当小偷都在利用网络漏洞的时候,你还有什么理由不去关注信息安全?
本来不想写这个话题了,因为前前后后说了不少。但最近身边又有朋友遇到类似问题,如:“丢失模式”被强行取消、手机绑定的邮箱也莫名解绑等。难道苹果安全机制这么烂经不住国内小偷的研究了?所以乌云君小调查了下,有些发现值得警惕。
当小偷拿到手机后第一件事儿就是……关机,开个玩笑,因为iPhone官方防丢功能的存在,这种手机偷到手基本都是“丢失模式”被锁定无法激活,除非提供正确的AppleID账号与密码激活解除绑定。但手机显示其实是这样的(苹果不是吃素的),小偷根本就看不到账号。
所以第一件事儿是提取你手机绑定的AppleID邮箱、手机号码等信息。乌云君通过万能的X宝找到了很多查询服务。
大概有两种:
“mz查询”需要利用各种手机助手提取串号、序列号和设备标识等信息即可查询,这里怀疑是通过官方接口或者各种不正当收集iOS用户信息的工具/企业查询到的(记得好像央视曝光过类似问题)这种行为不违法,但也不合法,说不清的灰色地带…
“深度查询” 很有讲究,也是我们关心的重点,看图先
脑补店小二在招揽生意:QQ邮箱密码解锁服务竟然只需700哦亲,良心哦亲~
但是为啥花钱就可以解开QQ邮箱的AppleID?有漏洞?乌云君经过一些调查发现,原来小偷已经开始跟黑客组织联手,用国内常用的邮箱漏洞对用户账号进行定向攻击!而且黑客更会做生意,俺的漏洞不卖,只租!
QQ邮箱理论100%,实际70%能搞定,网易80%能搞定,这种吹牛违法广告法不?
意思就是提供提供一套成熟的技术服务,价格是网易、腾讯XSS均价400一个,每个漏洞包4天存活期,如果4天内被修复了还提供新漏洞。小偷只要批量提供“mz查询”得到的用户AppleID邮箱账号,黑客靠XSS漏洞攻击用户邮箱,比如发这样的邮件,甚至打开邮件直接触发!
看下钓鱼网站后台对这类邮箱漏洞攻击的集成,太专业了!
还有更厉害的,直接加你QQ发带有XSS漏洞的链接
接着邮箱就收到这个了……
这里有个有意思的插曲,似乎有很多乌云白帽子发现了这个秘密,所以每当小偷更新腾讯邮箱XSS漏洞的时候大家会提交乌云,督促腾讯尽快修复漏洞。
通过XSS漏洞攻陷用户邮箱后,小偷立刻重置你AppleID账号密码,然后在手机上激活、解绑,一部偷来或捡来的iPhone就“洗白”了。败给这样的对手,你服不?
同理,用这些漏洞也能随便的进入你梦中女/男神、基友、领导、仇人、竞争对手的邮箱。但小偷不理解漏洞的影响,如此滥用会令大量邮箱0day漏洞流入互联网,对国内用户造成恐怖的影响。所以需要企业更迅速的应对,并从机制上主动对抗XSS带来的风险。你说你要修完所有的XSS?呵呵……
最后小彩蛋,这个产业链里面还有个有趣的角色,就是负责用邮件狂刷你的邮箱
你猜这是为了啥目的?
如果你是iPhone用户,那今天的内容对你来说挺重要。这个事儿也许你经历过,也许你的朋友遇到过,但你没遇到过不知所以然,不过无需担心,乌云君马上给你娓娓道来,再重复一次:今天这事儿对iPhone用户很重要!
忘记从iOS哪个版本开始,苹果对iPhone上登录的AppleID(iCloud账号,就是你同步你通讯录、照片需要的那个账号)进行了严格的绑定措施。在没有iCloud密码的情况下,其他人没法把你账号注销换成自己的。换句话说,你的这部iPhone登录iCloud账号后,除非你主动解除绑定,否则控制权将一直属于你。
挺好的不是么,买了个属于自己的东西,比那啥只能使用70年强多了。但是,但是!有个行业不爽了,那就是传说中的 “‘偷’机倒手” 族,专注于偷手机、然后销赃的利益链。因苹果的这个绑定机制,偷来的手机不好卖了,买家绑定不了自己账号还面临随时被原主人锁机的风险谁干那?但做这个买卖的没有傻子,他们很快就想到了完美的应对方案:骗(别笑,这个方案在中国真的可以说完美)!
于是在丢失iPhone后,我们开始收到这样的短信/邮件:
手机丢了本来就心慌,里面存的那些照片、视频让别人看着可咋整啊……结果收到这种信息后,一下又充满了希望。原来可以拒绝其他人激活看到俺的信息,还能定位?赶紧看看偷手机的小兔崽子在哪!结果头一晕,手一快,手机彻底找不回来了不说,还将自己的iCloud账号拱手送给了骗子。
等等苹果邮箱登录,刚刚剧情发展有点快,没看懂,这中间到底都发生了啥?点开明明就是iCloud登录页面么,那么酷炫屌炸天的Apple style我不会认错的。那现在乌云君镜头慢回放,仔细看下点开的网站:
看看Apple官方的样子
https还算是一个识别依据吧,但也不是100%的,比如乌云社区的这个案例,骗子竟然也上了合法的https证书(发现一个仿真度极高的Paypal钓鱼网站还支持SSL),最靠谱的还是做到百分之百识别官方域名 icloud.com 吧,要啥奇技淫巧啊这么简单的事儿 :(
——— 牛逼闪闪的分割线 ———-
其实上面的内容大家多少都知道点哈…就这么结束显然不够逼格,所以下面要放出重磅炸弹,白帽子对这种钓鱼平台的后台进行数据揭秘,看看到底有多少人中招,骗子怎么收密码的,以下内容来自乌云白帽子报告:利用漏洞揭秘iCloud钓鱼网站(涉及20余个钓鱼站点,最近1个月1.3万Apple受害者)
首先白帽子对自己收到的这个iCloud骗子网站进行了深入的分析(骗错人了hiahia),不出意料发现了一个漏洞,这个漏洞不一般,感觉更像是钓鱼行业中“黑吃黑”现象故意留的后门(你买我的钓鱼程序,但后期我能悄悄的拿走你骗来的成果,对用户账号造成二次泄露影响),这个牛逼哄哄的漏洞是酱婶儿的
白帽子在这个钓鱼站上找到这个链接,打开后直接就是发件箱配置,里面一个163邮箱,密码星号看不到。不急,右键查看源代码,找到了星号下的明文邮箱密码,登录之,duang!原来受骗者填写的iCloud账号密码是通过这个邮箱发给后面的骗子。
随便点开一封邮件瞅瞅,老板请核实资料?
有了这个信息,就能解除iCloud绑定了,白帽子在这几分钟的时间内,发现这个邮箱仍然在对外发新的受骗者信息,可见其活跃。通过这个邮箱不完全统计,该骗子在一个月内竟成功骗到了一万三千多个iCloud账号和密码!
飞蛾扑火,前赴后继。明显感觉到这骗子已经累惨,平均每天要去验证433个iCloud账号,然后解绑手机点钱,这活儿还真有点吸引力呢。关于iPhone手机的倒卖行业,乌云君也做了些了解,丢了想找回来几乎不可能,在各种钓鱼手段狂轰滥炸一个月后没中招的话,骗子会将你的手机买配件,大概2k左右的价格也很可观。所以iPhone丢失后,不要抱有太多的幻想能够找回手机,期望越大,你越容易落入陷阱。
所以乌云君的建议是平时的锁屏密码设置复杂些,毕竟都指纹解锁了,麻烦不到哪去,同步备份也勤快些省的丢失数据;其次丢失手机第一时间登录iCloud锁定手机,并在接下来的一段时间内警惕任何收到的短信、邮件(有的骗子直接跳出伪装跟你聊QQ,中间威逼利诱,比如你给500机器就还给你之类的,大家好自为之)。
哦对了,这事儿有破案的先例:刚丢 iPhone 就收到 Apple ID 异常邮件?小心被钓鱼(已有近 3000 人中招)
最后微博上收集了一些热心网友讨论,分享一下,今天就酱:
***Angeles:一看短信就知道假的,擦 人家官方几时写iPhone 为 iphone 过啊,大小写很注重的好吧 (细节党,赞)
三不知大师:故意输错密码账号试试能不能通过 (这还真是个小技巧,但不准)
余博伦是讨厌鬼:这前端仿得不错哈 (是的,好的钓鱼前端能迷倒千千万)
Leona***:小时候玩剑侠情缘网络版苹果邮箱登录,被骗子的免费点卡充值引诱,在山寨官网上填写账号从而被盗号以后,对于任何需要填写密码的网页我都是检查了又检查。已坚持了十二年。 (一朝被蛇咬,十二年怕井绳,不过谨慎是个好事儿少年)
亦半亦*:手机丢后也收到过 如果不是苹果客服提醒骗子会想方设法的套取我的用户名和密码就信了 还好自己也上假冒网站上去过F12看了下就一张图片和一个表单提交控件。。 (技术流,但看域名更简单一些)
iTo***: 手机丢啦,苹果也不会主动发短信给你的!所以这样的短信只能是骗子想获取你的id。稍后的每日一技中会提到~不过大家还是要注意下啦!
比特币赞助打赏地址:13sbdFRyFBeqmXY9GJQf66s5cwmvLvWaAD
———————————-
要闻、干货、原创、专业
娜娜项目网每日更新创业和副业教程
网址:nanaxm.cn 点击前往娜娜项目网
站 长 微 信: nanadh666