🤚🏽 ⛈️ 👴🏿 Icloud网络钓鱼者及其居住地 👀 🖱️ 🍕

注意！尽管我花了十几个小时来撰写本文，但您仍然可以参与其中。

如果您的手发痒-尝试掌握此文本。

这个故事更像是一本漫画书，因为它包含50多个图像，因此，如果您使用的是移动设备，则故事会更准确。而且-152-FZ最有可能在此被违反，因此如果将其删除，我也不会感到惊讶，因此阅读速度更快。这个故事没有尽头，但是它有一个开始...

它始于2017年，当时“ 信息危险 ” 频道在帖子中发布了以下内容：

我很好奇这是什么假货？什么样的引擎，它的工作方式以及网络钓鱼者的先进程度（好吧，您不必介意，也许还是免费/廉价vps上的php脚本，如1732年所示）？

事实证明，事实是：分散的php脚本，管理面板，假模板。
研究了此主机后，漏洞使我进入了管理面板，然后执行任意代码。结果-我可以访问数据库，日志，当然也可以访问源。哦，是的，我负责信息安全（最重要的事情）。

事实证明，这推动了对数十种相同资源的研究，并引发了您现在正在阅读的故事。

发生了什么？电话从受害者那里被盗了。如果是Android，那么通常可以立即将其作为一个独立的产品出售：拔出SIM卡，rutanul，并且已经在Avito上了。但这有一些细微差别：例如登录密码，引导加载程序被阻止-但这是一个完全不同的故事。

但是对于iPhone，它已经变得更加复杂，因为包含密码是最常见的条件。所有者可以通过留下联系电话来阻止该设备。喜欢，迷路了，请回报。拍摄并闪烁它不起作用，因此对于零件（iPhone的成本损失了数倍）或遭受损失。

但是，随着保护技术的发展，欺诈总是在发展，因此，窃贼的方法是将网络钓鱼发送到受害者的联系电话。那又怎样方便。受害人自己留下联系人，您只需要介绍自己为Apple，然后强迫用户从icloud输入数据即可进入用户。

尽管此类网络钓鱼在2017年有所增加，但该服务的第一张屏幕截图还是在2015年。

最初，他们将其发送到了lcloud.com之类的美丽域名（不要与icloud混淆），但是当他们意识到自己已被关闭时，他们开始变得更轻松。在漂亮的域上，可以使用重定向服务建立短链接。关闭此类邮件比较困难-他们没有发布任何非法邮件。只是一个短链接服务，其名称类似于apple或icloud。

完成后，您将看到一种自适应形式的身份验证，其加载速度甚至比icloud.com还要快。或者，可能会立即发出卡本身，以引起您的兴趣，并发出进一步的身份验证请求。

只是不要说是你那么聪明，并且您不会被引导到这一点。当您丢失一件昂贵的东西时，有机会发现它，您可能会在震惊的状态下产生愚蠢感。但是在这里，以及如何幸运地使用该域：例如，眼睛会注视可疑的地方，或者可能与原始域无法区分，例如，就像这个家伙使用Punycode 所做的那样。

您说：“双重身份验证”。好吧，是的，只有网络钓鱼者早已学会了如何显示两因素输入形式（想想另一个PHP脚本）。

他们访问icloud后会做什么？最好的情况是，他们解开电话。在最坏的情况下，它们会阻塞所有其他Apple设备（因为您也可以将笔记本电脑放在某个地方，因此该功能存在）。只有在这种情况下，您才能改变方向，在您喜欢的带有存根的笔记本电脑上会出现骗子和要解锁的联系人。而且已经有了共识：)

顺便说一句，卡巴斯基实验室的一名员工以这种方式“挤压”了电话。关于受害者的故事的文章故事。但是，如果您仍然不喜欢网络钓鱼，那么您将继续通过通话进行社交。但是稍后会更多。

国际盗贼SaaS

所以，这是一种什么样的厌恶。

实际上，有很多系统，其中一个是在Laravel引擎上安装的，另一个是AppleKit，MagicApp，Phantom，Phoenix，iPanel Pro和更多原始手艺。他们所有人都将用大麻切碎并互相叉，与徽标更好的人竞争。而且有趣的是，继承别人的代码，他们继承了别人的漏洞和后门。

为了以防万一，请确保可以在本文中阅读并修复发现的错误，在此我不会举一些例子。有人怀疑至少凤凰城面板的创作者会用俄语准确地理解。

但作为奖励-我将发布源代码。作者有源代码！您将自己看到错误（和后门）。

一旦花花公子意识到盗贼本身并没有在IT部门里闲逛，那么举起伪造的短信发送短信是不可能的。而且由于所有道路都是通过电话通向主人的（还有谁可以出售备件？），他还可以帮助客户解锁手机，或者通过低价购买被盗的iPhone来提高价格，并为此做了一些努力。

赚全部。租用服务的费用为$ 150-350（每月），他们会向您提供安装说明，您购买域，订购驱动器，然后系统将完成其余工作。然后，您以$ 100-150的价格出售此“解锁”商品。

在西部，iPanel在独联体国家-凤凰城更受欢迎。

从网络钓鱼管理员的角度看：

管理员可以调整设置，例如，在Telegram（没有它的情况下）成功解耦或收到通知以及所有这些内容之后，发送电子邮件。

添加订单时，您需要指定哪个电话和IMEI。另外，他可以写一封订单的注释。

通常，您会看到诸如Jack Wazap或Kolya Lysy之类的东西，但有些有趣。如您所知，电话根本不需要物理存在，因此正在Internet上推广该服务，您可以远程使用它。

SMS将提供语言本身。

您还可以从以下选项中选择网络钓鱼设计的类型：

一切都是自适应的，在手机和台式机上看起来都不错。有时页面的数量和类型会有所不同，但变化不大。

每个人进入管理面板的方式都不同。但这是一种欺骗性的感觉，因为大多数情况下这些都是Phoenix或iPanel Pro的前叉，并且内部的界面是相同的，只是徽标和颜色有时会更改。

后门

我是说他们离开后门吗？哦，是的

。iPanel通常很有趣！一探究竟。

IPanel具有自动安装。由于该系统旨在通过控制面板（例如cpanel）安装在主机上，因此您需要为其指定一个徽标。在安装过程中，您将具有DBMS的默认密码：ipanel@789

如果您以登录名或密码的形式发送链接并收听端口，我们将看到它如何敲响我们，

23 Jan [14:35:48] from 149.154.161.4 HTTP: / [] (TelegramBot (like TwitterBot)) euConsent=true; BCPermissionLevel=PERSONAL; BC_GDPR=11111; fhCookieConsent=true; gdpr-source=GB; gdpr_consent=YES; beget=begetok

这表明用户名和密码已经流到了购物车中的某人。但是很方便！

后门存在的另一个证明可以是留下一丝错误的日志：

让我们看看那里有什么。 Ereg_replace和eval？我的朋友，您有RCE（但不准确）！

为什么没有人看到？使用ioncube混淆了代码。和小组有牌照检查，没有支付-垃圾家伙。事实证明，面板所有者将混淆的代码提供给所有人，他们敲响了他的服务器（如果是phoenix，则为ph-phoenix.com），他可以随时闯入该服务器。好吧，自大）

但是我并没有感到困惑，而是部分地削减了代码（我花了多达10美元）。

合并源，进行数据库转储。但是这一切都被忘记了好几年了。

一年过去了

*鸟儿在森林里唱歌的声音*

两年过去了

当我的朋友赛博朋克也有同样的故事时，第二次来临。

全部按照经典方案。盗窃，阻断，网络钓鱼在域上（此时是icloud.at），其重定向到面板本身与域www.icloud.com.fmistatus.info。

后来，该主机变为空白，并且出现了一条短信，导致了apple-find.ru。

并且由于我已经知道此面板中的漏洞，因此在很短的时间内成功破解了网络钓鱼。他的管理员是某个kolya2017zaza@gmail.com，密码为Zaza2015，该字符暗示我是Kolya Zaza，“我的密码自2015年以来没有更改”。
但是在Internet上，没有一个帐户提及此帐户：

Your search - "kolya2017zaza" - did not match any documents.

悲伤。

我们将进一步研究该基础。我们调用设置；在数据库转储中，这是选项表。

我们在那找到从地址ivan89776593244@yandex.ru发送的通知

，然后从Yandex服务器发送数据。我们去了那里：

我担心有两个因素。但不是。

猜猜要进入里面需要输入什么？

成功登录后，我们看到来自多个服务的警报。哇，Vanka是白云母！有趣的土著？

我们看到一封寄来的信。

通过交流，很明显白云母不是激进分子。但不是重点。

我们检查了Zadarma（这是用于租用虚拟号码的服务）-已被阻止。正在检查Skype-已阻止。

这些服务有什么用？

如果网络钓鱼无效，他们会以服务中心员工的名义（或可能不是以该名义）致电。他们说有些可疑的类型带来了手机，他们将需要尽快将其赠予，他们正试图说出自己的牙齿（将语言切换为英语），这一切都可以让您单击从丢失功能中删除手机的操作。

我们去看Yandex Money。

我们看到：所有业务的IP地址均属于Megafon，购买Zadarma服务，四个域，两个电话充值： Yandex的资金是通过Qiwi的一个帐户补充的。我们使用电话“ Ivan”和著名的密码。他适合这里。众所周知，稳定毕竟是精通的标志。

+7 977 6593244
+7 916 1168710

我们发现，使用+7 977 8667146（另一个一次性号码）和终端对Qiwi钱包进行了补充。实际上，那里还有更多的数字，我懒得在日志中寻找它们（我保存了它，如果有人很感兴趣，那就踢我吧）。

现在，我将在QIWI中展示一些OSINT技巧。每个终端都有自己的唯一标识符。如果您进入付款详细信息并看到json，那么连同不同的标识符一起，将有一个帐户参数-就是这样！

但是如何处理它，而不是在整个莫斯科寻找终点站号码呢？ Qiwi对于这种情况有一个不错的选择- 终端地图。

我们在地图上行走，查看到达的标识符，并且了解该终端在Tsaritsyno市场上。

而且，知道终端号码，日期和交易代码后，您可以使用支票验证页面上的这些数据来验证付款。

“接下来发生了什么？” - 你问。
我会回答-什么也没有。
一堆左电话，左名字和Tsaritsyno市场。

但是为了不感到无聊，我决定继续打破假货。但是同时，看看是否一切都像试图窃取朋友帐户的KolyaVova一样整洁。

人与人之间是狼

几次我

使用推论方法在域findfindiphone.com和findphonefmi.com上遇到了电子邮件volkbaku@mail.ru，我暗示这个人不太可能是墨西哥人或意大利人。

密码通过Pass12340 @和Orxan1313 @。

登录是GSM论坛上的google，似乎没有更多有趣的地方了。他说，

通过邮件您可以看到社交网络mailru

Clean icloud解锁服务。但是没有名字！好吧，保守秘密。
我们在其他社交网络中查看他的电子邮件，例如，从vk中的数据库泄漏中查看。
在这里！联系人ID为id105140112，我们还找到Facebook-necefliorxan。页面上列出了Instagram @ orhkan13。

密码是instagram的登录名，注意到了吗？

来自阿塞拜疆的杜德住在莫斯科。编程大师，在Facebook上讲话。

总的来说，成功成功。

密码员

在另一种情况下，遇到了icloud.com-maps-id.com域，管理员帐户Mail find48store@yandex.ru

Search没有提供任何有趣的信息。

但是密码...密码在管理面板上vasif548！查看密码是完全不同的事情！

人们忘记了用户的指纹不仅可以是某种标识符，例如登录名或电子邮件。可能是密码！

您可以有许多登录名，但是如果您使用一个密码，则可以轻松地找出来。而且，如果您使用自己的登录密码-很抱歉。至少可以像我一样两次复制登录名作为密码！

这个家伙已经登录了更多论坛。

但这真是不走运-我看不到更多数据。但是您是否注意到这位渔民和来自巴库的狼坐在同一个论坛上？我们尝试狼的项圈和...

2016年的最后一次活动，很可能他有vk。为了以防万一，我研究了沃尔夫的朋友，但没有做任何事情。

我认为，但是有可能引起社会上的小女孩吗？他们说，我会写信给我您当前的联系方式。突然之间，一个人通常建议该论坛去另一个人？

我们写了一封信：

不，出了点问题。我们将信件编辑如下并

发送：我们正在等待。

一个星期过去了，但是没有答案。然后我意识到我犯了一个不幸的错误。我再次开始研究vasif548档案，偶然发现他的vk在w3bsit3-dns.com上列出了！

准备看一下，打开链接vk.com/id277815372

但是，Internet上的所有内容仍保留在Internet上。正如vkfaces服务所说（https://vkfaces.com/vk/user/id402895773），具有此ID的页面是某个Vasif Bakhyshov。

我们查看指定的出生日期，并查看其他社交网络。我们在ok.ru（570202078321）中找到了一个Vasif。在照片中，我们看到有关解锁手机的公告。
繁荣！Savelovsky市场，展馆45

我和费雪球

时间过去了，假货的数量没有减少，很难找到有人，有人注册了他们的邮件。

带有Laravel框架的Dudes显然不知道如何烹饪。有人可以谈论通过泄漏的APP_KEY创建管理员会话。或关于使用反序列化执行任意代码。但是这种格式是不一样的，数据库中的密码接近面板中的密码，因此这不是额外的技巧。

对于某些人来说，调用错误或获得对日志的访问有所帮助，因为面板管理员经常在主机上指出他的昵称，该昵称被放在Web应用程序的路径中（/ var / www / h4cker / icloud /）。其他人在安装面板后，会清楚地测试其性能。还没有动手检查所有数据库转储并查看。

为什么只上传管理数据？因为受害人的基地毫无意义，所以他们无论如何都知道了，然后他们的数据就会进入网络。

自从我的朋友遇到的小人失踪以来，已经过去了大约六个月。

让我提醒您，KolyaVanya处于一个域

www.icloud.com.fmips.ru

上，此刻，以下域引起了我的注意

www.icloud.com.fmistatus.info

：第一个域具有IP地址：
93.170.123.118

新IP地址：
93.170.123.102

我们使用推论，我们知道这很可能是一个托管主机。好吧，起初我没有发现这个可疑之处，只是偶然地有几个人使用了一个小的未知主机（在MAROSNET数据中心中）。更确切地说-非公开的，它忽略了抱怨。

管理员电子邮件很奇怪：soz112233soz@gmail.com

但是密码最混乱Qaqa2015。
看起来像上一个Zaza2015吗？
所以我是这样认为的。

我们检查邮件-合适！

精细。我们研究邮件。
两个发信人：ExpressVPN和TXTDAT。

我们看起来像VPN：

有趣，他失去了使用VPN的权限。发生在每个人身上吗？

回想一下，Google存储了搜索历史和位置。

没有动静，但搜索已保存：

嗯，我们看到他正在访问：当时您使用VPN吗？我们看下面：哦，你这个小流氓！忘记登录了？我们看一下细节，谷歌说他来自莫斯科。该词汇表类似于我们六个月前错过的上一个管理员。到目前为止，一切都是一样的。

iunlocker.net
sms-api.online

我们查看TXTDAT字母，我们看到指定的登录名：Lostoff。

在此名称下，您可以找到黑客入侵邮件，解锁iPhone的服务，这可能是由于这是一种相当流行的登录名。

我们恢复了密码，请转到TXTDAT。

一点有关：这是一个带有发件人欺骗的SMS发送服务。我试图在上面注册，但是我需要等待管理员的确认。互联网上没有人谈论他。显然，这是一项封闭式服务，“仅供自己使用”。

Ofigeev认为，高峰期只有一个人每天可以发送一百条以上的SMS。我们进入帐户设置，查看号码。

哦，另一天的房间。还是不...

用电报添加联系人：

失落！我没说谎

首先，在电报bot @get_kontakt_bot中，然后在其中输入号码。

Zeynal Mammadov！被称为“程序员Zeynal”，“ Zeynal baba”和“ Zeynal Tsaritsino K163”的

广告编号：

我们查看的位置：

Tsaritsyno，与第一个线索相吻合。

通过nuga.app服务通过instagram断开电话后，他给了多达两个联系人：

@ zeynal.official，名字叫Zeynal Mamedov，该名字已经被删除。
和
@ lidermobile38，这是南尤（Yuzhny）广播中心（另一个广播市场？）的部门。

讲完这个故事后，在ZeroNights会议上成立了一个封闭的主动小组（在出版时多达66人），目的是窃取假货。好吧，作为一项举措，我们看到了一个假冒产品-我们正试图破解，我们将受害者数据库发送给原始站点的所有者（用于更改密码和其他活动）。但是您自己可以尝试。

从哪里开始？

如何寻找假货？

不幸的是，域名寿命不长，但总是会出现新域名。

我使用了几种方法。

首先，也是最常见的是监视社交网络。

我们在社交网络中介绍了“偷iphone短信”形式的不同搜索查询，我们从受害者那里得到了结果。就像悲伤的故事一样，他们除了电话之外，还从银行提取了钱，而且只是不满。

但是链接对我们很重要，因此我们从屏幕截图中将其注销。如果您不害羞，可以写信给受害者，并亲自要求提供链接。

方式二。如果该域已进入各种机器人的视野，请尝试查找它们。

多种服务可

助您一臂之力：google.com

很棒的网站，我总是自己使用。编写标题就足够了：“ iCloud无法找到该页面”以捕获那些在主页404上出现icloud错误的假货。
您可以在特定站点上优化搜索，例如site:cutestat.com

censys.io / shodan.io / publicwww.com，

它们使您可以找到在同一站点上旋转的主机。与上一版本一样，我们使用页面标题。

urlscan.io很棒的
服务。例如，它允许您搜索相关链接。这立即为您提供了Phoenix引擎（或其他引擎）上的许多新鲜域。

iPanel Pro（和类似的产品）将从主页重定向到原始icloud.com，因此您可以跟踪重定向。

第三路-实时监控。

x0rz提供了一个很酷的脚本：phishing_catcher，它允许您监视已颁发的证书。但是，由于我们只对icloud感兴趣，因此我们关注领域。我们选择关键字和域区域。

我只留下了这样的关键字：启动脚本后，将其放在监视中，然后查看输出。可以通过每天大约注册10个域名来判断这是一个受欢迎的市场。今天的第四种也是最后一种方法是不按证书搜索，而是按注册域名搜索。Dnspedia将为此提供帮助。我想您会猜测如何在7天内搜索域。

# Apple iCloud
'appleid': 70
'icloud': 60
'iforgot': 60
'itunes': 50
'apple': 40
'iphone': 30
'findmy': 30
'findme': 30
'location': 30
'applecare': 30
'fmf': 20
'fmi': 20

总结一下

, . , , ( ) — . .
email .
,
— , email’, VPN, — , . , .

就像一些聪明的家伙所说的那样，一个捍卫自己的人一旦犯了一个错误就会付出代价-他们会破解他的。但是，如果饼干一次被误认为，他们将找到他。

我在xss.is论坛上发布了域，管理员数据和源代码，如果我有更多时间参加此活动，将添加它们。在此，我的权力是一切。

感谢kaimi，crlf和其他帅哥的帮助，yarbabin的酷徽标。
这和其他博客文章。

Icloud网络钓鱼者及其居住地