大好,我是田浩。
2020年5月14日,我刚注册公众号没多久,有个叫方子的男生发私信给我。
说英雄联盟准备出手游,但内测资格一直没公开,有骗子利用这个机会,伪造官方给用户发送带有钓鱼链接的邮件来盗号。
方子就是其中一个受害者,除了他,我也去了英雄联盟的贴吧看了下,确实有很多人收到了这类邮件。
由于反馈这事的人比较多,加上我平常也玩LOL,所以整理了下线索,开整。
1
目前一共有两条线索。
1.钓鱼邮件:j6****j9@***zol.com
2.钓鱼网站:www.iku****.cn
首先是发送钓鱼网站的邮箱,从后缀来看是个,个人域名邮箱——也就不是我们平常用的那种QQ,网易,新浪邮箱
域名的主体我查了下,是一家叫【XX在线】的公司。
而网上提供临时邮箱的平台恰好也都是这类域名邮箱。
虽然我不知道这家公司是怎么回事,但正常的黑产从业者是不可能直接用真实信息的,所以暂且归纳到假信息处理。
第二条线索是钓鱼网站,这个域名我同样去查了下注册人信息,叫冯某。
这儿你们就得记笔记了啊——凡是涉及到网络犯罪的域名,几乎全都是用别人身份实名的。
而这个钓鱼网站是1:1高仿的,打开后会弹出登录框,输入密码后自动跳转到真正的LOL官网上。
此时,你的密码则自动上传到钓鱼网站的后台当中。
我在登录框盲打了一波XSS脚本,发现居然有过滤机制。
XSS中文叫【跨站脚本攻击】,它是很普遍的一种网站漏洞,攻击者通过嵌入XSS脚本到网站中,用户访问后会触发到脚本,你也可以比喻成它是个捕兽夹。
既然存在过滤,那我转移方向——开始扫描这个网站的目录,找到一个叫rufeng的路径,访问进去发现是后台的登录地址。
由于后台登录没有验证码防御机制,我用了一波常见的弱口令字典跑了一遍,以失败告终。
期间我又尝试SQL注入,但都未能如愿
最后在换个字典扫描网站的备份文件的时候,找出一个压缩包,里面有个数据库文件夹,查看里面的内容,一个username和pasword分别对应的意思是账号和密码。
我推测这可能是盗号者忘记删掉备份文件,也可能是他懒得删,毕竟网站后台的开发者信息他都没有删掉。
利用MD5解密这串字符,最终得到后台的账号为admin,密码如图所示。
5月15号,我进入后台,首先看了下数据,不多,大概就一百多条。
随后我查看后台的登陆日记,发现除了我的代理IP外还有一个广东IP在14号登陆过,但也不排除对方和我一样,用了代理IP的可能性。
这个后台很简单——只有数据查看和账号管理功能
我逛了一圈,没发现有能上传东西的地方,可能是开发者怕被人入侵后,拿shell?
但我无意中找到一个HTTP错误的页面,发现页面中显示物理路径,Web目录往上一个是英文+数字的组合(wl56***)根据多年的网站建设经验来看,这应该是FTP的用户名。
我反查了这个用户名,发现可能是个常用ID,因为有个贴吧账号也是叫这名儿。
这贴吧账号关注了一个叫钓鱼源码吧,这个B贴吧里面全是交流跟钓鱼网站有关的内容,不过截至我在发稿前,这贴吧已经被封掉。
还有一个叫转转钓鱼的贴吧也是一样,希望工作人员看到我这视频能处理一下。
除此以外再无任何发现,一时之间陷入了困境。
2
5月16号,思考了一天,我换了个思路,开始查询这个域名绑定的IP,并且继续查询该IP下的其他域名。
其中有两个访问是这样的页面。
那么,也就是说,这个钓鱼网站很有可能是用某某互联科技的主机搭建的。
通过FTP的用户名和钓鱼网站后台的密码配合,登录该互联科技的控制面板,居然成功的进去了。
在账户设置中找到了他填写的手机号以及一个QQ邮箱。
用手机号搜索支付宝,发现没有实名。
但这QQ号年龄有8年,所以我去了腾讯微博上搜索。
找到一个账号,点进去找出了他曾经留下的痕迹。
比如,他曾经做了多年前很火的名字测试,90后的都应该玩过。
又比如,他留下过曾经喜欢的女生名字,叫郭某。
并且还有一个最为关键的信息点——他的资料卡片上写着一个学校名字,通过搜索引擎结合手机号的归属地去查询,发现是一家初中学校,在哪个地方我就不说了,免得你们又玩地图炮。
最后进行一遍信息整理,在后面的挖掘中,我花了三天时间摸清了,这条黑色产业链的操作过程。
3
在这条盗号产业链中,他们的行话称为QQ信封号。
首先是【取信】
一组QQ号和密码叫一个信,一千个号码才能组成一个信封。
何XX负责盗号,然后把这些账号封装起来,出售给专门收信的人。
只要密码是正确的,不管能不能登上去,一个账号只值六毛到八毛左右。
收信人买来这些账号后,会进行【洗信】。
这是第二道程序,首先是利用工具去批量测试这一个信封的号码,看看有多少个被冻结或者密码错误。
最后将那些密码对的账号,进行游戏装备清洗,比如转走你的游戏装备,积分,游戏币,等等。
而那些没有游戏装备的账号,还有一个用途是发空间说说,为其他黑产引流量,其中占据色情内容的比较多。
何XX虽然负责盗号,但他其实只是一个【广告手】
广告手顾名思义就是发广告的,在他之上的人才是真正的盗号者。
一般会给广告手另开一个后台账户,或者给他一个域名,白天发广告,晚上后台看有多少人上当。
一百个账号有60-70个密码正确的,就按5毛钱一条算。
综合以上,其实我们的社会和黑色产业链的构成是一样的,处于底层的人抛头露面,而何XX实只是个工具人。
正如巫师所说,不用特别纠结这个字眼,天下熙熙谁又不是工具人呢
只是工具人能产生多少价值的问题,所以我没有再往下调查他。
520那天,我清空了钓鱼网站后台的数据,最后从百度云里翻出李志的歌,给自己点了一根烟,写下这篇稿子...
文由微信公众号:公孙田浩
蜀ICP备2021014542号
川公网安备 51118102000215号