偷了我的iphone,开路虎给我送回来。
实在找不到符合主题的图,只能用自己的图装个逼了23333
先说条件:
1.手机必须是iphone
2.犯罪团伙发送邮件or短信进行钓鱼
盗窃团伙作案流程:窃取手机、解锁、销赃
1.盗窃团伙趁受害者们不注意把手机偷走;
2.手机流通到专门解锁被盗iPhone的技术团队手中,并给被偷手机的所有者icloud或手机号码发送钓鱼短信;
3.受害者点击恶意短信或邮件后输入自己的icloud账号和密码,盗窃团伙钓鱼成功后成功刷机,将手机投入黑市中销赃;
现在的诈骗流程和把大象放进冰箱里需要三步,有着异曲同工之妙,流程之简单、受众之广泛令人咂舌。下面来看有图有真相的真实案例。
手机被偷第二天就收到钓鱼短信,看域名。
iCloud的官网是www.icloud.com
骗子的网址通常会是:
等等......
这是钓鱼的惯用伎俩。就像以前写的文章,伪基站钓鱼。不管是银行、移动都是域名相仿。
得知是钓鱼网站,我首先就想到的是XSS跨站漏洞,因为就算是SQL注入攻击你拿到数据,但是没有后台地址也很尴尬。
我在钓鱼网站在输入密码以后,钓鱼网站让我输入密保信息,我在答案输入框中输入了XSS代码,然后就成功提交了。
在等待收到XSS的过程中,先找找他其他的漏洞吧!
仔细寻找一翻还是有收获的,我发现了一处逻辑漏洞,返回包里包含了smtp登陆的过程,账号密码还是base64编码的
发现smtp登陆的账号密码。反编码下,我成功登陆了骗子的网易邮箱,不过可惜的是他做了设置,发件箱里没有信息。
上一处漏洞进行不下去了,我又进行了一翻寻找,又找到一处漏洞,这是一处注入,是update型的报错注入,我拿到管理员的信息。
漏洞寻找有一翻收获后,我看了到XSS平台也收到了信息,信息是
Cookie是base64编码,后台有了,密码也有了,登陆看下
钓鱼网站后台中一共发现46个账号,46个域名。
受害者真的多!!!普及安全知识很重要的!
接着,就是去找骗子了,拿到骗子的QQ,加骗子,刚开始还不同意。
在我修改他的密码以后,他主动加了我的QQ。
下面看图说话,我就不码字了~~
不一一发图了
沟通了一下午,骗子终于妥协,答应将手机送回来了。让我没想到的是,骗子派来的马仔还是开着路虎来送的手机,呵呵。这辆路虎是多少受害者的手机换来呢?
马仔将手机交给我的方式也是及其特别,很是像谍战片里的地下工作者之前的碰头。
9月13日的深夜,骗子派来的马仔提前和我预定好了归还手机的地点,将路虎远远的停在路对面,迅速下车,走到约定地点,镇定的将手机放到地上,快步返回车上。整个过程不过短短几分钟。我走到约定地点,拿手机后,悬着的心终于放下,这件事总算是告一段落了。
此文是今天在朋友圈360安全客负责人发出来的,感觉还不错,所以分享给大家。
网站也不错,我们团队的成员也常在这里投稿。
不过呢,不要一味的觉得每一个iphone掉了都能找回来,我的iphone就没找回来。毕竟是个出租车司机拿去了,他懂个鸡毛?
关于防止手机丢失的废话就不说了,对于我这种9个月掉5个手机的傻逼很没资格~
最后,如果有遇到类似情况的小伙伴可以找我,免费帮忙尝试~
