首发于黑客生活
敢钓我鱼,就准备好被逮捕吧

敢钓我鱼,就准备好被逮捕吧

图片不少,流量党慎入。算了,你已经点进来了

相关链接:

XSS攻击是什么,怎么秒杀iphone钓鱼站

偷了我的iphone,开路虎给我送回来

还是关于iphone钓鱼的文章,这次不讲技术,不讲路虎,我们抓人可好?


收到这样一个钓鱼站,怀着特别激动的心情点进来。

这网站程序是基于ASP语言编写的,并且,这款程序存在XSS漏洞


登录框输入三次账号密码就会提示跳转到一个
xxxxxxappleid.cn/ask2.a
为什么这样呢?两个原因
1.钓鱼者担心你随便输入来试探真假。
2.钓鱼者担心你撸多了眼花输错密码。
进来以后是这个样子的:

XSS漏洞不在这个地方,我们按照程序规定的格式输入一些假信息进入下一步

xxxxxxappleid.cn/ask3.a


漏洞就是在这个点(上图),当然,不是像我图片一样输入XSS就造成攻击了,具体请自己去了解XSS攻击,这里我们不讲技术。过了一分钟,钓鱼者(网站管理员)的cookie就到碗里了

得到了cookie即可进入网站的后台,这里使用中国菜刀进行cookie替换。

钓鱼站的惯性就是存活周期及其短暂,通常一个IP绑定数十个甚至数百个域名。一段时间后就会更换域名。其实换汤不换药,这些域名、服务器、都是同一个人/团伙。

后台钓来的资料基本在1-2天内会删除掉(应该是把资料转移到了本地进行后续操作)

后台有一个特别人性化的功能

封锁被害者的IP以后,就会让你访问时直接跳转真正的苹果官网。同时还有限制电脑/手机访问等功能

开,始,日,天

首先保存一些我需要的资料,比如后台密码,防止cookie失效

这种钓鱼站默认账号都是apple ,直接右键读取源码查看密码。

接着是邮箱,同样的方法得到邮箱密码

登录钓鱼者的新浪邮箱,在邮箱中发现了支付宝的邮件。这真是意外之喜

猜测这个邮箱密码和支付宝密码是同一个

成功登录上来了,好激动!可是没有支付密码,好气哦!

不行,这么多钱必须上交给国家。

继续回到新浪邮箱中,发现了身份证正反面,恍恍惚惚呵呵哈哈,天助我也。不止这些,还发现了12306。


手抖的试了一下,12306和支付宝/新浪邮箱是同一个密码。

翻了一下常用联系人

现在,有了钓鱼者的手机号、住址、身份证正反面、邮箱账号密码等信息

再一次提醒大家,不要使用通用密码。撞库的可怕永远都是这么直接!

好了,我们把剧情拉回到支付宝,有了上面这些资料重置登陆密码和支付密码妥妥的。


四张信用卡,三张是别人名字,总共七张,真有钱,住在风景区

转了五百块钱试了一下

今晚上大保健有着落了!恍恍惚惚呵呵哈哈

没高兴两分钟,他似乎发现了异常。但是我修改了很多东西,还有他的身份证信息,现在就是维持权限。他提交工单,我就帮他取消工单,棒棒哒,玩的不亦乐乎。他还申请了盗号补偿,现在已到账,真心快。

经过一夜激烈的斗争,他的支付宝依然在我手中,手机被解绑,邮箱被修改,身份证信息已保存。


当我第二天再去看钓鱼网站后台的时候(这家伙居然不改后台密码),发现邮箱改了:
很明显是腾讯企业邮箱,老方法读取密码。

成功登录上来,这个邮箱还绑定了iphone
还,特,么,是,两,台
进入iCloud

最后定位在北京市xx区xxxx

又到了激动人心的总结时刻了:

手法上的失误:应该从银行卡转到余额宝,再到转支付宝,可以绕过某些短信验证。

思想上的疑惑:一个人在支付宝可以绑定这么多人信用卡,这行为是否合理?
在转他支付宝时候我留了一个心眼,万一这是个正常人,只不过是泄露了信息,邮箱被当做发件使用呢?
还有一个疑问,这人支付宝不存钱【上图中支付宝的钱是我从他银行卡中转进去的】
钱都在银行卡里面,这个人也是一个市场销售经理,但是却有不同人的信用卡在支付宝绑定着,我不知道这人的颜色。请大家转载起来,希望公安机关能够看到,由公安机关来调查吧

来自SSS安全团队的本文作者:噬魂表示,未打码的信息无偿提供。

完!
发布于 2016-12-13

文章被以下专栏收录