前言
几年前,撞库这个词对我们来说还算陌生,不过,我们对它似乎已不再陌生。
一个个撞库事件的背后隐藏的是什么样的黑色产业链?
一个个撞库事件的背后是什么样的利益驱动?
一个个撞库事件的背后谁是追魁祸首?
一个个撞库事件的背后我们该如何防范?
撞库,一个非属于漏洞的漏洞,威力无穷。
于是,我们开始思考,开始警觉,甚至开始惊悚,开始觉得无解。
然后,便有了下面的文字。
黑客通过各种手段(社工/攻击/交易等)收集互联网已泄露的用户+密码信息,之后在目标网站上尝试批量登录,撞运气,试出一批可以登录的用户名和密码。如果用户图省事在多个网站设置了同样的用户名和密码,黑客很容易就会通过已掌握的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。进而有更多的获利空间,如:诈骗,盗用,信息被多次交易买卖等。严重时,还可能会导致财产和生命安全。
因大部分的用户安全意识较为薄弱,且为了记忆方便,使用统一的用户名和密码是常见的习惯,但这就相当于给自己打造了一把“万能”钥匙,一旦泄漏,则可能导致累及其他帐户或其他用户。
撞库无论对普通用户还是对其他服务提供商来说,伤害都是可怕的。举个例子,之前某电商网站发生的“抹黑”事件,就是黑客利用“撞库”方法,“凑巧”获取到了该电商网站用户的数据(如用户名+密码),然后通过模仿正常用户的评论,留下了大量差评,导致对正常商家产生了非常恶劣的影响。
2014年3月,携程因出现技术漏洞,导致个人信息、银行卡cw安全码等信息泄漏; 2014年5月,小米被爆用户资料泄漏,涉及800万小米论坛注册用户信息; 2014年8月,多家快递公司被爆网站存在漏洞遭入侵,有1400万条个人信息被泄漏; 2014年12月,智联招聘86万用户简历泄漏; 2014年12月,东方航空大量用户订单泄漏; 2014年12月底,12306火车订票网站被人撞库; ………… 前有古人,后有来者,绵绵不绝,下一个受伤的人又是谁呢? 我们不再敢再有看热闹看笑话的心态了,最后会不会被伤害到,撞库让这一切成为可能!
撞库的基础是黑客手里需要掌控用户信息,那么这些信息的源头来哪里来,这就要说说拖库了。
和撞库类似,拖库也是一个黑客术语,它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为,因为谐音,所以也常被称作“脱裤”。
在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链,将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。比如:售卖用户账号中的虚拟货币、游戏账号、装备等变现,也就是俗称的“盗号”;对于金融类账号,比如:支付宝、财付通、网银、信用卡、股票的账号和密码等,用来进行金融犯罪和诈骗;对于一些比较特殊的用户信息如:学生、打工者、老板等,则会通过发送广告、垃圾短信、电商营销等方式变相获利;另外是将有价值的用户信息直接出售给第三方,如网店经营者和广告投放公司等。比如黑客利用此次获取的12306帐户信息做铁路购票、退票、专卖信息等。
虽说撞库很难防范,且最关键的是问题是掉链子的又不是我啊!But,没错,But作为普通用户,难道就没有办法抵抗了吗?以下有几个小招,谈不上葵花宝典,但减少被撞库的可能性还是妥妥的。一起来了解一下吧!
第一招:密码轻重分离。
重要帐号的密码要分离。也就是说,日常的帐号基本可以分成两类:财产类和娱乐类。用户名都统一其实这个无所谓,最关键在于密码。对于重要的帐号(如财产类)密码要分离。娱乐类的帐号可以使用统一的用户名和密码。财产类的帐号可以使用各自独立又有关联的密码,即选用相似的密码规则方便记忆。比如:财付通的密码可以是: caiXXXXXX(常用密码几位数字)futong,或cfXXXXXXt,cXXXXXXft,cftXXXXXXdemi,cftXXXXXX1108。类似淘宝的密码可以是:tbXXXXXXdemi等,只要密码规则类似,且主体数字一致,其实也蛮容易记忆的。亲们,可以试试看,据说用过的都说好。
第二招:登录方式要分离。
重要的帐号可以选择非直接密码登录,比如需要验证手机或APP动态密码/扫描二维码等方式,真正做到轻重分离,关键帐号为了更安全,体验可做妥协和平衡。
第三招:定期/不定期改密。
这招虽说老生常谈,但益处多多,不然也不会那么多公司/企业都强制要求员工经常改密。大家都懂的道理就不再废话了。
作为服务的提供者,也许安全措施再严密也难保100%不被拖库,也难保其他人被拖库后带来的连带影响,比如撞库扫号等。
说到底还是得有实力来防范撞库。撞库的对抗本质是人机的对抗的过程。在策略对抗方面,下面这些思路并不新鲜,但组合起来还是很有效的。
第一招:弹验证码。
可以根据号码的属性和历史行为分析,当发生可疑登录时,触发不同类型的验证码。比如:长验证码、短信(微信)验证码、中文验证码,或其他有交互类/智能类的验证码,确保有效对抗验证码的自动破解。
第二招:自动识别异常IP。
目前各大安全公司基本都有建设和维护自己的IP信誉库,关键时刻,数据的积累和刻画是非常之重要的。黑客虽然可以利用代理等随机变换IP,但毕竟不管如何,IP资源也是有限的,我们掌握得越多,黑客可以利用的资源就越少。设备指纹库库思路类似。
第三招:收集泄露信息,构建泄露库。
好处在于可快速判断是否属于撞库。比如:12306的泄露信息,被用来撞QQ或微信,而并不存在这样的帐号,这样的行为多起来的时候则可能是撞库。
另外,配合异地聚集等策略,如命中历史密码比率高的、或密码错误率高的,特别是泄露信息聚集的基本可判断为撞库。那么在准确度极为可信的情况下,直接返回密码错误混淆黑客的耳目也不算暴力,或是采用类似差别验证码的思路,需要密码连续对N次才放过,或是登录延时等策略。这样就可以达到阻断撞库的目的。
第四招:短时间内多次不同的尝试。
现在泄露信息流传之快是难以想象的,一旦被拖库,可能已有多群黑客拿到数据进行撞库,对于热门的网站或应用,一个帐号就有可能出现短时间内被多人尝试的可能。如短时间内有不同的人(IP/机器等标识)去尝试登录,并且用的是历史密码,那么同样说明撞库的可能性极高。
第五招:利用cookie/JS等动态验证对抗自动机撞库。
验证参数是否为空或者缺失或过分一致以便区别是人还是自动机。这是比较常见的对抗方法。
小结
江湖险恶,撞库的确难防。
安全的战役随时随地上演道高一尺魔高一丈的抗争,亲们,请多多留心,谨慎为要。
防贼防盗还得防撞库哟!
密码分离,定期改密!密码分离,定期改密!密码分离,定期改密!
重要的事情要说三遍!
别说不容易,各类帐号且用且珍惜,这便是互联网的世界,这便是安全的博弈,这便是正义和邪恶的对决!这便是黑遍10亿中国人的撞库大法!
本文作者demizhang,腾讯安全平台高级工程师。
阿D说
DNSPOD一直以来都非常关注用户的信息安全,但是因为撞库现象时有发生,阿D建议广大用户立即开启D令牌,每隔30秒变换一组动态密码,为帐号安全提供可靠保障。密码随变,安全不随便!
点击下方阅读原文,了解D令牌更多详情。