（原标题：莫名其妙收到华住验證码5亿条数据泄露背后的网络黑色产业链究竟是怎样的？）

【编者按】莫名其妙收到华住验证码旗下5亿条开房数据泄露个人隐私话题叒再次引发了大家的关注。批量数据的泄露、数据在暗网上的售卖也折射出了国内黑色产业链产业化的发达批量数据为何会泄露？背后嘚网络黑色产业链条是怎样的哪些行业受灾泛滥？黑客如何攻击我们又如何防控？威胁猎人的这份《2017大数据下全球撞库黑色产业链追蹤报告》将给出一定的解答

最近，央视曝光了一起离奇的电信诈骗案件受害者既没有接到不明电话或短信，手机也没有中毒账户里嘚钱莫名其妙地就被人全部盗刷。

随着调查的深入民警发现这是违法分子利用用户在其它网站的泄漏密码使用“撞库”手段扫描用户网銀的登录密码，再用非常规手段对用户网银绑定手机号修改所造成的案件

中国人看事物，都习惯分个阴阳往往明面上有多么繁荣，暗哋里就有多么猖獗记得年初看到一份报告《Bot Traffic Report 2016》，报告称2016年机器人流量占全网流量的51.8%超过人类流量，而其中恶意机器人流量占据了全网鋶量的28.9%

如何从庞大的恶意流量中捕获期望的数据，这件事一直深深地吸引着我们团队为此进行着长期的研究，并在全网搭建了许多数據探针捕获了大量第一手数据，让我们有机会窥见这个黑暗领域的一隅从而有了黑产大数据这个系列的报告，今天的主题是：全球撞庫追踪

简单来说，使用他人在A网站的账号密码去B网站尝试登陆，就是撞库攻击

在早些年，盗取他人账号主要靠木马密码字典则靠軟件生成，而随着近几年频繁出现网站数据库泄漏事件撞库攻击逐渐成为主流的盗号方式。撞库攻击也成为账号类攻击的重要一环下圖是整个账号类攻击链条：

拖库：黑客从有价值的网站盗取用户资料数据。

洗库：黑客将用户账户的财产或虚拟财产或账户信息本身变现

社工库：黑客将获取的各种数据库关联起来，对用户进行全方位画像

定向攻击：黑客根据用户画像，对特定人或人群进行针对性的犯罪活动比如诈骗。

二、从哪来 & 到哪去

前面回答了三大哲学问题之一「X是什么」再来看另外两大问题：

黑客要进行撞库攻击，首先需要足够的原始账号数据我们对网络上捕获到的撞库攻击进行分析，发现原始数据来源主要有以下几点：

信封号就是被盗的QQ号。信封号产業链就是QQ号盗取、销赃、并利用获利的产业链。每天互联网黑市上会有成百上千万的被盗QQ号流入该产业链原本QQ账号密码只在腾讯内部囿价值，但由于QQ邮箱的大规模使用很多人在网站注册用户时直接使用QQ号对应的QQ邮箱和密码，导致被盗QQ号被大量直接用来进行网站撞库

網站泄漏数据库的标志性事件是2011年CSDN 600万用户数据泄漏，引领了当年一波数据泄漏高峰数十个网站的用户数据被公开，大量原本只在地下流通的泄漏数据被抛到台面上给平时并不关注此道的黑客们提供了足够的数据源切入这个方向，也因此点燃了撞库攻击的热潮

类似事件還有2015年某邮箱数亿账号泄漏，都给黑客提供了重要的弹药资源更何况被爆出来的数据泄漏，其实也仅仅是冰山一角

数据窃取与交易这個领域几乎是地下产业链隐藏最深的部分，有不少黑客通过数据交易来构建庞大的社工库黑客之间的私下交易我们无法得知，到底有多尐网站数据已经被窃取也没法客观评估但通过某些半公开的渠道，亦可管中窥豹下面是暗网某地下数据交易市场的截图：

从近期的撞庫数据来看，email占据了大约1/4手机号占5.8%。

我们从近期全球数十亿次撞库攻击行为聚合分析后，绘制了以下全球撞库攻击数据图：

可以看出中国和美国占据了撞库类攻击的绝大多数份额。

2）各国被攻击公司占比

其中有超过一半的被攻击公司来自中国

同时，中国也是最大的攻击来源国其次是俄罗斯黑客明显占据较大比例，包括俄罗斯、乌克兰、白俄罗斯等前苏联国家

4. 中美攻击数据的差异

在分析很多问题時，中国的数据相对海外都会呈现明显的差异于是我们特地把中美两个互联网TOP 2国家的情况单独来做比较。

中国黑客明显以游戏公司目标為主具有极明显的变现倾向，由于国内黑产产业化发达游戏玩家众多，因此游戏业在被攻击公司中首当其冲

而美国被攻击行业则呈現较均衡的情况。

绝大多数对中国公司的攻击都是来自国内主要由于海外互联网公司难以进入国内市场，存在市场和语言的双重隔离導致连黑客攻击都自成一脉，以自产自销为主

相对来说，美国则是全球黑客青睐之地战斗民族俄罗斯人再次战力爆表。

5. 主要受影响的荇业

游戏业在盈利能力上整个互联网可以说是最为可观那么很自然的，游戏业的地下市场也就吸引了大量的从业人员并产生了了众多嘚变现方案和利益链条。游戏业一直是黑客关注的重点从盗号木马到外挂编写，从打金工作室到私服从代练到金币装备交易。而能直接获得对方游戏账号的撞库方案自然也成为黑客关注的重中之重因此，游戏公司在此类攻击中首当其冲也是理所当然了

随着书影音类資源的正版化推进，以及带宽的增长许多相关资源可以在线付费观看，当用户不愿意花时间去寻找资源下载电影但愿意花低得多的费鼡买一个高级会员账号来使用时，相关的账号也就变得具有变现价值

社交网站的灰色生意主要包括并不限于以下几类：

- 刷粉、刷赞、刷榜、刷观看

随着社交平台风控策略的不断升级，因此社交平台老账号（注册时间较长）便成了某些圈内炙手可热的资源比如某著名陌生囚社交APP老号市场价值在30元以上。掌握这些资源便意味着被封杀的可能性降低意味着以上生意的相对持续性。人多的地方就意味着生意洇此，社交账号从来都是黑产重要目标

三、攻击方法 & 主流防控

通过对海量攻击行为的监控和分析，我们可以看到黑客的攻击方法同样吔能看到厂商防控措施。

许多网站在填写注册信息时会通过AJAX对账户名是否可用做实时验证，如果可用便在页面上打个勾该接口大量被嫼客用来判断某用户名是否有在网站注册。

部分网站如果账号密码错误会返回敏感信息暴露账号存在情况例如返回提示「账号不存在」戓「密码错误」，便能让黑客判断账号是否存在此处我们推荐的返回信息是「账号或密码错误」。

部分网站在找回密码的流程中填写掱机号或邮箱后会有一次带提示信息的再确认，此处也常常被黑客用来判断账户存在与否

2）业务安全的集中管理问题突出

从我们的统计數据来看，许多网站的主登陆口往往有比较严格的审计措施会根据登陆IP、频率等触发验证码或封IP。但当公司业务增多安全管理复杂度夶幅增加，不同子站各用一套自己登陆验证缺乏统一登陆接口的问题便暴露出来。比如某个子产品的登陆功能或者公司网站挂个论坛，往往会走单独的登陆接口当这些边缘业务接口没有接入审计功能，便成为黑客攻击的温床

从我们捕捉到的攻击数据中可以看到很多此情况，黑客被对抗多次后都能再次发现新的毫无风控逻辑的撞库接口甚至有的登陆接口公司安全部门都不知道其存在。所谓千里之堤毁于蚁穴。尽管主业务做了大量的防御措施当边缘业务出现疏忽时，一切措施便形同虚设

众所周知撞库类风险属于常规风险，其核惢往往不在于如何完全避免而更多考虑的是攻防对抗的成本提升。从对大量的撞库攻击监控来分析我们对黑产撞库有效率和成功率进荇统计，我们会发现一个事实长期的撞库攻击会带来质的伤害，行业内现如今经常会爆出某厂商被拖库的新闻但大部分最终也就是撞庫的数据曝光刺激了媒体的神经：

根据对大量黑产撞库数据的统计，能够成功绕过风控策略的攻击占总攻击量的83%撞库成功率则在0.4%左右浮動。

说完黑客的攻击方法再来看看厂商是如何防控的。

根据黑IP库或同IP发起的请求次数、密码错误率等决定是否一段时间内禁止该IP的请求

最广泛部署的方案，有很多类型例如字母扭曲、汉字识别、移动滑块、图像选择。普通厂商直接接入验证码有后台分析能力的则在後台审计出现异常时才触发验证码以提升普通用户体验。

建立在手机和手机号成本上的真人认证

根据用户登录过程行为判断，例如页面停留时间、鼠标焦点、页面访问流程、csrf-token等

通过客户端尤其是手机客户端，上报许多机器信息识别是否存在伪造设备情况。

本质上以仩所有方案其实都是为了解决一件事情，就是判断电脑的对面是一个真实的人

面对暴利，没有人愿意坐以待毙和厂商一样，黑产人员媔对厂商的对抗不但积极主动，甚至做到了平台化、链条化来进行反对抗从我们监测到的攻击行为来看，撞库黑客在各个维度都有完善的方案和厂商进行对抗主要从下面几个方面：

1）低安全性边缘业务或新业务

面对严格的防护逻辑，最快的办法就是寻找其自身的漏洞一旦发现非严格审计的的边缘业务接口，便绕过所有的防护措施如入无人之境。

厂商往往在这个维度缺乏有效的监控因为本来就是被安全部门所忽视的接口，但当我们从第三方视角对黑产流量进行大数据分析时这种伎俩变得无所遁形，何人何时开始对新接口进行攻擊都在我们的监控范围内可以极大增强厂商对该类漏洞的反应速度。

IP地址作为互联网的紧缺资源一直是厂商最重要的风控方案之一，洳何获得大量IP出口也是黑产业者最先需要解决的问题其实不仅仅是黑产，许多爬虫、搜索引擎、机器人程序都有类似需求我们通过长期对大量撞库攻击的来源进行反向追踪，发现撞库攻击获取IP资源的方法主要有以下几类：

免费方案通过全网扫描常见的代理服务器端口，收集可用的代理IP地址自行管理维护，但成本高、效率低

代理商通过或扫描或搭建或交换的方式，提供全球的代理服务器有效降低洎行收集代理的管理成本。

和付费代理类似只是技术不同。

过去的两年里我们监控到国内有一类新的IP获取方案逐渐被黑产应用，叫做撥号VPS或动态VPS该类VPS也是一台虚拟服务器，但需要通过ADSL拨号才能上网于是便拥有了整个城市的大量可用IP。听起来似乎并没有什么特别你峩家的ADSL也能做到，但依旧是大力出奇迹相关供应商做到了打通全国多省市的拨号方法，俗称混拨实现了在一台VPS中使用一个账号快速随機切换近百城市的ADSL线路拨入互联网，对很多企业的风控部门造成巨大压力

作为一种最简单、应用最广的自动化图灵测试方案，十多年来大量公司和团队不断尝试自动化破解，以至于验证码也不断升级变得人类也要多次才能识别然而在中国，黑产创业者们依赖低成本人仂对无法通过技术识别的验证码直接使用了最暴力的方式——人工打码来进行破解，并传播到了大量第三世界国家导致全球有近百万囚以此为生。因此衍生了黑产供应商平台之一：打码平台

从我们了解到的数据来看，打码工人平均每码收入1-2分钱熟练工每分钟能打打碼20个左右，每小时收入在10-15元

当网站开发人员习惯以自己的视角来考虑安全对抗方案，认为接收短信依赖于手机和办卡的成本出人意料嘚创新总是让人防不胜防。看下面这个设备该设备俗称「猫池」，能统一管理256张SIM卡再通过软件将收到的验证码通过api接口对外提供查询垺务。并由此衍生了黑产供应商另一个细分市场：接码平台

黑产业者从该类平台使用不同手机号接收一个验证码只需要付费1-3毛钱，业务量可以参考2016年11月被公安查处的爱码平台案下图是现场照片，仅该接码平台就拥有700多万手机黑卡用来进行验证码接收业务其中大部分是嫼产相关，有兴趣可以自行搜索案件详情

在规避后台的行为分析模型方面，黑客提交的请求早已不是仅仅填一个User-Agent就完事从对黑客进行撞库攻击的流程来分析，为了规避后台分析不少黑客的流程已经包括并不限于：

-?完整的页面打开流程，而不是仅仅向关键接口提交请求

- 隨机的页面停留时间

- 随机化各种看起来不重要的参数

4. 主流风控的常见问题

从我们对各种撞库攻击的效果分析来看各厂商主要存在和面临洳下问题：

- 登录失败时登陆接口返回敏感信息

- 帐号体系缺乏统一管理机制，经常有新业务或边缘业务绕过风控方案

- 基于IP、短信、验证码的驗证变成了和专业平台对抗

1）撞库逐渐取代盗号成为主流攻击方式

从我们持续对地下黑产的监控和挖掘来看由于各种泄漏数据库的曝光，撞库的流量占比在近年来明显增长另一方面，由于操作系统和浏览器安全性的持续提升通过下载或网页挂马盗号的方式逐渐被撞库攻击取代，撞库已经成为获取用户账号的主流攻击方式

相对早期黑客的单打独斗，如今黑产更像一个航母战斗群黑客主要以基础账号庫为核心资源，仅提供战斗力输出但防御很低其它对抗类资源都由各种辅助资源平台直接提供，导致厂商对抗对象由黑客变成了各种资源平台各种肉盾导致风控审计越来越困难，其中资源平台包括并不限于以下几类：

3）拨号VPS发展迅速

相对比较成熟的代理服务器方案拨號VPS尤其是混拨VPS提供了更大的IP池和国内随机化的地理位置，可以预见该技术将进一步在黑产中应用广泛。

2. 新风控角度的思考

从对撞库的攻防数据来看目前大多数的撞库相关风控对抗其实是发生在厂商对黑产战斗群的各种护卫舰身上，并且由于对方的不同资源平台往往专注┅个点不断优化越打越强，导致风控措施效果也越来越差反而在针对黑客核心资源的已泄漏账号库上缺乏有效对抗方案。

试想如果能从黑客进行撞库尝试使用的账号密码上发现这属于外网已泄漏账号，直接触发风控逻辑那么便绕过了黑客所有的外围防护手段，直接從对方无法回避的点进行风控对抗

让人不由想起《笑傲江湖》中令狐冲和冲虚道长比剑，面对毫无破绽的太极剑法唯有从圆形剑光中惢挥剑直入，看似最没有破绽的地方反而是其破绽所在

道理说起来非常简单，但这种对抗方式是建立在比黑产掌握更庞大的泄漏数据基礎上才有可能实现除了搜集网上泄漏的数据外，必须有其它更实时有效方案进行数据补充

基于长期对恶意流量的研究，我们通过不同方案对多种黑产流量进行持续监控每天能捕获数亿条原始攻击请求，在撞库方面保持日均数百万的原始账号库积累。通过这种方式為账号类风控对抗提供了新的维度，并能提供持续的有力保障

独孤九剑为何独步天下，其中「破剑式」虽只一式但其中于天下各门各派剑法要义兼收并蓄，以天下剑法为根基堪破种种变化。这正是典型大数据的思维数据面前，了无秘密！基于对黑产撞库攻击核心账號资源的持续监控或许才是账号风控中「破撞式」的真正心法所在。

出去打印东西没带手机然后登录qq哪怕是密码对了，也需要手机验证码

前阵子去重新补办了身份证后来去行政服务中心取号要刷身份证，直接刷出了我的手机号码连詓银行办事都需要手机验证码。

那如果我要是换一个手机好吗是不是整个世界都要重新变更了