0x00 前言

有关e租宝公司被调查的新闻在微博、朋友圈被引爆刷屏。许多人看中P2P理财的高收益，却忽视其中的风险。猎豹移动安全实验室监测发现，P2P网站已成钓鱼欺诈网站的重灾区，大量P2P手机理财软件也存在安全隐患。网民须小心选择P2P类理财产品。

0x01 P2P行业现状

P2P网贷在2007开始传入国内，2015年呈现爆发态势，成交规模已进入万亿元时代。由于行业监管未出台，P2P行业处于野蛮生长阶段，鱼龙混杂，平台上线和跑路司空见惯。

据统计，截止今年，纳入中国P2P网贷指数统计的网贷平台有超过2500家，其中问题平台近1000家。从全国范围内看：广东、山东的问题平台数量最多，数量分别达到了163家和198家。从平台性质来看，问题平台无一例外都是民营系的。

图1 截止11月全国各省正常平台和问题平台数量统计

问题平台中29%出现提现困难，56%的问题平台选择了跑路，有的平台跑路后甚至连公司员工都不知情。

图2 问题平台状态比例

一般来讲，P2P平台运营出现跑路的有两种，一种是经营不善出现资金链断裂的；还有一种是纯诈骗性质的网站，骗到投资者钱财后就立马关闭网站跑路。即使是今天正常运营的平台明天就有可能倒闭跑路，那么如何识别诈骗和即将跑路的平台呢？这就先要弄清楚它的诈骗流程。

0x02 P2P网站诈骗流程

很多平台上线前期会以高利率为诱饵，发布大量虚假标的，通过虚假宣传、注册返利、秒标等形式，吸引普通投资者大量资金，资金到账后便卷款而逃。网站平台突然无法登陆，公司高管失踪，办公地点人去楼空。

也有部分网贷平台，宣称出现投资未按时收回，说是提现困难，让投资者继续投资支持平台。而在投资者交流群，会有一些人以低价收购无法提现的账号余额，业内称之为“收草”。而实际上，低价“收草”的人和欺诈平台是合谋诈骗。

图3 典型网贷诈骗流程图

0x03 诈骗手法

P2P诈骗网站吸收资金一般有以下几种手法。

1、高利率吸引投资者资金：

一般的P2P网贷平台年化收益率在10%左右，而超过20%，甚至接近30%都是需要高度警惕。监测发现，有的平台网站赫然宣称有700%以上的收益率。

图4 诈骗平台通过极高利率吸引投资者

2、高回报加奖励

某台上项目的年化收益率普遍超过22%，同时平台给予投资者以3%-5%不等的投标奖励。部分存在投机和侥幸心理的投资者很快就上钩被套牢。

图5 高利率、高奖励的借款项目

3、设立虚标

伪造借款项目和虚构借款人信息，并标出可观的收益率，吸引缺乏风险意识的投资者。如下图：某平台的借款项目信息说明含糊其辞，项目图片一模一样，明显是虚标或拆标。

图6 虚标或拆标的项目

4、庞氏骗局

利用新投资者的资金来向老投资者支付利息和短期回报，制造一种高盈利的假象，进一步骗取更多投资者的投资。一旦平台没有持续的投资来源，整个资金链就会断裂，平台就会跑路。前段时间风靡朋友圈的“MMM金融互助社区”就是典型例子。

0x04 P2P网站的安全性

除了诈骗平台蓄意骗取投资者钱财之外，P2P网贷网站广泛存在安全漏洞，极易导致黑客攻击。资金安全是每一个网贷平台应当首先保障的，而保障资金安全的首要前提是保障网站的安全。

P2P网站由于直接牵涉投资者的资金、个人信息、银行账户等敏感信息，故其危险性比一般网站的漏洞更高。

图7P2P平台存在的一些安全性问题

我们对部分P2P网站进行了抽样安全监测，目前发现有131家网站存在不同类型的安全漏洞。其中撞库攻击（40%）、信息泄漏（24%）、后台地址暴露（24%）是3个主要漏洞类型，严重危及网站的用户数据安全和资金安全。

图8部分P2P网站漏洞类型分布

0x05 P2P应用的安全性

由于智能手机的普及，很多平台开发了自己的手机P2P理财应用，方便投资者随时随地投资理财；有的平台甚至只能在手机应用上使用充值、投资、提现。

我们抽样审计了104款理财应用，约37%存在数据明文传输问题，8%的短信校验码在客户端校验，只有24%使用了加密传输，剩下31%由于部分平台倒闭跑路或其他原因，无法访问服务器。

图9P2P手机应用安全问题类型分布

• 密码明文传输

  104款应用中，有部分应用直接明文发送密码、支付密码，或者仅仅只是简单的base64编码一下。

  图10某P2P手机应用明文传输密码及金额

• 短信验证码客户端校验

  少部分应用中的手机短信验证码居然在客户端验证(HTTP回包中带有短信验证码)，这样可以造成恶意注册，刷红包，修改任意用户的密码等严重问题。

  图11某P2P手机应用本地验证短信校验码

显而易见的风险存在于P2P手机应用中，正规P2P网贷平台对安全十分重视，那些小平台和诈骗平台根本没有实力、或者根本没花心思去提升网站安全性。以下是猎豹移动安全实验室对部分P2P类手机应用的分析结果：

0x06 以P2P网贷为噱头人钓鱼网站

根据监测数据，2015年平均每月新增195家P2P理财钓鱼网站。这些网站生存周期较短，为了逃避拦截，通常会设置多个域名指向同一个IP地址。

图12 2015年每月新增P2P理财钓鱼网站数量

根据最近两月监测显示，P2P理财钓鱼网站的访问量呈锯齿状波动：其原因是P2P类钓鱼网站打一枪换一个地方，短短几天就完成建站上线->欺骗->关站->建新站的循环。

图13 十月和十一月P2P理财钓鱼诈骗网站访问量

0x07 如何识别诈骗平台

知道了P2P的诈骗流程和手法，就可以识别一个平台是否为诈骗平台了，通常有以下几种方法。

第一，诈骗平台的界面设计相对比较粗糙。很多诈骗平台基本是几千块钱购买一个模板，再租一个主机空间就上线了，并且通常IP地址位于境外。

图14套用同一个模板的理财诈骗网站

第二，宣传的收益率很高，甚至远远高于行业平均水平。

图15诈骗网站高利率的虚假项目

第三，公司介绍造假，备案和注册信息造假，办公地址较为偏远，甚至根本不存在。

图16某P2P曝光群曝光的某诈骗平台的虚假注册信息

第四，平台活动不断，常见日标、秒标，但标的信息含糊其辞，如资金周转等。甚至虚构借款人信息，设立虚标。

第五，诈骗平台基本没有第三方资金托管平台。投资者注册平台帐号后可以直接投资，不要求注册第三方支付机构帐号的，可确定是没有资金托管的。

第六，平台负责人曾有过失信记录，可登录最高人民法院网站（shixin.court.gov.cn）查询。

第七，平台业务是否公开透明，过往业务记录是否可查询调阅。

第八，平台涉及自融，如果平台资金被平台本身或股东挪作他用，那就是自融，涉嫌非法集资、诈骗等违法犯罪行为。

0x08 真实案例

11月23日，宏量财富将网站<www.hongliangcf.com>关闭， 并把群里的一千多用户踢得一干二净。

这家名为宏量资产管理有限公司的平台，成立时间不足三个月。该公司各种注册和资质手续均齐备，且网站也有ICP备案。注册资金为两千万元。

据受害者称，10月份时，经过各项考察，认为平台可信，于10月23日在平台投资1万元，随后被告知该平台三名高管于11月23日凌晨跑路，大概有十几个投资者以及公司10名员工均被蒙在鼓里。据该平台同为受害者的客服主管说，至少有4000投资者，涉及金额高达2400万以上。

图17宏量财富跑路爆料帖

即使是实地考察过的，平台有正规备案的也可能因为经营不善，资金链断裂而跑路；部分平台在经营正常的情况下，负责人也可能由于贪婪而卷款跑路，甚至连平台自身工作人员都不知情。目前宏量财富的受害者们已经建立维权群并报案。

0x09 正规平台运作流程

除了识别一个平台是否为问题平台，还要知道正规平台是如何运作的。像红岭创投、宜人贷、陆金所等大型正规网贷平台都会有严格的运作流程，用户的信息和资金安全都有充分保障。

1、严格的贷前审核

正规平台针对借款人会有严格的贷前审查，通过背景调查、借款用途调查以及个人信用风险评估等审核借款人提出的借贷需求，避免不良客户的欺诈风险。

2、完善的贷后管理

借款项目遇到逾期未归还借款的，平台会采取充分手段催促借款人还款，甚至采取法律手段。并且对投资者完全公开透明。

3、充分的风险准备金

如果投资者的投资的某笔借款出现严重逾期，平台应会通过风险准备金对投资者偿付本金和利息，分散投资者投资行为所带来的信用风险。

4、完善的法律和政策保障

正规平台从事业务应当是合法合规的，不进行拆标和虚标行为，每个借款项目都有合法的电子合同、财务抵押凭证等必须的文件文书。

5、第三方资金托管和担保

正规平台采取和第三方合作托管用户资金，不私设资金池。严格规范资金管理，并有第三方担保交易。

6、重视平台自身和用户信息的安全

平台网站建设充分重视安全问题，通过加密连接、防火墙、二次验证等技术手段保证数据和信息的安全。并有严格的IT管理规范，防止出现人为的安全事故。

0x0A 结语

P2P网贷是伴随“互联网+”兴起的新生行业，目前行业监管不明，P2P行业在全国处于野蛮生长阶段。由于P2P的特性，存在投资者分散，平台不透明，资金监管缺失，借款人信息难以核实等问题，使得部分平台借机诈骗敛财，卷款跑路事件屡屡发生。另一方面，由于平台运营方对安全缺乏普遍的重视，网站的安全漏洞层出不穷，黑客攻击造成的系统瘫痪、数据恶意篡改、资金盗取等时有发生。

对于投资者而言，面对高利率和高回报要保持理性，认真考察评估平台的真实性、安全性、专业性以及可持续性，选择可靠平台并分散投资。随时关注平台及借贷项目的最新情况，保存充值记录、借贷项目合同、客服记录等证据，方便及时维权。

对于网贷平台方，要充分重视用户信息和资金安全，及时修复网站和应用存在的各种安全漏洞，并且对资金进行第三方托管，遭遇黑客攻击要及时联系警方处理，不能姑息和纵容。