首发于黑客生活
偷了我的iphone,开路虎给我送回来。

偷了我的iphone,开路虎给我送回来。

实在找不到符合主题的图,只能用自己的图装个逼了23333

先说条件:

1.手机必须是iphone

2.犯罪团伙发送邮件or短信进行钓鱼

盗窃团伙作案流程:窃取手机、解锁、销赃

1.盗窃团伙趁受害者们不注意把手机偷走;

2.手机流通到专门解锁被盗iPhone的技术团队手中,并给被偷手机的所有者icloud或手机号码发送钓鱼短信;

3.受害者点击恶意短信或邮件后输入自己的icloud账号和密码,盗窃团伙钓鱼成功后成功刷机,将手机投入黑市中销赃;

现在的诈骗流程和把大象放进冰箱里需要三步,有着异曲同工之妙,流程之简单、受众之广泛令人咂舌。下面来看有图有真相的真实案例。


手机被偷第二天就收到钓鱼短信,看域名。

iCloud的官网是www.icloud.com

骗子的网址通常会是:

www.icloudl.com

www.icioud.com

www.icloudo.com

等等......

这是钓鱼的惯用伎俩。就像以前写的文章,伪基站钓鱼。不管是银行、移动都是域名相仿。

得知是钓鱼网站,我首先就想到的是XSS跨站漏洞,因为就算是SQL注入攻击你拿到数据,但是没有后台地址也很尴尬。

我在钓鱼网站在输入密码以后,钓鱼网站让我输入密保信息,我在答案输入框中输入了XSS代码,然后就成功提交了。

在等待收到XSS的过程中,先找找他其他的漏洞吧!

仔细寻找一翻还是有收获的,我发现了一处逻辑漏洞,返回包里包含了smtp登陆的过程,账号密码还是base64编码的

发现smtp登陆的账号密码。反编码下,我成功登陆了骗子的网易邮箱,不过可惜的是他做了设置,发件箱里没有信息。


上一处漏洞进行不下去了,我又进行了一翻寻找,又找到一处漏洞,这是一处注入,是update型的报错注入,我拿到管理员的信息。

漏洞寻找有一翻收获后,我看了到XSS平台也收到了信息,信息是

Cookie是base64编码,后台有了,密码也有了,登陆看下

钓鱼网站后台中一共发现46个账号,46个域名。

受害者真的多!!!普及安全知识很重要的!

接着,就是去找骗子了,拿到骗子的QQ,加骗子,刚开始还不同意。

在我修改他的密码以后,他主动加了我的QQ。

下面看图说话,我就不码字了~~

不一一发图了

沟通了一下午,骗子终于妥协,答应将手机送回来了。让我没想到的是,骗子派来的马仔还是开着路虎来送的手机,呵呵。这辆路虎是多少受害者的手机换来呢?

马仔将手机交给我的方式也是及其特别,很是像谍战片里的地下工作者之前的碰头。

9月13日的深夜,骗子派来的马仔提前和我预定好了归还手机的地点,将路虎远远的停在路对面,迅速下车,走到约定地点,镇定的将手机放到地上,快步返回车上。整个过程不过短短几分钟。我走到约定地点,拿手机后,悬着的心终于放下,这件事总算是告一段落了。

我将手机拍了照,发给朋友,发现手机还贴着这个手机的号码,心里惊叹骗子真的是好专业!!!

全文完

原文链接:技术不光能刷**,也能帮你找回被偷的iphone

此文是今天在朋友圈360安全客负责人发出来的,感觉还不错,所以分享给大家。

网站也不错,我们团队的成员也常在这里投稿。

不过呢,不要一味的觉得每一个iphone掉了都能找回来,我的iphone就没找回来。毕竟是个出租车司机拿去了,他懂个鸡毛?

关于防止手机丢失的废话就不说了,对于我这种9个月掉5个手机的傻逼很没资格~

最后,如果有遇到类似情况的小伙伴可以找我,免费帮忙尝试~

相关文章:zhuanlan.zhihu.com/p/21

编辑于 2016-09-15

文章被以下专栏收录