6月1号,国家颁布实施了网络安全法,其中第40条、第41条,对互金业务风控影响非常大。
附则解释了几个名词:
第一,网络运营者的概念,有提供APP、提供网站、提供网络服务的统称为网络运营者。
第二,网络数据的概念,手机号,快递地址,名字,邮箱,只要能跟本人形成一个关联,只要跟你的服务端有交互,甚至是淘宝的一个订单信息,都属于网络数据。
第三,个人信息的概念,有个“包括不限于”的字样,只要能反向追溯到一个人的信息都属于个人信息。
网络运营者收集信息也受到限制。
第一,合法正当,你得解释为什么要存储、收集。
第二,公开收集,以前互金网贷,安卓端APP直接就收集信息,用户完全不知情,但是现在必须要明示出来。
第三,不得收集与自身服务无关的信息,现在很多APP打开就会有定位要求,为什么要定我的GPS位置?解释不清的时候也属于违反法律。
安全法出台后,在互金领域影响最大的就是支付宝花呗关停风波。
马云说他能知道全国哪一个省的女性买的内衣是最大号的。用户点了同意协议,但可能根本不知道自己的隐私信息被收来了,不知道被拿来做了什么。安全法实施后,花呗新的合同被公示出来,导致用户有了一个危机意识。花呗也在官微上解释了收集用户的信息原因。
今年6月份,广东省警方开展了“飓风1号”专案行动,摧毁侵犯公民个人信息犯罪团伙6个,捣毁犯罪窝点14个,抓获犯罪嫌疑人138名,缴获涉及全国公民个人信息近1亿条,查扣银行卡2000余张和电脑、手机、存储设备一批。
还有一个重要影响,8月1号重庆网警在公众号发布:重庆公安局网安总队成功查处了一起案件:网络运营者,提供网络服务过程当中未依法留存用户登录网络日志。
这意味着,网络运营得要留存用户访问日志半年信息,方便执法机关审计,没有存储日志的,直接就被依法查处。
我们可以总结一下,网络安全法对网站的影响:第一,用户信息收集要经过用户同意;第二,做好日志存储,数据保全,保证信息不被泄露。
骗贷群体是怎么诞生的?这个群体并不神秘,他们从信用卡时代过来。2013年余额宝诞生后,中国的网贷时代到来了,他们也看到了这个风口。他们会通过一些论坛(比如我爱卡),贴吧(比如戒赌吧),微信公众账号,微信群、QQ群聚集,顺便获客。
他们攻击逻辑:
1 集群攻击。他们的技术迭代非常快,一旦有人发现一个技术,就会开始招代理,将技术扩大。如果在早期没有遏制,很快就开始席卷整个互联网圈。
2 反复测试,拿着用户的资料,反复试各个平台的风控规则。有一批人是专门靠骗贷教学为生。他们发现了平台风控漏洞后,自己先撸,之后马上把这个技术二次传达,建立收费群,招收学员。
3 包装资料,以假乱真。不管平台风控制定了什么规则,他会相应地去包装一些资料出来。比如在黑市上购买身份证、银行卡、手机号“三件套”,之前是30块钱,现在已经涨到了1500。或者用“海马玩”模拟器修改自己的定位,伪造银行账单等。
4 卧底,为了拿到一手的资料,他们会试图混进公司。某家现金贷公司就曾被卧底打入过,男的用假学历做了信审主管,他的媳妇是地下中介,两个人内外勾结放钱。
对于骗贷中介的防守要点:
1 平台对于骗贷群体的监控远远不够,需要花时间精力监控他们的动作,关注论坛,打入QQ和微信群,了解他们最近有什么技术,哪些风控规则已经被突破了。
2 做好内控,对于新招进来的信审员工做一些背景的调查,不能让中介混进来。
3 及时修改风控规则。骗贷技术迭代速度非常快,甚至可以保证三天一迭代。
4 资料联网查询。
5 设置套现门槛,比如,医美这个场景中,需要首付30%等。
黑客主要会在三个体系中攻击:
第一是账户体系。最直接的业务体现为注册、登录、找密三个主要入口。而黑产、灰产、“羊毛党”会有撞库攻击、盗号洗号、验证码安全等攻击行为。
第二是交易体系。交易体系安全主要在电商、金融类发生实际交易的场景下出现。
