苹果手机被盗后发现黑产老窝
作者: 日期:2017年05月31日 阅:25,807

偷手机->偷AppleID->销赃

这是一位技术Geek(高手)手机被偷后,发现的黑产链条。但Geek并不放弃,通过钓鱼网站特征,在FOFA搜出了1000多个同类网站,然后全交给警察,已经立案。

下面是一位苹果手机用户的经历,也是本次事件的记录。

被偷后又被钓鱼

2017年5月11日,手机被偷,下午, 收到短信,提示被盗手机已经定位,输入了苹果账号密码。

但很快我发现这是个钓鱼的网站,页面与苹果官方iCloud一模一样。这些钓鱼网站如此逼真,成功率应该非常高,偷到的手机又可以贩卖,小偷才如此猖獗。

反击

我是一个技术人员,既然他能骗走我的AppleID和密码,我为什么不能追踪到他?

  • 发短信所用手机号: +852 6567 8732 (香港)
  • 短信中所涉及域名: find-applecare-iso.cn

该域名指向的服务器在香港,因此不需要在大陆做接入备案,无网站运营方备案信息。

但能查到如下Whois信息:

  • Domain Name: find-applecare-ios.cn
  • ROID: 20170511s10001s92309569-cn
  • Domain Status: ok
  • Registrant ID: x26k4uhy6o6462
  • Registrant: 肖春勇
  • Registrant Contact Email: pingguodaren@126.com
  • Sponsoring Registrar: 北京新网数码信息技术有限公司
  • Name Server: ns11.xincache.com
  • Name Server: ns12.xincache.com
  • Registration Time: 2017-05-11 11:06:28
  • Expiration Time: 2018-05-11 11:06:28
  • DNSSEC: unsigned

其中关键线索:

  • 域名注册者电子邮箱: pingguodaren@126.com
  • 域名注册者姓名: 肖春勇
  • 域名注册服务商: 北京新网数码信息技术有限公司
  • 域名注册者ID: x26k4uhy6o6462 (注册服务商可协助查找此ID更详细资料)
  • 域名注册时间:2018-05-11 11:06:28

域名的Whois的信息对非专业人员来说, 很难查到, 因此域名注册者也不会意识到会有泄露, 不过依然有冒用电子邮箱注册的情形,但幸好有如下证据间接排除冒用邮箱注册。

通过搜索引擎搜索”pingguodaren@126.com”,得到一条快照记录如下:

这条记录来自http://www.guofenchaxun.com/网站名称为”果粉查询”。网站功能包含: 苹果ID锁查询, ICCID查询,翻新机鉴别……

这正是苹果手机黑色产业链需要用的的东西,因此可判断pingguodaren@126.com邮箱所有者寄与钓鱼网站域名相关,又与苹果手机黑产相关,初步判断为其本人所有,即证据有效。

继续挖掘pingguodaren@126.com相关信息。

查询到用pingguodaren@126.com注册的域名如下:

  • apple-caree.cn注册时间: 2017/3/13 0:00:00
  • iphoneid-ios101.com注册时间: 2018-04-05
  • findiphones-ios.cn注册时间: 2017/5/9 0:00:00
  • findme-iphone-ios.cn注册时间: 2017/5/6 0:00:00
  • find-icloud-iphone.cn注册时间: 2017/5/2 0:00:00
  • find-lphone-icloud.cn注册时间: 2017/5/2 0:00:00
  • findiphoneld-ios.cn注册时间: 2017/5/2 0:00:00
  • find-applecare-ios.cn注册时间: 2017/5/11 0:00:00
  • iphoneid-ios.cn注册时间: 2017/4/7 0:00:00
  • icloudld-ios.cn注册时间: 2017/4/5 0:00:00
  • findphoneld-ios.cn注册时间: 2017/4/30 0:00:00
  • findphones-ios.cn注册时间: 2017/4/23 0:00:00
  • appleld-findphone.cn注册时间: 2017/4/21 0:00:00
  • 等共计53条(可能仍有遗漏)

注册信息均为:

  • Namechunyong xiao (春勇肖)
  • Companyxiaochunyong(肖春勇)
  • Emailpingguodaren@126.com
  • Addressyongxinxiantailingxiang
  • 343406 jianshi, jiangxisheng
  • China
  • Phone+86.298688233
  • Fax+86.2985230042

注册服务商:

  • Name:Xin Net Technology Corporation (新网)
  • URL:http://www.xinnet.com

所以,可以初步判定,pingguodaren@126.com是一个以钓鱼网站为职业的人员。

报警

警察叔叔在看到我提供如此详尽的信息后,接受了我的报警(没报过警的不知道报警有多么困难)。

惊天发现

通过分析在这些网站的技术特征,找到如下关键词:

header=”逆风工作室 Netbox”

通过这个关键词在FOFA里搜索到1396个钓鱼网站——这是大群人啊!

再通过这些域名的信息查到了100多个注册者,每个人名下都有几十个以上的域名,域名含有知名网站的词语,如:icoud,apple,95533,95188。这些是苹果、银行、支付宝的热线电话,或者官方网站。

部分黑产网址:

  • icloud-appledd.com
  • hsy95533ky.com
  • csf95533hs.com
  • cyxk95188y.com

总结

道高一尺,魔高一丈。打击黑产应该使用大数据——将全球网站指纹特征收集,只要有一个钓鱼网站被发现,就能将全球所有钓鱼网站暴露,再而找到幕后人员,从而将庞大的黑产链条信息收集清楚,一网打尽。

这些钓鱼网站的前端页面是JS动态生成的,而且JS是混淆过的,那些基于特征的排除机制一般都鉴别静态页不解析JS,无法判断是钓鱼网站。所以杀毒软件,安全软件,安全浏览器无法识别这些钓鱼网站,反到是FOFA的网站指纹识别能将这些钓鱼网站识别出来。网络空间测绘,能将全球网站进行标记、分类,为新一轮的网络空间攻击提供应对方案。

建议

在手机被盗前该做些什么?请移步苹果网站:https://support.apple.com/zh-cn/HT201472

作者:白帽汇

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章