文章来自:demizhang,腾讯安全平台部
前言
几年前,撞库这个词对我们来说还算陌生,不过,我们对它似乎已不再陌生。
一个个撞库事件的背后隐藏的是什么样的黑色产业链?
一个个撞库事件的背后是什么样的利益驱动?
一个个撞库事件的背后谁是追魁祸首?
一个个撞库事件的背后我们该如何防范?
撞库,一个非属于漏洞的漏洞,威力无穷。
于是,我们开始思考,开始警觉,甚至开始惊悚,开始觉得无解。
然后,便有了下面的文字。
何为撞库
黑客通过各种手段(社工/攻击/交易等)收集互联网已泄露的用户+密码信息,之后在目标网站上尝试批量登录,撞运气,试出一批可以登录的用户名和密码。如果用户图省事在多个网站设置了同样的用户名和密码,黑客很容易就会通过已掌握的信息,登录到这些网站,从而获得用户的相关信息,如:手机号码、身份证号码、家庭住址,支付宝及网银信息等。进而有更多的获利空间,如:诈骗,盗用,信息被多次交易买卖等。严重时,还可能会导致财产和生命安全。
因大部分的用户安全意识较为薄弱,且为了记忆方便,使用统一的用户名和密码是常见的习惯,但这就相当于给自己打造了一把“万能”钥匙,一旦泄漏,则可能导致累及其他帐户或其他用户。
撞库无论对普通用户还是对其他服务提供商来说,伤害都是可怕的。举个例子,之前某电商网站发生的“抹黑”事件,就是黑客利用“撞库”方法,“凑巧”获取到了该电商网站用户的数据(如用户名+密码),然后通过模仿正常用户的评论,留下了大量差评,导致对正常商家产生了非常恶劣的影响。
典型的信息泄漏和撞库事件
2014年3月,携程因出现技术漏洞,导致个人信息、银行卡cw安全码等信息泄漏
2014年5月,小米被爆用户资料泄漏,涉及800万小米论坛注册用户信息
2014年8月,多家快递公司被爆网站存在漏洞遭入侵,有1400万条个人信息被泄漏
2014年12月,智联招聘86万用户简历泄漏
2014年12月,东方航空大量用户订单泄漏
2014年12月底,12306火车订票网站被人撞库
……
……
前有古人,后有来者,绵绵不绝,下一个受伤的人又是谁呢?
我们不再敢再有看热闹看笑话的心态了,最后会不会被伤害到,撞库让这一切成为可能!
除了撞库,不得不说的还有拖库和洗库
撞库的基础是黑客手里需要掌控用户信息,那么这些信息的源头来哪里来,这就要说说拖库了。
和撞库类似,拖库也是一个黑客术语,它指的是黑客入侵有价值的网站,把注册用户的资料数据库全部盗走的行为,因为谐音,所以也常被称作“脱裤”。
在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链,将有价值的用户数据变成现金以达到非法获利的目的。这一过程被称为“洗库”。比如:售卖用户账号中的虚拟货币、游戏账号、装备等变现,也就是俗称的“盗号”;对于金融类账号,比如:支付宝、财付通、网银、信用卡、股票的账号和密码等,用来进行金融犯罪和诈骗;对于一些比较特殊的用户信息如:学生、打工者、老板等,则会通过发送广告、垃圾短信、电商营销等方式变相获利;另外是将有价值的用户信息直接出售给第三方,如网店经营者和广告投放公司等。比如黑客利用此次获取的12306帐户信息做铁路购票、退票、专卖信息等。
作为普通用户,撞库如何破
虽说撞库很难防范,且最关键的是问题是掉链子的又不是我啊!But,没错,But作为普通用户,难道就没有办法抵抗了吗?以下有几个小招,谈不上葵花宝典,但减少被撞库的可能性还是妥妥的。一起来了解一下吧!
第一招:密码轻重分离。
重要帐号的密码要分离。也就是说,日常的帐号基本可以分成两类:财产类和娱乐类。用户名都统一其实这个无所谓,最关键在于密码。对于重要的帐号(如财产类)密码要分离。娱乐类的帐号可以使用统一的用户名和密码。财产类的帐号可以使用各自独立又有关联的密码,即选用相似的密码规则方便记忆。比如:财付通的密码可以是: caiXXXXXX(常用密码几位数字)futong,或 cfXXXXXXt,cXXXXXXft,cftXXXXXXdemi,cftXXXXXX1108。类似淘宝的密码可以是:tbXXXXXXdemi 等,只要密码规则类似,且主体数字一致,其实也蛮容易记忆的。亲们,可以试试看,据说用过的都说好。
第二招:登录方式要分离。
重要的帐号可以选择非直接密码登录,比如需要验证手机或APP动态密码/扫描二维码等方式,真正做到轻重分离,关键帐号为了更安全,体验可做妥协和平衡。
第三招:定期/不定期改密。
这招虽说老生常谈,但益处多多,不然也不会那么多公司/企业都强制要求员工经常改密。大家都懂的道理就不再废话了。
作为服务提供商,撞库如何防
作为服务的提供者,也许安全措施再严密也难保100%不被拖库,也难保其他人被拖库后带来的连带影响,比如撞库扫号等。
说到底还是得有实力来防范撞库。撞库的对抗本质是人机的对抗的过程。在策略对抗方面,下面这些思路并不新鲜,但组合起来还是很有效的。
第一招:弹验证码。
可以根据号码的属性和历史行为分析,当发生可疑登录时,触发不同类型的验证码。比如:长验证码、短信(微信)验证码、中文验证码,或其他有交互类/智能类的验证码,确保有效对抗验证码的自动破解。
第二招:自动识别异常IP。
目前各大安全公司基本都有建设和维护自己的IP信誉库,关键时刻,数据的积累和刻画是非常之重要的。黑客虽然可以利用代理等随机变换IP,但毕竟不管如何,IP资源也是有限的,我们掌握得越多,黑客可以利用的资源就越少。设备指纹库库思路类似。
第三招:收集泄露信息,构建泄露库。
好处在于可快速判断是否属于撞库。比如:12306的泄露信息,被用来撞QQ或微信,而并不存在这样的帐号,这样的行为多起来的时候则可能是撞库。
另外,配合异地聚集等策略,如命中历史密码比率高的、或密码错误率高的,特别是泄露信息聚集的基本可判断为撞库。那么在准确度极为可信的情况下,直接返回密码错误混淆黑客的耳目也不算暴力,或是采用类似差别验证码的思路,需要密码连续对N次才放过,或是登录延时等策略。这样就可以达到阻断撞库的目的。
截至目前,安全平台部已收录各类帐号密码泄漏信息近10亿条。包含且不限于:12306、公积金、如家、七天、携程、小米、人人网、中华英才网、智联招聘等。有了这个黑产泄漏库,很多对抗和提醒工作,我们会主动很多。
第四招:短时间内多次不同的尝试。
现在泄露信息流传之快是难以想象的,一旦被拖库,可能已有多群黑客拿到数据进行撞库,对于热门的网站或应用,一个帐号就有可能出现短时间内被多人尝试的可能。如短时间内有不同的人(IP/机器等标识)去尝试登录,并且用的是历史密码,那么同样说明撞库的可能性极高。
第五招:利用cookie/JS等动态验证对抗自动机撞库。
验证参数是否为空或者缺失或过分一致以便区别是人还是自动机。这是比较常见的对抗方法。
以上是安全对抗策略上的思路和方法,那么产品上是否也有可以对抗的空间呢?其实,还是蛮多方法可以考虑的,再一起来看看哈。
第一招:主动提醒改密。
产品上可以有定期改密的提醒功能,用户可以自主设置,对于易感或已出现在泄露库中的号码可以强制设置较短的时间提醒改密。
另外,泄露库中的信息可以定期扫描,发现有可能会被撞的帐号主动提醒改密。
第二招:主动提醒更换登录方式。
同上,比较可以刷脸、指纹、虹膜、APP动态码等等,大家都懂不累述。
第三招:用户改密时密码强度的隐性提醒。
对于已经泄露的密码,均可以提示为弱密码,不建议用户改密时再次采用。
第四招:用户帐号被撞后提供及时保护,主动提醒用户并锁定帐号。
容易理解,就不累述。
第五招:提供用户主动上报泄露信息的渠道,以便杜绝后续连带风险。
如用户自己发现自己的密码泄露,可以有地方上报信息给我们,这样他的这个信息,我们就可以做些特殊处理,比如申诉中历史密码是泄露的密码,那么结合其他策略得分降低或清0。
撞库对抗是场持久的战役,啥时候被泄露,啥时候被撞库,都由不得我们的意志,所以,让用户参与进来共同抵制是长久之道。
小结
江湖险恶,撞库的确难防。
安全的战役随时随地上演道高一尺魔高一丈的抗争,亲们,请多多留心,谨慎为要。
防贼防盗还得防撞库哟!
密码分离,定期改密!密码分离,定期改密!密码分离,定期改密!
重要的事情要说三遍!
别说不容易,各类帐号且用且珍惜,这便是互联网的世界,这便是安全的博弈,这便是正义和邪恶的对决!这便是黑遍10亿中国人的撞库大法!
