上周末,黑产利用撞库攻击,窃取了大麦网的用户个人信息。并利用窃取到的信息,伪装成大麦网客服成功骗取了147.42万元。据了解,全国各地共有39名用户受骗,单人受骗金额最高达10万元。事件发生后,大麦网很快对事件发生原因做了回应。并在后续声明中表示,为了尽快缓解此次事件对用户造成的经济压力,大麦网董事会决定对所有造成实际经济损失的用户实行“先行承担用户损失”的措施,由大麦网向用户垫付被骗资金。
“撞库”是一种在互联网中常见的黑客攻击方式。发生在上个月的扎克伯格社交账号被黑事件与“京东假客服”事件的起因都是撞库攻击。
所谓的撞库是指黑客通过手机网上已经泄露的用户和密码信息,集合成为“社工库”,针对目标网站用户登录页面不停的尝试登录,只要有一次匹配成功,就成功窃取到用户信息。
对于习惯于在不同账户使用相同密码的用户来说,其个人资料很容易被黑客“撞库”获得。
撞库攻击流程图,来自Freebuf
而黑客“撞库”所获得的信息,通常与“拖库”与“洗库”有关。
“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作“脱裤”,在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。
安全专家说,获取一个网站数据库内的数据并不一定需要非常高深的技术以及成本,一个掌握一些基础黑客技术的人再加上一个功能强大效率较高的黑客工具,即可完成“脱裤”任务。
上述攻击手法,几乎可以应用在任何一家网站登录系统。用户在不同网站登录时使用相同的用户名和密码,就相当于给自己配了一把“*钥匙”,一旦丢失,后果可想而知。所以,防止撞库攻击,是一场企业与用户必须要面对的持久战。
安全专家建议,对于企业来说,
可以通过增强登录入口识别能力的方法来提高登录入口的安全性,如增加图片验证码,与验证码生成的强度等。这样可以有效避免黑客通过代理登录获取用户个人信息。从而效规避撞库攻击;
还可以通过自动识别异常IP方式,扫描到单位时间内频繁登录的异常IP。对于异常的IP,整理一个非常严格的库,甚至直接禁止这些IP访问网站;
还有一点需要注意的是,企业应该有意识地避免与“安全级别低”的网站建立联系,针对“安全级别中等”的网站,则可以采用OAUTH协议授权登录的方式,与以往的授权方式不同, OAUTH的授权不会让第三方触及到用户的帐号信息(如用户名与密码),我们常见的微信授权登录、微博授权登录就是这种形式的典型代表。
对于用户来说,
不要在多个网站设置同一个登录密码,并要形成设置高强度的密码的习惯,如形式上使用大写字母、小写字母、数字、非数字符号的组合n涉及重要个人信息的账户,应经常修改密码,每月或每一季更换一次;
在不同的网络系统使用不同的密码,对于重要的账户使用更为安全的密码,不将密码保存在公共设备上,常规浏览器保存密码没有一个很好的加密策略,这往往为黑客破解密码大开方便之门;
使用更安全的认证方式,如果觉得密码太复杂记不住,可以采用扫描二维码登录、刷脸登录、指纹识别登录,不要轻易点击陌生的网址,通过陌生电源充电时,不要点击信任,或允许其进入USB调试模式。