上周末，黑產(chǎn)利用撞庫(kù)攻擊，竊取了大麥網(wǎng)的用戶(hù)個(gè)人信息。并利用竊取到的信息，偽裝成大麥網(wǎng)客服成功騙取了147.42萬(wàn)元。據(jù)了解，全國(guó)各地共有39名用戶(hù)受騙，單人受騙金額最高達(dá)10萬(wàn)元。事件發(fā)生后，大麥網(wǎng)很快對(duì)事件發(fā)生原因做了回應(yīng)。并在后續(xù)聲明中表示，為了盡快緩解此次事件對(duì)用戶(hù)造成的經(jīng)濟(jì)壓力，大麥網(wǎng)董事會(huì)決定對(duì)所有造成實(shí)際經(jīng)濟(jì)損失的用戶(hù)實(shí)行“先行承擔(dān)用戶(hù)損失”的措施，由大麥網(wǎng)向用戶(hù)墊付被騙資金。

“撞庫(kù)”是一種在互聯(lián)網(wǎng)中常見(jiàn)的黑客攻擊方式。發(fā)生在上個(gè)月的扎克伯格社交賬號(hào)被黑事件與“京東假客服”事件的起因都是撞庫(kù)攻擊。

所謂的撞庫(kù)是指黑客通過(guò)手機(jī)網(wǎng)上已經(jīng)泄露的用戶(hù)和密碼信息，集合成為“社工庫(kù)”，針對(duì)目標(biāo)網(wǎng)站用戶(hù)登錄頁(yè)面不停的嘗試登錄，只要有一次匹配成功，就成功竊取到用戶(hù)信息。

對(duì)于習(xí)慣于在不同賬戶(hù)使用相同密碼的用戶(hù)來(lái)說(shuō)，其個(gè)人資料很容易被黑客“撞庫(kù)”獲得。

       撞庫(kù)攻擊流程圖，來(lái)自Freebuf

而黑客“撞庫(kù)”所獲得的信息，通常與“拖庫(kù)”與“洗庫(kù)”有關(guān)。

“拖庫(kù)”是指黑客入侵有價(jià)值的網(wǎng)絡(luò)站點(diǎn)，把注冊(cè)用戶(hù)的資料數(shù)據(jù)庫(kù)全部盜走的行為，因?yàn)橹C音，也經(jīng)常被稱(chēng)作“脫褲”，在取得大量的用戶(hù)數(shù)據(jù)之后，黑客會(huì)通過(guò)一系列的技術(shù)手段和黑色產(chǎn)業(yè)鏈將有價(jià)值的用戶(hù)數(shù)據(jù)變現(xiàn)，這通常也被稱(chēng)作“洗庫(kù)”。

安全專(zhuān)家曾告訴雷鋒網(wǎng)，獲取一個(gè)網(wǎng)站數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)并不一定需要非常高深的技術(shù)以及成本，一個(gè)掌握一些基礎(chǔ)黑客技術(shù)的人再加上一個(gè)功能強(qiáng)大效率較高的黑客工具，即可完成“脫褲”任務(wù)。

上述攻擊手法，幾乎可以應(yīng)用在任何一家網(wǎng)站登錄系統(tǒng)。用戶(hù)在不同網(wǎng)站登錄時(shí)使用相同的用戶(hù)名和密碼，就相當(dāng)于給自己配了一把“萬(wàn)能鑰匙”，一旦丟失，后果可想而知。所以，防止撞庫(kù)攻擊，是一場(chǎng)企業(yè)與用戶(hù)必須要面對(duì)的持久戰(zhàn)。

安全專(zhuān)家建議，對(duì)于企業(yè)來(lái)說(shuō)，

可以通過(guò)增強(qiáng)登錄入口識(shí)別能力的方法來(lái)提高登錄入口的安全性，如增加圖片驗(yàn)證碼，與驗(yàn)證碼生成的強(qiáng)度等。這樣可以有效避免黑客通過(guò)代理登錄獲取用戶(hù)個(gè)人信息。從而效規(guī)避撞庫(kù)攻擊；

還可以通過(guò)自動(dòng)識(shí)別異常IP方式，掃描到單位時(shí)間內(nèi)頻繁登錄的異常IP。對(duì)于異常的IP，整理一個(gè)非常嚴(yán)格的庫(kù)，甚至直接禁止這些IP訪(fǎng)問(wèn)網(wǎng)站；

還有一點(diǎn)需要注意的是，企業(yè)應(yīng)該有意識(shí)地避免與“安全級(jí)別低”的網(wǎng)站建立聯(lián)系，針對(duì)“安全級(jí)別中等”的網(wǎng)站，則可以采用OAUTH協(xié)議授權(quán)登錄的方式，與以往的授權(quán)方式不同， OAUTH的授權(quán)不會(huì)讓第三方觸及到用戶(hù)的帳號(hào)信息（如用戶(hù)名與密碼），我們常見(jiàn)的微信授權(quán)登錄、微博授權(quán)登錄就是這種形式的典型代表。

對(duì)于用戶(hù)來(lái)說(shuō)，

不要在多個(gè)網(wǎng)站設(shè)置同一個(gè)登錄密碼，并要形成設(shè)置高強(qiáng)度的密碼的習(xí)慣，如形式上使用大寫(xiě)字母、小寫(xiě)字母、數(shù)字、非數(shù)字符號(hào)的組合n涉及重要個(gè)人信息的賬戶(hù)，應(yīng)經(jīng)常修改密碼，每月或每一季更換一次；

在不同的網(wǎng)絡(luò)系統(tǒng)使用不同的密碼，對(duì)于重要的賬戶(hù)使用更為安全的密碼，不將密碼保存在公共設(shè)備上，常規(guī)瀏覽器保存密碼沒(méi)有一個(gè)很好的加密策略，這往往為黑客破解密碼大開(kāi)方便之門(mén)；

使用更安全的認(rèn)證方式，如果覺(jué)得密碼太復(fù)雜記不住，可以采用掃描二維碼登錄、刷臉登錄、指紋識(shí)別登錄，不要輕易點(diǎn)擊陌生的網(wǎng)址，通過(guò)陌生電源充電時(shí)，不要點(diǎn)擊信任，或允許其進(jìn)入U(xiǎn)SB調(diào)試模式。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。