第十四期 | ETC车主收到的诈骗短信原来是黑灰产在搞鬼?
顶象防御云业务安全情报中心监测到,某车企大量用户信息数据被泄露,部分用户账号反馈登录异常,且出现账户内积分在用户不知情的情况下被大量兑换的情况。
顶象防御云业务安全情报中心BSL-2022-a3c32号显示,黑灰产通过撞库、密码爆破等方式,获取大量车企用户登录账号,并批量登录爬取账户内个人信息,包含账户绑定邮箱、手机号、积分数量、注册时间等信息,然后将成功获取的数据通过暗网等交易平台出售变现。
这样的行为不仅导致用户对企业产生不信任感,企业声望受损,用户流失,而且导致企业股价下跌,高层动荡,影响业务正常运营,更甚者还会导致企业面临诉讼等风险。
互联网+时代,车企的安全挑战
数智时代的到来让汽车迎来新一轮的变革,汽车智能化在带来便利的同时也极易引发数据安全问题。
在汽车智能网联化的大潮中,车企已经从拼规模、降成本、求稳定、增效率的阶段转向“用户共创”阶段。基于用户研究、市场营销、产品体验、售后能力,搭建以用户位置为中心的服务体系。
与此同时,这也意味着车企必须获取更多的用户信息以便车企与用户之间做更好的连接。因此,很多行车安全功能的实现离不开数据的采集,自动驾驶所需的感知、决策、控制都依赖于大数据采集的各种场景,保障车主人身安全也需要行车路线和位置数据的采集,只有收集了这些数据才能使人车配合得更加紧密。
所以,一旦敏感数据被破坏或泄露,将会造成重大经济损失或生产瘫痪。
此外,近几年,随着法律法规对于数据安全的重视,车企的合规风险也成为其重点关注方向之一。因为当企业发生数据泄露事件,除了会让用户对企业产生不信任感,对企业声望受损,从而导致用户流失之外。严重的还会导致企业股价下跌,高层动荡,影响业务正常运营,更甚者还会导致企业面临诉讼等风险。
近日,顶象防御云业务安全情报中心发现某车企大量用户信息数据被泄露,部分用户账号反馈登录异常,且出现账户内积分在用户不知情的情况下被大量兑换的情况。进一步分析发现,黑灰产通过撞库、密码爆破等方式,获取大量车企用户登录账号,并批量登录爬取账户内个人信息,包含账户绑定邮箱、手机号、积分数量、注册时间等信息。后将成功获取的数据通过暗网等交易平台出售变现。
那么,黑灰产是如何进行攻击的呢?
黑灰产的两种攻击方式:撞库攻击&密码爆破攻击
一般来说,黑灰产针对账号攻击有两种方式,一是撞库攻击,即通过已有的用户信息生成对应的字典表,对目标网站发起批量登录请求。二是密码爆破攻击,即对目标账号的密码逐个尝试,利用穷举法找出真正的密码。两者在使用目的上是有区别的,撞库攻击是当攻击者成功入侵一个安全防护能力很弱的网站A,并拿到其数据库的所有用户名密码组合,然后再拿着这些组合去站点B尝试企图获取网站B的批量有效用户登录信息。密码爆破攻击主要是针对一些高权限、高价值账号,用大量密码去试探,想要盗用的账号目标非常明确。
1、撞库攻击:
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户信息。由于很多用户的密码安全意识不强,通常为了方便记忆,在多个网站长期使用同一个账号密码登录。因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就是撞库攻击。下图是账号攻击黑产链条,撞库是其中一环。
黑灰产主要通过一些自动化工具对目标撞库网站的登录接口批量提交大量的用户名、密码组合,并记录下登录结果,输出能成功登录的组合,为后续盗号、积分盗取等行为做准备。
2、密码爆破攻击
密码爆破又叫暴力破解,简单来说就是将密码逐个尝试,直到找出真正的密码为止, 本质上是利用了穷举法。所以攻击行为特征是同一个用户账号在短时间内关联大量的密码来请求登录接口,主要用在一些高价值账号的盗号攻击上。
密码爆破攻击目前市面上已有大量的成熟使用的工具,常见的有以下几种:
1)Burp Suite:Burp Suite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了接口。主要可以应用Burp Suite来进行抓包、改包、截断上传、扫描、爆破等功能。
2)Hydra:Hydra工具是著名黑客组织Thc的一款开源的暴力破解工具。可以破解多种密码。主要支持:Telnet、Ftp、Http、Https、Http-proxy、 Mssql、Mysql等。唯一不方便的就是破解时须要的字典须我们自己制作。这款工具可以应用在Windows环境和Linux环境下,Windows 环境下是没有图形界面的,在Linux环境下是有图形界面的。
3)DUBrute:DUBrute工具主要是一款用于批量暴破3389密码的工具,也可以进 行指定目标的暴破。
4)Oraburte:Oraburte是一款专门针对于Oracle数据库用户名登录密码暴破的工具,此工具使用简单,但暴破速度较慢。
黑灰产变现方式
对于黑灰产而言,盗取用户数据只有一个目的,那就是变现。其变现方式一般有以下几种:
1、贩卖数据
黑灰产撞库获取用户登录信息后,批量登录并爬取的用户个人隐私数据,除了网站登录账号、密码之外,还会爬取用户邮箱、手机号、平台用户等级、积分数量、注册日期等个人信息,打包在暗网进行出售。
2、直接变现
获取大量用户信息后,黑灰产会筛选出高价值用户,实现直接变现。比如将用户账号中的积分、资产等变现。在汽车案例中,通过爬取用户个人信息,获取账号的积分值,筛选出高额积分值的账号,直接登录盗号消耗客户积分,兑换商品、电子礼品券。
3、电信诈骗
黑灰产利用撞库所得来的账号信息,登录用户账号对用户行为数据、个人数据进一步分析,刻画用户画像,筛选诈骗用户群体,针对性的对用户进行电信诈骗。
顶象防控建议
针对以上登录场景遭遇的撞库、密码爆破攻击手段,顶象防御云业务安全情报中心的防控建议如下:
1、终端加固/H5混淆
1)终端加固:
从客户端安全考虑,APP的IOS渠道和Android渠道都建议加终端加固,通过加固技术,实现端安全防护,如Android端的DEX文件保护、SO文件保护、资源文件保护、数据文件等进行深度混淆、加固保护,让黑产无法直接对APP进行逆向、破解。
2)H5混淆:
网页端建议加H5混淆防护,象H5代码混淆⼯具,通过加密混淆引擎,对H5代码进⾏加密、混淆、压缩,可以⼤⼤增加H5代码的安全性,有效防⽌产品被⿊灰产复制、破解。
2、通信传输安全保障
在终端增加环境检测等模块后,环境检测模块产生的数据往往没有和业务数据进行绑定,这就造成黑产有可能会篡改报文中的一些数据,所以本方案里运用了一些安全手段,防止终端安全检测模块的数据被篡改和冒用。
3、行为验证码进行人机识别
据黑灰产作弊手段分析,该黑产在登录环节主要是以撞库、密码爆破自动化程序进行高频恶意攻击,对于识别机器行为,轻部署且最简单的识别工具就是行为验证码,在登录场景加上行为验证码对请求进行人机校验,可有效拦截此类黑产攻击。
4、业务安全策略防控
风控维度建议:
以下是常见的风控维度:
1)设备终端运行环境检测,校验运行环境是否正常,如识别指纹ID是否合法、端是否有群控、调试、模拟器、注入、VPN、代理等特征,通常自动化攻击黑产设备大多具备以上特征。
2)异常行为检测,设备使用限制,如限制同一设备短时间尝试登录大量账号、同设备短时间切换大量IP、同账号短时间密码错误次数限制、IP短时间高频访问等行为维度检测。
3)维护本地黑白名单,基于风控数据、历史用户数据,沉淀并维护对应黑白名单数据,包括用户ID,IP地址,设备黑名单等。
4)模型,线上数据有一定积累以后,通过风控数据以及业务的沉淀数据,对用户行为进行建模,模型的输出可以直接在风控策略中使用。
5、 APP发版建议
在黑产对抗过程中,策略需要多次更新迭代,为保证策略能对黑产工具可用,建议APP强更。历史分析多起黑产攻击案例中,大量漏洞在迭代的新版中已可识别覆盖,但是黑产往往都是通过低版本漏洞进行攻击。
6、防控产品组合建议
1) 设备指纹:
设备指纹可以针对端上风险进行识别,设备终端运行环境检测,校验运行环境是否存在风险特征,例如注入、模拟器、调试、群控、云真机等风险设备,配合决策引擎使用,可以实时发现风险并给予处置。以及生成唯一设备ID,用于数据聚合统计、设备风险监测。
2)决策引擎:
通过引擎配置登录场景防撞库、防密码爆破策略规则,从设备行为、用户行为、以及IP地址风险等维度进行风险防控,对请求进行风险分层。业务端结合引擎返回的风险等级进行分层处置。
3) 行为验证码:
据黑产作弊手段分析,该黑产在登录环节主要是以撞库、密码爆破自动化程序进行高频恶意攻击,对于识别机器行为,轻部署且最简单的识别工具就是行为验证码,在登录场景加上行为验证码对请求进行人机校验,可有效拦截此类黑产攻击。
4)风险IP名单库:
黑产使用自动化程序攻击时,为了规避相关IP地址频次限制防控策略,通常会选择IP代理池组合使用。通过秒级切换海量IP来实现高频访问,使用IP黑库可以覆盖此类风险IP。