上周末，黑產(chǎn)利用撞庫攻擊，竊取了大麥網(wǎng)的用戶個人信息。并利用竊取到的信息，偽裝成大麥網(wǎng)客服成功騙取了147.42萬元。據(jù)了解，全國各地共有39名用戶受騙，單人受騙金額最高達10萬元。事件發(fā)生后，大麥網(wǎng)很快對事件發(fā)生原因做了回應。并在后續(xù)聲明中表示，為了盡快緩解此次事件對用戶造成的經(jīng)濟壓力，大麥網(wǎng)董事會決定對所有造成實際經(jīng)濟損失的用戶實行“先行承擔用戶損失”的措施，由大麥網(wǎng)向用戶墊付被騙資金。

“撞庫”是一種在互聯(lián)網(wǎng)中常見的黑客攻擊方式。發(fā)生在上個月的扎克伯格社交賬號被黑事件與“京東假客服”事件的起因都是撞庫攻擊。

所謂的撞庫是指黑客通過手機網(wǎng)上已經(jīng)泄露的用戶和密碼信息，集合成為“社工庫”，針對目標網(wǎng)站用戶登錄頁面不停的嘗試登錄，只要有一次匹配成功，就成功竊取到用戶信息。

對于習慣于在不同賬戶使用相同密碼的用戶來說，其個人資料很容易被黑客“撞庫”獲得。

       撞庫攻擊流程圖，來自Freebuf

而黑客“撞庫”所獲得的信息，通常與“拖庫”與“洗庫”有關。

“拖庫”是指黑客入侵有價值的網(wǎng)絡站點，把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為，因為諧音，也經(jīng)常被稱作“脫褲”，在取得大量的用戶數(shù)據(jù)之后，黑客會通過一系列的技術手段和黑色產(chǎn)業(yè)鏈將有價值的用戶數(shù)據(jù)變現(xiàn)，這通常也被稱作“洗庫”。

安全專家曾告訴雷鋒網(wǎng)，獲取一個網(wǎng)站數(shù)據(jù)庫內的數(shù)據(jù)并不一定需要非常高深的技術以及成本，一個掌握一些基礎黑客技術的人再加上一個功能強大效率較高的黑客工具，即可完成“脫褲”任務。

上述攻擊手法，幾乎可以應用在任何一家網(wǎng)站登錄系統(tǒng)。用戶在不同網(wǎng)站登錄時使用相同的用戶名和密碼，就相當于給自己配了一把“萬能鑰匙”，一旦丟失，后果可想而知。所以，防止撞庫攻擊，是一場企業(yè)與用戶必須要面對的持久戰(zhàn)。

安全專家建議，對于企業(yè)來說，

可以通過增強登錄入口識別能力的方法來提高登錄入口的安全性，如增加圖片驗證碼，與驗證碼生成的強度等。這樣可以有效避免黑客通過代理登錄獲取用戶個人信息。從而效規(guī)避撞庫攻擊；

還可以通過自動識別異常IP方式，掃描到單位時間內頻繁登錄的異常IP。對于異常的IP，整理一個非常嚴格的庫，甚至直接禁止這些IP訪問網(wǎng)站；

還有一點需要注意的是，企業(yè)應該有意識地避免與“安全級別低”的網(wǎng)站建立聯(lián)系，針對“安全級別中等”的網(wǎng)站，則可以采用OAUTH協(xié)議授權登錄的方式，與以往的授權方式不同， OAUTH的授權不會讓第三方觸及到用戶的帳號信息（如用戶名與密碼），我們常見的微信授權登錄、微博授權登錄就是這種形式的典型代表。

對于用戶來說，

不要在多個網(wǎng)站設置同一個登錄密碼，并要形成設置高強度的密碼的習慣，如形式上使用大寫字母、小寫字母、數(shù)字、非數(shù)字符號的組合n涉及重要個人信息的賬戶，應經(jīng)常修改密碼，每月或每一季更換一次；

在不同的網(wǎng)絡系統(tǒng)使用不同的密碼，對于重要的賬戶使用更為安全的密碼，不將密碼保存在公共設備上，常規(guī)瀏覽器保存密碼沒有一個很好的加密策略，這往往為黑客破解密碼大開方便之門；

使用更安全的認證方式，如果覺得密碼太復雜記不住，可以采用掃描二維碼登錄、刷臉登錄、指紋識別登錄，不要輕易點擊陌生的網(wǎng)址，通過陌生電源充電時，不要點擊信任，或允許其進入USB調試模式。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。