鱼⺴⽹网站
⼿手机⽊木⻢马
电脑病毒
⿊黑客攻击⺴⽹网站
洗钱
⿊黑客盗卡、盗号
磁卡侧录、克隆
内外勾结
⼈人为操作失误
客户恶意欺诈⼿手机被盗
SIM卡克隆
商户移机
⾮非法套现
营业员盗号、盗PIN
商户套码
客户信息外泄
短信拦截
投资标的失败
投资标的违约
逾期
违约
系统设计漏洞
流程缺陷
监管合规压⼒力
合作⾦金融机构违约
经济环境波动
系统崩溃

互联⺴⽹网⾦金融 =互联⺴⽹网⾦金融+⻛风险⻛风险⻛风险
互联⺴⽹网安全⻛风险
所有的互联⺴⽹网⺴⽹网站都⾯面临的安全⻛风险，如
DDOS、web漏洞、密码破解、钓⻥鱼等等；
如何在快速迭代开发过程中保证web安全；
接⼝口⻛风险，如⽀支付、合作伙伴、认证接⼝口等
；
IDC、服务器、数据库、线路等基础设施的
安全⻛风险。
⾦金融安全⻛风险
• 资⾦金与⽀支付⻛风险；
• ⽤用户⾝身份仿冒、欺诈、套利、洗钱；
• ⼿手机与APP⻛风险；
• 内控与合规⻛风险；
• 敏感信息泄露⻛风险。

1注册 2绑卡 3充值 4购买理财 5回收资⾦金
P2P业务流程

1注册
关键词：⽺羊⽑毛党

分⼯工明确
妇⼥女，学⽣生居多

⾃自给⾃自⾜足
电话基本⽆无法接通

内外勾结
银⾏行------⽺羊⽑毛党
⽺羊⽑毛党------平台

对应办法
最主要的是从业务⾓角度防套利，不能让⼈人“空⼿手套⽩白狼”；
⽺羊⽑毛党⼼心态：防⽌止被平台反撸
减少收益，提⾼高收益⻔门槛
⼈人⼯工识别（客服挂电话）
机器识别
⼤大数据应⽤用

1注册2绑卡
验证姓名与⾝身份证号:利⽤用公安部接⼝口校验⾝身份证信息
绑卡阶段:银⾏行预留姓名

对应办法
四要素验证 :⾝身份证，银⾏行预留⼿手机，姓名，银⾏行卡号
⼩小额打款验证

1注册2绑卡3充值
⽀支付漏洞
同卡进出
资⾦金闭环
对账系统
5回收资
⾦金

1注册2绑卡3充值4购买理
财

财
充值投资回款提现注册/登录
•查看项⺫⽬目
•选择投资
•签署协议
•查看已投项⺫⽬目
•查看回款计划
•回款通知
•⼿手机验证
•⾝身份验证
•申请提现
•银⾏行卡到账
•绑定银⾏行卡
•通过第三⽅方⽀支
付⼯工具账户充
值
• 正常的⽤用户⾏行为：

财
编辑资料注册/登录
• 异常的⽤用户⾏行为：
编辑资料编辑资料编辑资料

钓⻥鱼
攻击成本分析： 
构建⺴⽹网站成本+法律⻛风险成本（？） 
某银⾏行⺴⽹网银⽤用户总量m（⼏几百万-3000万） 
⼿手机⽤用户总量n（ 5亿个⼿手机） 
上当的概率p（万分之⼀一） 
⼀一条短信价格a（ 5分） 
钓⼀一条⻥鱼成本 
X=a/(p*m/n)+？ 
信息泄露----钓⻥鱼

4.解析 p2 p 金融安全

More Related Content

Viewers also liked (12)

4.解析 p2 p 金融安全