警惕appleid钓鱼陷阱

随笔 myhloli 11089次浏览 已收录 30个评论

最近在贴吧看到一个帖子,大意是楼主的iphone丢了,随后邮箱收到一封邮件,

您好! 您丢失的苹果设备正在强制刷机 激活 如非本人请登陆 appleid-icloub.com 锁定并找回您的设备。

楼主点击进去那个网站,其实就是一个做的和icloud界面很像的一个仿站

QQ截图20150420115848

网站是用asp写的,和真的icloud登录界面并无太大区别,急于找回手机的失主,往往没有注意网址的怪异之处,便在钓鱼界面输入了自己的appleid。

下面我们随便输入一组用户名和密码

QQ截图20150420200144

居然成功登录了

QQ截图20150420200237

 

当然能登录这也是意料之中的,毕竟是个钓鱼网站。

接着这个界面是为了骗取你的appleid密保,看来小偷偷了手机不止想解锁find my iphone拿去卖钱,更想从appleid绑定的信用卡榨取更多的剩余价值。

QQ截图20150420200856

骗子需要骗取你的三条密保问题,这里可以随意填写。

不得不说,网站界面做的和真站相差无几,所有的外链都指向官网真实地址,心急如焚的失主很容易失去网站真假的判断能力。

如果你在这个钓鱼网站输入了你的真实的appleid信息,相信你的手机已经被解锁流入二手市场了。

关于icloud仿站,百度搜索icloud源码或者icloud仿站都可以找到

QQ截图20150422215521 QQ截图20150422215537 QQ截图20150422215601

 

更详细的甚至有视频介绍http://www.56.com/u13/v_MTI1NDgxNjY2.html

看到这里,我感觉此事似乎并不是一个个例。作为一个IT工作者,和一个互联网行业从业人员,我想从更深的层次对这一事件进行挖掘,还原一下在天朝的一条灰色的利益链条。

首先我们有了钓鱼网站的域名,可以去whois查一下这个站的信息。

QQ截图20150420202006

以上是whois信息。手机号是18633251596,注册邮箱是89633100@qq.com,站长姓名叫做张斌

在搜索引擎搜索手机号,没有什么有价值的信息,只是查到这个号码是河北保定的,查下qq号,也没有什么有价值的信息。那就去qq上搜索这个号码看看。

QQ截图20150420202334

故乡河北唐山,现居地澳门,和whois信息一致,接下来看看动态和相册。

动态里看到一些有趣的东西:

QQ截图20150420202723 QQ截图20150420202735 QQ截图20150420202746

发现这个站长原来就是淘宝上的远程解锁。在淘宝上可以查到很多远程解锁的商家。

QQ截图20150422195923

QQ截图20150422195950

QQ截图20150422195957

 

淘宝上100左右的价格都是appleid信息的查询价格。正常拿到一台绑定appleid的机器,通过DFU强刷完开机都要登陆appleid来激活手机,而appleid是被打码的。如果要发送钓鱼邮件来骗取密码,首先得找到真正的appleid。淘宝上的商家为什么能通过提供imel号就获取到appleid呢?当然是因为苹果的GSX系统。https://gsx.apple.com/ 当然理论来说,拥有登陆GSX系统权限账号的都是苹果内部的工作人员。内部人员是不允许帮忙查询完整appleid并将信息出售给第三方的。当然在神奇的天朝,一切皆有可能。

在淘宝店家付费查询可以通过imel号查询到的资料有:

卖家会提供给你ID账号对应的:(结果的确提供这些信息,除非注册时没填,也完全正确)
1、注册时的姓名
2、完整ID邮箱
3、备用邮箱(查到有就可以提供)
4、地址
5、手机号码(填写有就有,无填写无)
6、生日(不保证100%能查到)查到有就可以提供
7、安全提示问题(查不到答案)

在苹果内部工作人员的里应外合之下,终于拿到了手机的完整appleid。接下来破解账号的方式就有很多了。

邮箱,如果邮箱是qq邮箱,或者备用邮箱是qq邮箱就有了失主的qq号。利用基本的社会工程学,可以查到更多失主的信息。甚至可以利用撞库,获取失主的qq密码或者qq邮箱密码,甚至appleid密码。

如果简单的社会工程学不足以获取失主的密码,接下来就是利用已有的信息来钓鱼了。

钓鱼方式分两种,一种是发短信到你的手机上,另一种是发邮件到你邮箱。

182530j2zr2hhchwb6944k

QQ截图20150422205634

点击短信里或是邮箱里的链接,就会跳转到类似文章开头的钓鱼网站,如果不仔细甄别,输入了正确的appleid账号和密码,那么从此以后在地图上连离线的iphone都看不到了。

在天涯上看到一个有意思的帖子。楼主也是丢了手机,被人钓鱼套走了appleid信息。有意思的是楼主和钓鱼的骗子聊天,骗子居然还认真的做了回复。

QQ截图20150422210030

QQ截图20150422210045

ps:远程解锁的价格一台在300~400左右,硬改基带解锁一台的价格在1000左右。

看了这段聊天,我也算明白了,其实所谓的远程解锁,并没有很高的科技含量。开始我以为会有很牛逼的黑客,能够黑进失主的appleid邮箱。后来发现其实也不过如此,只是利用失主们的粗心大意,通过钓鱼网站骗取账号密码而已。同时我也明白了为什么淘宝上商家只承诺远程解锁成功率只有60%~80%,毕竟不是所有人都会傻乎乎的被骗。

至此我可以大致总结出来从失主丢失手机到成功解锁的一个流程。

QQ截图20150422213509

当然,通过获得账号密码软解的手机,如果是5s及之后的机型,指纹识别是可以正常使用的,在二手市场价格也可以卖个不错的价格。但是如果前两种方法都没法获得账号密码,无法解锁怎么办?这也就是淘宝上所谓的无法远程解锁的情况了。国内改机最牛逼的华强北也已经有了新的对策,通过激活漏洞跳过激活界面,这种做法虽然会导致基带无法激活,手机只能当作大号的itouch使用,但是可以通过更换基带芯片,使手机正常使用。特别需要注意的是,5s以及以后的机型指纹识别功能touchid是和主板绑定的,更换基带的手机指纹识别功能是无法使用的。这也就是淘宝上大量的不能使用指纹识别的5s的来源所在了。

前两天,博主的一个同学想买个淘宝上的便宜5s,来咨询了博主。我去淘宝看了下,果然有不支持指纹识别的5s在销售。

QQ截图20150422214309

QQ截图20150422214321

 

通常不支持指纹识别的5s,最早国内是iphone5改,后来因为不支持4g网络,被轻易识别出来。后来奸商们学会了使用iphone5c主板改装5s,这样除了指纹识别无法使用,4g功能是没问题的。

具体可以去下面的地址一探究竟。


后来突然想到更换基带之后的5s指纹识别功能也是无法使用的,博主大胆的猜测一下,淘宝上这种无法使用指纹识别的5s会不会是无法解锁的机器更换基带硬改的产物呢?具体的需要真机测试,博主暂时没有时间和精力去做这个测试了,希望有土豪做下测试吧。

PS:博主去查证了下,5c并没有发售64G版本机器,那么不带指纹的64g5s有很大概率是硬改基带的妖机了。

最后转威锋上一个封釉写的安全提示:

写给朋友们的一点提示:1、用于绑定iCloud的AppleID一定要是私人的、独立的、安全的。即保证你的资料安全,也保证你的设备安全。不然哪天账号被黑,别人给你设成丢失模式你哭都哭不出来。
2、AppleID密码丢失有两个途径寻回1、通过注册邮箱寻回密码;2、回答设置的安全问题修改密码。
3、可以设置救援邮箱,在你忘记安全问题时可以用此修改安全问题
4、强调一点,你可以用别人分享的账号下载Apps,但是千万不要用来绑定iCloud服务,有艳照的朋友哪天照片流出去还不知道怎么回事。分享给别人的账号也只能是下载Apps用的账号。绑定iCloud的一定要是你的私人帐户。想真正保护设备资料安全务必认认真真申请一个AppleID切记。
5、在查看封釉们的回复得知还有“两步验证”这个安全设置。这应该是苹果给出AppleID最安全以的保护了。以下是我在Apple官方支持页面找到的关于两步验证注意事项。(感谢封釉:@痴笑人间 )
使用两步式验证时需要记住哪些事项?
两步式验证简化了流程并增强了帐户的安全性。开启两步式验证后,只能使用密码、发送至您受信设备的验证码或恢复密钥来访问并管理您的帐户,其他方法均不可行。只有您可以重设密码、管理受信任的设备或创建一个新的恢复密钥。Apple 支持人员可以帮助您解决其他服务问题,但无法代您更新或恢复这三项内容。因此,在您使用两步式验证时,您必须:
记住密码
确保受信设备安全
妥善保存恢复密钥
如果您同时失去上述三项的访问限权,您的 Apple ID 将被永久锁定。

最后; 希望各位iOS用户注意自己手机的外部安全,也请重视手机内部安全。
如果我们都大家都设置一个安全合格AppleID让激活锁,那么小偷些或者是贪便宜的人的到的只是一块砖头而不是一部手机。

以上提示来自威锋http://bbs.feng.com/read-htm-tid-8488130.html

  萝莉社,版权所有丨如未注明,均为原创丨本网站采用BY-NC-SA协议进行授权,转载请注明转自:https://myhloli.com/appleid-deception.html
喜欢 (22)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(30)个小伙伴在吐槽
  1. 哇,好棒哦
    liwanglin122015-04-22 22:49 回复
  2. 写个脚本用乱七八糟的用户名去登录,让它收集一堆无用的帐号,然后从无用帐号中筛选。
    呼呼2015-04-23 08:09 回复
    • 毕竟是钓鱼,在知道目标邮箱的情况下从一堆垃圾数据中找到所需数据仅需要ctrl+f
      myhloli2015-04-23 11:44 回复
  3. 暴露留言者的浏览器和操作系统也不是个好习惯。。
    呼呼2015-04-23 08:09 回复
  4. DDOS死他 或者 不停post垃圾数据 /斜眼
    DIYgod2015-04-23 10:15 回复
    • 打死一个钓鱼站,还会有千千万万个站起来
      myhloli2015-04-23 11:42 回复
  5. 养萝莉的蜀黍 这篇文章可以转吗
    Sueri_锐2015-04-23 23:31 回复
  6. 是的,这里存在XSS漏洞,博主可以联系我
    纳兰泽雨2015-04-24 13:25 回复
    • 看到了,真是醉了,多说的过滤吃翔了。。。
      myhloli2015-04-24 14:02 回复
      • 不算是多说的锅
        纳兰泽雨2015-04-24 15:15 回复
        • 醉了,等我晚上回去qq详聊下。。
          myhloli2015-04-24 15:40 回复
          • 啊?晚上。。。晚上我还要上晚自习呢QAQ
            纳兰泽雨2015-04-24 16:53
          • 把你之前的那个评论删了,从评论内容上看,没看出来怎么xss注入的。。。
            myhloli2015-04-24 19:26
          • 真是可惜啊,我的评论就这么被删了算了,跑到别人地盘上注入XSS是我失礼在先呢
            纳兰泽雨2015-04-24 23:31
          • 求问那段评论是怎么注入xss的。。后台看不出来啊。。
            myhloli2015-04-25 00:20
          • 是因为评论开了html解析么?
            myhloli2015-04-25 00:21
          • 多说居然不能私信。。。
            纳兰泽雨2015-04-25 10:04
          • 右侧边栏最上面可以给我发邮件。。
            myhloli2015-04-25 12:41
  7. win7专家322015-04-24 22:54 回复
  8. win7专家322015-04-24 22:55 回复
  9. win7专家322015-04-24 23:03 回复
  10. 要相信华强北没那么弱
    RootLiang2015-05-07 10:30 回复
  11. 机智的博主!
    Cytrs2015-07-13 22:19 回复
  12. 好久没来了,过来转转
    歪妖内涵网2015-09-01 18:04 回复
加载中……