用iPhone的,丢过或者要丢的赶紧进来瞅瞅(二)

用iPhone的,丢过或者要丢的赶紧进来瞅瞅(二)

前几天写了个iPhone手机丢失后骗子是如何忽悠你交出AppleID账号密码的,一些名词解释和详细内容在这里 用iPhone的,丢过或者要丢的赶紧进来瞅瞅,如果没看过的话要先点过去补补课,因为今天的内容更惊悚,更要加以防范!

这个攻击叫做“GodLike攻击”。

上一篇内容提到的骗子手段还算文艺的,用各种各样“文案”忽悠你交出密码,但你以为不上道就没事儿了?流氓会武术,谁都拦不住。现在骗子们开始用上“黑科技”,通过漏洞直接盗取你的AppleID邮箱,自己给手机iCloud安全绑定取消掉!

首先,各种软磨硬泡钓鱼你不上钩后,会收到这样的邮件:

或者这样的

哼哼,你以为骗子服软了?给点小钱就把手机还给你?图样啊……当你点开那张“照片”后,一段隐藏的恶意代码就在你的浏览器上欢快的开始干活了,“悄悄地进村,打枪的不要”。

隐藏的恶意代码如下,算了,反正你们也看不懂,我就不放图了。总之,骗子所谓的照片或者店铺地址隐藏了一个名叫“GodLike”的html页面,这个页面中的恶意代码利用了国内某大型邮件服务商的漏洞,通过这个漏洞可以直接盗取你的邮箱控制权。

主要是获取XX邮箱sid、skey等关键认证信息。

还是放图吧,看看骗子的专业性。。。这张“图片”点开后是酱婶儿的,其实是个网页,藏着Godlike攻击代码

具体的GodLike攻击代码,窃取你邮箱的认证信息

将窃取到的认证信息发送到骗子的远程服务器上记录与利用,你邮箱就这么丢的,现在造了不?感觉骗子专业吧,会用漏洞了。

PS:上图来自于 js可以跨域得到cookie?qq邮箱被一封邮件黑了? 中提供的线索,感谢。另外该邮箱漏洞目前已经修复(12月31日更新)

试想下,你用了XX厂的邮箱,然后还注册成了AppleID,那么当你点开这封邮件的时候,骗子通过漏洞窃取了你XX邮箱的控制权,然后上了你的邮箱翻些好玩的,顺便再给你AppleID的绑定给取消掉,好么,这次丢了邮箱又彻底赔了手机。。。

乌云君目前接到了多起漏洞攻击举报,文件命名都是“GodLike”,所以将这种攻击行为命名为GodLike攻击,这种漏洞攻击力极强,不知骗子的音箱是否正回响着

First Blood !

Double Kill !!

Triple Kill !!!

M-m-m-m....Monster Kill !!!!!

God Like !!!!!

[骗子某] 已经接近神了。。。拜托谁杀了他把(350额外金钱)

注:dota玩家都懂得。

再注:很多人遇到这种钓鱼邮件后,喜欢打开链接进行嘲讽(如安全技术人员),但切记在浏览器隐身模式下打开,否则你正登录着的XX邮箱也会被盗走(误伤啊,放过我)。。

最后注:该漏洞乌云君已经报告给XX邮箱官方,预计很快就会修复。目前防范手段就是不要在电脑或手机端直接打开邮件中的链接,在“隐身模式”中查看。

额外参考内容:

黑产godlike攻击: 邮箱 XSS 窃取 appleID 的案例分析

js可以跨域得到cookie?qq邮箱被一封邮件黑了? - iPhone


--------------------------------------------

网站:乌云漏洞报告平台


微博: 乌云君

微信: wooyun_org

知乎专栏: 乌云君 - 知乎专栏

联系邮箱: help@wooyun.org

编辑于 2017-06-08