如果有一天你發現,從網上買到了自己丟失的視頻VIP賬號,會是一種什么感受?大學生小張為了追自己愛看的劇集,從網上買了一個價格低至5元的某視頻網站VIP賬號。收到賬號信息后,他發現居然是自己以前丟失的賬號。而小張身邊也有同學突然發現自己的百度網盤資料被全部清空,還塞滿了別人的資料和視頻……
這些很可能就是遭遇到了“撞庫”攻擊,并導致個人的賬號信息被盜取和售賣。而這背后,其實隱藏著一個巨大的“撞庫”黑色產業鏈:所謂的黑客們通過“撞庫”技術盜取各類社交網站上的數字賬號,并最終通過售賣、敲詐、詐騙等手段實現非法獲利。不久前,國內首個利用“撞庫”獲利的黑色產業團伙落網,揭開了背后的不法利益鏈條。
“撞庫”攻擊核對出50余萬條賬號和密碼,網上售賣非法獲利
今年下半年,百度安全實驗室監測到針對百度賬號體系發起的大量“撞庫”攻擊,通過對攻擊流量分析,確定了武漢、安徽、北京等多地的惡意IP地址,并將分析結果及時上報北京市海淀區公安局網絡安全保衛大隊。
所謂“撞庫”,是一種針對數據庫的攻擊方式,是黑客通過收集互聯網已泄露的用戶和密碼信息,嘗試批量登錄其他網站后,得到一系列可以登錄的用戶賬號。也可以理解為,在黑客攻不破B網站的情況下,只需要攻破安全性差的A網站,然后用賬號來推測獲取B網站賬號密碼,因為很多用戶在不同網站使用的是相同的賬號密碼。
在警方立案后,百度安全實驗室配合海淀網安大隊提供后方技術支持,通過歷史數據分析,鎖定了位于湖北的數據中心機房,網安民警前往調查取證,最終鎖定嫌疑人身份,隨后在河北省廊坊市將其抓獲。嫌疑人胡某對犯罪事實供認不諱,其所供述的犯罪行為與百度安全實驗室監測到的攻擊流量完全吻合。之后,本案中提供“撞庫”工具編寫收費服務的嫌疑人馬某,也被公安機關在深圳抓獲。
根據胡某供述,從2015年7月開始到2016年8月,他先后從網上購買了500萬條“個性數據”,從網友處要來了2000余萬條“個性數據”,將這些數據通過馬某出售的“撞庫”軟件進行批量“撞庫”,核對出50余萬條正確的百度網盤賬號和密碼。最終,通過網上售賣共獲利5萬余元。
安全專家認為,胡某能夠實施犯罪的關鍵環節是中小網站用戶賬號密碼容易受到掃號攻擊。一般傳統企業會在登錄頁面直接增加驗證碼,但簡單的驗證碼識別已經難不倒那些不法分子,很難防止有針對性的惡意攻擊,因此需要更多的技術防御來提高攻擊者的成本,防止惡意“撞庫”和掃號行為。
“撞庫”安全事故呈高發狀態,盜取用戶數據的黑色產業已形成產業鏈
今年以來,“撞庫”安全事故呈現高發狀態,騰訊、網易郵箱、世紀佳緣等大型社交網站和互聯網廠商紛紛中槍。不法分子通過所謂的“撞庫”技術,攻擊并盜取各種社交網站、電商、視頻網站上有價值的賬號,“撞庫”盜取用戶數據的黑色產業也已形成了產業鏈。
安全專家介紹說,“撞庫”的黑色產業鏈條通過“拖庫”、“洗庫”和“撞庫”多個環節進行分工合作。“拖庫”是盜取產業鏈的上游,“拖庫”黑客專門入侵網站取得大量用戶數據,隨后由中游的“洗庫”黑客,通過技術手段將有價值的用戶數據歸納分析,售賣給下游的“撞庫”黑客,“撞庫”黑客將買來的信息用于攻破安全性差的A網站,然后用A網站賬號來推測獲取B網站賬號密碼,并最終售賣賬號非法獲利。
安全專家介紹說,“撞庫”的成功率取決于有多少人在不同網站使用了相同的賬號和密碼。不幸的是,很多用戶都如此。比如在淘寶、微博、QQ、微信、騰訊視頻等各種社交工具或者電商網站中,用戶很可能使用的是相同的賬號密碼登錄。像淘寶和微信分屬兩個互聯網公司,不同的數據庫,但黑客通過盜取到其中一個網站數據庫的用戶數據后,就能夠匹配出其他網站的用戶數據。
其實,這種犯罪成本較低,而能夠屢次得手的最主要原因還是用戶在設置個人賬號信息時并沒有提高密碼復雜性,最終導致“撞庫”的高成功率。
網絡黑色產業的詐騙方式更為隱秘,普通用戶要提高自我防護意識
此次國內首個利用“撞庫”獲利的團伙案件破獲,警示我們網絡黑色產業的犯罪手段正在走向多元化和復雜化。
安全專家認為,當前,網絡黑色產業的詐騙方式更為隱秘,“撞庫”讓用戶面臨更大的詐騙陷阱。通過“撞庫”攻擊獲取用戶信息后,犯罪嫌疑人可能實施多種犯罪,包括出售賬號獲得非法收益,根據用戶個人信息實現電信詐騙,鎖定用戶賬號、以此要挾、敲詐用戶付費解鎖。此外,由于國內的高壓打擊態勢,更多犯罪團伙將服務器設置在海外,通過跨境操作,讓IP地址等定位更加變化多端,增加了執法機構偵破案件的難度。
隨著網絡黑色產業犯罪日益猖獗,包括百度、阿里巴巴、騰訊等在內的多家安全廠商加入到聯合打擊的行列中,并建立了一系列跨行業的聯動機制。據百度安全相關負責人介紹,百度一方面加大與政府部門的聯動,一方面就隱私竊取黑色產業的技術原理、涉及范圍、與運營商合作的方法等進行多輪溝通,逐步明確了系統的解決方案。目前已成功打掉數萬個違規站點,并已促成黑色產業最上游部分泄密接口關停,同時與運營商建立了聯動關停泄密站點的機制,靠技術識別能力和行業協同能力對網絡犯罪分子形成震懾。
針對“撞庫”等黑色產業,互聯網安全廠商也在不斷提升技術,并與公安部門協同作戰,打擊罪犯,在大數據監測方面,推出針對黑色產業的威脅情報大數據平臺等。人工智能技術將助力打擊網絡黑色產業,貫穿打擊網絡黑色產業全程:從風險實時檢測、溯源反制,到最后的協同抓捕。
不過,安全專家也提醒,雖然有了高科技的幫助,但廣大用戶仍要重視“撞庫”帶來的危害,提高自己的防護意識。比如多設置幾個賬號和密碼,對應使用不同級別的網站,選擇安全的登錄方式。一些支付類、財務類的網站,應盡可能使用手機驗證等安全驗證方式,避免為圖省事而直接登錄。要定期進行密碼修改,以確保賬號安全等。
具體來說,面對個人隱私安全隱患,普通用戶可以通過這樣一些方式實現自我保護:首先,發現個人隱私泄露后,可以通過一些公開平臺進行舉報,在最短時間內實現個人賬號信息保護。其次,在注冊多個社交賬號時,盡量設置不同的賬號密碼并提高密碼復雜度,提高個人隱私安全等級。在日常使用網站服務時,也要習慣使用安全軟件來保護個人信息安全。
京公網安備 11010502049343號