什麼是撞庫及撞庫攻擊的基本原理

6月26日晚，我國大型聊天軟體QQ出現了大規模盜號情況，而且是在QQ號本人線上時出現了被盜情況。

6月27日中午，騰訊QQ釋出宣告稱：6月26日晚上10點左右，收到部分使用者反饋QQ號碼被盜。QQ安全團隊高度重視並立即展開調查，發現主要原因是使用者掃描過不法分子偽造的遊戲登入二維碼並授權登入，該登入行為被黑產團伙劫持並記錄，隨後被不法分子利用傳送不良圖片廣告。

為什麼掃描不法分子偽造的遊戲登入二維碼並授權登入，就會被盜號呢？

大家在新的平臺申請賬號密碼的時候，通常可以選擇關聯其他平臺賬號，直接登陸。這時，此平臺就會保留其他平臺的賬號資料。透過掃描偽造的二維碼授權資訊後，不法分子就能獲得你真正的賬號密碼。

來自數美科技黑產研究院專家宇航在接受新聞採訪時分析認為，QQ生態相對來說較為開放，本身使用者體量大。由於生態非常開放，使用者資料不僅可以授權給很多遊戲平臺，還可以授權給其他第三方社交媒體平臺，在授權的過程中，使用者的資料也順帶授權過去。

該專家分析稱，“此次事件暴露出來的問題，本身更多的責任可能並不在於QQ，而是在QQ授權的第三方平臺。”該專家表示，在這樣多的應用相互互動的情況下，去做資料安全包括賬號的安全，難度會大非常多。

正如專家所說，現在的網際網路環境十分複雜，各個平臺可以相互授權資訊，為何第三方的資料庫安全會如此重要？因為在網際網路中有一種攻擊是透過第三方洩露出去的資料造成其他平臺賬號被攻擊，賬號被盜，這種攻擊叫做“撞庫”。

撞庫的基本原理

撞庫是一種常見的網路攻擊方式，犯罪分子會使用自動化系統和被破解的登入憑據訪問線上賬戶。

簡單來說駭客透過收集網際網路已洩露的使用者和密碼資訊，生成對應的字典表，嘗試批次登陸其他網站後，得到一系列可以登入的賬號密碼。很多使用者在不同網站使用的是相同的賬號密碼，因此駭客可以透過獲取使用者在A網站的賬戶嘗試登入B網址，這就可以理解為撞庫攻擊。撞庫攻擊取決於密碼的重複使用，受害者常為多個線上賬戶設定相同的使用者ID和密碼組合。

但是撞庫成功需要的一個前提就是拖庫。

什麼叫拖庫及拖庫與撞庫的關係？

撞庫中駭客用於嘗試的使用者及密碼來源於拖庫，而拖庫本來是資料庫領域的術語，指從資料庫中匯出資料。

拖庫是撞庫的基礎，是進行撞庫攻擊的必要條件。拖庫實現起來比撞庫複雜得多，手段和方法也非常多，常用的是社工流拖庫和技術流拖庫。社工流拖庫以欺詐、網站仿冒、釣魚、重金收購、免費軟體竊取等為主要手段；技術流拖庫則以入侵、攻擊為主，如遠端下載資料庫。利用Web Services 漏洞、伺服器漏洞，掛馬、病毒、木馬後門等技術手段和方法。

透過拖庫獲取使用者的資訊後，撞庫的實現就比較簡單了。當前多數撞庫以單指令碼登入驗證、分散式指令碼登入驗證，自動代理登入驗證，甚至人肉驗證等方式來現實。同時Sentry MBA或SNIPR等免費自動化工具讓犯罪分子能更加輕鬆地嘗試登入資訊並驗證被盜憑據。

綜合來看，“撞庫”操作簡單、成本較低，其對資料庫的攻擊只需要經過“拖庫”——攻破網站、“洗庫”——資料處理分析，然後就可以進行“撞庫”。

撞庫的危害

2017年12月至2019年11月間，Akama i觀察到854億2207萬餘次撞庫攻擊，中國是API惡意登入的三大“重災區”之一。

因為撞庫是以個人資訊為前提，而我國的大規模個人資訊洩漏事件並沒有就此停止。而且聯網近三分之二使用者都在重複使用他們的密碼所以撞庫看似簡單，但是成功率卻很高。

曾經12306 資料洩露事件確認為撞庫攻擊，洩露的資料包括使用者帳號、明文密碼、身份證郵箱等大量使用者資料。

京東的賬號被盜事件同理，只不過京東的資料庫並沒有洩露。駭客透過別的渠道獲取洩露的資料庫來實施“撞庫”攻擊，然後成功獲取到了一些京東使用者的密碼。

結論：

撞庫的損失不是一家之過，對於個人使用者而言密碼安全意識不強，設定密碼過於簡單、多個網站長期使用同一賬號密碼登入；對於平臺來說，登陸時IP地址驗證、裝置驗證等安全防禦手段不到位；對於監管來說，雖然《個人資訊保護法》已出臺，但是網路上還存在著大大小小的暗網出售居民個人資訊。

所以個人使用者要加強對賬號密碼的保護，設定密碼時，避免過於簡單、易猜；養成定期更改密碼的習慣；根據賬號重要性、是否涉及財產等分級管理，避免一碼多用；在公共裝置上登入個人賬號時，不要勾選“記住密碼預設登入“等選項，儘可能選擇匿名登入。

對於平臺可以在使用者登陸環節新增IP地址與GPS交叉核驗，以此來核驗使用者的真實位置；對於監管部門來說可以加大懲治力度，震懾犯罪分子。