前言:
写这篇文章的主要目的是为了让更多的人注意到自己的信息安全的重要性,网络是一把双刃剑,有时候华丽的外表下就是黑色产业链,但是你却不知道,你点击的瞬间,你的个人资料就泄漏了,或者说在某个地方别人已经开始用你的信息做违法的事情了!
首先这张图!
刷爆了得朋友圈,
这个真的很好玩吗》?在他的背后是怎样一条黑色产业链,来我带大家深入了解一下~
首先我们来认识三个词! 撞库,脱裤,洗库。
在黑客术语里面,”拖库“是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为,因为谐音,也经常被称作“脱裤”,360的库带计划,奖励提交漏洞的白帽子,也是因此而得名。在取得大量的用户数据之后,黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现,这通常也被称作“洗库”。最后黑客将得到的数据在其它网站上进行尝试登陆,叫做”撞库“,因为很多用户喜欢使用统一的用户名密码,”撞库“也可以是黑客收获颇丰。
下图是黑客,在“脱裤”“洗库”“撞库”三个环节所进行的活动。
黑客怎样获取用户数据?
黑客为了得到数据库的访问权限,取得用户数据,通常会从技术层面和社工层面两个方向入手。
技术方面大致分为如下几种:
(1)远程下载数据库文件
这种拖库方式的利用主要是由于管理员缺乏安全意识,在做数据库备份或是为了方便数据转移,将数据库文件直接放到了Web目录下,
而web目录是没有权限控制的,任何人都可以访问的;还有就是网站使用了一些开源程序,没有修改默认的数据库;其实黑客每天都会
利用扫描工具对各大网站进行疯狂的扫描,如果你的备份的文件名落在黑客的字典里,就很容易被扫描到,从而被黑客下载到本地。
(2)利用web应用漏洞
随着开源项目的成熟发展,各种web开源应用,开源开发框架的出现,很多初创的公司为了减少开发成本,都会直接引入了那些开源的应用
,但却并不会关心其后续的安全性,而黑客们在知道目标代码后,却会对其进行深入的分析和研究,当高危的零日漏洞发现时,这些网站就
会遭到拖库的危险。
(3)利用web服务器漏洞
Web安全实际上是Web应用和Web服务器安全的结合体;而Web服务器的安全则是由Web容器和系统安全两部分组成,系统安全通常会通过外
加防火墙和屏蔽对外服务端口进行处理,但Web容器却是必须对外开放,因此如果Web容器爆出漏洞的时候,网站也会遭到拖库的危险。
社工方面大概有如下几种:
(1)水坑攻击
黑客会利用软件或系统漏洞,在特定的网站上进行挂马,如果网站管理员在维护系统的时候不小心访问到这些网站,在没有打补丁的前提下,
就会被植入木马,也会引发后续的拖库风险。
(2)邮件钓鱼
黑客会利用一些免杀的木马,并将其和一些管理员感兴趣的信息绑定,然后通过邮件发送给管理员,而当网站管理员下载运行后,也会导致服
务器植入木马,引发后续的拖库风险。
(3)社工管理员
对目标网站的管理员进行社会工程学手段,获取到一些敏感后台的用户名和密码。从而引发的后续拖库。
(4)XSS劫持
有时黑客也会为了获取某一些网站的帐号信息,他们会利用网站钓鱼的手段去欺骗用户主动输入,但这种方式只能获取部分帐号的真实信息,
并没有入侵服务器。
黑客怎样利用得到的数据?
除了贩卖数据得到金钱上的利益之外,黑客还会把得到的数据进行整理,制作成社工库。利用社工库对其他网站进行撞库攻击。撞库攻击实质上就是,以大量的用户数据位基础,利用用户相同的注册习惯(相同的用户名和密码),尝试登陆其它的网站。
随着社工库的日益庞大,越来越多的用户和网站受到来自撞库攻击的威胁。(现在网上流传的数据库已经超过千万级别,不过这和某些黑客手中所掌握的数据比较起来只不过是冰山一角,详情参见“道哥的黑板报:中国黑客传说:游走在黑暗中的精灵”)
不单单是账户密码的泄露,在庞大的社工库面前,用户的个人隐私也是岌岌可危。比如如家宾馆2000w数据泄露事件,导致众多会员开房记录曝光于互联网。
QQ群用户信息的泄露,也影响到了几乎所有QQ用户的隐私。
用户怎样保护自己的隐私:
作为中国千万网民中的一个,你可能觉得,我不用网银,打游戏不充钱,我没有什么被黑的价值,所以黑客是不会来光顾我的。其实不然,每一个使用互联网服务的用户,在享受快捷方便的时候,都把自己暴漏在了风险之下。不是黑客会不会值得黑你,而是你有没有可能被波及。下面是几条建议有利于你规避风险。
(1)重要网站/APP的密码一定要独立,猜测不到,或者用1Password这样的软件来帮你记忆;
(2)电脑勤打补丁,安装一款杀毒软件;
(3)尽量不使用IE浏览器
(4)支持正版,因为盗版的、破解的总是各种猫腻,后门存在的可能性很大;
(5)不那么可信的软件,可以安装到虚拟机里;
(6)不要在公共场合(如咖啡厅、机场等)使用公共无线,自己包月3G/4G,不差钱,当然你可以用公共无线做点无隐私的事,如下载部电影之类的;
(7)自己的无线AP,用安全的加密方式(如WPA2),密码复杂些;
(8)离开电脑时,记得按下Win(Windows图标那个键)+L键,锁屏,这个习惯非常非常关键;
小编最后想告诉大家!下回遇到这种抽奖,或者什么方式让你提供个人信息的,千万不要去玩,而且要告诉身边的人,让我们共同保护自己的隐私安全,其实数据泄露不可怕,可怕的是对数据在意而别有用心的人。
关注微信公众,获取更多内容
本文选摘http://blog.csdn.net/daliaojie/article/details/42171177 CSDN 图片来源:网络
Heike07