关闭

机器人的洪流:刷库、撞库那些事儿

标签: 信息泄露撞库刷库
1728人阅读 评论(1) 收藏 举报
分类:

一、 那些信息泄露的事


面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么、住在哪里、买了什么东西、花了多少钱。这些信息骗子们是从哪里得来的呢?

最近某票务网站就出现了这么一例case,因为骗子们知道其在该网站上的订单信息、电话和住址,因此认为骗子就是真实的该网站的客服人员,从而被引导到转款等流程中。

二、 他们怎么知道我们的个人信息


大多数人看到这些短信的第一反应是:我的信息被平台商卖给了骗子!其实对于大部分大厂商来说,客户的信息都是最重要的资产,不会卖给其他任何第三方,更不可能卖给骗子。

真实的情况是以下这几种:

  • 这个平台存在漏洞,数据被黑客攻破,整个数据库被“拖”走了。(整个数据库都被别人掌握,然后贩卖出去)

  • 平台内部出现人事问题,导致数据被人拿去售卖了。(内鬼作案)

  • 平台的某些接口存在风控漏洞,导致黑客利用已有的数据库内容进行匹配,导致数据被人批量拿走。(所谓的刷库撞库)

随着互联网安全的逐步发展,前两种情况已经比较少了,市面上常见的泄露都是由于第三种情况造成的,也即刷库、撞库这种手法。从之前的case中,我们也可以看到最终导致信息泄露的原因是刷库、撞库:

三、 数据库泄露严重吗


简单列举下一些大家都知道的数据库泄露:

  • 某SDN数据

  • 某讯群数据

  • 某酒店开房数据

  • 某知名bbs论坛数据库

  • 等等

在明处的泄露数据库,已经数不胜数,而在暗处,只是流通在各个小圈子中的数据库会更加可怕。这也是为什么,有人说道,在互联网时代的所有人,都是在裸奔。这些数据库可能不会有你的全部信息,但是黑产通过数据关联、整理和分析,可以得到你的相关全部数据。对于普通人来说,注册一个网络账号,可能使用的账户名、密码等都具有极度的相似性(甚至完全一样)。在某些特别的应用中,如使用身份证、手机号注册的账号,这些用户名具有先天一致性。通过对这个社工库的不断完善,黑客可以得到越来越多关于你的信息。

四、 黑客是如何通过已有数据库进行撞库的


以上是在攻击者视角的一个图,对于部分公司来说,存在一个误区,即风险只是存在于登录等场景中,但是实际上,任何与后端数据库存在交互的地方都有可能被攻击者用于撞库攻击。

攻击第一步——洗库:

之所以要进行洗库,是为了加快最后撞库的速度,同时避免被发现。因为通常在登陆等入口的防御强度通常会更强。

例如找密场景中:

通过这样一个接口,攻击者用于进行第一波洗库的工作

攻击第二步——撞库:

撞库的流程与洗库的逻辑基本一致,其采用的接口与洗库可以一样也可以不一样,完全看攻击者找到了哪个较弱的接口。暴力破解与撞库的差别也就是:密码库是已经准备好的,还是实时生成的而已。

五、 现有的防御思路


总结上面提到的撞库刷库等问题,我们面临了以下几种挑战:攻击面的确认,数据等级的确认。哪些地方可能存在利益点,哪些地方的数据危险性高,并且要不无遗漏的总结出来,才能达到一个较好的防御效果;如果漏掉了其中的一个,根据木桶原理,即代表整体失效。

如何保护数据

假设已经确认了需要保护的点,如何对其进行有效防护?

普通验证码

带文字信息的普通验证码,是考虑到防御时,第一个会出现在脑海里面的东西。但是,随着该模式的不断被研究,打码平台、字库、各种验证码识别算法不断出现,导致在实际的攻防效果上来说,普通验证码已经不具有阻拦恶意攻击的能力了。

手机验证码

有部分厂商认为,手机卡和手机卡是一个可以做到对用户进行真实性访问确认的好工具。在刚开始的几年内,该方法的确是一个有效的方法,但是随着黑产开始大规模的应用猫池和特殊的零月租手机卡,这个方法的实用性也大打折扣。甚至催生出了一个新的产业:卡商。

一条短信对于黑产的成本也只是0.1元而已,并且随着产业的不断发展,这个价格只会越来越低。

IP限制

ip是从互联网之初就一直被使用的一个指标。简单来说就是,对单位时间内的单ip访问的次数进行强限制,如果超过某个数值后,就判定为存在攻击风险并进行拦截。然而,在互联网时代,ip是非常廉价甚至是免费的资源。只需要付出很小的代价,你就可以拥有世界各地的ip进行选择使用。

也有部分防御思路是,对ip进行反向探测等,抓出某些互联网上的免费或者提供服务的ip。但是针对这些思路,黑产攻击者也采用了如某些运营商宽带断线重连重新分配ip的机制来进行绕过。

六、 阿里巴巴的防御体系


基于上述的讨论,我们可以得出结论:现有的普通防御手段已经不足以抵御这些互联网上横行的机器程序。

在这场攻防双方不断螺旋对抗的游戏中,需要新的对抗思路,这也是阿里巴巴数据风控团队长久以来一直在努力的方向:成为机器的墙

简单的叙述我们的一些关键技术点:

  • 先进的设备指纹技术,让攻击程序无所遁形。

  • 先进的风险ip监测技术,通过反向探测、实时计算等方法得到当前ip的风险值。

  • 强大的前端加解密对抗技术,让攻击者在伪造请求的同时直面无法破解的盾牌。

  • 周期性的自更新技术,攻击者一时的破解无法长时间适用,每次破解必须从头开始,大大增加攻击者的攻击成本。

  • 基于大数据计算的实时风险引擎,基于设备、ip、行为等进行综合评分。

这些相关技术都已经在阿里系相关的平台上经历了多年的考验,每天都在线上实时的为保护客户数据做着努力。

七、 阿里聚安全数据风控产品


撞库、刷库作为一个现在,并且在可预见的将来也将一直是互联网的一个急需解决的问题。面对这些不断增加的自动化机器人、层出不穷的攻击者以及越来越低门槛的攻击技术,客户们需要的是充分平衡了体验和安全性的安全产品。

阿里巴巴数据风控团队,基于多年的防控经验、大数据等前沿分析方法,推出了一系列的数据风控产品,可以有效解决垃圾注册、刷库撞库、活动作弊、论坛灌水等严重威胁互联网业务安全的风险,并在保障安全性的同时,兼顾正常用户的使用体验。

更多产品信息,请移步阿里聚安全官网:http://jaq.alibaba.com/riskcontrol


作者:目明@阿里安全,更多安全类文章,请访问阿里聚安全博客

0
0
查看评论

撞库 拖库与洗库

一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。 对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的“恶作剧”,黑客通过...
  • chenhuijie666
  • chenhuijie666
  • 2014-12-26 14:19
  • 7981

IP 库的那些事儿之 2013 - 2014 流水帐版

@高春辉 2014 年 11 月 好吧,我先承认我写这篇文章的目的之一是希望各位能重视 IP 库,而不是某个开发人员随便从某些地方就下载一个用然后万年不更新,或者虽然更新,但是 IP 库本身不准确,导致你无法了解用户的真实情况。。。 不是科普文,也不...
  • charleslei
  • charleslei
  • 2014-11-18 23:03
  • 2955

验证码暴破、撞库

解决思路: 1、每次产生的验证码都做及时清除缓存 2、用户密码做MD5处理 3、用户登录次数限制@ResponseBody @RequestMapping(value = "/login", method = RequestMethod.POST) publ...
  • wangdan199112
  • wangdan199112
  • 2016-10-24 15:31
  • 751

拖库与撞库

所谓“拖库”就是网站的用户数据被人用SQL注入或者其它手段盗取,得到了这个网站的用户名、密码信息。
  • CHS007chs
  • CHS007chs
  • 2014-11-22 20:12
  • 865

浅谈撞库防御策略

2014,12306遭遇撞库攻击,13万数据泄露;2015,乌云网上爆出网易邮箱过亿用户数据由于撞库泄露;数据泄露愈演愈烈,撞库登录成为网站的一大安全威胁,今天小编就和大家探讨一下如何才能够有效的防止撞库攻击。俗语知己知彼,百战不殆,小编在网上找了个撞库教程整理给大家看看,了解黑客是如何撞库的。 ...
  • linda13153
  • linda13153
  • 2016-04-22 14:46
  • 3609

记录一次大规模linux系统root密码撞库的经历

在某公司做了一个项目,查找公司几十万台主机的root密码是否是弱密码。 该过程涉及到任务下发,数据处理和上报等过程,这里不介绍其他模块,只介绍收集部分。 一、怎么判断linux主机密码是否是弱密码 首先linux下面的密码保存在passwd和shadow文件中,其中passwd文件保存...
  • cyyhjh
  • cyyhjh
  • 2016-08-31 10:48
  • 461

网站被黑客扫描撞库该怎么应对防范?

网站被黑客扫描撞库该怎么应对防范? 最近发现有大量的 IP 在刷我们网站的登录页面,是通过代理 + 模拟正常用户登录(包含 UA、session 等)的方式来验证用户名密码的有效性。(我猜他应该是有一个很大的库,我抓了其中一台机器一晚上的数据就要 500w+) 刚开始以为封了 IP ...
  • oMingZi12345678
  • oMingZi12345678
  • 2014-05-24 14:22
  • 1025

自己的密码该如何设计才能预防被撞库呢?这里给个参考。

贡献一套简单有效的密码规则,只需简单学习一下就可以保证所有网站上均能保证互不相同且不易忘记,主要目的就是保证一定程度上防止自己的账户遭遇撞库。撞库是什么呢?简单说就是有人从天涯或携程获取到了你的登录账户,如果你在贝宝(PalPal)上恰好也使用了这个密码,那么贝宝账号有被非法进入并操作的可能。主要原...
  • janssenkm
  • janssenkm
  • 2016-04-02 21:15
  • 568

撞库攻击:一场需要用户参与的持久战

一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。 对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的“恶作剧”,...
  • whatday
  • whatday
  • 2014-07-29 09:44
  • 1000

从12306信息泄露了解何为黑客撞库拖库洗库

12月24日,漏洞报告平台乌云网出现了一则关于中国铁路购票网站12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。据悉,此漏洞将有可能导致所有注册了12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露。对此,中国铁路客户服务中心回应称,经我网站认真核查,此泄露信息全部...
  • liqfyiyi
  • liqfyiyi
  • 2016-05-07 15:08
  • 956
    个人资料
    • 访问:188587次
    • 积分:3227
    • 等级:
    • 排名:第12520名
    • 原创:136篇
    • 转载:6篇
    • 译文:3篇
    • 评论:23条
    最新评论