当下最有价值的就是数据库,对于一个恶意的黑客来说,你的信息就是他们的“摇钱树”了。
那么黑客一般情况下是如何窃取你的信息的呢?最常见的方法,我们称之为拖库。除了拖库之外,洗库和撞库也是黑客常用的手段来处理窃取来的信息。
一、拖库
拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感信息非法获取,一般这些敏感信息包括用户的账号信息如用户名、密码;身份信息如真实姓名、证件号码;通讯信息如电子邮箱、电话、住址等。
拖库是怎么做的呢?
黑客对网站进行扫描,寻找漏洞,类如SQL注入、文件上传漏洞等等。通过这些漏洞建立一个webshell获取一个能够操作服务器系统的权限,然后将你需要的数据导出并缓存到本地计算机。这个过程相当于科幻电影里面的传送一样,当我确定你的位置之后,我只要建一个传送门就大功告成。
拖库以后
黑客们就要干大事了 ,下一波骚操作,叫做“洗库”
二、洗库
在拖库后,取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。下面是标准洗库流程
(1)用户账号中的虚拟货币,游戏账号,装备,都可以通过交易的方式变现,也就是俗称的“盗号”。
(2)金融类账号比如,支付宝,网银,信用卡,股票的账号和密码,则可以用来进行金融犯罪和诈骗。
(3)最后一些可归类的用户信息,如学生,打工者,老板等,多用于发送广告,垃圾短信,电商营销。也有专门的广告投放公司,花钱购买这些分门别类的信息。
数据经历了拖库、洗库,接下来,还有剩余价值,这就是“撞库”
三、撞库
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录C网址,这就可以理解为撞库攻击。
(1)首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过。
(2)提交正确的验证码,重复两次,显示的都是提示账户名和密码错误。说明该网站验证码可绕过。
(3)设置彩虹表,就是黑客手中已有的账户名和密码。网络上面有很多可以使用的彩虹表。
(4)开始撞库,登录进去之后,姓名,身份证,工作单位,手机号,家庭住址什么信息都有。分分钟获得1000+有用的用户名和密码。可登录的用户名和密码会暴露我们的很多信息。
我们应该如何应对?经过拖库、洗库、撞库等一系列流程之后,数据最后会汇集到社工库里面,再发起定向攻击。
这样的事情,每天都在发生,而且,会长期存在,我们应该如何应对呢?
1.密码在数据库中的存储应该优先考虑防拖库设计,如MD5加盐加密的方法;
2.设置合理的登录业务逻辑,如每一次登录请求更新为请求验证码;
3.登录错误信息返回优化,避免明确告知错误信息;
4.基于IP防控,对短时间内大量请求登录接口的IP进行监控告警甚至封禁;
5.移动端应考虑设备指纹特征,当识别到某一账号设备指纹发生变化时即有可能被撞库,可引入更高级的身份验证方式;
6.基于行为交互式验证码技术,有效防范工具软件批量操作;
7.基于大数据分析的用户行为模型和策略,利用特征库识别发现异常请求。
对于普通用户而言,我们要做的就是提高风险意识
1.不要在多个场合使用同一个密码,为不同的场景使用不同密码;
2.不要长期使用固定密码,应定期进行修改;
3.不要使用具有关联性的密码、弱密码(长度、特殊字符、大小写);
4.采用安全的密码管理工具进行个人密码管理;
5.尽可能使用平台提供的两步认证方式登录,如短信验证码、挑战令牌等。
那么黑客一般情况下是如何窃取你的信息的呢?最常见的方法,我们称之为拖库。除了拖库之外,洗库和撞库也是黑客常用的手段来处理窃取来的信息。
一、拖库
拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感信息非法获取,一般这些敏感信息包括用户的账号信息如用户名、密码;身份信息如真实姓名、证件号码;通讯信息如电子邮箱、电话、住址等。
拖库是怎么做的呢?
黑客对网站进行扫描,寻找漏洞,类如SQL注入、文件上传漏洞等等。通过这些漏洞建立一个webshell获取一个能够操作服务器系统的权限,然后将你需要的数据导出并缓存到本地计算机。这个过程相当于科幻电影里面的传送一样,当我确定你的位置之后,我只要建一个传送门就大功告成。
拖库以后
黑客们就要干大事了 ,下一波骚操作,叫做“洗库”
二、洗库
在拖库后,取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。下面是标准洗库流程
(1)用户账号中的虚拟货币,游戏账号,装备,都可以通过交易的方式变现,也就是俗称的“盗号”。
(2)金融类账号比如,支付宝,网银,信用卡,股票的账号和密码,则可以用来进行金融犯罪和诈骗。
(3)最后一些可归类的用户信息,如学生,打工者,老板等,多用于发送广告,垃圾短信,电商营销。也有专门的广告投放公司,花钱购买这些分门别类的信息。
数据经历了拖库、洗库,接下来,还有剩余价值,这就是“撞库”
三、撞库
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录C网址,这就可以理解为撞库攻击。
(1)首先找到一个目标网站,随便输入一组用户名和密码,测试其验证码是否可以被绕过。
(2)提交正确的验证码,重复两次,显示的都是提示账户名和密码错误。说明该网站验证码可绕过。
(3)设置彩虹表,就是黑客手中已有的账户名和密码。网络上面有很多可以使用的彩虹表。
(4)开始撞库,登录进去之后,姓名,身份证,工作单位,手机号,家庭住址什么信息都有。分分钟获得1000+有用的用户名和密码。可登录的用户名和密码会暴露我们的很多信息。
我们应该如何应对?经过拖库、洗库、撞库等一系列流程之后,数据最后会汇集到社工库里面,再发起定向攻击。
这样的事情,每天都在发生,而且,会长期存在,我们应该如何应对呢?
1.密码在数据库中的存储应该优先考虑防拖库设计,如MD5加盐加密的方法;
2.设置合理的登录业务逻辑,如每一次登录请求更新为请求验证码;
3.登录错误信息返回优化,避免明确告知错误信息;
4.基于IP防控,对短时间内大量请求登录接口的IP进行监控告警甚至封禁;
5.移动端应考虑设备指纹特征,当识别到某一账号设备指纹发生变化时即有可能被撞库,可引入更高级的身份验证方式;
6.基于行为交互式验证码技术,有效防范工具软件批量操作;
7.基于大数据分析的用户行为模型和策略,利用特征库识别发现异常请求。
对于普通用户而言,我们要做的就是提高风险意识
1.不要在多个场合使用同一个密码,为不同的场景使用不同密码;
2.不要长期使用固定密码,应定期进行修改;
3.不要使用具有关联性的密码、弱密码(长度、特殊字符、大小写);
4.采用安全的密码管理工具进行个人密码管理;
5.尽可能使用平台提供的两步认证方式登录,如短信验证码、挑战令牌等。
