您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

什么是撞库及撞库攻击的基本原理

时间:2022-07-08 14:50:04  来源:网易号  作者:埃文科技

6月26日晚,我国大型聊天软件QQ出现了大规模盗号情况,而且是在QQ号本人在线时出现了被盗情况。

6月27日中午,腾讯QQ发布声明称:6月26日晚上10点左右,收到部分用户反馈QQ号码被盗。QQ安全团队高度重视并立即展开调查,发现主要原因是用户扫描过不法分子伪造的游戏登录二维码并授权登录,该登录行为被黑产团伙劫持并记录,随后被不法分子利用发送不良图片广告。

为什么扫描不法分子伪造的游戏登录二维码并授权登录,就会被盗号呢?

大家在新的平台申请账号密码的时候,通常可以选择关联其他平台账号,直接登录。这时,此平台就会保留其他平台的账号数据。通过扫描伪造的二维码授权信息后,不法分子就能获得你真正的账号密码。

来自数美科技黑产研究院专家宇航在接受新闻采访时分析认为,QQ生态相对来说较为开放,本身用户体量大。由于生态非常开放,用户数据不仅可以授权给很多游戏平台,还可以授权给其他第三方社交媒体平台,在授权的过程中,用户的数据也顺带授权过去。

该专家分析称,“此次事件暴露出来的问题,本身更多的责任可能并不在于QQ,而是在QQ授权的第三方平台。”该专家表示,在这样多的应用相互交互的情况下,去做数据安全包括账号的安全,难度会大非常多。

正如专家所说,现在的互联网环境十分复杂,各个平台可以相互授权信息,为何第三方的数据库安全会如此重要?因为在互联网中有一种攻击是通过第三方泄露出去的数据造成其他平台账号被攻击,账号被盗,这种攻击叫做“撞库”。

撞库的基本原理

撞库是一种常见的网络攻击方式,犯罪分子会使用自动化系统和被破解的登录凭据访问在线账户。

简单来说黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的账号密码。很多用户在不同网站使用的是相同的账号密码,因此黑客可以通过获取用户在A网站的账户尝试登录B网址,这就可以理解为撞库攻击。撞库攻击取决于密码的重复使用,受害者常为多个在线账户设置相同的用户ID和密码组合。

但是撞库成功需要的一个前提就是拖库。


 

什么叫拖库及拖库与撞库的关系?

撞库中黑客用于尝试的用户及密码来源于拖库,而拖库本来是数据库领域的术语,指从数据库中导出的数据。

拖库是撞库的基础,是进行撞库攻击的必要条件。拖库实现起来比撞库复杂得多,手段和方法也非常多,常用的是社工流拖库和技术流拖库。社工流拖库以欺诈、网站仿冒、钓鱼、重金收购、免费软件窃取等为主要手段;技术流拖库则以入侵、攻击为主,如远程下载数据库。利用Web Services 漏洞、服务器漏洞,挂马、病毒、木马后门等技术手段和方法。

通过拖库获取用户的信息后,撞库的实现就比较简单了。当前多数撞库以单脚本登录验证、分布式脚本登录验证,自动代理登录验证,甚至人肉验证等方式来显示。同时Sentry MBA或SNIPR等免费自动化工具让犯罪分子能更加轻松地尝试登录信息并验证被盗凭据。

综合来看,“撞库”操作简单、成本较低,其对数据库的攻击只需要经过“拖库”——攻破网站、“洗库”——数据处理分析,然后就可以进行“撞库”。


 

撞库的危害

2017年12月至2019年11月间,Akama i观察到854亿2207万余次撞库攻击,中国是API恶意登陆的三大“重灾区”之一。

因为撞库是以个人信息为前提,而我国的大规模个人信息泄漏事件并没有就此停止。而且联网近三分之二用户都在重复使用他们的密码所以撞库看似简单,但是成功率却很高。

曾经12306 数据泄露事件确认为撞库攻击,泄露的数据包括用户帐号、明文密码、身份证邮箱等大量用户资料。

京东的账号被盗事件同理,只不过京东的数据库并没有泄漏。黑客通过别的渠道获取泄漏的数据库来实施“撞库”攻击,然后成功获取到了一些京东用户的密码。

结论:

撞库的损失不是一家之过,对于个人用户而言密码安全意识不强,设置密码过于简单、多个网站长期使用同一账号密码登录;对于平台来说,登录时IP地址验证、设备验证等安全防御手段不到位;对于监管来说,虽然《个人信息保护法》已出台,但是网络上还存在着大大小小的暗网出售居民个人信息。

所以个人用户要加强对账号密码的保护,设置密码时,避免过于简单、易猜;养成定期更改密码的习惯;根据账号重要性、是否涉及财产等分级管理,避免一码多用;在公共设备上登录个人账号时,不要勾选“记住密码默认登录“等选项,尽可能选择匿名登录。

对于平台可以在用户登陆环节添加IP地址与GPS交叉核验,以此来核验用户的真实位置;对于监管部门来说可以加大惩治力度,震慑犯罪分子。



Tags:撞库   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
户外服装品牌TheNorthFace遭遇撞库,揭秘撞库黑色产业链条
前言:近期户外服装品牌TheNorthFace遭遇撞库攻击,thenorthface.com网站上有200,000个账户被黑。撞库攻击到底是如何成功窃取账户数据的?近期户外服装品牌TheNorthFace遭遇撞库...【详细内容】
2022-09-16  Search: 撞库  点击:(345)  评论:(0)  加入收藏
什么是撞库及撞库攻击的基本原理
6月26日晚,我国大型聊天软件QQ出现了大规模盗号情况,而且是在QQ号本人在线时出现了被盗情况。6月27日中午,腾讯QQ发布声明称:6月26日晚上10点左右,收到部分用户反馈QQ号码被盗。Q...【详细内容】
2022-07-08  Search: 撞库  点击:(273)  评论:(0)  加入收藏
倾家荡产、隐私全无?独家揭秘撞库攻击
“撞库”在网络安全中是一个古老的概念,按中文的字面意思解读,就是“碰撞数据库”的意思。“碰撞”意味着碰运气,即不一定能成功;而“数据库”中往往存储着大量敏感数据,比如我们登录一个网站所需要的用户名、密码,再比如手...【详细内容】
2020-03-07  Search: 撞库  点击:(402)  评论:(0)  加入收藏
无知无觉的麻瓜们,知道什么是“撞库”以及法院如何裁判撞库吗?
在黑客的世界里,我们都是“麻瓜”,更糟糕一点,就是被人剪了羊毛而犹不自知的羔羊。“撞库”是指黑客利用一些互联网用户在不同网站使用相同的账号密码的漏洞,通过收集互联网已泄...【详细内容】
2019-11-07  Search: 撞库  点击:(665)  评论:(0)  加入收藏
如何利用开源风控系统(星云)防止撞库?
“撞库”是非常常见的一种黑产攻击事件。在常见的安全防护中,安全团队通常会在登陆接口设置安全策略来应对攻击。可是,一旦黑产更换攻击规则,就会导致策略失效。在这种的情况下...【详细内容】
2019-07-04  Search: 撞库  点击:(1073)  评论:(0)  加入收藏
▌简易百科推荐
保护隐私,从微信朋友圈开始
在这个信息化高速发展的时代,微信已经成为了我们生活中不可或缺的一部分。无论是工作沟通、亲友联络,还是日常的消遣娱乐,微信都扮演着重要的角色。而微信朋友圈,更是成为了我们...【详细内容】
2024-04-08    松鼠宝贝  Tags:微信朋友圈   点击:(9)  评论:(0)  加入收藏
加密领域的热门概念和创新应用
在当下快速发展的加密货币领域,BTC Layer 2(二层)概念、比特币商业场景型的应用、DePIN以及AI领域的全球GPU算力调度网等项目备受关注,被视为具有巨大潜力的创新方向。让我们一...【详细内容】
2024-03-20  曜楠科技    Tags:加密   点击:(18)  评论:(0)  加入收藏
让隐私数据不再裸奔!一文掌握加密技术,让你的隐私高枕无忧
随着互联网的普及和数字化进程的加速,加密技术已经成为我们生活中不可或缺的一部分。从保护个人隐私到保障国家安全,加密技术都发挥着至关重要的作用。今天,我们就来一起盘点一...【详细内容】
2024-02-19  媺媺熊    Tags:隐私数据   点击:(1)  评论:(0)  加入收藏
人人都该懂密码学,通用密码学原理与应用实战|完结无密
来百度APP畅享高清图片//下栽のke:http://quangneng.com/4061/标题:人人都该懂密码学:通用密码学原理与应用实战在当今数字化的世界中,密码学已经成为了信息安全的核心。不论是...【详细内容】
2024-02-06  阿小白    Tags:密码学   点击:(51)  评论:(0)  加入收藏
笔记本电脑如何设置开机密码
在信息化时代,笔记本电脑已经成为我们工作、学习和生活中不可或缺的工具。然而,与此同时,信息安全问题也日益突出。为了保护个人隐私和重要数据,设置开机密码成为了必不可少的一...【详细内容】
2024-01-30  雨后海棠    Tags:开机密码   点击:(34)  评论:(0)  加入收藏
什么是密钥扩展?如何确保密码安全?
译者 | 陈峻审校 | 重楼为了访问自己的数字账户,我们通常需要用到密码或口令。不过,正如现实生活中开锁的钥匙可能并不总是牢靠一样,并非所有的密码都是安全的。为了加强在线防...【详细内容】
2023-12-22    51CTO  Tags:密码   点击:(89)  评论:(0)  加入收藏
SQL注入漏洞的检测及防御方法
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库...【详细内容】
2023-12-01  兰花豆说网络安全  微信公众号  Tags:SQL注入   点击:(117)  评论:(0)  加入收藏
网络安全秘籍:打造隐私防护墙,保卫您的个人信息!
随着互联网的普及,越来越多的个人信息被储存在网络上。这些信息包括我们的通讯地址、购物记录、银行账号等,一旦被黑客窃取,后果将不堪设想。那么,如何保护个人隐私免受网络攻击...【详细内容】
2023-11-21  白面知识铺    Tags:网络安全   点击:(200)  评论:(0)  加入收藏
在数字时代,如何确保您的个人数据安全
随着我们生活中越来越多的信息数字化,个人隐私保护成为一个不容忽视的重要话题。无论是网络购物、社交媒体还是在线银行,我们的大量个人数据都在网络上流动。那么,如何保护我们...【详细内容】
2023-10-30  万花筒娱圈    Tags:个人数据   点击:(271)  评论:(0)  加入收藏
密码的末路!谷歌将密钥设为所有用户的默认登录方式
作者丨Carly Page编译丨诺亚近日,谷歌宣布,密钥正在成为所有用户的默认登录方法。因此,密钥也被这家科技巨头吹捧为密码“终结的开始”。密钥是一种防网络钓鱼的密码替代品,允许...【详细内容】
2023-10-19    51CTO  Tags:密钥   点击:(238)  评论:(0)  加入收藏
站内最新
站内热门
站内头条