用iPhone的,丢过或者要丢的赶紧进来瞅瞅

用iPhone的,丢过或者要丢的赶紧进来瞅瞅

如果你是iPhone用户,那今天的内容对你来说挺重要。这个事儿也许你经历过,也许你的朋友遇到过,但你没遇到过不知所以然,不过无需担心,乌云君马上给你娓娓道来,再重复一次:今天这事儿对iPhone用户很重要!

忘记从iOS哪个版本开始,苹果对iPhone上登录的AppleID(iCloud账号,就是你同步你通讯录、照片需要的那个账号)进行了严格的绑定措施。在没有iCloud密码的情况下,其他人没法把你账号注销换成自己的。换句话说,你的这部iPhone登录iCloud账号后,除非你主动解除绑定,否则控制权将一直属于你。

挺好的不是么,买了个属于自己的东西,比那啥只能使用70年强多了。但是,但是!有个行业不爽了,那就是传说中的 “‘偷’机倒手” 族,专注于偷手机、然后销赃的利益链。因苹果的这个绑定机制,偷来的手机不好卖了,买家绑定不了自己账号还面临随时被原主人锁机的风险谁干那?但做这个买卖的没有傻子,他们很快就想到了完美的应对方案:(别笑,这个方案在中国真的可以说完美)!

于是在丢失iPhone后,我们开始收到这样的短信/邮件:

手机丢了本来就心慌,里面存的那些照片、视频让别人看着可咋整啊……结果收到这种信息后,一下又充满了希望。原来可以拒绝其他人激活看到俺的信息,还能定位?赶紧看看偷手机的小兔崽子在哪!结果头一晕,手一快,手机彻底找不回来了不说,还将自己的iCloud账号拱手送给了骗子。

等等,刚刚剧情发展有点快,没看懂,这中间到底都发生了啥?点开明明就是iCloud登录页面么,那么酷炫屌炸天的Apple style我不会认错的。那现在乌云君镜头慢回放,仔细看下点开的网站:

看看Apple官方的样子

https还算是一个识别依据吧,但也不是100%的,比如乌云社区的这个案例,骗子竟然也上了合法的https证书(发现一个仿真度极高的Paypal钓鱼网站还支持SSL),最靠谱的还是做到百分之百识别官方域名 icloud.com 吧,要啥奇技淫巧啊这么简单的事儿 :(

--------- 牛逼闪闪的分割线 ----------

其实上面的内容大家多少都知道点哈…就这么结束显然不够逼格,所以下面要放出重磅炸弹,白帽子对这种钓鱼平台的后台进行数据揭秘,看看到底有多少人中招,骗子怎么收密码的,以下内容来自乌云白帽子报告:利用漏洞揭秘iCloud钓鱼网站(涉及20余个钓鱼站点,最近1个月1.3万Apple受害者)

首先白帽子对自己收到的这个iCloud骗子网站进行了深入的分析(骗错人了hiahia),不出意料发现了一个漏洞,这个漏洞不一般,感觉更像是钓鱼行业中“黑吃黑”现象故意留的后门(你买我的钓鱼程序,但后期我能悄悄的拿走你骗来的成果,对用户账号造成二次泄露影响),这个牛逼哄哄的漏洞是酱婶儿的

白帽子在这个钓鱼站上找到这个链接,打开后直接就是发件箱配置,里面一个163邮箱,密码星号看不到。不急,右键查看源代码,找到了星号下的明文邮箱密码,登录之,duang!原来受骗者填写的iCloud账号密码是通过这个邮箱发给后面的骗子。

随便点开一封邮件瞅瞅,老板请核实资料?

有了这个信息,就能解除iCloud绑定了,白帽子在这几分钟的时间内,发现这个邮箱仍然在对外发新的受骗者信息,可见其活跃。通过这个邮箱不完全统计,该骗子在一个月内竟成功骗到了一万三千多个iCloud账号和密码

飞蛾扑火,前赴后继。明显感觉到这骗子已经累惨,平均每天要去验证433个iCloud账号,然后解绑手机点钱,这活儿还真有点吸引力呢。关于iPhone手机的倒卖行业,乌云君也做了些了解,丢了想找回来几乎不可能,在各种钓鱼手段狂轰滥炸一个月后没中招的话,骗子会将你的手机买配件,大概2k左右的价格也很可观。所以iPhone丢失后,不要抱有太多的幻想能够找回手机,期望越大,你越容易落入陷阱。

所以乌云君的建议是平时的锁屏密码设置复杂些,毕竟都指纹解锁了,麻烦不到哪去,同步备份也勤快些省的丢失数据;其次丢失手机第一时间登录iCloud锁定手机,并在接下来的一段时间内警惕任何收到的短信、邮件(有的骗子直接跳出伪装跟你聊QQ,中间威逼利诱,比如你给500机器就还给你之类的,大家好自为之)。

哦对了,这事儿有破案的先例:刚丢 iPhone 就收到 Apple ID 异常邮件?小心被钓鱼(已有近 3000 人中招)

最后微博上收集了一些热心网友讨论,分享一下,今天就酱:

***Angeles:一看短信就知道假的,擦 人家官方几时写iPhone 为 iphone 过啊,大小写很注重的好吧 (细节党,赞)

三不知大师:故意输错密码账号试试能不能通过 (这还真是个小技巧,但不准)

余博伦是讨厌鬼:这前端仿得不错哈 (是的,好的钓鱼前端能迷倒千千万)

Leona***:小时候玩剑侠情缘网络版,被骗子的免费点卡充值引诱,在山寨官网上填写账号从而被盗号以后,对于任何需要填写密码的网页我都是检查了又检查。已坚持了十二年。 (一朝被蛇咬,十二年怕井绳,不过谨慎是个好事儿少年)

亦半亦*:手机丢后也收到过 如果不是苹果客服提醒骗子会想方设法的套取我的用户名和密码就信了 还好自己也上假冒网站上去过F12看了下就一张图片和一个表单提交控件。。 (技术流,但看域名更简单一些)

iTo***: 手机丢啦,苹果也不会主动发短信给你的!所以这样的短信只能是骗子想获取你的id。稍后的每日一技中会提到~不过大家还是要注意下啦!

--------------------------------------------

网站:乌云漏洞报告平台


微博: 乌云君

微信: wooyun_org

知乎专栏: 乌云君 - 知乎专栏

联系邮箱: help@wooyun.org

编辑于 2017-06-08