拖库、撞库、洗库，从某站被黑了解黑产运行

一、事件始末

小白：大东东，今天早上兴高采烈的起来打开A站看片，结果你看看，这是什么情况？

AcFun 受黑客攻击致用户数据外泄的公告

大东： 6月13日凌晨，AcFun 发布公告称网站遭遇黑客攻击，近千万条用户数据外泄。目前已报警处理。

小白：是啊，怎么会发生这种事儿？

大东：上一次被大家关注的大规模的拖库事件应该是2011年某 sdn 的账号密码明文泄露。

小白：拖库?

大东：拖库，本来是数据库领域的专用语，指从数据库中导出数据。而现在它被用来指网站遭到入侵后，黑客窃取数据库的行为。

小白：奥奥，这个意思啊。那是所有用户的账号数据都被泄露了？

大东：AcFun 表示泄露的数据包括用户 ID、昵称以及加密存储的密码。同时公告也提示用户，所有的密码都是经过加密的。没有明文密码。

小白：虽然密码被泄露了，但是密文密码是不是比明文密码安全些...

大东：单纯的小白，数据都能拖拽出来，你密码还能解不开？

小白：也对哈。所以A站呼吁大家，如果在其他网站使用与A站相同的密码，应该及时修改。

大东：快改快改。

小白：不过话说回来，仔细想想我的账号里也没啥财产。现在打开朋友圈、公众号，消息满天飞，说暗网论坛中已经有人公开出售 AcFun 的用户数据了。但是这些用户数据能用来做什么呢？

数据售价飚至40万

 

大东：密码泄露的风险众所周知。特别是现在互联网要求实名注册。除了你在这个网站的所有信息一览无余，收藏账号还会暴露你的各种小爱好。

小白：是啊，总是有骗子给我打电话推销，她不仅知道我电话，还知道我的名字和身份证号。

大东：不仅如此，攻击者还把你的信息纳入社工库，通过撞库来获取你在其他网站的密码或信息，进而实施钓鱼等一系列攻击，最终让你遭遇财产或者其他损失……

小白：社工库？撞库？这都是什么东东？

大东：来来来，赶紧给你补补课。

二、一个密码走天下 易被“撞库”

大东：先让我们先来看一下相关的名词～拖库刚刚介绍过了，还有撞库、洗库和社工库。

小白：啥是撞库？

大东：撞库就是使用大量的一个网站的账号密码，去另一个网站尝试登陆。

小白：那洗库和社工库又是什么意思？

大东：洗库是黑客入侵网站在取得大量的用户数据之后，通过一系列的技术手段和黑色产业链将有价值的用户数据变现。社工库是黑客将获取的各种数据库关联起来，对用户进行全方位画像。

小白：原来是这样啊！

大东：这些“库”再联合拖库就可以形成一个黑色产业链！

小白：黑色产业链？这个黑色产业链是怎么运行的呢？

大东：给你看张图你就明白了。在早些年，盗取他人账号主要靠木马，密码字典则靠软件生成，而随着近几年频繁出现网站数据库泄漏事件，撞库攻击逐渐成为主流的盗号方式。撞库攻击也成为账号类攻击的重要一环，下图是整个账号类攻击链条：

黑色产业链

小白：入侵者寻找目标系统，对目标系统的网站拖库吗？

大东：没错，黑客入侵A网站后对网站拖库，拿到的数据可以存到自己的社工库里，也可以直接洗库变现。拿到的这部分数据再去B网站尝试登陆，而这就可以称之为是撞库。撞库后的数据可以继续存入社工库，或是洗库变现，以此循环...

小白：那暴力破解和撞库有什么区别呢？

大东：暴力破解与撞库的差别也就是：撞库的密码库是已经准备好的，而暴力破解的密码是实时生成的而已。

小白：原来是这样。大数据时代衍生出的产业真的是令人“刮目相看”。感觉自己在“裸奔”呢。

大东：这就是为什么A站强烈建议账号安全存在隐患的用户及时修改密码的原因。不然你的密码就被拿去撞库了。

三、从哪儿来？到哪儿去？

小白：一个密码走天下的时代结束了。

大东：实际上，中国有很多网站都曾出现过用户数据泄露的情况，大部分官方都对此视而不见，这种情况下，用户被窃据数据后，不会立刻受到损失，因此一时间用户根本感觉不到。可能过很长一段时间后，你突然发现自己一批注册网站同时被侵入了，可是你根本不知道原因是什么。

小白：是啊是啊！我手机上总是收到一些莫名其妙的短信。骗子们知道你叫什么、住在哪里、买了什么东西、花了多少钱。这些信息估计就是骗子们从撞库得来的。

大东：很有可能。

小白：通常用来撞库的数据非常庞大，那这些数据是怎么来的呢？

大东：像A站这次发生的这件事来说，数据的来源就是网站被黑客攻击后泄露得到的。其他的数据来源包括黑市上的购买和同行之间的交换。

暗网某地下数据交易市场的截图

四、如何避免撞库？

小白：这些黑客这么猖狂，那该怎么保护自己的账号信息呢？

大东：面对撞库攻击，不同的主体需要不同的方法，对于企业来说，设置图片验证码和现在非常常见的动态短信验证码。对异常登陆进行监控等等是很常见的避免撞库攻击的方法。

验证码

小白：棒棒的！

大东：现在很多企业也研制出了许多数据库安全防护技术。包括数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统等，每天都在线上实时地为保护客户数据做着努力。

小白：那对于个人用户来说呢？

大东：对于个人用户来说，建议就是，互联网用户应该在不同网站，设置不同的密码，而且要保持定期修改的习惯。

小白：这建议虽然没毛病，但是非常反人性啊！不同的网站设置不同的密码，我记不住啊！

大东：那我给你推荐几个可行的方式。收到威胁提示时，尽快修改密码；和财产相关的账号一定要用单独的账号，避免和其他账号密码重叠；使用更安全的认证方式，如果觉得密码太复杂记不住，可以采用扫描二维码登录、刷脸登录、指纹识别登录。

小白：不说了，赶紧去修改密码了，大家也尽快吧！

来源：中国科学院计算技术研究所