国产精品久av福利在线观看_亚洲一区国产精品_亚洲黄色一区二区三区_欧美成人xxxx_国产精品www_xxxxx欧美_国产精品久久婷婷六月丁香_国产特级毛片

 
事情是這樣的，在QQ上有學(xué)弟跟我抱怨說(shuō)手機(jī)丟了，然后騙子給他發(fā)釣魚郵件，問(wèn)我能不能把這個(gè)網(wǎng)站端了（開(kāi)什么玩笑，筆者是遵紀(jì)守法好公民，怎么可能干這種事兒，最起碼得把他數(shù)據(jù)庫(kù)什么的給他抹了然后再端了吧）。我當(dāng)時(shí)回答不能，但是我也沒(méi)說(shuō)不幫。根據(jù)他給我的一些線索，筆者開(kāi)始了偵查。

首先呢，我讓學(xué)弟把這封郵件轉(zhuǎn)發(fā)給我的郵箱，然后我們來(lái)看一下這封郵件。

恩，做的挺像那么回事的，我們來(lái)看看能摸出來(lái)什么信息。首先摸到了這個(gè)釣魚網(wǎng)站的URL：http://www.tunes_phone.lnc.chrnss.com/index1.asp ，其次還摸到了這個(gè)發(fā)件人的郵箱。****@****bao.com，但是根據(jù)本人的經(jīng)驗(yàn)來(lái)講，這個(gè)郵箱應(yīng)該是被盜用的。那我們就從鏈接入手吧。先去擼一下這個(gè)服務(wù)器到底是啥地址。

恩，從heatmap來(lái)看的話，我們能看到這個(gè)確實(shí)是一個(gè)新上的網(wǎng)站，但是很明顯我們是不會(huì)這么搞的，我們還會(huì)繼續(xù)深究。這里我直接跳過(guò)了Whois信息，鑒于隱私問(wèn)題我就不放Whois的信息了，但是我們還是留下了作為判定的依據(jù)。這次我們?nèi)�擼服務(wù)器。我們之前不是查到這臺(tái)機(jī)器解析的ip地址是45.64.74.148了么，我們?nèi)タ纯础?/span>

有點(diǎn)6啊，綁了這么多域名全都是跟apple id相連的，看來(lái)這個(gè)是個(gè)職業(yè)團(tuán)隊(duì)。這臺(tái)服務(wù)器來(lái)自于Royal Network（果然香港是法外之地啊，服務(wù)器全放那邊），這些域名的Whois信息我們就不去查了，很多情況下都是胡亂填寫的，可參考的數(shù)據(jù)很少。但是不代表我們沒(méi)有招數(shù)去搞他。就看這臺(tái)服務(wù)器，之前在知乎回答過(guò)，威脅情報(bào)數(shù)據(jù)中有一種數(shù)據(jù)叫做netflow數(shù)據(jù)，可以看到反連這臺(tái)服務(wù)器的所有IP地址，于是我們利用這些商業(yè)的數(shù)據(jù)去查一下看看有什么好玩的。（以下的數(shù)據(jù)來(lái)自于Passivetotal平臺(tái)，具體數(shù)據(jù)需要付費(fèi)，請(qǐng)酌情使用）
這里沒(méi)有圖。。。。
查到的數(shù)據(jù)很有意思，這個(gè)服務(wù)器本身并不是他們的，而是某個(gè)IP利用這臺(tái)服務(wù)器3389端口上的漏洞進(jìn)行了bruteforce拿到了這臺(tái)服務(wù)器的權(quán)限，然后把這臺(tái)機(jī)器拿過(guò)來(lái)自己用。厲害了我的哥，黑產(chǎn)都知道不用花錢搞肉雞了。
通過(guò)Passivetotal提供的netflow數(shù)據(jù)，我們發(fā)現(xiàn)了幾個(gè)比較奇怪的IP: 124.67.21.XX、 http://113.251.41.XXX，好，搞到了這兩個(gè)IP不怕沒(méi)辦法知道你們?cè)谀膬�。上大殺�?mdash;—LBS高精度定位：

下面那個(gè)可以無(wú)視，畢竟差距太大，很可能是VPN或者是代理什么的。我們要那個(gè)精度好的。
再結(jié)合學(xué)弟之前提供的Apple ID中的Find My iPhone定位，最后位置顯示在成都市太升南路，我們很清楚的確定這件事情是兩個(gè)集團(tuán)在干的事兒，一個(gè)偷東西一個(gè)負(fù)責(zé)騙取Apple ID然后銷贓，二者之間是利益關(guān)系。
我們已經(jīng)知道了他在重慶一帶，這個(gè)時(shí)候你可以去找二營(yíng)長(zhǎng)把意大利炮借過(guò)來(lái)轟他一炮了。
接下來(lái)的事情就是和這件事情沒(méi)什么關(guān)系了，first我們來(lái)還原一下這件事情背后的邏輯鏈條。現(xiàn)在都是21世紀(jì)了，賊是不會(huì)跟電視里面那樣的撿了個(gè)手機(jī)去換SIM卡然后開(kāi)機(jī)的，賊也知道有Find My iPhone這種東西。
Firstly：賊下手的地方多為高校公交站和人員較多的地方比如地鐵，順走了之后直接關(guān)機(jī)。這時(shí)候當(dāng)你意識(shí)到手機(jī)已經(jīng)被偷的時(shí)候手機(jī)早就關(guān)機(jī)了。作為一個(gè)正常人這時(shí)候你肯定會(huì)著急的，然后發(fā)朋友圈說(shuō)我手機(jī)丟了什么什么的（這個(gè)是正確的，防止因?yàn)槭謾C(jī)丟了造成信息泄露），如果你用iPhone的話有個(gè)別稍微懂點(diǎn)技術(shù)的人會(huì)告訴你需要打開(kāi)Find My iPhone然后把手機(jī)設(shè)置為丟失模式。（注意：敲黑板！這時(shí)候不要填寫任何有效的聯(lián)系方式給賊，任何有效的，包括親朋好友的聯(lián)系方式）。除此之外，你還應(yīng)該把手機(jī)抹掉。（許多人會(huì)認(rèn)為我手機(jī)萬(wàn)一找回來(lái)了呢，而且里面有好多照片呢，多珍貴啊。再次敲黑板：丟了的手機(jī)基本上是找不回來(lái)的！找不回來(lái)的！找不回來(lái)的！抹掉手機(jī)是為了更好地防止因?yàn)樾姑芤�發(fā)的一系列其他的損失，再說(shuō)呢不是有iCloud么，照片都在云端放著。）
Secondly：這個(gè)時(shí)候你的手機(jī)會(huì)小時(shí)很長(zhǎng)一段時(shí)間。那這個(gè)時(shí)候賊在干什么呢？有這么幾種情況，1.賊去銷贓了（一般賣不出去，稍微懂點(diǎn)的人都知道解不開(kāi)沒(méi)法用），2.賊去干別的了（稍后我們會(huì)說(shuō)）3.賊去尋求親友團(tuán)幫助了，4.賊在等著。
針對(duì)1：基本不可能，所以還是別想了，如果真的銷出去了，你還沒(méi)準(zhǔn)真的能找回來(lái)。
針對(duì)2：賊去干什么呢，賊這段時(shí)間會(huì)獲取你的信息來(lái)對(duì)你進(jìn)行所謂的社會(huì)工程學(xué)攻擊，最典型的例子就是發(fā)釣魚短信和郵件這種。根據(jù)我對(duì)這些黑產(chǎn)團(tuán)伙的了解，黑產(chǎn)內(nèi)部的工具化現(xiàn)在已經(jīng)非常成熟，很多工具都是很傻瓜化的操作，而且還具備了反偵察能力（程序給你加個(gè)VMP這種很麻煩的東西）。一般來(lái)說(shuō)賊拿到了你的手機(jī)，第一個(gè)能獲得的你的信息就是手機(jī)號(hào)碼（夜深人靜的時(shí)候拔下來(lái)找個(gè)手機(jī)插上去給自己打個(gè)電話不就知道了么），通過(guò)手機(jī)號(hào)碼可以獲得的就太多了（敲黑板！通過(guò)手機(jī)號(hào)碼可以獲得你的QQ、微信、支付寶、郵箱等賬號(hào)，為什么，看一眼手機(jī)里面最多的類型的短信你就知道為什么了），通過(guò)這些炸出來(lái)的東西就可以砸出來(lái)你的Apple ID（很多人都是用QQ、126、163這些郵箱去做apple ID的或者是用http://icloud.com），砸出來(lái)之后ID有了，他們會(huì)進(jìn)行一個(gè)數(shù)據(jù)庫(kù)碰撞的工作，也就是用已經(jīng)泄露出來(lái)的密碼進(jìn)行碰撞，如果碰撞不出來(lái)的話，就會(huì)給你發(fā)上面看到的釣魚郵件。如果你開(kāi)了丟失模式，這時(shí)候你填寫的號(hào)碼也會(huì)收到含有釣魚郵件的短信。他們沒(méi)別的目的，就是為了拿到你的ID解激活鎖。

針對(duì)3：其實(shí)就是把后面碰撞Apple ID的工作外包給萬(wàn)能的某寶了。
針對(duì)4：等到底也是會(huì)走2、3的。
那么如果你這段時(shí)間沒(méi)有中招的話，賊會(huì)一直給你發(fā)釣魚短信和郵件，而且隨著賊的耐心下降，發(fā)送的頻率會(huì)越來(lái)越快。直到賊忍不下去了，然后他就會(huì)把你的手機(jī)拆掉去當(dāng)成零件買。
說(shuō)到這里你也可能就明白了，丟了手機(jī)之后最應(yīng)該想的是保證自己的隱私盡可能的不去泄露，而不是想著怎么把手機(jī)找回來(lái)。這也就是為什么這些賊為什么總喜歡對(duì)大學(xué)生下手的原因，經(jīng)濟(jì)能力決定的。
針對(duì)這件事情我們可以在手機(jī)丟之前做這么幾件事情：
用一個(gè)高安全度的郵箱去注冊(cè)apple id，推薦gmail和http://live.com ，然后是http://outlook.com ，國(guó)內(nèi)的比如http://aliyun.com 這些比較小眾的。
用一個(gè)高安全度的密碼：推薦16位以上大小寫字母數(shù)字符號(hào)混合，而且不能和其他的密碼一樣，并且已經(jīng)泄露出來(lái)的數(shù)據(jù)庫(kù)的密碼不要去用。
放棄手機(jī)丟了能找回來(lái)的念頭，重要的是守護(hù)數(shù)據(jù)。