1. 首页>
  2. 腾讯云代理

手机被盗,却让我发现了黑产老窝

腾讯云 2017年06月01日 浏览1093

腾讯云代理 腾讯云直播申请 游戏上云

摘要:

一位苹果手机用户的经历,希望对果粉们有帮助。


被偷后又被钓鱼


2017年5月11日,手机被偷,下午, 收到短信,提示被盗手机已经定位,输入了苹果账号密码。

1


但很快我发现这是个钓鱼的网站,页面与苹果官方icloud一模一样。这些钓鱼网站如此逼真,成功率应该非常高,偷到的手机又可以贩卖,小偷才如此猖獗。


反击

我是一个技术人员,既然他能骗走我的AppleID和密码,我为什么不能追踪到他?

发短信所用手机号: +852 6567 **** (香港手机号)

短信中所涉及域名: find-applecare-iso.cn

该域名指向的服务器在香港,因此不需要在大陆做接入备案,无网站运营方备案信息。

但能查到如下Whois信息:

Domain Name: find-applecare-ios.cn

ROID: 20170511s10001s92309569-cn

Domain Status: ok

Registrant ID: x26k4uhy6o6462

Registrant: ***

Registrant Contact Email: pingguodaren@126.com

Sponsoring Registrar: 北京新网数码信息技术有限公司

Name Server: ns11.xincache.com

Name Server: ns12.xincache.com

Registration Time: 2017-05-11 11:06:28

Expiration Time: 2018-05-11 11:06:28

DNSSEC: unsigned

其中关键线索: 

域名注册者电子邮箱: pingguodaren@126.com

域名注册者姓名: 肖*勇

域名注册服务商: 北京新网数码信息技术有限公司

域名注册者ID: x26k4uhy6o6462 (注册服务商可协助查找此ID更详细资料)

域名注册时间:2018-05-11 11:06:28

域名的Whois的信息对非专业人员来说, 很难查到,  因此域名注册者也不会意识到会有泄露, 不过依然有冒用电子邮箱注册的情形,但幸好有如下证据间接排除冒用邮箱注册。

通过搜索引擎搜索”pingguodaren@126.com”

得到一条快照记录如下:

这条记录来自http://www.guofenchaxun.com/网站名称为”果粉查询”,

网站功能包含: 苹果ID锁查询, ICCID查询,翻新机鉴别…这正是苹果手机黑色产业链需要用的的东西,因此可判断pingguodaren@126.com邮箱所有者寄与钓鱼网站域名相关,又与苹果手机黑产相关,初步判断为其本人所有,即证据有效。

继续挖掘pingguodaren@126.com相关信息。

查询到用pingguodaren@126.com注册的域名如下:

apple-caree.cn注册时间: 2017/3/13 0:00:00

iphoneid-ios101.com注册时间: 2018-04-05

findiphones-ios.cn注册时间: 2017/5/9 0:00:00

findme-iphone-ios.cn注册时间: 2017/5/6 0:00:00

find-icloud-iphone.cn注册时间: 2017/5/2 0:00:00

find-lphone-icloud.cn注册时间: 2017/5/2 0:00:00

findiphoneld-ios.cn注册时间: 2017/5/2 0:00:00

find-applecare-ios.cn注册时间: 2017/5/11 0:00:00

lphoneid-ios.cn注册时间: 2017/4/7 0:00:00

icloudld-ios.cn注册时间: 2017/4/5 0:00:00

findphoneld-ios.cn注册时间: 2017/4/30 0:00:00

findphones-ios.cn注册时间: 2017/4/23 0:00:00

appleld-findphone.cn注册时间: 2017/4/21 0:00:00

等共计53条(可能仍有遗漏)

注册信息均为:

Namechunyong xiao (*勇肖)

Companyxiaochunyong(肖*勇)

Emailpingguodaren@126.com

Addressyongxinxiantailingxiang

343406 jianshi, jiangxisheng

China

Phone+86.298688****

Fax+86.298523****

注册服务商:

NameXin Net Technology Corporation (新网)

URLhttp://www.xinnet.com

所以可以初步判定,pingguodaren@126.com是一个以钓鱼网站为职业的人员。

“喂,幺幺灵吗?”

警察叔叔在看到我提供如此详尽的信息后,接受了我的报警(没报过警的不知道这类报警有多么困难)。

惊天发现

通过分析在这些网站的技术特征,找到如下关键词:

header="逆风工作室 Netbox"

通过这个关键词在FOFA里搜索到1396个钓鱼网站——这是大群人啊!

(宅客注:FOFA是个网络安全搜索引擎,想了解的点最下面的阅读原文或者直接进FOFA.so)

再通过这些域名的信息查到了100多个注册者,每个人名下都有几十个以上的域名,域名含有知名网站的词语,如:icoud,apple,95533,95188。这些是苹果、银行、支付宝的热线电话,或者官方网站。

icloud-appledd.com

hsy95533ky.com

csf95533hs.com

cyxk95188y.com


表:部分黑产网址展示

总结

道高一尺,魔高一丈。打击黑产应该使用大数据——将全球网站指纹特征收集,只要有一个钓鱼网站被发现,就能将全球所有钓鱼网站暴露,再而找到幕后人员,从而将庞大的黑产链条信息收集清楚,一网打尽。

这些钓鱼网站的前端页面是JS动态生成的,而且JS是混淆过的,那些基于特征的排除机制一般都鉴别静态页不解析JS,无法判断是钓鱼网站。

所以杀毒软件,安全软件,安全浏览器无法识别这些钓鱼网站,反倒是FOFA的网站指纹识别能将这些钓鱼网站识别出来。网络空间测绘,能将全球网站进行标记、分类,为新一轮的网络空间攻击提供应对方案。

在手机被盗前该做些什么?

请移步苹果网站:https://support.apple.com/zh-cn/HT201472    然后我安利下那个搜索网址  https://fofa.so/


本文非完整文章,请移步 阅读原文

我要分享

腾讯云服务商邀请关注:

http://partners.qcloud.com/invitation/99377079157835da208bd0

世界在你心中——MB科技 The world is in your heart - MB Technology

auto_1452.png

腾讯云技术交流群


ps:本站信息来源于 8n8k.com整理

相关文章