購物去京東淘寶,
聊天用微信QQ,
訂酒店查攻略用螞蜂窩或Airbnb,
訂火車票或電影票用攜程淘票票……當平臺為消費者帶來網上消費和社交分享的樂趣之時,
網路風險也接踵而來。
社交業資料庫因使用者量大成本低成主目標
前不久, 媒體曝出杭州某城市商業銀行遭遇駭客攻擊, 導致部分客戶證件、手機等資訊被盜取, 出現個人網銀和手機銀行試探性登錄情況。
日前, 嗶哩嗶哩官網發佈公告, 稱有B站用戶回饋, 其關注列表中出現了未曾主動關注的“小米公司”帳號。 此事件涉及用戶多達三四千人。
比起擁有嚴謹風控機制和資料審核條款的銀行業,
為什麼“撞庫攻擊”能輕易找到目標資料庫呢?
程式師疏忽存取權限保護, 直接將使用者資料放在有公開存取權限的web目錄下供駭客遠端下載。 有些網站直接引入開來源程式, 而未修改預設資料庫, 這便為拖庫提供便利。 另外, 對木馬, 病毒等網路攻擊缺乏預警監測, 當駭客通過掛馬, 郵件病毒木馬, XSS劫持或用社會工程學等手段蒙蔽網站管理員, 便能直接植入木馬或侵入伺服器。
從掃描備份到完成“撞庫攻擊”無分步防禦
駭客進行一次完整“撞庫攻擊”, 需要先“脫庫”。 通過掃描工具找到目標資料庫並獲取足夠原始帳號, 再批量登陸到資料庫獲取海量使用者資料完成“洗庫“, 最後通過技術破解獲取用戶個人隱私對用戶實施“撞庫攻擊”。
儘管一般社交網站會在登陸頁面直接增加驗證碼, 不過由於自動化驗證碼識別腳本早已出現, 簡單的驗證碼識別已經不是什麼問題。 這種方式很難作為防止有針對性的惡意攻擊, 需要更多的維度實現技術防禦, 來提高攻擊者的成本防止惡意撞庫掃號行為。
針對撞庫攻擊多步驟推進規則, 百度安全建立多層級安全防護體系:
第一層存量檢測, 根據過去被洩漏帳號密碼的百度註冊帳戶, 快速鎖定被“撞庫”高危用戶。 第二層即時檢測, 對更改密碼等風險操作進行駭客試探“洗庫“的檢測排查。 第三層多層模型檢測, 百度安全通過使用者在百度產品訪問資料和情報積累資料, 以區分高危IP、未知IP,
百度安全推出的針對黑產的威脅情報大資料平臺, 採用複合機器學習技術, 可以即時檢測風險, 溯源黑產, 保護網站業務安全。 同時百度安全也在積極聯合公安部門、運營商及有關廠商共同打擊網路黑產, 促成黑產上游洩密介面關停, 破獲多起涉案金額巨大的網路黑產案件, 對網路黑產分子形成極大震懾。
面對個人用戶社交隱私安全, 百度安全專家提醒廣大線民, 不要使用過於簡單的登陸密碼, 但同時也不要留過於詳盡的個人註冊資訊, 定期更新在社交網站上的登陸密碼, 同時為手機或PC營造更為安全的上網環境, 定期殺毒定期更新安全軟體新版本,