聚美在线网  >  科技 > 正文

不要让用户的个人信息成为黑产的“摇钱树”

近年来,大规模的个人身份泄漏已经发生多起,个人信息泄露的问题日渐凸显,信息泄露背后的黑色产业链也引起公众的关注。

跟身份盗用的信贷欺诈不同,盗刷盗号无需获得申请人身份证信息,且由于金融机构给与的金融账户在使用时仅需输入登录密码、交易密码,无需进行身份验证,获得用户金融账户以及密码,就相当于获得用户身份。所以盗刷盗号比冒用身份信贷欺诈成功概率更高。

盗刷盗号常用的技术手段为拖库、洗库和撞库

拖库也称“脱裤”,是欺诈分子通过技术手段或者社会工程的方式盗取用户信息的行为。拖库是怎么做的呢?

它通常的步骤如下:第 1 步,黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括 SQL 注入、文件上传漏洞等;第 2 步, 通过该漏洞在网站服务器上建立“后门 (webshell)”,通过该后门获取服务器操作系统的权限;第 3 步,利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。

“洗库”,是指黑客、欺诈分子在完成拖库后,通过技术手段将有价值的用户数据归纳分析,变卖给黑产、欺诈分子变现的行为。

案例:某动漫直播视频网站的用户数据在暗网出售,包含用户名、手机号以及密码,数量高达900万条,大部分为一手数据,出卖价格为40人民币。如果这900万条信息,平均每条能获利2毛,欺诈团伙将有140万元的利润。

撞库就更加危险,完成洗库后,黑客在售卖个人信息的同时,会将该部分信息进行整理,批量尝试在另一网站或平台匹配登录的行为,称为撞库。

黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A 网站的账户从而尝试登录 B 网址。黑客在进行拖库与洗库后,一般会利用已获得的用户信息进行撞库,已获取更多的用户信息。

被撞库网站行业分布

根据阿里安全报告统计,截止至 2017 年,被撞库的网站当中,金融机构占比 20%,在所有行业中排行最高。

应该如何应对?

拖库、洗库、撞库流程

1.注册接口快速验证:建议金融机构在网站登录时,避免使用 AJAX 进行账户验证,且每次登陆都需要重新请求验证码,避免出现一个验证码可进行多次登陆验证的操作。

2.登陆接口返回信息:部分网站如果账号密码错误会返回敏感信息暴露账号存在情况。例如返回提示「账号不存在」或「密码错误」,便能让黑客判断账号是否存在。此处我们推荐的返回信息显示为「账号或密码错误」。

3.找回密码接口:部分网站在找回密码的流程中,填写手机号或邮箱后会有一次带「账号不存在」提示信息,此处也常常被黑客用来判断账户存在与否,建议金融机构将返回信息删去。

?(来源:百融云创)

返回顶部