拖庫、撞庫、洗庫，從某站被黑了解黑產運行

一、事件始末

小白：大東東，今天早上興高采烈的起來打開A站看片，結果你看看，這是什麼情況？

AcFun 受黑客攻擊致用戶數據外泄的公告

大東： 6月13日凌晨，AcFun 發布公告稱網站遭遇黑客攻擊，近千萬條用戶數據外泄。目前已報警處理。

小白：是啊，怎麼會發生這種事兒？

大東：上一次被大家關注的大規模的拖庫事件應該是2011年某 sdn 的賬號密碼明文泄露。

小白：拖庫?

大東：拖庫，本來是資料庫領域的專用語，指從資料庫中導出數據。而現在它被用來指網站遭到入侵後，黑客竊取資料庫的行為。

小白：奧奧，這個意思啊。那是所有用戶的賬號數據都被泄露了？

大東：AcFun 表示泄露的數據包括用戶 ID、昵稱以及加密存儲的密碼。同時公告也提示用戶，所有的密碼都是經過加密的。沒有明文密碼。

小白：雖然密碼被泄露了，但是密文密碼是不是比明文密碼安全些...

大東：單純的小白，數據都能拖拽出來，你密碼還能解不開？

小白：也對哈。所以A站呼籲大家，如果在其他網站使用與A站相同的密碼，應該及時修改。

大東：快改快改。

數據售價飈至40萬

大東：密碼泄露的風險眾所周知。特別是現在互聯網要求實名註冊。除了你在這個網站的所有信息一覽無餘，收藏賬號還會暴露你的各種小愛好。

小白：是啊，總是有騙子給我打電話推銷，她不僅知道我電話，還知道我的名字和身份證號。

大東：不僅如此，攻擊者還把你的信息納入社工庫，通過撞庫來獲取你在其他網站的密碼或信息，進而實施釣魚等一系列攻擊，最終讓你遭遇財產或者其他損失……

小白：社工庫？撞庫？這都是什麼東東？

大東：來來來，趕緊給你補補課。

二、一個密碼走天下 易被「撞庫」

大東：先讓我們先來看一下相關的名詞～拖庫剛剛介紹過了，還有撞庫、洗庫和社工庫。

小白：啥是撞庫？

大東：撞庫就是使用大量的一個網站的賬號密碼，去另一個網站嘗試登陸。

小白：那洗庫和社工庫又是什麼意思？

大東：洗庫是黑客入侵網站在取得大量的用戶數據之後，通過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現。社工庫是黑客將獲取的各種資料庫關聯起來，對用戶進行全方位畫像。

小白：原來是這樣啊！

大東：這些「庫」再聯合拖庫就可以形成一個黑色產業鏈！

小白：黑色產業鏈？這個黑色產業鏈是怎麼運行的呢？

大東：給你看張圖你就明白了。在早些年，盜取他人賬號主要靠木馬，密碼字典則靠軟體生成，而隨著近幾年頻繁出現網站資料庫泄漏事件，撞庫攻擊逐漸成為主流的盜號方式。撞庫攻擊也成為賬號類攻擊的重要一環，下圖是整個賬號類攻擊鏈條：

黑色產業鏈

小白：入侵者尋找目標系統，對目標系統的網站拖庫嗎？

大東：沒錯，黑客入侵A網站後對網站拖庫，拿到的數據可以存到自己的社工庫里，也可以直接洗庫變現。拿到的這部分數據再去B網站嘗試登陸，而這就可以稱之為是撞庫。撞庫後的數據可以繼續存入社工庫，或是洗庫變現，以此循環...

小白：那暴力破解和撞庫有什麼區別呢？

大東：暴力破解與撞庫的差別也就是：撞庫的密碼庫是已經準備好的，而暴力破解的密碼是實時生成的而已。

小白：原來是這樣。大數據時代衍生出的產業真的是令人「刮目相看」。感覺自己在「裸奔」呢。

大東：這就是為什麼A站強烈建議賬號安全存在隱患的用戶及時修改密碼的原因。不然你的密碼就被拿去撞庫了。

三、從哪兒來？到哪兒去？

小白：一個密碼走天下的時代結束了。

大東：實際上，中國有很多網站都曾出現過用戶數據泄露的情況，大部分官方都對此視而不見，這種情況下，用戶被竊據數據後，不會立刻受到損失，因此一時間用戶根本感覺不到。可能過很長一段時間後，你突然發現自己一批註冊網站同時被侵入了，可是你根本不知道原因是什麼。

小白：是啊是啊！我手機上總是收到一些莫名其妙的簡訊。騙子們知道你叫什麼、住在哪裡、買了什麼東西、花了多少錢。這些信息估計就是騙子們從撞庫得來的。

大東：很有可能。

小白：通常用來撞庫的數據非常龐大，那這些數據是怎麼來的呢？

大東：像A站這次發生的這件事來說，數據的來源就是網站被黑客攻擊後泄露得到的。其他的數據來源包括黑市上的購買和同行之間的交換。

暗網某地下數據交易市場的截圖

四、如何避免撞庫？

小白：這些黑客這麼猖狂，那該怎麼保護自己的賬號信息呢？

大東：面對撞庫攻擊，不同的主體需要不同的方法，對於企業來說，設置圖片驗證碼和現在非常常見的動態簡訊驗證碼。對異常登陸進行監控等等是很常見的避免撞庫攻擊的方法。

驗證碼

小白：棒棒的！

大東：現在很多企業也研製出了許多資料庫安全防護技術。包括資料庫漏掃、資料庫加密、資料庫防火牆、數據脫敏、資料庫安全審計系統等，每天都在線上實時地為保護客戶數據做著努力。

小白：那對於個人用戶來說呢？

大東：對於個人用戶來說，建議就是，互聯網用戶應該在不同網站，設置不同的密碼，而且要保持定期修改的習慣。

小白：這建議雖然沒毛病，但是非常反人性啊！不同的網站設置不同的密碼，我記不住啊！

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！