隨著線上娛樂城、電商與會員制平台普及,「撞庫」成為近年最常見、也最具破壞力的資安攻擊手法之一。
不論是玩家帳號被盜、平台出現異常登入,背後都可能與撞庫有關。
什麼是撞庫?
撞庫,又稱「帳密撞庫攻擊」(Credential Stuffing),是指駭客利用已外洩的帳號與密碼資料庫,透過自動化工具,大量嘗試登入其他網站或平台的行為。
簡單說就是:
因為很多人「不同網站用同一組帳密」,駭客就拿一個外洩名單,去「撞」其他平台的帳戶。
撞庫是怎麼發生的?
1️⃣ 資料來源
• 其他網站被駭(論壇、購物網站、社群平台)
• 帳密在暗網被販售
• 惡意釣魚取得帳密
2️⃣ 自動化攻擊
駭客會使用工具:
• Bot 程式
• 模擬真人登入
• 快速切換 IP、裝置指紋
對娛樂城、電商、金流平台進行大量登入測試。
為什麼博弈產業特別容易成為撞庫目標?
因為博弈平台通常具備
• 可直接變現(帳戶有餘額)
• 登入成功就能操作
• 出金、轉帳速度快
• 玩家帳密重複使用率高
因此「博弈產業撞庫」幾乎是資安防護的必考題。
撞庫攻擊常見特徵
平台若出現以下狀況,就要高度懷疑撞庫行為:
• 同一時間大量登入失敗
• 不同帳號卻來自相似裝置指紋
• 登入成功後立即嘗試出金
• 玩家反映帳號被盜、異地登入
• API 登入流量異常暴增
撞庫會造成哪些風險?
對玩家來說
• 帳號被盜
• 餘額被轉走
• 個資外洩
• 信用受損
對平台來說
• 資金損失
• 玩家信任崩盤
• 客訴、糾紛暴增
• 可能影響金流合作
撞庫該如何防範?(平台端)
1. 多重驗證(2FA)
• 簡訊驗證
• Google Authenticator
• 登入異常二次驗證
2. 登入風控機制
• IP / 裝置指紋辨識
• 登入次數限制
• 異常行為即時封鎖
3. CAPTCHA / 行為驗證
• 阻擋自動化 Bot
• 判斷真人操作
4. 風控系統即時監控
• 登入與出金行為關聯分析
• 高風險帳號延遲出金
撞庫該如何避免?(玩家端)
玩家自身也很關鍵
• 不要所有網站用同一組密碼
• 使用高強度密碼(大小寫+符號)
• 開啟雙重驗證
• 發現異常立即改密碼
總結
撞庫是一種利用人性與習慣的攻擊方式,對博弈平台、娛樂城與金流系統來說,防範撞庫已是基本標配,而非加分選項。
✨公道博推薦的合法平台:
閱讀更多:
別再上當!假博弈平台詐騙手法全面解析
流量暴增卻風險爆表?博弈產業直播的真實現況
AI 技術全面進場,娛樂城營運模式正在改寫
