偷手机->偷AppleID->销赃
这是一位技术Geek(高手)手机被偷后,发现的黑产链条。但Geek并不放弃,通过钓鱼网站特征,在FOFA搜出了1000多个同类网站,然后全交给警察,已经立案。
下面是一位苹果手机用户的经历,也是本次事件的记录。
被偷后又被钓鱼
2017年5月11日,手机被偷,下午, 收到短信,提示被盗手机已经定位,输入了苹果账号密码。
但很快我发现这是个钓鱼的网站,页面与苹果官方iCloud一模一样。这些钓鱼网站如此逼真,成功率应该非常高,偷到的手机又可以贩卖,小偷才如此猖獗。
反击
我是一个技术人员,既然他能骗走我的AppleID和密码,我为什么不能追踪到他?
- 发短信所用手机号: +852 6567 8732 (香港)
- 短信中所涉及域名: find-applecare-iso.cn
该域名指向的服务器在香港,因此不需要在大陆做接入备案,无网站运营方备案信息。
但能查到如下Whois信息:
- Domain Name: find-applecare-ios.cn
- ROID: 20170511s10001s92309569-cn
- Domain Status: ok
- Registrant ID: x26k4uhy6o6462
- Registrant: 肖春勇
- Registrant Contact Email: pingguodaren@126.com
- Sponsoring Registrar: 北京新网数码信息技术有限公司
- Name Server: ns11.xincache.com
- Name Server: ns12.xincache.com
- Registration Time: 2017-05-11 11:06:28
- Expiration Time: 2018-05-11 11:06:28
- DNSSEC: unsigned
其中关键线索:
- 域名注册者电子邮箱: pingguodaren@126.com
- 域名注册者姓名: 肖春勇
- 域名注册服务商: 北京新网数码信息技术有限公司
- 域名注册者ID: x26k4uhy6o6462 (注册服务商可协助查找此ID更详细资料)
- 域名注册时间:2018-05-11 11:06:28
域名的Whois的信息对非专业人员来说, 很难查到, 因此域名注册者也不会意识到会有泄露, 不过依然有冒用电子邮箱注册的情形,但幸好有如下证据间接排除冒用邮箱注册。
通过搜索引擎搜索”pingguodaren@126.com”,得到一条快照记录如下:
这条记录来自http://www.guofenchaxun.com/网站名称为”果粉查询”。网站功能包含: 苹果ID锁查询, ICCID查询,翻新机鉴别……
这正是苹果手机黑色产业链需要用的的东西,因此可判断pingguodaren@126.com邮箱所有者寄与钓鱼网站域名相关,又与苹果手机黑产相关,初步判断为其本人所有,即证据有效。
继续挖掘pingguodaren@126.com相关信息。
查询到用pingguodaren@126.com注册的域名如下:
- apple-caree.cn注册时间: 2017/3/13 0:00:00
- iphoneid-ios101.com注册时间: 2018-04-05
- findiphones-ios.cn注册时间: 2017/5/9 0:00:00
- findme-iphone-ios.cn注册时间: 2017/5/6 0:00:00
- find-icloud-iphone.cn注册时间: 2017/5/2 0:00:00
- find-lphone-icloud.cn注册时间: 2017/5/2 0:00:00
- findiphoneld-ios.cn注册时间: 2017/5/2 0:00:00
- find-applecare-ios.cn注册时间: 2017/5/11 0:00:00
- iphoneid-ios.cn注册时间: 2017/4/7 0:00:00
- icloudld-ios.cn注册时间: 2017/4/5 0:00:00
- findphoneld-ios.cn注册时间: 2017/4/30 0:00:00
- findphones-ios.cn注册时间: 2017/4/23 0:00:00
- appleld-findphone.cn注册时间: 2017/4/21 0:00:00
- 等共计53条(可能仍有遗漏)
注册信息均为:
- Namechunyong xiao (春勇肖)
- Companyxiaochunyong(肖春勇)
- Emailpingguodaren@126.com
- Addressyongxinxiantailingxiang
- 343406 jianshi, jiangxisheng
- China
- Phone+86.298688233
- Fax+86.2985230042
注册服务商:
- Name:Xin Net Technology Corporation (新网)
- URL:http://www.xinnet.com
所以,可以初步判定,pingguodaren@126.com是一个以钓鱼网站为职业的人员。
报警
警察叔叔在看到我提供如此详尽的信息后,接受了我的报警(没报过警的不知道报警有多么困难)。
惊天发现
通过分析在这些网站的技术特征,找到如下关键词:
header=”逆风工作室 Netbox”
通过这个关键词在FOFA里搜索到1396个钓鱼网站——这是大群人啊!
再通过这些域名的信息查到了100多个注册者,每个人名下都有几十个以上的域名,域名含有知名网站的词语,如:icoud,apple,95533,95188。这些是苹果、银行、支付宝的热线电话,或者官方网站。
部分黑产网址:
- icloud-appledd.com
- hsy95533ky.com
- csf95533hs.com
- cyxk95188y.com
总结
道高一尺,魔高一丈。打击黑产应该使用大数据——将全球网站指纹特征收集,只要有一个钓鱼网站被发现,就能将全球所有钓鱼网站暴露,再而找到幕后人员,从而将庞大的黑产链条信息收集清楚,一网打尽。
这些钓鱼网站的前端页面是JS动态生成的,而且JS是混淆过的,那些基于特征的排除机制一般都鉴别静态页不解析JS,无法判断是钓鱼网站。所以杀毒软件,安全软件,安全浏览器无法识别这些钓鱼网站,反到是FOFA的网站指纹识别能将这些钓鱼网站识别出来。网络空间测绘,能将全球网站进行标记、分类,为新一轮的网络空间攻击提供应对方案。
建议
在手机被盗前该做些什么?请移步苹果网站:https://support.apple.com/zh-cn/HT201472
作者:白帽汇