6月26日晚,我国大型聊天软件QQ出现了大规模盗号情况,而且是在QQ号本人在线时出现了被盗情况。
6月27日中午,腾讯QQ发布声明称QQ号码被盗主要原因是用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。
为什么扫描不法分子伪造的游戏登录二维码并授权登录,就会被盗号呢?
大家在新的平台申请账号密码的时候,通常可以选择关联其他平台账号,直接登录。这时,此平台就会保留其他平台的账号数据。通过扫描伪造的二维码授权信息后,不法分子就能获得你真正的账号密码。
QQ 生态相对来说较为开放,本身用户体量大。由于生态非常开放,用户数据不仅可以授权给很多游戏平台,还可以授权给其他第三方社交媒体平台,在授权的过程中,用户的数据也顺带授权过去。
在这样多的应用相互交互的情况下,去做数据安全包括账号的安全,难度会大非常多。现在的互联网环境十分复杂,各个平台可以相互授权信息,为何第三方的数据库安全会如此重要?是因为在互联网中有一种攻击是通过第三方泄露出去的数据造成其他平台账号被攻击,账号被盗,这种攻击叫做 “撞库”。
撞库的基本原理
撞库是一种常见的网络攻击方式,犯罪分子会使用自动化系统和被破解的登录凭据访问在线账户。
简单来说黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的账号密码。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在 A 网站的账户尝试登录 B 网址,这就可以理解为撞库攻击。撞库攻击取决于密码的重复使用,受害者常为多个在线账户设置相同的用户 ID 和密码组合。
但是撞库成功需要的一个前提就是拖库。
什么叫拖库及拖库与撞库的关系?
撞库中黑客用于尝试的用户及密码来源于拖库,而拖库本来是数据库领域的术语,指从数据库中导出数据。
拖库是撞库的基础,是进行撞库攻击的必要条件。拖库实现起来比撞库复杂得多,手段和方法也非常多,常用的是社工流拖库和技术流拖库。社工流拖库以欺诈、网站仿冒、钓鱼、重金收购、免费软件窃取等为主要手段;技术流拖库则以入侵、攻击为主,如远程下载数据库。利用 Web Services 漏洞、服务器漏洞,挂马、病毒、木马后门等技术手段和方法。
通过拖库获取用户的信息后,撞库的实现就比较简单了。当前多数撞库以单脚本登录验证、分布式脚本登录验证,自动代理登录验证,甚至人肉验证等方式来显示。
同时 Sentry MBA 或 SNIPR 等免费自动化工具让犯罪分子能更加轻松地尝试登录信息并验证被盗凭据。
综合来看,“撞库” 操作简单、成本较低,其对数据库的攻击只需要经过 “拖库”—— 攻破网站、“洗库”—— 数据处理分析,然后就可以进行 “撞库”。
撞库的危害
2017 年 12 月至 2019 年 11 月间,Akama i 观察到 854 亿 2207 万余次撞库攻击,中国是 API 恶意登录的三大 “重灾区” 之一。
因为撞库是以个人信息为前提,而我国的大规模个人信息泄漏事件并没有就此停止。而且联网近三分之二用户都在重复使用他们的密码所以撞库看似简单,但是成功率却很高。
曾经 12306 数据泄露事件确认为撞库攻击,泄露的数据包括用户账号、明文密码、身份信息邮箱等大量用户资料。
京东的账号被盗事件同理,只不过京东的数据库并没有泄露。黑客通过别的渠道获取泄露的数据库来实施 “撞库” 攻击,然后成功获取到了一些京东用户的密码。
撞库的损失不是一家之过,对于个人用户而言密码安全意识不强,设置密码过于简单、多个网站长期使用同一账号密码登录;对于平台来说,登录时 IP 地址验证、设备验证等安全防御手段不到位;对于监管来说,虽然《个人信息保护法》已出台,但是网络上还存在着大大小小的暗网出售居民个人信息。
所以个人用户要加强对账号密码的保护,设置密码时,避免过于简单、易猜;养成定期更改密码的习惯;根据账号重要性、是否涉及财产等分级管理,避免一码多用;在公共设备上登录个人账号时,不要勾选 “记住密码默认登录 “等选项,尽可能选择匿名登录。
对于平台可以在用户登录环节添加 IP 地址与 GPS 交叉核验,以此来核验用户的真实位置;对于监管部门来说可以加大惩治力度,震慑犯罪分子。