什么是撞库及撞库攻击的基本原理

6月26日晚，我国大型聊天软件QQ出现了大规模盗号情况，而且是在QQ号本人在线时出现了被盗情况。

6月27日中午，腾讯QQ发布声明称：6月26日晚上10点左右，收到部分用户反馈QQ号码被盗。QQ安全团队高度重视并立即展开调查，发现主要原因是用户扫描过不法分子伪造的游戏登录二维码并授权登录，该登录行为被黑产团伙劫持并记录，随后被不法分子利用发送不良图片广告。

为什么扫描不法分子伪造的游戏登录二维码并授权登录，就会被盗号呢？

大家在新的平台申请账号密码的时候，通常可以选择关联其他平台账号，直接登陆。这时，此平台就会保留其他平台的账号数据。通过扫描伪造的二维码授权信息后，不法分子就能获得你真正的账号密码。

来自数美科技黑产研究院专家宇航在接受新闻采访时分析认为，QQ生态相对来说较为开放，本身用户体量大。由于生态非常开放，用户数据不仅可以授权给很多游戏平台，还可以授权给其他第三方社交媒体平台，在授权的过程中，用户的数据也顺带授权过去。

该专家分析称，“此次事件暴露出来的问题，本身更多的责任可能并不在于QQ，而是在QQ授权的第三方平台。”该专家表示，在这样多的应用相互交互的情况下，去做数据安全包括账号的安全，难度会大非常多。

正如专家所说，现在的互联网环境十分复杂，各个平台可以相互授权信息，为何第三方的数据库安全会如此重要？因为在互联网中有一种攻击是通过第三方泄露出去的数据造成其他平台账号被攻击，账号被盗，这种攻击叫做“撞库”。

撞库的基本原理

撞库是一种常见的网络攻击方式，犯罪分子会使用自动化系统和被破解的登录凭据访问在线账户。

简单来说黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的账号密码。很多用户在不同网站使用的是相同的账号密码，因此黑客可以通过获取用户在A网站的账户尝试登录B网址，这就可以理解为撞库攻击。撞库攻击取决于密码的重复使用，受害者常为多个在线账户设置相同的用户ID和密码组合。

但是撞库成功需要的一个前提就是拖库。

什么叫拖库及拖库与撞库的关系？

撞库中黑客用于尝试的用户及密码来源于拖库，而拖库本来是数据库领域的术语，指从数据库中导出数据。

拖库是撞库的基础，是进行撞库攻击的必要条件。拖库实现起来比撞库复杂得多，手段和方法也非常多，常用的是社工流拖库和技术流拖库。社工流拖库以欺诈、网站仿冒、钓鱼、重金收购、免费软件窃取等为主要手段；技术流拖库则以入侵、攻击为主，如远程下载数据库。利用Web Services 漏洞、服务器漏洞，挂马、病毒、木马后门等技术手段和方法。

通过拖库获取用户的信息后，撞库的实现就比较简单了。当前多数撞库以单脚本登录验证、分布式脚本登录验证，自动代理登录验证，甚至人肉验证等方式来显示。

同时Sentry MBA或SNIPR等免费自动化工具让犯罪分子能更加轻松地尝试登录信息并验证被盗凭据。

综合来看，“撞库”操作简单、成本较低，其对数据库的攻击只需要经过“拖库”——攻破网站、“洗库”——数据处理分析，然后就可以进行“撞库”。

撞库的危害

2017年12月至2019年11月间，Akama i观察到854亿2207万余次撞库攻击，中国是API恶意登录的三大“重灾区”之一。

因为撞库是以个人信息为前提，而我国的大规模个人信息泄漏事件并没有就此停止。而且联网近三分之二用户都在重复使用他们的密码所以撞库看似简单，但是成功率却很高。

曾经12306 数据泄露事件确认为撞库攻击，泄露的数据包括用户帐号、明文密码、身份信息邮箱等大量用户资料。

京东的账号被盗事件同理，只不过京东的数据库并没有泄露。黑客通过别的渠道获取泄露的数据库来实施“撞库”攻击，然后成功获取到了一些京东用户的密码。

结论：

撞库的损失不是一家之过，对于个人用户而言密码安全意识不强，设置密码过于简单、多个网站长期使用同一账号密码登录；对于平台来说，登陆时IP地址验证、设备验证等安全防御手段不到位；对于监管来说，虽然《个人信息保护法》已出台，但是网络上还存在着大大小小的暗网出售居民个人信息。

所以个人用户要加强对账号密码的保护，设置密码时，避免过于简单、易猜；养成定期更改密码的习惯；根据账号重要性、是否涉及财产等分级管理，避免一码多用；在公共设备上登录个人账号时，不要勾选“记住密码默认登录“等选项，尽可能选择匿名登录。

对于平台可以在用户登陆环节添加IP地址与GPS交叉核验，以此来核验用户的真实位置；对于监管部门来说可以加大惩治力度，震慑犯罪分子。