什么是撞库及撞库攻击的基本原理
6月26日晚,我国大型聊天软件QQ出现了大规模盗号情况,而且是在QQ号本人在线时出现了被盗情况。
6月27日中午,腾讯QQ发布声明称:6月26日晚上10点左右,收到部分用户反馈QQ号码被盗。QQ安全团队高度重视并立即展开调查,发现主要原因是用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。
为什么扫描不法分子伪造的游戏登录二维码并授权登录,就会被盗号呢?
大家在新的平台申请账号密码的时候,通常可以选择关联其他平台账号,直接登陆。这时,此平台就会保留其他平台的账号数据。通过扫描伪造的二维码授权信息后,不法分子就能获得你真正的账号密码。
来自数美科技黑产研究院专家宇航在接受新闻采访时分析认为,QQ生态相对来说较为开放,本身用户体量大。由于生态非常开放,用户数据不仅可以授权给很多游戏平台,还可以授权给其他第三方社交媒体平台,在授权的过程中,用户的数据也顺带授权过去。
该专家分析称,“此次事件暴露出来的问题,本身更多的责任可能并不在于QQ,而是在QQ授权的第三方平台。”该专家表示,在这样多的应用相互交互的情况下,去做数据安全包括账号的安全,难度会大非常多。
正如专家所说,现在的互联网环境十分复杂,各个平台可以相互授权信息,为何第三方的数据库安全会如此重要?因为在互联网中有一种攻击是通过第三方泄露出去的数据造成其他平台账号被攻击,账号被盗,这种攻击叫做“撞库”。
撞库的基本原理
撞库是一种常见的网络攻击方式,犯罪分子会使用自动化系统和被破解的登录凭据访问在线账户。
简单来说黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的账号密码。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户尝试登录B网址,这就可以理解为撞库攻击。撞库攻击取决于密码的重复使用,受害者常为多个在线账户设置相同的用户ID和密码组合。
但是撞库成功需要的一个前提就是拖库。
什么叫拖库及拖库与撞库的关系?
撞库中黑客用于尝试的用户及密码来源于拖库,而拖库本来是数据库领域的术语,指从数据库中导出数据。
拖库是撞库的基础,是进行撞库攻击的必要条件。拖库实现起来比撞库复杂得多,手段和方法也非常多,常用的是社工流拖库和技术流拖库。社工流拖库以欺诈、网站仿冒、钓鱼、重金收购、免费软件窃取等为主要手段;技术流拖库则以入侵、攻击为主,如远程下载数据库。利用Web Services 漏洞、服务器漏洞,挂马、病毒、木马后门等技术手段和方法。
通过拖库获取用户的信息后,撞库的实现就比较简单了。当前多数撞库以单脚本登录验证、分布式脚本登录验证,自动代理登录验证,甚至人肉验证等方式来显示。
同时Sentry MBA或SNIPR等免费自动化工具让犯罪分子能更加轻松地尝试登录信息并验证被盗凭据。
综合来看,“撞库”操作简单、成本较低,其对数据库的攻击只需要经过“拖库”——攻破网站、“洗库”——数据处理分析,然后就可以进行“撞库”。
撞库的危害
2017年12月至2019年11月间,Akama i观察到854亿2207万余次撞库攻击,中国是API恶意登录的三大“重灾区”之一。
因为撞库是以个人信息为前提,而我国的大规模个人信息泄漏事件并没有就此停止。而且联网近三分之二用户都在重复使用他们的密码所以撞库看似简单,但是成功率却很高。
曾经12306 数据泄露事件确认为撞库攻击,泄露的数据包括用户帐号、明文密码、身份信息邮箱等大量用户资料。
京东的账号被盗事件同理,只不过京东的数据库并没有泄露。黑客通过别的渠道获取泄露的数据库来实施“撞库”攻击,然后成功获取到了一些京东用户的密码。
结论:
撞库的损失不是一家之过,对于个人用户而言密码安全意识不强,设置密码过于简单、多个网站长期使用同一账号密码登录;对于平台来说,登陆时IP地址验证、设备验证等安全防御手段不到位;对于监管来说,虽然《个人信息保护法》已出台,但是网络上还存在着大大小小的暗网出售居民个人信息。
所以个人用户要加强对账号密码的保护,设置密码时,避免过于简单、易猜;养成定期更改密码的习惯;根据账号重要性、是否涉及财产等分级管理,避免一码多用;在公共设备上登录个人账号时,不要勾选“记住密码默认登录“等选项,尽可能选择匿名登录。
对于平台可以在用户登陆环节添加IP地址与GPS交叉核验,以此来核验用户的真实位置;对于监管部门来说可以加大惩治力度,震慑犯罪分子。
什么是撞库及撞库攻击的基本原理相关推荐
- 如何给女朋友解释什么是撞库、脱库和洗库?
来源 | 漫话编程 最近,安全圈又有一个大新闻,微博名为@安全_云舒的微博用户在发文称:"很多人的手机号码泄露了,根据微博账号就能查到手机号--已经有人通过微博泄露查到我的手机号码,来加我微 ...
- 撞库是什么意思?与洗库和拖库有什么关系?
撞库黑客专用语又叫做扫存,是一种非常常见的黑客攻击方式,通过收集互联网已泄露的拖库信息,特别是注册用户的用户名和密码信息,生成对应的字典表.然后通过恶意程序和字典表批量尝试登录其他网站,得到可用的真实 ...
- 机器人的洪流:刷库、撞库那些事儿
原文链接 机器人的洪流:刷库.撞库那些事儿 目明@阿里安全 一. 那些信息泄露的事 面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么.住在哪里.买了什么东 ...
- 机器人的洪流—刷库、撞库那些事儿
机器人的洪流-刷库.撞库那些事儿 目明@阿里安全 一. 那些信息泄露的事 面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么.住在哪里.买了什么东西.花了多少钱. ...
- 漫画:什么是撞库、脱库和洗库?
作者 | 漫话编程 来源 | 漫话编程(ID:mhcoding) 最近,安全圈又有一个大新闻,微博名为@安全_云舒的微博用户在发文称:"很多人的手机号码泄露了,根据微博账号就能查到手机号-- ...
- 拖库还是撞库?网易邮箱罗生门
从乌云言之凿凿的报告和网友的如潮控诉来看,网易邮箱信息泄露,似乎已经被坐实. 然而,对于数据泄露的方式,网易和乌云存在着一定的分歧.那么,乌云在说什么,网易又在说什么呢?我们可以简单梳理一下. 1.1 ...
- 只需使用这一招式,即可让黑客撞库、拖库等武功作废!
一.传统用户账号管理.使用痛点概述. 互联网发展繁荣,每个人都会在许多的网站.APP注册账号.由于网站和APP众多,这就导致了很多人使用同样的用户名和密码作为账号数据.一旦某个网站的数据泄露出去,就会 ...
- 如何抵御社工库类的黑客攻击?
本文讲的是 : 如何抵御社工库类的黑客攻击? , [IT168 评论]说到社工库,现在很流行,数据也越来越庞大.详细,其威胁程度日愈严重.其中威胁最高的就属密码库了,也是数量最大,影响范围最广的. ...
- [笔记]使用Python的scapy库实现SYN洪水攻击
前言 我在实验过程中,要求使用多种工具实现SYN泛洪攻击,之前使用了kali Linux下的hping3实验SYN攻击,然后我最后了解到了Python也可以写脚本,因此我在这篇文章中写下我学习的过程. ...
最新文章
- Python热文Top10,精选自1000篇文章
- 动图与数据同步关系研究
- php中删除数组元素的函数,php删除数组中的元素函数用法汇总
- Android的Intent Action 大全
- .NET Core开发日志——Runtime IDentifier
- 1106 Lowest Price in Supply Chain (25)
- 数组做函数参数的退化问题
- 编译原理三大经典龙书 虎书 鲸书 编译原理第三版清华pdf 清华北大
- 分子动力学模拟计算新冠病毒S蛋白和抗体结合自由能
- 用matlab抽奖,现在社会上销售彩票的很多。一家三口在抽奖时,常常喜欢让孩子来抽,请问这是遵循了什么决策原则( )...
- 174款前端开发工具汇总,学习,开发,事半功倍!
- UER-py快速上手
- Windows 下 Let's Encrypt申请证书及使用
- 计算机科学与技术专业发展问题,解析计算机科学与技术专业发展存在的问题.doc...
- 智能可穿戴设备继续火 接入大数据帮你“管”身体
- 【RSA-Tool 2 by tE】的使用
- ES的插入优化之bulk
- 百度分享不支持https解决方法
- windows鼠标,物理位移与屏幕位移的计算方法(鼠标加速度)
- 【电子学会】2022年06月图形化四级 -- 判断闰年