絨絨說安全：聊聊撞庫那些事兒 - 網安 - 專業的網絡安全產業、社區、知識平臺

2019年，黑客利用撞庫破解抖音百萬賬戶密碼，隨后通過在網上承接點贊刷量、發布廣告等業務牟利，兩月獲利上百萬元。

2022年，一名尼日利亞黑客利用撞庫，入侵一家人力資源公司的用戶賬戶并竊取其工資存款，直到被捕時，已累計入侵了5500個用戶賬戶，總共轉移了80萬美元。

……

隨著網絡信息技術的持續演進，互聯網帶來的數據安全和侵犯個人隱私的問題也日益凸顯，從上述新聞中我們可知，撞庫往往伴隨著數據泄露，那么撞庫的數據從何而來呢？今天我們就帶大家來聊聊撞庫那些事兒~

什么是撞庫呢？

撞庫，是指黑客利用互聯網上已經泄露的賬號密碼，在各大網站進行批量的自動登錄，也可以理解為黑客拿著用戶A網站的賬號密碼，到B/C/D/E等平臺嘗試登錄的過程。

撞庫的數據從何而來？

撞庫中用于嘗試登錄的賬號和密碼是從何而來呢？最常見的方法我們稱之為拖庫，拖庫是指黑客利用技術手段或社工手段，非法獲取用戶數據的過程。

在拖庫后，接下來就要進行洗庫了，洗庫是指黑客通過一系列的技術手段將無序的數據歸納整理的過程，這一步驟可提升數據的針對性，提高后續撞庫的成功率。

經歷了拖庫、洗庫后，這些高價值數據就要被黑客用來進行撞庫了，目前常見的撞庫方法：

用N個配套賬號和密碼直接在其他網站登錄；

用N個密碼輪番登錄M個賬號，一個賬號在短時間內會被用不同密碼登錄n次；

無暴利，不黑客，其實黑客撞庫的背后，都是為了獲取巨大的利益：

拖庫-洗庫-撞庫協作流程

其實，現在的拖庫、洗庫、撞庫已經形成了成熟的黑色產業鏈條：

首先，具備一定能力的拖庫團伙利用其技術攻破各大網站，盜取初始數據并將其打包上傳至服務器；其次將數據庫賣給專門的洗庫團伙，對數據進行歸納整理（比如游戲賬號、真實信息、金融賬號等）；最后這些數據將會被售賣給撞庫團伙，撞庫團伙利用這些數據進行目標登錄測試，若獲取到新的用戶信息將會重復上述步驟。

值得注意的是，拖庫團伙和撞庫團伙也會將某些數據集中歸檔在社工庫里，黑客通過將獲取的各種數據庫對用戶進行全方位畫像，最后根據這些畫像，對特定的企業或個人進行針對性地攻擊（定向攻擊）。

隨著《網絡安全法》、《數據安全法》、《個人信息保護法》等一系列法律法規的相繼頒布，都證明了數據安全的重要性。撞庫作為一種常見的網絡攻擊方式，黑客利用它幾乎可以攻擊任何網站的登錄系統，當用戶在不同網站使用相同的用戶名和密碼時，就相當于給黑客配了一把“萬能鑰匙”，一旦丟失，后果可想而知。

對個人用戶來說，這可能會導致其密碼泄露、賬號被盜，進而造成財產或名譽損失；對企業來說，不僅會造成客戶信息等商業機密的泄露，還會對企業的聲譽和形象造成嚴重傷害。對此，我們應如何盡可能縮減損失，降低風險呢？

使用密碼管理器工具，幫助解決記憶的難題的同時，還能保證較高的安全性；

杜絕一碼多用，避免通過第三方平臺登錄，降低密碼泄露的風險；

定期殺毒、打補丁，不用盜版/破解版軟件，不隨意使用公用wifi；

不自動“保存密碼”，不隨意在第三方網站輸入帳號和密碼，即便是個人電腦，也要定期在所有已登錄站點手動強制注銷或安全退出；

定期殺毒、打補丁，不用盜版/破解版軟件，不隨意使用公用wifi；

盡可能使用平臺提供的多重認證方式，如火絨企業版“終端動態認證”功能，可降低撞庫帶來了的風險，以達到保護終端的目的；

企業加強用戶賬戶使用策略與賬戶管理，在賬號登錄失敗達到一定次數后則鎖定賬號，防止密碼被破解，如火絨企業版管理員密碼保護“臨時密碼”，只對單一終端生效，避免密碼泄露風險。