前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >推荐 | 揭秘黑遍10亿中国人的撞库大法

推荐 | 揭秘黑遍10亿中国人的撞库大法

作者头像
腾讯云DNSPod团队
发布2023-05-04 15:46:49
7780
发布2023-05-04 15:46:49
举报
文章被收录于专栏:腾讯云 DNSPod 团队

前言

几年前,撞库这个词对我们来说还算陌生,不过,我们对它似乎已不再陌生。

一个个撞库事件的背后隐藏的是什么样的黑色产业链?

一个个撞库事件的背后是什么样的利益驱动?

一个个撞库事件的背后谁是追魁祸首?

一个个撞库事件的背后我们该如何防范?

撞库,一个非属于漏洞的漏洞,威力无穷。

于是,我们开始思考,开始警觉,甚至开始惊悚,开始觉得无解。

然后,便有了下面的文字。

1何为撞库

黑客通过各种手段(社工/攻击/交易等)收集互联网已泄露的用户+密码信息,之后在目标网站上尝试批量登录,撞运气,试出一批可以登录的用户名和密码。如果用户图省事在多个网站设置了同样的用户名和密码,黑客很容易就会通过已掌握的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。进而有更多的获利空间,如:诈骗,盗用,信息被多次交易买卖等。严重时,还可能会导致财产和生命安全。

因大部分的用户安全意识较为薄弱,且为了记忆方便,使用统一的用户名和密码是常见的习惯,但这就相当于给自己打造了一把“万能”钥匙,一旦泄漏,则可能导致累及其他帐户或其他用户。

撞库无论对普通用户还是对其他服务提供商来说,伤害都是可怕的。举个例子,之前某电商网站发生的“抹黑”事件,就是黑客利用“撞库”方法,“凑巧”获取到了该电商网站用户的数据(如用户名+密码),然后通过模仿正常用户的评论,留下了大量差评,导致对正常商家产生了非常恶劣的影响。

2典型的信息泄露和撞库事件

2014年3月,携程因出现技术漏洞,导致个人信息、银行卡cw安全码等信息泄漏; 2014年5月,小米被爆用户资料泄漏,涉及800万小米论坛注册用户信息; 2014年8月,多家快递公司被爆网站存在漏洞遭入侵,有1400万条个人信息被泄漏; 2014年12月,智联招聘86万用户简历泄漏; 2014年12月,东方航空大量用户订单泄漏; 2014年12月底,12306火车订票网站被人撞库; ………… 前有古人,后有来者,绵绵不绝,下一个受伤的人又是谁呢? 我们不再敢再有看热闹看笑话的心态了,最后会不会被伤害到,撞库让这一切成为可能!

3除了撞库,不得不说的还有拖库和洗库

撞库的基础是黑客手里需要掌控用户信息,那么这些信息的源头来哪里来,这就要说说拖库了。

和撞库类似,拖库也是一个黑客术语,它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为,因为谐音,所以也常被称作“脱裤”。

在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链,将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。比如:售卖用户账号中的虚拟货币、游戏账号、装备等变现,也就是俗称的“盗号”;对于金融类账号,比如:支付宝、财付通、网银、信用卡、股票的账号和密码等,用来进行金融犯罪和诈骗;对于一些比较特殊的用户信息如:学生、打工者、老板等,则会通过发送广告、垃圾短信、电商营销等方式变相获利;另外是将有价值的用户信息直接出售给第三方,如网店经营者和广告投放公司等。比如黑客利用此次获取的12306帐户信息做铁路购票、退票、专卖信息等。

4作为普通用户,撞库如何破

虽说撞库很难防范,且最关键的是问题是掉链子的又不是我啊!But,没错,But作为普通用户,难道就没有办法抵抗了吗?以下有几个小招,谈不上葵花宝典,但减少被撞库的可能性还是妥妥的。一起来了解一下吧!

第一招:密码轻重分离。

重要帐号的密码要分离。也就是说,日常的帐号基本可以分成两类:财产类和娱乐类。用户名都统一其实这个无所谓,最关键在于密码。对于重要的帐号(如财产类)密码要分离。娱乐类的帐号可以使用统一的用户名和密码。财产类的帐号可以使用各自独立又有关联的密码,即选用相似的密码规则方便记忆。比如:财付通的密码可以是: caiXXXXXX(常用密码几位数字)futong,或cfXXXXXXt,cXXXXXXft,cftXXXXXXdemi,cftXXXXXX1108。类似淘宝的密码可以是:tbXXXXXXdemi等,只要密码规则类似,且主体数字一致,其实也蛮容易记忆的。亲们,可以试试看,据说用过的都说好。

第二招:登录方式要分离。

重要的帐号可以选择非直接密码登录,比如需要验证手机或APP动态密码/扫描二维码等方式,真正做到轻重分离,关键帐号为了更安全,体验可做妥协和平衡。

第三招:定期/不定期改密。

这招虽说老生常谈,但益处多多,不然也不会那么多公司/企业都强制要求员工经常改密。大家都懂的道理就不再废话了。

5作为服务提供商,撞库如何防

作为服务的提供者,也许安全措施再严密也难保100%不被拖库,也难保其他人被拖库后带来的连带影响,比如撞库扫号等。

说到底还是得有实力来防范撞库。撞库的对抗本质是人机的对抗的过程。在策略对抗方面,下面这些思路并不新鲜,但组合起来还是很有效的。

第一招:弹验证码。

可以根据号码的属性和历史行为分析,当发生可疑登录时,触发不同类型的验证码。比如:长验证码、短信(微信)验证码、中文验证码,或其他有交互类/智能类的验证码,确保有效对抗验证码的自动破解。

第二招:自动识别异常IP。

目前各大安全公司基本都有建设和维护自己的IP信誉库,关键时刻,数据的积累和刻画是非常之重要的。黑客虽然可以利用代理等随机变换IP,但毕竟不管如何,IP资源也是有限的,我们掌握得越多,黑客可以利用的资源就越少。设备指纹库库思路类似。

第三招:收集泄露信息,构建泄露库。

好处在于可快速判断是否属于撞库。比如:12306的泄露信息,被用来撞QQ或微信,而并不存在这样的帐号,这样的行为多起来的时候则可能是撞库。

另外,配合异地聚集等策略,如命中历史密码比率高的、或密码错误率高的,特别是泄露信息聚集的基本可判断为撞库。那么在准确度极为可信的情况下,直接返回密码错误混淆黑客的耳目也不算暴力,或是采用类似差别验证码的思路,需要密码连续对N次才放过,或是登录延时等策略。这样就可以达到阻断撞库的目的。

第四招:短时间内多次不同的尝试。

现在泄露信息流传之快是难以想象的,一旦被拖库,可能已有多群黑客拿到数据进行撞库,对于热门的网站或应用,一个帐号就有可能出现短时间内被多人尝试的可能。如短时间内有不同的人(IP/机器等标识)去尝试登录,并且用的是历史密码,那么同样说明撞库的可能性极高。

第五招:利用cookie/JS等动态验证对抗自动机撞库。

验证参数是否为空或者缺失或过分一致以便区别是人还是自动机。这是比较常见的对抗方法。

小结

江湖险恶,撞库的确难防。

安全的战役随时随地上演道高一尺魔高一丈的抗争,亲们,请多多留心,谨慎为要。

防贼防盗还得防撞库哟!

密码分离,定期改密!密码分离,定期改密!密码分离,定期改密!

重要的事情要说三遍!

别说不容易,各类帐号且用且珍惜,这便是互联网的世界,这便是安全的博弈,这便是正义和邪恶的对决!这便是黑遍10亿中国人的撞库大法!

本文作者demizhang,腾讯安全平台高级工程师。

阿D说

DNSPOD一直以来都非常关注用户的信息安全,但是因为撞库现象时有发生,阿D建议广大用户立即开启D令牌,每隔30秒变换一组动态密码,为帐号安全提供可靠保障。密码随变,安全不随便!

点击下方阅读原文,了解D令牌更多详情。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2015-10-13,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 DNSPod 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 1何为撞库
  • 2典型的信息泄露和撞库事件
  • 3除了撞库,不得不说的还有拖库和洗库
  • 4作为普通用户,撞库如何破
  • 5作为服务提供商,撞库如何防
相关产品与服务
验证码
腾讯云新一代行为验证码(Captcha),基于十道安全栅栏, 为网页、App、小程序开发者打造立体、全面的人机验证。最大程度保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下业务安全的同时,提供更精细化的用户体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档