人民日報11月25日報道，如果有一天你發(fā)現(xiàn)，從網(wǎng)上買到了自己丟失的視頻VIP賬號，會是一種什么感受？大學(xué)生小張為了追自己愛看的劇集，從網(wǎng)上買了一個價格低至5元的某視頻網(wǎng)站VIP賬號。收到賬號信息后，他發(fā)現(xiàn)居然是自己以前丟失的賬號。而小張身邊也有同學(xué)突然發(fā)現(xiàn)自己的百度網(wǎng)盤資料被全部清空，還塞滿了別人的資料和視頻……

這些很可能就是遭遇到了“撞庫”攻擊，并導(dǎo)致個人的賬號信息被盜取和售賣。而這背后，其實隱藏著一個巨大的“撞庫”黑色產(chǎn)業(yè)鏈：所謂的黑客們通過“撞庫”技術(shù)盜取各類社交網(wǎng)站上的數(shù)字賬號，并最終通過售賣、敲詐、詐騙等手段實現(xiàn)非法獲利。不久前，國內(nèi)首個利用“撞庫”獲利的黑色產(chǎn)業(yè)團(tuán)伙落網(wǎng)，揭開了背后的不法利益鏈條。

“撞庫”攻擊核對出50余萬條賬號和密碼，網(wǎng)上售賣非法獲利

今年下半年，百度安全實驗室監(jiān)測到針對百度賬號體系發(fā)起的大量“撞庫”攻擊，通過對攻擊流量分析，確定了武漢、安徽、北京等多地的惡意IP地址，并將分析結(jié)果及時上報北京市海淀區(qū)公安局網(wǎng)絡(luò)安全保衛(wèi)大隊。

所謂“撞庫”，是一種針對數(shù)據(jù)庫的攻擊方式，是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶賬號。也可以理解為，在黑客攻不破B網(wǎng)站的情況下，只需要攻破安全性差的A網(wǎng)站，然后用賬號來推測獲取B網(wǎng)站賬號密碼，因為很多用戶在不同網(wǎng)站使用的是相同的賬號密碼。

在警方立案后，百度安全實驗室配合海淀網(wǎng)安大隊提供后方技術(shù)支持，通過歷史數(shù)據(jù)分析，鎖定了位于湖北的數(shù)據(jù)中心機房，網(wǎng)安民警前往調(diào)查取證，最終鎖定嫌疑人身份，隨后在河北省廊坊市將其抓獲。嫌疑人胡某對犯罪事實供認(rèn)不諱，其所供述的犯罪行為與百度安全實驗室監(jiān)測到的攻擊流量完全吻合。之后，本案中提供“撞庫”工具編寫收費服務(wù)的嫌疑人馬某，也被公安機關(guān)在深圳抓獲。

根據(jù)胡某供述，從2015年7月開始到2016年8月，他先后從網(wǎng)上購買了500萬條“個性數(shù)據(jù)”，從網(wǎng)友處要來了2000余萬條“個性數(shù)據(jù)”，將這些數(shù)據(jù)通過馬某出售的“撞庫”軟件進(jìn)行批量“撞庫”，核對出50余萬條正確的百度網(wǎng)盤賬號和密碼。最終，通過網(wǎng)上售賣共獲利5萬余元。

安全專家認(rèn)為，胡某能夠?qū)嵤┓缸锏年P(guān)鍵環(huán)節(jié)是中小網(wǎng)站用戶賬號密碼容易受到掃號攻擊。一般傳統(tǒng)企業(yè)會在登錄頁面直接增加驗證碼，但簡單的驗證碼識別已經(jīng)難不倒那些不法分子，很難防止有針對性的惡意攻擊，因此需要更多的技術(shù)防御來提高攻擊者的成本，防止惡意“撞庫”和掃號行為。

“撞庫”安全事故呈高發(fā)狀態(tài)，盜取用戶數(shù)據(jù)的黑色產(chǎn)業(yè)已形成產(chǎn)業(yè)鏈

今年以來，“撞庫”安全事故呈現(xiàn)高發(fā)狀態(tài)，騰訊、網(wǎng)易郵箱、世紀(jì)佳緣等大型社交網(wǎng)站和互聯(lián)網(wǎng)廠商紛紛中槍。不法分子通過所謂的“撞庫”技術(shù)，攻擊并盜取各種社交網(wǎng)站、電商、視頻網(wǎng)站上有價值的賬號，“撞庫”盜取用戶數(shù)據(jù)的黑色產(chǎn)業(yè)也已形成了產(chǎn)業(yè)鏈。

安全專家介紹說，“撞庫”的黑色產(chǎn)業(yè)鏈條通過“拖庫”、“洗庫”和“撞庫”多個環(huán)節(jié)進(jìn)行分工合作。“拖庫”是盜取產(chǎn)業(yè)鏈的上游，“拖庫”黑客專門入侵網(wǎng)站取得大量用戶數(shù)據(jù)，隨后由中游的“洗庫”黑客，通過技術(shù)手段將有價值的用戶數(shù)據(jù)歸納分析，售賣給下游的“撞庫”黑客，“撞庫”黑客將買來的信息用于攻破安全性差的A網(wǎng)站，然后用A網(wǎng)站賬號來推測獲取B網(wǎng)站賬號密碼，并最終售賣賬號非法獲利。

安全專家介紹說，“撞庫”的成功率取決于有多少人在不同網(wǎng)站使用了相同的賬號和密碼。不幸的是，很多用戶都如此。比如在淘寶、微博、QQ、微信、騰訊視頻等各種社交工具或者電商網(wǎng)站中，用戶很可能使用的是相同的賬號密碼登錄。像淘寶和微信分屬兩個互聯(lián)網(wǎng)公司，不同的數(shù)據(jù)庫，但黑客通過盜取到其中一個網(wǎng)站數(shù)據(jù)庫的用戶數(shù)據(jù)后，就能夠匹配出其他網(wǎng)站的用戶數(shù)據(jù)。

其實，這種犯罪成本較低，而能夠?qū)掖蔚檬值淖钪饕蜻€是用戶在設(shè)置個人賬號信息時并沒有提高密碼復(fù)雜性，最終導(dǎo)致“撞庫”的高成功率。

網(wǎng)絡(luò)黑色產(chǎn)業(yè)的詐騙方式更為隱秘，普通用戶要提高自我防護(hù)意識

此次國內(nèi)首個利用“撞庫”獲利的團(tuán)伙案件破獲，警示我們網(wǎng)絡(luò)黑色產(chǎn)業(yè)的犯罪手段正在走向多元化和復(fù)雜化。

安全專家認(rèn)為，當(dāng)前，網(wǎng)絡(luò)黑色產(chǎn)業(yè)的詐騙方式更為隱秘，“撞庫”讓用戶面臨更大的詐騙陷阱。通過“撞庫”攻擊獲取用戶信息后，犯罪嫌疑人可能實施多種犯罪，包括出售賬號獲得非法收益，根據(jù)用戶個人信息實現(xiàn)電信詐騙，鎖定用戶賬號、以此要挾、敲詐用戶付費解鎖。此外，由于國內(nèi)的高壓打擊態(tài)勢，更多犯罪團(tuán)伙將服務(wù)器設(shè)置在海外，通過跨境操作，讓IP地址等定位更加變化多端，增加了執(zhí)法機構(gòu)偵破案件的難度。

隨著網(wǎng)絡(luò)黑色產(chǎn)業(yè)犯罪日益猖獗，包括百度、阿里巴巴、騰訊等在內(nèi)的多家安全廠商加入到聯(lián)合打擊的行列中，并建立了一系列跨行業(yè)的聯(lián)動機制。據(jù)百度安全相關(guān)負(fù)責(zé)人介紹，百度一方面加大與政府部門的聯(lián)動，一方面就隱私竊取黑色產(chǎn)業(yè)的技術(shù)原理、涉及范圍、與運營商合作的方法等進(jìn)行多輪溝通，逐步明確了系統(tǒng)的解決方案。目前已成功打掉數(shù)萬個違規(guī)站點，并已促成黑色產(chǎn)業(yè)最上游部分泄密接口關(guān)停，同時與運營商建立了聯(lián)動關(guān)停泄密站點的機制，靠技術(shù)識別能力和行業(yè)協(xié)同能力對網(wǎng)絡(luò)犯罪分子形成震懾。

針對“撞庫”等黑色產(chǎn)業(yè)，互聯(lián)網(wǎng)安全廠商也在不斷提升技術(shù)，并與公安部門協(xié)同作戰(zhàn)，打擊罪犯，在大數(shù)據(jù)監(jiān)測方面，推出針對黑色產(chǎn)業(yè)的威脅情報大數(shù)據(jù)平臺等。人工智能技術(shù)將助力打擊網(wǎng)絡(luò)黑色產(chǎn)業(yè)，貫穿打擊網(wǎng)絡(luò)黑色產(chǎn)業(yè)全程：從風(fēng)險實時檢測、溯源反制，到最后的協(xié)同抓捕。

不過，安全專家也提醒，雖然有了高科技的幫助，但廣大用戶仍要重視“撞庫”帶來的危害，提高自己的防護(hù)意識。比如多設(shè)置幾個賬號和密碼，對應(yīng)使用不同級別的網(wǎng)站，選擇安全的登錄方式。一些支付類、財務(wù)類的網(wǎng)站，應(yīng)盡可能使用手機驗證等安全驗證方式，避免為圖省事而直接登錄。要定期進(jìn)行密碼修改，以確保賬號安全等。

具體來說，面對個人隱私安全隱患，普通用戶可以通過這樣一些方式實現(xiàn)自我保護(hù)：首先，發(fā)現(xiàn)個人隱私泄露后，可以通過一些公開平臺進(jìn)行舉報，在最短時間內(nèi)實現(xiàn)個人賬號信息保護(hù)。其次，在注冊多個社交賬號時，盡量設(shè)置不同的賬號密碼并提高密碼復(fù)雜度，提高個人隱私安全等級。在日常使用網(wǎng)站服務(wù)時，也要習(xí)慣使用安全軟件來保護(hù)個人信息安全。 （原題為《網(wǎng)絡(luò)黑色產(chǎn)業(yè)的不法手段越來越多元化和復(fù)雜化：小心，“撞庫”正竊取你賬號》）