Apple ID钓鱼网站后台一览
根据上面文章曝光的ht888.pw钓鱼网站的信息,利用sql注入,很容易就能拿到管理员账号,密码是常规的md5 hash。用账号名apple登入。
生成URL
网址缩短
查手机激活
可以看到,访问的用户量还是蛮多的。
密保列表
这里不只包含了用户的Apple ID信息,还顺带收集了锁屏密码、用户手机、密保问题。
我随机挑了几个这两天看着比较真实的Apple ID。通过http://iCloud.com,顺利登入,发现有用户竟然还开启了照片同步,个人资料一览无余,当然,骗子可能已经先我一步,利用这些信息对丢失被盗的手机进行了解锁。
后台设置的钓鱼站点及邮箱
http://www.iphone-icloudid.com.cn 1485882247@qq.com
http://www.apple-icloudid.com.cn 1485882247@qq.com
http://www.icloud-idc.com.cn 64545617@qq.com
http://www.icloudi.com.cn 64545617@qq.com
http://www.apple-appleios.com 1485882247@qq.com
http://www.iclound.com.cn 1137565400@qq.com
http://www.ids.apple-appleios.com 1137565400@qq.com
http://www.id.apple-appleios.com 64545617@qq.com
http://www.iclouid.com.cn 2737818431@qq.com
骗子用来发送用户信息的邮箱 AppleInc <xinqidian666@vip.163.com>
相信,以上还只是冰山一脚。希望朋友们不要轻易在网上填写你的Apple ID信息,尤其是在手机丢失的情况下,可能的话可以开启两步验证。
文章发布的同时,已将钓鱼后台的用户信息清空。
4.7 16:00更新
刚打酱油的时候,发现钓鱼网站仍然在线,不过已看不到真实用户的提交信息,很多应该是来自知乎朋友的问候。><
为避免网站继续被利用,对数据库做一些激情操作,这下骗子不能愉快的进后台了:)
4.8 16:00更新
网站再次上线,不知道是定时脚本还是手动,对方进行了数据恢复。
干脆再深入一点,看能不能寻到对方的蛛丝马迹。借助SQL的日志功能和世界上最好的PHP语言,写了一句话,上菜刀。比较顺利的拿到了服务器权限,发现已经有人用一样的姿势来过。
xinqidian666@vip.163.com,通过后端源码找到了mail.txt,成功登入。比较新的一个马甲。
从16年3月份开始,34页的账号记录。
骗子也要进行版本迭代?!不知道他们有没有PM?!语言从最初的.Net上升到了世界最好。同时也感受到了骗子手动备份的艰辛-毕竟这样说没就没的代码,版本控制也徒劳。
部分钓鱼站,此外还有从16年初开始备份的一些用户账号密保数据。
http://utf8.sms.webchinese.cn/?Uid=%s&Key=%s&smsMob=%s&smsText=%s
以上是一个菜鸟的反欺诈经历,愿大家不要再受骗啦~哈哈~
(本想rm -rf /* 拯救世界,考虑到这应该只是骗子的其中一个站点,作用不大,还是留给有关部门来处理吧,希望尽快跟进。)