大數(shù)據(jù)下全球撞庫黑色產(chǎn)業(yè)鏈追蹤報告。

最近，央視曝光了一起離奇的電信詐騙案件。

受害者既沒有接到不明電話或短信，手機也沒有中毒，賬戶里的錢莫名其妙地就被人全部盜刷。

隨著調(diào)查的深入，民警發(fā)現(xiàn)這是違法分子利用用戶在其它網(wǎng)站的泄漏密碼使用“撞庫”手段掃描用戶網(wǎng)銀的登錄密碼，再用非常規(guī)手段對用戶網(wǎng)銀綁定手機號修改所造成的案件。

中國人看事物，都習慣分個陰陽。

往往明面上有多么繁榮，暗地里就有多么猖獗。

記得年初看到一份報告《Bot Traffic Report 2016》，報告稱2016年機器人流量占全網(wǎng)流量的51.8%，超過人類流量，而其中惡意機器人流量占據(jù)了全網(wǎng)流量的28.9%。

如何從龐大的惡意流量中捕獲期望的數(shù)據(jù)，這件事一直深深地吸引著我們，團隊為此進行著長期的研究，并在全網(wǎng)搭建了許多數(shù)據(jù)探針，捕獲了大量第一手數(shù)據(jù)，讓我們有機會窺見這個黑暗領(lǐng)域的一隅，從而有了黑產(chǎn)大數(shù)據(jù)這個系列的報告，今天的主題是：全球撞庫追蹤。

一、什么是撞庫攻擊簡單來說，使用他人在A網(wǎng)站的賬號密碼，去B網(wǎng)站嘗試登陸，就是撞庫攻擊。

在早些年，盜取他人賬號主要靠木馬，密碼字典則靠軟件生成，而隨著近幾年頻繁出現(xiàn)網(wǎng)站數(shù)據(jù)庫泄漏事件，撞庫攻擊逐漸成為主流的盜號方式。

撞庫攻擊也成為賬號類攻擊的重要一環(huán)，下圖是整個賬號類攻擊鏈條：詞匯解釋：拖庫：黑客從有價值的網(wǎng)站盜取用戶資料數(shù)據(jù)。

洗庫：黑客將用戶賬戶的財產(chǎn)或虛擬財產(chǎn)或賬戶信息本身變現(xiàn)。

社工庫：黑客將獲取的各種數(shù)據(jù)庫關(guān)聯(lián)起來，對用戶進行全方位畫像。

定向攻擊：黑客根據(jù)用戶畫像，對特定人或人群進行針對性的犯罪活動，比如詐騙。

二、從哪來 & 到哪去前面回答了三大哲學(xué)問題之一「X是什么」，再來看另外兩大問題：從哪里來到哪里去1. 撞庫源數(shù)據(jù)來源黑客要進行撞庫攻擊，首先需要足夠的原始賬號數(shù)據(jù)，我們對網(wǎng)絡(luò)上捕獲到的撞庫攻擊進行分析，發(fā)現(xiàn)原始數(shù)據(jù)來源主要有以下幾點：1)信封號產(chǎn)業(yè)鏈信封號，就是被盜的QQ號。

信封號產(chǎn)業(yè)鏈，就是QQ號盜取、銷贓、并利用獲利的產(chǎn)業(yè)鏈。

每天互聯(lián)網(wǎng)黑市上會有成百上千萬的被盜QQ號流入該產(chǎn)業(yè)鏈，原本QQ賬號密碼只在騰訊內(nèi)部有價值，但由于QQ郵箱的大規(guī)模使用，很多人在網(wǎng)站注冊用戶時直接使用QQ號對應(yīng)的QQ郵箱和密碼，導(dǎo)致被盜QQ號被大量直接用來進行網(wǎng)站撞庫。

2)網(wǎng)站泄漏數(shù)據(jù)庫網(wǎng)站泄漏數(shù)據(jù)庫的標志性事件是2011年 CSDN 600萬用戶數(shù)據(jù)泄漏，引領(lǐng)了當年一波數(shù)據(jù)泄漏高峰，數(shù)十個網(wǎng)站的用戶數(shù)據(jù)被公開，大量原本只在地下流通的泄漏數(shù)據(jù)被拋到臺面上，給平時并不關(guān)注此道的黑客們提供了足夠的數(shù)據(jù)源切入這個方向，也因此點燃了撞庫攻擊的熱潮。

類似事件還有2015年某郵箱數(shù)億賬號泄漏，都給黑客提供了重要的彈藥資源。

更何況被爆出來的數(shù)據(jù)泄漏，其實也僅僅是冰山一角。

3)地下黑市流通數(shù)據(jù)竊取與交易這個領(lǐng)域幾乎是地下產(chǎn)業(yè)鏈隱藏最深的部分，有不少黑客通過數(shù)據(jù)交易來構(gòu)建龐大的社工庫。

黑客之間的私下交易我們無法得知，到底有多少網(wǎng)站數(shù)據(jù)已經(jīng)被竊取也沒法客觀評估，但通過某些半公開的渠道，亦可管中窺豹。

下面是暗網(wǎng)某地下數(shù)據(jù)交易市場的截圖：2. 撞庫源數(shù)據(jù)分類從近期的撞庫數(shù)據(jù)來看，email占據(jù)了大約1/4，手機號占5.8%。

3. 國家被攻擊數(shù)據(jù)我們從近期全球數(shù)十億次撞庫攻擊行為，聚合分析后，繪制了以下全球撞庫攻擊數(shù)據(jù)圖：1)攻擊流量去向可以看出，中國和美國占據(jù)了撞庫類攻擊的絕大多數(shù)份額。

2)各國被攻擊公司占比其中有超過一半的被攻擊公司來自中國。

3)攻擊來源分布同時，中國也是最大的攻擊來源國，其次是俄羅斯黑客明顯占據(jù)較大比例，包括俄羅斯、烏克蘭、白俄羅斯等前蘇聯(lián)國家。

4. 中美攻擊數(shù)據(jù)的差異在分析很多問題時，中國的數(shù)據(jù)相對海外都會呈現(xiàn)明顯的差異。

于是我們特地把中美兩個互聯(lián)網(wǎng)TOP 2國家的情況單獨來做比較。

1)被攻擊公司類型中國黑客明顯以游戲公司目標為主，具有極明顯的變現(xiàn)傾向，由于國內(nèi)黑產(chǎn)產(chǎn)業(yè)化發(fā)達，游戲玩家眾多，因此游戲業(yè)在被攻擊公司中首當其沖。

而美國被攻擊行業(yè)則呈現(xiàn)較均衡的情況。

2)攻擊來源絕大多數(shù)對中國公司的攻擊都是來自國內(nèi)，主要由于海外互聯(lián)網(wǎng)公司難以進入國內(nèi)市場，存在市場和語言的雙重隔離，導(dǎo)致連黑客攻擊都自成一脈，以自產(chǎn)自銷為主。

相對來說，美國則是全球黑客青睞之地，戰(zhàn)斗民族俄羅斯人再次戰(zhàn)力爆表。

5. 主要受影響的行業(yè)1)游戲行業(yè)游戲業(yè)在盈利能力上整個互聯(lián)網(wǎng)可以說是最為可觀，那么很自然的，游戲業(yè)的地下市場也就吸引了大量的從業(yè)人員，并產(chǎn)生了了眾多的變現(xiàn)方案和利益鏈條。

游戲業(yè)一直是黑客關(guān)注的重點，從盜號木馬到外掛編寫，從打金工作室到私服，從代練到金幣裝備交易。

而能直接獲得對方游戲賬號的撞庫方案自然也成為黑客關(guān)注的重中之重，因此，游戲公司在此類攻擊中首當其沖也是理所當然了。

2)版權(quán)行業(yè)隨著書影音類資源的正版化推進，以及帶寬的增長，許多相關(guān)資源可以在線付費觀看，當用戶不愿意花時間去尋找資源下載電影，但愿意花低得多的費用買一個高級會員賬號來使用時，相關(guān)的賬號也就變得具有變現(xiàn)價值。

3)社交行業(yè)社交網(wǎng)站的灰色生意主要包括并不限于以下幾類：刷粉、刷贊、刷榜、刷觀看私信廣告色情社交詐騙隨著社交平臺風控策略的不斷升級，因此社交平臺老賬號(注冊時間較長)便成了某些圈內(nèi)炙手可熱的資源，比如某著名陌生人社交APP老號市場價值在30元以上。

掌握這些資源便意味著被封殺的可能性降低，意味著以上生意的相對持續(xù)性。

人多的地方就意味著生意，因此，社交賬號從來都是黑產(chǎn)重要目標。

三、攻擊方法 & 主流防控通過對海量攻擊行為的監(jiān)控和分析，我們可以看到黑客的攻擊方法，同樣也能看到廠商防控措施。

1. 黑客如何攻擊1)判斷賬號是否存在注冊接口快速驗證許多網(wǎng)站在填寫注冊信息時，會通過AJAX對賬戶名是否可用做實時驗證，如果可用便在頁面上打個勾。

該接口大量被黑客用來判斷某用戶名是否有在網(wǎng)站注冊。

登陸接口返回信息部分網(wǎng)站如果賬號密碼錯誤會返回敏感信息暴露賬號存在情況。

例如返回提示「賬號不存在」或「密碼錯誤」，便能讓黑客判斷賬號是否存在。

此處我們推薦的返回信息是「賬號或密碼錯誤」。

找回密碼接口部分網(wǎng)站在找回密碼的流程中，填寫手機號或郵箱后會有一次帶提示信息的再確認，此處也常常被黑客用來判斷賬戶存在與否。

2)業(yè)務(wù)安全的集中管理問題突出從我們的統(tǒng)計數(shù)據(jù)來看，許多網(wǎng)站的主登陸口往往有比較嚴格的審計措施，會根據(jù)登陸IP、頻率等觸發(fā)驗證碼或封IP。

但當公司業(yè)務(wù)增多，安全管理復(fù)雜度大幅增加，不同子站各用一套自己登陸驗證，缺乏統(tǒng)一登陸接口的問題便暴露出來。

比如某個子產(chǎn)品的登陸功能，或者公司網(wǎng)站掛個論壇，往往會走單獨的登陸接口，當這些邊緣業(yè)務(wù)接口沒有接入審計功能，便成為黑客攻擊的溫床。

從我們捕捉到的攻擊數(shù)據(jù)中可以看到很多此情況，黑客被對抗多次后都能再次發(fā)現(xiàn)新的毫無風控邏輯的撞庫接口，甚至有的登陸接口公司安全部門都不知道其存在。

所謂千里之堤，毀于蟻穴。

盡管主業(yè)務(wù)做了大量的防御措施，當邊緣業(yè)務(wù)出現(xiàn)疏忽時，一切措施便形同虛設(shè)。

3)攻擊效果眾所周知撞庫類風險屬于常規(guī)風險，其核心往往不在于如何完全避免，而更多考慮的是攻防對抗的成本提升。

從對大量的撞庫攻擊監(jiān)控來分析，我們對黑產(chǎn)撞庫有效率和成功率進行統(tǒng)計，我們會發(fā)現(xiàn)一個事實，長期的撞庫攻擊會帶來質(zhì)的傷害，行業(yè)內(nèi)現(xiàn)如今經(jīng)常會爆出某廠商被拖庫的新聞，但大部分最終也就是撞庫的數(shù)據(jù)曝光刺激了媒體的神經(jīng)：撞庫有效率和成功率根據(jù)對大量黑產(chǎn)撞庫數(shù)據(jù)的統(tǒng)計，能夠成功繞過風控策略的攻擊占總攻擊量的83%，撞庫成功率則在0.4%左右浮動。

2. 主流防控說完黑客的攻擊方法，再來看看廠商是如何防控的。

1)主要防護措施封IP根據(jù)黑IP庫或同IP發(fā)起的請求次數(shù)、密碼錯誤率等決定是否一段時間內(nèi)禁止該IP的請求。

驗證碼最廣泛部署的方案，有很多類型，例如字母扭曲、漢字識別、移動滑塊、圖像選擇。

普通廠商直接接入驗證碼，有后臺分析能力的則在后臺審計出現(xiàn)異常時才觸發(fā)驗證碼以提升普通用戶體驗。

短信驗證建立在手機和手機號成本上的真人認證。

行為聚集根據(jù)用戶登錄過程行為判斷，例如頁面停留時間、鼠標焦點、頁面訪問流程、csrf-token等。

設(shè)備聚集通過客戶端尤其是手機客戶端，上報許多機器信息，識別是否存在偽造設(shè)備情況。

本質(zhì)上，以上所有方案其實都是為了解決一件事情，就是判斷電腦的對面是一個真實的人。

3. 主流防控的繞過面對暴利，沒有人愿意坐以待斃。

和廠商一樣，黑產(chǎn)人員面對廠商的對抗，不但積極主動，甚至做到了平臺化、鏈條化來進行反對抗。

從我們監(jiān)測到的攻擊行為來看，撞庫黑客在各個維度都有完善的方案和廠商進行對抗，主要從下面幾個方面：1)低安全性邊緣業(yè)務(wù)或新業(yè)務(wù)面對嚴格的防護邏輯，最快的辦法就是尋找其自身的漏洞。

一旦發(fā)現(xiàn)非嚴格審計的的邊緣業(yè)務(wù)接口，便繞過所有的防護措施，如入無人之境。

廠商往往在這個維度缺乏有效的監(jiān)控，因為本來就是被安全部門所忽視的接口，但當我們從第三方視角對黑產(chǎn)流量進行大數(shù)據(jù)分析時，這種伎倆變得無所遁形，何人何時開始對新接口進行攻擊都在我們的監(jiān)控范圍內(nèi)，可以極大增強廠商對該類漏洞的反應(yīng)速度。

2)IP對抗IP地址作為互聯(lián)網(wǎng)的緊缺資源，一直是廠商最重要的風控方案之一，如何獲得大量IP出口也是黑產(chǎn)業(yè)者最先需要解決的問題。

其實不僅僅是黑產(chǎn)，許多爬蟲、搜索引擎、機器人程序都有類似需求。

我們通過長期對大量撞庫攻擊的來源進行反向追蹤，發(fā)現(xiàn)撞庫攻擊獲取IP資源的方法主要有以下幾類：掃描代理免費方案，通過全網(wǎng)掃描常見的代理服務(wù)器端口，收集可用的代理IP地址，自行管理維護，但成本高、效率低。

付費代理代理商通過或掃描或搭建或交換的方式，提供全球的代理服務(wù)器，有效降低自行收集代理的管理成本。

付費VPN和付費代理類似，只是技術(shù)不同。

撥號VPS過去的兩年里，我們監(jiān)控到國內(nèi)有一類新的IP獲取方案逐漸被黑產(chǎn)應(yīng)用，叫做撥號VPS或動態(tài)VPS。

該類VPS也是一臺虛擬服務(wù)器，但需要通過ADSL撥號才能上網(wǎng)，于是便擁有了整個城市的大量可用IP。

聽起來似乎并沒有什么特別，你我家的ADSL也能做到，但依舊是大力出奇跡，相關(guān)供應(yīng)商做到了打通全國多省市的撥號方法，俗稱混撥。

實現(xiàn)了在一臺VPS中使用一個賬號快速隨機切換近百城市的ADSL線路撥入互聯(lián)網(wǎng)，對很多企業(yè)的風控部門造成巨大壓力。

實際使用效果如下圖：3)驗證碼對抗作為一種最簡單、應(yīng)用最廣的自動化圖靈測試方案，十多年來，大量公司和團隊不斷嘗試自動化破解，以至于驗證碼也不斷升級變得人類也要多次才能識別。

然而在中國，黑產(chǎn)創(chuàng)業(yè)者們依賴低成本人力，對無法通過技術(shù)識別的驗證碼直接使用了最暴力的方式——人工打碼來進行破解，并傳播到了大量第三世界國家，導(dǎo)致全球有近百萬人以此為生。

因此衍生了黑產(chǎn)供應(yīng)商平臺之一：打碼平臺。

從我們了解到的數(shù)據(jù)來看，打碼工人平均每碼收入1-2分錢，熟練工每分鐘能打打碼20個左右，每小時收入在10-15元。

4)短信驗證對抗當網(wǎng)站開發(fā)人員習慣以自己的視角來考慮安全對抗方案，認為接收短信依賴于手機和辦卡的成本，出人意料的創(chuàng)新總是讓人防不勝防。

看下面這個設(shè)備，該設(shè)備俗稱「貓池」，能統(tǒng)一管理256張SIM卡，再通過軟件將收到的驗證碼通過api接口對外提供查詢服務(wù)。

并由此衍生了黑產(chǎn)供應(yīng)商另一個細分市場：接碼平臺。

黑產(chǎn)業(yè)者從該類平臺使用不同手機號接收一個驗證碼只需要付費1-3毛錢，業(yè)務(wù)量可以參考2016年11月被公安查處的愛碼平臺案，下圖是現(xiàn)場照片，僅該接碼平臺就擁有700多萬手機黑卡用來進行驗證碼接收業(yè)務(wù)，其中大部分是黑產(chǎn)相關(guān)，有興趣可以自行搜索案件詳情。

5)模仿真人行為在規(guī)避后臺的行為分析模型方面，黑客提交的請求早已不是僅僅填一個User-Agent就完事，從對黑客進行撞庫攻擊的流程來分析，為了規(guī)避后臺分析，不少黑客的流程已經(jīng)包括并不限于：完整的頁面打開流程，而不是僅僅向關(guān)鍵接口提交請求csrf-token 等參數(shù)完備隨機的頁面停留時間http header 嚴格遵守瀏覽器特征隨機化各種看起來不重要的參數(shù)4. 主流風控的常見問題從我們對各種撞庫攻擊的效果分析來看，各廠商主要存在和面臨如下問題：check-user-exist 類接口缺失風控策略登錄失敗時登陸接口返回敏感信息帳號體系缺乏統(tǒng)一管理機制，經(jīng)常有新業(yè)務(wù)或邊緣業(yè)務(wù)繞過風控方案基于IP、短信、驗證碼的驗證變成了和專業(yè)平臺對抗四、總結(jié)和展望1. 攻擊新趨勢1)撞庫逐漸取代盜號成為主流攻擊方式從我們持續(xù)對地下黑產(chǎn)的監(jiān)控和挖掘來看，由于各種泄漏數(shù)據(jù)庫的曝光，撞庫的流量占比在近年來明顯增長。

另一方面，由于操作系統(tǒng)和瀏覽器安全性的持續(xù)提升，通過下載或網(wǎng)頁掛馬盜號的方式逐漸被撞庫攻擊取代，撞庫已經(jīng)成為獲取用戶賬號的主流攻擊方式。

2)黑產(chǎn)資源平臺化相對早期黑客的單打獨斗，如今黑產(chǎn)更像一個航母戰(zhàn)斗群，黑客主要以基礎(chǔ)賬號庫為核心資源，僅提供戰(zhàn)斗力輸出但防御很低，其它對抗類資源都由各種輔助資源平臺直接提供，導(dǎo)致廠商對抗對象由黑客變成了各種資源平臺，各種肉盾導(dǎo)致風控審計越來越困難，其中資源平臺包括并不限于以下幾類：代理提供商VPN提供商撥號VPS供應(yīng)商短信接碼平臺驗證碼打碼平臺&helpp;&helpp;3)撥號VPS發(fā)展迅速相對比較成熟的代理服務(wù)器方案，撥號VPS尤其是混撥VPS提供了更大的IP池和國內(nèi)隨機化的地理位置，可以預(yù)見，該技術(shù)將進一步在黑產(chǎn)中應(yīng)用廣泛。

2. 新風控角度的思考1)核心賬號資源對抗從對撞庫的攻防數(shù)據(jù)來看，目前大多數(shù)的撞庫相關(guān)風控對抗其實是發(fā)生在廠商對黑產(chǎn)戰(zhàn)斗群的各種護衛(wèi)艦身上，并且由于對方的不同資源平臺往往專注一個點不斷優(yōu)化，越打越強，導(dǎo)致風控措施效果也越來越差，反而在針對黑客核心資源的已泄漏賬號庫上缺乏有效對抗方案。

試想，如果能從黑客進行撞庫嘗試使用的賬號密碼上發(fā)現(xiàn)這屬于外網(wǎng)已泄漏賬號，直接觸發(fā)風控邏輯，那么便繞過了黑客所有的外圍防護手段，直接從對方無法回避的點進行風控對抗。

讓人不由想起《笑傲江湖》中令狐沖和沖虛道長比劍，面對毫無破綻的太極劍法，唯有從圓形劍光中心揮劍直入，看似最沒有破綻的地方反而是其破綻所在。

道理說起來非常簡單，但這種對抗方式是建立在比黑產(chǎn)掌握更龐大的泄漏數(shù)據(jù)基礎(chǔ)上才有可能實現(xiàn)，除了搜集網(wǎng)上泄漏的數(shù)據(jù)外，必須有其它更實時有效方案進行數(shù)據(jù)補充。

2)黑產(chǎn)大數(shù)據(jù)監(jiān)控基于長期對惡意流量的研究，我們通過不同方案對多種黑產(chǎn)流量進行持續(xù)監(jiān)控，每天能捕獲數(shù)億條原始攻擊請求，在撞庫方面，保持日均數(shù)百萬的原始賬號庫積累。

通過這種方式，為賬號類風控對抗提供了新的維度，并能提供持續(xù)的有力保障。

獨孤九劍為何獨步天下，其中「破劍式」雖只一式，但其中于天下各門各派劍法要義兼收并蓄，以天下劍法為根基，堪破種種變化。

這正是典型大數(shù)據(jù)的思維。

數(shù)據(jù)面前，了無秘密!基于對黑產(chǎn)撞庫攻擊核心賬號資源的持續(xù)監(jiān)控，或許才是賬號風控中「破撞式」的真正心法所在。

大數(shù)據(jù)下全球撞庫黑色產(chǎn)業(yè)鏈追蹤報告。

最近，央視曝光了一起離奇的電信詐騙案件。

受害者既沒有接到不明電話或短信，手機也沒有中毒，賬戶里的錢莫名其妙地就被人全部盜刷。

隨著調(diào)查的深入，民警發(fā)現(xiàn)這是違法分子利用用戶在其它網(wǎng)站的泄漏密碼使用“撞庫”手段掃描用戶網(wǎng)銀的登錄密碼，再用非常規(guī)手段對用戶網(wǎng)銀綁定手機號修改所造成的案件。

中國人看事物，都習慣分個陰陽。

往往明面上有多么繁榮，暗地里就有多么猖獗。

記得年初看到一份報告《Bot Traffic Report 2016》，報告稱2016年機器人流量占全網(wǎng)流量的51.8%，超過人類流量，而其中惡意機器人流量占據(jù)了全網(wǎng)流量的28.9%。

如何從龐大的惡意流量中捕獲期望的數(shù)據(jù)，這件事一直深深地吸引著我們，團隊為此進行著長期的研究，并在全網(wǎng)搭建了許多數(shù)據(jù)探針，捕獲了大量第一手數(shù)據(jù)，讓我們有機會窺見這個黑暗領(lǐng)域的一隅，從而有了黑產(chǎn)大數(shù)據(jù)這個系列的報告，今天的主題是：全球撞庫追蹤。

一、什么是撞庫攻擊簡單來說，使用他人在A網(wǎng)站的賬號密碼，去B網(wǎng)站嘗試登陸，就是撞庫攻擊。

在早些年，盜取他人賬號主要靠木馬，密碼字典則靠軟件生成，而隨著近幾年頻繁出現(xiàn)網(wǎng)站數(shù)據(jù)庫泄漏事件，撞庫攻擊逐漸成為主流的盜號方式。

撞庫攻擊也成為賬號類攻擊的重要一環(huán)，下圖是整個賬號類攻擊鏈條：詞匯解釋：拖庫：黑客從有價值的網(wǎng)站盜取用戶資料數(shù)據(jù)。

洗庫：黑客將用戶賬戶的財產(chǎn)或虛擬財產(chǎn)或賬戶信息本身變現(xiàn)。

社工庫：黑客將獲取的各種數(shù)據(jù)庫關(guān)聯(lián)起來，對用戶進行全方位畫像。

定向攻擊：黑客根據(jù)用戶畫像，對特定人或人群進行針對性的犯罪活動，比如詐騙。

二、從哪來 & 到哪去前面回答了三大哲學(xué)問題之一「X是什么」，再來看另外兩大問題：從哪里來到哪里去1. 撞庫源數(shù)據(jù)來源黑客要進行撞庫攻擊，首先需要足夠的原始賬號數(shù)據(jù)，我們對網(wǎng)絡(luò)上捕獲到的撞庫攻擊進行分析，發(fā)現(xiàn)原始數(shù)據(jù)來源主要有以下幾點：1)信封號產(chǎn)業(yè)鏈信封號，就是被盜的QQ號。

信封號產(chǎn)業(yè)鏈，就是QQ號盜取、銷贓、并利用獲利的產(chǎn)業(yè)鏈。

每天互聯(lián)網(wǎng)黑市上會有成百上千萬的被盜QQ號流入該產(chǎn)業(yè)鏈，原本QQ賬號密碼只在騰訊內(nèi)部有價值，但由于QQ郵箱的大規(guī)模使用，很多人在網(wǎng)站注冊用戶時直接使用QQ號對應(yīng)的QQ郵箱和密碼，導(dǎo)致被盜QQ號被大量直接用來進行網(wǎng)站撞庫。

2)網(wǎng)站泄漏數(shù)據(jù)庫網(wǎng)站泄漏數(shù)據(jù)庫的標志性事件是2011年 CSDN 600萬用戶數(shù)據(jù)泄漏，引領(lǐng)了當年一波數(shù)據(jù)泄漏高峰，數(shù)十個網(wǎng)站的用戶數(shù)據(jù)被公開，大量原本只在地下流通的泄漏數(shù)據(jù)被拋到臺面上，給平時并不關(guān)注此道的黑客們提供了足夠的數(shù)據(jù)源切入這個方向，也因此點燃了撞庫攻擊的熱潮。

類似事件還有2015年某郵箱數(shù)億賬號泄漏，都給黑客提供了重要的彈藥資源。

更何況被爆出來的數(shù)據(jù)泄漏，其實也僅僅是冰山一角。

3)地下黑市流通數(shù)據(jù)竊取與交易這個領(lǐng)域幾乎是地下產(chǎn)業(yè)鏈隱藏最深的部分，有不少黑客通過數(shù)據(jù)交易來構(gòu)建龐大的社工庫。

黑客之間的私下交易我們無法得知，到底有多少網(wǎng)站數(shù)據(jù)已經(jīng)被竊取也沒法客觀評估，但通過某些半公開的渠道，亦可管中窺豹。

下面是暗網(wǎng)某地下數(shù)據(jù)交易市場的截圖：2. 撞庫源數(shù)據(jù)分類從近期的撞庫數(shù)據(jù)來看，email占據(jù)了大約1/4，手機號占5.8%。

3. 國家被攻擊數(shù)據(jù)我們從近期全球數(shù)十億次撞庫攻擊行為，聚合分析后，繪制了以下全球撞庫攻擊數(shù)據(jù)圖：1)攻擊流量去向可以看出，中國和美國占據(jù)了撞庫類攻擊的絕大多數(shù)份額。

2)各國被攻擊公司占比其中有超過一半的被攻擊公司來自中國。

3)攻擊來源分布同時，中國也是最大的攻擊來源國，其次是俄羅斯黑客明顯占據(jù)較大比例，包括俄羅斯、烏克蘭、白俄羅斯等前蘇聯(lián)國家。

4. 中美攻擊數(shù)據(jù)的差異在分析很多問題時，中國的數(shù)據(jù)相對海外都會呈現(xiàn)明顯的差異。

于是我們特地把中美兩個互聯(lián)網(wǎng)TOP 2國家的情況單獨來做比較。

1)被攻擊公司類型中國黑客明顯以游戲公司目標為主，具有極明顯的變現(xiàn)傾向，由于國內(nèi)黑產(chǎn)產(chǎn)業(yè)化發(fā)達，游戲玩家眾多，因此游戲業(yè)在被攻擊公司中首當其沖。

而美國被攻擊行業(yè)則呈現(xiàn)較均衡的情況。

2)攻擊來源絕大多數(shù)對中國公司的攻擊都是來自國內(nèi)，主要由于海外互聯(lián)網(wǎng)公司難以進入國內(nèi)市場，存在市場和語言的雙重隔離，導(dǎo)致連黑客攻擊都自成一脈，以自產(chǎn)自銷為主。

相對來說，美國則是全球黑客青睞之地，戰(zhàn)斗民族俄羅斯人再次戰(zhàn)力爆表。

5. 主要受影響的行業(yè)1)游戲行業(yè)游戲業(yè)在盈利能力上整個互聯(lián)網(wǎng)可以說是最為可觀，那么很自然的，游戲業(yè)的地下市場也就吸引了大量的從業(yè)人員，并產(chǎn)生了了眾多的變現(xiàn)方案和利益鏈條。

游戲業(yè)一直是黑客關(guān)注的重點，從盜號木馬到外掛編寫，從打金工作室到私服，從代練到金幣裝備交易。

而能直接獲得對方游戲賬號的撞庫方案自然也成為黑客關(guān)注的重中之重，因此，游戲公司在此類攻擊中首當其沖也是理所當然了。

2)版權(quán)行業(yè)隨著書影音類資源的正版化推進，以及帶寬的增長，許多相關(guān)資源可以在線付費觀看，當用戶不愿意花時間去尋找資源下載電影，但愿意花低得多的費用買一個高級會員賬號來使用時，相關(guān)的賬號也就變得具有變現(xiàn)價值。

3)社交行業(yè)社交網(wǎng)站的灰色生意主要包括并不限于以下幾類：刷粉、刷贊、刷榜、刷觀看私信廣告色情社交詐騙隨著社交平臺風控策略的不斷升級，因此社交平臺老賬號(注冊時間較長)便成了某些圈內(nèi)炙手可熱的資源，比如某著名陌生人社交APP老號市場價值在30元以上。

掌握這些資源便意味著被封殺的可能性降低，意味著以上生意的相對持續(xù)性。

人多的地方就意味著生意，因此，社交賬號從來都是黑產(chǎn)重要目標。

三、攻擊方法 & 主流防控通過對海量攻擊行為的監(jiān)控和分析，我們可以看到黑客的攻擊方法，同樣也能看到廠商防控措施。

1. 黑客如何攻擊1)判斷賬號是否存在注冊接口快速驗證許多網(wǎng)站在填寫注冊信息時，會通過AJAX對賬戶名是否可用做實時驗證，如果可用便在頁面上打個勾。

該接口大量被黑客用來判斷某用戶名是否有在網(wǎng)站注冊。

登陸接口返回信息部分網(wǎng)站如果賬號密碼錯誤會返回敏感信息暴露賬號存在情況。

例如返回提示「賬號不存在」或「密碼錯誤」，便能讓黑客判斷賬號是否存在。

此處我們推薦的返回信息是「賬號或密碼錯誤」。

找回密碼接口部分網(wǎng)站在找回密碼的流程中，填寫手機號或郵箱后會有一次帶提示信息的再確認，此處也常常被黑客用來判斷賬戶存在與否。

2)業(yè)務(wù)安全的集中管理問題突出從我們的統(tǒng)計數(shù)據(jù)來看，許多網(wǎng)站的主登陸口往往有比較嚴格的審計措施，會根據(jù)登陸IP、頻率等觸發(fā)驗證碼或封IP。

但當公司業(yè)務(wù)增多，安全管理復(fù)雜度大幅增加，不同子站各用一套自己登陸驗證，缺乏統(tǒng)一登陸接口的問題便暴露出來。

比如某個子產(chǎn)品的登陸功能，或者公司網(wǎng)站掛個論壇，往往會走單獨的登陸接口，當這些邊緣業(yè)務(wù)接口沒有接入審計功能，便成為黑客攻擊的溫床。

從我們捕捉到的攻擊數(shù)據(jù)中可以看到很多此情況，黑客被對抗多次后都能再次發(fā)現(xiàn)新的毫無風控邏輯的撞庫接口，甚至有的登陸接口公司安全部門都不知道其存在。

所謂千里之堤，毀于蟻穴。

盡管主業(yè)務(wù)做了大量的防御措施，當邊緣業(yè)務(wù)出現(xiàn)疏忽時，一切措施便形同虛設(shè)。

3)攻擊效果眾所周知撞庫類風險屬于常規(guī)風險，其核心往往不在于如何完全避免，而更多考慮的是攻防對抗的成本提升。

從對大量的撞庫攻擊監(jiān)控來分析，我們對黑產(chǎn)撞庫有效率和成功率進行統(tǒng)計，我們會發(fā)現(xiàn)一個事實，長期的撞庫攻擊會帶來質(zhì)的傷害，行業(yè)內(nèi)現(xiàn)如今經(jīng)常會爆出某廠商被拖庫的新聞，但大部分最終也就是撞庫的數(shù)據(jù)曝光刺激了媒體的神經(jīng)：撞庫有效率和成功率根據(jù)對大量黑產(chǎn)撞庫數(shù)據(jù)的統(tǒng)計，能夠成功繞過風控策略的攻擊占總攻擊量的83%，撞庫成功率則在0.4%左右浮動。

2. 主流防控說完黑客的攻擊方法，再來看看廠商是如何防控的。

1)主要防護措施封IP根據(jù)黑IP庫或同IP發(fā)起的請求次數(shù)、密碼錯誤率等決定是否一段時間內(nèi)禁止該IP的請求。

驗證碼最廣泛部署的方案，有很多類型，例如字母扭曲、漢字識別、移動滑塊、圖像選擇。

普通廠商直接接入驗證碼，有后臺分析能力的則在后臺審計出現(xiàn)異常時才觸發(fā)驗證碼以提升普通用戶體驗。

短信驗證建立在手機和手機號成本上的真人認證。

行為聚集根據(jù)用戶登錄過程行為判斷，例如頁面停留時間、鼠標焦點、頁面訪問流程、csrf-token等。

設(shè)備聚集通過客戶端尤其是手機客戶端，上報許多機器信息，識別是否存在偽造設(shè)備情況。

本質(zhì)上，以上所有方案其實都是為了解決一件事情，就是判斷電腦的對面是一個真實的人。

3. 主流防控的繞過面對暴利，沒有人愿意坐以待斃。

和廠商一樣，黑產(chǎn)人員面對廠商的對抗，不但積極主動，甚至做到了平臺化、鏈條化來進行反對抗。

從我們監(jiān)測到的攻擊行為來看，撞庫黑客在各個維度都有完善的方案和廠商進行對抗，主要從下面幾個方面：1)低安全性邊緣業(yè)務(wù)或新業(yè)務(wù)面對嚴格的防護邏輯，最快的辦法就是尋找其自身的漏洞。

一旦發(fā)現(xiàn)非嚴格審計的的邊緣業(yè)務(wù)接口，便繞過所有的防護措施，如入無人之境。

廠商往往在這個維度缺乏有效的監(jiān)控，因為本來就是被安全部門所忽視的接口，但當我們從第三方視角對黑產(chǎn)流量進行大數(shù)據(jù)分析時，這種伎倆變得無所遁形，何人何時開始對新接口進行攻擊都在我們的監(jiān)控范圍內(nèi)，可以極大增強廠商對該類漏洞的反應(yīng)速度。

2)IP對抗IP地址作為互聯(lián)網(wǎng)的緊缺資源，一直是廠商最重要的風控方案之一，如何獲得大量IP出口也是黑產(chǎn)業(yè)者最先需要解決的問題。

其實不僅僅是黑產(chǎn)，許多爬蟲、搜索引擎、機器人程序都有類似需求。

我們通過長期對大量撞庫攻擊的來源進行反向追蹤，發(fā)現(xiàn)撞庫攻擊獲取IP資源的方法主要有以下幾類：掃描代理免費方案，通過全網(wǎng)掃描常見的代理服務(wù)器端口，收集可用的代理IP地址，自行管理維護，但成本高、效率低。

付費代理代理商通過或掃描或搭建或交換的方式，提供全球的代理服務(wù)器，有效降低自行收集代理的管理成本。

付費VPN和付費代理類似，只是技術(shù)不同。

撥號VPS過去的兩年里，我們監(jiān)控到國內(nèi)有一類新的IP獲取方案逐漸被黑產(chǎn)應(yīng)用，叫做撥號VPS或動態(tài)VPS。

該類VPS也是一臺虛擬服務(wù)器，但需要通過ADSL撥號才能上網(wǎng)，于是便擁有了整個城市的大量可用IP。

聽起來似乎并沒有什么特別，你我家的ADSL也能做到，但依舊是大力出奇跡，相關(guān)供應(yīng)商做到了打通全國多省市的撥號方法，俗稱混撥。

實現(xiàn)了在一臺VPS中使用一個賬號快速隨機切換近百城市的ADSL線路撥入互聯(lián)網(wǎng)，對很多企業(yè)的風控部門造成巨大壓力。

實際使用效果如下圖：3)驗證碼對抗作為一種最簡單、應(yīng)用最廣的自動化圖靈測試方案，十多年來，大量公司和團隊不斷嘗試自動化破解，以至于驗證碼也不斷升級變得人類也要多次才能識別。

然而在中國，黑產(chǎn)創(chuàng)業(yè)者們依賴低成本人力，對無法通過技術(shù)識別的驗證碼直接使用了最暴力的方式——人工打碼來進行破解，并傳播到了大量第三世界國家，導(dǎo)致全球有近百萬人以此為生。

因此衍生了黑產(chǎn)供應(yīng)商平臺之一：打碼平臺。

從我們了解到的數(shù)據(jù)來看，打碼工人平均每碼收入1-2分錢，熟練工每分鐘能打打碼20個左右，每小時收入在10-15元。

4)短信驗證對抗當網(wǎng)站開發(fā)人員習慣以自己的視角來考慮安全對抗方案，認為接收短信依賴于手機和辦卡的成本，出人意料的創(chuàng)新總是讓人防不勝防。

看下面這個設(shè)備，該設(shè)備俗稱「貓池」，能統(tǒng)一管理256張SIM卡，再通過軟件將收到的驗證碼通過api接口對外提供查詢服務(wù)。

并由此衍生了黑產(chǎn)供應(yīng)商另一個細分市場：接碼平臺。

黑產(chǎn)業(yè)者從該類平臺使用不同手機號接收一個驗證碼只需要付費1-3毛錢，業(yè)務(wù)量可以參考2016年11月被公安查處的愛碼平臺案，下圖是現(xiàn)場照片，僅該接碼平臺就擁有700多萬手機黑卡用來進行驗證碼接收業(yè)務(wù)，其中大部分是黑產(chǎn)相關(guān)，有興趣可以自行搜索案件詳情。

5)模仿真人行為在規(guī)避后臺的行為分析模型方面，黑客提交的請求早已不是僅僅填一個User-Agent就完事，從對黑客進行撞庫攻擊的流程來分析，為了規(guī)避后臺分析，不少黑客的流程已經(jīng)包括并不限于：完整的頁面打開流程，而不是僅僅向關(guān)鍵接口提交請求csrf-token 等參數(shù)完備隨機的頁面停留時間http header 嚴格遵守瀏覽器特征隨機化各種看起來不重要的參數(shù)4. 主流風控的常見問題從我們對各種撞庫攻擊的效果分析來看，各廠商主要存在和面臨如下問題：check-user-exist 類接口缺失風控策略登錄失敗時登陸接口返回敏感信息帳號體系缺乏統(tǒng)一管理機制，經(jīng)常有新業(yè)務(wù)或邊緣業(yè)務(wù)繞過風控方案基于IP、短信、驗證碼的驗證變成了和專業(yè)平臺對抗四、總結(jié)和展望1. 攻擊新趨勢1)撞庫逐漸取代盜號成為主流攻擊方式從我們持續(xù)對地下黑產(chǎn)的監(jiān)控和挖掘來看，由于各種泄漏數(shù)據(jù)庫的曝光，撞庫的流量占比在近年來明顯增長。

另一方面，由于操作系統(tǒng)和瀏覽器安全性的持續(xù)提升，通過下載或網(wǎng)頁掛馬盜號的方式逐漸被撞庫攻擊取代，撞庫已經(jīng)成為獲取用戶賬號的主流攻擊方式。

2)黑產(chǎn)資源平臺化相對早期黑客的單打獨斗，如今黑產(chǎn)更像一個航母戰(zhàn)斗群，黑客主要以基礎(chǔ)賬號庫為核心資源，僅提供戰(zhàn)斗力輸出但防御很低，其它對抗類資源都由各種輔助資源平臺直接提供，導(dǎo)致廠商對抗對象由黑客變成了各種資源平臺，各種肉盾導(dǎo)致風控審計越來越困難，其中資源平臺包括并不限于以下幾類：代理提供商VPN提供商撥號VPS供應(yīng)商短信接碼平臺驗證碼打碼平臺&helpp;&helpp;3)撥號VPS發(fā)展迅速相對比較成熟的代理服務(wù)器方案，撥號VPS尤其是混撥VPS提供了更大的IP池和國內(nèi)隨機化的地理位置，可以預(yù)見，該技術(shù)將進一步在黑產(chǎn)中應(yīng)用廣泛。

2. 新風控角度的思考1)核心賬號資源對抗從對撞庫的攻防數(shù)據(jù)來看，目前大多數(shù)的撞庫相關(guān)風控對抗其實是發(fā)生在廠商對黑產(chǎn)戰(zhàn)斗群的各種護衛(wèi)艦身上，并且由于對方的不同資源平臺往往專注一個點不斷優(yōu)化，越打越強，導(dǎo)致風控措施效果也越來越差，反而在針對黑客核心資源的已泄漏賬號庫上缺乏有效對抗方案。

試想，如果能從黑客進行撞庫嘗試使用的賬號密碼上發(fā)現(xiàn)這屬于外網(wǎng)已泄漏賬號，直接觸發(fā)風控邏輯，那么便繞過了黑客所有的外圍防護手段，直接從對方無法回避的點進行風控對抗。

讓人不由想起《笑傲江湖》中令狐沖和沖虛道長比劍，面對毫無破綻的太極劍法，唯有從圓形劍光中心揮劍直入，看似最沒有破綻的地方反而是其破綻所在。

道理說起來非常簡單，但這種對抗方式是建立在比黑產(chǎn)掌握更龐大的泄漏數(shù)據(jù)基礎(chǔ)上才有可能實現(xiàn)，除了搜集網(wǎng)上泄漏的數(shù)據(jù)外，必須有其它更實時有效方案進行數(shù)據(jù)補充。

2)黑產(chǎn)大數(shù)據(jù)監(jiān)控基于長期對惡意流量的研究，我們通過不同方案對多種黑產(chǎn)流量進行持續(xù)監(jiān)控，每天能捕獲數(shù)億條原始攻擊請求，在撞庫方面，保持日均數(shù)百萬的原始賬號庫積累。

通過這種方式，為賬號類風控對抗提供了新的維度，并能提供持續(xù)的有力保障。

獨孤九劍為何獨步天下，其中「破劍式」雖只一式，但其中于天下各門各派劍法要義兼收并蓄，以天下劍法為根基，堪破種種變化。

這正是典型大數(shù)據(jù)的思維。

數(shù)據(jù)面前，了無秘密!基于對黑產(chǎn)撞庫攻擊核心賬號資源的持續(xù)監(jiān)控，或許才是賬號風控中「破撞式」的真正心法所在。