大數(shù)據(jù)下全球撞庫(kù)黑色產(chǎn)業(yè)鏈追蹤報(bào)告。

最近，央視曝光了一起離奇的電信詐騙案件。

受害者既沒(méi)有接到不明電話或短信，手機(jī)也沒(méi)有中毒，賬戶里的錢莫名其妙地就被人全部盜刷。

隨著調(diào)查的深入，民警發(fā)現(xiàn)這是違法分子利用用戶在其它網(wǎng)站的泄漏密碼使用“撞庫(kù)”手段掃描用戶網(wǎng)銀的登錄密碼，再用非常規(guī)手段對(duì)用戶網(wǎng)銀綁定手機(jī)號(hào)修改所造成的案件。

中國(guó)人看事物，都習(xí)慣分個(gè)陰陽(yáng)。

往往明面上有多么繁榮，暗地里就有多么猖獗。

記得年初看到一份報(bào)告《Bot Traffic Report 2016》，報(bào)告稱2016年機(jī)器人流量占全網(wǎng)流量的51.8%，超過(guò)人類流量，而其中惡意機(jī)器人流量占據(jù)了全網(wǎng)流量的28.9%。

如何從龐大的惡意流量中捕獲期望的數(shù)據(jù)，這件事一直深深地吸引著我們，團(tuán)隊(duì)為此進(jìn)行著長(zhǎng)期的研究，并在全網(wǎng)搭建了許多數(shù)據(jù)探針，捕獲了大量第一手?jǐn)?shù)據(jù)，讓我們有機(jī)會(huì)窺見這個(gè)黑暗領(lǐng)域的一隅，從而有了黑產(chǎn)大數(shù)據(jù)這個(gè)系列的報(bào)告，今天的主題是：全球撞庫(kù)追蹤。

一、什么是撞庫(kù)攻擊簡(jiǎn)單來(lái)說(shuō)，使用他人在A網(wǎng)站的賬號(hào)密碼，去B網(wǎng)站嘗試登陸，就是撞庫(kù)攻擊。

在早些年，盜取他人賬號(hào)主要靠木馬，密碼字典則靠軟件生成，而隨著近幾年頻繁出現(xiàn)網(wǎng)站數(shù)據(jù)庫(kù)泄漏事件，撞庫(kù)攻擊逐漸成為主流的盜號(hào)方式。

撞庫(kù)攻擊也成為賬號(hào)類攻擊的重要一環(huán)，下圖是整個(gè)賬號(hào)類攻擊鏈條：詞匯解釋：拖庫(kù)：黑客從有價(jià)值的網(wǎng)站盜取用戶資料數(shù)據(jù)。

洗庫(kù)：黑客將用戶賬戶的財(cái)產(chǎn)或虛擬財(cái)產(chǎn)或賬戶信息本身變現(xiàn)。

社工庫(kù)：黑客將獲取的各種數(shù)據(jù)庫(kù)關(guān)聯(lián)起來(lái)，對(duì)用戶進(jìn)行全方位畫像。

定向攻擊：黑客根據(jù)用戶畫像，對(duì)特定人或人群進(jìn)行針對(duì)性的犯罪活動(dòng)，比如詐騙。

二、從哪來(lái) & 到哪去前面回答了三大哲學(xué)問(wèn)題之一「X是什么」，再來(lái)看另外兩大問(wèn)題：從哪里來(lái)到哪里去1. 撞庫(kù)源數(shù)據(jù)來(lái)源黑客要進(jìn)行撞庫(kù)攻擊，首先需要足夠的原始賬號(hào)數(shù)據(jù)，我們對(duì)網(wǎng)絡(luò)上捕獲到的撞庫(kù)攻擊進(jìn)行分析，發(fā)現(xiàn)原始數(shù)據(jù)來(lái)源主要有以下幾點(diǎn)：1)信封號(hào)產(chǎn)業(yè)鏈信封號(hào)，就是被盜的QQ號(hào)。

信封號(hào)產(chǎn)業(yè)鏈，就是QQ號(hào)盜取、銷贓、并利用獲利的產(chǎn)業(yè)鏈。

每天互聯(lián)網(wǎng)黑市上會(huì)有成百上千萬(wàn)的被盜QQ號(hào)流入該產(chǎn)業(yè)鏈，原本QQ賬號(hào)密碼只在騰訊內(nèi)部有價(jià)值，但由于QQ郵箱的大規(guī)模使用，很多人在網(wǎng)站注冊(cè)用戶時(shí)直接使用QQ號(hào)對(duì)應(yīng)的QQ郵箱和密碼，導(dǎo)致被盜QQ號(hào)被大量直接用來(lái)進(jìn)行網(wǎng)站撞庫(kù)。

2)網(wǎng)站泄漏數(shù)據(jù)庫(kù)網(wǎng)站泄漏數(shù)據(jù)庫(kù)的標(biāo)志性事件是2011年 CSDN 600萬(wàn)用戶數(shù)據(jù)泄漏，引領(lǐng)了當(dāng)年一波數(shù)據(jù)泄漏高峰，數(shù)十個(gè)網(wǎng)站的用戶數(shù)據(jù)被公開，大量原本只在地下流通的泄漏數(shù)據(jù)被拋到臺(tái)面上，給平時(shí)并不關(guān)注此道的黑客們提供了足夠的數(shù)據(jù)源切入這個(gè)方向，也因此點(diǎn)燃了撞庫(kù)攻擊的熱潮。

類似事件還有2015年某郵箱數(shù)億賬號(hào)泄漏，都給黑客提供了重要的彈藥資源。

更何況被爆出來(lái)的數(shù)據(jù)泄漏，其實(shí)也僅僅是冰山一角。

3)地下黑市流通數(shù)據(jù)竊取與交易這個(gè)領(lǐng)域幾乎是地下產(chǎn)業(yè)鏈隱藏最深的部分，有不少黑客通過(guò)數(shù)據(jù)交易來(lái)構(gòu)建龐大的社工庫(kù)。

黑客之間的私下交易我們無(wú)法得知，到底有多少網(wǎng)站數(shù)據(jù)已經(jīng)被竊取也沒(méi)法客觀評(píng)估，但通過(guò)某些半公開的渠道，亦可管中窺豹。

下面是暗網(wǎng)某地下數(shù)據(jù)交易市場(chǎng)的截圖：2. 撞庫(kù)源數(shù)據(jù)分類從近期的撞庫(kù)數(shù)據(jù)來(lái)看，email占據(jù)了大約1/4，手機(jī)號(hào)占5.8%。

3. 國(guó)家被攻擊數(shù)據(jù)我們從近期全球數(shù)十億次撞庫(kù)攻擊行為，聚合分析后，繪制了以下全球撞庫(kù)攻擊數(shù)據(jù)圖：1)攻擊流量去向可以看出，中國(guó)和美國(guó)占據(jù)了撞庫(kù)類攻擊的絕大多數(shù)份額。

2)各國(guó)被攻擊公司占比其中有超過(guò)一半的被攻擊公司來(lái)自中國(guó)。

3)攻擊來(lái)源分布同時(shí)，中國(guó)也是最大的攻擊來(lái)源國(guó)，其次是俄羅斯黑客明顯占據(jù)較大比例，包括俄羅斯、烏克蘭、白俄羅斯等前蘇聯(lián)國(guó)家。

4. 中美攻擊數(shù)據(jù)的差異在分析很多問(wèn)題時(shí)，中國(guó)的數(shù)據(jù)相對(duì)海外都會(huì)呈現(xiàn)明顯的差異。

于是我們特地把中美兩個(gè)互聯(lián)網(wǎng)TOP 2國(guó)家的情況單獨(dú)來(lái)做比較。

1)被攻擊公司類型中國(guó)黑客明顯以游戲公司目標(biāo)為主，具有極明顯的變現(xiàn)傾向，由于國(guó)內(nèi)黑產(chǎn)產(chǎn)業(yè)化發(fā)達(dá)，游戲玩家眾多，因此游戲業(yè)在被攻擊公司中首當(dāng)其沖。

而美國(guó)被攻擊行業(yè)則呈現(xiàn)較均衡的情況。

2)攻擊來(lái)源絕大多數(shù)對(duì)中國(guó)公司的攻擊都是來(lái)自國(guó)內(nèi)，主要由于海外互聯(lián)網(wǎng)公司難以進(jìn)入國(guó)內(nèi)市場(chǎng)，存在市場(chǎng)和語(yǔ)言的雙重隔離，導(dǎo)致連黑客攻擊都自成一脈，以自產(chǎn)自銷為主。

相對(duì)來(lái)說(shuō)，美國(guó)則是全球黑客青睞之地，戰(zhàn)斗民族俄羅斯人再次戰(zhàn)力爆表。

5. 主要受影響的行業(yè)1)游戲行業(yè)游戲業(yè)在盈利能力上整個(gè)互聯(lián)網(wǎng)可以說(shuō)是最為可觀，那么很自然的，游戲業(yè)的地下市場(chǎng)也就吸引了大量的從業(yè)人員，并產(chǎn)生了了眾多的變現(xiàn)方案和利益鏈條。

游戲業(yè)一直是黑客關(guān)注的重點(diǎn)，從盜號(hào)木馬到外掛編寫，從打金工作室到私服，從代練到金幣裝備交易。

而能直接獲得對(duì)方游戲賬號(hào)的撞庫(kù)方案自然也成為黑客關(guān)注的重中之重，因此，游戲公司在此類攻擊中首當(dāng)其沖也是理所當(dāng)然了。

2)版權(quán)行業(yè)隨著書影音類資源的正版化推進(jìn)，以及帶寬的增長(zhǎng)，許多相關(guān)資源可以在線付費(fèi)觀看，當(dāng)用戶不愿意花時(shí)間去尋找資源下載電影，但愿意花低得多的費(fèi)用買一個(gè)高級(jí)會(huì)員賬號(hào)來(lái)使用時(shí)，相關(guān)的賬號(hào)也就變得具有變現(xiàn)價(jià)值。

3)社交行業(yè)社交網(wǎng)站的灰色生意主要包括并不限于以下幾類：刷粉、刷贊、刷榜、刷觀看私信廣告色情社交詐騙隨著社交平臺(tái)風(fēng)控策略的不斷升級(jí)，因此社交平臺(tái)老賬號(hào)(注冊(cè)時(shí)間較長(zhǎng))便成了某些圈內(nèi)炙手可熱的資源，比如某著名陌生人社交APP老號(hào)市場(chǎng)價(jià)值在30元以上。

掌握這些資源便意味著被封殺的可能性降低，意味著以上生意的相對(duì)持續(xù)性。

人多的地方就意味著生意，因此，社交賬號(hào)從來(lái)都是黑產(chǎn)重要目標(biāo)。

三、攻擊方法 & 主流防控通過(guò)對(duì)海量攻擊行為的監(jiān)控和分析，我們可以看到黑客的攻擊方法，同樣也能看到廠商防控措施。

1. 黑客如何攻擊1)判斷賬號(hào)是否存在注冊(cè)接口快速驗(yàn)證許多網(wǎng)站在填寫注冊(cè)信息時(shí)，會(huì)通過(guò)AJAX對(duì)賬戶名是否可用做實(shí)時(shí)驗(yàn)證，如果可用便在頁(yè)面上打個(gè)勾。

該接口大量被黑客用來(lái)判斷某用戶名是否有在網(wǎng)站注冊(cè)。

登陸接口返回信息部分網(wǎng)站如果賬號(hào)密碼錯(cuò)誤會(huì)返回敏感信息暴露賬號(hào)存在情況。

例如返回提示「賬號(hào)不存在」或「密碼錯(cuò)誤」，便能讓黑客判斷賬號(hào)是否存在。

此處我們推薦的返回信息是「賬號(hào)或密碼錯(cuò)誤」。

找回密碼接口部分網(wǎng)站在找回密碼的流程中，填寫手機(jī)號(hào)或郵箱后會(huì)有一次帶提示信息的再確認(rèn)，此處也常常被黑客用來(lái)判斷賬戶存在與否。

2)業(yè)務(wù)安全的集中管理問(wèn)題突出從我們的統(tǒng)計(jì)數(shù)據(jù)來(lái)看，許多網(wǎng)站的主登陸口往往有比較嚴(yán)格的審計(jì)措施，會(huì)根據(jù)登陸IP、頻率等觸發(fā)驗(yàn)證碼或封IP。

但當(dāng)公司業(yè)務(wù)增多，安全管理復(fù)雜度大幅增加，不同子站各用一套自己登陸驗(yàn)證，缺乏統(tǒng)一登陸接口的問(wèn)題便暴露出來(lái)。

比如某個(gè)子產(chǎn)品的登陸功能，或者公司網(wǎng)站掛個(gè)論壇，往往會(huì)走單獨(dú)的登陸接口，當(dāng)這些邊緣業(yè)務(wù)接口沒(méi)有接入審計(jì)功能，便成為黑客攻擊的溫床。

從我們捕捉到的攻擊數(shù)據(jù)中可以看到很多此情況，黑客被對(duì)抗多次后都能再次發(fā)現(xiàn)新的毫無(wú)風(fēng)控邏輯的撞庫(kù)接口，甚至有的登陸接口公司安全部門都不知道其存在。

所謂千里之堤，毀于蟻穴。

盡管主業(yè)務(wù)做了大量的防御措施，當(dāng)邊緣業(yè)務(wù)出現(xiàn)疏忽時(shí)，一切措施便形同虛設(shè)。

3)攻擊效果眾所周知撞庫(kù)類風(fēng)險(xiǎn)屬于常規(guī)風(fēng)險(xiǎn)，其核心往往不在于如何完全避免，而更多考慮的是攻防對(duì)抗的成本提升。

從對(duì)大量的撞庫(kù)攻擊監(jiān)控來(lái)分析，我們對(duì)黑產(chǎn)撞庫(kù)有效率和成功率進(jìn)行統(tǒng)計(jì)，我們會(huì)發(fā)現(xiàn)一個(gè)事實(shí)，長(zhǎng)期的撞庫(kù)攻擊會(huì)帶來(lái)質(zhì)的傷害，行業(yè)內(nèi)現(xiàn)如今經(jīng)常會(huì)爆出某廠商被拖庫(kù)的新聞，但大部分最終也就是撞庫(kù)的數(shù)據(jù)曝光刺激了媒體的神經(jīng)：撞庫(kù)有效率和成功率根據(jù)對(duì)大量黑產(chǎn)撞庫(kù)數(shù)據(jù)的統(tǒng)計(jì)，能夠成功繞過(guò)風(fēng)控策略的攻擊占總攻擊量的83%，撞庫(kù)成功率則在0.4%左右浮動(dòng)。

2. 主流防控說(shuō)完黑客的攻擊方法，再來(lái)看看廠商是如何防控的。

1)主要防護(hù)措施封IP根據(jù)黑IP庫(kù)或同IP發(fā)起的請(qǐng)求次數(shù)、密碼錯(cuò)誤率等決定是否一段時(shí)間內(nèi)禁止該IP的請(qǐng)求。

驗(yàn)證碼最廣泛部署的方案，有很多類型，例如字母扭曲、漢字識(shí)別、移動(dòng)滑塊、圖像選擇。

普通廠商直接接入驗(yàn)證碼，有后臺(tái)分析能力的則在后臺(tái)審計(jì)出現(xiàn)異常時(shí)才觸發(fā)驗(yàn)證碼以提升普通用戶體驗(yàn)。

短信驗(yàn)證建立在手機(jī)和手機(jī)號(hào)成本上的真人認(rèn)證。

行為聚集根據(jù)用戶登錄過(guò)程行為判斷，例如頁(yè)面停留時(shí)間、鼠標(biāo)焦點(diǎn)、頁(yè)面訪問(wèn)流程、csrf-token等。

設(shè)備聚集通過(guò)客戶端尤其是手機(jī)客戶端，上報(bào)許多機(jī)器信息，識(shí)別是否存在偽造設(shè)備情況。

本質(zhì)上，以上所有方案其實(shí)都是為了解決一件事情，就是判斷電腦的對(duì)面是一個(gè)真實(shí)的人。

3. 主流防控的繞過(guò)面對(duì)暴利，沒(méi)有人愿意坐以待斃。

和廠商一樣，黑產(chǎn)人員面對(duì)廠商的對(duì)抗，不但積極主動(dòng)，甚至做到了平臺(tái)化、鏈條化來(lái)進(jìn)行反對(duì)抗。

從我們監(jiān)測(cè)到的攻擊行為來(lái)看，撞庫(kù)黑客在各個(gè)維度都有完善的方案和廠商進(jìn)行對(duì)抗，主要從下面幾個(gè)方面：1)低安全性邊緣業(yè)務(wù)或新業(yè)務(wù)面對(duì)嚴(yán)格的防護(hù)邏輯，最快的辦法就是尋找其自身的漏洞。

一旦發(fā)現(xiàn)非嚴(yán)格審計(jì)的的邊緣業(yè)務(wù)接口，便繞過(guò)所有的防護(hù)措施，如入無(wú)人之境。

廠商往往在這個(gè)維度缺乏有效的監(jiān)控，因?yàn)楸緛?lái)就是被安全部門所忽視的接口，但當(dāng)我們從第三方視角對(duì)黑產(chǎn)流量進(jìn)行大數(shù)據(jù)分析時(shí)，這種伎倆變得無(wú)所遁形，何人何時(shí)開始對(duì)新接口進(jìn)行攻擊都在我們的監(jiān)控范圍內(nèi)，可以極大增強(qiáng)廠商對(duì)該類漏洞的反應(yīng)速度。

2)IP對(duì)抗IP地址作為互聯(lián)網(wǎng)的緊缺資源，一直是廠商最重要的風(fēng)控方案之一，如何獲得大量IP出口也是黑產(chǎn)業(yè)者最先需要解決的問(wèn)題。

其實(shí)不僅僅是黑產(chǎn)，許多爬蟲、搜索引擎、機(jī)器人程序都有類似需求。

我們通過(guò)長(zhǎng)期對(duì)大量撞庫(kù)攻擊的來(lái)源進(jìn)行反向追蹤，發(fā)現(xiàn)撞庫(kù)攻擊獲取IP資源的方法主要有以下幾類：掃描代理免費(fèi)方案，通過(guò)全網(wǎng)掃描常見的代理服務(wù)器端口，收集可用的代理IP地址，自行管理維護(hù)，但成本高、效率低。

付費(fèi)代理代理商通過(guò)或掃描或搭建或交換的方式，提供全球的代理服務(wù)器，有效降低自行收集代理的管理成本。

付費(fèi)VPN和付費(fèi)代理類似，只是技術(shù)不同。

撥號(hào)VPS過(guò)去的兩年里，我們監(jiān)控到國(guó)內(nèi)有一類新的IP獲取方案逐漸被黑產(chǎn)應(yīng)用，叫做撥號(hào)VPS或動(dòng)態(tài)VPS。

該類VPS也是一臺(tái)虛擬服務(wù)器，但需要通過(guò)ADSL撥號(hào)才能上網(wǎng)，于是便擁有了整個(gè)城市的大量可用IP。

聽起來(lái)似乎并沒(méi)有什么特別，你我家的ADSL也能做到，但依舊是大力出奇跡，相關(guān)供應(yīng)商做到了打通全國(guó)多省市的撥號(hào)方法，俗稱混撥。

實(shí)現(xiàn)了在一臺(tái)VPS中使用一個(gè)賬號(hào)快速隨機(jī)切換近百城市的ADSL線路撥入互聯(lián)網(wǎng)，對(duì)很多企業(yè)的風(fēng)控部門造成巨大壓力。

實(shí)際使用效果如下圖：3)驗(yàn)證碼對(duì)抗作為一種最簡(jiǎn)單、應(yīng)用最廣的自動(dòng)化圖靈測(cè)試方案，十多年來(lái)，大量公司和團(tuán)隊(duì)不斷嘗試自動(dòng)化破解，以至于驗(yàn)證碼也不斷升級(jí)變得人類也要多次才能識(shí)別。

然而在中國(guó)，黑產(chǎn)創(chuàng)業(yè)者們依賴低成本人力，對(duì)無(wú)法通過(guò)技術(shù)識(shí)別的驗(yàn)證碼直接使用了最暴力的方式——人工打碼來(lái)進(jìn)行破解，并傳播到了大量第三世界國(guó)家，導(dǎo)致全球有近百萬(wàn)人以此為生。

因此衍生了黑產(chǎn)供應(yīng)商平臺(tái)之一：打碼平臺(tái)。

從我們了解到的數(shù)據(jù)來(lái)看，打碼工人平均每碼收入1-2分錢，熟練工每分鐘能打打碼20個(gè)左右，每小時(shí)收入在10-15元。

4)短信驗(yàn)證對(duì)抗當(dāng)網(wǎng)站開發(fā)人員習(xí)慣以自己的視角來(lái)考慮安全對(duì)抗方案，認(rèn)為接收短信依賴于手機(jī)和辦卡的成本，出人意料的創(chuàng)新總是讓人防不勝防。

看下面這個(gè)設(shè)備，該設(shè)備俗稱「貓池」，能統(tǒng)一管理256張SIM卡，再通過(guò)軟件將收到的驗(yàn)證碼通過(guò)api接口對(duì)外提供查詢服務(wù)。

并由此衍生了黑產(chǎn)供應(yīng)商另一個(gè)細(xì)分市場(chǎng)：接碼平臺(tái)。

黑產(chǎn)業(yè)者從該類平臺(tái)使用不同手機(jī)號(hào)接收一個(gè)驗(yàn)證碼只需要付費(fèi)1-3毛錢，業(yè)務(wù)量可以參考2016年11月被公安查處的愛碼平臺(tái)案，下圖是現(xiàn)場(chǎng)照片，僅該接碼平臺(tái)就擁有700多萬(wàn)手機(jī)黑卡用來(lái)進(jìn)行驗(yàn)證碼接收業(yè)務(wù)，其中大部分是黑產(chǎn)相關(guān)，有興趣可以自行搜索案件詳情。

5)模仿真人行為在規(guī)避后臺(tái)的行為分析模型方面，黑客提交的請(qǐng)求早已不是僅僅填一個(gè)User-Agent就完事，從對(duì)黑客進(jìn)行撞庫(kù)攻擊的流程來(lái)分析，為了規(guī)避后臺(tái)分析，不少黑客的流程已經(jīng)包括并不限于：完整的頁(yè)面打開流程，而不是僅僅向關(guān)鍵接口提交請(qǐng)求csrf-token 等參數(shù)完備隨機(jī)的頁(yè)面停留時(shí)間http header 嚴(yán)格遵守瀏覽器特征隨機(jī)化各種看起來(lái)不重要的參數(shù)4. 主流風(fēng)控的常見問(wèn)題從我們對(duì)各種撞庫(kù)攻擊的效果分析來(lái)看，各廠商主要存在和面臨如下問(wèn)題：check-user-exist 類接口缺失風(fēng)控策略登錄失敗時(shí)登陸接口返回敏感信息帳號(hào)體系缺乏統(tǒng)一管理機(jī)制，經(jīng)常有新業(yè)務(wù)或邊緣業(yè)務(wù)繞過(guò)風(fēng)控方案基于IP、短信、驗(yàn)證碼的驗(yàn)證變成了和專業(yè)平臺(tái)對(duì)抗四、總結(jié)和展望1. 攻擊新趨勢(shì)1)撞庫(kù)逐漸取代盜號(hào)成為主流攻擊方式從我們持續(xù)對(duì)地下黑產(chǎn)的監(jiān)控和挖掘來(lái)看，由于各種泄漏數(shù)據(jù)庫(kù)的曝光，撞庫(kù)的流量占比在近年來(lái)明顯增長(zhǎng)。

另一方面，由于操作系統(tǒng)和瀏覽器安全性的持續(xù)提升，通過(guò)下載或網(wǎng)頁(yè)掛馬盜號(hào)的方式逐漸被撞庫(kù)攻擊取代，撞庫(kù)已經(jīng)成為獲取用戶賬號(hào)的主流攻擊方式。

2)黑產(chǎn)資源平臺(tái)化相對(duì)早期黑客的單打獨(dú)斗，如今黑產(chǎn)更像一個(gè)航母戰(zhàn)斗群，黑客主要以基礎(chǔ)賬號(hào)庫(kù)為核心資源，僅提供戰(zhàn)斗力輸出但防御很低，其它對(duì)抗類資源都由各種輔助資源平臺(tái)直接提供，導(dǎo)致廠商對(duì)抗對(duì)象由黑客變成了各種資源平臺(tái)，各種肉盾導(dǎo)致風(fēng)控審計(jì)越來(lái)越困難，其中資源平臺(tái)包括并不限于以下幾類：代理提供商VPN提供商撥號(hào)VPS供應(yīng)商短信接碼平臺(tái)驗(yàn)證碼打碼平臺(tái)&helpp;&helpp;3)撥號(hào)VPS發(fā)展迅速相對(duì)比較成熟的代理服務(wù)器方案，撥號(hào)VPS尤其是混撥VPS提供了更大的IP池和國(guó)內(nèi)隨機(jī)化的地理位置，可以預(yù)見，該技術(shù)將進(jìn)一步在黑產(chǎn)中應(yīng)用廣泛。

2. 新風(fēng)控角度的思考1)核心賬號(hào)資源對(duì)抗從對(duì)撞庫(kù)的攻防數(shù)據(jù)來(lái)看，目前大多數(shù)的撞庫(kù)相關(guān)風(fēng)控對(duì)抗其實(shí)是發(fā)生在廠商對(duì)黑產(chǎn)戰(zhàn)斗群的各種護(hù)衛(wèi)艦身上，并且由于對(duì)方的不同資源平臺(tái)往往專注一個(gè)點(diǎn)不斷優(yōu)化，越打越強(qiáng)，導(dǎo)致風(fēng)控措施效果也越來(lái)越差，反而在針對(duì)黑客核心資源的已泄漏賬號(hào)庫(kù)上缺乏有效對(duì)抗方案。

試想，如果能從黑客進(jìn)行撞庫(kù)嘗試使用的賬號(hào)密碼上發(fā)現(xiàn)這屬于外網(wǎng)已泄漏賬號(hào)，直接觸發(fā)風(fēng)控邏輯，那么便繞過(guò)了黑客所有的外圍防護(hù)手段，直接從對(duì)方無(wú)法回避的點(diǎn)進(jìn)行風(fēng)控對(duì)抗。

讓人不由想起《笑傲江湖》中令狐沖和沖虛道長(zhǎng)比劍，面對(duì)毫無(wú)破綻的太極劍法，唯有從圓形劍光中心揮劍直入，看似最沒(méi)有破綻的地方反而是其破綻所在。

道理說(shuō)起來(lái)非常簡(jiǎn)單，但這種對(duì)抗方式是建立在比黑產(chǎn)掌握更龐大的泄漏數(shù)據(jù)基礎(chǔ)上才有可能實(shí)現(xiàn)，除了搜集網(wǎng)上泄漏的數(shù)據(jù)外，必須有其它更實(shí)時(shí)有效方案進(jìn)行數(shù)據(jù)補(bǔ)充。

2)黑產(chǎn)大數(shù)據(jù)監(jiān)控基于長(zhǎng)期對(duì)惡意流量的研究，我們通過(guò)不同方案對(duì)多種黑產(chǎn)流量進(jìn)行持續(xù)監(jiān)控，每天能捕獲數(shù)億條原始攻擊請(qǐng)求，在撞庫(kù)方面，保持日均數(shù)百萬(wàn)的原始賬號(hào)庫(kù)積累。

通過(guò)這種方式，為賬號(hào)類風(fēng)控對(duì)抗提供了新的維度，并能提供持續(xù)的有力保障。

獨(dú)孤九劍為何獨(dú)步天下，其中「破劍式」雖只一式，但其中于天下各門各派劍法要義兼收并蓄，以天下劍法為根基，堪破種種變化。

這正是典型大數(shù)據(jù)的思維。

數(shù)據(jù)面前，了無(wú)秘密!基于對(duì)黑產(chǎn)撞庫(kù)攻擊核心賬號(hào)資源的持續(xù)監(jiān)控，或許才是賬號(hào)風(fēng)控中「破撞式」的真正心法所在。

大數(shù)據(jù)下全球撞庫(kù)黑色產(chǎn)業(yè)鏈追蹤報(bào)告。

最近，央視曝光了一起離奇的電信詐騙案件。

受害者既沒(méi)有接到不明電話或短信，手機(jī)也沒(méi)有中毒，賬戶里的錢莫名其妙地就被人全部盜刷。

隨著調(diào)查的深入，民警發(fā)現(xiàn)這是違法分子利用用戶在其它網(wǎng)站的泄漏密碼使用“撞庫(kù)”手段掃描用戶網(wǎng)銀的登錄密碼，再用非常規(guī)手段對(duì)用戶網(wǎng)銀綁定手機(jī)號(hào)修改所造成的案件。

中國(guó)人看事物，都習(xí)慣分個(gè)陰陽(yáng)。

往往明面上有多么繁榮，暗地里就有多么猖獗。

記得年初看到一份報(bào)告《Bot Traffic Report 2016》，報(bào)告稱2016年機(jī)器人流量占全網(wǎng)流量的51.8%，超過(guò)人類流量，而其中惡意機(jī)器人流量占據(jù)了全網(wǎng)流量的28.9%。

如何從龐大的惡意流量中捕獲期望的數(shù)據(jù)，這件事一直深深地吸引著我們，團(tuán)隊(duì)為此進(jìn)行著長(zhǎng)期的研究，并在全網(wǎng)搭建了許多數(shù)據(jù)探針，捕獲了大量第一手?jǐn)?shù)據(jù)，讓我們有機(jī)會(huì)窺見這個(gè)黑暗領(lǐng)域的一隅，從而有了黑產(chǎn)大數(shù)據(jù)這個(gè)系列的報(bào)告，今天的主題是：全球撞庫(kù)追蹤。

一、什么是撞庫(kù)攻擊簡(jiǎn)單來(lái)說(shuō)，使用他人在A網(wǎng)站的賬號(hào)密碼，去B網(wǎng)站嘗試登陸，就是撞庫(kù)攻擊。

在早些年，盜取他人賬號(hào)主要靠木馬，密碼字典則靠軟件生成，而隨著近幾年頻繁出現(xiàn)網(wǎng)站數(shù)據(jù)庫(kù)泄漏事件，撞庫(kù)攻擊逐漸成為主流的盜號(hào)方式。

撞庫(kù)攻擊也成為賬號(hào)類攻擊的重要一環(huán)，下圖是整個(gè)賬號(hào)類攻擊鏈條：詞匯解釋：拖庫(kù)：黑客從有價(jià)值的網(wǎng)站盜取用戶資料數(shù)據(jù)。

洗庫(kù)：黑客將用戶賬戶的財(cái)產(chǎn)或虛擬財(cái)產(chǎn)或賬戶信息本身變現(xiàn)。

社工庫(kù)：黑客將獲取的各種數(shù)據(jù)庫(kù)關(guān)聯(lián)起來(lái)，對(duì)用戶進(jìn)行全方位畫像。

定向攻擊：黑客根據(jù)用戶畫像，對(duì)特定人或人群進(jìn)行針對(duì)性的犯罪活動(dòng)，比如詐騙。

二、從哪來(lái) & 到哪去前面回答了三大哲學(xué)問(wèn)題之一「X是什么」，再來(lái)看另外兩大問(wèn)題：從哪里來(lái)到哪里去1. 撞庫(kù)源數(shù)據(jù)來(lái)源黑客要進(jìn)行撞庫(kù)攻擊，首先需要足夠的原始賬號(hào)數(shù)據(jù)，我們對(duì)網(wǎng)絡(luò)上捕獲到的撞庫(kù)攻擊進(jìn)行分析，發(fā)現(xiàn)原始數(shù)據(jù)來(lái)源主要有以下幾點(diǎn)：1)信封號(hào)產(chǎn)業(yè)鏈信封號(hào)，就是被盜的QQ號(hào)。

信封號(hào)產(chǎn)業(yè)鏈，就是QQ號(hào)盜取、銷贓、并利用獲利的產(chǎn)業(yè)鏈。

每天互聯(lián)網(wǎng)黑市上會(huì)有成百上千萬(wàn)的被盜QQ號(hào)流入該產(chǎn)業(yè)鏈，原本QQ賬號(hào)密碼只在騰訊內(nèi)部有價(jià)值，但由于QQ郵箱的大規(guī)模使用，很多人在網(wǎng)站注冊(cè)用戶時(shí)直接使用QQ號(hào)對(duì)應(yīng)的QQ郵箱和密碼，導(dǎo)致被盜QQ號(hào)被大量直接用來(lái)進(jìn)行網(wǎng)站撞庫(kù)。

2)網(wǎng)站泄漏數(shù)據(jù)庫(kù)網(wǎng)站泄漏數(shù)據(jù)庫(kù)的標(biāo)志性事件是2011年 CSDN 600萬(wàn)用戶數(shù)據(jù)泄漏，引領(lǐng)了當(dāng)年一波數(shù)據(jù)泄漏高峰，數(shù)十個(gè)網(wǎng)站的用戶數(shù)據(jù)被公開，大量原本只在地下流通的泄漏數(shù)據(jù)被拋到臺(tái)面上，給平時(shí)并不關(guān)注此道的黑客們提供了足夠的數(shù)據(jù)源切入這個(gè)方向，也因此點(diǎn)燃了撞庫(kù)攻擊的熱潮。

類似事件還有2015年某郵箱數(shù)億賬號(hào)泄漏，都給黑客提供了重要的彈藥資源。

更何況被爆出來(lái)的數(shù)據(jù)泄漏，其實(shí)也僅僅是冰山一角。

3)地下黑市流通數(shù)據(jù)竊取與交易這個(gè)領(lǐng)域幾乎是地下產(chǎn)業(yè)鏈隱藏最深的部分，有不少黑客通過(guò)數(shù)據(jù)交易來(lái)構(gòu)建龐大的社工庫(kù)。

黑客之間的私下交易我們無(wú)法得知，到底有多少網(wǎng)站數(shù)據(jù)已經(jīng)被竊取也沒(méi)法客觀評(píng)估，但通過(guò)某些半公開的渠道，亦可管中窺豹。

下面是暗網(wǎng)某地下數(shù)據(jù)交易市場(chǎng)的截圖：2. 撞庫(kù)源數(shù)據(jù)分類從近期的撞庫(kù)數(shù)據(jù)來(lái)看，email占據(jù)了大約1/4，手機(jī)號(hào)占5.8%。

3. 國(guó)家被攻擊數(shù)據(jù)我們從近期全球數(shù)十億次撞庫(kù)攻擊行為，聚合分析后，繪制了以下全球撞庫(kù)攻擊數(shù)據(jù)圖：1)攻擊流量去向可以看出，中國(guó)和美國(guó)占據(jù)了撞庫(kù)類攻擊的絕大多數(shù)份額。

2)各國(guó)被攻擊公司占比其中有超過(guò)一半的被攻擊公司來(lái)自中國(guó)。

3)攻擊來(lái)源分布同時(shí)，中國(guó)也是最大的攻擊來(lái)源國(guó)，其次是俄羅斯黑客明顯占據(jù)較大比例，包括俄羅斯、烏克蘭、白俄羅斯等前蘇聯(lián)國(guó)家。

4. 中美攻擊數(shù)據(jù)的差異在分析很多問(wèn)題時(shí)，中國(guó)的數(shù)據(jù)相對(duì)海外都會(huì)呈現(xiàn)明顯的差異。

于是我們特地把中美兩個(gè)互聯(lián)網(wǎng)TOP 2國(guó)家的情況單獨(dú)來(lái)做比較。

1)被攻擊公司類型中國(guó)黑客明顯以游戲公司目標(biāo)為主，具有極明顯的變現(xiàn)傾向，由于國(guó)內(nèi)黑產(chǎn)產(chǎn)業(yè)化發(fā)達(dá)，游戲玩家眾多，因此游戲業(yè)在被攻擊公司中首當(dāng)其沖。

而美國(guó)被攻擊行業(yè)則呈現(xiàn)較均衡的情況。

2)攻擊來(lái)源絕大多數(shù)對(duì)中國(guó)公司的攻擊都是來(lái)自國(guó)內(nèi)，主要由于海外互聯(lián)網(wǎng)公司難以進(jìn)入國(guó)內(nèi)市場(chǎng)，存在市場(chǎng)和語(yǔ)言的雙重隔離，導(dǎo)致連黑客攻擊都自成一脈，以自產(chǎn)自銷為主。

相對(duì)來(lái)說(shuō)，美國(guó)則是全球黑客青睞之地，戰(zhàn)斗民族俄羅斯人再次戰(zhàn)力爆表。

5. 主要受影響的行業(yè)1)游戲行業(yè)游戲業(yè)在盈利能力上整個(gè)互聯(lián)網(wǎng)可以說(shuō)是最為可觀，那么很自然的，游戲業(yè)的地下市場(chǎng)也就吸引了大量的從業(yè)人員，并產(chǎn)生了了眾多的變現(xiàn)方案和利益鏈條。

游戲業(yè)一直是黑客關(guān)注的重點(diǎn)，從盜號(hào)木馬到外掛編寫，從打金工作室到私服，從代練到金幣裝備交易。

而能直接獲得對(duì)方游戲賬號(hào)的撞庫(kù)方案自然也成為黑客關(guān)注的重中之重，因此，游戲公司在此類攻擊中首當(dāng)其沖也是理所當(dāng)然了。

2)版權(quán)行業(yè)隨著書影音類資源的正版化推進(jìn)，以及帶寬的增長(zhǎng)，許多相關(guān)資源可以在線付費(fèi)觀看，當(dāng)用戶不愿意花時(shí)間去尋找資源下載電影，但愿意花低得多的費(fèi)用買一個(gè)高級(jí)會(huì)員賬號(hào)來(lái)使用時(shí)，相關(guān)的賬號(hào)也就變得具有變現(xiàn)價(jià)值。

3)社交行業(yè)社交網(wǎng)站的灰色生意主要包括并不限于以下幾類：刷粉、刷贊、刷榜、刷觀看私信廣告色情社交詐騙隨著社交平臺(tái)風(fēng)控策略的不斷升級(jí)，因此社交平臺(tái)老賬號(hào)(注冊(cè)時(shí)間較長(zhǎng))便成了某些圈內(nèi)炙手可熱的資源，比如某著名陌生人社交APP老號(hào)市場(chǎng)價(jià)值在30元以上。

掌握這些資源便意味著被封殺的可能性降低，意味著以上生意的相對(duì)持續(xù)性。

人多的地方就意味著生意，因此，社交賬號(hào)從來(lái)都是黑產(chǎn)重要目標(biāo)。

三、攻擊方法 & 主流防控通過(guò)對(duì)海量攻擊行為的監(jiān)控和分析，我們可以看到黑客的攻擊方法，同樣也能看到廠商防控措施。

1. 黑客如何攻擊1)判斷賬號(hào)是否存在注冊(cè)接口快速驗(yàn)證許多網(wǎng)站在填寫注冊(cè)信息時(shí)，會(huì)通過(guò)AJAX對(duì)賬戶名是否可用做實(shí)時(shí)驗(yàn)證，如果可用便在頁(yè)面上打個(gè)勾。

該接口大量被黑客用來(lái)判斷某用戶名是否有在網(wǎng)站注冊(cè)。

登陸接口返回信息部分網(wǎng)站如果賬號(hào)密碼錯(cuò)誤會(huì)返回敏感信息暴露賬號(hào)存在情況。

例如返回提示「賬號(hào)不存在」或「密碼錯(cuò)誤」，便能讓黑客判斷賬號(hào)是否存在。

此處我們推薦的返回信息是「賬號(hào)或密碼錯(cuò)誤」。

找回密碼接口部分網(wǎng)站在找回密碼的流程中，填寫手機(jī)號(hào)或郵箱后會(huì)有一次帶提示信息的再確認(rèn)，此處也常常被黑客用來(lái)判斷賬戶存在與否。

2)業(yè)務(wù)安全的集中管理問(wèn)題突出從我們的統(tǒng)計(jì)數(shù)據(jù)來(lái)看，許多網(wǎng)站的主登陸口往往有比較嚴(yán)格的審計(jì)措施，會(huì)根據(jù)登陸IP、頻率等觸發(fā)驗(yàn)證碼或封IP。

但當(dāng)公司業(yè)務(wù)增多，安全管理復(fù)雜度大幅增加，不同子站各用一套自己登陸驗(yàn)證，缺乏統(tǒng)一登陸接口的問(wèn)題便暴露出來(lái)。

比如某個(gè)子產(chǎn)品的登陸功能，或者公司網(wǎng)站掛個(gè)論壇，往往會(huì)走單獨(dú)的登陸接口，當(dāng)這些邊緣業(yè)務(wù)接口沒(méi)有接入審計(jì)功能，便成為黑客攻擊的溫床。

從我們捕捉到的攻擊數(shù)據(jù)中可以看到很多此情況，黑客被對(duì)抗多次后都能再次發(fā)現(xiàn)新的毫無(wú)風(fēng)控邏輯的撞庫(kù)接口，甚至有的登陸接口公司安全部門都不知道其存在。

所謂千里之堤，毀于蟻穴。

盡管主業(yè)務(wù)做了大量的防御措施，當(dāng)邊緣業(yè)務(wù)出現(xiàn)疏忽時(shí)，一切措施便形同虛設(shè)。

3)攻擊效果眾所周知撞庫(kù)類風(fēng)險(xiǎn)屬于常規(guī)風(fēng)險(xiǎn)，其核心往往不在于如何完全避免，而更多考慮的是攻防對(duì)抗的成本提升。

從對(duì)大量的撞庫(kù)攻擊監(jiān)控來(lái)分析，我們對(duì)黑產(chǎn)撞庫(kù)有效率和成功率進(jìn)行統(tǒng)計(jì)，我們會(huì)發(fā)現(xiàn)一個(gè)事實(shí)，長(zhǎng)期的撞庫(kù)攻擊會(huì)帶來(lái)質(zhì)的傷害，行業(yè)內(nèi)現(xiàn)如今經(jīng)常會(huì)爆出某廠商被拖庫(kù)的新聞，但大部分最終也就是撞庫(kù)的數(shù)據(jù)曝光刺激了媒體的神經(jīng)：撞庫(kù)有效率和成功率根據(jù)對(duì)大量黑產(chǎn)撞庫(kù)數(shù)據(jù)的統(tǒng)計(jì)，能夠成功繞過(guò)風(fēng)控策略的攻擊占總攻擊量的83%，撞庫(kù)成功率則在0.4%左右浮動(dòng)。

2. 主流防控說(shuō)完黑客的攻擊方法，再來(lái)看看廠商是如何防控的。

1)主要防護(hù)措施封IP根據(jù)黑IP庫(kù)或同IP發(fā)起的請(qǐng)求次數(shù)、密碼錯(cuò)誤率等決定是否一段時(shí)間內(nèi)禁止該IP的請(qǐng)求。

驗(yàn)證碼最廣泛部署的方案，有很多類型，例如字母扭曲、漢字識(shí)別、移動(dòng)滑塊、圖像選擇。

普通廠商直接接入驗(yàn)證碼，有后臺(tái)分析能力的則在后臺(tái)審計(jì)出現(xiàn)異常時(shí)才觸發(fā)驗(yàn)證碼以提升普通用戶體驗(yàn)。

短信驗(yàn)證建立在手機(jī)和手機(jī)號(hào)成本上的真人認(rèn)證。

行為聚集根據(jù)用戶登錄過(guò)程行為判斷，例如頁(yè)面停留時(shí)間、鼠標(biāo)焦點(diǎn)、頁(yè)面訪問(wèn)流程、csrf-token等。

設(shè)備聚集通過(guò)客戶端尤其是手機(jī)客戶端，上報(bào)許多機(jī)器信息，識(shí)別是否存在偽造設(shè)備情況。

本質(zhì)上，以上所有方案其實(shí)都是為了解決一件事情，就是判斷電腦的對(duì)面是一個(gè)真實(shí)的人。

3. 主流防控的繞過(guò)面對(duì)暴利，沒(méi)有人愿意坐以待斃。

和廠商一樣，黑產(chǎn)人員面對(duì)廠商的對(duì)抗，不但積極主動(dòng)，甚至做到了平臺(tái)化、鏈條化來(lái)進(jìn)行反對(duì)抗。

從我們監(jiān)測(cè)到的攻擊行為來(lái)看，撞庫(kù)黑客在各個(gè)維度都有完善的方案和廠商進(jìn)行對(duì)抗，主要從下面幾個(gè)方面：1)低安全性邊緣業(yè)務(wù)或新業(yè)務(wù)面對(duì)嚴(yán)格的防護(hù)邏輯，最快的辦法就是尋找其自身的漏洞。

一旦發(fā)現(xiàn)非嚴(yán)格審計(jì)的的邊緣業(yè)務(wù)接口，便繞過(guò)所有的防護(hù)措施，如入無(wú)人之境。

廠商往往在這個(gè)維度缺乏有效的監(jiān)控，因?yàn)楸緛?lái)就是被安全部門所忽視的接口，但當(dāng)我們從第三方視角對(duì)黑產(chǎn)流量進(jìn)行大數(shù)據(jù)分析時(shí)，這種伎倆變得無(wú)所遁形，何人何時(shí)開始對(duì)新接口進(jìn)行攻擊都在我們的監(jiān)控范圍內(nèi)，可以極大增強(qiáng)廠商對(duì)該類漏洞的反應(yīng)速度。

2)IP對(duì)抗IP地址作為互聯(lián)網(wǎng)的緊缺資源，一直是廠商最重要的風(fēng)控方案之一，如何獲得大量IP出口也是黑產(chǎn)業(yè)者最先需要解決的問(wèn)題。

其實(shí)不僅僅是黑產(chǎn)，許多爬蟲、搜索引擎、機(jī)器人程序都有類似需求。

我們通過(guò)長(zhǎng)期對(duì)大量撞庫(kù)攻擊的來(lái)源進(jìn)行反向追蹤，發(fā)現(xiàn)撞庫(kù)攻擊獲取IP資源的方法主要有以下幾類：掃描代理免費(fèi)方案，通過(guò)全網(wǎng)掃描常見的代理服務(wù)器端口，收集可用的代理IP地址，自行管理維護(hù)，但成本高、效率低。

付費(fèi)代理代理商通過(guò)或掃描或搭建或交換的方式，提供全球的代理服務(wù)器，有效降低自行收集代理的管理成本。

付費(fèi)VPN和付費(fèi)代理類似，只是技術(shù)不同。

撥號(hào)VPS過(guò)去的兩年里，我們監(jiān)控到國(guó)內(nèi)有一類新的IP獲取方案逐漸被黑產(chǎn)應(yīng)用，叫做撥號(hào)VPS或動(dòng)態(tài)VPS。

該類VPS也是一臺(tái)虛擬服務(wù)器，但需要通過(guò)ADSL撥號(hào)才能上網(wǎng)，于是便擁有了整個(gè)城市的大量可用IP。

聽起來(lái)似乎并沒(méi)有什么特別，你我家的ADSL也能做到，但依舊是大力出奇跡，相關(guān)供應(yīng)商做到了打通全國(guó)多省市的撥號(hào)方法，俗稱混撥。

實(shí)現(xiàn)了在一臺(tái)VPS中使用一個(gè)賬號(hào)快速隨機(jī)切換近百城市的ADSL線路撥入互聯(lián)網(wǎng)，對(duì)很多企業(yè)的風(fēng)控部門造成巨大壓力。

實(shí)際使用效果如下圖：3)驗(yàn)證碼對(duì)抗作為一種最簡(jiǎn)單、應(yīng)用最廣的自動(dòng)化圖靈測(cè)試方案，十多年來(lái)，大量公司和團(tuán)隊(duì)不斷嘗試自動(dòng)化破解，以至于驗(yàn)證碼也不斷升級(jí)變得人類也要多次才能識(shí)別。

然而在中國(guó)，黑產(chǎn)創(chuàng)業(yè)者們依賴低成本人力，對(duì)無(wú)法通過(guò)技術(shù)識(shí)別的驗(yàn)證碼直接使用了最暴力的方式——人工打碼來(lái)進(jìn)行破解，并傳播到了大量第三世界國(guó)家，導(dǎo)致全球有近百萬(wàn)人以此為生。

因此衍生了黑產(chǎn)供應(yīng)商平臺(tái)之一：打碼平臺(tái)。

從我們了解到的數(shù)據(jù)來(lái)看，打碼工人平均每碼收入1-2分錢，熟練工每分鐘能打打碼20個(gè)左右，每小時(shí)收入在10-15元。

4)短信驗(yàn)證對(duì)抗當(dāng)網(wǎng)站開發(fā)人員習(xí)慣以自己的視角來(lái)考慮安全對(duì)抗方案，認(rèn)為接收短信依賴于手機(jī)和辦卡的成本，出人意料的創(chuàng)新總是讓人防不勝防。

看下面這個(gè)設(shè)備，該設(shè)備俗稱「貓池」，能統(tǒng)一管理256張SIM卡，再通過(guò)軟件將收到的驗(yàn)證碼通過(guò)api接口對(duì)外提供查詢服務(wù)。

并由此衍生了黑產(chǎn)供應(yīng)商另一個(gè)細(xì)分市場(chǎng)：接碼平臺(tái)。

黑產(chǎn)業(yè)者從該類平臺(tái)使用不同手機(jī)號(hào)接收一個(gè)驗(yàn)證碼只需要付費(fèi)1-3毛錢，業(yè)務(wù)量可以參考2016年11月被公安查處的愛碼平臺(tái)案，下圖是現(xiàn)場(chǎng)照片，僅該接碼平臺(tái)就擁有700多萬(wàn)手機(jī)黑卡用來(lái)進(jìn)行驗(yàn)證碼接收業(yè)務(wù)，其中大部分是黑產(chǎn)相關(guān)，有興趣可以自行搜索案件詳情。

5)模仿真人行為在規(guī)避后臺(tái)的行為分析模型方面，黑客提交的請(qǐng)求早已不是僅僅填一個(gè)User-Agent就完事，從對(duì)黑客進(jìn)行撞庫(kù)攻擊的流程來(lái)分析，為了規(guī)避后臺(tái)分析，不少黑客的流程已經(jīng)包括并不限于：完整的頁(yè)面打開流程，而不是僅僅向關(guān)鍵接口提交請(qǐng)求csrf-token 等參數(shù)完備隨機(jī)的頁(yè)面停留時(shí)間http header 嚴(yán)格遵守瀏覽器特征隨機(jī)化各種看起來(lái)不重要的參數(shù)4. 主流風(fēng)控的常見問(wèn)題從我們對(duì)各種撞庫(kù)攻擊的效果分析來(lái)看，各廠商主要存在和面臨如下問(wèn)題：check-user-exist 類接口缺失風(fēng)控策略登錄失敗時(shí)登陸接口返回敏感信息帳號(hào)體系缺乏統(tǒng)一管理機(jī)制，經(jīng)常有新業(yè)務(wù)或邊緣業(yè)務(wù)繞過(guò)風(fēng)控方案基于IP、短信、驗(yàn)證碼的驗(yàn)證變成了和專業(yè)平臺(tái)對(duì)抗四、總結(jié)和展望1. 攻擊新趨勢(shì)1)撞庫(kù)逐漸取代盜號(hào)成為主流攻擊方式從我們持續(xù)對(duì)地下黑產(chǎn)的監(jiān)控和挖掘來(lái)看，由于各種泄漏數(shù)據(jù)庫(kù)的曝光，撞庫(kù)的流量占比在近年來(lái)明顯增長(zhǎng)。

另一方面，由于操作系統(tǒng)和瀏覽器安全性的持續(xù)提升，通過(guò)下載或網(wǎng)頁(yè)掛馬盜號(hào)的方式逐漸被撞庫(kù)攻擊取代，撞庫(kù)已經(jīng)成為獲取用戶賬號(hào)的主流攻擊方式。

2)黑產(chǎn)資源平臺(tái)化相對(duì)早期黑客的單打獨(dú)斗，如今黑產(chǎn)更像一個(gè)航母戰(zhàn)斗群，黑客主要以基礎(chǔ)賬號(hào)庫(kù)為核心資源，僅提供戰(zhàn)斗力輸出但防御很低，其它對(duì)抗類資源都由各種輔助資源平臺(tái)直接提供，導(dǎo)致廠商對(duì)抗對(duì)象由黑客變成了各種資源平臺(tái)，各種肉盾導(dǎo)致風(fēng)控審計(jì)越來(lái)越困難，其中資源平臺(tái)包括并不限于以下幾類：代理提供商VPN提供商撥號(hào)VPS供應(yīng)商短信接碼平臺(tái)驗(yàn)證碼打碼平臺(tái)&helpp;&helpp;3)撥號(hào)VPS發(fā)展迅速相對(duì)比較成熟的代理服務(wù)器方案，撥號(hào)VPS尤其是混撥VPS提供了更大的IP池和國(guó)內(nèi)隨機(jī)化的地理位置，可以預(yù)見，該技術(shù)將進(jìn)一步在黑產(chǎn)中應(yīng)用廣泛。

2. 新風(fēng)控角度的思考1)核心賬號(hào)資源對(duì)抗從對(duì)撞庫(kù)的攻防數(shù)據(jù)來(lái)看，目前大多數(shù)的撞庫(kù)相關(guān)風(fēng)控對(duì)抗其實(shí)是發(fā)生在廠商對(duì)黑產(chǎn)戰(zhàn)斗群的各種護(hù)衛(wèi)艦身上，并且由于對(duì)方的不同資源平臺(tái)往往專注一個(gè)點(diǎn)不斷優(yōu)化，越打越強(qiáng)，導(dǎo)致風(fēng)控措施效果也越來(lái)越差，反而在針對(duì)黑客核心資源的已泄漏賬號(hào)庫(kù)上缺乏有效對(duì)抗方案。

試想，如果能從黑客進(jìn)行撞庫(kù)嘗試使用的賬號(hào)密碼上發(fā)現(xiàn)這屬于外網(wǎng)已泄漏賬號(hào)，直接觸發(fā)風(fēng)控邏輯，那么便繞過(guò)了黑客所有的外圍防護(hù)手段，直接從對(duì)方無(wú)法回避的點(diǎn)進(jìn)行風(fēng)控對(duì)抗。

讓人不由想起《笑傲江湖》中令狐沖和沖虛道長(zhǎng)比劍，面對(duì)毫無(wú)破綻的太極劍法，唯有從圓形劍光中心揮劍直入，看似最沒(méi)有破綻的地方反而是其破綻所在。

道理說(shuō)起來(lái)非常簡(jiǎn)單，但這種對(duì)抗方式是建立在比黑產(chǎn)掌握更龐大的泄漏數(shù)據(jù)基礎(chǔ)上才有可能實(shí)現(xiàn)，除了搜集網(wǎng)上泄漏的數(shù)據(jù)外，必須有其它更實(shí)時(shí)有效方案進(jìn)行數(shù)據(jù)補(bǔ)充。

2)黑產(chǎn)大數(shù)據(jù)監(jiān)控基于長(zhǎng)期對(duì)惡意流量的研究，我們通過(guò)不同方案對(duì)多種黑產(chǎn)流量進(jìn)行持續(xù)監(jiān)控，每天能捕獲數(shù)億條原始攻擊請(qǐng)求，在撞庫(kù)方面，保持日均數(shù)百萬(wàn)的原始賬號(hào)庫(kù)積累。

通過(guò)這種方式，為賬號(hào)類風(fēng)控對(duì)抗提供了新的維度，并能提供持續(xù)的有力保障。

獨(dú)孤九劍為何獨(dú)步天下，其中「破劍式」雖只一式，但其中于天下各門各派劍法要義兼收并蓄，以天下劍法為根基，堪破種種變化。

這正是典型大數(shù)據(jù)的思維。

數(shù)據(jù)面前，了無(wú)秘密!基于對(duì)黑產(chǎn)撞庫(kù)攻擊核心賬號(hào)資源的持續(xù)監(jiān)控，或許才是賬號(hào)風(fēng)控中「破撞式」的真正心法所在。