抖音千万级账号遭撞库攻击，牟利百万黑客被警方逮捕

卖彩票中奖的几率是多少？千万分之一。对黑客来说，通过撞库攻击来获取平台的账号和密码，这几率要比中彩票高出不少。

今年2月，海淀警方接到北京字节跳动公司报案，后者称旗下App抖音千万级外部账号遭到恶意撞库攻击，其中几百万账号密码与外部泄露密码吻合。5月底，犯罪嫌疑人汪某被警方抓获。

抖音遭撞库，黑客牟利超百万

据汪某交代，其利用掌握的计算机能力，控制了多个热门网络平台的大量账号，随后通过在网上承接点赞刷量、发布广告等业务牟利。

与此同时，汪某还编写了大量撞库代码，对包含抖音在内的各大网络平台进行撞库攻击，以此获取到更多的平台账户，累计获利超百万元。

在 中国新闻网 的报道中，知名信息安全专家李响称，撞库攻击实则非法牟利者一种碰运气的表现。这种方式是通过已经被泄露的部分信息，再进行其他平台的重复登录操作，一旦登陆成功则撞库成功。

“通常被黑客选作撞库对象的账号密码所有者安全意识都不高，他们很有可能将同样的账号、密码作为几个平台的通用‘钥匙’，这为撞库的成功提供了保障。”

对于撞库者而言，这些通过碰运气得到的平台账号大多没有发布过黄赌毒的相关消息，清白的历史记录让其足矣具备高利润价值。通过暗网买卖这些账号，亦或直接用它们来进行恶意内容传播、刷量等活动，是其获取暴利的最佳方式之一。

雷锋网了解到，在字节跳动系统实时监测到攻击之后，该公司通过安全系统，对所有疑似被盗账号设置了短信二次登陆验证，以阻止黑客的撞库攻击行为。

撞库攻击灰色产业链

近几年黑客尤其青睐撞库攻击的“玩法”，面对暴利，越来越多的黑客加入到对抗厂商的队列之中，使其发展成为一个几乎要取代盗号行为的巨大灰色产业链。

撞库的前提是首先获取到一批泄露的信息资源。因此，撞库地第一步就是从社工库获得“初始信息”。

一直以来，黑客们用一些 工具 或者自己写的程序就可以检测到网站漏洞，然后利用这个漏洞对该网站进行挖掘。并且用户量大的网站也同样会被拖库，单看前几年的数据泄露事件，就足矣大开眼界：

毕竟，世界上没有密不透风的墙，通过提权、木马病毒植入、垃圾链接生成等方法，可以很容易得到这个网站的所有用户信息（当然包括登陆账号和密码），这些信息被盗取之后就被存放在社工库中。

所以，当黑客想尝试登录某个网站或者app时，就会用”社工库”里的信息去挨个尝试登录，“撞”出一个个正确账号。

图片来源：闪捷信息

然而，面对暴利的黑产人员更加积极主动，将反抗安全的步骤做到了平台化、链条化。雷锋网 (公众号：雷锋网) 得知，目前撞库黑客在各个维度都有完善的方案与厂商进行对抗。

，主要分为以下几方面：

1、低安全性边缘业务或新业务——寻找其自身漏洞，一旦发现非严格审计的边缘业务接口，便绕过所有的防护措施。
2、IP对抗——许多爬虫、搜索引擎、机器人程序都有获取IP的需求。而撞库攻击获取IP资源的方法主要有扫描代理、付费代理、付费VPN和拨号VPS四种。
3、验证码对抗——黑客通过图灵测试方案，不断尝试自动化破解。
4、短信验证对抗——黑产获取的手机卡主要分为流量卡、实名卡和海外卡三种，通过猫池，黑产不仅可以在不同卡之间模拟定期拨打电话，还可以进行收发短信，甚至进行一些流量的消耗。这种模拟让黑卡的使用情况趋于正常的电话卡（接码平台）。
5、模仿真人行为——通过对不同平台安全检测逻辑进行分析，越来越多自动化程序骗过了风控平台的“眼睛”。

如何防范撞库攻击？

首先，怎样才能发现撞库攻击呢？从企业的web服务视角来看，如果发现以下几种情况，基本可以判定是在撞库：

1、一个账号在某个较短的时间内，有多次密码尝试。
2、一定时间内相同密码的出现频次非常高。
3、同一个IP或同一个设备，在短时间内使用不同账号密码多次尝试登录。

简单来说，使用他人在A网站的账号密码，去B网站尝试登陆，这就是撞库攻击。这种情况下，最简单粗暴的方法就是直接在登陆接口加安全策略，如：

1、针对a情况，就限制一天之内密码错误次数。
2、针对b情况，就针对频率特别高的密码禁止登录（或者校验手机短信/密保问题之后才能登录）。
3、针对c情况，就对IP或者设备唯一id进行阈值限制，如限制1分钟内访问登录接口次数<50次。

看似简单粗暴的方法往往能够有效起到防护作用。当然，除此之外各种的风控系统也可以防止撞库攻击的发生。

参考来源： 知乎丨ThreatHunter ； 中国新闻网 雷锋网雷锋网

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。