揭秘黑遍10亿中国人的撞库大法

前言

几年前，“撞库”这个词对我们而言还较为陌生，但如今，我们似乎已不再对它感到生疏。一个个撞库事件背后，隐藏着怎样的黑色产业链？是什么利益驱动着这些事件的发生？谁才是真正的罪魁祸首？我们又该如何防范撞库风险？

撞库，虽不属于传统意义上的漏洞，但其威力却不容小觑。面对撞库威胁，我们开始思考、警觉，甚至感到惊悚，仿佛这是一个无解的难题。于是，便有了下面这篇深入探讨撞库的文章。

何为撞库

黑客通过各种途径（如社会工程学、攻击、交易等）收集互联网上已泄露的用户账号和密码信息，然后在目标网站上进行批量登录尝试，如同撞运气一般，试图找出能够成功登录的用户名和密码组合。如果用户为了方便记忆，在多个网站使用相同的用户名和密码，黑客就能够利用已掌握的信息轻松登录这些网站，进而获取用户的相关敏感信息，如手机号码、身份证号码、家庭住址、支付宝及网银信息等。黑客获取这些信息后，便有了更多的获利途径，例如实施诈骗、盗用资金、多次交易买卖用户信息等。在严重情况下，甚至可能危及用户的财产和生命安全。

由于大部分用户安全意识薄弱，为了方便记忆，习惯在多个网站使用统一的用户名和密码。这就如同给自己打造了一把“万能”钥匙，一旦这把钥匙泄漏，就可能导致其他账户受到牵连。撞库行为无论是对普通用户还是服务提供商，都可能造成严重的伤害。例如，之前某电商网站曾遭遇“抹黑”事件，黑客利用“撞库”手段，“凑巧”获取到该电商网站用户的数据（如用户名 + 密码），然后模仿正常用户进行评论，留下大量差评，给正常商家带来了极其恶劣的影响。

典型的信息泄漏和撞库事件

• 2014 年 3 月，携程因技术漏洞，导致用户个人信息、银行卡 CVV 安全码等信息泄漏。
• 2014 年 5 月，小米被曝光用户资料泄漏，涉及 800 万小米论坛注册用户信息。
• 2014 年 8 月，多家快递公司网站被入侵，存在漏洞，导致 1400 万条个人信息泄漏。
• 2014 年 12 月，智联招聘 86 万用户简历泄漏。
• 2014 年 12 月，东方航空大量用户订单信息泄漏。
• 2014 年 12 月底，12306 火车订票网站遭遇撞库攻击。

此类事件层出不穷，我们不禁担忧，下一个受害者会是谁？我们不能再以看热闹的心态对待这些事件，因为撞库让每个人都有可能成为受害者。

除了撞库，不得不说的还有拖库和洗库

撞库的前提是黑客需要掌握大量的用户信息，而这些信息的源头往往来自于“拖库”。拖库是一个黑客术语，指的是黑客入侵有价值的网站，将注册用户的资料数据库全部盗走的行为。由于谐音，它也常被称作“脱裤”。

黑客在获取大量用户数据后，会通过一系列技术手段和黑色产业链，将有价值的用户数据转化为现金，以实现非法获利的目的，这一过程被称为“洗库”。洗库的获利方式多种多样，例如：

• 售卖用户账号中的虚拟货币、游戏账号、装备等，也就是俗称的“盗号”。
• 对于金融类账号，如支付宝、财付通、网银、信用卡、股票账号和密码等，用于金融犯罪和诈骗。
• 针对一些特殊的用户信息，如学生、打工者、老板等，通过发送广告、垃圾短信、电商营销等方式变相获利。
• 将有价值的用户信息直接出售给第三方，如网店经营者和广告投放公司等。例如，黑客利用获取的 12306 账户信息进行铁路购票、退票、倒卖信息等操作。

作为普通用户，撞库如何破

虽然撞库难以防范，而且很多时候问题并非出在普通用户身上，但作为普通用户，我们并非毫无抵抗之力。以下几个小方法虽不能保证万无一失，但可以有效降低被撞库的风险。

第一招：密码轻重分离

重要账户的密码应与其他账户区分开来。日常使用的账户大致可分为两类：财产类和娱乐类。用户名统一与否影响不大，关键在于密码。对于重要的账户（如财产类账户），密码应独立设置。娱乐类账户可以使用统一的用户名和密码，而财产类账户则应使用各自独立又有关联的密码，即选用相似的密码规则以便记忆。例如，财付通的密码可以是“caiXXXXXX（常用密码几位数字）futong”，或“cfXXXXXXt”“cXXXXXXft”“cftXXXXXXdemi”“cftXXXXXX1108”等；淘宝的密码可以是“tbXXXXXXdemi”等。只要密码规则相似，且主体数字一致，记忆起来并不困难。

第二招：登录方式要分离

重要账户可以选择非直接密码登录的方式，如验证手机验证码、APP 动态密码或扫描二维码等。通过这种方式，真正实现重要账户和普通账户的安全分离，为了保障关键账户的安全，在用户体验上可以做出一定的妥协和平衡。

第三招：定期/不定期改密

定期或不定期修改密码虽然是老生常谈，但却有着诸多好处，这也是很多公司和企业强制要求员工经常修改密码的原因。修改密码能够有效降低密码被破解的风险，大家都明白这个道理，在此就不再赘述。

作为服务提供商，撞库如何防

作为服务的提供者，即使安全措施再严密，也难以保证 100%不被拖库，也无法避免因其他网站被拖库而带来的连带影响，如撞库扫号等。因此，服务提供商需要具备强大的实力来防范撞库攻击。撞库对抗本质上是人机对抗的过程，在策略对抗方面，以下思路虽不新颖，但组合使用却十分有效。

第一招：弹验证码

根据用户号码的属性和历史行为进行分析，当系统检测到可疑登录行为时，触发不同类型的验证码，如长验证码、短信（微信）验证码、中文验证码或其他交互类/智能类验证码，以有效对抗验证码的自动破解。

第二招：自动识别异常 IP

目前，各大安全公司都在建设和维护自己的 IP 信誉库，关键时刻，数据的积累和刻画至关重要。虽然黑客可以利用代理等手段随机变换 IP，但 IP 资源毕竟有限，服务提供商掌握的 IP 信息越多，黑客可利用的资源就越少。设备指纹库的思路与此类似。

第三招：收集泄露信息，构建泄露库

构建泄露库的好处在于能够快速判断是否存在撞库行为。例如，当 12306 的泄露信息被用于尝试登录 QQ 或微信，而这些平台并不存在对应的账户时，频繁出现此类行为就可能意味着存在撞库攻击。

此外，结合异地聚集等策略，如命中历史密码比率高、密码错误率高，特别是泄露信息聚集的情况，基本可以判断为撞库。在判断结果较为准确的情况下，可以直接返回密码错误，以混淆黑客的判断；也可以采用差别验证码的思路，要求密码连续正确输入 N 次才允许登录，或者设置登录延时等策略，从而阻断撞库攻击。

截至目前，安全平台部已收录各类账户密码泄漏信息近 10 亿条，涵盖了 12306、公积金、如家、七天、携程、小米、人人网、中华英才网、智联招聘等多个平台。有了这个黑产泄漏库，服务提供商在对抗撞库攻击和提醒用户方面将更加主动。

第四招：短时间内多次不同的尝试

如今，泄露信息的传播速度极快，一旦某个网站被拖库，可能会有多群黑客同时获取数据并进行撞库尝试。对于热门网站或应用，一个账户可能会在短时间内被多人尝试登录。如果在短时间内有不同的人（通过 IP/机器等标识区分）使用历史密码尝试登录同一个账户，那么撞库的可能性就非常高。

第五招：利用 cookie/JS 等动态验证对抗自动机撞库

通过验证参数是否为空、缺失或过分一致等方式，判断登录行为是由人操作还是自动机所为。这是一种常见且有效的对抗撞库的方法。

除了上述安全对抗策略，服务提供商在产品设计上也可以采取一些措施来防范撞库。

• 主动提醒改密：产品可以设置定期改密提醒功能，用户可以自主设置提醒时间。对于容易受到攻击或已出现在泄露库中的号码，可以强制设置较短的提醒周期，提醒用户及时修改密码。
• 主动提醒更换登录方式：向用户推荐更加安全的登录方式，如刷脸、指纹、虹膜识别、APP 动态码等。
• 用户改密时密码强度的隐性提醒：对于已经泄露的密码，在用户修改密码时提示为弱密码，不建议用户再次使用。
• 用户帐号被撞后提供及时保护：当检测到用户账户可能被撞库时，及时提醒用户并锁定账户，以防止进一步的损失。
• 提供用户主动上报泄露信息的渠道：用户如果发现自己的密码泄露，可以通过专门的渠道向服务提供商上报信息。服务提供商可以对这些信息进行特殊处理，例如在用户申诉时，如果历史密码是泄露的密码，则结合其他策略降低得分或清零。

撞库对抗是一场持久战，何时会发生信息泄露和撞库攻击往往不受我们控制，因此，让用户参与进来共同抵制撞库攻击是长久之计。

小结

网络世界险恶，撞库攻击的确难以防范。安全领域的斗争如同道高一尺魔高一丈，我们必须时刻保持警惕，谨慎对待。在日常生活中，我们要牢记“密码分离，定期改密”的原则。各类账户的安全至关重要，请珍惜自己的账户信息，这就是互联网世界的安全博弈，是正义与邪恶的对决，也是我们应对“黑遍 10 亿中国人的撞库大法”的关键所在。