隨著社交和移動互聯網的成熟，我們都生活在一個數字的世界，相應的也面臨了更多的風險。這些風險的來源，也許并不因為我們對安全的一無所知，沒有防范，它可能來自于對低安全等級的某個并不起眼的小數據庫。

比如被“撞庫”……

我還清楚的記得，去年在某個公共郵箱密碼大量泄露的事件之后，朋友圈瘋傳的一個網址，當你輸入你的郵箱名字之后，如果看到了你的密碼，那么很抱歉，在成千上萬個被“撞庫“獲取的密碼當中，你就成了受害者。

在當時，身邊受害的朋友不在少數，他們有的用該郵箱注冊過微博，有的注冊過旅游網站或是支付寶賬號。“撞庫“的可怕就在于此，它是一個鏈式的反應。可能某一次小網站或是小應用注冊的信息并不是重點，但通過這一個點，黑客就有機會持續不斷地攻破我們的很多需要嚴防死守的領地。

可是，“撞庫”又是極難杜絕的，因為在通過信息技術來形成的黑色產業鏈里，撞庫是最原始的武器，通過“撞庫”來獲取的大量用戶信息，被販賣給黑色產業鏈中各種各樣的不法分子，這就是很多網游、網銀失竊案的根源，也是我們的個人信息進入廣告營銷、團購商家或是垃圾郵件和短信騷擾的源頭。

如今以百度為代表的BAT互聯網巨頭，開始與警方產生合作機制，用技術的手段，對撞庫和網絡黑產進行系統性的打擊，也讓撞庫對社會的危害再次付出水面。

還原“撞庫”

可以說破解了撞庫，就能在黑色產業鏈中，從根源杜絕相當多的網絡犯罪。但是，為什么撞庫又是很難被打擊的呢？

首先，了解一下撞庫，這是一種針對數據庫的攻擊方式，方法是通過攻擊者所擁有的數據庫的數據通攻擊目標數據庫。可以理解為，在黑客攻不破B網站的情況下，只需要攻破安全性差的A網站，然后用賬號來推測獲取B網站賬戶密碼，因為很多用戶在不同網站使用的是相同的賬號密碼。

比如，一些中小網站用戶賬戶以及密碼容易受到黑客掃號攻擊。因為這些網站的安全防護能力較弱，黑客很容易通過技術手段，通過網站的漏洞竊取完整的數據庫，或是通過利用社會工程，對企業內部人員進行釣魚，以達到獲取數據庫的目的，俗稱“拖庫”。

從技術的角度看，一般的防范措施，很難杜絕被拖庫，比如，一般傳統企業會在登陸頁面直接增加驗證碼，不過由于自動化驗證碼識別腳本早已出現，簡單的驗證碼識別已經不是什么問題。這種方式很難作為防止有針對性的惡意攻擊，需要更多的維度實現技術防御，來提高攻擊者的成本防止惡意撞庫掃號行為。

那么，在獲取了用戶數據庫以后，黑客會對信息進行分離，一部分直接出售給不法分子，還有一部分與金錢相關的信息，可能會進行二次破解，令這些用戶遭受到一定程度財產損失。當然，最大的一部分數據庫會拿去與被曝光的其他數據庫，進行對比和破解，這就是所謂的“撞庫”。

有時候，黑客也會將一些“撞庫”匹配出的賬戶、密碼、使用人身份信息、手機號碼、QQ及密碼等信息出售給詐騙集團，詐騙集團利用這些信息對受害人實施詐騙，往往使得受害人信以為真，造成財產損失。

它對信息安全的危害，是會無限蔓延的，也許用戶只是在某個很小的網站中泄露了一些細微的信息，但是通過不斷地被撞庫，用戶的核心信息隨時可能被曝光。這是撞庫，對所有網民，隨時隨地的潛在威脅。

撞庫遠比想象更可怕

也許“撞庫”本身，這個專業術語，還是會令很多人趕到陌生。普通的用戶也確實無需關心撞庫的技術本質，但卻不能不了解撞庫帶來的危害。

首先，撞庫絕不是一個小范圍的事件，它具備大范圍的殺傷力。比如在今年7月，一些黑客盜取了4千萬個蘋果iCloud賬戶。黑客當時鎖定了部分iOS設備，并給被鎖的用戶發送信息稱，需30-50美元才可解鎖。用戶需要在在12小時內付款，否則其設備無法使用，iCloud中的所有數據也可能被清除。

這就是典型的iCloud賬戶因撞庫產生的巨大后果。波及到4000萬人的撞庫事件，也說明撞庫的殺傷范圍極大。

其次，撞庫造成的財產損失也可能不會是個小數目。它絕不是我們印象中的某個網游賬戶的失竊那么簡單。今年7月，2016年07月17日，因為有些用戶在不同網站使用相同的注冊信息（用戶名和密碼），因此被不法分子利用，使用撞庫的方法在大麥網嘗試登錄并獲取用戶購買商品的信息，進而冒充客服人員實施詐騙，導致39名用戶被騙，損失達147.42萬元。

由此可見，撞庫造成的財產損失也是巨大的，39人被騙，人均損失接近4萬元，可見撞庫的危害之大。

包括安全防護能力很強的12306也在2014年遭遇了撞庫。導致12306網站用戶信息在互聯網上瘋傳, 泄露的用戶數據不少于131,653條。經查，正是不法分子，通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息，嘗試登錄其他網站進行“撞庫”，獲取了用戶的其他信息，并以此謀取非法利益。

打擊撞庫 機制和技術兩手都要硬

正因為撞庫造成的網絡黑產犯罪日益猖獗，包括BAT在內的更多安全廠商加入到聯合打擊行列中，并建立了一系列跨行業的聯動機制。為應對網站加載竊取用戶手機號等個人信息代碼的網絡黑產。

以百度為例，其專門成立了安全部、法務部、戰略合作部、風控技術部等多部門聯合工作的項目組，就隱私竊取黑產的技術原理、黑產范圍、與運營商合作的方法等進行多輪溝通，逐步明確系統性的解決方案。目前已成功打掉數萬個違規站點，并已促成黑產最上游部分泄密接口的關停，同時與運營商建立了聯動關停泄密站點的機制，靠領先技術識別能力和行業協同能力對網絡黑產分子形成極大震懾。

從技術的角度，百度安全的溯源反制技術或許對整個行業都有借鑒的價值。2015年，針對黑產大數據監測，百度安全推出針對黑產的威脅情報大數據平臺，復合機器學習技術，可以實時檢測風險，溯源黑產，保護業務安全。

首先，百度通過黑產風險實時檢測，實時檢測賬戶風險大數據，可以發現黑客的撞庫攻擊行為，可以及時配合產品線上線攔截策略，阻止了威脅進一步擴大。針對前期被攻擊賬號，也同時及時增加多因素認證，攔截單一密碼登陸，通知用戶修改密碼。

其次，溯源反制追擊。通過對攻擊流量分析，確定惡意IP地址，上報轄區網安。

第三，協同作戰。立案后，百度安全實驗室積極配合網安，提供后方技術支持，通過歷史數據分析，鎖定服務器機房，便于網安民警調查取證，鎖定嫌疑人身份，實現偵破犯罪團伙。

據悉，目前百度在與警方協同作戰方面已取得了很多突破，比如今年7月，百度安全實驗室監測到針對百度賬號體系發起的大量撞庫攻擊，第一時間配合產品線上線了攔截策略，阻止了威脅進一步擴大，針對前期被攻擊賬號，及時增加多因素認證，攔截單一密碼登陸，并通知用戶修改密碼。通過對攻擊流量分析，確定了武漢、安徽、北京等多地區的惡意IP，法務部刑事打擊組將分析結果及時上報北京市海淀區公安局網絡安全保衛大隊。立案后，百度安全實驗室積極配合海淀網安，提供后方技術支持，通過歷史數據分析，鎖定位于湖北的IDC機房，最終抓獲了本案中提供撞庫工具編寫收費服務的嫌疑人馬某。

從這個典型案例我們不難看出，互聯網公司在互聯網技術和安全技術上具有天然的優勢，百度的溯源反制技術不僅從技術上對網絡黑產實現了從源頭進行打擊，更從機制上實現了與警方聯合，值得很多安全公司借鑒。