下載客戶端

登錄

華住5億條數據泄露，背后的網絡黑色產業鏈究竟是怎樣的？

2018-08-30 16:27

來源：澎湃新聞·澎湃號·湃客

【編者按】華住旗下5億條開房數據泄露，個人隱私話題又再次引發了大家的關注。批量數據的泄露、數據在暗網上的售賣也折射出了國內黑色產業鏈產業化的發達。批量數據為何會泄露？背后的網絡黑色產業鏈條是怎樣的？哪些行業受災泛濫？黑客如何攻擊，我們又如何防控？威脅獵人的這份《2017大數據下全球撞庫黑色產業鏈追蹤報告》將給出一定的解答。

最近，央視曝光了一起離奇的電信詐騙案件。受害者既沒有接到不明電話或短信，手機也沒有中毒，賬戶里的錢莫名其妙地就被人全部盜刷。

隨著調查的深入，民警發現這是違法分子利用用戶在其它網站的泄漏密碼使用“撞庫”手段掃描用戶網銀的登錄密碼，再用非常規手段對用戶網銀綁定手機號修改所造成的案件。

中國人看事物，都習慣分個陰陽。往往明面上有多么繁榮，暗地里就有多么猖獗。記得年初看到一份報告《Bot Traffic Report 2016》，報告稱2016年機器人流量占全網流量的51.8%，超過人類流量，而其中惡意機器人流量占據了全網流量的28.9%。

如何從龐大的惡意流量中捕獲期望的數據，這件事一直深深地吸引著我們，團隊為此進行著長期的研究，并在全網搭建了許多數據探針，捕獲了大量第一手數據，讓我們有機會窺見這個黑暗領域的一隅，從而有了黑產大數據這個系列的報告，今天的主題是：全球撞庫追蹤。

一、什么是撞庫攻擊

簡單來說，使用他人在A網站的賬號密碼，去B網站嘗試登陸，就是撞庫攻擊。

在早些年，盜取他人賬號主要靠木馬，密碼字典則靠軟件生成，而隨著近幾年頻繁出現網站數據庫泄漏事件，撞庫攻擊逐漸成為主流的盜號方式。撞庫攻擊也成為賬號類攻擊的重要一環，下圖是整個賬號類攻擊鏈條：

詞匯解釋：

拖庫：黑客從有價值的網站盜取用戶資料數據。

洗庫：黑客將用戶賬戶的財產或虛擬財產或賬戶信息本身變現。

社工庫：黑客將獲取的各種數據庫關聯起來，對用戶進行全方位畫像。

定向攻擊：黑客根據用戶畫像，對特定人或人群進行針對性的犯罪活動，比如詐騙。

二、從哪來 & 到哪去

前面回答了三大哲學問題之一「X是什么」，再來看另外兩大問題：

從哪里來

到哪里去

1. 撞庫源數據來源

黑客要進行撞庫攻擊，首先需要足夠的原始賬號數據，我們對網絡上捕獲到的撞庫攻擊進行分析，發現原始數據來源主要有以下幾點：

1）信封號產業鏈

信封號，就是被盜的QQ號。信封號產業鏈，就是QQ號盜取、銷贓、并利用獲利的產業鏈。每天互聯網黑市上會有成百上千萬的被盜QQ號流入該產業鏈，原本QQ賬號密碼只在騰訊內部有價值，但由于QQ郵箱的大規模使用，很多人在網站注冊用戶時直接使用QQ號對應的QQ郵箱和密碼，導致被盜QQ號被大量直接用來進行網站撞庫。

2）網站泄漏數據庫

網站泄漏數據庫的標志性事件是2011年 CSDN 600萬用戶數據泄漏，引領了當年一波數據泄漏高峰，數十個網站的用戶數據被公開，大量原本只在地下流通的泄漏數據被拋到臺面上，給平時并不關注此道的黑客們提供了足夠的數據源切入這個方向，也因此點燃了撞庫攻擊的熱潮。

類似事件還有2015年某郵箱數億賬號泄漏，都給黑客提供了重要的彈藥資源。更何況被爆出來的數據泄漏，其實也僅僅是冰山一角。

3）地下黑市流通

數據竊取與交易這個領域幾乎是地下產業鏈隱藏最深的部分，有不少黑客通過數據交易來構建龐大的社工庫。黑客之間的私下交易我們無法得知，到底有多少網站數據已經被竊取也沒法客觀評估，但通過某些半公開的渠道，亦可管中窺豹。下面是暗網某地下數據交易市場的截圖：

2. 撞庫源數據分類

從近期的撞庫數據來看，email占據了大約1/4，手機號占5.8%。

3. 國家被攻擊數據

我們從近期全球數十億次撞庫攻擊行為，聚合分析后，繪制了以下全球撞庫攻擊數據圖：

1）攻擊流量去向

可以看出，中國和美國占據了撞庫類攻擊的絕大多數份額。

2）各國被攻擊公司占比

其中有超過一半的被攻擊公司來自中國。

3）攻擊來源分布

同時，中國也是最大的攻擊來源國，其次是俄羅斯黑客明顯占據較大比例，包括俄羅斯、烏克蘭、白俄羅斯等前蘇聯國家。

4. 中美攻擊數據的差異

在分析很多問題時，中國的數據相對海外都會呈現明顯的差異。于是我們特地把中美兩個互聯網TOP 2國家的情況單獨來做比較。

1）被攻擊公司類型

中國黑客明顯以游戲公司目標為主，具有極明顯的變現傾向，由于國內黑產產業化發達，游戲玩家眾多，因此游戲業在被攻擊公司中首當其沖。

而美國被攻擊行業則呈現較均衡的情況。

2）攻擊來源

絕大多數對中國公司的攻擊都是來自國內，主要由于海外互聯網公司難以進入國內市場，存在市場和語言的雙重隔離，導致連黑客攻擊都自成一脈，以自產自銷為主。

相對來說，美國則是全球黑客青睞之地，戰斗民族俄羅斯人再次戰力爆表。

5. 主要受影響的行業

1）游戲行業

游戲業在盈利能力上整個互聯網可以說是最為可觀，那么很自然的，游戲業的地下市場也就吸引了大量的從業人員，并產生了了眾多的變現方案和利益鏈條。游戲業一直是黑客關注的重點，從盜號木馬到外掛編寫，從打金工作室到私服，從代練到金幣裝備交易。而能直接獲得對方游戲賬號的撞庫方案自然也成為黑客關注的重中之重，因此，游戲公司在此類攻擊中首當其沖也是理所當然了。

2）版權行業

隨著書影音類資源的正版化推進，以及帶寬的增長，許多相關資源可以在線付費觀看，當用戶不愿意花時間去尋找資源下載電影，但愿意花低得多的費用買一個高級會員賬號來使用時，相關的賬號也就變得具有變現價值。

3）社交行業

社交網站的灰色生意主要包括并不限于以下幾類：

- 刷粉、刷贊、刷榜、刷觀看

- 私信廣告

- 色情社交

- 詐騙

隨著社交平臺風控策略的不斷升級，因此社交平臺老賬號（注冊時間較長）便成了某些圈內炙手可熱的資源，比如某著名陌生人社交APP老號市場價值在30元以上。掌握這些資源便意味著被封殺的可能性降低，意味著以上生意的相對持續性。人多的地方就意味著生意，因此，社交賬號從來都是黑產重要目標。

三、攻擊方法 & 主流防控

通過對海量攻擊行為的監控和分析，我們可以看到黑客的攻擊方法，同樣也能看到廠商防控措施。

1. 黑客如何攻擊

1）判斷賬號是否存在

接口快速驗證

許多網站在填寫注冊信息時，會通過AJAX對賬戶名是否可用做實時驗證，如果可用便在頁面上打個勾。該接口大量被黑客用來判斷某用戶名是否有在網站注冊。

登陸接口返回信息

部分網站如果賬號密碼錯誤會返回敏感信息暴露賬號存在情況。例如返回提示「賬號不存在」或「密碼錯誤」，便能讓黑客判斷賬號是否存在。此處我們推薦的返回信息是「賬號或密碼錯誤」。

找回密碼接口

部分網站在找回密碼的流程中，填寫手機號或郵箱后會有一次帶提示信息的再確認，此處也常常被黑客用來判斷賬戶存在與否。

2）業務安全的集中管理問題突出

從我們的統計數據來看，許多網站的主登陸口往往有比較嚴格的審計措施，會根據登陸IP、頻率等觸發驗證碼或封IP。但當公司業務增多，安全管理復雜度大幅增加，不同子站各用一套自己登陸驗證，缺乏統一登陸接口的問題便暴露出來。比如某個子產品的登陸功能，或者公司網站掛個論壇，往往會走單獨的登陸接口，當這些邊緣業務接口沒有接入審計功能，便成為黑客攻擊的溫床。

從我們捕捉到的攻擊數據中可以看到很多此情況，黑客被對抗多次后都能再次發現新的毫無風控邏輯的撞庫接口，甚至有的登陸接口公司安全部門都不知道其存在。所謂千里之堤，毀于蟻穴。盡管主業務做了大量的防御措施，當邊緣業務出現疏忽時，一切措施便形同虛設。

3）攻擊效果

眾所周知撞庫類風險屬于常規風險，其核心往往不在于如何完全避免，而更多考慮的是攻防對抗的成本提升。從對大量的撞庫攻擊監控來分析，我們對黑產撞庫有效率和成功率進行統計，我們會發現一個事實，長期的撞庫攻擊會帶來質的傷害，行業內現如今經常會爆出某廠商被拖庫的新聞，但大部分最終也就是撞庫的數據曝光刺激了媒體的神經：

撞庫有效率和成功率

根據對大量黑產撞庫數據的統計，能夠成功繞過風控策略的攻擊占總攻擊量的83%，撞庫成功率則在0.4%左右浮動。

2. 主流防控

說完黑客的攻擊方法，再來看看廠商是如何防控的。

1）主要防護措施

封IP

根據黑IP庫或同IP發起的請求次數、密碼錯誤率等決定是否一段時間內禁止該IP的請求。

驗證碼

最廣泛部署的方案，有很多類型，例如字母扭曲、漢字識別、移動滑塊、圖像選擇。普通廠商直接接入驗證碼，有后臺分析能力的則在后臺審計出現異常時才觸發驗證碼以提升普通用戶體驗。

短信驗證

建立在手機和手機號成本上的真人認證。

行為聚集

根據用戶登錄過程行為判斷，例如頁面停留時間、鼠標焦點、頁面訪問流程、csrf-token等。

設備聚集

通過客戶端尤其是手機客戶端，上報許多機器信息，識別是否存在偽造設備情況。

本質上，以上所有方案其實都是為了解決一件事情，就是判斷電腦的對面是一個真實的人。

3. 主流防控的繞過

面對暴利，沒有人愿意坐以待斃。和廠商一樣，黑產人員面對廠商的對抗，不但積極主動，甚至做到了平臺化、鏈條化來進行反對抗。從我們監測到的攻擊行為來看，撞庫黑客在各個維度都有完善的方案和廠商進行對抗，主要從下面幾個方面：

1）低安全性邊緣業務或新業務

面對嚴格的防護邏輯，最快的辦法就是尋找其自身的漏洞。一旦發現非嚴格審計的的邊緣業務接口，便繞過所有的防護措施，如入無人之境。

廠商往往在這個維度缺乏有效的監控，因為本來就是被安全部門所忽視的接口，但當我們從第三方視角對黑產流量進行大數據分析時，這種伎倆變得無所遁形，何人何時開始對新接口進行攻擊都在我們的監控范圍內，可以極大增強廠商對該類漏洞的反應速度。

2）IP對抗

IP地址作為互聯網的緊缺資源，一直是廠商最重要的風控方案之一，如何獲得大量IP出口也是黑產業者最先需要解決的問題。其實不僅僅是黑產，許多爬蟲、搜索引擎、機器人程序都有類似需求。我們通過長期對大量撞庫攻擊的來源進行反向追蹤，發現撞庫攻擊獲取IP資源的方法主要有以下幾類：

掃描代理

免費方案，通過全網掃描常見的代理服務器端口，收集可用的代理IP地址，自行管理維護，但成本高、效率低。

付費代理

代理商通過或掃描或搭建或交換的方式，提供全球的代理服務器，有效降低自行收集代理的管理成本。

付費VPN

和付費代理類似，只是技術不同。

撥號VPS

過去的兩年里，我們監控到國內有一類新的IP獲取方案逐漸被黑產應用，叫做撥號VPS或動態VPS。該類VPS也是一臺虛擬服務器，但需要通過ADSL撥號才能上網，于是便擁有了整個城市的大量可用IP。聽起來似乎并沒有什么特別，你我家的ADSL也能做到，但依舊是大力出奇跡，相關供應商做到了打通全國多省市的撥號方法，俗稱混撥。實現了在一臺VPS中使用一個賬號快速隨機切換近百城市的ADSL線路撥入互聯網，對很多企業的風控部門造成巨大壓力。

實際使用效果如下圖：

3）驗證碼對抗

作為一種最簡單、應用最廣的自動化圖靈測試方案，十多年來，大量公司和團隊不斷嘗試自動化破解，以至于驗證碼也不斷升級變得人類也要多次才能識別。然而在中國，黑產創業者們依賴低成本人力，對無法通過技術識別的驗證碼直接使用了最暴力的方式——人工打碼來進行破解，并傳播到了大量第三世界國家，導致全球有近百萬人以此為生。因此衍生了黑產供應商平臺之一：打碼平臺。

從我們了解到的數據來看，打碼工人平均每碼收入1-2分錢，熟練工每分鐘能打打碼20個左右，每小時收入在10-15元。