網絡黑灰產類型之一：撞庫[原創]

圖1：撞庫圖片（來自網絡）

2014年，中國鐵路客戶服務中心官網12306遭遇撞庫攻擊，造成10餘萬條用戶信息洩露。

2018年，北京警方破獲首例“撞庫”詐騙案。據瞭解，案發前，犯罪團伙對某互聯網公司發起撞庫攻擊後，在該公司網站發佈招嫖等違法信息進行詐騙，造成該公司聲譽、經濟雙受損。

由上述實例可知，撞庫往往伴隨著信息洩露、經濟損失、名譽受損等問題，它對企業主體、用戶個人均能造成一定傷害。下面我們就來探討一下何為撞庫。

一、撞庫的定義及目的

（一）撞庫的定義。

之前，黑客主要利用木馬盜取他人賬號和密碼。但近年來，網站數據洩露事件頻發，撞庫便逐步成為盜號的主要方法之一。

撞庫是指黑客通過收集互聯網已洩露的賬號和密碼信息，生成對應的字典表，之後利用字典表批量登錄其他網站，進而得到一系列可以登錄其他網站的賬號和密碼。

如果用戶在多個網站設置了同樣的賬號、密碼，那麼黑客就很容易通過字典表中已有的信息，登錄到這些網站，從而獲得用戶的個人信息，如手機號、身份證號、家庭住址、支付寶、網銀信息等。

（二）撞庫的目的。

隨著互聯網+的熱潮愈演愈烈，越來越多的用戶開始將資源從線下轉移到線上，黑客也因此嗅到了利益的氣息，他們撞庫的目的主要包括以下幾點：

1.直接變現。撞庫後，盜取、販賣用戶賬號中的財產、虛擬財產或權限。如：盜取賬號中原有的錢財、販賣遊戲賬號中的裝備、轉讓視頻網站的會員權限等。

2.販賣信息。在黑市出售撞庫所得賬號、密碼及個人信息。如：黑客對12306網站進行撞庫攻擊後，曾在暗網出售用戶信息。

圖2：網上販賣12306網站用戶信息的內容（來自網絡）

3.推廣引流。撞庫後，利用所得的賬號進行引流、推廣非法業務、販賣違法物品。如：黑客撞庫社交平臺後，利用用戶賬號發佈違法辦證信息、販賣淫穢視頻，或發佈誘導性信息將網民引至微信等地，進而以微商、詐騙的方式進行深度變現。

4.刷量作弊。一些黑客在撞庫後，利用撞庫所得的賬號承接刷量業務，賺取錢財。如：在社交平臺刷評、刷贊，在視頻網站刷播放量。

5.電信詐騙。利用撞庫所得來的用戶信息，對用戶直接進行電信詐騙。

6.再次撞庫。利用撞庫所得的賬號、密碼或個人信息，再去攻擊其他網站，進而得到更多的用戶信息。

“威脅獵人”所發佈的一份報告顯示：在世界範圍內，我國是遭受撞庫攻擊的主要國家，被攻擊量佔全部攻擊量的67.62%，全球超過一半被攻擊的公司來自中國。同時，中國也是最大的攻擊來源國，攻擊量佔全部供給量的57.13%。根據阿里巴巴2015年度的安全報告，我國最容易受撞庫影響的行業是金融、社交媒體、遊戲、影音娛樂等行業。

二、撞庫的原始數據和攻擊鏈條

（一）撞庫的原始數據。

黑客在進行撞庫攻擊時，需要有足夠的原始賬號數據。而這些原始數據主要有以下兩個來源：

1.網站已洩露的數據。近年來，網站洩露數據事件頻發，部分原本在暗網中流通的數據被拋到明面上來。而這些已經被洩露、拋到檯面上的數據，就成為黑客進行撞庫攻擊的原始數據來源之一。

2.暗網交易數據。手機號、郵箱、用戶名、QQ號等相關數據的買賣是暗網交易的主要內容。值得一提的是，QQ號、密碼往往和QQ郵箱的賬號、密碼相對應。一些用戶在某些網站註冊賬號時會直接使用QQ郵箱和密碼。這就使得被盜的QQ號經常會被黑客用來進行撞庫攻擊。

（二）撞庫攻擊的鏈條。

在黑客進行撞庫攻擊的完整鏈條中，包括拖庫、洗庫、社工庫、定向攻擊。

圖4：撞庫攻擊鏈條圖（來自“威脅獵人”報告）

第一步拖庫：尋找有價值的網站，之後通過技術手段（SQL注入、跨站腳本攻擊等）或其他手段（內部員工洩密、對管理員釣魚等）獲得完整的數據庫，竊取用戶資料。

第二步洗庫：獲得完整數據庫後會將數據進行分層處理（金融類賬戶或社交類賬戶分門別類），並將用戶賬號中的財產、虛擬財產或賬戶信息本身變現。

第三步撞庫：洗庫完成後，黑客會進行兩個動作，直接售賣信息進行變現，或定向攻擊其他網站從而獲得更多的用戶信息。而撞庫所得信息又可再次進行洗庫操作。

第四步打造社工庫：將獲取的各種數據庫關聯起來，對用戶進行全方位畫像，打造社工庫。

第五步定向攻擊：根據用戶畫像，對特定人或人群進行針對性的犯罪活動。

三、撞庫的方法及撞庫的危害

（一）撞庫的方法。

目前，最常見的撞庫方法有以下三種：

1.用N個配套的賬號、密碼進行登錄。

具體方法是：用從其他網站得來的一一對應的賬號、密碼，在其他網站直接試用。

2.用N個密碼撞N個賬號。

具體方法是：用多個密碼輪番嘗試登陸多個賬號。具體表現是：在短時間內，一個賬號被用不同的密碼嘗試登錄多次（次數小於等於N）。

3.用少數幾個密碼撞N個賬號。

具體方法是：篩選少數幾個典型的密碼（推測用戶可能使用的密碼）輪番對N個賬號進行試登陸。具體表現是：短時間內，使用同一密碼登陸不同賬戶的頻率較高。

（二）撞庫的危害。

1.對於企業。

品牌形象受損：

承擔法律責任：在用戶信息安全方面，企業一旦觸犯網絡安全法相關規定，輕則被政府部門約談，重則將被關停。

2.對於用戶。

接到騷擾電話：個人信息被洩露後，用戶將不時接到垃圾短信、營銷電話等騷擾信息，影響正常生活。

損失生命財產：黑客掌握用戶的個人信息後，對用戶進行蠱惑、誘導，使用戶自主進行轉賬等操作，最終導致用戶個人財產損失，甚至付出生命的代價。

四、應對撞庫行為的措施

（一）技術應對。

為防止黑客用N個配套的賬號、密碼進行撞庫，企業一般採取以下措施進行應對：

（1）進行IP封禁。如果一段時間內，單個IP地址登錄賬號時，密碼錯誤次數超過閾值，則禁止這個IP一段時間再登錄，或只有通過手機驗證、回答密保問題後才可登陸。

（2）建立問題IP畫像庫。總結問題IP，並建立問題IP畫像庫。對代理IP、IDC IP等高危IP直接禁止登陸，或只有通過手機驗證、回答密保問題後才可登陸。

（3）行為驗證。在用戶登錄過程中，設置拖條、點選、拼圖等進行驗證，防止黑客撞庫攻擊。

（4）從設備層面識別和封禁。通過在客戶端植入SDK（軟件開發工具包），收集用戶設備信息，從設備層面做高頻策略，或識別非正常設備，之後對異常設備進行封禁。

（5）從行為層面識別和封禁。在客戶端植入SDK，收集用戶在登錄頁面的交互行為，通過機器學習、大數據建模等方式，訓練出正常用戶、異常用戶的行為模型，進而在交互行為層面識別撞庫行為。發現異常設備後，立即封禁。

2.針對用N個密碼撞N個賬號的行為。

為避免黑客用N個密碼撞N個賬號，企業一般會在賬號層添加防護措施，如：一天內，同一賬號的密碼被輸錯3次，當日該賬號將被禁止登陸，或只有通過手機驗證短信或密保問題才可登陸。

3.針對用少數幾個密碼撞N個賬號的行為。

為防止黑客用少數幾個密碼撞N個賬號，企業一般會在密碼層添加防護措施，如：統計一段時間內每個密碼在登陸賬號時的錯誤次數，當某一密碼的錯誤次數超過所設置的臨界值，在一段時間內禁止這一密碼登錄賬號，或只有通過手機驗證、回答密保問題才可登錄。

（二）非技術應對。

1.在企業層面，建議提升員工信息安全意識。

在企業層面，為防止網站遭到撞庫，可以對員工進行信息安全培訓，提升員工信息安全意識；一旦發現有人洩露用戶信息，立即嚴懲。

2.在用戶層面，建議在賬號、密碼方面做文章。

在用戶層面，建議在註冊不同的網站時，使用不同的賬號和密碼；若存在用同一賬號註冊不同網站的情況，則建議將密碼繁瑣化並定期進行修改，避免個人賬號成為黑客撞庫的犧牲品。

閱讀更多 想念鄉村的夏天 的文章

關鍵字: 黑客 微商 SQ