0
卖彩票中奖的几率是多少?千万分之一。对黑客来说,通过撞库攻击来获取平台的账号和密码,这几率要比中彩票高出不少。
今年2月,海淀警方接到北京字节跳动公司报案,后者称旗下App抖音千万级外部账号遭到恶意撞库攻击,其中几百万账号密码与外部泄露密码吻合。5月底,犯罪嫌疑人汪某被警方抓获。
抖音遭撞库,黑客牟利超百万
据汪某交代,其利用掌握的计算机能力,控制了多个热门网络平台的大量账号,随后通过在网上承接点赞刷量、发布广告等业务牟利。
与此同时,汪某还编写了大量撞库代码,对包含抖音在内的各大网络平台进行撞库攻击,以此获取到更多的平台账户,累计获利超百万元。
在中国新闻网的报道中,知名信息安全专家李响称,撞库攻击实则非法牟利者一种碰运气的表现。这种方式是通过已经被泄露的部分信息,再进行其他平台的重复登录操作,一旦登陆成功则撞库成功。
“通常被黑客选作撞库对象的账号密码所有者安全意识都不高,他们很有可能将同样的账号、密码作为几个平台的通用‘钥匙’,这为撞库的成功提供了保障。”
对于撞库者而言,这些通过碰运气得到的平台账号大多没有发布过黄赌毒的相关消息,清白的历史记录让其足矣具备高利润价值。通过暗网买卖这些账号,亦或直接用它们来进行恶意内容传播、刷量等活动,是其获取暴利的最佳方式之一。
雷锋网了解到,在字节跳动系统实时监测到攻击之后,该公司通过安全系统,对所有疑似被盗账号设置了短信二次登陆验证,以阻止黑客的撞库攻击行为。
撞库攻击灰色产业链
近几年黑客尤其青睐撞库攻击的“玩法”,面对暴利,越来越多的黑客加入到对抗厂商的队列之中,使其发展成为一个几乎要取代盗号行为的巨大灰色产业链。
撞库的前提是首先获取到一批泄露的信息资源。因此,撞库地第一步就是从社工库获得“初始信息”。
一直以来,黑客们用一些工具或者自己写的程序就可以检测到网站漏洞,然后利用这个漏洞对该网站进行挖掘。并且用户量大的网站也同样会被拖库,单看前几年的数据泄露事件,就足矣大开眼界:
毕竟,世界上没有密不透风的墙,通过提权、木马病毒植入、垃圾链接生成等方法,可以很容易得到这个网站的所有用户信息(当然包括登陆账号和密码),这些信息被盗取之后就被存放在社工库中。
所以,当黑客想尝试登录某个网站或者app时,就会用”社工库”里的信息去挨个尝试登录,“撞”出一个个正确账号。
然而,面对暴利的黑产人员更加积极主动,将反抗安全的步骤做到了平台化、链条化。雷锋网得知,目前撞库黑客在各个维度都有完善的方案与厂商进行对抗。
,主要分为以下几方面:
1、低安全性边缘业务或新业务——寻找其自身漏洞,一旦发现非严格审计的边缘业务接口,便绕过所有的防护措施。
2、IP对抗——许多爬虫、搜索引擎、机器人程序都有获取IP的需求。而撞库攻击获取IP资源的方法主要有扫描代理、付费代理、付费VPN和拨号VPS四种。
3、验证码对抗——黑客通过图灵测试方案,不断尝试自动化破解。
4、短信验证对抗——黑产获取的手机卡主要分为流量卡、实名卡和海外卡三种,通过猫池,黑产不仅可以在不同卡之间模拟定期拨打电话,还可以进行收发短信,甚至进行一些流量的消耗。这种模拟让黑卡的使用情况趋于正常的电话卡(接码平台)。
5、模仿真人行为——通过对不同平台安全检测逻辑进行分析,越来越多自动化程序骗过了风控平台的“眼睛”。
如何防范撞库攻击?
首先,怎样才能发现撞库攻击呢?从企业的web服务视角来看,如果发现以下几种情况,基本可以判定是在撞库:
1、一个账号在某个较短的时间内,有多次密码尝试。
2、一定时间内相同密码的出现频次非常高。
3、同一个IP或同一个设备,在短时间内使用不同账号密码多次尝试登录。
简单来说,使用他人在A网站的账号密码,去B网站尝试登陆,这就是撞库攻击。这种情况下,最简单粗暴的方法就是直接在登陆接口加安全策略,如:
1、针对a情况,就限制一天之内密码错误次数。
2、针对b情况,就针对频率特别高的密码禁止登录(或者校验手机短信/密保问题之后才能登录)。
3、针对c情况,就对IP或者设备唯一id进行阈值限制,如限制1分钟内访问登录接口次数<50次。
看似简单粗暴的方法往往能够有效起到防护作用。当然,除此之外各种的风控系统也可以防止撞库攻击的发生。
参考来源:知乎丨ThreatHunter;中国新闻网雷锋网雷锋网
雷峰网原创文章,未经授权禁止转载。详情见转载须知。