事情是這樣的,在QQ上有學弟跟我抱怨說手機丟了,然后騙子給他發(fā)釣魚郵件,問我能不能把這個網(wǎng)站端了(開什么玩笑,筆者是遵紀守法好公民,怎么可能干這種事兒,最起碼得把他數(shù)據(jù)庫什么的給他抹了然后再端了吧)。我當時回答不能,但是我也沒說不幫。根據(jù)他給我的一些線索,筆者開始了偵查。
首先呢,我讓學弟把這封郵件轉(zhuǎn)發(fā)給我的郵箱,然后我們來看一下這封郵件。
恩,做的挺像那么回事的,我們來看看能摸出來什么信息。首先摸到了這個釣魚網(wǎng)站的URL:http://www.tunes_phone.lnc.chrnss.com/index1.asp ,其次還摸到了這個發(fā)件人的郵箱。****@****bao.com,但是根據(jù)本人的經(jīng)驗來講,這個郵箱應該是被盜用的。那我們就從鏈接入手吧。先去擼一下這個服務器到底是啥地址。
恩,從heatmap來看的話,我們能看到這個確實是一個新上的網(wǎng)站,但是很明顯我們是不會這么搞的,我們還會繼續(xù)深究。這里我直接跳過了Whois信息,鑒于隱私問題我就不放Whois的信息了,但是我們還是留下了作為判定的依據(jù)。這次我們?nèi)]服務器。我們之前不是查到這臺機器解析的ip地址是45.64.74.148了么,我們?nèi)タ纯础?/span>
有點6啊,綁了這么多域名全都是跟apple id相連的,看來這個是個職業(yè)團隊。這臺服務器來自于Royal Network(果然香港是法外之地啊,服務器全放那邊),這些域名的Whois信息我們就不去查了,很多情況下都是胡亂填寫的,可參考的數(shù)據(jù)很少。但是不代表我們沒有招數(shù)去搞他。就看這臺服務器,之前在知乎回答過,威脅情報數(shù)據(jù)中有一種數(shù)據(jù)叫做netflow數(shù)據(jù),可以看到反連這臺服務器的所有IP地址,于是我們利用這些商業(yè)的數(shù)據(jù)去查一下看看有什么好玩的。(以下的數(shù)據(jù)來自于Passivetotal平臺,具體數(shù)據(jù)需要付費,請酌情使用)
這里沒有圖。。。。
查到的數(shù)據(jù)很有意思,這個服務器本身并不是他們的,而是某個IP利用這臺服務器3389端口上的漏洞進行了bruteforce拿到了這臺服務器的權(quán)限,然后把這臺機器拿過來自己用。厲害了我的哥,黑產(chǎn)都知道不用花錢搞肉雞了。
通過Passivetotal提供的netflow數(shù)據(jù),我們發(fā)現(xiàn)了幾個比較奇怪的IP: 124.67.21.XX、 http://113.251.41.XXX,好,搞到了這兩個IP不怕沒辦法知道你們在哪兒。上大殺器——LBS高精度定位:
下面那個可以無視,畢竟差距太大,很可能是VPN或者是代理什么的。我們要那個精度好的。
再結(jié)合學弟之前提供的Apple ID中的Find My iPhone定位,最后位置顯示在成都市太升南路,我們很清楚的確定這件事情是兩個集團在干的事兒,一個偷東西一個負責騙取Apple ID然后銷贓,二者之間是利益關系。
我們已經(jīng)知道了他在重慶一帶,這個時候你可以去找二營長把意大利炮借過來轟他一炮了。
接下來的事情就是和這件事情沒什么關系了,first我們來還原一下這件事情背后的邏輯鏈條。現(xiàn)在都是21世紀了,賊是不會跟電視里面那樣的撿了個手機去換SIM卡然后開機的,賊也知道有Find My iPhone這種東西。
Firstly:賊下手的地方多為高校公交站和人員較多的地方比如地鐵,順走了之后直接關機。這時候當你意識到手機已經(jīng)被偷的時候手機早就關機了。作為一個正常人這時候你肯定會著急的,然后發(fā)朋友圈說我手機丟了什么什么的(這個是正確的,防止因為手機丟了造成信息泄露),如果你用iPhone的話有個別稍微懂點技術(shù)的人會告訴你需要打開Find My iPhone然后把手機設置為丟失模式。(注意:敲黑板!這時候不要填寫任何有效的聯(lián)系方式給賊,任何有效的,包括親朋好友的聯(lián)系方式)。除此之外,你還應該把手機抹掉。(許多人會認為我手機萬一找回來了呢,而且里面有好多照片呢,多珍貴啊。再次敲黑板:丟了的手機基本上是找不回來的!找不回來的!找不回來的!抹掉手機是為了更好地防止因為泄密引發(fā)的一系列其他的損失,再說呢不是有iCloud么,照片都在云端放著。)
Secondly:這個時候你的手機會小時很長一段時間。那這個時候賊在干什么呢?有這么幾種情況,1.賊去銷贓了(一般賣不出去,稍微懂點的人都知道解不開沒法用),2.賊去干別的了(稍后我們會說)3.賊去尋求親友團幫助了,4.賊在等著。
針對1:基本不可能,所以還是別想了,如果真的銷出去了,你還沒準真的能找回來。
針對2:賊去干什么呢,賊這段時間會獲取你的信息來對你進行所謂的社會工程學攻擊,最典型的例子就是發(fā)釣魚短信和郵件這種。根據(jù)我對這些黑產(chǎn)團伙的了解,黑產(chǎn)內(nèi)部的工具化現(xiàn)在已經(jīng)非常成熟,很多工具都是很傻瓜化的操作,而且還具備了反偵察能力(程序給你加個VMP這種很麻煩的東西)。一般來說賊拿到了你的手機,第一個能獲得的你的信息就是手機號碼(夜深人靜的時候拔下來找個手機插上去給自己打個電話不就知道了么),通過手機號碼可以獲得的就太多了(敲黑板!通過手機號碼可以獲得你的QQ、微信、支付寶、郵箱等賬號,為什么,看一眼手機里面最多的類型的短信你就知道為什么了),通過這些炸出來的東西就可以砸出來你的Apple ID(很多人都是用QQ、126、163這些郵箱去做apple ID的或者是用http://icloud.com),砸出來之后ID有了,他們會進行一個數(shù)據(jù)庫碰撞的工作,也就是用已經(jīng)泄露出來的密碼進行碰撞,如果碰撞不出來的話,就會給你發(fā)上面看到的釣魚郵件。如果你開了丟失模式,這時候你填寫的號碼也會收到含有釣魚郵件的短信。他們沒別的目的,就是為了拿到你的ID解激活鎖。
針對3:其實就是把后面碰撞Apple ID的工作外包給萬能的某寶了。
針對4:等到底也是會走2、3的。
那么如果你這段時間沒有中招的話,賊會一直給你發(fā)釣魚短信和郵件,而且隨著賊的耐心下降,發(fā)送的頻率會越來越快。直到賊忍不下去了,然后他就會把你的手機拆掉去當成零件買。
說到這里你也可能就明白了,丟了手機之后最應該想的是保證自己的隱私盡可能的不去泄露,而不是想著怎么把手機找回來。這也就是為什么這些賊為什么總喜歡對大學生下手的原因,經(jīng)濟能力決定的。
針對這件事情我們可以在手機丟之前做這么幾件事情:
用一個高安全度的郵箱去注冊apple id,推薦gmail和http://live.com ,然后是http://outlook.com ,國內(nèi)的比如http://aliyun.com 這些比較小眾的。
用一個高安全度的密碼:推薦16位以上大小寫字母數(shù)字符號混合,而且不能和其他的密碼一樣,并且已經(jīng)泄露出來的數(shù)據(jù)庫的密碼不要去用。
放棄手機丟了能找回來的念頭,重要的是守護數(shù)據(jù)。
| 
