2014年，中國鐵路客戶服務(wù)中心官網(wǎng)12306遭遇撞庫攻擊，造成10余萬條用戶信息泄露。

2018年，北京警方破獲首例“撞庫”詐騙案。據(jù)了解，案發(fā)前，犯罪團伙對某互聯(lián)網(wǎng)公司發(fā)起撞庫攻擊后，在該公司網(wǎng)站發(fā)布招嫖等違法信息進行詐騙，造成該公司聲譽、經(jīng)濟雙受損。

由上述實例可知，撞庫往往伴隨著信息泄露、經(jīng)濟損失、名譽受損等問題，它對企業(yè)主體、用戶個人均能造成一定傷害。下面我們就來探討一下何為撞庫。

一、撞庫的定義及目的

（一）撞庫的定義。

之前，黑客主要利用木馬盜取他人賬號和密碼。但近年來，網(wǎng)站數(shù)據(jù)泄露事件頻發(fā)，撞庫便逐步成為盜號的主要方法之一。

撞庫是指黑客通過收集互聯(lián)網(wǎng)已泄露的賬號和密碼信息，生成對應(yīng)的字典表，之后利用字典表批量登錄其他網(wǎng)站，進而得到一系列可以登錄其他網(wǎng)站的賬號和密碼。簡單來講，撞庫就是指黑客使用他人在某網(wǎng)站的賬號、密碼，去另一網(wǎng)站登錄。

如果用戶在多個網(wǎng)站設(shè)置了同樣的賬號、密碼，那么黑客就很容易通過字典表中已有的信息，登錄到這些網(wǎng)站，從而獲得用戶的個人信息，如手機號、身份證號、家庭住址、支付寶、網(wǎng)銀信息等。

（二）撞庫的目的。

隨著互聯(lián)網(wǎng)+的熱潮愈演愈烈，越來越多的用戶開始將資源從線下轉(zhuǎn)移到線上，黑客也因此嗅到了利益的氣息，他們撞庫的目的主要包括以下幾點：

1.直接變現(xiàn)。撞庫后，盜取、販賣用戶賬號中的財產(chǎn)、虛擬財產(chǎn)或權(quán)限。如：盜取賬號中原有的錢財、販賣游戲賬號中的裝備、轉(zhuǎn)讓視頻網(wǎng)站的會員權(quán)限等。

2.販賣信息。在黑市出售撞庫所得賬號、密碼及個人信息。如：黑客對12306網(wǎng)站進行撞庫攻擊后，曾在暗網(wǎng)出售用戶信息。

 

圖1：網(wǎng)上販賣12306網(wǎng)站用戶信息的內(nèi)容（來自網(wǎng)絡(luò)）

3.推廣引流。撞庫后，利用所得的賬號進行引流、推廣非法業(yè)務(wù)、販賣違法物品。如：黑客撞庫社交平臺后，利用用戶賬號發(fā)布違法辦證信息、販賣淫穢視頻，或發(fā)布誘導(dǎo)性信息將網(wǎng)民引至微信等地，進而以微商、詐騙的方式進行深度變現(xiàn)。

4.刷量作弊。一些黑客在撞庫后，利用撞庫所得的賬號承接刷量業(yè)務(wù)，賺取錢財。如：在社交平臺刷評、刷贊，在視頻網(wǎng)站刷播放量。

5.電信詐騙。利用撞庫所得來的用戶信息，對用戶直接進行電信詐騙。

6.再次撞庫。利用撞庫所得的賬號、密碼或個人信息，再去攻擊其他網(wǎng)站，進而得到更多的用戶信息。

“威脅獵人”所發(fā)布的一份報告顯示：在世界范圍內(nèi)，我國是遭受撞庫攻擊的主要國家，被攻擊量占全部攻擊量的67.62%，全球超過一半被攻擊的公司來自中國。同時，中國也是最大的攻擊來源國，攻擊量占全部供給量的57.13%。根據(jù)阿里巴巴2015年度的安全報告，我國最容易受撞庫影響的行業(yè)是金融、社交媒體、游戲、影音娛樂等行業(yè)。

 

圖2：撞庫網(wǎng)站行業(yè)分布圖（來自阿里2015年度安全報告）

二、撞庫的原始數(shù)據(jù)和攻擊鏈條

（一）撞庫的原始數(shù)據(jù)。

黑客在進行撞庫攻擊時，需要有足夠的原始賬號數(shù)據(jù)。而這些原始數(shù)據(jù)主要有以下兩個來源：

1.網(wǎng)站已泄露的數(shù)據(jù)。近年來，網(wǎng)站泄露數(shù)據(jù)事件頻發(fā)，部分原本在暗網(wǎng)中流通的數(shù)據(jù)被拋到明面上來。而這些已經(jīng)被泄露、拋到臺面上的數(shù)據(jù)，就成為黑客進行撞庫攻擊的原始數(shù)據(jù)來源之一。

2.暗網(wǎng)交易數(shù)據(jù)。手機號、郵箱、用戶名、QQ號等相關(guān)數(shù)據(jù)的買賣是暗網(wǎng)交易的主要內(nèi)容。值得一提的是，QQ號、密碼往往和QQ郵箱的賬號、密碼相對應(yīng)。一些用戶在某些網(wǎng)站注冊賬號時會直接使用QQ郵箱和密碼。這就使得被盜的QQ號經(jīng)常會被黑客用來進行撞庫攻擊。

（二）撞庫攻擊的鏈條。

在黑客進行撞庫攻擊的完整鏈條中，包括拖庫、洗庫、社工庫、定向攻擊。

 

圖3：撞庫攻擊鏈條圖（來自“威脅獵人”報告）

第一步拖庫：尋找有價值的網(wǎng)站，之后通過技術(shù)手段（SQL注入、跨站腳本攻擊等）或其他手段（內(nèi)部員工泄密、對管理員釣魚等）獲得完整的數(shù)據(jù)庫，竊取用戶資料。

第二步洗庫：獲得完整數(shù)據(jù)庫后會將數(shù)據(jù)進行分層處理（金融類賬戶或社交類賬戶分門別類），并將用戶賬號中的財產(chǎn)、虛擬財產(chǎn)或賬戶信息本身變現(xiàn)。

第三步撞庫：洗庫完成后，黑客會進行兩個動作，直接售賣信息進行變現(xiàn)，或定向攻擊其他網(wǎng)站從而獲得更多的用戶信息。而撞庫所得信息又可再次進行洗庫操作。

第四步打造社工庫：將獲取的各種數(shù)據(jù)庫關(guān)聯(lián)起來，對用戶進行全方位畫像，打造社工庫。

第五步定向攻擊：根據(jù)用戶畫像，對特定人或人群進行針對性的犯罪活動。

三、撞庫的方法及撞庫的危害

（一）撞庫的方法。

目前，最常見的撞庫方法有以下三種：

1.用N個配套的賬號、密碼進行登錄。

具體方法是：用從其他網(wǎng)站得來的一一對應(yīng)的賬號、密碼，在其他網(wǎng)站直接試用。

2.用N個密碼撞N個賬號。

具體方法是：用多個密碼輪番嘗試登陸多個賬號。具體表現(xiàn)是：在短時間內(nèi)，一個賬號被用不同的密碼嘗試登錄多次（次數(shù)小于等于N）。

3.用少數(shù)幾個密碼撞N個賬號。

具體方法是：篩選少數(shù)幾個典型的密碼（推測用戶可能使用的密碼）輪番對N個賬號進行試登陸。具體表現(xiàn)是：短時間內(nèi)，使用同一密碼登陸不同賬戶的頻率較高。

（二）撞庫的危害。

1.對于企業(yè)。

品牌形象受損：保護用戶的信息安全是企業(yè)基本責(zé)任之一。泄露用戶信息容易損毀企業(yè)品牌形象，使企業(yè)喪失公信力。

承擔法律責(zé)任：在用戶信息安全方面，企業(yè)一旦觸犯網(wǎng)絡(luò)安全法相關(guān)規(guī)定，輕則被政府部門約談，重則將被關(guān)停。

2.對于用戶。

接到騷擾電話：個人信息被泄露后，用戶將不時接到垃圾短信、營銷電話等騷擾信息，影響正常生活。

損失生命財產(chǎn)：黑客掌握用戶的個人信息后，對用戶進行蠱惑、誘導(dǎo)，使用戶自主進行轉(zhuǎn)賬等操作，最終導(dǎo)致用戶個人財產(chǎn)損失，甚至付出生命的代價。

四、應(yīng)對撞庫行為的措施

（一）技術(shù)應(yīng)對。

1.針對用N個配套的賬號、密碼進行撞庫的行為。

為防止黑客用N個配套的賬號、密碼進行撞庫，企業(yè)一般采取以下措施進行應(yīng)對：

（1）進行IP封禁。如果一段時間內(nèi)，單個IP地址登錄賬號時，密碼錯誤次數(shù)超過閾值，則禁止這個IP一段時間再登錄，或只有通過手機驗證、回答密保問題后才可登陸。

（2）建立問題IP畫像庫。總結(jié)問題IP，并建立問題IP畫像庫。對代理IP、IDC IP等高危IP直接禁止登陸，或只有通過手機驗證、回答密保問題后才可登陸。

（3）行為驗證。在用戶登錄過程中，設(shè)置拖條、點選、拼圖等進行驗證，防止黑客撞庫攻擊。

（4）從設(shè)備層面識別和封禁。通過在客戶端植入SDK（軟件開發(fā)工具包），收集用戶設(shè)備信息，從設(shè)備層面做高頻策略，或識別非正常設(shè)備，之后對異常設(shè)備進行封禁。

（5）從行為層面識別和封禁。在客戶端植入SDK，收集用戶在登錄頁面的交互行為，通過機器學(xué)習(xí)、大數(shù)據(jù)建模等方式，訓(xùn)練出正常用戶、異常用戶的行為模型，進而在交互行為層面識別撞庫行為。發(fā)現(xiàn)異常設(shè)備后，立即封禁。

2.針對用N個密碼撞N個賬號的行為。

為避免黑客用N個密碼撞N個賬號，企業(yè)一般會在賬號層添加防護措施，如：一天內(nèi)，同一賬號的密碼被輸錯3次，當日該賬號將被禁止登陸，或只有通過手機驗證短信或密保問題才可登陸。

3.針對用少數(shù)幾個密碼撞N個賬號的行為。

為防止黑客用少數(shù)幾個密碼撞N個賬號，企業(yè)一般會在密碼層添加防護措施，如：統(tǒng)計一段時間內(nèi)每個密碼在登陸賬號時的錯誤次數(shù)，當某一密碼的錯誤次數(shù)超過所設(shè)置的臨界值，在一段時間內(nèi)禁止這一密碼登錄賬號，或只有通過手機驗證、回答密保問題才可登錄。

（二）非技術(shù)應(yīng)對。

1.在企業(yè)層面，建議提升員工信息安全意識。

在企業(yè)層面，為防止網(wǎng)站遭到撞庫，可以對員工進行信息安全培訓(xùn)，提升員工信息安全意識；一旦發(fā)現(xiàn)有人泄露用戶信息，立即嚴懲。

2.在用戶層面，建議在賬號、密碼方面做文章。

在用戶層面，建議在注冊不同的網(wǎng)站時，使用不同的賬號和密碼；若存在用同一賬號注冊不同網(wǎng)站的情況，則建議將密碼繁瑣化并定期進行修改，避免個人賬號成為黑客撞庫的犧牲品。