近年來,大規模的個人身份洩漏已經發生多起,個人信息洩露的問題日漸凸顯,信息洩露背後的黑色產業鏈也引起公眾的關注。
跟身份盜用的信貸欺詐不同,盜刷盜號無需獲得申請人身份證信息,且由於金融機構給與的金融賬戶在使用時僅需輸入登錄密碼、交易密碼,無需進行身份驗證,獲得用戶金融賬戶以及密碼,就相當於獲得用戶身份。所以盜刷盜號比冒用身份信貸欺詐成功概率更高。
盜刷盜號常用的技術手段為拖庫、洗庫和撞庫
拖庫也稱“脫褲”,是欺詐分子通過技術手段或者社會工程的方式盜取用戶信息的行為。拖庫是怎麼做的呢?
它通常的步驟如下:第 1 步,黑客對目標網站進行掃描,查找其存在的漏洞,常見漏洞包括 SQL 注入、文件上傳漏洞等;第 2 步, 通過該漏洞在網站服務器上建立“後門 (webshell)”,通過該後門獲取服務器操作系統的權限;第 3 步,利用系統權限直接下載備份數據庫,或查找數據庫鏈接,將其導出到本地。
“洗庫”,是指黑客、欺詐分子在完成拖庫後,通過技術手段將有價值的用戶數據歸納分析,變賣給黑產、欺詐分子變現的行為。
案例:某動漫直播視頻網站的用戶數據在暗網出售,包含用戶名、手機號以及密碼,數量高達900萬條,大部分為一手數據,出賣價格為40人民幣。如果這900萬條信息,平均每條能獲利2毛,欺詐團伙將有140萬元的利潤。
撞庫就更加危險,完成洗庫後,黑客在售賣個人信息的同時,會將該部分信息進行整理,批量嘗試在另一網站或平臺匹配登錄的行為,稱為撞庫。
黑客通過收集互聯網已洩露的用戶和密碼信息,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登錄的用戶。很多用戶在不同網站使用的是相同的帳號密碼,因此黑客可以通過獲取用戶在A 網站的賬戶從而嘗試登錄 B 網址。黑客在進行拖庫與洗庫後,一般會利用已獲得的用戶信息進行撞庫,已獲取更多的用戶信息。
被撞庫網站行業分佈
根據阿里安全報告統計,截止至 2017 年,被撞庫的網站當中,金融機構佔比 20%,在所有行業中排行最高。
應該如何應對?
拖庫、洗庫、撞庫流程
1.註冊接口快速驗證:建議金融機構在網站登錄時,避免使用 AJAX 進行賬戶驗證,且每次登陸都需要重新請求驗證碼,避免出現一個驗證碼可進行多次登陸驗證的操作。
2.登陸接口返回信息:部分網站如果賬號密碼錯誤會返回敏感信息暴露賬號存在情況。例如返回提示「賬號不存在」或「密碼錯誤」,便能讓黑客判斷賬號是否存在。此處我們推薦的返回信息顯示為「賬號或密碼錯誤」。
3.找回密碼接口:部分網站在找回密碼的流程中,填寫手機號或郵箱後會有一次帶「賬號不存在」提示信息,此處也常常被黑客用來判斷賬戶存在與否,建議金融機構將返回信息刪去。
閱讀更多 濟南網警巡查執法 的文章
