开发者社区> 玄学酱> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

美帝黑产追踪:被盗 iPhone 洗白记

简介: 本文讲的是美帝黑产追踪:被盗 iPhone 洗白记,众所周知,国内被盗iPhone洗白的黑产已经非常成熟。一台iPhone被盗后,其绑定的苹果账号会由上游的专业盗号团伙窃取密码,清除绑定关系,进而洗白转手。
+关注继续查看
本文讲的是美帝黑产追踪:被盗 iPhone 洗白记众所周知,国内被盗iPhone洗白的黑产已经非常成熟。一台iPhone被盗后,其绑定的苹果账号会由上游的专业盗号团伙窃取密码,清除绑定关系,进而洗白转手。过去两年,类似新闻屡见不鲜,还出现了许多职业勒索党,盗取苹果账号直接远程锁定手机,向机主进行勒索。

苹果公司对此反应迟钝,到现在还没太有效的措施(二次验证没推广开)。让笔者不禁疑惑,难道盗取苹果账号洗白iPhone的黑产只在中国盛行?其它国家地区的被盗iPhone怎么洗白呢?

最近看到安全博客KrebsOnSecurity的文章“If Your iPhone is Stolen, These Guys May Try to iPhish You”,讲述了一起发生在美国地区的被盗iPhone洗白案例,博主的朋友很懂技术,顺藤摸瓜找出了幕后的黑产链条,让我们得以一窥美帝那边的黑产生计。

KrebsOnSecurity前不久讲过一起发生在巴西的被盗iPhone钓鱼事件,当事人的妻子手机被偷,小偷们给他发送钓鱼信息,试图窃取其苹果账号密码。今天我们要分享的是发生在美国的有组织苹果账号钓鱼犯罪——远程解锁和擦除被盗苹果设备。

iPhone被盗的受害者们可以使用“查找我的iPhone”功能来远程定位、锁定以及擦除设备,只需要访问苹果官网输入iCloud用户名和密码。同样,iPhone小偷可以使用iCloud账号远程解锁和擦除偷来的设备,进而转手卖出。因此,iPhone小偷经常会找第三方的iCloud钓鱼服务来盗号。这个故事是关于这些第三方服务的。

最近博主跟一位安全专家闲聊,对方说起有位好朋友收到过针对性的苹果账号钓鱼短信。这位朋友的孩子在弗吉尼亚州某个公园遗失手机数月后,他忽然收到一条短信,短信开头声称由苹果公司发送,里边写着定位到遗失iPhone的位置,点击链接即可知晓,有效期24小时。

美帝黑产追踪:被盗 iPhone 洗白记

安全专家拒绝对外透露身份,因为接下来发生的某些事情可能违反了美国计算机欺诈和滥用法律。简单起见,下边我们称呼他为约翰。

约翰说,他朋友点击了钓鱼短信里的链接,打开是一个假的iCloud登录页面:appleid-applemx[dot]us。简单查了下这个域名的信息,显示托管在俄罗斯的某台服务器上,这台服务器上至少还有140个域名,很明显可以看出都是用来干iCloud钓鱼的,比如accounticloud[dot]site、apple-devicefound[dot]org等(完整的域名列表戳我查看)。

虽然iCloud钓鱼的服务器放在俄罗斯,但其主要用户分布在完全不同的地方。仔细检查了一遍,约翰发现这台服务器有一个明显的配置错误,会泄露用户操作记录,包括最近访问服务器的时间、在服务器上访问各级目录的记录等。

监控一段时间后,约翰发现有五个IP会每天多次登录服务器,这些IP的位置分布在阿根廷、哥伦比亚、厄瓜多尔、墨西哥四个南美小国。

他还发现俄罗斯的服务器上有一个可以公开访问的文件,在不停地回应imei24.com、imeidata.net的请求。如果有好奇网友在这两个网站输入手机的imei号码,服务器将返回各种信息,包括手机品牌、型号、是否启用“查找我的iPhone”以及设备是否被锁定/被盗。

约翰继续分析,当他试图访问“index.php”时(通常的网站首页地址),浏览器被重定向到了“login.php”页面。如下图,这是一个名为“iServer”系统的登录页面,里边显示一个自定义的苹果logo,下边是海盗骷髅图案,背景则是流血的橙色火焰。

美帝黑产追踪:被盗 iPhone 洗白记

除了login.php页面,服务端还返回了一份HTML内容,一份大约包含137个用户名、电子邮箱、到期日期等信息的表格。显而易见,这恐怕是每月支付费用购买iCloud钓鱼服务的攻击者名单。

美帝黑产追踪:被盗 iPhone 洗白记

约翰随便猜测几个常见弱密码配合用户名尝试登录,很轻松地登录了两个账号。登录进去后,有个账号通知服务已过期,提醒至少续费一个月才能继续使用。

约翰点击“确定续费”按钮,被带到一个域名为hostingyaa[dot]com的网站,这个网站接收付款的PayPal账号名为HostingYaa LLC,查看网页代码显示收款邮箱是admin@hostingyaa[dot]com。

在俄罗斯服务器上返回的用户表格上,第一个用户名是demoniox12,邮箱是admin@lanzadorx.net。约翰强烈怀疑Ta就是服务器管理员,因为这个用户使用服务并没有付费。

对Lanzadorx[dot]net的调查显示,这是专门提供一个网络钓鱼服务的网站,它宣传可对Apple、Gmail、Hotmail、Yohoo等各种账号发起钓鱼攻击。

在Domaintools.com上反向查询WHOIS显示,admin@lanzadorx.net是hostingyaa[dot]info和lanzadorx[dot]net两个域名的注册邮箱。

继续查询,Hostingyaa[dot]info的注册者叫Dario Dorrego,这个名字也出现在上述用户表格上,同为零付费用户,邮箱是dario@hostingyaa[dot]com。Dario Dorrego这个名字还注册了31个其它域名,感兴趣可戳这查看。

就那份俄罗斯钓鱼服务器的用户表格,约翰猜出了至少6个账号的密码,包括一个可能是分销商的有趣用户,用户名是“Jonatan”。下图为Jonatan的控制面板,他每月支付80美元来使用服务,现在已经成功窃取了65个iCloud账号。

美帝黑产追踪:被盗 iPhone 洗白记

下图为“Jonatan”盯住的账号之一,受害者“Tanya”的信息面板:

美帝黑产追踪:被盗 iPhone 洗白记

当“Tanya”点开收到钓鱼短信的链接,会看到一个和苹果iCloud网站一模一样的页面。为了更好地取信受害者,登录框的用户名已经自动填好。

美帝黑产追踪:被盗 iPhone 洗白记

65位受害者的详细信息,包括姓名、邮箱、密码、电话、imei、设备型号、语言以及Jonatan的个人备注。

美帝黑产追踪:被盗 iPhone 洗白记

短信发送记录。这个页面可以跟踪每个受害者的攻击进度,可以看到钓鱼系统的国际化做得很好,有许多语言版本的短信文案。如果受害者点击了链接,也会显示出来。

美帝黑产追踪:被盗 iPhone 洗白记

iServer钓鱼系统里可以轻松添加钓鱼链接。这个功能很是实用,一个钓鱼链接的存活期一般不超过一个月,短的可能几天就失效了。系统里还会检查钓鱼链接是否被安全公司标识,并提醒使用者。

美帝黑产追踪:被盗 iPhone 洗白记

下边这张图可能有些讽刺。为了测试服务的可靠性,Jonatan使用钓鱼系统向自己发起了钓鱼短信,整个流程走完,很流畅哈。然后他忘记删除了,系统里一直留着他真实的iCloud账号信息。。。

美帝黑产追踪:被盗 iPhone 洗白记

接下来大家应该可以猜到,约翰登录Jonatan的iCloud账号,发现了一张有趣的图片——Jonatan当时在钓鱼链接填写信息的截图。

美帝黑产追踪:被盗 iPhone 洗白记

Jonatan日常提供iCloud盗号服务的报价单,来自他的iCloud相册。图中显示,发送iPhone 4、4s的钓鱼短信只需40美元,iPhone 6s、6s+则需要120-140美元,其实成本都是一样。

美帝黑产追踪:被盗 iPhone 洗白记

Jonatan的个人iCLoud账号是jona_icloud@hotmail.com,这个邮箱在Facebook对应的用户叫Jonatan Rodriguez。在FB个人页面上,Jonatan Rodriguez介绍自己来自Puerto Rico。

美帝黑产追踪:被盗 iPhone 洗白记

Jonatan的FB个人页面上有许多个人照片,看起来像是做男模特的。不过他也有很柔软的一面,比如iCloud相册里的自拍照片。

美帝黑产追踪:被盗 iPhone 洗白记

在FB上,Jonatan Rodriguez管理着一个名为“iCloud Unlock Ecuador – Worldwide”的小组,这个小组有2797位成员。

美帝黑产追踪:被盗 iPhone 洗白记

在Jonatan管理的FB小组中,有个成员叫“Alexis Cadena”。这个名字也出现在Jonatan的盗号名单的备注里。

美帝黑产追踪:被盗 iPhone 洗白记

Alexis Cadena也有运营自己的iCloud钓鱼服务。目前暂时不太清楚他和Jonatan的关系,下图是Alexis Cadena在FB上发的一些广告。

美帝黑产追踪:被盗 iPhone 洗白记

回到Jonatan,iCloud账号不仅仅可以查看个人信息,还可以定位设备的位置。由于Jonatan的粗心大意,我们得以围观他的地理位置。3月7日的最新定位显示,Jonatan的iPhone位于下图这个地方,厄瓜多尔靠边境的城市Yantzaza里。

美帝黑产追踪:被盗 iPhone 洗白记

最后,Jonatan没有回应博主的采访请求。




原文发布时间为:2017年3月16日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
给 SAP BTP 创建的 Java 应用添加 Custom Event Handler 支持创建功能
给 SAP BTP 创建的 Java 应用添加 Custom Event Handler 支持创建功能
16 0
EMQ
Mria + RLOG 新架构下的 EMQX 5.0 如何实现 1 亿 MQTT 连接
大规模分布式物联网MQTT消息服务器EMQX的5.0 版本在发布前的性能测试中达成了1亿 MQTT 连接。本文将对使EMQX水平扩展能力得到指数级提升的全新底层架构进行详细解析,同时帮助大家理解在不同的实际应用场景中如何选择合适的部署架构,实现更加可靠的设备接入与消息传输。
74 0
小模型实现大一统!Meta RL华人一作FBNetV5一举包揽CV任务3个SOTA
Meta现实实验室(Meta Reality Lab)华人一作提出FBNetV5,这是一种在一次运行中同时为多个任务搜索架构的神经架构搜索(NAS)算法。针对三个基本的视觉任务:图像分类、物体检测和语义分割,FBNetV5搜索到的模型在所有三个任务中都超过了目前的SoTA水平。
90 0
音视频开发: ffmpge创建空白视频(指定颜色与时长)
音视频开发: ffmpge创建空白视频(指定颜色与时长)
119 0
iPhone 12外观基本确定,发售时间或在十月份
时间进入8月份,又到了一年一度被新iPhone预测新闻刷屏的日子。每年到这个时候都会有大量的所谓“知情人士”爆出下一代iPhone的消息,在这期间,我们基本也能拼凑出今年iPhone 12的大致情况了。
47 0
MINIEYE完成B轮融资,四维图新基金战略领投
半年内MINIEYE累计完成1.5亿元人民币融资,他们预计今年发布L2-L3级别自动驾驶产品。
431 0
高浪完成2 亿元 A 轮融资,琢石资本领投
高浪给自己的定位是“品牌资产管理”,也就是对一个品牌的无形资产、品牌价值的运营。如今,渠道很多,消费品也很多,不仅要让产品精准触达到用户,还得同步完成“认知——说服”的过程。
415 0
JDK10 EA版特性速览
今天收到一封邮件组的邮件,是关于JDK 10 First Release Candidate的, JDK10 b43版将作为第一个JDK10的RC版。 b43版特性包括: >286: Local-Variable Type Inference 296: Consolidate the JDK Forest into a Single Repository 304: Garbage-
3494 0
Google Maps Javascript API V3 Reference
https://developers.google.com/maps/documentation/javascript/reference?hl=zh-cn ...
656 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
20683
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载