- +1
华住5亿条数据泄露,背后的网络黑色产业链究竟是怎样的?
最近,央视曝光了一起离奇的电信诈骗案件。受害者既没有接到不明电话或短信,手机也没有中毒,账户里的钱莫名其妙地就被人全部盗刷。
随着调查的深入,民警发现这是违法分子利用用户在其它网站的泄漏密码使用“撞库”手段扫描用户网银的登录密码,再用非常规手段对用户网银绑定手机号修改所造成的案件。
中国人看事物,都习惯分个阴阳。往往明面上有多么繁荣,暗地里就有多么猖獗。记得年初看到一份报告《Bot Traffic Report 2016》,报告称2016年机器人流量占全网流量的51.8%,超过人类流量,而其中恶意机器人流量占据了全网流量的28.9%。
如何从庞大的恶意流量中捕获期望的数据,这件事一直深深地吸引着我们,团队为此进行着长期的研究,并在全网搭建了许多数据探针,捕获了大量第一手数据,让我们有机会窥见这个黑暗领域的一隅,从而有了黑产大数据这个系列的报告,今天的主题是:全球撞库追踪。
简单来说,使用他人在A网站的账号密码,去B网站尝试登陆,就是撞库攻击。
在早些年,盗取他人账号主要靠木马,密码字典则靠软件生成,而随着近几年频繁出现网站数据库泄漏事件,撞库攻击逐渐成为主流的盗号方式。撞库攻击也成为账号类攻击的重要一环,下图是整个账号类攻击链条:
词汇解释:拖库:黑客从有价值的网站盗取用户资料数据。
洗库:黑客将用户账户的财产或虚拟财产或账户信息本身变现。
社工库:黑客将获取的各种数据库关联起来,对用户进行全方位画像。
定向攻击:黑客根据用户画像,对特定人或人群进行针对性的犯罪活动,比如诈骗。
二、从哪来 & 到哪去
前面回答了三大哲学问题之一「X是什么」,再来看另外两大问题:
从哪里来
到哪里去
1. 撞库源数据来源
黑客要进行撞库攻击,首先需要足够的原始账号数据,我们对网络上捕获到的撞库攻击进行分析,发现原始数据来源主要有以下几点:
1)信封号产业链
信封号,就是被盗的QQ号。信封号产业链,就是QQ号盗取、销赃、并利用获利的产业链。每天互联网黑市上会有成百上千万的被盗QQ号流入该产业链,原本QQ账号密码只在腾讯内部有价值,但由于QQ邮箱的大规模使用,很多人在网站注册用户时直接使用QQ号对应的QQ邮箱和密码,导致被盗QQ号被大量直接用来进行网站撞库。
2)网站泄漏数据库
网站泄漏数据库的标志性事件是2011年 CSDN 600万用户数据泄漏,引领了当年一波数据泄漏高峰,数十个网站的用户数据被公开,大量原本只在地下流通的泄漏数据被抛到台面上,给平时并不关注此道的黑客们提供了足够的数据源切入这个方向,也因此点燃了撞库攻击的热潮。
类似事件还有2015年某邮箱数亿账号泄漏,都给黑客提供了重要的弹药资源。更何况被爆出来的数据泄漏,其实也仅仅是冰山一角。
3)地下黑市流通
数据窃取与交易这个领域几乎是地下产业链隐藏最深的部分,有不少黑客通过数据交易来构建庞大的社工库。黑客之间的私下交易我们无法得知,到底有多少网站数据已经被窃取也没法客观评估,但通过某些半公开的渠道,亦可管中窥豹。下面是暗网某地下数据交易市场的截图:
我们从近期全球数十亿次撞库攻击行为,聚合分析后,绘制了以下全球撞库攻击数据图:
1)攻击流量去向
在分析很多问题时,中国的数据相对海外都会呈现明显的差异。于是我们特地把中美两个互联网TOP 2国家的情况单独来做比较。
1)被攻击公司类型
绝大多数对中国公司的攻击都是来自国内,主要由于海外互联网公司难以进入国内市场,存在市场和语言的双重隔离,导致连黑客攻击都自成一脉,以自产自销为主。
- 私信广告
- 色情社交
- 诈骗
2. 主流防控
说完黑客的攻击方法,再来看看厂商是如何防控的。
1)主要防护措施
封IP
根据黑IP库或同IP发起的请求次数、密码错误率等决定是否一段时间内禁止该IP的请求。
验证码
最广泛部署的方案,有很多类型,例如字母扭曲、汉字识别、移动滑块、图像选择。普通厂商直接接入验证码,有后台分析能力的则在后台审计出现异常时才触发验证码以提升普通用户体验。
短信验证
建立在手机和手机号成本上的真人认证。
行为聚集
根据用户登录过程行为判断,例如页面停留时间、鼠标焦点、页面访问流程、csrf-token等。
设备聚集
通过客户端尤其是手机客户端,上报许多机器信息,识别是否存在伪造设备情况。
本质上,以上所有方案其实都是为了解决一件事情,就是判断电脑的对面是一个真实的人。
3. 主流防控的绕过
面对暴利,没有人愿意坐以待毙。和厂商一样,黑产人员面对厂商的对抗,不但积极主动,甚至做到了平台化、链条化来进行反对抗。从我们监测到的攻击行为来看,撞库黑客在各个维度都有完善的方案和厂商进行对抗,主要从下面几个方面:
1)低安全性边缘业务或新业务
面对严格的防护逻辑,最快的办法就是寻找其自身的漏洞。一旦发现非严格审计的的边缘业务接口,便绕过所有的防护措施,如入无人之境。
厂商往往在这个维度缺乏有效的监控,因为本来就是被安全部门所忽视的接口,但当我们从第三方视角对黑产流量进行大数据分析时,这种伎俩变得无所遁形,何人何时开始对新接口进行攻击都在我们的监控范围内,可以极大增强厂商对该类漏洞的反应速度。
2)IP对抗
IP地址作为互联网的紧缺资源,一直是厂商最重要的风控方案之一,如何获得大量IP出口也是黑产业者最先需要解决的问题。其实不仅仅是黑产,许多爬虫、搜索引擎、机器人程序都有类似需求。我们通过长期对大量撞库攻击的来源进行反向追踪,发现撞库攻击获取IP资源的方法主要有以下几类:
扫描代理
免费方案,通过全网扫描常见的代理服务器端口,收集可用的代理IP地址,自行管理维护,但成本高、效率低。
付费代理
代理商通过或扫描或搭建或交换的方式,提供全球的代理服务器,有效降低自行收集代理的管理成本。
付费VPN
和付费代理类似,只是技术不同。
拨号VPS
过去的两年里,我们监控到国内有一类新的IP获取方案逐渐被黑产应用,叫做拨号VPS或动态VPS。该类VPS也是一台虚拟服务器,但需要通过ADSL拨号才能上网,于是便拥有了整个城市的大量可用IP。听起来似乎并没有什么特别,你我家的ADSL也能做到,但依旧是大力出奇迹,相关供应商做到了打通全国多省市的拨号方法,俗称混拨。实现了在一台VPS中使用一个账号快速随机切换近百城市的ADSL线路拨入互联网,对很多企业的风控部门造成巨大压力。
实际使用效果如下图:
在规避后台的行为分析模型方面,黑客提交的请求早已不是仅仅填一个User-Agent就完事,从对黑客进行撞库攻击的流程来分析,为了规避后台分析,不少黑客的流程已经包括并不限于:
- csrf-token 等参数完备
- 随机的页面停留时间
- http header 严格遵守浏览器特征
- 随机化各种看起来不重要的参数
从我们对各种撞库攻击的效果分析来看,各厂商主要存在和面临如下问题:
- 登录失败时登陆接口返回敏感信息
- 帐号体系缺乏统一管理机制,经常有新业务或边缘业务绕过风控方案
- 基于IP、短信、验证码的验证变成了和专业平台对抗
- VPN提供商
- 拨号VPS供应商
- 短信接码平台
- 验证码打码平台
- ……
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问http://renzheng.thepaper.cn。
- 报料热线: 021-962866
- 报料邮箱: news@thepaper.cn
互联网新闻信息服务许可证:31120170006
增值电信业务经营许可证:沪B2-2017116
© 2014-2024 上海东方报业有限公司