文档章节

机器人的洪流:刷库、撞库那些事儿

_夜枫
 _夜枫
发布于 2017/07/06 14:09
字数 2271
阅读 21
收藏 0
点赞 0
评论 0

原文链接

 
机器人的洪流:刷库、撞库那些事儿 
 
 

目明@阿里安全 

 
 
 
一、 那些信息泄露的事 
 

 

 
面对社会上层出不穷的诈骗新闻,我们可以发现骗子们诈骗成功的一个关键是:骗子们知道你叫什么、住在哪里、买了什么东西、花了多少钱。这些信息骗子们是从哪里得来的呢? 
最近某票务网站就出现了这么一例case,因为骗子们知道其在该网站上的订单信息、电话和住址,因此认为骗子就是真实的该网站的客服人员,从而被引导到转款等流程中。 

 
 
二、 他们怎么知道我们的个人信息 
 
 
大多数人看到这些短信的第一反应是:我的信息被平台商卖给了骗子!其实对于大部分大厂商来说,客户的信息都是最重要的资产,不会卖给其他任何第三方,更不可能卖给骗子。 
真实的情况是以下这几种: 
    · 这个平台存在漏洞,数据被黑客攻破,整个数据库被“拖”走了。(整个数据库都被别人掌握,然后贩卖出去) 
    · 平台内部出现人事问题,导致数据被人拿去售卖了。(内鬼作案) 
    · 平台的某些接口存在风控漏洞,导致黑客利用已有的数据库内容进行匹配,导致数据被人批量拿走。(所谓的刷库撞库) 
随着互联网安全的逐步发展,前两种情况已经比较少了,市面上常见的泄露都是由于第三种情况造成的,也即刷库、撞库这种手法。从之前的case中,我们也可以看到最终导致信息泄露的原因是刷库、撞库: 

 
 
三、 数据库泄露严重吗 
 
简单列举下一些大家都知道的数据库泄露: 
    · 某SDN数据 
    · 某讯群数据 
    · 某酒店开房数据 
    · 某知名bbs论坛数据库 
    · 等等 
在明处的泄露数据库,已经数不胜数,而在暗处,只是流通在各个小圈子中的数据库会更加可怕。这也是为什么,有人说道,在互联网时代的所有人,都是在裸奔。这些数据库可能不会有你的全部信息,但是黑产通过数据关联、整理和分析,可以得到你的相关全部数据。对于普通人来说,注册一个网络账号,可能使用的账户名、密码等都具有极度的相似性(甚至完全一样)。在某些特别的应用中,如使用身份证、手机号注册的账号,这些用户名具有先天一致性。通过对这个社工库的不断完善,黑客可以得到越来越多关于你的信息。 
 
四、 黑客是如何通过已有数据库进行撞库的  
 

 
以上是在攻击者视角的一个图,对于部分公司来说,存在一个误区,即风险只是存在于登录等场景中,但是实际上,任何与后端数据库存在交互的地方都有可能被攻击者用于撞库攻击。 
攻击第一步——洗库: 
 
 

 
之所以要进行洗库,是为了加快最后撞库的速度,同时避免被发现。因为通常在登陆等入口的防御强度通常会更强。 
例如找密场景中: 
 
 

 

 
通过这样一个接口,攻击者用于进行第一波洗库的工作。 
攻击第二步——撞库: 
 
 

 
撞库的流程与洗库的逻辑基本一致,其采用的接口与洗库可以一样也可以不一样,完全看攻击者找到了哪个较弱的接口。暴力破解与撞库的差别也就是:密码库是已经准备好的,还是实时生成的而已。 
 
五、 现有的防御思路 
 
总结上面提到的撞库刷库等问题,我们面临了以下几种挑战:攻击面的确认,数据等级的确认。哪些地方可能存在利益点,哪些地方的数据危险性高,并且要不无遗漏的总结出来,才能达到一个较好的防御效果;如果漏掉了其中的一个,根据木桶原理,即代表整体失效。 
 
 
如何保护数据 
假设已经确认了需要保护的点,如何对其进行有效防护? 
 
 
普通验证码 
带文字信息的普通验证码,是考虑到防御时,第一个会出现在脑海里面的东西。但是,随着该模式的不断被研究,打码平台、字库、各种验证码识别算法不断出现,导致在实际的攻防效果上来说,普通验证码已经不具有阻拦恶意攻击的能力了。 
 
 

 
手机验证码 
有部分厂商认为,手机卡和手机卡是一个可以做到对用户进行真实性访问确认的好工具。在刚开始的几年内,该方法的确是一个有效的方法,但是随着黑产开始大规模的应用猫池和特殊的零月租手机卡,这个方法的实用性也大打折扣。甚至催生出了一个新的产业:卡商。 

 
 

 
一条短信对于黑产的成本也只是0.1元而已,并且随着产业的不断发展,这个价格只会越来越低。 
 
 
IP限制 
ip是从互联网之初就一直被使用的一个指标。简单来说就是,对单位时间内的单ip访问的次数进行强限制,如果超过某个数值后,就判定为存在攻击风险并进行拦截。然而,在互联网时代,ip是非常廉价甚至是免费的资源。只需要付出很小的代价,你就可以拥有世界各地的ip进行选择使用。 

 
也有部分防御思路是,对ip进行反向探测等,抓出某些互联网上的免费或者提供服务的ip。但是针对这些思路,黑产攻击者也采用了如某些运营商宽带断线重连重新分配ip的机制来进行绕过。 
 
六、 阿里巴巴的防御体系 
 
 
基于上述的讨论,我们可以得出结论:现有的普通防御手段已经不足以抵御这些互联网上横行的机器程序。 
在这场攻防双方不断螺旋对抗的游戏中,需要新的对抗思路,这也是阿里巴巴数据风控团队长久以来一直在努力的方向:成为机器的墙。 
简单的叙述我们的一些关键技术点: 
    · 先进的设备指纹技术,让攻击程序无所遁形。 
    · 先进的风险ip监测技术,通过反向探测、实时计算等方法得到当前ip的风险值。 
    · 强大的前端加解密对抗技术,让攻击者在伪造请求的同时直面无法破解的盾牌。       
    · 周期性的自更新技术,攻击者一时的破解无法长时间适用,每次破解必须从头开始,大大增加攻击者的攻击成本。 
    · 基于大数据计算的实时风险引擎,基于设备、ip、行为等进行综合评分。 
这些相关技术都已经在阿里系相关的平台上经历了多年的考验,每天都在线上实时的为保护客户数据做着努力。 
 
 
七、 阿里云数据风控产品 
 
 
撞库、刷库作为一个现在,并且在可预见的将来也将一直是互联网的一个急需解决的问题。面对这些不断增加的自动化机器人、层出不穷的攻击者以及越来越低门槛的攻击技术,客户们需要的是充分平衡了体验和安全性的安全产品。 
阿里巴巴数据风控团队,基于多年的防控经验、大数据等前沿分析方法,推出了一系列的数据风控产品,可以有效解决垃圾注册、刷库撞库、活动作弊、论坛灌水等严重威胁互联网业务安全的风险,并在保障安全性的同时,兼顾正常用户的使用体验。 
更多产品信息,请移步阿里云官网:https://www.aliyun.com/product/antifraud 
 
 
作者:目明@阿里安全,更多安全类文章,请访问阿里聚安全博客 

 

 

 

原文链接

 

本文转载自:http://click.aliyun.com/m/8603/

共有 人打赏支持
_夜枫
粉丝 9
博文 506
码字总数 0
作品 0
朝阳
后端工程师
【阿里聚安全技术公开课】业务安全及防护(数据风控)

阿里云·云栖社区携手阿里聚安全打造阿里安全技术公开课,带你一探互联网安全的风采 关于互联网业务安全 互联网账号泄露事件频发,脱库、洗库、撞库,形成了一条完善的黑灰产业链,盗刷信用卡...

阿里聚安全 ⋅ 2017/03/16 ⋅ 0

12306 用户数据泄露超 10 万条 或由撞库攻击所得

[摘要]“从泄露的数据格式看,不像直接从12306数据库偷出来的。” 腾讯科技讯 12月25日消息,今日有网友爆料称,12306网站用户信息在互联网上疯传。对此,12306官方网站称,网上泄露的用户信...

oschina ⋅ 2014/12/26 ⋅ 68

机器人攻击来了!拿什么拯救安全防御系统?

  【IT168 评论】自动化和人工智能是当下最火热的词条。两者是把双刃剑,与3C互联网设备结合就会给人们工作生活带来各种便利;跟攻击结合就变成一场灾难,现在的攻击已经形成了多米诺骨牌效...

it168网站 ⋅ 2017/11/23 ⋅ 0

学习:知识过载与疲于奔命

今天,已经不止于信息过剩,甚至是知识过载的时代。 每天的计划列表排得满满的,而这个列表中有一大块是关于学习,似乎每晚没能完成当天的学习计划,就会产生一种焦虑的不适感,造成了日复一...

u8i7s7k5bv ⋅ 2017/11/05 ⋅ 0

快讯:黑客宣称盗取Dropbox700W数据

  说好的数据泄露此起彼伏!果然就在昨日,国外某个匿名信息共享网站发布讯息——数以百计的所谓的Dropbox用户名与密码被放出!而且还在不断更新中。         这位高调的黑客宣称他们...

FreeBuf ⋅ 02/24 ⋅ 0

这帮吃货程序猿,给阿里食堂来了一波骚操作

我叫宋爽,在别人眼里,我是一个程序猿。 别的程序猿,喜欢摁键盘,我嘛,就喜欢吃。 有一次,去医院体检,拿到CT片的我,看着自己的脊椎骨,脑子中一直在想:啊!什么时候去吃顿羊蝎子! 身...

技术小能手 ⋅ 04/18 ⋅ 0

独家解读 | 2018 恶意机器流量报告

本文由腾讯防水墙发表在腾讯云+社区 Distil Networks 对 2017 年网络数千个域名,上千亿次的访问进行分析,发布了一份《2018 恶意机器流量报告》(2018 Bad Bot Report),防水墙团队对报告进...

腾讯云加社区 ⋅ 今天 ⋅ 0

12306 和优酷的用户信息也被大规模泄漏?

今天(6月13日)是个黑客扎堆宣布拖库的日子! 继 A 站和摩拜的大规模数据泄漏截图之后,又有两张截图开始在朋友圈出现,这次是12306 和优酷。 截图显示,有3000 万条 12306 数据和 5000 万条...

郭佳 ⋅ 06/13 ⋅ 0

基于Flask+Vue+Celery+SQLAlchemy+Redis等实现的微信管理系统

现在绝大多数同学都在使用微信,不过微信有很多限制,比如: 微信聊天记录只保存在本地,换个手机那些内容就找不到了 微信扫码加群人数有限制,超过100个就得先加群聊成员微信再由其拉进去,...

董伟明 ⋅ 2017/07/25 ⋅ 0

ILIFE智意发布新一代扫地机器人X787 京东首发价1299元

  继续上月发布年度旗舰产品X800之后,全球知名扫地机器人品牌ILIFE智意昨天发布新一代智能规划扫地机器人X787,据悉这款扫地机器人将在京东首发,价格为1299元,是ILIFE智意发布针对中端主...

人工智能趣闻 ⋅ 05/09 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

20.zip压缩 tar打包 打包并压缩

6月25日任务 6.5 zip压缩工具 6.6 tar打包 6.7 打包并压缩 6.5 zip压缩工具: zip支持压缩目录 zip压缩完之后原来的文件不删除 不同的文件内容其实压缩的效果不一样 文件内有很多重复的用xz压...

王鑫linux ⋅ 10分钟前 ⋅ 0

double类型数据保留四位小数的另一种思路

来源:透析公式处理,有时候数据有很长的小数位,有的时候由在四位以内,如果用一般的处理方法,那么不足四位的小树会补充0到第四位,这样子有点画蛇添足的感觉,不太好看。所以要根据小数的...

young_chen ⋅ 16分钟前 ⋅ 0

Python 优化 回溯下降算法

使用sympy构造表达式,实现回溯下降算法 画出函数图像,先使用暴力搜索,找到最小值约为2.5左右 然后选定初始点,开始进行回溯搜索,下降方向为负梯度方向 下降的误差与步数大致呈现下面的状...

阿豪boy ⋅ 21分钟前 ⋅ 0

Django配置163邮箱出现 authentication failed(535)错误解决方法

最近用Django写某网站,当配置163邮箱设置完成后,出现535错误即:smtplib.SMTPAuthenticationError: (535, b'Error: authentication failed') Django初始配置邮箱设置 EMAIL_HOST = "smtp.1...

陈墨轩_CJX ⋅ 22分钟前 ⋅ 0

用接口模拟可伸缩枚举(34)

1、枚举的可伸缩性最后证明都不是什么好点子 扩展类型的元素是基本类型实例,基本类型的实例却不是扩展类型的元素,很混乱 目前还没有很好的方法来枚举基本类型的所有元素,及其扩展 可伸缩性...

职业搬砖20年 ⋅ 26分钟前 ⋅ 0

Ubuntu18.04 IDEA快捷键无法使用

IDEA默认的回退到上一视图的快捷键是Ctrl + Alt + Left,在ubuntu中这个快捷键被占用了,在16.04中可以在界面中取消这个快捷键,但是18.04就看不到了,可以使用以下命令解决 gsettings set ...

Iceberg_XTY ⋅ 30分钟前 ⋅ 0

如何解决s权限位引发postfix及crontab异常

一、问题现象 业务反馈某台应用服务器,普通用户使用mutt程序发送邮件时,提示“postdrop warning: mail_queue_enter: create file maildrop/713410.6065: Permission denied”,而且普通用法...

问题终结者 ⋅ 42分钟前 ⋅ 0

Unable to load database on disk

由于磁盘空间满了以后,导致zookeeper异常退出,清理磁盘空间后,zk启动报错,信息如下: 2018-06-25 17:18:46,904 INFO org.apache.zookeeper.server.quorum.QuorumPeerConfig: Reading co...

刀锋 ⋅ 今天 ⋅ 0

css3 box-sizing:border-box 实现div一行多列

<!DOCTYPE html><html><head><style> div.container{ background:green; padding:10px 10px;}div.box{box-sizing:border-box;-moz-box-sizing:border-box; /* Fir......

qimh ⋅ 今天 ⋅ 0

Homebrew简介和基本使用

一、Homebrew是什么 Homebrew是一款Mac OS平台下的软件包管理工具,拥有安装、卸载、更新、查看、搜索等很多实用的功能。简单的一条指令,就可以实现包管理,而不用你关心各种依赖和文件路径...

说回答 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部