近期,阿里云云盾安全团队检测到越来越多的撞库攻击事件,在大数据应用越来越广泛的今天,撞库攻击带来的危害也越来越不容忽视。那么何为撞库攻击?撞库对用户可能有哪些危害?还有最关键的,作为大多数专注业务发展的公司来说,如何防止撞库威胁到自家信息安全呢?安全君将一一为您解读。
一、懒,可能成为撞库“成功”的罪魁祸首
撞库攻击没有那么高深,举个例子来说,假设我有一个XX邮箱的账号,用户名是abc@xx.com,密码是x6!00AL5y@(很复杂,很安全)。同时因为懒癌晚期的缘故,我还用这个账号注册了新浪微博、携程、淘宝、微信等等,都采用邮箱注册并且是同一个密码(这种情况很常见,因为懒得记不同的账号)。
于是某天,这个账号被黑客知道了(不管是由于坑爹的XX邮箱泄露用户信息,还是我自己不小心)。黑客就会用这个账号来碰碰运气:尝试用它登陆一下你的各类账号,于是你的微博、微信、淘宝、理财账户、12306、游戏账号……他就都知道了,接下来的事情,你懂的。
二、撞库和我的公司有什么关系?
上面是从个人用户角度来说,那么从企业用户的视角来看,撞库的玩法更多。从撞库攻击诞生的那一天起,黑客们就在维护一些所谓的“社工库”。这些库里保存了大量真实的、配对的用户名/密码信息。当黑客想要针对一家特定的网站“搞事情”的时候,他会用这个库里所有的条目去挨个尝试登陆。当这个库的信息足够多时,量变到质变,黑客就会得到很多的正确账号了。
被撞库的站点一般都是“躺枪”,对于很多企业,尤其是初创企业而言,安全团队的人数和能力还远远不足以应对突如其来的撞库攻击。设想如下场景:
1.某P2P网站被撞库攻击,上万用户账号里的资金被全部转走(现在地下黑产操作资金链的手段已经非常成熟),这基本就是老板跑路,用户买单的节奏。
2.某游戏论坛被撞库攻击,大量玩家的游戏账号泄露,刚买的装备不翼而飞,一边黑客偷偷数钱,一边管理员哭晕在厕所。
3.即使不对被盗用户有直接的利益损失,黑客可以把搞来的账号以及账号里包含的大量信息拿到网上去卖,比如身份证号、手机号、银行卡号等,还可以利用这些个人信息来进行诈骗,发小广告、站内信、黄赌毒信息等等。这些事情一旦发生,对一家企业的声誉、形象、用户体验都有巨大的负面影响。
根据云盾安全团队的撞库检测模型统计,日均检测攻击事件数千起,每起攻击事件平均包括数千次撞库登录请求。在每天发起的攻击事件里,账号密码组合去重后仍有几十万对。更严重的是,这些账号密码组合就像“黑客”的弹药库一样,随着更多的企业被拖库而不断更新迭代。
尴尬的是,撞库攻击的成本和技术门槛都非常低,从黑客论坛下载社工库,挂个脚本即可实施,目前也没有针对性的法律法规予以惩戒。
三、阿里云云盾 Web 应用防火墙是如何搞定撞库的?
问世间,有没有一种既不需要安全知识和安全团队,也不需要额外开发,又不需要部署硬件设备,关键还能很快很精准的搞定撞库的方法?
阿里云云盾 · Web应用防火墙(简称WAF)就正在为用户提供应对撞库的“10分钟解法”。首先,WAF用户可以在5分钟完成上线接入,2分钟配置规则生效,10分钟内,用户的Web应用即可处在云盾防护之下,一键解决各类常见的SQL注入、XSS、木马后门webshell等攻击,还能有效防护当今的各类CC攻击。
WAF3.0版本最近推出了黑科技——数据风控,将阿里云云盾的网络安全防护能力,和业务安全风控相结合,专门解决下列问题:
撞库攻击、暴力破解引起的用户信息泄露
黄牛党、羊毛党等恶意刷票、刷优惠券、刷红包行为
恶意刷短信验证码、短信接口等产生大量短信费用
恶意大量注册垃圾账号
通过机器人恶意干扰秒杀、抢购等活动
WAF是如何搞定撞库和这些头疼的攻击呢?要知道黑客也是很懒的,他们不会亲自去手动提交这上亿条撞库信息,往往会采用一些自动化的方式(如脚本、程序机器人等)代替他们去工作,并且会使用大量的代理(所谓的肉鸡),更有甚者为避免传统安全设备的防护会控制撞库的速度,避免撞的太快而引起安全策略的怀疑。
WAF会从一个请求第一次访问您的站点开始,就会套用一个非常复杂的人机识别模型去分析该访问者是否符合一个正常用户的行为特征,比如说,一个正常用户不会在没有页面访问或停留的情况下直接就提交一个登陆请求,但撞库攻击会。除了行为分析,还会结合用户的各种流量信息、浏览器特征,以及阿里云的大数据信息(包含大量肉鸡、恶意IP、恶意脚本、恶意软件等信息),最终综合判断一个请求是否正常可信。
这套分析过程对于合法用户的访问是没有任何感知的,他们依然会像往常一样完成各种登陆、注册、验证、秒杀等动作,但对于行为可疑的用户,WAF会在数据风控防护的关键接口(比如注册、登录等)进行人机识别验证,直到确认该用户合法才会放行,从而真正达到精确防护的同时,又最大限度降低了对正常用户的干扰。
https://www.aliyun.com/product/waf?spm=5176.8142029.388261.113.E6tbAA