-
1 # 頭號駭客
-
2 # 軍武論
什麼是撞庫攻擊?撞庫對使用者可能有哪些危害?近期發生多起撞庫事件,讓越來越多的人關注撞庫漏洞和撞庫攻擊。尤其對專注業務發展的公司來說,如何防止撞庫威脅到資訊保安問題不容小覷。
一、什麼是撞庫攻擊?
撞庫攻擊沒有那麼高深,舉個例子來說,假設我有一個XX郵箱的賬號,使用者名稱是[email protected],密碼是x6!00AL5y@(很複雜,很安全)。同時因為懶癌晚期的緣故,我還用這個賬號註冊了新浪微博、攜程、淘寶、微信等等,都採用郵箱註冊並且是同一個密碼(這種情況很常見,因為懶得記不同的賬號)。
於是某天,這個賬號被駭客知道了(不管是由於坑爹的XX郵箱洩露使用者資訊,還是我自己不小心)。駭客就會用這個賬號來碰碰運氣:嘗試用它登陸一下你的各類賬號,於是你的微博、微信、淘寶、理財賬戶、12306、遊戲賬號……他就都知道了,接下來的事情,你懂的。
二、撞庫和我的公司有什麼關係?
上面是從個人使用者角度來說,那麼從企業使用者的視角來看,撞庫的玩法更多。從撞庫攻擊誕生的那一天起,駭客們就在維護一些所謂的“社工庫”。這些庫裡儲存了大量真實的、配對的使用者名稱/密碼資訊。當駭客想要針對一家特定的網站“搞事情”的時候,他會用這個庫裡所有的條目去挨個嘗試登陸。當這個庫的資訊足夠多時,量變到質變,駭客就會得到很多的正確賬號了。
被撞庫的站點一般都是“躺槍”,對於很多企業,尤其是初創企業而言,安全團隊的人數和能力還遠遠不足以應對突如其來的撞庫攻擊。設想如下場景:
1.某P2P網站被撞庫攻擊,上萬使用者賬號裡的資金被全部轉走(現在地下黑產操作資金鍊的手段已經非常成熟),這基本就是老闆跑路,使用者買單的節奏。
2.某遊戲論壇被撞庫攻擊,大量玩家的遊戲賬號洩露,剛買的裝備不翼而飛,一邊駭客偷偷數錢,一邊管理員哭暈在廁所。
3.即使不對被盜使用者有直接的利益損失,駭客可以把搞來的賬號以及賬號裡包含的大量資訊拿到網上去賣,比如身份證號、手機號、銀行卡號等,還可以利用這些個人資訊來進行詐騙,發小廣告、站內信、黃賭毒資訊等等。這些事情一旦發生,對一家企業的聲譽、形象、使用者體驗都有巨大的負面影響。
根據阿里云云盾安全團隊的撞庫檢測模型統計,日均檢測攻擊事件數千起,每起攻擊事件平均包括數千次撞庫登入請求。在每天發起的攻擊事件裡,賬號密碼組合去重後仍有幾十萬對。更嚴重的是,這些賬號密碼組合就像“駭客”的彈藥庫一樣,隨著更多的企業被拖庫而不斷更新迭代。
尷尬的是,撞庫攻擊的成本和技術門檻都非常低,從駭客論壇下載社工庫,掛個指令碼即可實施,目前也沒有針對性的法律法規予以懲戒。
三、阿里云云盾 Web 應用防火牆是如何搞定撞庫的?
問世間,有沒有一種既不需要安全知識和安全團隊,也不需要額外開發,又不需要部署硬體裝置,關鍵還能很快很精準的搞定撞庫的方法?
阿里云云盾 · Web應用防火牆(簡稱WAF)就正在為使用者提供應對撞庫的“10分鐘解法”。首先,WAF使用者可以在5分鐘完成上線接入,2分鐘配置規則生效,10分鐘內,使用者的Web應用即可處在雲盾防護之下,一鍵解決各類常見的SQL注入、XSS、木馬後門webshell等攻擊,還能有效防護當今的各類CC攻擊。
WAF3.0版本最近推出了黑科技——資料風控,將阿里云云盾的網路安全防護能力,和業務安全風控相結合,專門解決下列問題:
撞庫攻擊、暴力破解引起的使用者資訊洩露
黃牛黨、羊毛黨等惡意刷票、刷優惠券、刷紅包行為
惡意刷簡訊驗證碼、簡訊介面等產生大量簡訊費用
惡意大量註冊垃圾賬號
透過機器人惡意干擾秒殺、搶購等活動
WAF是如何搞定撞庫和這些頭疼的攻擊呢?要知道駭客也是很懶的,他們不會親自去手動提交這上億條撞庫資訊,往往會採用一些自動化的方式(如指令碼、程式機器人等)代替他們去工作,並且會使用大量的代理(所謂的肉雞),更有甚者為避免傳統安全裝置的防護會控制撞庫的速度,避免撞的太快而引起安全策略的懷疑。
WAF會從一個請求第一次訪問您的站點開始,就會套用一個非常複雜的人機識別模型去分析該訪問者是否符合一個正常使用者的行為特徵,比如說,一個正常使用者不會在沒有頁面訪問或停留的情況下直接就提交一個登陸請求,但撞庫攻擊會。除了行為分析,還會結合使用者的各種流量資訊、瀏覽器特徵,以及阿里雲的大資料資訊(包含大量肉雞、惡意IP、惡意指令碼、惡意軟體等資訊),最終綜合判斷一個請求是否正常可信。
這套分析過程對於合法使用者的訪問是沒有任何感知的,他們依然會像往常一樣完成各種登陸、註冊、驗證、秒殺等動作,但對於行為可疑的使用者,WAF會在資料風控防護的關鍵介面(比如註冊、登入等)進行人機識別驗證,直到確認該使用者合法才會放行,從而真正達到精確防護的同時,又最大限度降低了對正常使用者的干擾。
-
3 # 烤吐司機
這個在安全圈子裡叫撞庫,即透過已有的賬號密碼到其它網站去嘗試。
而針對撞庫的防範是一個人機對抗的過程,需要透過一些手段來防止透過程式來掃描,但是這些手段也不能影響正常的使用者體驗,說說經常用到的一些方法:
如@tombkeeper 所說,最簡單的方式就是增加一個圖片驗證碼,當然對於現在圖片驗證碼的破解程式也是越來越厲害,網上商業的開源的驗證碼破解工具一大堆,如果做圖片驗證碼來防範的話,就要考慮一個問題,如何防止圖片驗證碼被破解。對於防止驗證碼破解的話,可以適當增加驗證碼生成的強度,業內做的比較好的驗證碼,可以參考下淘寶的、百度貼吧的中文驗證碼也不錯。
另外一種方式就是自動識別異常IP,如果機器掃描的話,肯定會有一些特徵能被你抓取到,比如:單位時間內操作次數,比如1分鐘嘗試登入超過100次、正常使用者不可能有這麼大的頻度的;1分鐘內嘗試登入錯誤賬號超過一定次數;其它的自己擴充套件。對於異常的IP,整理一個非常嚴格的庫,甚至直接禁止這些IP訪問網站,一個一個手工新增肯定很累,程式對程式,應該沒問題。駭客使用的代理再多,總歸是有限的。
剛在微博有同學說遇到專業的撞庫,駭客黑掉了整個市的dhcp,分配了幾十個1-254的c段來掃,每個IP僅僅嘗試1-3次,這種低頻度的撞庫確實不好防護。在這裡提出一個簡單的思路,比如真的是這種的話,那麼針對這個市的IP設計一個黑名單,單獨的策略。
另外一種思路是使用者賬號被撞後的保護,比如判斷下使用者的登入IP,是否在常用的地區,如果不是,直接鎖定賬號,讓使用者透過手機、郵箱等手段來解鎖,這方面做的比較好的可以參考騰訊和淘寶。
當然,這些策略結合起來的話,效果更好。
回覆列表
對於大多數使用者而言,撞庫可能是一個很專業的名詞,但是理解起來卻比較簡單,撞庫是駭客無聊的“惡作劇”,駭客透過收集網際網路已洩露的使用者+密碼資訊,生成對應的字典表,嘗試批次登陸其他網站後,得到一系列可以登陸的使用者。
撞庫以專業術語可以解釋為:以大量的使用者資料位基礎,利用使用者相同的註冊習慣(相同的使用者名稱和密碼),嘗試登陸其它的網站
提及“撞庫”,就不能不說“脫褲”和“洗庫”
在駭客術語裡面,”拖庫“是指駭客入侵有價值的網路站點,把註冊使用者的資料資料庫全部盜走的行為,因為諧音,也經常被稱作“脫褲”,360的庫帶計劃,獎勵提交漏洞的白帽子,也是因此而得名。
在取得大量的使用者資料之後,駭客會透過一系列的技術手段和黑色產業鏈將有價值的使用者資料變現,這通常也被稱作“洗庫”。
最後駭客將得到的資料在其它網站上進行嘗試登陸,叫做”撞庫“,因為很多使用者喜歡使用統一的使用者名稱密碼,”撞庫“也可以是駭客收穫頗豐。
背後的利益驅使
隨著地下產業鏈日漸成熟,使用者資料可以被迅速地轉變成現金。
(1)使用者賬號中的虛擬貨幣,遊戲賬號,裝備,都可以透過交易的方式變現,也就是俗稱的“盜號”。
(2)金融類賬號比如,支付寶,網銀,信用卡,股票的賬號和密碼,則可以用來進行金融犯罪和詐騙。
(3)最後一些可歸類的使用者資訊,如學生,打工者,老闆等,多用於傳送廣告,垃圾簡訊,電商營銷。也有專門的廣告投放公司,花錢購買這些分門別類的資訊。
快速收益和高回報也讓越來越多的駭客鋌而走險。(刑法裡非法入侵計算機系統罪會被判處三年到七年有期徒刑)
而對於,資訊被洩露的受害者,根據洩露資訊的種類不同,生活也會受到不同程度的影響。
如上圖,如果你的多種網站和服務的使用者名稱密碼相同,那可能會蒙受更大的損失。
為避免遭遇撞庫我們怎樣保護自己的隱私:
作為中國千萬網民中的一個,你可覺得,我不用網銀,打遊戲不充錢,我沒有什麼被黑的價值,所以駭客是不會來光顧我的。其實不然,每一個使用網際網路服務的使用者,在享受快捷方便的時候,都把自己暴漏在了風險之下。不是駭客會不會值得黑你,而是你有沒有可能被波及。下面是幾條建議有利於你規避風險。
(1)重要網站/APP的密碼一定要獨立,猜測不到,或者用1Password這樣的軟體來幫你記憶;
(2)電腦勤打補丁,安裝一款防毒軟體;
(3)儘量不使用IE瀏覽器
(4)支援正版,因為盜版的、破解的總是各種貓膩,後門存在的可能性很大;
(5)不那麼可信的軟體,可以安裝到虛擬機器裡;
(6)不要在公共場合(如咖啡廳、機場等)使用公共無線,自己包月3G/4G,不差錢,當然你可以用公共無線做點無隱私的事,如下載部電影之類的;
(7)自己的無線AP,用安全的加密方式(如WPA2),密碼複雜些;
(8)離開電腦時,記得按下Win(Windows圖示那個鍵)+L鍵,鎖屏,這個習慣非常非常關鍵。