抖音千萬(wàn)級(jí)賬號(hào)遭撞庫(kù)攻擊 如何防范撞庫(kù)攻擊？

賣(mài)彩票中獎(jiǎng)的幾率是多少?千萬(wàn)分之一。對(duì)黑客來(lái)說(shuō)，通過(guò)撞庫(kù)攻擊來(lái)獲取平臺(tái)的賬號(hào)和密碼，這幾率要比中彩票高出不少。

今年2月，海淀警方接到北京字節(jié)跳動(dòng)公司報(bào)案，后者稱旗下App抖音千萬(wàn)級(jí)外部賬號(hào)遭到惡意撞庫(kù)攻擊，其中幾百萬(wàn)賬號(hào)密碼與外部泄露密碼吻合。5月底，犯罪嫌疑人汪某被警方抓獲。

抖音遭撞庫(kù)，黑客牟利超百萬(wàn)

據(jù)汪某交代，其利用掌握的計(jì)算機(jī)能力，控制了多個(gè)熱門(mén)網(wǎng)絡(luò)平臺(tái)的大量賬號(hào)，隨后通過(guò)在網(wǎng)上承接點(diǎn)贊刷量、發(fā)布廣告等業(yè)務(wù)牟利。

與此同時(shí)，汪某還編寫(xiě)了大量撞庫(kù)代碼，對(duì)包含抖音在內(nèi)的各大網(wǎng)絡(luò)平臺(tái)進(jìn)行撞庫(kù)攻擊，以此獲取到更多的平臺(tái)賬戶，累計(jì)獲利超百萬(wàn)元。

在中國(guó)新聞網(wǎng)的報(bào)道中，知名信息安全專家李響稱，撞庫(kù)攻擊實(shí)則非法牟利者一種碰運(yùn)氣的表現(xiàn)。這種方式是通過(guò)已經(jīng)被泄露的部分信息，再進(jìn)行其他平臺(tái)的重復(fù)登錄操作，一旦登陸成功則撞庫(kù)成功。

“通常被黑客選作撞庫(kù)對(duì)象的賬號(hào)密碼所有者安全意識(shí)都不高，他們很有可能將同樣的賬號(hào)、密碼作為幾個(gè)平臺(tái)的通用‘鑰匙’，這為撞庫(kù)的成功提供了保障。”

對(duì)于撞庫(kù)者而言，這些通過(guò)碰運(yùn)氣得到的平臺(tái)賬號(hào)大多沒(méi)有發(fā)布過(guò)黃賭毒的相關(guān)消息，清白的歷史記錄讓其足矣具備高利潤(rùn)價(jià)值。通過(guò)暗網(wǎng)買(mǎi)賣(mài)這些賬號(hào)，亦或直接用它們來(lái)進(jìn)行惡意內(nèi)容傳播、刷量等活動(dòng)，是其獲取暴利的最佳方式之一。

雷鋒網(wǎng)了解到，在字節(jié)跳動(dòng)系統(tǒng)實(shí)時(shí)監(jiān)測(cè)到攻擊之后，該公司通過(guò)安全系統(tǒng)，對(duì)所有疑似被盜賬號(hào)設(shè)置了短信二次登陸驗(yàn)證，以阻止黑客的撞庫(kù)攻擊行為。

撞庫(kù)攻擊灰色產(chǎn)業(yè)鏈

近幾年黑客尤其青睞撞庫(kù)攻擊的“玩法”，面對(duì)暴利，越來(lái)越多的黑客加入到對(duì)抗廠商的隊(duì)列之中，使其發(fā)展成為一個(gè)幾乎要取代盜號(hào)行為的巨大灰色產(chǎn)業(yè)鏈。

撞庫(kù)的前提是首先獲取到一批泄露的信息資源。因此，撞庫(kù)地第一步就是從社工庫(kù)獲得“初始信息”。

一直以來(lái)，黑客們用一些工具或者自己寫(xiě)的程序就可以檢測(cè)到網(wǎng)站漏洞，然后利用這個(gè)漏洞對(duì)該網(wǎng)站進(jìn)行挖掘。并且用戶量大的網(wǎng)站也同樣會(huì)被拖庫(kù)，單看前幾年的數(shù)據(jù)泄露事件，就足矣大開(kāi)眼界：

畢竟，世界上沒(méi)有密不透風(fēng)的墻，通過(guò)提權(quán)、木馬病毒植入、垃圾鏈接生成等方法，可以很容易得到這個(gè)網(wǎng)站的所有用戶信息(當(dāng)然包括登陸賬號(hào)和密碼)，這些信息被盜取之后就被存放在社工庫(kù)中。

所以，當(dāng)黑客想嘗試登錄某個(gè)網(wǎng)站或者app時(shí)，就會(huì)用”社工庫(kù)”里的信息去挨個(gè)嘗試登錄，“撞”出一個(gè)個(gè)正確賬號(hào)。

然而，面對(duì)暴利的黑產(chǎn)人員更加積極主動(dòng)，將反抗安全的步驟做到了平臺(tái)化、鏈條化。雷鋒網(wǎng)得知，目前撞庫(kù)黑客在各個(gè)維度都有完善的方案與廠商進(jìn)行對(duì)抗。

主要分為以下幾方面：

1、低安全性邊緣業(yè)務(wù)或新業(yè)務(wù)——尋找其自身漏洞，一旦發(fā)現(xiàn)非嚴(yán)格審計(jì)的邊緣業(yè)務(wù)接口，便繞過(guò)所有的防護(hù)措施。

2、IP對(duì)抗——許多爬蟲(chóng)、搜索引擎、機(jī)器人程序都有獲取IP的需求。而撞庫(kù)攻擊獲取IP資源的方法主要有掃描代理、付費(fèi)代理、付費(fèi)VPN和撥號(hào)VPS四種。

3、驗(yàn)證碼對(duì)抗——黑客通過(guò)圖靈測(cè)試方案，不斷嘗試自動(dòng)化破解。

4、短信驗(yàn)證對(duì)抗——黑產(chǎn)獲取的手機(jī)卡主要分為流量卡、實(shí)名卡和海外卡三種，通過(guò)貓池，黑產(chǎn)不僅可以在不同卡之間模擬定期撥打電話，還可以進(jìn)行收發(fā)短信，甚至進(jìn)行一些流量的消耗。這種模擬讓黑卡的使用情況趨于正常的電話卡(接碼平臺(tái))。

5、模仿真人行為——通過(guò)對(duì)不同平臺(tái)安全檢測(cè)邏輯進(jìn)行分析，越來(lái)越多自動(dòng)化程序騙過(guò)了風(fēng)控平臺(tái)的“眼睛”。

如何防范撞庫(kù)攻擊？

首先，怎樣才能發(fā)現(xiàn)撞庫(kù)攻擊呢?從企業(yè)的web服務(wù)視角來(lái)看，如果發(fā)現(xiàn)以下幾種情況，基本可以判定是在撞庫(kù)：

1、一個(gè)賬號(hào)在某個(gè)較短的時(shí)間內(nèi)，有多次密碼嘗試。

2、一定時(shí)間內(nèi)相同密碼的出現(xiàn)頻次非常高。

3、同一個(gè)IP或同一個(gè)設(shè)備，在短時(shí)間內(nèi)使用不同賬號(hào)密碼多次嘗試登錄。

簡(jiǎn)單來(lái)說(shuō)，使用他人在A網(wǎng)站的賬號(hào)密碼，去B網(wǎng)站嘗試登陸，這就是撞庫(kù)攻擊。這種情況下，最簡(jiǎn)單粗暴的方法就是直接在登陸接口加安全策略，如：

1、針對(duì)a情況，就限制一天之內(nèi)密碼錯(cuò)誤次數(shù)。

2、針對(duì)b情況，就針對(duì)頻率特別高的密碼禁止登錄(或者校驗(yàn)手機(jī)短信/密保問(wèn)題之后才能登錄)。

3、針對(duì)c情況，就對(duì)IP或者設(shè)備唯一id進(jìn)行閾值限制，如限制1分鐘內(nèi)訪問(wèn)登錄接口次數(shù)<50次。

看似簡(jiǎn)單粗暴的方法往往能夠有效起到防護(hù)作用。當(dāng)然，除此之外各種的風(fēng)控系統(tǒng)也可以防止撞庫(kù)攻擊的發(fā)生。

關(guān)鍵詞： 撞庫(kù)攻擊 抖音