记一次针对鹅厂的盗号追踪——盗号,朋友,以及妹子的故事 – 作者:老哥和学习额

一. 说明

本文是我的一次有趣的追踪经历,写出来,作为一个盗号追踪案例,供大家参考学习,同时也有让大家重新反思低端诈骗的攻击性,和非网络安全从业者对网络诈骗的警惕性的作用。

PS:本文仅用于技术研究与讨论,严禁用于非法用途,违者后果自负

二. 附加背景与说明

就在几个星期前,鹅厂貌似爆出了在线文档那么一个漏洞。

我自己也收到了在线文档,好像是点了会有密码泄露,引起了我的兴趣。

而前几天我的一个朋友和就刚刚又有一个朋友被盗了号,所以我打算写写对盗号的追踪案例。

注意,因为文章是我在事情结束后分4个晚上写的,所以截屏的时间逻辑是对不上的,但绝对是我最近真事。同时,为了文章简短,我有部分追踪的内容没写出来,所以在追踪逻辑小细节有点小问题和部分没说明,初投稿,请见谅!

三. 发现的开始

就在几天前,我看到我的QQ空间里有朋友抱怨的自己号被盗掉了。

1601658534_5f775ea68b393a8063c9b.png!small

1601751981_5f78cbad57557b48b1044.png!small

然后我就闻到了可能是越权漏洞的香气(一般不会有漏洞),并主动向他要那个二维码。

1601659231_5f77615f0a8268fcde8f0.png!small

可惜他在找回自己账号后,把所有信息都删了。

1601659327_5f7761bf3daa4c6e89ee2.png!small

我就让他先检查一下自己的安全设备,看看有没有不熟悉的。

1601659534_5f77628e9c2260df5ad93.png!small

1601659550_5f77629e4e6077f2405a1.png!small

因为我们关系比较好,所以他打算把号给我,要求我对他进行正义的审判

1601659900_5f7763fc3afaff20b5ba1.png!small

在他给我密码时,我有点惊讶的,发现他的密码是弱口令,当然,也许是因为他临时用这个密码的原因。

经典的名字加123456

四. 登录朋友账号

1601660250_5f77655a5d090659b01ad.png!small

登录他的账号后,我就开始查他的账号最近有哪些ip登陆过

然后大威天龙,不对,我第一眼发现了赣州的ip

1601660789_5f77677536de59c4dcd8d.png!small

还有个湖南的,所以我就在想,这是不是攻击者的VPN或者其他ip伪装手法。

1601660908_5f7767ecbbb077771fad3.png!small

当然,为了确定,我问他最近有没有去过外地,他回答没有。

1601661091_5f7768a343d2abbd9c0a1.png!small

然后我就一直把朋友的账号登陆记录往上翻。

我发现赣州的登录最早出在19号,(因为腾讯是只保留七天的记录了,所以再往前查不到了。)

出现在19号下午4:24。

1601661781_5f776b5506b3ef2dacef6.png!small

1601661629_5f776abdc172198a6d033.png!small

我就问他19号那天干什么去了?

他说,中午去了趟网吧,4:00就下机了。

4点24绝对不是他登的

此时我怀疑是网吧的问题,有人安装了记忆键盘,或者对电脑有过手脚,但就算攻击者拿到了密码,也是无法登陆的。需要验证码或者手机令牌。

中间我也问过他那个互联业务是什么?他说忘了。

1601661956_5f776c0495a2215016875.png!small

1601662041_5f776c597f8d9ae07d461.png!small

没办法,只能回到检查其他ip,与寻找二维码。

当然,此时我们也不是只干了一件事。

我在登他号之前,我就让他重新去添加那个攻击者的账号。(虽然不容易成功,而且攻击者就算会同意,也会先登下我朋友的号看看有没有陷阱,所以我没有在账号安全删攻击者的设备,让他更好登陆)

1601662778_5f776f3a9af180e7b33b5.png!small

五. 逐渐清醒

为了寻找到二维码,我开始翻这个账号的加好友记录。

1601663076_5f7770643ab76290aacfc.png!small

成功加到一个妹子

她说她也是受害者,但作为被坑过的我,保留了30%,她可能就是攻击者的可能性。

1601664021_5f7774157336df24cf267.png!small

这是她的朋友被诈骗的一部分聊天记录

1601664136_5f7774885d74ad8113fbd.png!small

1601664163_5f7774a3149ae239a7f55.png!small

1601664188_5f7774bcd92159eafa551.png!small

1601664197_5f7774c5a950b7221d97d.png!small

虽然很烂的骗法,但她的朋友有人被骗了300多。

不过我朋友的账号的好友也有机灵的,你们看看

1601664536_5f777618db2262d23f7e1.png!small

跟她聊了一下下后,她也是说扫了二维码,点了辅助好友认证,号就被盗了的。

我便让她为我提供那个二维码。

不过因为这是她的小号,而不是扫了那个二维码的大号,所以她也给不出来。

1601742317_5f78a5ed4963a07ff3903.png!small
我让她再仔细想想,然后我趁她思考的这个时间,重新检查了下这个账号的登录记录。发现就在刚刚有赣州登陆的记录。
1601742429_5f78a65d3553c6a68bc54.png!small
攻击者上线了?来确认情况?
1601742846_5f78a7fe40385f0a88f0e.png!small
真刺激!(注意,这里号,并不是一直都在我手上的,我让我朋友登回去,查一下本地聊天记录的。)
1601743100_5f78a8fc69bdd701019db.png!small
我激动不已地把这个好消息告诉了我的朋友。
1601743132_5f78a91c076e340242ed6.png!small
结果你猜我朋友怎么回答?
1601743557_5f78aac52dfe8e5ffdf69.png!small
1601743752_5f78ab8800257f1bfbc69.png!small
也就说他用的流量对接的ip是赣州的
这是我心中有数不清的口吐芳香,但我的脑子开始逐渐清醒了。
1601743894_5f78ac1628eb3ab22f0b9.png!small
我重新思考一下这件事。
第一,我觉得他在19号就被攻击这件事是错的。
第二,赣州号可能不是攻击者的ip
其次,黑客真正攻击他的时间应该就只是他扫二维码的那一天。
所以我把火力对准他被盗号的那一天,检查每一个在24号登陆的记录,我相信在那一天是绝对能找到真正的攻击者的ip登陆记录,因为那天他必须得登录这个账号来改密码。
经过仔细的排查,果不其然,我成功排查出了攻击者的记录
1601744355_5f78ade32b76a90d4c2da.png!small
并且确定了只有这个ip头,是攻击者的,而且我们也可以看出这个攻击者是有点不严谨的,因为他一直使用同一个ip
重点是他的手机比我好
1601744500_5f78ae747cce27e47c08e.png!small
1601744514_5f78ae821754388ca7039.png!small
1601744528_5f78ae9037b55c82d56b5.png!small

六. 妹子的情况

搞清登录记录的问题后,妹子发了个图片

1601745199_5f78b12fa35916c04ea2a.png!small

我问她要这个二维码,她说搞不到,这截图是其他受害者的
接着又发了这个
1601745417_5f78b2092ed71a74156c2.png!small当然到后面凌晨4点时的情况是这样的
1601745918_5f78b3fe40aa14402a794.png!small
你们觉得可能?绝对白给。 (注意妹子的头像是她自己换的,这段聊天是我自己的账号)
回到前面妹子与王八蛋刚聊完的时间,之后我就开始听她抱怨攻击者多么可恶,
因为她是小妹妹,我是单身狗,所以我就爱听她抱怨,你管我
1601746502_5f78b646b73e741505d96.png!small
好在这妹子后面搞到了二维码,我不用多追踪一天
1601746998_5f78b8365d34fc9acba07.png!small
这个二维码不是腾讯官方的,所以有经验的老司机一看就知道是钓鱼网站,妹子肯定填了自己的密码
不过这个可不是钓鱼网站,准确说是钓鱼页面
扫描后是一个知名的问卷类的网站,被坏人用来干这事了(所以我对二维码简单涂鸦,保留下该网站的面子)
1601747441_5f78b9f1205021607b53b.png!small
我朋友和这妹子还有其他受害者都填了自己的号和密码
1601747789_5f78bb4d824ec41c5ee6b.png!small
还有账号安全保护的问题
1601748091_5f78bc7bcab13dfdbdeb0.png!small
1601748121_5f78bc9983d37caf8e63c.png!small
到这里,我朋友都还没意识到自己干了什么
而那个妹子压根就没开安全保护

七. 追踪的结束

简单讲下骗法,就是攻击者先在网上收集A的足够信息,再用一个B号伪装成A的小号(比如头像,名称,名字等),去骗A的好友C,说自己大号被盗,给了些图片作证据,要求C帮忙好友辅助验证,进了个钓鱼页面,输了自己账号密码,又自己用自己手机发了令牌给腾讯中心(也正因为是用自己手机这点,受害者才没察觉有危险,这是腾讯要反思的地方),然后攻击者就成功登上了账号,开始诈骗好友,并故技重施盗了下一个不小心的人的号

在搞清这些后,我告诉了我朋友真相,他便猛男羞愧(他可曾是班长哦,在班上读学校发的网络安全宣传红纸)

1601748812_5f78bf4cd7322c66bab80.png!small

妹子也在第二天要回了账号,

1601748976_5f78bff0c7445ab725632.png!small

并有意外收获(貌似是攻击者与别的黑产的交易账号,我没细查,建议你们不要乱扫)

1601749210_5f78c0da35a640ac32462.png!small

1601749225_5f78c0e95de8104e4e940.png!small

接着我就给刚拿回账号的小妹妹发了这个

1601749479_5f78c1e75e93abacc6ece.png!small

剩下的就是警察叔叔们的事了

备注,后面小妹妹还主动想当我小弟哦(发个图来虾仁猪心)

1601836573_5f7a161d96a62c54e8c4f.png!small

(当然这里的牛逼是我给她看了其它的工作的图片)

吾辈楷模!

1601749618_5f78c272f0c442d75f055.png!small

八. 反思

对于我来说,应当学会的是,在追踪ip时,要先弄清那些显示外地的ip号是否可能是本人的IP(比如本人开了vpn,或手机上有对应的软件),以避免追踪方向错误,造成目标不清,白费力气。

对于提供问卷类功能的厂商来说,要学会对提交的问卷设计过滤程序,起码在输任何密码的时候,提醒下用户要确认,以避免成为犯罪分子的帮凶。

对于网络安全从业者来说,要明白,非网络安全从业者对危险的察觉力是很弱的,对待他们要有耐心(下面的那位也是个生动的说明),同时也要明白,非网络安全从业者对自己是如何受害的描述是很乱的,在与他们交流时,要有自己的判断,否则受害者的描述会带偏你的(你们是不知道,听我朋友和小妹妹的描述真让我有一刻以为是新的越权漏洞《捂脸》,包括下面的被盗号的朋友的描述,也是离谱)

九. 又一个倒霉蛋

这是更近发生的盗号案例,也是我的一个盆友

我简单写下

你们先看他是怎么讲自己被盗的

1601834143_5f7a0c9fc5b5e0f49d9dd.png!small

这是我直接问他的

1601834215_5f7a0ce7bc0347e4cea23.png!small

1601834467_5f7a0de3b5c65a9c2c0b2.png!small

最后就是一钓鱼邮件的钓鱼网站,点开链接,就是扒了套源码

1601834490_5f7a0dfa2bbea3a88ae7f.png!small

1601834509_5f7a0e0def53bd2de70f3.png!small

之前问他的时候还讲没输过

1601834593_5f7a0e6111e0c40d7c2a1.png!small

1601834803_5f7a0f332368d6bcc4fe2.png!small

这个相册就是上面那个邮件,你进了钓鱼页面后,账号密码输奥里给都行,之后就会跳到一个真的有同学和学校照片以及生日卡一样的东西,也真因为这样,被害人才察觉不到。

这是攻击者盗号后的骗术

1601835129_5f7a1079536cd9f67a8c2.png!small

1601835140_5f7a1084140071a1e4eab.png!small

来源:freebuf.com 2020-10-05 02:47:04 by: 老哥和学习额

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论