随着社交和移动互联网的成熟,我们都生活在一个数字的世界,相应的也面临了更多的风险。这些风险的来源,也许并不因为我们对安全的一无所知,没有防范,它可能来自于对低安全等级的某个并不起眼的小数据库。
比如被“撞库”……
我还清楚的记得,去年在某个公共邮箱密码大量泄露的事件之后,朋友圈疯传的一个网址,当你输入你的邮箱名字之后,如果看到了你的密码,那么很抱歉,在成千上万个被“撞库“获取的密码当中,你就成了受害者。
在当时,身边受害的朋友不在少数,他们有的用该邮箱注册过微博,有的注册过旅游网站或是支付宝账号。“撞库“的可怕就在于此,它是一个链式的反应。可能某一次小网站或是小应用注册的信息并不是重点,但通过这一个点,黑客就有机会持续不断地攻破我们的很多需要严防死守的领地。
可是,“撞库”又是极难杜绝的,因为在通过信息技术来形成的黑色产业链里,撞库是最原始的武器,通过“撞库”来获取的大量用户信息,被贩卖给黑色产业链中各种各样的不法分子,这就是很多网游、网银失窃案的根源,也是我们的个人信息进入广告营销、团购商家或是垃圾邮件和短信骚扰的源头。
如今以百度为代表的BAT互联网巨头,开始与警方产生合作机制,用技术的手段,对撞库和网络黑产进行系统性的打击,也让撞库对社会的危害再次付出水面。
还原“撞库”
可以说破解了撞库,就能在黑色产业链中,从根源杜绝相当多的网络犯罪。但是,为什么撞库又是很难被打击的呢?
首先,了解一下撞库,这是一种针对数据库的攻击方式,方法是通过攻击者所拥有的数据库的数据通攻击目标数据库。可以理解为,在黑客攻不破B网站的情况下,只需要攻破安全性差的A网站,然后用账号来推测获取B网站账户密码,因为很多用户在不同网站使用的是相同的账号密码。
比如,一些中小网站用户账户以及密码容易受到黑客扫号攻击。因为这些网站的安全防护能力较弱,黑客很容易通过技术手段,通过网站的漏洞窃取完整的数据库,或是通过利用社会工程,对企业内部人员进行钓鱼,以达到获取数据库的目的,俗称“拖库”。
从技术的角度看,一般的防范措施,很难杜绝被拖库,比如,一般传统企业会在登陆页面直接增加验证码,不过由于自动化验证码识别脚本早已出现,简单的验证码识别已经不是什么问题。这种方式很难作为防止有针对性的恶意攻击,需要更多的维度实现技术防御,来提高攻击者的成本防止恶意撞库扫号行为。
那么,在获取了用户数据库以后,黑客会对信息进行分离,一部分直接出售给不法分子,还有一部分与金钱相关的信息,可能会进行二次破解,令这些用户遭受到一定程度财产损失。当然,最大的一部分数据库会拿去与被曝光的其他数据库,进行对比和破解,这就是所谓的“撞库”。
有时候,黑客也会将一些“撞库”匹配出的账户、密码、使用人身份信息、手机号码、QQ及密码等信息出售给诈骗集团,诈骗集团利用这些信息对受害人实施诈骗,往往使得受害人信以为真,造成财产损失。
它对信息安全的危害,是会无限蔓延的,也许用户只是在某个很小的网站中泄露了一些细微的信息,但是通过不断地被撞库,用户的核心信息随时可能被曝光。这是撞库,对所有网民,随时随地的潜在威胁。
撞库远比想象更可怕
也许“撞库”本身,这个专业术语,还是会令很多人赶到陌生。普通的用户也确实无需关心撞库的技术本质,但却不能不了解撞库带来的危害。
首先,撞库绝不是一个小范围的事件,它具备大范围的杀伤力。比如在今年7月,一些黑客盗取了4千万个苹果iCloud账户。黑客当时锁定了部分iOS设备,并给被锁的用户发送信息称,需30-50美元才可解锁。用户需要在在12小时内付款,否则其设备无法使用,iCloud中的所有数据也可能被清除。
这就是典型的iCloud账户因撞库产生的巨大后果。波及到4000万人的撞库事件,也说明撞库的杀伤范围极大。
其次,撞库造成的财产损失也可能不会是个小数目。它绝不是我们印象中的某个网游账户的失窃那么简单。今年7月,2016年07月17日,因为有些用户在不同网站使用相同的注册信息(用户名和密码),因此被不法分子利用,使用撞库的方法在大麦网尝试登录并获取用户购买商品的信息,进而冒充客服人员实施诈骗,导致39名用户被骗,损失达147.42万元。
由此可见,撞库造成的财产损失也是巨大的,39人被骗,人均损失接近4万元,可见撞库的危害之大。
包括安全防护能力很强的12306也在2014年遭遇了撞库。导致12306网站用户信息在互联网上疯传, 泄露的用户数据不少于131,653条。经查,正是不法分子,通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息,尝试登录其他网站进行“撞库”,获取了用户的其他信息,并以此谋取非法利益。
打击撞库 机制和技术两手都要硬
正因为撞库造成的网络黑产犯罪日益猖獗,包括BAT在内的更多安全厂商加入到联合打击行列中,并建立了一系列跨行业的联动机制。为应对网站加载窃取用户手机号等个人信息代码的网络黑产。
以百度为例,其专门成立了安全部、法务部、战略合作部、风控技术部等多部门联合工作的项目组,就隐私窃取黑产的技术原理、黑产范围、与运营商合作的方法等进行多轮沟通,逐步明确系统性的解决方案。目前已成功打掉数万个违规站点,并已促成黑产最上游部分泄密接口的关停,同时与运营商建立了联动关停泄密站点的机制,靠领先技术识别能力和行业协同能力对网络黑产分子形成极大震慑。
从技术的角度,百度安全的溯源反制技术或许对整个行业都有借鉴的价值。2015年,针对黑产大数据监测,百度安全推出针对黑产的威胁情报大数据平台,复合机器学习技术,可以实时检测风险,溯源黑产,保护业务安全。
首先,百度通过黑产风险实时检测,实时检测账户风险大数据,可以发现黑客的撞库攻击行为,可以及时配合产品线上线拦截策略,阻止了威胁进一步扩大。针对前期被攻击账号,也同时及时增加多因素认证,拦截单一密码登陆,通知用户修改密码。
其次,溯源反制追击。通过对攻击流量分析,确定恶意IP地址,上报辖区网安。
第三,协同作战。立案后,百度安全实验室积极配合网安,提供后方技术支持,通过历史数据分析,锁定服务器机房,便于网安民警调查取证,锁定嫌疑人身份,实现侦破犯罪团伙。
据悉,目前百度在与警方协同作战方面已取得了很多突破,比如今年7月,百度安全实验室监测到针对百度账号体系发起的大量撞库攻击,第一时间配合产品线上线了拦截策略,阻止了威胁进一步扩大,针对前期被攻击账号,及时增加多因素认证,拦截单一密码登陆,并通知用户修改密码。通过对攻击流量分析,确定了武汉、安徽、北京等多地区的恶意IP,法务部刑事打击组将分析结果及时上报北京市海淀区公安局网络安全保卫大队。立案后,百度安全实验室积极配合海淀网安,提供后方技术支持,通过历史数据分析,锁定位于湖北的IDC机房,最终抓获了本案中提供撞库工具编写收费服务的嫌疑人马某。
从这个典型案例我们不难看出,互联网公司在互联网技术和安全技术上具有天然的优势,百度的溯源反制技术不仅从技术上对网络黑产实现了从源头进行打击,更从机制上实现了与警方联合,值得很多安全公司借鉴。
