一、 骗子从何而来？

这是去年的新闻，想必大家都已经知道了。

面对社会上层出不穷的诈骗新闻，我们可以发现骗子们诈骗成功的一个关键是：骗子们知道你叫什么、住在哪里、买了什么东西、花了多少钱。

这些信息骗子们是从哪里得来的呢？

最近某票务网站就出现了这么一例case，因为骗子们知道其在该网站上的订单信息、电话和住址，因此认为骗子就是真实的该网站的客服人员，从而被引导到转款等流程中。

二、 信息如何泄露

大多数人看到这些短信的第一反应是:我的信息被平台商卖给了骗子!

其实对于大部分大厂商来说，客户的信息都是最重要的资产，不会卖给其他任何第三方，更不可能卖给骗子。

真实的情况是以下这几种:

这个平台存在漏洞，数据被黑客攻破，整个数据库被“拖”走了。（整个数据库都被别人掌握，然后贩卖出去）

平台内部出现人事问题，导致数据被人拿去售卖了。（内鬼作案）

平台的某些接口存在风控漏洞，导致黑客利用已有的数据库内容进行匹配，导致数据被人批量拿走。(所谓的刷库撞库)

随着互联网安全的逐步发展，前两种情况已经比较少了，市面上常见的泄露都是由于第三种情况造成的，也即刷库、撞库这种手法。

从之前的case中，我们也可以看到最终导致信息泄露的原因是刷库、撞库：

三、 数据库泄露严重吗

简单列举下一些大家都知道的数据库泄露：

某SDN数据

某讯群数据

某酒店开房数据

某知名bbs论坛数据库

等等

在明处的泄露数据库，已经数不胜数，而在暗处，只是流通在各个小圈子中的数据库会更加可怕。这也是为什么，有人说道，在互联网时代的所有人，都是在裸奔。

这些数据库可能不会有你的全部信息，但是黑产通过数据关联、整理和分析，可以得到你的相关全部数据。

对于普通人来说，注册一个网络账号，可能使用的账户名、密码等都具有极度的相似性（甚至完全一样）。在某些特别的应用中，如使用身份证、手机号注册的账号，这些用户名具有先天一致性。

通过对这个社工库的不断完善，黑客可以得到越来越多关于你的信息。

四、 黑客是如何通过已有数据库进行撞库的

以上是在攻击者视角的一个图，对于部分公司来说，存在一个误区，即风险只是存在于登录等场景中，但是实际上，任何与后端数据库存在交互的地方都有可能被攻击者用于撞库攻击。

攻击第一步洗库：

之所以要进行洗库，是为了加快最后撞库的速度，同时避免被发现。因为通常在登陆等入口的防御强度通常会更强.

通过这样一个接口，攻击者用于进行第一波洗库的工作

攻击第二部撞库：

撞库的流程与洗库的逻辑基本一致，其采用的接口与洗库可以一样也可以不一样，完全看攻击者找到了哪个较弱的接口.

暴力破解与撞库的差别也就是：密码库是已经准备好的，还是实时生成的而已。

五、 现有的防御思路

总结上面提到的撞库刷库等问题，我们面临了以下几种挑战:

攻击面的确认，数据等级的确认

哪些地方可能存在利益点，哪些地方的数据危险性高，并且要不无遗漏的总结出来，才能达到一个较好的防御效果；如果漏掉了其中的一个，根据木桶原理，即代表整体失效

如何保护数据

假设已经确认了需要保护的点，如何对其进行有效防护？

普通验证码

带文字信息的普通验证码，是考虑到防御时，第一个会出现在脑海里面的东西。但是，随着该模式的不断被研究，打码平台、字库、各种验证码识别算法不断出现，导致在实际的攻防效果上来说，普通验证码已经不具有阻拦恶意攻击的能力了。(详见验证码的前世今生系列)

手机验证码

有部分厂商认为，手机卡和手机卡是一个可以做到对用户进行真实性访问确认的好工具。在刚开始的几年内，该方法的确是一个有效的方法，但是随着黑产开始大规模的应用猫池和特殊的零月租手机卡，这个方法的实用性也大打折扣。甚至催生出了一个新的产业：卡商

一条短信对于黑产的成本也只是0.1元而已，并且随着产业的不断发展，这个价格只会越来越低。

IP限制

ip是从互联网之初就一直被使用的一个指标。简单来说就是，对单位时间内的单ip访问的次数进行强限制，如果超过某个数值后，就判定为存在攻击风险并进行拦截。然而，在互联网时代，ip是非常廉价甚至是免费的资源。只需要付出很小的代价，你就可以拥有世界各地的ip进行选择使用。

也有部分防御思路是，对IP进行反向探测等，抓出某些互联网上的免费或者提供服务的IP。但是针对这些思路，黑产攻击者也采用了如某些运营商宽带断线重连重新分配ip的机制来进行绕过。