隨著社交和移動互聯(lián)網(wǎng)的成熟,我們都生活在一個數(shù)字的世界,相應的也面臨了更多的風險。這些風險的來源,也許并不因為我們對安全的一無所知,沒有防范,它可能來自于對低安全等級的某個并不起眼的小數(shù)據(jù)庫。
比如被“撞庫”……
我還清楚的記得,去年在某個公共郵箱密碼大量泄露的事件之后,朋友圈瘋傳的一個網(wǎng)址,當你輸入你的郵箱名字之后,如果看到了你的密碼,那么很抱歉,在成千上萬個被“撞庫“獲取的密碼當中,你就成了受害者。
在當時,身邊受害的朋友不在少數(shù),他們有的用該郵箱注冊過微博,有的注冊過旅游網(wǎng)站或是支付寶賬號。“撞庫“的可怕就在于此,它是一個鏈式的反應??赡苣骋淮涡【W(wǎng)站或是小應用注冊的信息并不是重點,但通過這一個點,黑客就有機會持續(xù)不斷地攻破我們的很多需要嚴防死守的領(lǐng)地。
可是,“撞庫”又是極難杜絕的,因為在通過信息技術(shù)來形成的黑色產(chǎn)業(yè)鏈里,撞庫是最原始的武器,通過“撞庫”來獲取的大量用戶信息,被販賣給黑色產(chǎn)業(yè)鏈中各種各樣的不法分子,這就是很多網(wǎng)游、網(wǎng)銀失竊案的根源,也是我們的個人信息進入廣告營銷、團購商家或是垃圾郵件和短信騷擾的源頭。
如今以百度為代表的BAT互聯(lián)網(wǎng)巨頭,開始與警方產(chǎn)生合作機制,用技術(shù)的手段,對撞庫和網(wǎng)絡黑產(chǎn)進行系統(tǒng)性的打擊,也讓撞庫對社會的危害再次付出水面。
還原“撞庫”
可以說破解了撞庫,就能在黑色產(chǎn)業(yè)鏈中,從根源杜絕相當多的網(wǎng)絡犯罪。但是,為什么撞庫又是很難被打擊的呢?
首先,了解一下撞庫,這是一種針對數(shù)據(jù)庫的攻擊方式,方法是通過攻擊者所擁有的數(shù)據(jù)庫的數(shù)據(jù)通攻擊目標數(shù)據(jù)庫??梢岳斫鉃?,在黑客攻不破B網(wǎng)站的情況下,只需要攻破安全性差的A網(wǎng)站,然后用賬號來推測獲取B網(wǎng)站賬戶密碼,因為很多用戶在不同網(wǎng)站使用的是相同的賬號密碼。
比如,一些中小網(wǎng)站用戶賬戶以及密碼容易受到黑客掃號攻擊。因為這些網(wǎng)站的安全防護能力較弱,黑客很容易通過技術(shù)手段,通過網(wǎng)站的漏洞竊取完整的數(shù)據(jù)庫,或是通過利用社會工程,對企業(yè)內(nèi)部人員進行釣魚,以達到獲取數(shù)據(jù)庫的目的,俗稱“拖庫”。
從技術(shù)的角度看,一般的防范措施,很難杜絕被拖庫,比如,一般傳統(tǒng)企業(yè)會在登陸頁面直接增加驗證碼,不過由于自動化驗證碼識別腳本早已出現(xiàn),簡單的驗證碼識別已經(jīng)不是什么問題。這種方式很難作為防止有針對性的惡意攻擊,需要更多的維度實現(xiàn)技術(shù)防御,來提高攻擊者的成本防止惡意撞庫掃號行為。
那么,在獲取了用戶數(shù)據(jù)庫以后,黑客會對信息進行分離,一部分直接出售給不法分子,還有一部分與金錢相關(guān)的信息,可能會進行二次破解,令這些用戶遭受到一定程度財產(chǎn)損失。當然,最大的一部分數(shù)據(jù)庫會拿去與被曝光的其他數(shù)據(jù)庫,進行對比和破解,這就是所謂的“撞庫”。
有時候,黑客也會將一些“撞庫”匹配出的賬戶、密碼、使用人身份信息、手機號碼、QQ及密碼等信息出售給詐騙集團,詐騙集團利用這些信息對受害人實施詐騙,往往使得受害人信以為真,造成財產(chǎn)損失。
它對信息安全的危害,是會無限蔓延的,也許用戶只是在某個很小的網(wǎng)站中泄露了一些細微的信息,但是通過不斷地被撞庫,用戶的核心信息隨時可能被曝光。這是撞庫,對所有網(wǎng)民,隨時隨地的潛在威脅。
撞庫遠比想象更可怕
也許“撞庫”本身,這個專業(yè)術(shù)語,還是會令很多人趕到陌生。普通的用戶也確實無需關(guān)心撞庫的技術(shù)本質(zhì),但卻不能不了解撞庫帶來的危害。
首先,撞庫絕不是一個小范圍的事件,它具備大范圍的殺傷力。比如在今年7月,一些黑客盜取了4千萬個蘋果iCloud賬戶。黑客當時鎖定了部分iOS設(shè)備,并給被鎖的用戶發(fā)送信息稱,需30-50美元才可解鎖。用戶需要在在12小時內(nèi)付款,否則其設(shè)備無法使用,iCloud中的所有數(shù)據(jù)也可能被清除。
這就是典型的iCloud賬戶因撞庫產(chǎn)生的巨大后果。波及到4000萬人的撞庫事件,也說明撞庫的殺傷范圍極大。
其次,撞庫造成的財產(chǎn)損失也可能不會是個小數(shù)目。它絕不是我們印象中的某個網(wǎng)游賬戶的失竊那么簡單。今年7月,2016年07月17日,因為有些用戶在不同網(wǎng)站使用相同的注冊信息(用戶名和密碼),因此被不法分子利用,使用撞庫的方法在大麥網(wǎng)嘗試登錄并獲取用戶購買商品的信息,進而冒充客服人員實施詐騙,導致39名用戶被騙,損失達147.42萬元。
由此可見,撞庫造成的財產(chǎn)損失也是巨大的,39人被騙,人均損失接近4萬元,可見撞庫的危害之大。
包括安全防護能力很強的12306也在2014年遭遇了撞庫。導致12306網(wǎng)站用戶信息在互聯(lián)網(wǎng)上瘋傳, 泄露的用戶數(shù)據(jù)不少于131,653條。經(jīng)查,正是不法分子,通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄露的用戶名加密碼信息,嘗試登錄其他網(wǎng)站進行“撞庫”,獲取了用戶的其他信息,并以此謀取非法利益。
打擊撞庫 機制和技術(shù)兩手都要硬
正因為撞庫造成的網(wǎng)絡黑產(chǎn)犯罪日益猖獗,包括BAT在內(nèi)的更多安全廠商加入到聯(lián)合打擊行列中,并建立了一系列跨行業(yè)的聯(lián)動機制。為應對網(wǎng)站加載竊取用戶手機號等個人信息代碼的網(wǎng)絡黑產(chǎn)。
以百度為例,其專門成立了安全部、法務部、戰(zhàn)略合作部、風控技術(shù)部等多部門聯(lián)合工作的項目組,就隱私竊取黑產(chǎn)的技術(shù)原理、黑產(chǎn)范圍、與運營商合作的方法等進行多輪溝通,逐步明確系統(tǒng)性的解決方案。目前已成功打掉數(shù)萬個違規(guī)站點,并已促成黑產(chǎn)最上游部分泄密接口的關(guān)停,同時與運營商建立了聯(lián)動關(guān)停泄密站點的機制,靠領(lǐng)先技術(shù)識別能力和行業(yè)協(xié)同能力對網(wǎng)絡黑產(chǎn)分子形成極大震懾。
從技術(shù)的角度,百度安全的溯源反制技術(shù)或許對整個行業(yè)都有借鑒的價值。2015年,針對黑產(chǎn)大數(shù)據(jù)監(jiān)測,百度安全推出針對黑產(chǎn)的威脅情報大數(shù)據(jù)平臺,復合機器學習技術(shù),可以實時檢測風險,溯源黑產(chǎn),保護業(yè)務安全。
首先,百度通過黑產(chǎn)風險實時檢測,實時檢測賬戶風險大數(shù)據(jù),可以發(fā)現(xiàn)黑客的撞庫攻擊行為,可以及時配合產(chǎn)品線上線攔截策略,阻止了威脅進一步擴大。針對前期被攻擊賬號,也同時及時增加多因素認證,攔截單一密碼登陸,通知用戶修改密碼。
其次,溯源反制追擊。通過對攻擊流量分析,確定惡意IP地址,上報轄區(qū)網(wǎng)安。
第三,協(xié)同作戰(zhàn)。立案后,百度安全實驗室積極配合網(wǎng)安,提供后方技術(shù)支持,通過歷史數(shù)據(jù)分析,鎖定服務器機房,便于網(wǎng)安民警調(diào)查取證,鎖定嫌疑人身份,實現(xiàn)偵破犯罪團伙。
據(jù)悉,目前百度在與警方協(xié)同作戰(zhàn)方面已取得了很多突破,比如今年7月,百度安全實驗室監(jiān)測到針對百度賬號體系發(fā)起的大量撞庫攻擊,第一時間配合產(chǎn)品線上線了攔截策略,阻止了威脅進一步擴大,針對前期被攻擊賬號,及時增加多因素認證,攔截單一密碼登陸,并通知用戶修改密碼。通過對攻擊流量分析,確定了武漢、安徽、北京等多地區(qū)的惡意IP,法務部刑事打擊組將分析結(jié)果及時上報北京市海淀區(qū)公安局網(wǎng)絡安全保衛(wèi)大隊。立案后,百度安全實驗室積極配合海淀網(wǎng)安,提供后方技術(shù)支持,通過歷史數(shù)據(jù)分析,鎖定位于湖北的IDC機房,最終抓獲了本案中提供撞庫工具編寫收費服務的嫌疑人馬某。
從這個典型案例我們不難看出,互聯(lián)網(wǎng)公司在互聯(lián)網(wǎng)技術(shù)和安全技術(shù)上具有天然的優(yōu)勢,百度的溯源反制技術(shù)不僅從技術(shù)上對網(wǎng)絡黑產(chǎn)實現(xiàn)了從源頭進行打擊,更從機制上實現(xiàn)了與警方聯(lián)合,值得很多安全公司借鑒。