推荐 | 揭秘黑遍10亿中国人的撞库大法

前言

几年前，撞库这个词对我们来说还算陌生，不过，我们对它似乎已不再陌生。

一个个撞库事件的背后隐藏的是什么样的黑色产业链？

一个个撞库事件的背后是什么样的利益驱动？

一个个撞库事件的背后谁是追魁祸首？

一个个撞库事件的背后我们该如何防范？

撞库，一个非属于漏洞的漏洞，威力无穷。

于是，我们开始思考，开始警觉，甚至开始惊悚，开始觉得无解。

然后，便有了下面的文字。

1何为撞库

黑客通过各种手段（社工/攻击/交易等）收集互联网已泄露的用户+密码信息，之后在目标网站上尝试批量登录，撞运气，试出一批可以登录的用户名和密码。如果用户图省事在多个网站设置了同样的用户名和密码，黑客很容易就会通过已掌握的信息，登录到这些网站，从而获得用户的相关信息，如：手机号码、身份证号码、家庭住址，支付宝及网银信息等。进而有更多的获利空间，如：诈骗，盗用，信息被多次交易买卖等。严重时，还可能会导致财产和生命安全。

因大部分的用户安全意识较为薄弱，且为了记忆方便，使用统一的用户名和密码是常见的习惯，但这就相当于给自己打造了一把“万能”钥匙，一旦泄漏，则可能导致累及其他帐户或其他用户。

撞库无论对普通用户还是对其他服务提供商来说，伤害都是可怕的。举个例子，之前某电商网站发生的“抹黑”事件，就是黑客利用“撞库”方法，“凑巧”获取到了该电商网站用户的数据(如用户名+密码)，然后通过模仿正常用户的评论，留下了大量差评，导致对正常商家产生了非常恶劣的影响。

2典型的信息泄露和撞库事件

2014年3月，携程因出现技术漏洞，导致个人信息、银行卡cw安全码等信息泄漏； 2014年5月，小米被爆用户资料泄漏，涉及800万小米论坛注册用户信息； 2014年8月，多家快递公司被爆网站存在漏洞遭入侵，有1400万条个人信息被泄漏； 2014年12月，智联招聘86万用户简历泄漏； 2014年12月，东方航空大量用户订单泄漏； 2014年12月底，12306火车订票网站被人撞库； ………… 前有古人，后有来者，绵绵不绝，下一个受伤的人又是谁呢？ 我们不再敢再有看热闹看笑话的心态了，最后会不会被伤害到，撞库让这一切成为可能！

3除了撞库，不得不说的还有拖库和洗库

撞库的基础是黑客手里需要掌控用户信息，那么这些信息的源头来哪里来，这就要说说拖库了。

和撞库类似，拖库也是一个黑客术语，它指的是黑客入侵有价值的网站，把注册用户的资料数据库全部盗走的行为，因为谐音，所以也常被称作“脱裤”。

在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链，将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。比如：售卖用户账号中的虚拟货币、游戏账号、装备等变现，也就是俗称的“盗号”；对于金融类账号，比如：支付宝、财付通、网银、信用卡、股票的账号和密码等，用来进行金融犯罪和诈骗；对于一些比较特殊的用户信息如：学生、打工者、老板等，则会通过发送广告、垃圾短信、电商营销等方式变相获利；另外是将有价值的用户信息直接出售给第三方，如网店经营者和广告投放公司等。比如黑客利用此次获取的12306帐户信息做铁路购票、退票、专卖信息等。

4作为普通用户，撞库如何破

虽说撞库很难防范，且最关键的是问题是掉链子的又不是我啊！But，没错，But作为普通用户，难道就没有办法抵抗了吗？以下有几个小招，谈不上葵花宝典，但减少被撞库的可能性还是妥妥的。一起来了解一下吧！

第一招：密码轻重分离。

重要帐号的密码要分离。也就是说，日常的帐号基本可以分成两类：财产类和娱乐类。用户名都统一其实这个无所谓，最关键在于密码。对于重要的帐号（如财产类）密码要分离。娱乐类的帐号可以使用统一的用户名和密码。财产类的帐号可以使用各自独立又有关联的密码，即选用相似的密码规则方便记忆。比如：财付通的密码可以是： caiXXXXXX(常用密码几位数字)futong，或cfXXXXXXt，cXXXXXXft，cftXXXXXXdemi，cftXXXXXX1108。类似淘宝的密码可以是：tbXXXXXXdemi等，只要密码规则类似，且主体数字一致，其实也蛮容易记忆的。亲们，可以试试看，据说用过的都说好。

第二招：登录方式要分离。

重要的帐号可以选择非直接密码登录，比如需要验证手机或APP动态密码/扫描二维码等方式，真正做到轻重分离，关键帐号为了更安全，体验可做妥协和平衡。

第三招：定期/不定期改密。

这招虽说老生常谈，但益处多多，不然也不会那么多公司/企业都强制要求员工经常改密。大家都懂的道理就不再废话了。

5作为服务提供商，撞库如何防

作为服务的提供者，也许安全措施再严密也难保100%不被拖库，也难保其他人被拖库后带来的连带影响，比如撞库扫号等。

说到底还是得有实力来防范撞库。撞库的对抗本质是人机的对抗的过程。在策略对抗方面，下面这些思路并不新鲜，但组合起来还是很有效的。

第一招：弹验证码。

可以根据号码的属性和历史行为分析，当发生可疑登录时，触发不同类型的验证码。比如：长验证码、短信（微信）验证码、中文验证码，或其他有交互类/智能类的验证码，确保有效对抗验证码的自动破解。

第二招：自动识别异常IP。

目前各大安全公司基本都有建设和维护自己的IP信誉库，关键时刻，数据的积累和刻画是非常之重要的。黑客虽然可以利用代理等随机变换IP，但毕竟不管如何，IP资源也是有限的，我们掌握得越多，黑客可以利用的资源就越少。设备指纹库库思路类似。

第三招：收集泄露信息，构建泄露库。

好处在于可快速判断是否属于撞库。比如：12306的泄露信息，被用来撞QQ或微信，而并不存在这样的帐号，这样的行为多起来的时候则可能是撞库。

另外，配合异地聚集等策略，如命中历史密码比率高的、或密码错误率高的，特别是泄露信息聚集的基本可判断为撞库。那么在准确度极为可信的情况下，直接返回密码错误混淆黑客的耳目也不算暴力，或是采用类似差别验证码的思路，需要密码连续对N次才放过，或是登录延时等策略。这样就可以达到阻断撞库的目的。

第四招：短时间内多次不同的尝试。

现在泄露信息流传之快是难以想象的，一旦被拖库，可能已有多群黑客拿到数据进行撞库，对于热门的网站或应用，一个帐号就有可能出现短时间内被多人尝试的可能。如短时间内有不同的人（IP/机器等标识）去尝试登录，并且用的是历史密码，那么同样说明撞库的可能性极高。

第五招：利用cookie/JS等动态验证对抗自动机撞库。

验证参数是否为空或者缺失或过分一致以便区别是人还是自动机。这是比较常见的对抗方法。

小结

江湖险恶，撞库的确难防。

安全的战役随时随地上演道高一尺魔高一丈的抗争，亲们，请多多留心，谨慎为要。

防贼防盗还得防撞库哟！

密码分离，定期改密！密码分离，定期改密！密码分离，定期改密！

重要的事情要说三遍！

别说不容易，各类帐号且用且珍惜，这便是互联网的世界，这便是安全的博弈，这便是正义和邪恶的对决！这便是黑遍10亿中国人的撞库大法！

本文作者demizhang，腾讯安全平台高级工程师。

阿D说

DNSPOD一直以来都非常关注用户的信息安全，但是因为撞库现象时有发生，阿D建议广大用户立即开启D令牌，每隔30秒变换一组动态密码，为帐号安全提供可靠保障。密码随变，安全不随便！

点击下方阅读原文，了解D令牌更多详情。