美帝黑产追踪:被盗 iPhone 洗白记

2023-12-20 18:40

本文主要是介绍美帝黑产追踪:被盗 iPhone 洗白记,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本文讲的是 美帝黑产追踪:被盗 iPhone 洗白记众所周知,国内被盗iPhone洗白的黑产已经非常成熟。一台iPhone被盗后,其绑定的苹果账号会由上游的专业盗号团伙窃取密码,清除绑定关系,进而洗白转手。过去两年,类似新闻屡见不鲜,还出现了许多职业勒索党,盗取苹果账号直接远程锁定手机,向机主进行勒索。

苹果公司对此反应迟钝,到现在还没太有效的措施(二次验证没推广开)。让笔者不禁疑惑,难道盗取苹果账号洗白iPhone的黑产只在中国盛行?其它国家地区的被盗iPhone怎么洗白呢?

最近看到安全博客KrebsOnSecurity的文章“If Your iPhone is Stolen, These Guys May Try to iPhish You”,讲述了一起发生在美国地区的被盗iPhone洗白案例,博主的朋友很懂技术,顺藤摸瓜找出了幕后的黑产链条,让我们得以一窥美帝那边的黑产生计。

KrebsOnSecurity前不久讲过一起发生在巴西的被盗iPhone钓鱼事件,当事人的妻子手机被偷,小偷们给他发送钓鱼信息,试图窃取其苹果账号密码。今天我们要分享的是发生在美国的有组织苹果账号钓鱼犯罪——远程解锁和擦除被盗苹果设备。

iPhone被盗的受害者们可以使用“查找我的iPhone”功能来远程定位、锁定以及擦除设备,只需要访问苹果官网输入iCloud用户名和密码。同样,iPhone小偷可以使用iCloud账号远程解锁和擦除偷来的设备,进而转手卖出。因此,iPhone小偷经常会找第三方的iCloud钓鱼服务来盗号。这个故事是关于这些第三方服务的。

最近博主跟一位安全专家闲聊,对方说起有位好朋友收到过针对性的苹果账号钓鱼短信。这位朋友的孩子在弗吉尼亚州某个公园遗失手机数月后,他忽然收到一条短信,短信开头声称由苹果公司发送,里边写着定位到遗失iPhone的位置,点击链接即可知晓,有效期24小时。

美帝黑产追踪:被盗 iPhone 洗白记

安全专家拒绝对外透露身份,因为接下来发生的某些事情可能违反了美国计算机欺诈和滥用法律。简单起见,下边我们称呼他为约翰。

约翰说,他朋友点击了钓鱼短信里的链接,打开是一个假的iCloud登录页面:appleid-applemx[dot]us。简单查了下这个域名的信息,显示托管在俄罗斯的某台服务器上,这台服务器上至少还有140个域名,很明显可以看出都是用来干iCloud钓鱼的,比如accounticloud[dot]site、apple-devicefound[dot]org等(完整的域名列表戳我查看)。

虽然iCloud钓鱼的服务器放在俄罗斯,但其主要用户分布在完全不同的地方。仔细检查了一遍,约翰发现这台服务器有一个明显的配置错误,会泄露用户操作记录,包括最近访问服务器的时间、在服务器上访问各级目录的记录等。

监控一段时间后,约翰发现有五个IP会每天多次登录服务器,这些IP的位置分布在阿根廷、哥伦比亚、厄瓜多尔、墨西哥四个南美小国。

他还发现俄罗斯的服务器上有一个可以公开访问的文件,在不停地回应imei24.com、imeidata.net的请求。如果有好奇网友在这两个网站输入手机的imei号码,服务器将返回各种信息,包括手机品牌、型号、是否启用“查找我的iPhone”以及设备是否被锁定/被盗。

约翰继续分析,当他试图访问“index.php”时(通常的网站首页地址),浏览器被重定向到了“login.php”页面。如下图,这是一个名为“iServer”系统的登录页面,里边显示一个自定义的苹果logo,下边是海盗骷髅图案,背景则是流血的橙色火焰。

美帝黑产追踪:被盗 iPhone 洗白记

除了login.php页面,服务端还返回了一份HTML内容,一份大约包含137个用户名、电子邮箱、到期日期等信息的表格。显而易见,这恐怕是每月支付费用购买iCloud钓鱼服务的攻击者名单。

美帝黑产追踪:被盗 iPhone 洗白记

约翰随便猜测几个常见弱密码配合用户名尝试登录,很轻松地登录了两个账号。登录进去后,有个账号通知服务已过期,提醒至少续费一个月才能继续使用。

约翰点击“确定续费”按钮,被带到一个域名为hostingyaa[dot]com的网站,这个网站接收付款的PayPal账号名为HostingYaa LLC,查看网页代码显示收款邮箱是admin@hostingyaa[dot]com。

在俄罗斯服务器上返回的用户表格上,第一个用户名是demoniox12,邮箱是admin@lanzadorx.net。约翰强烈怀疑Ta就是服务器管理员,因为这个用户使用服务并没有付费。

对Lanzadorx[dot]net的调查显示,这是专门提供一个网络钓鱼服务的网站,它宣传可对Apple、Gmail、Hotmail、Yohoo等各种账号发起钓鱼攻击。

在Domaintools.com上反向查询WHOIS显示,admin@lanzadorx.net是hostingyaa[dot]info和lanzadorx[dot]net两个域名的注册邮箱。

继续查询,Hostingyaa[dot]info的注册者叫Dario Dorrego,这个名字也出现在上述用户表格上,同为零付费用户,邮箱是dario@hostingyaa[dot]com。Dario Dorrego这个名字还注册了31个其它域名,感兴趣可戳这查看。

就那份俄罗斯钓鱼服务器的用户表格,约翰猜出了至少6个账号的密码,包括一个可能是分销商的有趣用户,用户名是“Jonatan”。下图为Jonatan的控制面板,他每月支付80美元来使用服务,现在已经成功窃取了65个iCloud账号。

美帝黑产追踪:被盗 iPhone 洗白记

下图为“Jonatan”盯住的账号之一,受害者“Tanya”的信息面板:

美帝黑产追踪:被盗 iPhone 洗白记

当“Tanya”点开收到钓鱼短信的链接,会看到一个和苹果iCloud网站一模一样的页面。为了更好地取信受害者,登录框的用户名已经自动填好。

美帝黑产追踪:被盗 iPhone 洗白记

65位受害者的详细信息,包括姓名、邮箱、密码、电话、imei、设备型号、语言以及Jonatan的个人备注。

美帝黑产追踪:被盗 iPhone 洗白记

短信发送记录。这个页面可以跟踪每个受害者的攻击进度,可以看到钓鱼系统的国际化做得很好,有许多语言版本的短信文案。如果受害者点击了链接,也会显示出来。

美帝黑产追踪:被盗 iPhone 洗白记

iServer钓鱼系统里可以轻松添加钓鱼链接。这个功能很是实用,一个钓鱼链接的存活期一般不超过一个月,短的可能几天就失效了。系统里还会检查钓鱼链接是否被安全公司标识,并提醒使用者。

美帝黑产追踪:被盗 iPhone 洗白记

下边这张图可能有些讽刺。为了测试服务的可靠性,Jonatan使用钓鱼系统向自己发起了钓鱼短信,整个流程走完,很流畅哈。然后他忘记删除了,系统里一直留着他真实的iCloud账号信息。。。

美帝黑产追踪:被盗 iPhone 洗白记

接下来大家应该可以猜到,约翰登录Jonatan的iCloud账号,发现了一张有趣的图片——Jonatan当时在钓鱼链接填写信息的截图。

美帝黑产追踪:被盗 iPhone 洗白记

Jonatan日常提供iCloud盗号服务的报价单,来自他的iCloud相册。图中显示,发送iPhone 4、4s的钓鱼短信只需40美元,iPhone 6s、6s+则需要120-140美元,其实成本都是一样。

美帝黑产追踪:被盗 iPhone 洗白记

Jonatan的个人iCLoud账号是jona_icloud@hotmail.com,这个邮箱在Facebook对应的用户叫Jonatan Rodriguez。在FB个人页面上,Jonatan Rodriguez介绍自己来自Puerto Rico。

美帝黑产追踪:被盗 iPhone 洗白记

Jonatan的FB个人页面上有许多个人照片,看起来像是做男模特的。不过他也有很柔软的一面,比如iCloud相册里的自拍照片。

美帝黑产追踪:被盗 iPhone 洗白记

在FB上,Jonatan Rodriguez管理着一个名为“iCloud Unlock Ecuador – Worldwide”的小组,这个小组有2797位成员。

美帝黑产追踪:被盗 iPhone 洗白记

在Jonatan管理的FB小组中,有个成员叫“Alexis Cadena”。这个名字也出现在Jonatan的盗号名单的备注里。

美帝黑产追踪:被盗 iPhone 洗白记

Alexis Cadena也有运营自己的iCloud钓鱼服务。目前暂时不太清楚他和Jonatan的关系,下图是Alexis Cadena在FB上发的一些广告。

美帝黑产追踪:被盗 iPhone 洗白记

回到Jonatan,iCloud账号不仅仅可以查看个人信息,还可以定位设备的位置。由于Jonatan的粗心大意,我们得以围观他的地理位置。3月7日的最新定位显示,Jonatan的iPhone位于下图这个地方,厄瓜多尔靠边境的城市Yantzaza里。

美帝黑产追踪:被盗 iPhone 洗白记

最后,Jonatan没有回应博主的采访请求。




原文发布时间为:2017年3月16日
本文作者:longye
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
原文链接

这篇关于美帝黑产追踪:被盗 iPhone 洗白记的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/517079

相关文章

SpringCloud之Sleuth(Micrometer)+ZipKin分布式链路追踪

(学习笔记) 1、分布式链路追踪概述 问题:在微服务框架中,一个由客户端发起的请求在后端系统中会经过多个不同的的服务节点调用来协同产生最后的请求结果,每一个前段请求都会形成一条复杂的分布式服务调用链路,链路中的任何一环出现高延时或错误都会引起整个请求最后的失败。 在分布式与微服务场景下,我们需要解决如下问题:   在大规模分布式与微服务集群下,如何实时观测系统的整体调用链路情况。

钓鱼邮件真相追踪:XDR见招拆招!

钓鱼陷阱,财富“蒸发” 如果一家规模5000人、业务遍布全球的企业之中有一位员工不小心点进了一个钓鱼邮件,会发生什么……?终端失陷?数据泄露?失去客户信任? 最让人破碎的当然是……核心资产泄露,钱没了!! 人有失手,"鱼"有逃命 某大型零售企业财务部门小张收到一封看似来自公司财务部的邮件,由于内容与其实际工作情况相符,小张打开了邮件中的附件,并点击了附件里的下载链接

3个恢复方法详解:iPhone手机快速找回备忘录

当我们在工作或者是学习时,总会有一些灵光乍现的好想法,我们通常会将这些想法记录在iPhone手机备忘录中,以便随时查看。但是,如果出现不慎删除备忘录的情况,iPhone该如何找回备忘录呢?不用担心,本文专门为大家整理了3个方法,可以帮助大家快速找回那些不慎删除的备忘录。下文将展开3个恢复方法的详细介绍。 方法一:在【最近删除】里找回备忘录 苹果手机备忘录误删怎么恢复?苹果手机的备忘录如

用异步序列优雅的监听 SwiftData 2.0 中历史追踪记录(History Trace)的变化

概述 WWDC 24 一声炮响为我们送来 Swift 6.0 的同时,也颇为“低调”的推出了 SwiftData 2.0。在新版本的 SwiftData 中,苹果为其新增了多个激动人心的新特性,其中就包括历史记录追踪(History Trace)。 不过,历史记录追踪目前看起来似乎有些“白璧微瑕”,略微让人有些不爽。在这里就让我们看看如何利用 Swift 结构化并发中的异步序列(Asy

是噱头还是低成本新宠?加州大学用视觉追踪实现跨平台的机器手全掌控?

导读: 在当今科技飞速发展的时代,机器人的应用越来越广泛。从工业生产到医疗保健,从物流运输到家庭服务,机器人正在逐渐改变我们的生活方式。而机器人的有效操作和控制,离不开高效的遥操作系统。今天,我们要介绍的是UC San Diego 的新研究,一种创新的跨平台视觉外骨骼系统ACE。©️【深蓝AI】编译 1. ACE系统的背景与概述 近年来,机器人研究者们通常利用真实世界的机器人数据,来训练

iPhone 16或将不支持微信?谣言还是事实?

iPhone 16或将不支持微信?谣言还是事实? 近日,一则关于“iPhone 16可能不支持微信” 的传言如同一颗重磅炸弹,引爆了社交媒体,特别是在微博上,相关话题迅速占据热搜榜单,引发了无数网友的热议和担忧。然而,事实究竟如何?这背后又隐藏着哪些不为人知的博弈?今天,猫头虎技术团队就带大家一探究竟。 猫头虎是谁? 大家好,我是 猫头虎,别名猫头虎博主,擅长的技术领域包括云原生、前端、

Objective-C ,ios,iphone开发基础:JSON解析(使用苹果官方提供的JSON库:NSJSONSerialization)

json和xml的普及个人觉得是为了简化阅读难度,以及减轻网络负荷,json和xml 数据格式在格式化以后都是一种树状结构,可以树藤摸瓜的得到你想要的任何果子。 而不格式化的时候json和xml 又是一个普普通通的字符串,在网络通信的时候也只需要请求一次,而不用每次为得到木一个值而重复的请求服务器或者目标主机, json和xml 都采用 键 - 值 的形式来存放数据。 xml 使用:

如何录制黑神话悟空的游戏BGM导入iPhone手机制作铃声?

在游戏的世界里,总有那么一些旋律,能够触动玩家的心弦,让人难以忘怀。《黑神话悟空》以其精美的画面和动人的背景音乐,赢得了无数玩家的喜爱。如果你也想将游戏中的背景音录制下来,制作成个性化的m4r格式铃声,那么请跟随本文的步骤,一起探索如何实现这一目标。 步骤一:使用嗨格式录屏大师录制游戏背景音 #1下载并安装嗨格式录屏大师:首先,你需要访问嗨格式录屏大师的官方网站,下载并安装这款专业的录

GAMES202——作业5 实时光线追踪降噪(联合双边滤波、多帧的投影与积累、À-Trous Wavelet 加速单帧降噪)

任务         1.实现单帧降噪         2.实现多帧投影         3.实现多帧累积         Bonus:使用À-Trous Wavelet 加速单帧降噪 实现         单帧降噪         这里实现比较简单,直接根据给出的联合双边滤波核的公式就能实现          Buffer2D<Float3> Denoiser::Fil

【Xcode】当iphone升级成15.0.1版本以后,显示Unsupported OS version

1.打开文件夹: /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/DeviceSupport 2.将14.5文件夹复制一份,改名成对应的版本,例如15.0,然后重新选择iphone(如果还是不行,关闭xcode,重新打开xcode)