一套密码打天下?小心“撞库”盗号
一套密码打天下?小心“撞库”盗号
近日,北京警方成功破获一起涉及1300多万次攻击的撞库案件,30多万个注册账号被成功匹配。这起案件揭示了撞库攻击这一网络威胁手段的危害性。
什么是撞库攻击
所谓撞库攻击,是指黑客通过收集互联网已泄露的用户账号及密码信息,生成对应的字典表,尝试批量登录其他网站,以盗取账号的一种黑客攻击行为。简单来说,就是黑客拿着用户在A网站的账号密码,到B、C、D、E等平台尝试登录的过程。
那么,撞库攻击中用于尝试登录的账号和密码从何而来?撞库攻击需要的这些源数据主要通过3种方式获取:一是黑市购买,二是同行交换,三是自行入侵网站窃取。随着网站数据库泄露事件频繁发生,加上地下黑色产业日渐成熟,撞库攻击逐渐成为主流的盗号方式。
黑客盗取到大量账号后,通常会对这些账号进行分类,最后以不同方式变现。例如,游戏类的账号用于转移虚拟货币、出售游戏账号、盗取装备;金融类的账号用来进行金融犯罪和诈骗;其他类型的账号直接出售给专门的广告投放公司,用于发送广告、垃圾短信、电商营销等。
对个人用户来说,撞库攻击会导致个人密码泄露、账号被盗,进而造成财产或名誉损失;对企业来说,不仅会造成用户信息等商业秘密的泄露,还会对企业的声誉和形象造成严重损害。
防范撞库攻击这样做
防范撞库攻击,是企业与用户必须面对的一场持久战。
从企业防护角度看,应强制提高用户密码的强度,并要求用户定期更换密码;在账号相关接口加强人机防控策略,识别并拦截攻击者的“机器流量”;重要业务流程采用二次验证,如转账前通过人脸识别、指纹声纹、验证码、身份证末位数字验证等机制来确认当前操作来自账号拥有者;和专业安全厂商合作,借助安全工具防范攻击。
从个人用户自我保护角度看,设置密码时,应避免过于简单、易猜,最好使用大小写英文字母加数字混合的组合密码,发现账号存在异常要及时联系平台客服;养成定期更改密码的习惯,并根据账号重要性、是否涉及财产等情况进行分级管理,杜绝一码多用;在公共设备上登录个人账号时,留意不要勾选“记住密码”“默认登录”等选项,尽可能选择匿名登录。