卖彩票中奖的几率是多少？千万分之一。对黑客来说，通过撞库攻击来获取平台的账号和密码，这几率要比中彩票高出不少。

　　今年2月，海淀警方接到北京字节跳动公司报案，后者称旗下App抖音千万级外部账号遭到恶意撞库攻击，其中几百万账号密码与外部泄露密码吻合。5月底，犯罪嫌疑人汪某被警方抓获。

　　据汪某交代，其利用掌握的计算机能力，控制了多个热门网络平台的大量账号，随后通过在网上承接点赞刷量、发布广告等业务牟利。

　　与此同时，汪某还编写了大量撞库代码，对包含抖音在内的各大网络平台进行撞库攻击，以此获取到更多的平台账户win7设置vpn服务器 360，累计获利超百万元。

　　在中国新闻网的报道中，知名信息安全专家李响称，撞库攻击实则非法牟利者一种碰运气的表现。这种方式是通过已经被泄露的部分信息，再进行其他平台的重复登录操作，一旦登陆成功则撞库成功。

　　“通常被黑客选作撞库对象的账号密码所有者安全意识都不高，他们很有可能将同样的账号、密码作为几个平台的通用‘钥匙’，这为撞库的成功提供了保障。”

　　对于撞库者而言，这些通过碰运气得到的平台账号大多没有发布过黄赌毒的相关消息，清白的历史记录让其足矣具备高利润价值。通过暗网买卖这些账号，亦或直接用它们来进行恶意内容传播、刷量等活动，是其获取暴利的最佳方式之一。

　　雷锋网了解到，在字节跳动系统实时监测到攻击之后，该公司通过安全系统，对所有疑似被盗账号设置了短信二次登陆验证，以阻止黑客的撞库攻击行为。

　　近几年黑客尤其青睐撞库攻击的“玩法”，面对暴利，越来越多的黑客加入到对抗厂商的队列之中，使其发展成为一个几乎要取代盗号行为的巨大灰色产业链。

　　一直以来，黑客们用一些工具或者自己写的程序就可以检测到网站漏洞，然后利用这个漏洞对该网站进行挖掘。并且用户量大的网站也同样会被拖库，单看前几年的数据泄露事件，就足矣大开眼界：

　　毕竟，世界上没有密不透风的墙，通过提权、木马病毒植入、垃圾链接生成等方法，可以很容易得到这个网站的所有用户信息（当然包括登陆账号和密码），这些信息被盗取之后就被存放在社工库中。

　　所以，当黑客想尝试登录某个网站或者app时，就会用”社工库”里的信息去挨个尝试登录，“撞”出一个个正确账号。

　　然而，面对暴利的黑产人员更加积极主动，将反抗安全的步骤做到了平台化、链条化。雷锋网得知，目前撞库黑客在各个维度都有完善的方案与厂商进行对抗。

　　1、低安全性边缘业务或新业务——寻找其自身漏洞，一旦发现非严格审计的边缘业务接口，便绕过所有的防护措施。

　　2、IP对抗——许多爬虫、搜索引擎、机器人程序都有获取IP的需求。而撞库攻击获取IP资源的方法主要有扫描代理、付费代理、付费VPN和拨号VPS四种。

　　4、短信验证对抗——黑产获取的手机卡主要分为流量卡、实名卡和海外卡三种，通过猫池，黑产不仅可以在不同卡之间模拟定期拨打电话，还可以进行收发短信，甚至进行一些流量的消耗。这种模拟让黑卡的使用情况趋于正常的电线、模仿真人行为——通过对不同平台安全检测逻辑进行分析，越来越多自动化程序骗过了风控平台的“眼睛”。

　　如何防范撞库攻击？首先，怎样才能发现撞库攻击呢？从企业的web服务视角来看，如果发现以下几种情况，基本可以判定是在撞库：

　　3、针对c情况，就对IP或者设备唯一id进行阈值限制，如限制1分钟内访问登录接口次数50次。