文章阅读页通栏

撞库攻击:一场用户与平台同舟共济的保卫战

来源: OK区块链 作者:
近日有媒体报道,多个数字资产交易平台疑似遭遇了撞库攻击,导致部分用户账户被紧急临时锁定。所幸,从各方反馈的情况看,目前还没有用户遭受到财......
近日有媒体报道,多个数字资产交易平台疑似遭遇了撞库攻击,导致部分用户账户被紧急临时锁定。所幸,从各方反馈的情况看,目前还没有用户遭受到财产损失。但是,这仍不免让很多人心存余悸。那究竟什么是撞库攻击?撞库攻击为什么会一直困扰着我们?

什么是撞库攻击?

对于大多数用户而言,撞库攻击可能是一个很专业的名词,但实际上理解起来非常简单。撞库就是黑客通过收集网上已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。因为很多用户在不同网站使用的是相同的帐号密码,所以黑客可以通过获取用户在A网站的账户从而尝试登录B网址。因此,撞库可以简单理解为黑客通过一场“碰运气”的攻击手段,来得到一系列可以登陆的用户。
 
而在现实的操作过程中,与“撞库”相伴相生的还有两个专业的操作流程——“脱库”和“洗库”。在黑客术语里面,”拖库“是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。
 

黑客将得到的数据在其它网站上进行尝试登陆,这一步就被称作”撞库“。因为现在很多用户都喜欢使用统一的用户名密码,因此“撞库”往往可以使黑客们收获颇丰。

随着当前用户数据泄露的黑色产业不断发展,地下产业链日渐成熟,用户数据可以被便捷、迅速地转变成现金。所以尽管刑法里有着“非法入侵计算机系统罪”会被判处三年到七年有期徒刑的明确规定,但仍有越来越多的黑客铤而走险。但是对于用户而言是信息被泄露的受害者,而根据泄露信息的种类不同,生活也会受到不同程度的影响。
 
撞库攻击事件普遍存在
 
从技术的角度而言,撞库攻击是互联网时代普遍存在的现象,因为撞库攻击的成本和技术门槛都非常低,黑客只需要从论坛上下载社工库,挂个脚本即可实施。因此,撞库攻击也一直困扰着包括BAT在内的互联网巨头们。
 
被撞库攻击导致用户数据泄露这一问题困扰的,最为人们津津乐道的便是著名的电商平台京东。2011年12月27日,WooYun.org爆出了京东商城因为撞库攻击导致用户数据泄露大量的用户账号和密码被公开。此后2014年、2015年、2016年(3次)连续三年分别有媒体爆料称,京东多次遭遇撞库攻击导致数据库资料泄露。
 
但是,实际上京东的数据库并没有泄漏,黑客只不过通过“撞库”的手法,“凑巧”获取到了一些京东用户的数据(用户名密码)。而这样的手法,几乎可以对付任何网站登录系统。用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“万能钥匙”,一旦丢失,后果可想而知。
 
同样作为电商平台的阿里巴巴也未能幸免。早在2016年,有媒体报道称,有犯罪团伙利用阿里漏洞,获取了淘宝账户信息约9900万,其中2059万账户为确实存在并且密码吻合。而据警方介绍该团伙通过自编58个黑客盗号软件,获取淘宝用户名+密码32亿组,涉及浙江、江苏、上海、山东、四川、福建、安徽等全国20余个省份用户,涉案金额高达200余万元。
 
2014年12月25日,12306网站的用户信息在互联网上疯传。12306官方网站称,网上泄露的用户信息系经其他网站或渠道流出。据悉,此次泄露的用户数据不少于131653条。而该批数据基本确认为黑客通过“撞库攻击”所获得。

根据《亚太地区撞库造成的损失》的研究数据显示,每年亚太地区的企业机构预计因遭受撞库攻击而导致的损失范围为28469美元至2850万美元。而据阿里巴巴内部人士称,阿里日均检测攻击事件数千起,每起攻击事件平均包括数千次撞库登录请求,在每天发起的攻击事件里,账号密码组合去重后仍有几十万对……
 
一场用户与平台同舟共济的保卫战
 
然而事实是,在日常生活中,我们账户和密码重用的问题普遍存在。
 
2018年9月,在英国伦敦举办的第21届Information Security Conference (ISC2018)信息安全会议上进行的一项调查显示,有超过45%的与会安全人士重复使用相同的密码。所以,专业人士尚且如此,更不用说是一般用户了。
 
很多人往往为了追求方便,习惯于在设计资产的平台设置的账户密码,与自己电商平台、社交媒体注册等平台注册时使用相同的账户和密码。但是这样的做法极其容易在某个网站或社交媒体遭遇数据泄露时,使自己的资产被盗取而遭受多重伤害。
 
所以说,防止撞库攻击,是一场需要用户与平台同舟共济的保卫战。
 
对于普通用户而言,其实最简单的“傻瓜”办法,就是准备一个小本,记录好自己在每个平台和网站上的账号和密码,每次可以都想一个不同一点的密码,需要登陆的时候拿出来用。
 
另外,可以设置一个自己记得住的密码,然后在密码的前面或者后面加上注册的网站名称,比如在OK上面注册账号,就设置****OK(常用密码+平台标识)。

而对于平台而言,可以使用多因素认证和两阶段验证,通过增强登录入口识别能力的方法来提高登录入口的安全性,例如增加图片验证码等,可以有效避免黑客通过代理登录获取用户个人信息。
 
此外,还可以通过自动识别异常IP方式,扫描到单位时间内频繁登录的异常IP,对于异常的IP,整理一个非常严格的库,甚至直接禁止这些IP访问网站,从而效规避撞库攻击。
 
当然,从根本上平台需要改变传统被动式的安全防护策略,实现有效的主动防御,阻挡撞库及其他类似的自动化攻击。比如对数据存储进行防拖库设计,对数据库的数据交互、访问过程、运维操作进行安全防护,都是降低风险的有效措施。
 
但无论如何,最为重要的第一步,还是用户要提高安全意识。我们每个人都有自己的一套密码,密码后面就是我们的重要信息、隐私以及财产,其重要性不言而喻,个人密码的安全性和被破译难度将直接影响到用户的数据与信息安全。因此,我们一定要提高自己的安全意识,为自己的各个账户设置一组难以破解的密码,是构筑个人信息安全中最重要的一步。
 
如何有效防止撞库攻击?
 
1、如果发现自己的账户可能存在安全隐患时,及时重置登录密码,开启短信验证、谷歌验证、人脸识别等二次验证方式。比如,在数字资产交易平台登录时,设置手机号登录验证功能,即使密码泄露,其他人在其他电脑或手机上登陆时这些应用会自动要求填写手机验证码,而手机在你自己手里,他们是不可能获得验证码的,因此即使密码泄露也不担心资产的安全。
 
2、将涉及资产的平台网站登录密码和其他网站密码分开设置。比如数字资产交易平台的网站设置一个密码,平时上网看电影、下载音乐的网站设置另一个密码。这样可以有效降低密码泄露风险。
 
3、在网吧等公众场合不要使用密码存储功能。我们可能经常需要使用公众场合的电脑登陆一些应用,很多浏览器都有密码存储功能,如果在公众电脑上存储密码是一件很危险的事情,因此登陆时一定要看清楚,选择不存储密码。同时如果条件具备可以在每次使用公众电脑登陆后都清除下浏览器记录,或者使用无痕模式打开浏览器。

关键词: 撞库攻击  撞库  数字资产  
0/300