2014年,中国铁路客户服务中心官网12306遭遇撞库攻击,造成10余万条用户信息泄露。
2018年,北京警方破获首例“撞库”诈骗案。据了解,案发前,犯罪团伙对某互联网公司发起撞库攻击后,在该公司网站发布招嫖等违法信息进行诈骗,造成该公司声誉、经济双受损。
由上述实例可知,撞库往往伴随着信息泄露、经济损失、名誉受损等问题,它对企业主体、用户个人均能造成一定伤害。下面我们就来探讨一下何为撞库。
一、撞库的定义及目的
(一)撞库的定义。
之前,黑客主要利用木马盗取他人账号和密码。但近年来,网站数据泄露事件频发,撞库便逐步成为盗号的主要方法之一。
撞库是指黑客通过收集互联网已泄露的账号和密码信息,生成对应的字典表,之后利用字典表批量登录其他网站,进而得到一系列可以登录其他网站的账号和密码。简单来讲,撞库就是指黑客使用他人在某网站的账号、密码,去另一网站登录。
如果用户在多个网站设置了同样的账号、密码,那么黑客就很容易通过字典表中已有的信息,登录到这些网站,从而获得用户的个人信息,如手机号、身份证号、家庭住址、支付宝、网银信息等。
(二)撞库的目的。
随着互联网+的热潮愈演愈烈,越来越多的用户开始将资源从线下转移到线上,黑客也因此嗅到了利益的气息,他们撞库的目的主要包括以下几点:
1.直接变现。撞库后,盗取、贩卖用户账号中的财产、虚拟财产或权限。如:盗取账号中原有的钱财、贩卖游戏账号中的装备、转让视频网站的会员权限等。
2.贩卖信息。在黑市出售撞库所得账号、密码及个人信息。如:黑客对12306网站进行撞库攻击后,曾在暗网出售用户信息。
图1:网上贩卖12306网站用户信息的内容(来自网络)
3.推广引流。撞库后,利用所得的账号进行引流、推广非法业务、贩卖违法物品。如:黑客撞库社交平台后,利用用户账号发布违法办证信息、贩卖淫秽视频,或发布诱导性信息将网民引至微信等地,进而以微商、诈骗的方式进行深度变现。
4.刷量作弊。一些黑客在撞库后,利用撞库所得的账号承接刷量业务,赚取钱财。如:在社交平台刷评、刷赞,在视频网站刷播放量。
5.电信诈骗。利用撞库所得来的用户信息,对用户直接进行电信诈骗。
6.再次撞库。利用撞库所得的账号、密码或个人信息,再去攻击其他网站,进而得到更多的用户信息。
“威胁猎人”所发布的一份报告显示:在世界范围内,我国是遭受撞库攻击的主要国家,被攻击量占全部攻击量的67.62%,全球超过一半被攻击的公司来自中国。同时,中国也是最大的攻击来源国,攻击量占全部供给量的57.13%。根据阿里巴巴2015年度的安全报告,我国最容易受撞库影响的行业是金融、社交媒体、游戏、影音娱乐等行业。
图2:撞库网站行业分布图(来自阿里2015年度安全报告)
二、撞库的原始数据和攻击链条
(一)撞库的原始数据。
黑客在进行撞库攻击时,需要有足够的原始账号数据。而这些原始数据主要有以下两个来源:
1.网站已泄露的数据。近年来,网站泄露数据事件频发,部分原本在暗网中流通的数据被抛到明面上来。而这些已经被泄露、抛到台面上的数据,就成为黑客进行撞库攻击的原始数据来源之一。
2.暗网交易数据。手机号、邮箱、用户名、QQ号等相关数据的买卖是暗网交易的主要内容。值得一提的是,QQ号、密码往往和QQ邮箱的账号、密码相对应。一些用户在某些网站注册账号时会直接使用QQ邮箱和密码。这就使得被盗的QQ号经常会被黑客用来进行撞库攻击。
(二)撞库攻击的链条。
在黑客进行撞库攻击的完整链条中,包括拖库、洗库、社工库、定向攻击。
图3:撞库攻击链条图(来自“威胁猎人”报告)
第一步拖库:寻找有价值的网站,之后通过技术手段(SQL注入、跨站脚本攻击等)或其他手段(内部员工泄密、对管理员钓鱼等)获得完整的数据库,窃取用户资料。
第二步洗库:获得完整数据库后会将数据进行分层处理(金融类账户或社交类账户分门别类),并将用户账号中的财产、虚拟财产或账户信息本身变现。
第三步撞库:洗库完成后,黑客会进行两个动作,直接售卖信息进行变现,或定向攻击其他网站从而获得更多的用户信息。而撞库所得信息又可再次进行洗库操作。
第四步打造社工库:将获取的各种数据库关联起来,对用户进行全方位画像,打造社工库。
第五步定向攻击:根据用户画像,对特定人或人群进行针对性的犯罪活动。
三、撞库的方法及撞库的危害
(一)撞库的方法。
目前,最常见的撞库方法有以下三种:
1.用N个配套的账号、密码进行登录。
具体方法是:用从其他网站得来的一一对应的账号、密码,在其他网站直接试用。
2.用N个密码撞N个账号。
具体方法是:用多个密码轮番尝试登陆多个账号。具体表现是:在短时间内,一个账号被用不同的密码尝试登录多次(次数小于等于N)。
3.用少数几个密码撞N个账号。
具体方法是:筛选少数几个典型的密码(推测用户可能使用的密码)轮番对N个账号进行试登陆。具体表现是:短时间内,使用同一密码登陆不同账户的频率较高。
(二)撞库的危害。
1.对于企业。
品牌形象受损:保护用户的信息安全是企业基本责任之一。泄露用户信息容易损毁企业品牌形象,使企业丧失公信力。
承担法律责任:在用户信息安全方面,企业一旦触犯网络安全法相关规定,轻则被政府部门约谈,重则将被关停。
2.对于用户。
接到骚扰电话:个人信息被泄露后,用户将不时接到垃圾短信、营销电话等骚扰信息,影响正常生活。
损失生命财产:黑客掌握用户的个人信息后,对用户进行蛊惑、诱导,使用户自主进行转账等操作,最终导致用户个人财产损失,甚至付出生命的代价。
四、应对撞库行为的措施
(一)技术应对。
1.针对用N个配套的账号、密码进行撞库的行为。
为防止黑客用N个配套的账号、密码进行撞库,企业一般采取以下措施进行应对:
(1)进行IP封禁。如果一段时间内,单个IP地址登录账号时,密码错误次数超过阈值,则禁止这个IP一段时间再登录,或只有通过手机验证、回答密保问题后才可登陆。
(2)建立问题IP画像库。总结问题IP,并建立问题IP画像库。对代理IP、IDC IP等高危IP直接禁止登陆,或只有通过手机验证、回答密保问题后才可登陆。
(3)行为验证。在用户登录过程中,设置拖条、点选、拼图等进行验证,防止黑客撞库攻击。
(4)从设备层面识别和封禁。通过在客户端植入SDK(软件开发工具包),收集用户设备信息,从设备层面做高频策略,或识别非正常设备,之后对异常设备进行封禁。
(5)从行为层面识别和封禁。在客户端植入SDK,收集用户在登录页面的交互行为,通过机器学习、大数据建模等方式,训练出正常用户、异常用户的行为模型,进而在交互行为层面识别撞库行为。发现异常设备后,立即封禁。
2.针对用N个密码撞N个账号的行为。
为避免黑客用N个密码撞N个账号,企业一般会在账号层添加防护措施,如:一天内,同一账号的密码被输错3次,当日该账号将被禁止登陆,或只有通过手机验证短信或密保问题才可登陆。
3.针对用少数几个密码撞N个账号的行为。
为防止黑客用少数几个密码撞N个账号,企业一般会在密码层添加防护措施,如:统计一段时间内每个密码在登陆账号时的错误次数,当某一密码的错误次数超过所设置的临界值,在一段时间内禁止这一密码登录账号,或只有通过手机验证、回答密保问题才可登录。
(二)非技术应对。
1.在企业层面,建议提升员工信息安全意识。
在企业层面,为防止网站遭到撞库,可以对员工进行信息安全培训,提升员工信息安全意识;一旦发现有人泄露用户信息,立即严惩。
2.在用户层面,建议在账号、密码方面做文章。
在用户层面,建议在注册不同的网站时,使用不同的账号和密码;若存在用同一账号注册不同网站的情况,则建议将密码繁琐化并定期进行修改,避免个人账号成为黑客撞库的牺牲品。
