使用QQ邮箱漏洞盗取iCloud解锁失窃iPhone团伙溯源 - 挨踢 Blog
最新文章：
使用QQ邮箱漏洞盗取iCloud解锁失窃iPhone团伙溯源
发布时间:日
评论数：抢沙发
阅读数：174
在《QQ邮箱0day漏洞,打开邮件iCloud被盗案例分析》中,360天眼安全实验室揭露了一起利用未公开QQ邮箱跨站漏洞进行的钓鱼攻击。接下来,我们对此事件做了进一步的挖掘,分析谁是可能的幕后黑手。
我们发现攻击者至少使用了两种攻击方式进行钓鱼:利用跨站漏洞窃取Cookies、伪装iCloud登录页面。
1、利用跨站漏洞钓取Cookie
攻击者会发一封带有XSS漏洞的邮件,目标点击后,会把QQ邮箱的Cookies发到攻击者的后台,攻击者收到Cookies后,通过Cookies登陆QQ邮箱,来重置iCloud密码。
上一篇文章中提到过,攻击者将一个嵌入了iframe的”空”页面地址发送给受害者,受害者在打开这个页面的同时会访问一个qq邮箱预览功能开头的url地址:
其中column_url为预览功能需要的远程xml文件(这里是mail.xml),mail.xml内容如下:
通过解码“onerror”后的十六进制数据得到一个短网址:http://t.cn/RUWp7BJ
打开之后,发现是webxss生成的一个XSS模块,如图:
发现攻击者是通过webxss的测试平台来生成XSS攻击代码并接收漏洞得到利用后返回的Cookie数据的。
笔者申请了一个webxss账号,以下是平台的界面:
2、伪装iCloud页面直接钓取账号
除了用跨站手段盗取Cookies的方式,攻击者还有伪造iCloud页面骗取账号和密码的方式。我们通过对mail.xml的服务器的进一步挖掘,找到了攻击者的另外2个钓鱼页面:
其中第一个已经被360网盾拦截,所以攻击者现在一直在用第二个地址进行钓鱼。
分析发现第二个钓鱼页面会判断IP地址,笔者所在地区的IP地址,会被跳转到
挂上代理,打开相同的页面,发现返回了一个伪装iCloud的钓鱼页面,如图:
钓鱼网站是NetBox v3.0搭建的:
输入伪造的账号和密码,发现会把账号密码通过POST请求发送到一个远程地址:
hxxp://apple.myiphone.ren/ICloud13/save.asp
通过查找hxxp://
这个钓鱼页面的whois信息,发现网站的所有者是一位叫肖远玉的人(尚不确认注册信息是否真实),注册邮箱为:409**** 。
域名注册时间是日,目前处于活跃状态:
注册者的QQ号,通过QQ资料,猜测应该是一个小号或者盗取的别人账号:
此QQ号码之前的主人名为胡超:
通过查找hxxp://.myiphone.ren/?ILJIU=33885.html 另外一个钓鱼页面的whois信息,发现网站的所有者注册的邮箱为:99******@qq.com,注册人被置为:zhong en sheng 。
通过查找QQ信息,发现QQ的所有者是一个专门做QQ的XSS的人,根据QQ昵称推测,这人可能姓钟,与whois信息相符。
通过查询QQ群关系数据库,发现这个QQ的所有者名为:钟恩胜。
以下是相关QQ疑似所有者在其空间找到的生活照,在深圳市友谊酒店拍摄:
通过进一步地分析关联,我们发现了伪造icloud登录页面得到的账号与密码的后台地址:
hxxp://118.xxx.xxx.xxx/manager/index.asp
管理界面如图:
经过后台数据关联分析,发现和此攻击者有关的另外一个QQ号:
但由于我们无法找到更多的证据证明此QQ和本次XSS事件有关,挖掘工作就此告一段落。.
综上,攻击者主要通过2种方法解绑丢失的iPhone手机
1、通过XSS钓QQ邮箱的Cookie,然后通过Cookies登陆QQ邮箱,重置iCloud密码解绑
2、通过发送钓鱼邮件插入伪造的iCloud直接调取iCloud账号密码去解绑丢失的手机
由此,一条通过黑客手段处理灰色来源手机的黑产似乎隐约可见。
另外,再提一个之前遇到过用第二种方法钓鱼的典型案例:
用户反馈,说丢失的手机在新华路上线,让点击网站查看手机的具体位置,攻击者伪装apple的客服发送的一封邮件,发送的链接是一个的一个页面,用户转发给我的邮件如图:
攻击者发送了一个钓鱼连接,粗略的一看,会以为是正常的凤凰网的地址,大部分人可能会去打开,打开后会弹出一个与本次事件一样的钓鱼页面。
钓鱼链接如下:
发现最后面一个参数是base64加密的,解开之后发现是一个网址:
#1#/rd.htm?id=1468872&r=http%3A%2F%%2Frew%2F
为攻击者精心的把钓鱼地址构造到的子域名里,去借助这个白域名去跳转到真正的钓鱼页面,这样做是为了过QQ邮箱不可信域名拦截,因为发送过去的是一个白域名,各类安全软件不会对一个白域名进行拦截。
从之前的用户反馈到本次截获的的攻击事件,可以看出攻击者的手法已经由被动的骗取密码,演变成了主动出击获取邮箱登录权限,从而使危害性更高,黑产不会放过任何一个可以使自己增加钱财的技术手段。
企业可以通过这种以下方式来防御xss。
本文由 360安全播报 原创发布，如需转载请注明来源及本文地址。
本文地址：/learning/detail/2264.html
本文作者： &&&&
文章标题：
本文地址：
版权声明：若无注明，本文皆为“挨踢 Blog”原创，转载请保留文章出处。
有空帮我喂下老鼠，谢谢！48小时排行
大家都在看热门搜索：
当前位置：
&&怎么看Apple ID是否被盗 Apple ID被盗原因与解决办
怎么看Apple ID是否被盗 Apple ID被盗原因与解决办
日 09：20&&&&&来源：游戏堡&&&&&编辑：阿猫&&&&&
Apple ID对于 iPhone 的重要性，相信凡是使用过 iPhone 的同学，都无需我多言。而最近无论是网上的信息，还是我们接到用户的咨询，以及笔者…都出现了Apple ID被盗的情况！为了大家日后用机的安全，今天我们就来聊聊怎么看Apple ID是否被盗，希望对大家有所帮助。
盗取 Apple ID 的手段有很多，为了方便大家理解，我们日常使用 iPhone 的场景，因为不论你的 iPhone 丢失与否， Apple ID 都有可能被盗取，以下是Apple ID被盗原因与解决办法，果粉同学会，值得一读。
一 iPhone 被盗
丢手机在我们日常生活中已经不算什么稀奇的事了，即使你没有丢过，身边肯定有马虎的朋友丢过。下面罗列了 4 种丢失后的情况：
未开启查找我的iPhone
如果你的 iPhone 未开启「查找我的 iPhone 」，那真是小偷最愿意碰到的“顾客”，他只需给你的 iPhone 刷个机，然后这台 iPhone 基本上就再也跟你没有任何关系了…在 iOS 7 以上的系统刷机激活后都会默认开启「查找我的 iPhone 」。
▲第二种情况是在开启查找我的 iPhone 的情况下进行刷机，刷机后需要用原来的 Apple ID 来激活设备才能正常使用。
小偷会去 X 宝个别店铺——查询完整账号：
X 宝店铺会让小偷通过第三方助手类工具，提供 iPhone 的 IMEI 等设备信息：
然后就会通过付费查询获得你的 Apple ID 、手机号码等当初你注册 Apple ID 时的所有信息。
得到你注册 Apple ID 的完整邮箱账号后，一部分小偷会利用最近国内大面积爆发的邮箱漏洞对你的 Apple ID 直接破解，从而获取完整的账号、密码，再通过刷机，使你的 iPhone 彻底与你断绝关系；
如果无法破解你的账号，那么盗取 iPhone 的人会根据之前获得的邮箱账号、手机号、 QQ 等，冒充苹果客服向你发送钓鱼链接、邮件、短信甚至直接拨打电话，来骗取你的账号密码，从而进行破解。
一旦轻信钓鱼邮件或链接，你的 iPhone 就会被破解无法找回。
▲第三种情况是在丢失 iPhone 后立刻登录 iCloud 开启了丢失模式（必须是手机联网的状态才可以开启丢失模式的）
或者开启丢失模式的同时选择抹掉 iPhone 上的信息。选择抹掉 iPhone 的话，手机里的所有资料都会被清空，不过这样无法再通过 iCloud 查找定位这台设备的位置。此时这台 iPhone 需要原 Apple ID 才能解锁。小偷这时破解步骤就回到了第二种情况：刷机——通过第三方软件得到串码等信息去查询完整账号——对账号密码进行骗取。
所谓硬解就是更换该设备的硬盘（序列号）、码片（串号）、通讯 CPU 这三个部件。但是硬解相当于更换了手机身份识别，手机后续使用不稳定而且需要更换的套件资源稀缺。风险和成本相对较大，一般情况下是不会采用这种方法来破解手机的。
二 iPhone未丢失
在未丢失 iPhone 的情况下被锁住 iPhone ，然后被勒索付费解锁的情况也不少见，那么不法分子是如何盗取 Apple ID 的呢？
一般分两种情况：
1.利用钓鱼链接和信息漏洞，冒充官方要求输入账号密码；
2.邮箱漏洞直接对邮箱进行破解得到密码，盗取 Apple ID 和密码。
无论是哪种，账号和密码被盗后都必然会对用户带来财产上的损失。
预防与应急措施Apple ID被盗解决办法
所以为了避免以上情况的发生，我们需要做好预防和应急措施。
首先还是有必要为设备开启「查找我的 iPhone 」功能。
其次是不要相信任何借口的钓鱼邮件、链接、电话和短信。特别是丢失设备后开启丢失模式的设备会显示你预先留下的手机号码，需要警惕电话短信骗取账号密码的情况。
▲给 Apple ID 开启两步验证。（苹果官网-技术支持- Apple ID -管理账户-管理您的 Apple ID -密码和账户安全-回答安全提示问题-设置两步验证）
▲Apple ID两步验证
▲介于近期频繁曝出国内邮箱被破解导致 Apple ID 被盗的新闻，所以这里建议大家尽量使用国外的邮箱来注册。采用国内邮箱注册的，也尽量提升邮箱的安全性，例如使用 QQ 邮箱时开启邮箱独立密码（邮箱设置-账户-账户安全）。
▲寻求苹果官方帮助
这里跟大家讲一个血淋淋的例子，笔者的 iPhone 6 Plus ，在半个月前被莫名其妙锁住，当天立刻收到了盗号者 QQ 的联系信息：699 元，款到解锁…
我当然没有给骗子打钱，而是立刻联系了苹果官方，苹果的客服表示需要提供当时的购机发票，我只好挂了电话，回家找发票；但相信许多人与我一样，购机时间久了，根本找不到！
无奈第二天给苹果客服打电话，说明了情况，这次接电话的妹子表示当时购机的盒子（其实主要是盒子后面的 IMEI 串码）、或捆绑 Apple ID 个人的信用卡在 Apple Store 的消费记录（这个需要长期的记录）都可以作为凭证；
最后我向官方提供了当时购机时包装盒后面的 IMEI 串码，客服答应我在 7~15 个工作日帮我解锁；在上个周五（事发后的第 9 天）苹果客服给我打电话，并逐步指导我对账号进行操作，完成解锁！
最新资讯推荐
扫我，关注游戏堡微信
微信号：yxbaocom
相关阅读：
阅读(78)01-25
阅读(105)11-14
阅读(691)11-02
阅读(116)07-13
阅读(91)05-23
阅读(43)05-11
阅读(72)05-06
阅读(47)02-25
阅读(55)11-27
阅读(95)11-03
站内推荐：
一周热点资讯
爱奇艺日最新会员账号是什么?相信小伙伴都 ......
作品版权归作者所有，如果侵犯了您的版权，请联系我们，本站将在3个工作日内删除。
中国知名的门户，坚守单机游戏阵地！游戏堡提供游戏资讯,下载，攻略，补丁，是你单机游戏下载的最好选择。
All Rights Reserved 湘ICP备号-2
游戏堡温馨提示：抵制不良游戏，拒绝盗版游戏，注意自我保护，谨防受骗上当，适度游戏益脑，沉迷游戏伤身，合理安排时间，享受单机游戏!推荐到广播
618734 人聚集在这个小组
(小北改名好虐)
(二与不二。)
(sweetsixteen)
(最好的未来)
大家正在求推荐
&·&·&·&·&·&·
(22人参加)
(385人参加)
第三方登录：}