数据探测之扫号攻击

参考：注意！API扫号攻击已成为账号安全的重要威胁

通过对系统登录用户的账号特点生成账号，然后针对登录、注册、密码修改等相关接口
的盲探遍历系统用户分布情况，甚至有哪些用户。
核心阻断方法：

1. 接口层面不透露任何后端用户信息  

2. 建立用户正常行为基线

 3.启用用户多因素认证

大部分平台都需要通过账号密码进行验证和登录，账号里又包含着各种重要信息如个人手机APP账户、电脑网站账户、银行卡账户密码等。账号安全的重要性也就不言而喻，如果这些信息被泄露或者是被不法分子利用，将会造成数据泄露、资金盗取、网络诈骗等风险。

扫号攻击，指的是黑产通过注册、登录或其他业务接口的返回值，如“账号已存在”或“账号不存在”，“您是老用户”或‘您是新用户’等来判断某个账号（用户名、邮箱、手机号等）是否在该平台注册过。如果接口缺乏安全防护，黑产极易对接口发起大规模的扫号攻击，通过暴力枚举的方式，大量获取平台注册用户的账号。

• 注册/登录接口：

目前仍然有不少企业并未对注册/登录接口的错误提示进行模糊化处理，比如某平台的登录接口，对于已注册的账号，提示“手机号码或密码不正确”；而对于未注册的账号，提示“该号码未注册，请使用验证码登录”。因此，黑产就可根据该提示判断出哪些账号是在该平台注册过的，并对这些注册账号实施撞库攻击。

• 账号查询接口：

常以checkusername、checkmobileIsexist、accountquery等命名，功能单一的接口，提供给注册、登录或其他业务场景调用，判断某个账号是否注册过，对于这类接口，若非必要不建议开放给外部调用。

• 密码找回接口：

密码找回功能的第一步，需要先校验填入的账号是否有注册过，这个信息往往会随着友好的错误提示暴露到前端，比如“您输入的账号有误，请检查后重新输入”。

• 验证码发送接口：

给手机发送短信验证码之前，往往也会先判断填入的手机号是否是平台的注册用户，这个信息同样有可能因为错误提示暴露到前端。

• 活动接口：

某些平台在开展拉新的营销活动的时候，对于新注册的用户会给予比较丰厚的奖励。因此，为了区分新老用户，业务侧有时会临时开发这样的接口：传入手机号，新老用户返回不同的结果，这种临时接口往往由于上线仓促而缺乏安全防护，给了黑产可乘之机。