网站泄密内幕：拖库产业浮现冰山一角

发生在2011年底的多网站泄密风暴，至今仍在延续。越来越多人抱怨，改密码改到手软、改到错乱；更多人则是在猝不及防之下，账号隐私资料在网上裸奔。让网民愤怒的是，这些密码泄露并不是因为自己误中了病毒木马，而是网站太坑爹，服务器上的用户数据直接被黑客拿下。

“一点也不意外，这些数据库资料泄露很正常，在黑客圈内一直都流传着，只是以前没外露。”国内黑客“元老”、中国鹰派联盟网的创立者万涛如是说。另据360等多家安全厂商称，不法分子窃取网站数据库（拖库）、洗劫用户账号危害已远超盗号木马。据估计，网站泄密引发的盗号，相比木马盗号高3倍，一个庞大的拖库产业链正在浮出水面。

网站为何频频泄密？

安全业界人士透露，国内网站大多安全防护薄弱，很多甚至没有专职的安全维护工程师。再加上有些网站明文存储用户密码，一旦遭到黑客攻击，用户数据泄露自然难以幸免。

360网站安全检测平台的分析结果印证了上述说法。据了解，目前国内83%的网站存在安全漏洞，最常见的漏洞是SQL注入漏洞和跨站攻击漏洞。当黑客利用这些漏洞入侵网站，可以注入攻击获取隐秘数据，甚至在网站服务器植入脚本后门，完全控制网站的数据业务。

“大多数网站不重视安全，没有专业安全团队，没有能力防范黑客入侵，这就是中国互联网站的现状。”360网站安全检测平台负责人称，为了帮助网站提升安全防护能力，该中心免费提供网站安全检测服务（webscan.360.cn）。网站站长申请开通服务后，可第一时间修复网站漏洞，降低数据泄露的风险。

不过，修复网站漏洞仅是坚固网站安全性的基础工作，网站工作人员的安全意识同样重要。在实际发生的黑客渗透网站案例中，悲剧往往就出现在一个弱口令、一次不安全的操作行为等等微不足道的问题上。多网站泄密事件，是网络安全事故，更是一记发人深省的警钟。

黑客拖库获利途径

黑客拖库显然不只是在炫耀技术，利益作祟才是根本原因。360网络安全专家表示，黑客拖库产业有着一条“盗-聚-洗-销”的完整流水线。所谓盗，即是黑客利用网站漏洞，窃取用户密码数据库；随后，不同黑客组织以买卖交易、交换共享的形式将拖库而来的数据进行聚合，形成更为庞大的规模效应，再将密码库批发给专门从事“洗号”环节的不法分子。

据悉，“洗号”分子一般会筛选有价值的注册邮箱，比如知名企业的工作邮箱，然后窃取邮箱中的重要商业资料，甚至进一步通过社会工程手段进行诈骗（一些贸易企业电子邮箱失窃后，引发巨额的交易诈骗）。

此外，黑客分子还利用密码库在网上支付平台自动批量发起交易，如果恰好用户泄露的注册邮箱和密码与网上支付账户的交易密码相同，支付账户中的余额就可能被洗号者转移走。

专家还指出，黑客经常利用密码库尝试登录QQ、MSN等聊天软件账号，向好友发送借钱诈骗消息，或者在微博等社交网站上尝试登录，由此产生出付费加粉丝、发布广告信息或钓鱼诈骗链接等多种获利途径。

网站泄密惊现后遗症

如此大规模的账号密码泄露，其严重后果不言而喻。首当其冲的是来自邮箱的各种安全问题，如钓鱼邮件数量猛增，据360杀毒邮件保镖统计，近期拦截量提升了70%以上；更严重的问题是，部分邮箱被入侵者偷开“后门”，绑定了其他人的QQ、密保邮箱或是手机号。

360安全中心监测发现，随着众多网站泄密事件发生， 诈骗分子开始利用邮件诱骗网民在冒牌的QQ、淘宝等网站上“修改密码”，使原本没有泄密的网民拱手交出账号密码。此外，一些不良网站嗅到“商机”，将黑客公开的其他网站数据库收入囊中，群发邮件欺骗受害用户在其网站上“激活”账号。

对于网民担忧账号安全，各安全厂商向广大网民建议：密码必须分级管理，重要账号（如常用邮箱、网上支付、聊天账号等）单独设置密码。另外，定期修改密码，可有效避免网站数据库泄露影响到自身账号；

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友