Apple ID钓鱼网站后台一览

Apple ID钓鱼网站后台一览

接知友 @changweiTM 发的 菜鸟攻入Apple ID钓鱼网站实录



根据上面文章曝光的ht888.pw钓鱼网站的信息,利用sql注入,很容易就能拿到管理员账号,密码是常规的md5 hash。用账号名apple登入。

可以看到,后台还是比较“人性化”的,有各种便捷的入口。

生成URL

网址缩短



查手机激活
短信平台 121.199.44.106:9001/log

iCloud官网入口
访客记录

可以看到,访问的用户量还是蛮多的。

密保列表

(看到了一位热心网友的评价)
这里不只包含了用户的Apple ID信息,还顺带收集了锁屏密码、用户手机、密保问题。
我随机挑了几个这两天看着比较真实的Apple ID。通过iCloud.com,顺利登入,发现有用户竟然还开启了照片同步,个人资料一览无余,当然,骗子可能已经先我一步,利用这些信息对丢失被盗的手机进行了解锁。


后台设置的钓鱼站点及邮箱

iphone-icloudid.com.cn 1485882247@qq.com
apple-icloudid.com.cn 1485882247@qq.com
icloud-idc.com.cn 64545617@qq.com
icloudi.com.cn 64545617@qq.com
apple-appleios.com 1485882247@qq.com
iclound.com.cn 1137565400@qq.com
ids.apple-appleios.com 1137565400@qq.com
id.apple-appleios.com 64545617@qq.com
iclouid.com.cn 2737818431@qq.com

骗子用来发送用户信息的邮箱 AppleInc <xinqidian666@vip.163.com>


相信,以上还只是冰山一脚。希望朋友们不要轻易在网上填写你的Apple ID信息,尤其是在手机丢失的情况下,可能的话可以开启两步验证。

文章发布的同时,已将钓鱼后台的用户信息清空。


4.7 16:00更新

刚打酱油的时候,发现钓鱼网站仍然在线,不过已看不到真实用户的提交信息,很多应该是来自知乎朋友的问候。><

为避免网站继续被利用,对数据库做一些激情操作,这下骗子不能愉快的进后台了:)


4.8 16:00更新

网站再次上线,不知道是定时脚本还是手动,对方进行了数据恢复。

干脆再深入一点,看能不能寻到对方的蛛丝马迹。借助SQL的日志功能和世界上最好的PHP语言,写了一句话,上菜刀。比较顺利的拿到了服务器权限,发现已经有人用一样的姿势来过。

首先挖掘骗子用来转发的邮箱

xinqidian666@vip.163.com,通过后端源码找到了mail.txt,成功登入。比较新的一个马甲。

从16年3月份开始,34页的账号记录。

疑似骗子的登录记录。

网站源码,没有太多精彩的地方

骗子也要进行版本迭代?!不知道他们有没有PM?!语言从最初的.Net上升到了世界最好。同时也感受到了骗子手动备份的艰辛-毕竟这样说没就没的代码,版本控制也徒劳。

大量的主机和钓鱼站

部分钓鱼站,此外还有从16年初开始备份的一些用户账号密保数据。

发送诈骗信息的第三方短信平台

http://utf8.sms.webchinese.cn/?Uid=%s&Key=%s&smsMob=%s&smsText=%s

Key亲测可用。。。就这样找到了一个免费短信通道。。。。。。


以上是一个菜鸟的反欺诈经历,愿大家不要再受骗啦~哈哈~

(本想rm -rf /* 拯救世界,考虑到这应该只是骗子的其中一个站点,作用不大,还是留给有关部门来处理吧,希望尽快跟进。)

编辑于 2017-04-08