4
上周末,黑產利用撞庫攻擊,竊取了大麥網的用戶個人信息。并利用竊取到的信息,偽裝成大麥網客服成功騙取了147.42萬元。據了解,全國各地共有39名用戶受騙,單人受騙金額最高達10萬元。事件發生后,大麥網很快對事件發生原因做了回應。并在后續聲明中表示,為了盡快緩解此次事件對用戶造成的經濟壓力,大麥網董事會決定對所有造成實際經濟損失的用戶實行“先行承擔用戶損失”的措施,由大麥網向用戶墊付被騙資金。
“撞庫”是一種在互聯網中常見的黑客攻擊方式。發生在上個月的扎克伯格社交賬號被黑事件與“京東假客服”事件的起因都是撞庫攻擊。
所謂的撞庫是指黑客通過手機網上已經泄露的用戶和密碼信息,集合成為“社工庫”,針對目標網站用戶登錄頁面不停的嘗試登錄,只要有一次匹配成功,就成功竊取到用戶信息。
對于習慣于在不同賬戶使用相同密碼的用戶來說,其個人資料很容易被黑客“撞庫”獲得。
撞庫攻擊流程圖,來自Freebuf
而黑客“撞庫”所獲得的信息,通常與“拖庫”與“洗庫”有關。
“拖庫”是指黑客入侵有價值的網絡站點,把注冊用戶的資料數據庫全部盜走的行為,因為諧音,也經常被稱作“脫褲”,在取得大量的用戶數據之后,黑客會通過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現,這通常也被稱作“洗庫”。
安全專家曾告訴雷鋒網,獲取一個網站數據庫內的數據并不一定需要非常高深的技術以及成本,一個掌握一些基礎黑客技術的人再加上一個功能強大效率較高的黑客工具,即可完成“脫褲”任務。
上述攻擊手法,幾乎可以應用在任何一家網站登錄系統。用戶在不同網站登錄時使用相同的用戶名和密碼,就相當于給自己配了一把“萬能鑰匙”,一旦丟失,后果可想而知。所以,防止撞庫攻擊,是一場企業與用戶必須要面對的持久戰。
安全專家建議,對于企業來說,
可以通過增強登錄入口識別能力的方法來提高登錄入口的安全性,如增加圖片驗證碼,與驗證碼生成的強度等。這樣可以有效避免黑客通過代理登錄獲取用戶個人信息。從而效規避撞庫攻擊;
還可以通過自動識別異常IP方式,掃描到單位時間內頻繁登錄的異常IP。對于異常的IP,整理一個非常嚴格的庫,甚至直接禁止這些IP訪問網站;
還有一點需要注意的是,企業應該有意識地避免與“安全級別低”的網站建立聯系,針對“安全級別中等”的網站,則可以采用OAUTH協議授權登錄的方式,與以往的授權方式不同, OAUTH的授權不會讓第三方觸及到用戶的帳號信息(如用戶名與密碼),我們常見的微信授權登錄、微博授權登錄就是這種形式的典型代表。
對于用戶來說,
不要在多個網站設置同一個登錄密碼,并要形成設置高強度的密碼的習慣,如形式上使用大寫字母、小寫字母、數字、非數字符號的組合n涉及重要個人信息的賬戶,應經常修改密碼,每月或每一季更換一次;
在不同的網絡系統使用不同的密碼,對于重要的賬戶使用更為安全的密碼,不將密碼保存在公共設備上,常規瀏覽器保存密碼沒有一個很好的加密策略,這往往為黑客破解密碼大開方便之門;
使用更安全的認證方式,如果覺得密碼太復雜記不住,可以采用掃描二維碼登錄、刷臉登錄、指紋識別登錄,不要輕易點擊陌生的網址,通過陌生電源充電時,不要點擊信任,或允許其進入USB調試模式。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
