众所周知，如今针对互联网的犯罪活动已经形成一条庞大而完整的黑色产业链条。在这条黑色产业链中，从电信诈骗，恶意软件编写、撞库、拖库、洗库到漏洞售卖、数据窃取、个人信息倒卖等等，不但屡打不止，且呈现出越演越烈之势。在这其中，撞库攻击活动就有卷土重来的迹象。近期，百度安全和法务刑事打击组就协助海淀网安警方破获一起通过QQ群、淘宝等产业链，实施百度网盘账号盗取、清洗和售卖的犯罪案件，这也是国内首个利用撞库获利的网络黑产犯罪团伙落网。 其实，对撞库攻击我们并不陌生，但过去主要把它看成是单纯的安全事故，主要以技术防范为主，但如今它演变成为网络黑产犯罪的新方式，性质就变了，这也说明如今网络黑产集团化、手段多样化越来越明显，危害越来越严重。因此，在我看来，针对撞库从攻击活动到谋利犯罪的新变化，除了加大技术层面的打击力度之外，更需要通过政府加强监管，政府和企业之间通力合作才能有效地打击网络黑产带来的新危害。警惕撞库犯罪卷土重来事实上，撞库本身是黑客术语，是指黑客通过各种手段，收集并整理批量的互联网泄漏用户名和密码信息，并形成一定规模的字典表，之后对重点目标网站进行批量登录尝试，基于一定的成功概率，获得该网站可用用户名和密码的攻击方式。不仅如此，它也是互联网黑产中最常见的技术手段，因此撞库攻击一直是各大企业头痛的问题，尽管很多企业的网站增设了验证码环节，但对于黑产来说，被破只是时间问题。验证码虽然也增加了很大的难度，但关键是企业大了，接口那么多，总有被遗忘的角落，这就给了黑产留下了太多的机会。和撞库一起伴生的，还有拖库和洗库活动。拖库是指黑客通过技术手段，入侵网站并盗取网站数据库内容的攻击行为。在获得的大量的用户数据后，通过一系列的技术手段对数据进行分类、筛选、清洗，再利用黑色产业链渠道，将有价值的数据变现，进而实现非法获利，这一过程则被称为洗库。据某社工库不完全统计，截止目前国内用户账户及密码泄露至少30亿条。其中撞库最有名的案例就是2014年12月发生的12306网站撞库事件，但是近两年来，甚至最近几个月来，与撞库相关的事故仍然频发不断。例如，今年7月，有黑客团队宣称盗取了4000万个苹果iCloud账户，他们已经锁定了部分iOS设备，并给被锁的用户发送信息称，需30-50美元才可解锁。用户需要在在12小时内付款，否则其设备无法使用，iCloud中的所有数据也可能被清除。 同样也是今年7月，大麦网就遭遇了撞库，其中39名用户被骗损失达百万元。根据事后调查，是因为有大麦网用户在不同网站使用相同的注册信息，因此被黑产利用，使用撞库的方法在大麦网尝试登录并获取用户购买商品的信息，进而冒充客服人员实施诈骗，导致部分用户遭受了经济损失。据介绍，撞库成功后的账号信息分为两种，一种是用户账号，这让黑产可以用来诈骗、倒卖信息等；另一种是企业账号，而企业账号不仅危害企业内网，更对公司整体的信息安全产生严重的危害。由此可见，不管是企业，尤其是知名网站或者政府机构，遭遇撞库之后不但会面临巨大社会舆论压力，其自身的公信力也将遭到质疑，也势必会导致直接或间接的经济损失。而最直接受害者莫过于用户本身，作为个人，将很有可能要面临财产、名誉乃至人身安全的损失风险。三位一体严打撞库犯罪值得思考的是，在目前网络安全技术不断升级环境之下，撞库这种严重危害企业和个人的攻击活动不但没有停止，且有卷土重来之势，甚至成为了黑产新的网络犯罪形式呢？ 这是因为很多用户在不同网站使用的是相同的账号密码，这就给黑产带来了很多可乘之机，因为黑客掌握着用户登录网站的唯一凭证，所以此时黑客想黑入用户的帐号，不需要攻破网站的安全防御，只需要“凑巧”用户使用同一组帐号密码就可以了，这也是为什么网站的安全等级再高，黑客也有可能攻破的原因。换句话说，凭着正确的帐号密码登入，以目前很多企业部署的技术手段，实际上是很难判断是否是遭遇黑产撞库攻击，这也是撞库攻击屡打不止的原因。必须说，近期百度安全针对百度帐号事件对撞库这一网络黑产犯罪打击，所使用的全新的安全技术工具和手段，就值得业界广泛的参考和借鉴。首先，是百度安全网络黑产监控平台，通过全网黑产数据的实时监控，可预先洞察黑产犯罪趋势，追踪攻击源头，从而对犯罪分子的猖獗行为进行有效打击。此外，百度安全云的扫描技术，结合百度大数据和人工智能优势，还可以对网站风险、漏洞、弱点等隐患的挖掘，筛查网页内容中恶意植入的违法钓鱼代码等挂码行为，骚扰电话、短信、WiFi等移动通信安全的安全鉴定模型以及网络黑产对抗研究，为打击包括撞库在内的网络犯罪活动提供了新的技术手段，形成了全网安全态势。其次，是百度安全的企业安全管理监控平台，该平台从企业在互联网安全能力建设薄弱，容易成为网络黑产攻击的首要目标出发，汇集安全威胁情报收集、抵抗黑客攻击，网络漏洞扫面等诸多安全能力和数据。另外，百度安全还部署了多名安全顾问全天候坐镇，形成专家+安全数据（人机组合）的专业人工智能团队，精准定位异行为，可全面、实时解决各类安全隐患，为企业提供“管家式”的安全运维服务。最后，是百度昊天镜威胁情报平台，该系统同样基于全面的互联网安全事件地貌及知识图谱，感知目前安全态势，阻断将来的威胁，通过分析+监测+决策方式，对已发生的安全事件，可以进行追踪溯源，描述刻画攻击者的基础设施和技术手段，捕获、追踪、分析及处置越来越猖獗的互联网犯罪黑产的攻击行为。不难看出，过去传统的被动防御方式已经无法适应当前的互联网安全需求，因此，未来治理网络黑产最好的方式，依然是从根源上降低信息泄露的几率，从技术上不断提高防御技术的能力，而百度安全目前打造的“三位一体”防御能力，就体现了他们让安全风险降到最低，让安全技术不断进化，并不断适应网络新安全需求的努力。严打网络黑产永不停息不仅如此，百度安全应对本次百度帐号撞库犯罪带给业界的另一大启发，就是在严打网络黑色产业链的过程中，除了利用技术手段之外，更需要加大力度配合公安机关等相关政府部门，形成更有效、更广泛、更持久的协同作战严打方式。 据了解，本次事件中，百度安全采用溯源反制追击，通过对攻击流量分析，确定恶意IP地址，并第一时间上报辖区网安。在立案后，百度安全实验室还积极配合网安，提供后方技术支持，通过历史数据分析，锁定服务器机房，便于网安民警调查取证，锁定嫌疑人身份，最终侦破了犯罪团伙。事实上，在协同政府部门打击黑产犯罪的过程中，百度安全也一直一马当先做出表率。例如，2015年6月25日，广东省某公安分局刑侦大队，通过百度移动安全部伪基站大数据的快速鉴别分析，迅速准确地定位到犯罪嫌疑人具体位置，抓获了犯罪嫌疑人，并起获伪基站主机一台、电池和手机等作案设备三部。又如，在今年3月25日，借助百度安全“伪基站有害信息监测平台”，花都区办案民警，经过一周的监测分析以及实地探查，最终将该街道长期活跃的伪基站锁定，借助百度安全的技术力量，成功将该伪基站精准识别并将犯罪份子抓捕，而这个过程仅用了5个小时。由此可见，在网络黑产日益猖獗的今天，百度安全通过实际行动，展现出了和政府相关部门共同打击网络黑产的决心和态度。更关键的是，这种通过科技手段，技术创新协同公安部门主动出击打击网络犯罪的方式，效果立竿见影，除达到震慑网络犯罪份子的目的外，也为更多的企业和用户的互联网安全提前构筑了一道坚实防线。全文总结，我认为，面对“道高一尺，魔高一丈”的黑产势力，打击黑产犯罪活动始终是一场持久的攻坚战。唯有永不停息的精神，安全技术创新的不断进化，以及和政府部门协同作战的努力，方能为互联网世界创造一片安全净土。申耀的科技观察（微信号：shenyao），由非著名科技媒体人申耀创办、10万公里公路自驾经验老斯基，在各大自媒体平台拥有专栏，致力于科技行业的观察和思考，在这里读懂科技行业，知趋势，赢未来！