事情是这样的,在QQ上有学弟跟我抱怨说手机丢了,然后骗子给他发钓鱼邮件,问我能不能把这个网站端了(开什么玩笑,笔者是遵纪守法好公民,怎么可能干这种事儿,最起码得把他数据库什么的给他抹了然后再端了吧)。我当时回答不能,但是我也没说不帮。根据他给我的一些线索,笔者开始了侦查。
首先呢,我让学弟把这封邮件转发给我的邮箱,然后我们来看一下这封邮件。
恩,做的挺像那么回事的,我们来看看能摸出来什么信息。首先摸到了这个钓鱼网站的URL:http://www.tunes_phone.lnc.chrnss.com/index1.asp ,其次还摸到了这个发件人的邮箱。****@****bao.com,但是根据本人的经验来讲,这个邮箱应该是被盗用的。那我们就从链接入手吧。先去撸一下这个服务器到底是啥地址。
恩,从heatmap来看的话,我们能看到这个确实是一个新上的网站,但是很明显我们是不会这么搞的,我们还会继续深究。这里我直接跳过了Whois信息,鉴于隐私问题我就不放Whois的信息了,但是我们还是留下了作为判定的依据。这次我们去撸服务器。我们之前不是查到这台机器解析的ip地址是45.64.74.148了么,我们去看看。
有点6啊,绑了这么多域名全都是跟apple id相连的,看来这个是个职业团队。这台服务器来自于Royal Network(果然香港是法外之地啊,服务器全放那边),这些域名的Whois信息我们就不去查了,很多情况下都是胡乱填写的,可参考的数据很少。但是不代表我们没有招数去搞他。就看这台服务器,之前在知乎回答过,威胁情报数据中有一种数据叫做netflow数据,可以看到反连这台服务器的所有IP地址,于是我们利用这些商业的数据去查一下看看有什么好玩的。(以下的数据来自于Passivetotal平台,具体数据需要付费,请酌情使用)
这里没有图。。。。
查到的数据很有意思,这个服务器本身并不是他们的,而是某个IP利用这台服务器3389端口上的漏洞进行了bruteforce拿到了这台服务器的权限,然后把这台机器拿过来自己用。厉害了我的哥,黑产都知道不用花钱搞肉鸡了。
通过Passivetotal提供的netflow数据,我们发现了几个比较奇怪的IP: 124.67.21.XX、 http://113.251.41.XXX,好,搞到了这两个IP不怕没办法知道你们在哪儿。上大杀器——LBS高精度定位:
下面那个可以无视,毕竟差距太大,很可能是VPN或者是代理什么的。我们要那个精度好的。
再结合学弟之前提供的Apple ID中的Find My iPhone定位,最后位置显示在成都市太升南路,我们很清楚的确定这件事情是两个集团在干的事儿,一个偷东西一个负责骗取Apple ID然后销赃,二者之间是利益关系。
我们已经知道了他在重庆一带,这个时候你可以去找二营长把意大利炮借过来轰他一炮了。
接下来的事情就是和这件事情没什么关系了,first我们来还原一下这件事情背后的逻辑链条。现在都是21世纪了,贼是不会跟电视里面那样的捡了个手机去换SIM卡然后开机的,贼也知道有Find My iPhone这种东西。
Firstly:贼下手的地方多为高校公交站和人员较多的地方比如地铁,顺走了之后直接关机。这时候当你意识到手机已经被偷的时候手机早就关机了。作为一个正常人这时候你肯定会着急的,然后发朋友圈说我手机丢了什么什么的(这个是正确的,防止因为手机丢了造成信息泄露),如果你用iPhone的话有个别稍微懂点技术的人会告诉你需要打开Find My iPhone然后把手机设置为丢失模式。(注意:敲黑板!这时候不要填写任何有效的联系方式给贼,任何有效的,包括亲朋好友的联系方式)。除此之外,你还应该把手机抹掉。(许多人会认为我手机万一找回来了呢,而且里面有好多照片呢,多珍贵啊。再次敲黑板:丢了的手机基本上是找不回来的!找不回来的!找不回来的!抹掉手机是为了更好地防止因为泄密引发的一系列其他的损失,再说呢不是有iCloud么,照片都在云端放着。)
Secondly:这个时候你的手机会小时很长一段时间。那这个时候贼在干什么呢?有这么几种情况,1.贼去销赃了(一般卖不出去,稍微懂点的人都知道解不开没法用),2.贼去干别的了(稍后我们会说)3.贼去寻求亲友团帮助了,4.贼在等着。
针对1:基本不可能,所以还是别想了,如果真的销出去了,你还没准真的能找回来。
针对2:贼去干什么呢,贼这段时间会获取你的信息来对你进行所谓的社会工程学攻击,最典型的例子就是发钓鱼短信和邮件这种。根据我对这些黑产团伙的了解,黑产内部的工具化现在已经非常成熟,很多工具都是很傻瓜化的操作,而且还具备了反侦察能力(程序给你加个VMP这种很麻烦的东西)。一般来说贼拿到了你的手机,第一个能获得的你的信息就是手机号码(夜深人静的时候拔下来找个手机插上去给自己打个电话不就知道了么),通过手机号码可以获得的就太多了(敲黑板!通过手机号码可以获得你的QQ、微信、支付宝、邮箱等账号,为什么,看一眼手机里面最多的类型的短信你就知道为什么了),通过这些炸出来的东西就可以砸出来你的Apple ID(很多人都是用QQ、126、163这些邮箱去做apple ID的或者是用http://icloud.com),砸出来之后ID有了,他们会进行一个数据库碰撞的工作,也就是用已经泄露出来的密码进行碰撞,如果碰撞不出来的话,就会给你发上面看到的钓鱼邮件。如果你开了丢失模式,这时候你填写的号码也会收到含有钓鱼邮件的短信。他们没别的目的,就是为了拿到你的ID解激活锁。
针对3:其实就是把后面碰撞Apple ID的工作外包给万能的某宝了。
针对4:等到底也是会走2、3的。
那么如果你这段时间没有中招的话,贼会一直给你发钓鱼短信和邮件,而且随着贼的耐心下降,发送的频率会越来越快。直到贼忍不下去了,然后他就会把你的手机拆掉去当成零件买。
说到这里你也可能就明白了,丢了手机之后最应该想的是保证自己的隐私尽可能的不去泄露,而不是想着怎么把手机找回来。这也就是为什么这些贼为什么总喜欢对大学生下手的原因,经济能力决定的。
针对这件事情我们可以在手机丢之前做这么几件事情:
用一个高安全度的邮箱去注册apple id,推荐gmail和http://live.com ,然后是http://outlook.com ,国内的比如http://aliyun.com 这些比较小众的。
用一个高安全度的密码:推荐16位以上大小写字母数字符号混合,而且不能和其他的密码一样,并且已经泄露出来的数据库的密码不要去用。
放弃手机丢了能找回来的念头,重要的是守护数据。