在信息化时代,大部分平台都需要通过账号密码进行验证和登录,账号里又包含着各种重要信息如个人手机APP账户、电脑网站账户、银行卡账户密码等。账号安全的重要性也就不言而喻,如果这些信息被泄露或者是被不法分子利用,将会造成数据泄露、资金盗取、网络诈骗等风险。



从大量攻击事件分析来看,黑产的作恶手段主要是通过对API接口发起攻击,如扫号攻击、撞库攻击、盗号登录等,最终达到窃取敏感信息、盗取资金、网络诈骗、薅羊毛等目的。

下文将重点聊一聊其中的一种攻击手法——扫号攻击,它不仅会造成用户隐私泄露,还是黑产提高其攻击效率的前置手段。

什么是扫号攻击?


扫号攻击,指的是黑产通过注册、登录或其他业务接口的返回值,如“账号已存在”或“账号不存在”,“您是老用户”或‘您是新用户’等来判断某个账号(用户名、邮箱、手机号等)是否在该平台注册过。如果接口缺乏安全防护,黑产极易对接口发起大规模的扫号攻击,通过暴力枚举的方式,大量获取平台注册用户的账号。

如果平台被扫号攻击,不仅会造成用户个人隐私信息泄露,还会给用户带来资金盗用,恶意欺诈的风险,同时也会提高黑产攻击效率,从而变相提升了防护难度。

  • 用户信息泄露。暗网或地下黑市经常会有不法分子贩卖某些平台注册用户的手机号,其中不少就是由于扫号攻击导致的信息泄露;随着手机号的泄露,平台用户也会遭遇到同行或中介的电话骚扰,甚至是电话诈骗,从而降低用户对平台安全性的信赖,造成用户大量流失;


  • 提高黑产攻击效率,从而变相提升了防护难度。以撞库攻击为例,黑产为了避免被发现,往往会采用低频撞库的攻击方式。为了让攻击不因低频而变得低效,有经验的黑产则会先通过扫号进行过滤,然后集中针对注册的账号发起撞库攻击。


近几年,头部互联网厂商由于API接口存在问题而遭受扫号攻击的事件接二连三。从永安在线Karma情报平台近期捕获的攻击数据来看,目前全网仍存在大量的扫号攻击。


而存在这种情况的原因,主要有两方面:一是仍有不少企业的注册/登录接口的错误提示不合理;二是量关联了注册信息的接口(如密码找回接口、验证码发送接口、活动接口等)暴露在互联网而被黑客利用。


扫号攻击现状分析


通过对永安在线Karma情报平台捕获到的攻击事件进行分析,发现扫号攻击遍布金融、游戏、电商、社交等领域,其中金融和游戏行业成为扫号攻击的重灾区。此外,黑产发起扫号攻击的接口类型日益多样化,包括注册/登录、账号查询接口、密码找回接口等。


1. 金融和游戏行业是扫号攻击的重灾区



  • 金融行业

针对金融行业的扫号攻击,传入的账号大多都是手机号。一份金融平台的注册用户数据,即使只有手机号,也能在暗网或黑市上卖到不低的价格。


  • 游戏行业

针对游戏行业的扫号攻击,传入的账号除了手机号之外,也有很多是邮箱账号。从永安在线Karma情报平台捕获到的情报数据来看,大多数遭受扫号攻击的游戏厂商,同时也遭受到了撞库或弱密码暴破攻击。


此外,邮箱账号还会遭受到洗号攻击:黑产会先对邮箱实施撞库攻击,获取到部分邮箱的控制权,然后再对游戏平台实施扫号攻击,“洗出”已注册的邮箱账号,最后黑产利用邮箱解绑再换绑的方式,将游戏账号永久据为己有。


2. 遭受扫号攻击的接口类型日益多样化




  • 注册/登录接口:

目前仍然有不少企业并未对注册/登录接口的错误提示进行模糊化处理,比如某平台的登录接口,对于已注册的账号,提示“手机号码或密码不正确”;而对于未注册的账号,提示“该号码未注册,请使用验证码登录”。因此,黑产就可根据该提示判断出哪些账号是在该平台注册过的,并对这些注册账号实施撞库攻击。


  • 账号查询接口:

常以checkusername、checkmobileIsexist、accountquery等命名,功能单一的接口,提供给注册、登录或其他业务场景调用,判断某个账号是否注册过,对于这类接口,若非必要不建议开放给外部调用。


  • 密码找回接口:

密码找回功能的第一步,需要先校验填入的账号是否有注册过,这个信息往往会随着友好的错误提示暴露到前端,比如“您输入的账号有误,请检查后重新输入”。


  • 验证码发送接口:

给手机发送短信验证码之前,往往也会先判断填入的手机号是否是平台的注册用户,这个信息同样有可能因为错误提示暴露到前端。


  • 活动接口:

某些平台在开展拉新的营销活动的时候,对于新注册的用户会给予比较丰厚的奖励。因此,为了区分新老用户,业务侧有时会临时开发这样的接口:传入手机号,新老用户返回不同的结果,这种临时接口往往由于上线仓促而缺乏安全防护,给了黑产可乘之机。


扫号攻击典型案例


案例1. 黑产通过扫号获取平台注册用户手机号


近期,永安在线Karma情报平台监测到某消费金融平台存在被黑产恶意扫号的现象。该平台的密码找回接口对于未注册的账号(手机号)会提供提示,如图:



这本意上是避免用户输错手机号而给出的友好提示,通过这一提示黑产就能获取到哪些手机号已注册,哪些手机号未注册。黑产通过抓包的方式提取出相关的API接口,在接口的请求体中传入手机号,再通过响应体的字段isRegist进行判断(0表示未注册,1表示已注册):



下面永安在线Karma平台捕获到的黑产批量伪造接口请求,发起的扫号攻击:



黑产通过扫号攻击的方式,可以批量获取到平台用户信息(手机号),并将这些信息在暗网或者地下黑市进行出售,从而给平台的用户带来负面影响,如电话骚扰,甚至是电话诈骗。


案例2. 黑产通过先扫号再撞库进行盗号


永安在线Karma情报平台还监测到某游戏公司被黑产先扫号再撞库进行盗号的现象,下图是该游戏公司的活动登录界面,用户输入账号以及其他信息之后就可以领取活动礼包:



若输入不存在的账号,系统则会提示“账号输入错误!”,黑产依此即可判断出哪些是注册账号:



从Karma情报平台捕获到攻击源 IP 可以发现都是183.146.17.148,说明此次攻击属于同一个攻击团伙作恶。该黑产团伙采取非常高效聪明的攻击手段:


黑产首先利用该活动接口进行高频扫号攻击,以此来筛选出平台的注册账号,再对筛选出来的注册账号进行集中撞库攻击。通过这种先扫号过滤账号,再进行撞库的方式,可以有效提高撞库的成功率。


下图为永安在线Karma平台捕获到的高频扫号攻击:

(由于该活动接口缺乏有效限制,黑产平均每分钟就能够发起约20次的扫号攻击。)


下图为永安在线Karma平台捕获到的低频撞库攻击:

(为了避免撞库攻击被发现,该黑产团伙对扫出来的已注册账号发起低频撞库攻击,平均3到4分钟才发起1次撞库攻击。)



扫号攻击防御建议


针对黑产的扫号攻击,企业需要做到知己知彼,从内至外进行安全防御,在内对API资产进行梳理并安全审计,在外则基于威胁情报对API进行风险感知,及时发现扫号攻击,通过内外兼治防御扫号风险,帮助企业建设账号安全体系,维护平台的健康安全发展。


知己:API资产梳理和安全审计


1、全面梳理出所有有传入账号信息的API接口,无论是账号相关的接口,还是其他业务接口;



2、对这些接口进行包括缺陷检测在内的安全审计:

1)对于处理内部业务逻辑,不是必须返回信息到前端的接口,限制外网不能访问;

2)对于必须返回信息到前端,但会暴露账号是否注册的接口内容进行模糊化处理;

3)如不能模糊化处理,需引入认证或授权机制,比如查询某个账号的相关信息时,先通过短信验证码进行身份认证。


知彼:基于威胁情报的API风险感知


1、及时发现安全视线外的扫号攻击:

黑产会寻找并利用安全防护相对缺失的API接口发起扫号攻击,比如临时上线的活动接口,需要通过情报快速发现并进行安全加固;


2、有效识别黑产伪装成正常请求的扫号攻击:



针对API接口的扫号攻击,基本都是破解和伪造接口请求,从流量上看和正常用户发起的请求没有差别。同时,黑产通过秒拨或代理IP平台获取到大量可用于攻击的IP资源,可轻易绕过针对IP的限制。因此,我们可以以情报为基础获取到黑产的攻击资源信息,从中筛选出风险流量,结合API访问行为的上下文特征可以有效识别出异常的攻击流量 。



为了帮助客户及时识别风险,永安在线API风险雷达平台面向所有用户免费开放,点击下方链接即可注册,实时监测和预警API风险,及时掌握业务风险攻击路径。


超轻量级,注册即可感知风险

https://apis.yazx.com/

备注:请通过PC端注册和登录