撞库攻击.

撞库攻击依托海量历史泄露的凭据组合表。该术语由 Sumit Agarwal 于 2011 年提出,OWASP 将其归类为自动化威胁 OAT-008。攻击者通过自动化框架(Sentry MBA、OpenBullet、Snipr 或自研脚本)投喂组合表,这些工具会轮换住宅代理、破解 CAPTCHA,并调节请求速率以规避限流。由于大量用户跨站复用密码,即使成功率很低(通常为 0.1%–2%),也能产生大批被接管账户,随后通过欺诈、礼品卡套现或二次倒卖凭据牟利。

这一技术与暴力破解有本质区别:它并不猜测密码,而是重放那些已知在某处有效的凭据。2023 年的 23andMe 泄露事件就是教科书式的案例——攻击者利用复用的凭据登录了约 14,000 个账户,随后通过"DNA Relatives"功能横向扩展,抓取了近 700 万人的数据,而这些人的账户均未被直接攻破。多年来,流媒体、零售和金融平台也屡遭类似攻击活动的冲击。

防御措施包括 MFA(理想情况下使用抗钓鱼的 FIDO2/passkeys)、基于 Have I Been Pwned 等语料库的已泄露密码筛查、设备指纹、Bot 管理、不可能旅行与速率异常检测,以及对可疑登录进行渐进式限流或升级验证。

flowchart LR
  A[泄露组合表<br/>user:pass 配对] --> B[自动化工具<br/>OpenBullet / Sentry MBA]
  B --> C[轮换住宅代理<br/>+ 破解 CAPTCHA]
  C --> D[在众多目标站点<br/>重放登录]
  D --> E{密码是否复用?}
  E -->|否| F[登录失败]
  E -->|是| G[账户被接管]
  G --> H[欺诈 / 倒卖 / 数据窃取]