如何10分钟搞定撞库

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 防病毒版,最高20核 3个月
云安全中心 免费版,不限时长
简介: 如何10分钟搞定撞库

近期,阿里云云盾安全团队检测到越来越多的撞库攻击事件,在大数据应用越来越广泛的今天,撞库攻击带来的危害也越来越不容忽视。那么何为撞库攻击?撞库对用户可能有哪些危害?还有最关键的,作为大多数专注业务发展的公司来说,如何防止撞库威胁到自家信息安全呢?安全君将一一为您解读。



一、懒,可能成为撞库“成功”的罪魁祸首



撞库攻击没有那么高深,举个例子来说,假设我有一个XX邮箱的账号,用户名是
abc@xx.com,密码是x6!00AL5y@(很复杂,很安全)。同时因为懒癌晚期的缘故,我还用这个账号注册了新浪微博、携程、淘宝、微信等等,都采用邮箱注册并且是同一个密码(这种情况很常见,因为懒得记不同的账号)。

于是某天,这个账号被黑客知道了(不管是由于坑爹的XX邮箱泄露用户信息,还是我自己不小心)。黑客就会用这个账号来碰碰运气:尝试用它登陆一下你的各类账号,于是你的微博、微信、淘宝、理财账户、12306、游戏账号……他就都知道了,接下来的事情,你懂的。


二、撞库和我的公司有什么关系?





上面是从个人用户角度来说,那么从企业用户的视角来看,撞库的玩法更多。从撞库攻击诞生的那一天起,黑客们就在维护一些所谓的“社工库”。这些库里保存了大量真实的、配对的用户名/密码信息。当黑客想要针对一家特定的网站“搞事情”的时候,他会用这个库里所有的条目去挨个尝试登陆。当这个库的信息足够多时,量变到质变,黑客就会得到很多的正确账号了。


被撞库的站点一般都是“躺枪”,对于很多企业,尤其是初创企业而言,安全团队的人数和能力还远远不足以应对突如其来的撞库攻击。设想如下场景:


1.某P2P网站被撞库攻击,上万用户账号里的资金被全部转走(现在地下黑产操作资金链的手段已经非常成熟),这基本就是老板跑路,用户买单的节奏。
2.某游戏论坛被撞库攻击,大量玩家的游戏账号泄露,刚买的装备不翼而飞,一边黑客偷偷数钱,一边管理员哭晕在厕所。
3.即使不对被盗用户有直接的利益损失,黑客可以把搞来的账号以及账号里包含的大量信息拿到网上去卖,比如身份证号、手机号、银行卡号等,还可以利用这些个人信息来进行诈骗,发小广告、站内信、黄赌毒信息等等。这些事情一旦发生,对一家企业的声誉、形象、用户体验都有巨大的负面影响。

根据云盾安全团队的撞库检测模型统计,日均检测攻击事件数千起,每起攻击事件平均包括数千次撞库登录请求。在每天发起的攻击事件里,账号密码组合去重后仍有几十万对。更严重的是,这些账号密码组合就像“黑客”的弹药库一样,随着更多的企业被拖库而不断更新迭代。

尴尬的是,撞库攻击的成本和技术门槛都非常低,从黑客论坛下载社工库,挂个脚本即可实施,目前也没有针对性的法律法规予以惩戒。

三、阿里云云盾 Web 应用防火墙是如何搞定撞库的?




问世间,有没有一种既不需要安全知识和安全团队,也不需要额外开发,又不需要部署硬件设备,关键还能很快很精准的搞定撞库的方法?

阿里云云盾 · Web应用防火墙(简称WAF)就正在为用户提供应对撞库的“10分钟解法”。首先,WAF用户可以在5分钟完成上线接入,2分钟配置规则生效,10分钟内,用户的Web应用即可处在云盾防护之下,一键解决各类常见的SQL注入、XSS、木马后门webshell等攻击,还能有效防护当今的各类CC攻击。

WAF3.0版本最近推出了黑科技——数据风控,将阿里云云盾的网络安全防护能力,和业务安全风控相结合,专门解决下列问题:


  • 撞库攻击、暴力破解引起的用户信息泄露

  • 黄牛党、羊毛党等恶意刷票、刷优惠券、刷红包行为

  • 恶意刷短信验证码、短信接口等产生大量短信费用

  • 恶意大量注册垃圾账号

  • 通过机器人恶意干扰秒杀、抢购等活动


WAF是如何搞定撞库和这些头疼的攻击呢?要知道黑客也是很懒的,他们不会亲自去手动提交这上亿条撞库信息,往往会采用一些自动化的方式(如脚本、程序机器人等)代替他们去工作,并且会使用大量的代理(所谓的肉鸡),更有甚者为避免传统安全设备的防护会控制撞库的速度,避免撞的太快而引起安全策略的怀疑。

WAF会从一个请求第一次访问您的站点开始,就会套用一个非常复杂的人机识别模型去分析该访问者是否符合一个正常用户的行为特征,比如说,一个正常用户不会在没有页面访问或停留的情况下直接就提交一个登陆请求,但撞库攻击会。除了行为分析,还会结合用户的各种流量信息、浏览器特征,以及阿里云的大数据信息(包含大量肉鸡、恶意IP、恶意脚本、恶意软件等信息),最终综合判断一个请求是否正常可信。

这套分析过程对于合法用户的访问是没有任何感知的,他们依然会像往常一样完成各种登陆、注册、验证、秒杀等动作,但对于行为可疑的用户,WAF会在数据风控防护的关键接口(比如注册、登录等)进行人机识别验证,直到确认该用户合法才会放行,从而真正达到精确防护的同时,又最大限度降低了对正常用户的干扰。


https://www.aliyun.com/product/waf?spm=5176.8142029.388261.113.E6tbAA

目录
相关文章
|
2月前
|
监控 安全
攻击者冒充货运公司实施双重经纪诈骗
攻击者冒充货运公司实施双重经纪诈骗
|
7月前
|
安全 数据库 数据安全/隐私保护
撞库攻击是什么?如何有效阻止撞库攻击?
通过采取这些防护措施,可以有效降低撞库攻击的成功几率,保护用户的账户和数据安全。
335 0
撞库攻击是什么?如何有效阻止撞库攻击?
|
安全 网络安全 数据安全/隐私保护
OKCC如何防范系统被盗打
市面上很多操作系统都内置有黑客工具。很多人安装操作系统时,为图方便或疏忽大意,下载的操作系统来源不明,就留下了隐患。客户安装OKCC时,安装的操作系统带有挖坑程序。 选择通信系统时,我们应尽量选择注重服务的供应商。在没有强有力的技术团队时,以及特别注重产品性能、稳定性时,应尽量减少或避免使用开源通信系统。一般的,开源通信系统的特点是搭建成本低,但是学习/维护成本高,当学习/维护成本投入不足,开源系统中的配置陷阱、BUG就会被心怀叵测之人利用从而导致损失,很多情况下,因这种损失带来的不仅仅是话费上的直接损失,还包括员工的人力成本损失、时间成本/机会成本的损失、业务延误的损失。 很多盗打者是通
|
安全 数据安全/隐私保护
Facebook再遭黑客攻击 部分账户密码被盗
5月18日消息,目前大受欢迎的社交网站Facebook日前再次受到黑客骚扰,大约200万用户成为了他们的攻击对象,黑客获得了部分用户的密码信息。 据国外媒体报道,Facebook发言人表示,目前网站已经处理了大部分由攻击造成的问题。
889 0
|
安全 Android开发 数据安全/隐私保护
|
数据安全/隐私保护 C++ Windows
|
Web App开发 存储 安全