機器人的洪流：刷庫、撞庫那些事兒

機器人的洪流—刷庫、撞庫那些事兒

目明@阿里安全

---

一、 那些信息泄露的事

面對社會上層出不窮的詐騙新聞，我們可以發現騙子們詐騙成功的一個關鍵是：騙子們知道你叫什么、住在哪里、買了什么東西、花了多少錢。這些信息騙子們是從哪里得來的呢？

最近某票務網站就出現了這么一例case，因為騙子們知道其在該網站上的訂單信息、電話和住址，因此認為騙子就是真實的該網站的客服人員，從而被引導到轉款等流程中。

二、 他們怎么知道我們的個人信息

大多數人看到這些短信的第一反應是:我的信息被平台商賣給了騙子!其實對於大部分大廠商來說，客戶的信息都是最重要的資產，不會賣給其他任何第三方，更不可能賣給騙子。

真實的情況是以下這幾種：

    · 這個平台存在漏洞，數據被黑客攻破，整個數據庫被“拖”走了。（整個數據庫都被別人掌握，然后販賣出去）

    · 平台內部出現人事問題，導致數據被人拿去售賣了。（內鬼作案）

    · 平台的某些接口存在風控漏洞，導致黑客利用已有的數據庫內容進行匹配，導致數據被人批量拿走。(所謂的刷庫撞庫)

隨着互聯網安全的逐步發展，前兩種情況已經比較少了，市面上常見的泄露都是由於第三種情況造成的，也即刷庫、撞庫這種手法。從之前的case中，我們也可以看到最終導致信息泄露的原因是刷庫、撞庫：

三、 數據庫泄露嚴重嗎

簡單列舉下一些大家都知道的數據庫泄露：

    · 某SDN數據

    · 某訊群數據

    · 某酒店開房數據

    · 某知名bbs論壇數據庫

    · 等等

在明處的泄露數據庫，已經數不勝數，而在暗處，只是流通在各個小圈子中的數據庫會更加可怕。這也是為什么，有人說道，在互聯網時代的所有人，都是在裸奔。這些數據庫可能不會有你的全部信息，但是黑產通過數據關聯、整理和分析，可以得到你的相關全部數據。對於普通人來說，注冊一個網絡賬號，可能使用的賬戶名、密碼等都具有極度的相似性（甚至完全一樣）。在某些特別的應用中，如使用身份證、手機號注冊的賬號，這些用戶名具有先天一致性。通過對這個社工庫的不斷完善，黑客可以得到越來越多關於你的信息。

四、 黑客是如何通過已有數據庫進行撞庫的 

以上是在攻擊者視角的一個圖，對於部分公司來說，存在一個誤區，即風險只是存在於登錄等場景中，但是實際上，任何與后端數據庫存在交互的地方都有可能被攻擊者用於撞庫攻擊。

攻擊第一步——洗庫：

之所以要進行洗庫，是為了加快最后撞庫的速度，同時避免被發現。因為通常在登陸等入口的防御強度通常會更強。

例如找密場景中：

通過這樣一個接口，攻擊者用於進行第一波洗庫的工作。

攻擊第二步——撞庫：

撞庫的流程與洗庫的邏輯基本一致，其采用的接口與洗庫可以一樣也可以不一樣，完全看攻擊者找到了哪個較弱的接口。暴力破解與撞庫的差別也就是：密碼庫是已經准備好的，還是實時生成的而已。

五、 現有的防御思路

總結上面提到的撞庫刷庫等問題，我們面臨了以下幾種挑戰：攻擊面的確認，數據等級的確認。哪些地方可能存在利益點，哪些地方的數據危險性高，並且要不無遺漏的總結出來，才能達到一個較好的防御效果；如果漏掉了其中的一個，根據木桶原理，即代表整體失效。

如何保護數據

假設已經確認了需要保護的點，如何對其進行有效防護？

普通驗證碼

帶文字信息的普通驗證碼，是考慮到防御時，第一個會出現在腦海里面的東西。但是，隨着該模式的不斷被研究，打碼平台、字庫、各種驗證碼識別算法不斷出現，導致在實際的攻防效果上來說，普通驗證碼已經不具有阻攔惡意攻擊的能力了。

手機驗證碼

有部分廠商認為，手機卡和手機卡是一個可以做到對用戶進行真實性訪問確認的好工具。在剛開始的幾年內，該方法的確是一個有效的方法，但是隨着黑產開始大規模的應用貓池和特殊的零月租手機卡，這個方法的實用性也大打折扣。甚至催生出了一個新的產業：卡商。

一條短信對於黑產的成本也只是0.1元而已，並且隨着產業的不斷發展，這個價格只會越來越低。

IP限制

ip是從互聯網之初就一直被使用的一個指標。簡單來說就是，對單位時間內的單ip訪問的次數進行強限制，如果超過某個數值后，就判定為存在攻擊風險並進行攔截。然而，在互聯網時代，ip是非常廉價甚至是免費的資源。只需要付出很小的代價，你就可以擁有世界各地的ip進行選擇使用。

也有部分防御思路是，對ip進行反向探測等，抓出某些互聯網上的免費或者提供服務的ip。但是針對這些思路，黑產攻擊者也采用了如某些運營商寬帶斷線重連重新分配ip的機制來進行繞過。

六、 阿里巴巴的防御體系

基於上述的討論，我們可以得出結論：現有的普通防御手段已經不足以抵御這些互聯網上橫行的機器程序。

在這場攻防雙方不斷螺旋對抗的游戲中，需要新的對抗思路，這也是阿里巴巴數據風控團隊長久以來一直在努力的方向：成為機器的牆。

簡單的敘述我們的一些關鍵技術點：

    · 先進的設備指紋技術，讓攻擊程序無所遁形。

    · 先進的風險ip監測技術，通過反向探測、實時計算等方法得到當前ip的風險值。

    · 強大的前端加解密對抗技術，讓攻擊者在偽造請求的同時直面無法破解的盾牌。      

    · 周期性的自更新技術，攻擊者一時的破解無法長時間適用，每次破解必須從頭開始，大大增加攻擊者的攻擊成本。

    · 基於大數據計算的實時風險引擎，基於設備、ip、行為等進行綜合評分。

這些相關技術都已經在阿里系相關的平台上經歷了多年的考驗，每天都在線上實時的為保護客戶數據做着努力。

七、 阿里聚安全數據風控產品

撞庫、刷庫作為一個現在，並且在可預見的將來也將一直是互聯網的一個急需解決的問題。面對這些不斷增加的自動化機器人、層出不窮的攻擊者以及越來越低門檻的攻擊技術，客戶們需要的是充分平衡了體驗和安全性的安全產品。

阿里巴巴數據風控團隊，基於多年的防控經驗、大數據等前沿分析方法，推出了一系列的數據風控產品，可以有效解決垃圾注冊、刷庫撞庫、活動作弊、論壇灌水等嚴重威脅互聯網業務安全的風險，並在保障安全性的同時，兼顧正常用戶的使用體驗。

更多產品信息，請移步阿里聚安全官網：http://jaq.alibaba.com/riskcontrol

 

作者：目明@阿里安全，更多安全類文章，請訪問阿里聚安全博客