欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  移动技术

抖音千万级账号遭撞库攻击 黑客牟利超百万被捕

程序员文章站 2022-05-31 17:46:16
卖彩票中奖的几率是多少?千万分之一。对黑客来说,通过撞库攻击来获取平台的账号和密码,这几率要比中彩票高出不少。 今年2月,海淀警方接到北京字节跳动公司报案,后者称旗下...

卖彩票中奖的几率是多少?千万分之一。对黑客来说,通过撞库攻击来获取平台的账号和密码,这几率要比中彩票高出不少。

今年2月,海淀警方接到北京字节跳动公司报案,后者称旗下app抖音千万级外部账号遭到恶意撞库攻击,其中几百万账号密码与外部泄露密码吻合。5月底,犯罪嫌疑人汪某被警方抓获。

抖音遭撞库,黑客牟利超百万

据汪某交代,其利用掌握的计算机能力,控制了多个热门网络平台的大量账号,随后通过在网上承接点赞刷量、发布广告等业务牟利。

与此同时,汪某还编写了大量撞库代码,对包含抖音在内的各大网络平台进行撞库攻击,以此获取到更多的平台账户,累计获利超百万元。

在中国新闻网的报道中,知名信息安全专家李响称,撞库攻击实则非法牟利者一种碰运气的表现。这种方式是通过已经被泄露的部分信息,再进行其他平台的重复登录操作,一旦登陆成功则撞库成功。

“通常被黑客选作撞库对象的账号密码所有者安全意识都不高,他们很有可能将同样的账号、密码作为几个平台的通用‘钥匙’,这为撞库的成功提供了保障。”

对于撞库者而言,这些通过碰运气得到的平台账号大多没有发布过黄赌毒的相关消息,清白的历史记录让其足矣具备高利润价值。通过暗网买卖这些账号,亦或直接用它们来进行恶意内容传播、刷量等活动,是其获取暴利的最佳方式之一。

雷锋网了解到,在字节跳动系统实时监测到攻击之后,该公司通过安全系统,对所有疑似被盗账号设置了短信二次登陆验证,以阻止黑客的撞库攻击行为。

撞库攻击灰色产业链

近几年黑客尤其青睐撞库攻击的“玩法”,面对暴利,越来越多的黑客加入到对抗厂商的队列之中,使其发展成为一个几乎要取代盗号行为的巨大灰色产业链。

撞库的前提是首先获取到一批泄露的信息资源。因此,撞库地第一步就是从社工库获得“初始信息”。

一直以来,黑客们用一些工具或者自己写的程序就可以检测到网站漏洞,然后利用这个漏洞对该网站进行挖掘。并且用户量大的网站也同样会被拖库,单看前几年的数据泄露事件,就足矣大开眼界:

毕竟,世界上没有密不透风的墙,通过提权、木马病毒植入、垃圾链接生成等方法,可以很容易得到这个网站的所有用户信息(当然包括登陆账号和密码),这些信息被盗取之后就被存放在社工库中。

所以,当黑客想尝试登录某个网站或者app时,就会用”社工库”里的信息去挨个尝试登录,“撞”出一个个正确账号。

然而,面对暴利的黑产人员更加积极主动,将反抗安全的步骤做到了平台化、链条化。雷锋网得知,目前撞库黑客在各个维度都有完善的方案与厂商进行对抗。

主要分为以下几方面:

1、低安全性边缘业务或新业务——寻找其自身漏洞,一旦发现非严格审计的边缘业务接口,便绕过所有的防护措施。

2、ip对抗——许多爬虫、搜索引擎、机器人程序都有获取ip的需求。而撞库攻击获取ip资源的方法主要有扫描代理、付费代理、付费vpn和拨号vps四种。

3、验证码对抗——黑客通过图灵测试方案,不断尝试自动化破解。

4、短信验证对抗——黑产获取的手机卡主要分为流量卡、实名卡和海外卡三种,通过猫池,黑产不仅可以在不同卡之间模拟定期拨打电话,还可以进行收发短信,甚至进行一些流量的消耗。这种模拟让黑卡的使用情况趋于正常的电话卡(接码平台)。

5、模仿真人行为——通过对不同平台安全检测逻辑进行分析,越来越多自动化程序骗过了风控平台的“眼睛”。

如何防范撞库攻击?

首先,怎样才能发现撞库攻击呢?从企业的web服务视角来看,如果发现以下几种情况,基本可以判定是在撞库:

1、一个账号在某个较短的时间内,有多次密码尝试。

2、一定时间内相同密码的出现频次非常高。

3、同一个ip或同一个设备,在短时间内使用不同账号密码多次尝试登录。

简单来说,使用他人在a网站的账号密码,去b网站尝试登陆,这就是撞库攻击。这种情况下,最简单粗暴的方法就是直接在登陆接口加安全策略,如:

1、针对a情况,就限制一天之内密码错误次数。

2、针对b情况,就针对频率特别高的密码禁止登录(或者校验手机短信/密保问题之后才能登录)。

3、针对c情况,就对ip或者设备唯一id进行阈值限制,如限制1分钟内访问登录接口次数<50次。

看似简单粗暴的方法往往能够有效起到防护作用。当然,除此之外各种的风控系统也可以防止撞库攻击的发生。