大麦式“撞库”威胁,互联网企业该如何面对

大麦网又遭撞库攻击了。

大麦网

上周末,黑产利用撞库攻击,窃取了大麦网的用户个人信息。并利用窃取到的信息,伪装成大麦网客服成功骗取了147.42万元。据了解,全国各地共有39名用户受骗,单人受骗金额最高达10万元。

大麦网声明

事实上,这并不是大麦网第一次被盗取用户信息。

2015年8月,大麦网就曾被爆出安全漏洞,600余万用户帐户密码遭到泄露,当时岂安科技的安全专家就曾注意到,这些隐私数据已被黑产进行售卖与传播。

历次重大账号被盗事件

在中文互联网领域,网站被攻破、用户信息被批量盗取屡见不鲜。这里列举几次比较重大的账号被盗事件:

2011年,国内知名程序员社区CSDN的用户数据库被盗,600余万个明文注册的邮箱账号和密码遭泄露。

CSDN密码泄露

CSDN号称是全球最大中文IT技术社区,拥有2,000万注册用户,其会员囊括了中国地区90%以上的优秀程序员,这样的社区都竟然也存在这样大的安全问题,实在是引人担忧。

2015年,网易163、126邮箱被曝出现重大安全漏洞,过亿邮箱账号被盗。在这轮盗号风波中,笔者使用多年的邮箱也被盗了。

网易邮箱泄露

可以看出,无论是互联网巨头还是程序员社区,都存在被盗号的可能。

什么是“撞库”

撞库已经成为当前影响互联网安全最常见也是最难以防范的攻击手段。

所谓的撞库是指黑客通过网上已经泄露的用户和密码信息,集合成为“社工库”,针对目标网站用户登录页面不停的尝试登录,只要有一次匹配成功,就成功窃取到用户信息。

大多数用户在使用互联网服务的时候,习惯用一套账号和密码在很多网站注册。如果A网站被黑客攻破,你的账号密码不幸也在其中,那么就存在一种可能:攻击者用从A网站盗取的账号密码去B网站登录,从而变相达到了“盗取”你在B网站账号的目的。

在整个过程中,安全防护水平很高的B网站“躺着中枪了”。

“脱裤”和“洗库”

提及“撞库”,就不能不说“脱裤”和“洗库”。

在黑客术语里面,”拖库“是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作“脱裤”。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做”撞库“,因为很多用户喜欢使用统一的用户名密码,”撞库“也可以是黑客收获颇丰。

下图是黑客,在“脱裤”“洗库”“撞库”三个环节所进行的活动。

脱裤与洗库

以上整个过程,已经形成了一套非常完整的产业链,并不依赖某个技术出众的黑客。

举个例子,被“脱裤”的数据库可能因为数量巨大,直接登录不太方便,就会被黑产卖给下游黑产,一层层传递,甚至会被买家拿来一个个人工登录,常见的QQ账号被盗就属于这种情况。

个人用户能做什么

面对这些种种威胁,个人用户也是可以做点什么的。

已经有无数的安全人员建议你不要再多个网站设置同一个登录密码,并形成设置高强度密码的习惯。这无疑是“政治正确”的,但也是反人性的。

在这里,岂安实验室的安全专家们推荐几个比较可行的方式:

收到威胁提示时,尽快修改密码; 和财产相关的账号一定要用单独的账号,避免和其他账号密码重叠; 使用更安全的认证方式,如果觉得密码太复杂记不住,可以采用扫描二维码登录、刷脸登录、指纹识别登录。

另外,如果想知道自己的账号是否被盗,可以搜索“社工库”,输入自己的ID,看看自己是否曾经有账号被盗,笔者就是这样找回了已经被遗忘的账号和密码。

面对撞库,企业能做什么

要解决撞库问题,关键还在企业。

首先,如果不是某些企业被“脱裤”,就不会存在“撞库”行为。

问题就在于,一些企业可以做到自己不被脱裤,但是也架不住别的网站被脱裤,然后黑产拿着账号密码到自己这里来撞库。

所以只能换个思路来解决问题:

黑产撞库行为一般是通过软件尝试批量登录,可以通过自动识别异常IP方式,扫描到单位时间内频繁登录的异常IP。对于异常的IP,整理一个非常严格的库,甚至直接禁止这些IP访问网站。

但是,有些黑产会频繁换IP绕开风控来撞库,甚至借助家庭路由后门来撞库,这样的话简单的封IP就无法阻止撞库了。

针对这部分比较“高级”的黑产,企业可以借助岂安科技的业务风险分析平台 WARDEN 和业务风险情报服务工具 RED.Q 来御敌于“国门”之外。

可以通过增强登录入口识别能力的方法来提高登录入口的安全性,如增加图片验证码,与验证码生成的强度等。这样可以有效避免黑客通过代理登录获取用户个人信息,从而效规避撞库攻击;

还有一点需要注意的是,企业应该有意识地避免与“安全级别低”的网站建立联系,针对“安全级别中等”的网站,则可以采用OAUTH协议授权登录的方式,与以往的授权方式不同, OAUTH的授权不会让第三方触及到用户的帐号信息(如用户名与密码),我们常见的微信授权登录、微博授权登录就是这种形式的典型代表。