近年来，大规模的个人身份泄漏已经发生多起，个人信息泄露的问题日渐凸显，信息泄露背后的黑色产业链也引起公众的关注。

跟身份盗用的信贷欺诈不同，盗刷盗号无需获得申请人身份证信息，且由于金融机构给与的金融账户在使用时仅需输入登录密码、交易密码，无需进行身份验证，获得用户金融账户以及密码，就相当于获得用户身份。所以盗刷盗号比冒用身份信贷欺诈成功概率更高。

盗刷盗号常用的技术手段为拖库、洗库和撞库

拖库也称“脱裤”，是欺诈分子通过技术手段或者社会工程的方式盗取用户信息的行为。拖库是怎么做的呢？

它通常的步骤如下：第 1 步，黑客对目标网站进行扫描，查找其存在的漏洞，常见漏洞包括 SQL 注入、文件上传漏洞等；第 2 步， 通过该漏洞在网站服务器上建立“后门 (webshell)”，通过该后门获取服务器操作系统的权限；第 3 步，利用系统权限直接下载备份数据库，或查找数据库链接，将其导出到本地。

“洗库”，是指黑客、欺诈分子在完成拖库后，通过技术手段将有价值的用户数据归纳分析，变卖给黑产、欺诈分子变现的行为。

案例：某动漫直播视频网站的用户数据在暗网出售，包含用户名、手机号以及密码，数量高达900万条，大部分为一手数据，出卖价格为40人民币。如果这900万条信息，平均每条能获利2毛，欺诈团伙将有140万元的利润。

撞库就更加危险，完成洗库后，黑客在售卖个人信息的同时，会将该部分信息进行整理，批量尝试在另一网站或平台匹配登录的行为，称为撞库。

黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A 网站的账户从而尝试登录 B 网址。黑客在进行拖库与洗库后，一般会利用已获得的用户信息进行撞库，已获取更多的用户信息。

被撞库网站行业分布

根据阿里安全报告统计，截止至 2017 年，被撞库的网站当中，金融机构占比 20%，在所有行业中排行最高。

应该如何应对？

拖库、洗库、撞库流程

1.注册接口快速验证：建议金融机构在网站登录时，避免使用 AJAX 进行账户验证，且每次登陆都需要重新请求验证码，避免出现一个验证码可进行多次登陆验证的操作。

2.登陆接口返回信息：部分网站如果账号密码错误会返回敏感信息暴露账号存在情况。例如返回提示「账号不存在」或「密码错误」，便能让黑客判断账号是否存在。此处我们推荐的返回信息显示为「账号或密码错误」。

3.找回密码接口：部分网站在找回密码的流程中，填写手机号或邮箱后会有一次带「账号不存在」提示信息，此处也常常被黑客用来判断账户存在与否，建议金融机构将返回信息删去。

?（来源：百融云创）