原文链接

机器人的洪流:刷库、撞库那些事儿

目明@阿里安全 

一、 那些信息泄露的事

 

面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么、住在哪里、买了什么东西、花了多少钱。这些信息骗子们是从哪里得来的呢? 
最近某票务网站就出现了这么一例case,因为骗子们知道其在该网站上的订单信息、电话和住址,因此认为骗子就是真实的该网站的客服人员,从而被引导到转款等流程中。

二、 他们怎么知道我们的个人信息 
 
 
大多数人看到这些短信的第一反应是:我的信息被平台商卖给了骗子!其实对于大部分大厂商来说,客户的信息都是最重要的资产,不会卖给其他任何第三方,更不可能卖给骗子。 
真实的情况是以下这几种: 
    · 这个平台存在漏洞,数据被黑客攻破,整个数据库被“拖”走了。(整个数据库都被别人掌握,然后贩卖出去) 
    · 平台内部出现人事问题,导致数据被人拿去售卖了。(内鬼作案) 
    · 平台的某些接口存在风控漏洞,导致黑客利用已有的数据库内容进行匹配,导致数据被人批量拿走。(所谓的刷库撞库) 
随着互联网安全的逐步发展,前两种情况已经比较少了,市面上常见的泄露都是由于第三种情况造成的,也即刷库、撞库这种手法。从之前的case中,我们也可以看到最终导致信息泄露的原因是刷库、撞库:

三、 数据库泄露严重吗 
 
简单列举下一些大家都知道的数据库泄露: 
    · 某SDN数据 
    · 某讯群数据 
    · 某酒店开房数据 
    · 某知名bbs论坛数据库 
    · 等等 
在明处的泄露数据库,已经数不胜数,而在暗处,只是流通在各个小圈子中的数据库会更加可怕。这也是为什么,有人说道,在互联网时代的所有人,都是在裸奔。这些数据库可能不会有你的全部信息,但是黑产通过数据关联、整理和分析,可以得到你的相关全部数据。对于普通人来说,注册一个网络账号,可能使用的账户名、密码等都具有极度的相似性(甚至完全一样)。在某些特别的应用中,如使用身份证、手机号注册的账号,这些用户名具有先天一致性。通过对这个社工库的不断完善,黑客可以得到越来越多关于你的信息。 
 
四、 黑客是如何通过已有数据库进行撞库的

以上是在攻击者视角的一个图,对于部分公司来说,存在一个误区,即风险只是存在于登录等场景中,但是实际上,任何与后端数据库存在交互的地方都有可能被攻击者用于撞库攻击。 
攻击第一步——洗库:

之所以要进行洗库,是为了加快最后撞库的速度,同时避免被发现。因为通常在登陆等入口的防御强度通常会更强。 
例如找密场景中:

通过这样一个接口,攻击者用于进行第一波洗库的工作。 
攻击第二步——撞库:

撞库的流程与洗库的逻辑基本一致,其采用的接口与洗库可以一样也可以不一样,完全看攻击者找到了哪个较弱的接口。暴力破解与撞库的差别也就是:密码库是已经准备好的,还是实时生成的而已。 
 
五、 现有的防御思路 
 
总结上面提到的撞库刷库等问题,我们面临了以下几种挑战:攻击面的确认,数据等级的确认。哪些地方可能存在利益点,哪些地方的数据危险性高,并且要不无遗漏的总结出来,才能达到一个较好的防御效果;如果漏掉了其中的一个,根据木桶原理,即代表整体失效。 
 
 
如何保护数据 
假设已经确认了需要保护的点,如何对其进行有效防护? 
 
 
普通验证码 
带文字信息的普通验证码,是考虑到防御时,第一个会出现在脑海里面的东西。但是,随着该模式的不断被研究,打码平台、字库、各种验证码识别算法不断出现,导致在实际的攻防效果上来说,普通验证码已经不具有阻拦恶意攻击的能力了。

手机验证码 
有部分厂商认为,手机卡和手机卡是一个可以做到对用户进行真实性访问确认的好工具。在刚开始的几年内,该方法的确是一个有效的方法,但是随着黑产开始大规模的应用猫池和特殊的零月租手机卡,这个方法的实用性也大打折扣。甚至催生出了一个新的产业:卡商。

一条短信对于黑产的成本也只是0.1元而已,并且随着产业的不断发展,这个价格只会越来越低。 
 
 
IP限制 
ip是从互联网之初就一直被使用的一个指标。简单来说就是,对单位时间内的单ip访问的次数进行强限制,如果超过某个数值后,就判定为存在攻击风险并进行拦截。然而,在互联网时代,ip是非常廉价甚至是免费的资源。只需要付出很小的代价,你就可以拥有世界各地的ip进行选择使用。

也有部分防御思路是,对ip进行反向探测等,抓出某些互联网上的免费或者提供服务的ip。但是针对这些思路,黑产攻击者也采用了如某些运营商宽带断线重连重新分配ip的机制来进行绕过。 
 
六、 阿里巴巴的防御体系 
 
 
基于上述的讨论,我们可以得出结论:现有的普通防御手段已经不足以抵御这些互联网上横行的机器程序。 
在这场攻防双方不断螺旋对抗的游戏中,需要新的对抗思路,这也是阿里巴巴数据风控团队长久以来一直在努力的方向:成为机器的墙。 
简单的叙述我们的一些关键技术点: 
    · 先进的设备指纹技术,让攻击程序无所遁形。 
    · 先进的风险ip监测技术,通过反向探测、实时计算等方法得到当前ip的风险值。 
    · 强大的前端加解密对抗技术,让攻击者在伪造请求的同时直面无法破解的盾牌。       
    · 周期性的自更新技术,攻击者一时的破解无法长时间适用,每次破解必须从头开始,大大增加攻击者的攻击成本。 
    · 基于大数据计算的实时风险引擎,基于设备、ip、行为等进行综合评分。 
这些相关技术都已经在阿里系相关的平台上经历了多年的考验,每天都在线上实时的为保护客户数据做着努力。 
 
 
七、 阿里云数据风控产品 
 
 
撞库、刷库作为一个现在,并且在可预见的将来也将一直是互联网的一个急需解决的问题。面对这些不断增加的自动化机器人、层出不穷的攻击者以及越来越低门槛的攻击技术,客户们需要的是充分平衡了体验和安全性的安全产品。 
阿里巴巴数据风控团队,基于多年的防控经验、大数据等前沿分析方法,推出了一系列的数据风控产品,可以有效解决垃圾注册、刷库撞库、活动作弊、论坛灌水等严重威胁互联网业务安全的风险,并在保障安全性的同时,兼顾正常用户的使用体验。 
更多产品信息,请移步阿里云官网:https://www.aliyun.com/product/antifraud 
 
 
作者:目明@阿里安全,更多安全类文章,请访问阿里聚安全博客

原文链接

转载于:https://www.cnblogs.com/Gamay/p/7126245.html

机器人的洪流:刷库、撞库那些事儿相关推荐

  1. 机器人的洪流—刷库、撞库那些事儿

    机器人的洪流-刷库.撞库那些事儿 目明@阿里安全 一. 那些信息泄露的事 面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么.住在哪里.买了什么东西.花了多少钱. ...

  2. 户外服装品牌TheNorthFace遭遇撞库 撞库究竟如何成功窃取账户信息

    前言:近期户外服装品牌TheNorthFace遭遇撞库攻击,thenorthface.com网站上有200,000个账户被黑.撞库攻击到底是如何成功窃取账户数据的? 近期户外服装品牌TheNorthF ...

  3. 如何给女朋友解释什么是撞库、脱库和洗库?

    来源 | 漫话编程 最近,安全圈又有一个大新闻,微博名为@安全_云舒的微博用户在发文称:"很多人的手机号码泄露了,根据微博账号就能查到手机号--已经有人通过微博泄露查到我的手机号码,来加我微 ...

  4. 漫画:什么是撞库、脱库和洗库?

    作者 | 漫话编程 来源 | 漫话编程(ID:mhcoding) 最近,安全圈又有一个大新闻,微博名为@安全_云舒的微博用户在发文称:"很多人的手机号码泄露了,根据微博账号就能查到手机号-- ...

  5. 撞库攻击:一场需要用户参与的持久战

    一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战. 对于大多数用 ...

  6. 撞库***:一场需要用户参与的持久战

    一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和***之间在用户数据这个舞台上一直在进行着旷日持久的***战. 对于大多 ...

  7. 用户登录撞库与bean作用域问题

    #什么叫做撞库 假如我们现在在十个不同的网站都进行了注册,这种情况下我们可能使用的用户名与密码有可能都是同一个,如果说这其中某一个网站的数据库,设计的安全性比较低,被不法份子攻击了以后,拿到这个网站的 ...

  8. 撞库黑产无休止!京东、阿里、拼多多都曾着了道!

    大数据产业创新服务媒体 --聚焦数据 · 改变商业 数据泄漏就发生在我们身边,它的出现或许是拨过来的陌生号码,发过来的垃圾信息,如此这般司空见惯.当它到来的时候或许我们在忙碌,无暇顾及,或许心生疑惑, ...

  9. 只需使用这一招式,即可让黑客撞库、拖库等武功作废!

    一.传统用户账号管理.使用痛点概述. 互联网发展繁荣,每个人都会在许多的网站.APP注册账号.由于网站和APP众多,这就导致了很多人使用同样的用户名和密码作为账号数据.一旦某个网站的数据泄露出去,就会 ...

最新文章

  1. docker-compose编排最佳实战(多服务)
  2. 腾讯云“抢救”微盟!开 766 次在线会议、调拨 100 多台服务器、闹钟只敢定 2 小时...
  3. mark css知识点
  4. 清理buffer/cache/swap的方法梳理
  5. [网络安全提高篇] 一〇八.Powershell和PowerSploit脚本渗透详解 (1)
  6. 如果用户访问一个不存在的地址呢?
  7. MSP432P401R TI Drivers 库函数学习笔记(六)UART 串口
  8. Error applying BeanValidation relational constraints错误的解决
  9. C语言作业不足之处,C语言和汇编语言的优缺点分析-控制器/处理器-与非网
  10. 12GB+512GB售价18999元起,华为发布Mate X2典藏版
  11. 本地语音控制模块 | 带语音识别的智能家居方案
  12. 如何手动配置IP地址
  13. 工程项目经济评价的基本方法
  14. 使用uboot + minicom串口协议下载镜像文件
  15. 简单好用的苹果手机软件数据备份软件
  16. 魔方机器人需要特制魔方吗_大开眼界:会玩魔方的机器人
  17. suse linux修改系统时间,linux时间和时区修改(附suse)
  18. PADS打开.asc文件
  19. activiti:initiator详解
  20. data单复数一样吗_data的复数形式是datas还是data?rt

热门文章

  1. Java 实现单点登录功能
  2. HTML实现植物大战僵尸(游戏截图+动态演示+源码分享)
  3. wps二维码根据一列自动生成_拯救秃头!WPS还能这么玩?
  4. 【stm32f103】USART TX发送实现(寄存器版)
  5. NOI:1978 生理周期
  6. Git剑客学习笔记-待完善
  7. 前沿科技进军营——数字冰雹走进南部战区
  8. 电力电子技术-交流交流变流电路
  9. SCAU------1079 三角形
  10. JZOJ5219. B