注意！API扫号攻击已成为账号安全的重要威胁

原创 永安在线 永安在线情报平台

在信息化时代，大部分平台都需要通过账号密码进行验证和登录，账号里又包含着各种重要信息如个人手机APP账户、电脑网站账户、银行卡账户密码等。账号安全的重要性也就不言而喻，如果这些信息被泄露或者是被不法分子利用，将会造成数据泄露、资金盗取、网络诈骗等风险。

从大量攻击事件分析来看，黑产的作恶手段主要是通过对API接口发起攻击，如扫号攻击、撞库攻击、盗号登录等，最终达到窃取敏感信息、盗取资金、网络诈骗、薅羊毛等目的。

下文将重点聊一聊其中的一种攻击手法——扫号攻击，它不仅会造成用户隐私泄露，还是黑产提高其攻击效率的前置手段。

什么是扫号攻击？

扫号攻击，指的是黑产通过注册、登录或其他业务接口的返回值，如“账号已存在”或“账号不存在”，“您是老用户”或‘您是新用户’等来判断某个账号（用户名、邮箱、手机号等）是否在该平台注册过。如果接口缺乏安全防护，黑产极易对接口发起大规模的扫号攻击，通过暴力枚举的方式，大量获取平台注册用户的账号。

如果平台被扫号攻击，不仅会造成用户个人隐私信息泄露，还会给用户带来资金盗用，恶意欺诈的风险，同时也会提高黑产攻击效率，从而变相提升了防护难度。

用户信息泄露。暗网或地下黑市经常会有不法分子贩卖某些平台注册用户的手机号，其中不少就是由于扫号攻击导致的信息泄露；随着手机号的泄露，平台用户也会遭遇到同行或中介的电话骚扰，甚至是电话诈骗，从而降低用户对平台安全性的信赖，造成用户大量流失；

提高黑产攻击效率，从而变相提升了防护难度。以撞库攻击为例，黑产为了避免被发现，往往会采用低频撞库的攻击方式。为了让攻击不因低频而变得低效，有经验的黑产则会先通过扫号进行过滤，然后集中针对注册的账号发起撞库攻击。

近几年，头部互联网厂商由于API接口存在问题而遭受扫号攻击的事件接二连三。从永安在线Karma情报平台近期捕获的攻击数据来看，目前全网仍存在大量的扫号攻击。

而存在这种情况的原因，主要有两方面：一是仍有不少企业的注册/登录接口的错误提示不合理；二是大量关联了注册信息的接口（如密码找回接口、验证码发送接口、活动接口等）暴露在互联网而被黑客利用。

扫号攻击现状分析

通过对永安在线Karma情报平台捕获到的攻击事件进行分析，发现扫号攻击遍布金融、游戏、电商、社交等领域，其中金融和游戏行业成为扫号攻击的重灾区。此外，黑产发起扫号攻击的接口类型日益多样化，包括注册/登录、账号查询接口、密码找回接口等。

1. 金融和游戏行业是扫号攻击的重灾区

金融行业

针对金融行业的扫号攻击，传入的账号大多都是手机号。一份金融平台的注册用户数据，即使只有手机号，也能在暗网或黑市上卖到不低的价格。

游戏行业

针对游戏行业的扫号攻击，传入的账号除了手机号之外，也有很多是邮箱账号。从永安在线Karma情报平台捕获到的情报数据来看，大多数遭受扫号攻击的游戏厂商，同时也遭受到了撞库或弱密码暴破攻击。

此外，邮箱账号还会遭受到洗号攻击：黑产会先对邮箱实施撞库攻击，获取到部分邮箱的控制权，然后再对游戏平台实施扫号攻击，“洗出”已注册的邮箱账号，最后黑产利用邮箱解绑再换绑的方式，将游戏账号永久据为己有。

2. 遭受扫号攻击的接口类型日益多样化

注册/登录接口：

目前仍然有不少企业并未对注册/登录接口的错误提示进行模糊化处理，比如某平台的登录接口，对于已注册的账号，提示“手机号码或密码不正确”；而对于未注册的账号，提示“该号码未注册，请使用验证码登录”。因此，黑产就可根据该提示判断出哪些账号是在该平台注册过的，并对这些注册账号实施撞库攻击。

账号查询接口：

常以checkusername、checkmobileIsexist、accountquery等命名，功能单一的接口，提供给注册、登录或其他业务场景调用，判断某个账号是否注册过，对于这类接口，若非必要不建议开放给外部调用。

密码找回接口：

密码找回功能的第一步，需要先校验填入的账号是否有注册过，这个信息往往会随着友好的错误提示暴露到前端，比如“您输入的账号有误，请检查后重新输入”。

验证码发送接口：

给手机发送短信验证码之前，往往也会先判断填入的手机号是否是平台的注册用户，这个信息同样有可能因为错误提示暴露到前端。

活动接口：

某些平台在开展拉新的营销活动的时候，对于新注册的用户会给予比较丰厚的奖励。因此，为了区分新老用户，业务侧有时会临时开发这样的接口：传入手机号，新老用户返回不同的结果，这种临时接口往往由于上线仓促而缺乏安全防护，给了黑产可乘之机。

扫号攻击典型案例

案例1. 黑产通过扫号获取平台注册用户手机号

近期，永安在线Karma情报平台监测到某消费金融平台存在被黑产恶意扫号的现象。该平台的密码找回接口对于未注册的账号（手机号）会提供提示，如图：

这本意上是避免用户输错手机号而给出的友好提示，通过这一提示黑产就能获取到哪些手机号已注册，哪些手机号未注册。黑产通过抓包的方式提取出相关的API接口，在接口的请求体中传入手机号，再通过响应体的字段isRegist进行判断（0表示未注册，1表示已注册）：

下面永安在线Karma平台捕获到的黑产批量伪造接口请求，发起的扫号攻击：

黑产通过扫号攻击的方式，可以批量获取到平台用户信息（手机号），并将这些信息在暗网或者地下黑市进行出售，从而给平台的用户带来负面影响，如电话骚扰，甚至是电话诈骗。

案例2. 黑产通过先扫号再撞库进行盗号

永安在线Karma情报平台还监测到某游戏公司被黑产先扫号再撞库进行盗号的现象，下图是该游戏公司的活动登录界面，用户输入账号以及其他信息之后就可以领取活动礼包：

若输入不存在的账号，系统则会提示“账号输入错误！”，黑产依此即可判断出哪些是注册账号：

从Karma情报平台捕获到攻击源 IP 可以发现都是183.146.17.148，说明此次攻击属于同一个攻击团伙作恶。该黑产团伙采取非常高效聪明的攻击手段：

黑产首先利用该活动接口进行高频扫号攻击，以此来筛选出平台的注册账号，再对筛选出来的注册账号进行集中撞库攻击。通过这种先扫号过滤账号，再进行撞库的方式，可以有效提高撞库的成功率。

下图为永安在线Karma平台捕获到的高频扫号攻击：

（由于该活动接口缺乏有效限制，黑产平均每分钟就能够发起约20次的扫号攻击。）

下图为永安在线Karma平台捕获到的低频撞库攻击：

（为了避免撞库攻击被发现，该黑产团伙对扫出来的已注册账号发起低频撞库攻击，平均3到4分钟才发起1次撞库攻击。）

扫号攻击防御建议

针对黑产的扫号攻击，企业需要做到知己知彼，从内至外进行安全防御，在内对API资产进行梳理并安全审计，在外则基于威胁情报对API进行风险感知，及时发现扫号攻击，通过内外兼治防御扫号风险，帮助企业建设账号安全体系，维护平台的健康安全发展。

知己：API资产梳理和安全审计

1、全面梳理出所有有传入账号信息的API接口，无论是账号相关的接口，还是其他业务接口；

2、对这些接口进行包括缺陷检测在内的安全审计：

1）对于处理内部业务逻辑，不是必须返回信息到前端的接口，限制外网不能访问；

2）对于必须返回信息到前端，但会暴露账号是否注册的接口内容进行模糊化处理；

3）如不能模糊化处理，需引入认证或授权机制，比如查询某个账号的相关信息时，先通过短信验证码进行身份认证。

知彼：基于威胁情报的API风险感知

1、及时发现安全视线外的扫号攻击：

黑产会寻找并利用安全防护相对缺失的API接口发起扫号攻击，比如临时上线的活动接口，需要通过情报快速发现并进行安全加固；

2、有效识别黑产伪装成正常请求的扫号攻击：

针对API接口的扫号攻击，基本都是破解和伪造接口请求，从流量上看和正常用户发起的请求没有差别。同时，黑产通过秒拨或代理IP平台获取到大量可用于攻击的IP资源，可轻易绕过针对IP的限制。因此，我们可以以情报为基础获取到黑产的攻击资源信息，从中筛选出风险流量，结合API访问行为的上下文特征可以有效识别出异常的攻击流量 。 

原标题：《注意！API扫号攻击已成为账号安全的重要威胁》

阅读原文