上周末，黑產(chǎn)利用撞庫攻擊，竊取了大麥網(wǎng)的用戶個人信息。并利用竊取到的信息，偽裝成大麥網(wǎng)客服成功騙取了147.42萬元。據(jù)了解，全國各地共有39名用戶受騙，單人受騙金額最高達10萬元。事件發(fā)生后，大麥網(wǎng)很快對事件發(fā)生原因做了回應(yīng)。并在后續(xù)聲明中表示，為了盡快緩解此次事件對用戶造成的經(jīng)濟壓力，大麥網(wǎng)董事會決定對所有造成實際經(jīng)濟損失的用戶實行“先行承擔用戶損失”的措施，由大麥網(wǎng)向用戶墊付被騙資金。

“撞庫”是一種在互聯(lián)網(wǎng)中常見的黑客攻擊方式。發(fā)生在上個月的扎克伯格社交賬號被黑事件與“京東假客服”事件的起因都是撞庫攻擊。

所謂的撞庫是指黑客通過手機網(wǎng)上已經(jīng)泄露的用戶和密碼信息，集合成為“社工庫”，針對目標網(wǎng)站用戶登錄頁面不停的嘗試登錄，只要有一次匹配成功，就成功竊取到用戶信息。

對于習(xí)慣于在不同賬戶使用相同密碼的用戶來說，其個人資料很容易被黑客“撞庫”獲得。

       撞庫攻擊流程圖，來自Freebuf

而黑客“撞庫”所獲得的信息，通常與“拖庫”與“洗庫”有關(guān)。

“拖庫”是指黑客入侵有價值的網(wǎng)絡(luò)站點，把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為，因為諧音，也經(jīng)常被稱作“脫褲”，在取得大量的用戶數(shù)據(jù)之后，黑客會通過一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價值的用戶數(shù)據(jù)變現(xiàn)，這通常也被稱作“洗庫”。

安全專家曾告訴雷鋒網(wǎng)，獲取一個網(wǎng)站數(shù)據(jù)庫內(nèi)的數(shù)據(jù)并不一定需要非常高深的技術(shù)以及成本，一個掌握一些基礎(chǔ)黑客技術(shù)的人再加上一個功能強大效率較高的黑客工具，即可完成“脫褲”任務(wù)。

上述攻擊手法，幾乎可以應(yīng)用在任何一家網(wǎng)站登錄系統(tǒng)。用戶在不同網(wǎng)站登錄時使用相同的用戶名和密碼，就相當于給自己配了一把“萬能鑰匙”，一旦丟失，后果可想而知。所以，防止撞庫攻擊，是一場企業(yè)與用戶必須要面對的持久戰(zhàn)。

安全專家建議，對于企業(yè)來說，

可以通過增強登錄入口識別能力的方法來提高登錄入口的安全性，如增加圖片驗證碼，與驗證碼生成的強度等。這樣可以有效避免黑客通過代理登錄獲取用戶個人信息。從而效規(guī)避撞庫攻擊；

還可以通過自動識別異常IP方式，掃描到單位時間內(nèi)頻繁登錄的異常IP。對于異常的IP，整理一個非常嚴格的庫，甚至直接禁止這些IP訪問網(wǎng)站；

還有一點需要注意的是，企業(yè)應(yīng)該有意識地避免與“安全級別低”的網(wǎng)站建立聯(lián)系，針對“安全級別中等”的網(wǎng)站，則可以采用OAUTH協(xié)議授權(quán)登錄的方式，與以往的授權(quán)方式不同， OAUTH的授權(quán)不會讓第三方觸及到用戶的帳號信息（如用戶名與密碼），我們常見的微信授權(quán)登錄、微博授權(quán)登錄就是這種形式的典型代表。

對于用戶來說，

不要在多個網(wǎng)站設(shè)置同一個登錄密碼，并要形成設(shè)置高強度的密碼的習(xí)慣，如形式上使用大寫字母、小寫字母、數(shù)字、非數(shù)字符號的組合n涉及重要個人信息的賬戶，應(yīng)經(jīng)常修改密碼，每月或每一季更換一次；

在不同的網(wǎng)絡(luò)系統(tǒng)使用不同的密碼，對于重要的賬戶使用更為安全的密碼，不將密碼保存在公共設(shè)備上，常規(guī)瀏覽器保存密碼沒有一個很好的加密策略，這往往為黑客破解密碼大開方便之門；

使用更安全的認證方式，如果覺得密碼太復(fù)雜記不住，可以采用掃描二維碼登錄、刷臉登錄、指紋識別登錄，不要輕易點擊陌生的網(wǎng)址，通過陌生電源充電時，不要點擊信任，或允許其進入USB調(diào)試模式。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。