小心“撞库”!大学生买低价VIP账号竟是自己丢的

2016年11月25日 11:26   来源:人民日报   余建斌

  如果有一天你发现,从网上买到了自己丢失的视频VIP账号,会是一种什么感受?大学生小张为了追自己爱看的剧集,从网上买了一个价格低至5元的某视频网站VIP账号。收到账号信息后,他发现居然是自己以前丢失的账号。而小张身边也有同学突然发现自己的百度网盘资料被全部清空,还塞满了别人的资料和视频……

  这些很可能就是遭遇到了“撞库”攻击,并导致个人的账号信息被盗取和售卖。而这背后,其实隐藏着一个巨大的“撞库”黑色产业链:所谓的黑客们通过“撞库”技术盗取各类社交网站上的数字账号,并最终通过售卖、敲诈、诈骗等手段实现非法获利。不久前,国内首个利用“撞库”获利的黑色产业团伙落网,揭开了背后的不法利益链条。

  “撞库”攻击核对出50余万条账号和密码,网上售卖非法获利

  今年下半年,百度安全实验室监测到针对百度账号体系发起的大量“撞库”攻击,通过对攻击流量分析,确定了武汉、安徽、北京等多地的恶意IP地址,并将分析结果及时上报北京市海淀区公安局网络安全保卫大队。

  所谓“撞库”,是一种针对数据库的攻击方式,是黑客通过收集互联网已泄露的用户和密码信息,尝试批量登录其他网站后,得到一系列可以登录的用户账号。也可以理解为,在黑客攻不破B网站的情况下,只需要攻破安全性差的A网站,然后用账号来推测获取B网站账号密码,因为很多用户在不同网站使用的是相同的账号密码。

  在警方立案后,百度安全实验室配合海淀网安大队提供后方技术支持,通过历史数据分析,锁定了位于湖北的数据中心机房,网安民警前往调查取证,最终锁定嫌疑人身份,随后在河北省廊坊市将其抓获。嫌疑人胡某对犯罪事实供认不讳,其所供述的犯罪行为与百度安全实验室监测到的攻击流量完全吻合。之后,本案中提供“撞库”工具编写收费服务的嫌疑人马某,也被公安机关在深圳抓获。

  根据胡某供述,从2015年7月开始到2016年8月,他先后从网上购买了500万条“个性数据”,从网友处要来了2000余万条“个性数据”,将这些数据通过马某出售的“撞库”软件进行批量“撞库”,核对出50余万条正确的百度网盘账号和密码。最终,通过网上售卖共获利5万余元。

  安全专家认为,胡某能够实施犯罪的关键环节是中小网站用户账号密码容易受到扫号攻击。一般传统企业会在登录页面直接增加验证码,但简单的验证码识别已经难不倒那些不法分子,很难防止有针对性的恶意攻击,因此需要更多的技术防御来提高攻击者的成本,防止恶意“撞库”和扫号行为。

  “撞库”安全事故呈高发状态,盗取用户数据的黑色产业已形成产业链

  今年以来,“撞库”安全事故呈现高发状态,腾讯、网易邮箱、世纪佳缘等大型社交网站和互联网厂商纷纷中枪。不法分子通过所谓的“撞库”技术,攻击并盗取各种社交网站、电商、视频网站上有价值的账号,“撞库”盗取用户数据的黑色产业也已形成了产业链。

  安全专家介绍说,“撞库”的黑色产业链条通过“拖库”、“洗库”和“撞库”多个环节进行分工合作。“拖库”是盗取产业链的上游,“拖库”黑客专门入侵网站取得大量用户数据,随后由中游的“洗库”黑客,通过技术手段将有价值的用户数据归纳分析,售卖给下游的“撞库”黑客,“撞库”黑客将买来的信息用于攻破安全性差的A网站,然后用A网站账号来推测获取B网站账号密码,并最终售卖账号非法获利。

  安全专家介绍说,“撞库”的成功率取决于有多少人在不同网站使用了相同的账号和密码。不幸的是,很多用户都如此。比如在淘宝、微博、QQ、微信、腾讯视频等各种社交工具或者电商网站中,用户很可能使用的是相同的账号密码登录。像淘宝和微信分属两个互联网公司,不同的数据库,但黑客通过盗取到其中一个网站数据库的用户数据后,就能够匹配出其他网站的用户数据。

  其实,这种犯罪成本较低,而能够屡次得手的最主要原因还是用户在设置个人账号信息时并没有提高密码复杂性,最终导致“撞库”的高成功率。

  网络黑色产业的诈骗方式更为隐秘,普通用户要提高自我防护意识

  此次国内首个利用“撞库”获利的团伙案件破获,警示我们网络黑色产业的犯罪手段正在走向多元化和复杂化。

  安全专家认为,当前,网络黑色产业的诈骗方式更为隐秘,“撞库”让用户面临更大的诈骗陷阱。通过“撞库”攻击获取用户信息后,犯罪嫌疑人可能实施多种犯罪,包括出售账号获得非法收益,根据用户个人信息实现电信诈骗,锁定用户账号、以此要挟、敲诈用户付费解锁。此外,由于国内的高压打击态势,更多犯罪团伙将服务器设置在海外,通过跨境操作,让IP地址等定位更加变化多端,增加了执法机构侦破案件的难度。

  随着网络黑色产业犯罪日益猖獗,包括百度、阿里巴巴、腾讯等在内的多家安全厂商加入到联合打击的行列中,并建立了一系列跨行业的联动机制。据百度安全相关负责人介绍,百度一方面加大与政府部门的联动,一方面就隐私窃取黑色产业的技术原理、涉及范围、与运营商合作的方法等进行多轮沟通,逐步明确了系统的解决方案。目前已成功打掉数万个违规站点,并已促成黑色产业最上游部分泄密接口关停,同时与运营商建立了联动关停泄密站点的机制,靠技术识别能力和行业协同能力对网络犯罪分子形成震慑。

  针对“撞库”等黑色产业,互联网安全厂商也在不断提升技术,并与公安部门协同作战,打击罪犯,在大数据监测方面,推出针对黑色产业的威胁情报大数据平台等。人工智能技术将助力打击网络黑色产业,贯穿打击网络黑色产业全程:从风险实时检测、溯源反制,到最后的协同抓捕。

  不过,安全专家也提醒,虽然有了高科技的帮助,但广大用户仍要重视“撞库”带来的危害,提高自己的防护意识。比如多设置几个账号和密码,对应使用不同级别的网站,选择安全的登录方式。一些支付类、财务类的网站,应尽可能使用手机验证等安全验证方式,避免为图省事而直接登录。要定期进行密码修改,以确保账号安全等。

  具体来说,面对个人隐私安全隐患,普通用户可以通过这样一些方式实现自我保护:首先,发现个人隐私泄露后,可以通过一些公开平台进行举报,在最短时间内实现个人账号信息保护。其次,在注册多个社交账号时,尽量设置不同的账号密码并提高密码复杂度,提高个人隐私安全等级。在日常使用网站服务时,也要习惯使用安全软件来保护个人信息安全。(余建斌)

(责任编辑:宋雅静)

精彩图片