美帝黑產追蹤：被盜 iPhone 洗白記

01-30

眾所周知，國內被盜iPhone洗白的黑產已經非常成熟。一台iPhone被盜後，其綁定的蘋果賬號會由上游的專業盜號團伙竊取密碼，清除綁定關係，進而洗白轉手。過去兩年，類似新聞屢見不鮮，還出現了許多職業勒索黨，盜取蘋果賬號直接遠程鎖定手機，向機主進行勒索。

蘋果公司對此反應遲鈍，到現在還沒太有效的措施（二次驗證沒推廣開）。讓筆者不禁疑惑，難道盜取蘋果賬號洗白iPhone的黑產只在中國盛行？其它國家地區的被盜iPhone怎麼洗白呢？

最近看到安全博客KrebsOnSecurity的文章「If Your iPhone is Stolen, These Guys May Try to iPhish You」，講述了一起發生在美國地區的被盜iPhone洗白案例，博主的朋友很懂技術，順藤摸瓜找出了幕後的黑產鏈條，讓我們得以一窺美帝那邊的黑產生計。

KrebsOnSecurity前不久講過一起發生在巴西的被盜iPhone釣魚事件，當事人的妻子手機被偷，小偷們給他發送釣魚信息，試圖竊取其蘋果賬號密碼。今天我們要分享的是發生在美國的有組織蘋果賬號釣魚犯罪——遠程解鎖和擦除被盜蘋果設備。

iPhone被盜的受害者們可以使用「查找我的iPhone」功能來遠程定位、鎖定以及擦除設備，只需要訪問蘋果官網輸入iCloud用戶名和密碼。同樣，iPhone小偷可以使用iCloud賬號遠程解鎖和擦除偷來的設備，進而轉手賣出。因此，iPhone小偷經常會找第三方的iCloud釣魚服務來盜號。這個故事是關於這些第三方服務的。

最近博主跟一位安全專家閑聊，對方說起有位好朋友收到過針對性的蘋果賬號釣魚簡訊。這位朋友的孩子在弗吉尼亞州某個公園遺失手機數月後，他忽然收到一條簡訊，簡訊開頭聲稱由蘋果公司發送，裡邊寫著定位到遺失iPhone的位置，點擊鏈接即可知曉，有效期24小時。

安全專家拒絕對外透露身份，因為接下來發生的某些事情可能違反了美國計算機欺詐和濫用法律。簡單起見，下邊我們稱呼他為約翰。

約翰說，他朋友點擊了釣魚簡訊里的鏈接，打開是一個假的iCloud登錄頁面：appleid-applemx[dot]us。簡單查了下這個域名的信息，顯示託管在俄羅斯的某台伺服器上，這台伺服器上至少還有140個域名，很明顯可以看出都是用來干iCloud釣魚的，比如accounticloud[dot]site、apple-devicefound[dot]org等（完整的域名列表戳我查看）。

雖然iCloud釣魚的伺服器放在俄羅斯，但其主要用戶分布在完全不同的地方。仔細檢查了一遍，約翰發現這台伺服器有一個明顯的配置錯誤，會泄露用戶操作記錄，包括最近訪問伺服器的時間、在伺服器上訪問各級目錄的記錄等。

監控一段時間後，約翰發現有五個IP會每天多次登錄伺服器，這些IP的位置分布在阿根廷、哥倫比亞、厄瓜多、墨西哥四個南美小國。

他還發現俄羅斯的伺服器上有一個可以公開訪問的文件，在不停地回應http://imei24.com、http://imeidata.net的請求。如果有好奇網友在這兩個網站輸入手機的imei號碼，伺服器將返回各種信息，包括手機品牌、型號、是否啟用「查找我的iPhone」以及設備是否被鎖定/被盜。

約翰繼續分析，當他試圖訪問「index.php」時（通常的網站首頁地址），瀏覽器被重定向到了「login.php」頁面。如下圖，這是一個名為「iServer」系統的登錄頁面，裡邊顯示一個自定義的蘋果logo，下邊是海盜骷髏圖案，背景則是流血的橙色火焰。

除了login.php頁面，服務端還返回了一份HTML內容，一份大約包含137個用戶名、電子郵箱、到期日期等信息的表格。顯而易見，這恐怕是每月支付費用購買iCloud釣魚服務的攻擊者名單。

約翰隨便猜測幾個常見弱密碼配合用戶名嘗試登錄，很輕鬆地登錄了兩個賬號。登錄進去後，有個賬號通知服務已過期，提醒至少續費一個月才能繼續使用。

約翰點擊「確定續費」按鈕，被帶到一個域名為hostingyaa[dot]com的網站，這個網站接收付款的PayPal賬號名為HostingYaa LLC，查看網頁代碼顯示收款郵箱是admin@hostingyaa[dot]com。

在俄羅斯伺服器上返回的用戶表格上，第一個用戶名是demoniox12，郵箱是admin@lanzadorx.net。約翰強烈懷疑Ta就是伺服器管理員，因為這個用戶使用服務並沒有付費。

對Lanzadorx[dot]net的調查顯示，這是專門提供一個網路釣魚服務的網站，它宣傳可對Apple、Gmail、Hotmail、Yohoo等各種賬號發起釣魚攻擊。

在http://Domaintools.com上反向查詢WHOIS顯示，admin@lanzadorx.net是hostingyaa[dot]info和lanzadorx[dot]net兩個域名的註冊郵箱。

繼續查詢，Hostingyaa[dot]info的註冊者叫Dario Dorrego，這個名字也出現在上述用戶表格上，同為零付費用戶，郵箱是dario@hostingyaa[dot]com。Dario Dorrego這個名字還註冊了31個其它域名，感興趣可戳這查看。

就那份俄羅斯釣魚伺服器的用戶表格，約翰猜出了至少6個賬號的密碼，包括一個可能是分銷商的有趣用戶，用戶名是「Jonatan」。下圖為Jonatan的控制面板，他每月支付80美元來使用服務，現在已經成功竊取了65個iCloud賬號。

下圖為「Jonatan」盯住的賬號之一，受害者「Tanya」的信息面板：

當「Tanya」點開收到釣魚簡訊的鏈接，會看到一個和蘋果iCloud網站一模一樣的頁面。為了更好地取信受害者，登錄框的用戶名已經自動填好。

65位受害者的詳細信息，包括姓名、郵箱、密碼、電話、imei、設備型號、語言以及Jonatan的個人備註。

簡訊發送記錄。這個頁面可以跟蹤每個受害者的攻擊進度，可以看到釣魚系統的國際化做得很好，有許多語言版本的簡訊文案。如果受害者點擊了鏈接，也會顯示出來。

iServer釣魚系統里可以輕鬆添加釣魚鏈接。這個功能很是實用，一個釣魚鏈接的存活期一般不超過一個月，短的可能幾天就失效了。系統里還會檢查釣魚鏈接是否被安全公司標識，並提醒使用者。

下邊這張圖可能有些諷刺。為了測試服務的可靠性，Jonatan使用釣魚系統向自己發起了釣魚簡訊，整個流程走完，很流暢哈。然後他忘記刪除了，系統里一直留著他真實的iCloud賬號信息。。。

接下來大家應該可以猜到，約翰登錄Jonatan的iCloud賬號，發現了一張有趣的圖片——Jonatan當時在釣魚鏈接填寫信息的截圖。

Jonatan日常提供iCloud盜號服務的報價單，來自他的iCloud相冊。圖中顯示，發送iPhone 4、4s的釣魚簡訊只需40美元，iPhone 6s、6s+則需要120-140美元，其實成本都是一樣。

Jonatan的個人iCLoud賬號是jona_icloud@hotmail.com，這個郵箱在Facebook對應的用戶叫Jonatan Rodriguez。在FB個人頁面上，Jonatan Rodriguez介紹自己來自Puerto Rico。

Jonatan的FB個人頁面上有許多個人照片，看起來像是做男模特的。不過他也有很柔軟的一面，比如iCloud相冊里的自拍照片。

在FB上，Jonatan Rodriguez管理著一個名為「iCloud Unlock Ecuador – Worldwide」的小組，這個小組有2797位成員。

在Jonatan管理的FB小組中，有個成員叫「Alexis Cadena」。這個名字也出現在Jonatan的盜號名單的備註里。

Alexis Cadena也有運營自己的iCloud釣魚服務。目前暫時不太清楚他和Jonatan的關係，下圖是Alexis Cadena在FB上發的一些廣告。

回到Jonatan，iCloud賬號不僅僅可以查看個人信息，還可以定位設備的位置。由於Jonatan的粗心大意，我們得以圍觀他的地理位置。3月7日的最新定位顯示，Jonatan的iPhone位於下圖這個地方，厄瓜多靠邊境的城市Yantzaza里。

最後，Jonatan沒有回應博主的採訪請求。

本文內容編譯自krebsonsecurity.com，部分細節有精簡。

如若轉載，請註明原文地址：美帝黑產追蹤：被盜 iPhone 洗白記更多內容請關注「嘶吼專業版」——Pro4hou