HanDs
管理员

技术不光能刷**,也能帮你找回被偷的iphone 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

最近某司员工用技术手段抢了月饼,此事一时之间在大众间传播的沸沸扬扬,大家对此事的看法褒贬不一,吃瓜群众们不明所以,这技术手段到底是好是坏?先不说结论,和大家分享一个利用技术手段找回被偷iPhone的真实案例,大家来品评一下,这技术手段到底是好是坏?

盗窃团伙作案流程:窃取手机、解锁、销赃

1.盗窃团伙趁受害者们不注意把手机偷走;

2.手机流通到专门解锁被盗iPhone的技术团队手中,并给被偷手机的所有者icloud或手机号码发送钓鱼短信;

3.受害者点击恶意短信或邮件后输入自己的icloud账号和密码,盗窃团伙钓鱼成功后成功刷机,将手机投入黑市中销赃;

9月13日早10点,受害者上当受骗

现在的诈骗流程和把大象放进冰箱里需要三步,有着异曲同工之妙,流程之简单、受众之广泛令人咂舌。下面来看有图有真相的真实案例。

85007

9月12号晚21点,朋友的手机被偷

85104

9月13号早上10点,仅仅一晚朋友就收到钓鱼短信

208

和朋友聊天得知,朋友已上当,手机被刷机

9月13日中午,白帽子的技术反击

骗子的速度真快,窃取手机后,仅仅一晚已经开始发钓鱼短信,骗取受害者icloud密码了。

得知在钓鱼网站上,我首先就想到的是xss,因为就算是sql注入你拿到数据,但是没有后台地址也很尴尬。

我在钓鱼网站在输入密码以后,钓鱼网站让我输入密保信息,我在答案输入框中输入了XSS代码,然后就成功提交了。

在等待收到XSS的过程中,先找找他其他的漏洞吧!

仔细寻找一翻还是有收获的,我发现了一处逻辑漏洞,返回包里包含了smtp登陆的过程,账号密码还是base64编码的。

258

发现smtp登陆的账号密码

反编码下,我成功登陆了骗子的网易邮箱,不过可惜的是他做了设置,发件箱里没有信息。

5403

发件箱无可利用信息

上一处漏洞进行不下去了,我又进行了一翻寻找,又找到一处漏洞,这是一处注入,是update型的报错注入,我拿到管理员的信息。

5536

管理员的信息

漏洞寻找有一翻收获后,我看了到XSS平台也收到了信息,信息是

5642

XSS平台的信息

746

拿到后台的密码

Cookie是base64编码,后台有了,密码也有了,登陆看下吧!

5846

钓鱼网站的域名和受害者信息

受害者真的多!!!普及安全知识很重要的!

5939

受害者信息

9月13日下午14点,和骗子直接交涉

接着,就是去找骗子了,拿到骗子的QQ,加骗子,刚开始还不同意。

在我修改他的密码以后,他主动加了我的QQ。

下面看图说话,我就不码字了~~

9

224

322

沟通了一下午,骗子终于妥协,答应将手机送回来了。让我没想到的是,骗子派来的马仔还是开着路虎来送的手机,呵呵。这辆路虎是多少受害者的手机换来呢?

马仔将手机交给我的方式也是及其特别,很是像谍战片里的地下工作者之前的碰头。

9月13日的深夜,骗子派来的马仔提前和我预定好了归还手机的地点,将路虎远远的停在路对面,迅速下车,走到约定地点,镇定的将手机放到地上,快步返回车上。整个过程不过短短几分钟。我走到约定地点,拿手机后,悬着的心终于放下,这件事总算是告一段落了。

416

我将手机拍了照,发给朋友,发现手机还贴着这个手机的号码,心里惊叹骗子真的是好专业!!!

28

来自安全客的温馨提示

虽然通过技术手段将的手机拿到了,但是还有更多的受害者的手机在盗窃团伙手中。并不是每一个被偷走手机的朋友都能这么幸运拿回手机,所以给大家提供一些防止手机丢失和良好手机使用习惯的温馨提示,普及一下安全知识。

防止手机丢失

1、到公交车站,火车站这样的失窃高发地区尽量不用手机!如果要使用那要速站速决,千万不要拿到手上把玩,否则很容易被偷或干脆被抢!

2、上公交车时不要一拥而上,特别是喜欢把手机别在腰间的兄弟,在拥挤的时候手机被别人摸去是不大会察觉的!有必要的话用手护在皮套上好一点!

3、在车上也尽量不要用手机,如确有必要的话,打完后就拿在手上直到下车!

4、冬天尽量不要把手机放到外衣口袋,否则失窃时很难查觉!

5、在车上尽量不要睡觉!

6、如果在车上失窃,切勿惊慌!立即借用同车乘客的手机拨打自己的手机以确认位置!还有就是请司机报警,或将车开到公交公安分局!

还有就是有案例表明也有卑鄙的骗子假装失窃借了手机夺路而逃的!所以好事不能不做,但是遇到此情景可以帮其拨打,最好不要交到其手上!

7、遇陌生人借手机千万留个心眼,假如说这人还对你说这信号不好要换个地方打,千万千万要注意咯

良好手机使用习惯

1、手机一定要设置pin码,最好设置稍微复杂的字母数字组成的pin码,不推荐使用图形解锁

2、android手机一定要开启文件系统加密,如果手机支持远程定位、擦出,也推荐开启

3、云平台、iCloud密码强度要足够强,最好设置与其他账号都不相同的密码

4、如果有网站提示输入云平台、iCloud密码,请务必确认是合法的官方网站,并确认当前网络环境是否安全(不要在公共wifi网络下输入)


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
技术 光能 * *
#1楼
发帖时间:2016-9-18   |   查看数:0   |   回复数:3
gary
雪绒花LV22


学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

我一个朋友手机也丢了,也是类似这种情况,发了很多钓鱼网站过来,能请您也帮忙也入侵一下他们的钓鱼网站吗?看多少钱,合理的话我朋友都要出

gary上厕所玩电脑不小心入侵了美国白宫官网,被FBI发现罚款4金币。网络就像罂粟,美丽如媚,危险如恶!

2016-9-18 #2楼
gary
雪绒花LV22


学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

iCloud 定位提醒:您丢失的iPhone6S设备正联网刷机,GPS已成功定位,请及时登录 www.aple.icouid.me/id 查看精确位置信息并找回设备.【Apple】

来自Apple的通知
用户您好!您设置为丢失模式的iphone设备在官网申请解锁,非本人操作请登录拦截:
www.Apple.com.8-4-1.pw 选择右上角"拒绝激活",留下您的联系方式我们会及时与您取得联系。如果您没有操作“拒绝选项”系统将在24小时默认激活。
【Find My iPhone】

这是他们发的几个钓鱼网站

2016-9-18 #3楼
jjyyjjyy
天堂鸟LV23


学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

他们认为他们的数据比你手机重要,要不也不会给你送回来的,我个人认为。

2016-9-18 #4楼
游客组
快速回复