美帝黑產追蹤:被盜 iPhone 洗白記

眾所周知,國內被盜iPhone洗白的黑產已經非常成熟。一台iPhone被盜後,其綁定的蘋果賬號會由上游的專業盜號團伙竊取密碼,清除綁定關係,進而洗白轉手。過去兩年,類似新聞屢見不鮮,還出現了許多職業勒索黨,盜取蘋果賬號直接遠程鎖定手機,向機主進行勒索。

蘋果公司對此反應遲鈍,到現在還沒太有效的措施(二次驗證沒推廣開)。讓筆者不禁疑惑,難道盜取蘋果賬號洗白iPhone的黑產只在中國盛行?其它國家地區的被盜iPhone怎麼洗白呢?

最近看到安全博客KrebsOnSecurity的文章「If Your iPhone is Stolen, These Guys May Try to iPhish You」,講述了一起發生在美國地區的被盜iPhone洗白案例,博主的朋友很懂技術,順藤摸瓜找出了幕後的黑產鏈條,讓我們得以一窺美帝那邊的黑產生計。

KrebsOnSecurity前不久講過一起發生在巴西的被盜iPhone釣魚事件,當事人的妻子手機被偷,小偷們給他發送釣魚信息,試圖竊取其蘋果賬號密碼。今天我們要分享的是發生在美國的有組織蘋果賬號釣魚犯罪——遠程解鎖和擦除被盜蘋果設備。

iPhone被盜的受害者們可以使用「查找我的iPhone」功能來遠程定位、鎖定以及擦除設備,只需要訪問蘋果官網輸入iCloud用戶名和密碼。同樣,iPhone小偷可以使用iCloud賬號遠程解鎖和擦除偷來的設備,進而轉手賣出。因此,iPhone小偷經常會找第三方的iCloud釣魚服務來盜號。這個故事是關於這些第三方服務的。

最近博主跟一位安全專家閑聊,對方說起有位好朋友收到過針對性的蘋果賬號釣魚簡訊。這位朋友的孩子在弗吉尼亞州某個公園遺失手機數月後,他忽然收到一條簡訊,簡訊開頭聲稱由蘋果公司發送,裡邊寫著定位到遺失iPhone的位置,點擊鏈接即可知曉,有效期24小時。

安全專家拒絕對外透露身份,因為接下來發生的某些事情可能違反了美國計算機欺詐和濫用法律。簡單起見,下邊我們稱呼他為約翰。

約翰說,他朋友點擊了釣魚簡訊里的鏈接,打開是一個假的iCloud登錄頁面:appleid-applemx[dot]us。簡單查了下這個域名的信息,顯示託管在俄羅斯的某台伺服器上,這台伺服器上至少還有140個域名,很明顯可以看出都是用來干iCloud釣魚的,比如accounticloud[dot]site、apple-devicefound[dot]org等(完整的域名列表戳我查看)。

雖然iCloud釣魚的伺服器放在俄羅斯,但其主要用戶分布在完全不同的地方。仔細檢查了一遍,約翰發現這台伺服器有一個明顯的配置錯誤,會泄露用戶操作記錄,包括最近訪問伺服器的時間、在伺服器上訪問各級目錄的記錄等。

監控一段時間後,約翰發現有五個IP會每天多次登錄伺服器,這些IP的位置分布在阿根廷、哥倫比亞、厄瓜多、墨西哥四個南美小國。

他還發現俄羅斯的伺服器上有一個可以公開訪問的文件,在不停地回應imei24.comimeidata.net的請求。如果有好奇網友在這兩個網站輸入手機的imei號碼,伺服器將返回各種信息,包括手機品牌、型號、是否啟用「查找我的iPhone」以及設備是否被鎖定/被盜。

約翰繼續分析,當他試圖訪問「index.php」時(通常的網站首頁地址),瀏覽器被重定向到了「login.php」頁面。如下圖,這是一個名為「iServer」系統的登錄頁面,裡邊顯示一個自定義的蘋果logo,下邊是海盜骷髏圖案,背景則是流血的橙色火焰。

除了login.php頁面,服務端還返回了一份HTML內容,一份大約包含137個用戶名、電子郵箱、到期日期等信息的表格。顯而易見,這恐怕是每月支付費用購買iCloud釣魚服務的攻擊者名單。

約翰隨便猜測幾個常見弱密碼配合用戶名嘗試登錄,很輕鬆地登錄了兩個賬號。登錄進去後,有個賬號通知服務已過期,提醒至少續費一個月才能繼續使用。

約翰點擊「確定續費」按鈕,被帶到一個域名為hostingyaa[dot]com的網站,這個網站接收付款的PayPal賬號名為HostingYaa LLC,查看網頁代碼顯示收款郵箱是admin@hostingyaa[dot]com。

在俄羅斯伺服器上返回的用戶表格上,第一個用戶名是demoniox12,郵箱是admin@lanzadorx.net。約翰強烈懷疑Ta就是伺服器管理員,因為這個用戶使用服務並沒有付費。

對Lanzadorx[dot]net的調查顯示,這是專門提供一個網路釣魚服務的網站,它宣傳可對Apple、Gmail、Hotmail、Yohoo等各種賬號發起釣魚攻擊。

Domaintools.com上反向查詢WHOIS顯示,admin@lanzadorx.net是hostingyaa[dot]info和lanzadorx[dot]net兩個域名的註冊郵箱。

繼續查詢,Hostingyaa[dot]info的註冊者叫Dario Dorrego,這個名字也出現在上述用戶表格上,同為零付費用戶,郵箱是dario@hostingyaa[dot]com。Dario Dorrego這個名字還註冊了31個其它域名,感興趣可戳這查看。

就那份俄羅斯釣魚伺服器的用戶表格,約翰猜出了至少6個賬號的密碼,包括一個可能是分銷商的有趣用戶,用戶名是「Jonatan」。下圖為Jonatan的控制面板,他每月支付80美元來使用服務,現在已經成功竊取了65個iCloud賬號。

下圖為「Jonatan」盯住的賬號之一,受害者「Tanya」的信息面板:

當「Tanya」點開收到釣魚簡訊的鏈接,會看到一個和蘋果iCloud網站一模一樣的頁面。為了更好地取信受害者,登錄框的用戶名已經自動填好。

65位受害者的詳細信息,包括姓名、郵箱、密碼、電話、imei、設備型號、語言以及Jonatan的個人備註。

簡訊發送記錄。這個頁面可以跟蹤每個受害者的攻擊進度,可以看到釣魚系統的國際化做得很好,有許多語言版本的簡訊文案。如果受害者點擊了鏈接,也會顯示出來。

iServer釣魚系統里可以輕鬆添加釣魚鏈接。這個功能很是實用,一個釣魚鏈接的存活期一般不超過一個月,短的可能幾天就失效了。系統里還會檢查釣魚鏈接是否被安全公司標識,並提醒使用者。

下邊這張圖可能有些諷刺。為了測試服務的可靠性,Jonatan使用釣魚系統向自己發起了釣魚簡訊,整個流程走完,很流暢哈。然後他忘記刪除了,系統里一直留著他真實的iCloud賬號信息。。。

接下來大家應該可以猜到,約翰登錄Jonatan的iCloud賬號,發現了一張有趣的圖片——Jonatan當時在釣魚鏈接填寫信息的截圖。

Jonatan日常提供iCloud盜號服務的報價單,來自他的iCloud相冊。圖中顯示,發送iPhone 4、4s的釣魚簡訊只需40美元,iPhone 6s、6s+則需要120-140美元,其實成本都是一樣。

Jonatan的個人iCLoud賬號是jona_icloud@hotmail.com,這個郵箱在Facebook對應的用戶叫Jonatan Rodriguez。在FB個人頁面上,Jonatan Rodriguez介紹自己來自Puerto Rico。

Jonatan的FB個人頁面上有許多個人照片,看起來像是做男模特的。不過他也有很柔軟的一面,比如iCloud相冊里的自拍照片。

在FB上,Jonatan Rodriguez管理著一個名為「iCloud Unlock Ecuador – Worldwide」的小組,這個小組有2797位成員。

在Jonatan管理的FB小組中,有個成員叫「Alexis Cadena」。這個名字也出現在Jonatan的盜號名單的備註里。

Alexis Cadena也有運營自己的iCloud釣魚服務。目前暫時不太清楚他和Jonatan的關係,下圖是Alexis Cadena在FB上發的一些廣告。

回到Jonatan,iCloud賬號不僅僅可以查看個人信息,還可以定位設備的位置。由於Jonatan的粗心大意,我們得以圍觀他的地理位置。3月7日的最新定位顯示,Jonatan的iPhone位於下圖這個地方,厄瓜多靠邊境的城市Yantzaza里。

最後,Jonatan沒有回應博主的採訪請求。

本文內容編譯自krebsonsecurity.com,部分細節有精簡。

如若轉載,請註明原文地址: 美帝黑產追蹤:被盜 iPhone 洗白記 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

TAG:iPhone | 信息安全 |