網絡安全丨什么是撞庫及撞庫攻擊的基本原理

6月26日晚，我國大型聊天軟件QQ出現了大規模盜號情況，而且是在QQ號本人在線時出現了被盜情況。

6月27日中午，騰訊QQ發布聲明稱QQ號碼被盜主要原因是用戶掃描過不法分子偽造的游戲登錄二維碼并授權登錄，該登錄行為被黑產團伙劫持并記錄，隨后被不法分子利用發送不良圖片廣告。

為什么掃描不法分子偽造的游戲登錄二維碼并授權登錄，就會被盜號呢？

大家在新的平臺申請賬號密碼的時候，通常可以選擇關聯其他平臺賬號，直接登錄。這時，此平臺就會保留其他平臺的賬號數據。通過掃描偽造的二維碼授權信息后，不法分子就能獲得你真正的賬號密碼。

QQ 生態相對來說較為開放，本身用戶體量大。由于生態非常開放，用戶數據不僅可以授權給很多游戲平臺，還可以授權給其他第三方社交媒體平臺，在授權的過程中，用戶的數據也順帶授權過去。

在這樣多的應用相互交互的情況下，去做數據安全包括賬號的安全，難度會大非常多。現在的互聯網環境十分復雜，各個平臺可以相互授權信息，為何第三方的數據庫安全會如此重要？是因為在互聯網中有一種攻擊是通過第三方泄露出去的數據造成其他平臺賬號被攻擊，賬號被盜，這種攻擊叫做 “撞庫”。

撞庫的基本原理

撞庫是一種常見的網絡攻擊方式，犯罪分子會使用自動化系統和被破解的登錄憑據訪問在線賬戶。

簡單來說黑客通過收集互聯網已泄露的用戶和密碼信息，生成對應的字典表，嘗試批量登錄其他網站后，得到一系列可以登錄的賬號密碼。很多用戶在不同網站使用的是相同的賬號密碼，因此黑客可以通過獲取用戶在 A 網站的賬戶嘗試登錄 B 網址，這就可以理解為撞庫攻擊。撞庫攻擊取決于密碼的重復使用，受害者常為多個在線賬戶設置相同的用戶 ID 和密碼組合。

但是撞庫成功需要的一個前提就是拖庫。

什么叫拖庫及拖庫與撞庫的關系？

撞庫中黑客用于嘗試的用戶及密碼來源于拖庫，而拖庫本來是數據庫領域的術語，指從數據庫中導出數據。

拖庫是撞庫的基礎，是進行撞庫攻擊的必要條件。拖庫實現起來比撞庫復雜得多，手段和方法也非常多，常用的是社工流拖庫和技術流拖庫。社工流拖庫以欺詐、網站仿冒、釣魚、重金收購、免費軟件竊取等為主要手段；技術流拖庫則以入侵、攻擊為主，如遠程下載數據庫。利用 Web Services 漏洞、服務器漏洞，掛馬、病毒、木馬后門等技術手段和方法。

通過拖庫獲取用戶的信息后，撞庫的實現就比較簡單了。當前多數撞庫以單腳本登錄驗證、分布式腳本登錄驗證，自動代理登錄驗證，甚至人肉驗證等方式來顯示。

同時 Sentry MBA 或 SNIPR 等免費自動化工具讓犯罪分子能更加輕松地嘗試登錄信息并驗證被盜憑據。

綜合來看，“撞庫” 操作簡單、成本較低，其對數據庫的攻擊只需要經過 “拖庫”—— 攻破網站、“洗庫”—— 數據處理分析，然后就可以進行 “撞庫”。

撞庫的危害

2017 年 12 月至 2019 年 11 月間，Akama i 觀察到 854 億 2207 萬余次撞庫攻擊，中國是 API 惡意登錄的三大 “重災區” 之一。

因為撞庫是以個人信息為前提，而我國的大規模個人信息泄漏事件并沒有就此停止。而且聯網近三分之二用戶都在重復使用他們的密碼所以撞庫看似簡單，但是成功率卻很高。

曾經 12306 數據泄露事件確認為撞庫攻擊，泄露的數據包括用戶賬號、明文密碼、身份信息郵箱等大量用戶資料。

京東的賬號被盜事件同理，只不過京東的數據庫并沒有泄露。黑客通過別的渠道獲取泄露的數據庫來實施 “撞庫” 攻擊，然后成功獲取到了一些京東用戶的密碼。

撞庫的損失不是一家之過，對于個人用戶而言密碼安全意識不強，設置密碼過于簡單、多個網站長期使用同一賬號密碼登錄；對于平臺來說，登錄時 IP 地址驗證、設備驗證等安全防御手段不到位；對于監管來說，雖然《個人信息保護法》已出臺，但是網絡上還存在著大大小小的暗網出售居民個人信息。

所以個人用戶要加強對賬號密碼的保護，設置密碼時，避免過于簡單、易猜；養成定期更改密碼的習慣；根據賬號重要性、是否涉及財產等分級管理，避免一碼多用；在公共設備上登錄個人賬號時，不要勾選 “記住密碼默認登錄 “等選項，盡可能選擇匿名登錄。

對于平臺可以在用戶登錄環節添加 IP 地址與 GPS 交叉核驗，以此來核驗用戶的真實位置；對于監管部門來說可以加大懲治力度，震懾犯罪分子。

文章轉自公眾號： 兢山政事