撞库,是一种有效的的网络安全攻击方式,在英文中的表述为 Credential Stuffing(密码嗅探),是账号暴力破解的一种攻击类型,使用已泄露或被盗的用户名密码组合,在其他网站尝试登录的行为,攻击目的就是试图获取系统正确的登陆账号/密码。虽然这并不是什么新鲜的攻击方法,但对于黑客而言仍是一种非常有效的攻击手段,也是现阶段危害最高的一种攻防类型。
近些年,撞库攻击仍呈上升趋势,根据Arkose Labs最新的攻击趋势报告《2022年第二季度欺诈和账户安全状况》显示,2022年第一季度撞库攻击比过去两年的平均水平高出30%(跨行业)。
对于个人而言
通过重复使用从其他网站泄露的账号密码,攻击者可以非法接管用户的账户,盗取账户内的实际资产或者虚拟资产,直接造成用户经济损失。入侵账户同时可以获取更多敏感信息,如身份信息、银行卡详情等,用于进行更广泛的欺诈活动,给用户带来隐私泄露和持续被盗风险。
对于企业而言
客户账户遭遇撞库会让企业声誉受损,因为用户会认为是企业安全防护不力。如果攻击入侵了企业核心系统,可以破坏删除关键业务数据,导致企业服务中断,影响正常运营。同时根据监管要求,企业面临用户隐私数据泄露的处罚风险。攻击事件后,企业还需要增加客服和技术人员资源进行处置,增加后期成本。
对于国家而言
大规模的撞库攻击可能导致大量账户和虚拟资产被盗,影响国家经济金融安全;同时海量的用户个人信息被非法获取,国家数据主权与安全受到侵犯。撞库获取的身份信息还可能被用来进行更大规模的社会工程欺诈,构成对国家治安的隐患。
这也就不难理解为什么许多黑客明知撞库盗号、盗取信息是违法行为,但仍前赴后继了。
本篇就来重点扒一扒撞库到底有哪些攻击手法,又该如何防范?
# 撞库产业链形成的原因用户账户密码重复利用
很多用户会在不同网站使用同一组用户名和密码,这为撞库攻击提供了条件,使账户资料可以重复使用。
大量账号泄露
通过数据库被入侵、木马病毒等方式,许多网站和服务的用户账户不断被泄露,这成为撞库攻击的资源。
攻击技术简单
使用Python等语言可以轻松编写撞库攻击脚本,实现自动批量验证账户,技术门槛不高。
攻击成本极低
撞库攻击只依赖已泄露的账号,不需要自行获取,所以攻击成本很低。
攻击利润丰厚
通过撞库成功接管虚拟货币账户就可以直接盗取资产,获利可观。
地下交易发达
暗网论坛存在发达的账户交易市场,可以轻松购买各类已泄露账户。
防护意识淡薄
许多用户和企业没有意识到撞库威胁的严重性,导致防范不足。
攻击隐蔽性强
撞库攻击难以被察觉,增加了攻击的成功率和受益期。
# 撞库攻击的危害账户接管
获得他人账户的登录控制权,成为账户的实际操作者,可以进行各种账户内的活动,而不被账户原主发现。
虚拟商品盗窃
接管拥有比特币、以太币或者游戏币等虚拟资产的在线钱包,直接转移或交易账户内的数字货币,换取真实货币。
个人信息盗取
查看账户内的私人信息,如联系方式、家庭地址、信用卡信息等,继续进行身份欺诈或账户绑定。
身份盗用
使用盗取的他人身份信息,进行各类欺诈行为,如金融账户开设、贷款申请、手机绑定等。
盗刷购物充值
使用他人账户进行各类虚拟商品的消费购买,或对游戏、应用进行虚拟货币的充值购买。
持续控制账户
作为后门方式长期控制账户,进行持续的违规操作,账户原主通常难以察觉或断掉控制。
数据毁损破坏
通过账户权限进一步登入系统,删除或修改重要数据,造成数据损坏、服务瘫痪等破坏效果。
利用高权限账户
接管管理员等权限级别的系统账户,进行更大范围的违规操作。
# 撞库常见攻击类型账号密码组合撞库
这是最基本的撞库手段,直接使用被盗取或泄露的用户名和密码明文进行登录尝试。这种撞库成功概率最高,前提是需要获得大量真实可用的账号密码组合。
仅账号撞库
攻击者只获得了用户名列表,没有对应密码。这时可以针对获取的账号,使用密码字典或规则进行暴力破解猜解密码。这需要理解目标系统的密码复杂度规则。
大量账号泄露
通过数据库被入侵、木马病毒等方式,许多网站和服务的用户账户不断被泄露,这成为撞库攻击的资源。
重放攻击
先使用正常手段登录目标系统,捕获并记录下真实用户的登录请求数据包。然后对这些请求数据进行重播,尝试利用这些合法数据包继续登录系统。
会话劫持
通过一些手段如XSS、CSRF劫持目标用户的登录会话,直接利用真实用户的登录状态进行非法操作。这通常需要结合一些网站漏洞进行利用。
密码哈希值撞库
密码数据库被盗取后,攻击者获得的是密码的哈希值而非明文。这时可以对明文密码进行哈希运算,与泄露哈希进行匹配验证。
验证码撞库
某些登录页面包含验证码机制。如果验证码算法规则被破解,攻击者可以重放使用泄露的验证码数据来绕过验证码保护。
API密钥撞库
API接口认证如果仅依赖于接口密钥,被盗取的密钥可以被直接用于未授权访问接口。这是对API安全的大威胁。
# 撞库攻击产业链近些年随着爬虫技术和相关产业的迅猛发展,黑产“正规军”占比已越来越大,这些团伙手中掌握大量的自动化攻击资源,整个产业链上下游分工精细,协同流畅,普通企业防御起来的难度也在迅速上升。
这里简单讲下撞库攻击产业的几个链条,和每个链上的不同分工。
撞库账户密码源头
这是撞库产业链的源头,有以下几种方式获取账号密码。通过黑客入侵数据库获取账户密码,也会使用病毒木马钓鱼等方式在用户设备上窃取信息。或者在地下论坛等渠道购买这些账户资料。以及大型网站、在线服务、游戏平台等拥有海量用户的场所。
撞库交易平台
在暗网论坛和秘密聊天平台进行账户交易,像正常商品一样有供需关系。卖家会按账户类型、平台、新鲜度等标价,买家购买后可验证有效性。常见商品包括银行账号、邮箱账号、社交媒体账号、游戏平台账号等。
撞库测试平台
攻击者会批量导入购买的账户,利用该平台自动进行活跃度测试。通过模拟登录不同平台验证账户的可用性,过滤出仍然有效的活跃账户。以便仅保留有价值的账户,优化后续的撞库攻击成本。
撞库攻击服务
攻击者可以直接委托该类平台,由其提供撞库攻击的技术服务。平台使用专业工具对目标网站发起大规模的账号密码组合撞击。客户只需提供撞库账户和指定目标,就可实现撞库攻击。
盗刷交易平台
凭借撞库夺取的账户控制权,在这里重新交易、倒卖这些账户。购买账户的用户可以直接利用它们进行盗刷,或挪用受害者的个人信息。最终账户资源被消费、提取价值,完成整个地下产业链。
被攻击网站
包括电商网站、内容社区、SaaS应用等撞库攻击的终点目标。这些网站面临用户账户被盗、网站业务遭破坏等风险。需要采取防护手段,提高密码系统和业务流程的安全性。
# 如何防护撞库攻击?据统计,撞库攻击的成功率通常为1%到3%,但动辄数千万甚至上亿的泄露数据,最终成功的攻击可达上万,对于企业和个人来说危害性非常大。下面这几招,可以作为防撞库攻击的参考和思路:
避免账号密码复用
用户不要在不同系统重复使用同一组账号密码,可以降低撞库扩散面。
强化密码复杂度
增加密码长度,要求混合大小写字母、数字和特殊符号,设置密码过期策略,降低撞库成功率。
验证码
验证码是防御自动化工具的第一道门槛,单次撞库期间的登录请求量至少是百万级别的,这么大的量级一定是程序自动操作。验证码用于识别是人还是机器,在拦截撞库中发挥很大作用。通过增加验证码套数、更换验证码类型等方式,能够很好地阻止攻击。不过需要防止验证码被破解的问题,可以适当增加验证码生成的难度。
部署防御自动化攻击安全产品
瑞数信息作为Bots自动化攻击防护领域的专业厂商,通过独特的动态技术(包括:动态验证、封装、混淆、令牌四大动态技术),企业可实现对攻击者的多种动态干扰功能,如:web代码混淆、JS混淆、前端反调试、Cookie混淆、中间人检测等。
例如,基于瑞数信息“动态验证”和“动态令牌”,运行环境验证,就能有效甄别“人”还是“自动化”攻击,大幅提升攻击难度与成本。同时,利用“动态混淆”技术,将黑产每一次获取的信息都动态加密,让黑产无法获取真实信息,有效打击撞库等自动化攻击行为。
登录策略限制
基于IP、用户常驻城市、用户常用设备、登录频率、登录结果等信息,以策略的方式对登录行为进行限制。
常见的策略例子如:短时间内,同一IP上登录了多个不在常驻城市且不在常用设备上的用户,并且登录结果全是失败,可以认为这些登录全是撞库并且是危险IP。
瑞数信息可通过业务威胁感知、群控模型、聚类分析指纹和IP对应关系、分析页面输入行为、定制可编程对抗策略等方式,实时识别和拦截模拟合法操作的异常行为,并梳理出黑产名单。
在密码破解方面,通过准确的人机识别技术,可不依赖频率阈值的情况下对密码破解攻击进行拦截,可实现首次破解即被拦截的效果。
同时,瑞数信息还可以通过指纹溯源关联的形式,对整个攻击团伙做攻击画像,精确定位攻击者身份,对攻击者设备指纹直接做封*。
多因素身份验证(MFA)
除了用户名密码,增加诸如短信验证码、生物识别等额外认证因素,提高登录难度。多因素身份验证相当于在密码之外,增加第二个或者更多的身份验证,这样一来,即便是用户的登录凭证被盗,攻击者仅知道简单的用户名与密码组合也不足以成功发起撞库攻击。
防撞库不是依靠单一的功能就能实现,需要多种手段叠加之后才能达到预期的效果。建议企业进行多层次纵深防御,从基本的密码管理,到账户管理,再到安全验证,每一个层面都可能成为企业安全最关键的一道防护墙。瑞数信息“动态安全 AI”技术能够有效帮助企业提升防撞库能力,真正实现从人防到技防,从被动到主动。
