黑吃黑:盗号交易论坛Ogusers被黑客入侵后整站上传 – 作者:黑鸟

6399aff6a3de61ddd5e19ef361893814

事件简单来说,就是盗号狗的Ogusers论坛被数据狗的raidforums论坛的人入侵了,然后被传到了raidforums论坛上。

8f43d0803d3fbb3da142024ff5d2f6a6

“在2019年5月12日,论坛ogusers.com遭到入侵,并且导致112,988名用户受到影响,”来自RaidForums管理员Omnipotent的消息读到。

“我已将此数据库漏洞的数据及其网站源文件上传。他们的哈希算法默认是加盐MD5令我感到惊讶,无论如何网站所有者已承认数据被窃取而不是泄露出来的,所以我想我是第一个告诉你真相的人。

根据他的说法,他最近没有任何备份,所以我想我会在这个帖子上提供一个。“

OGUSERS的官方说明

aed603a26a6c568efb77a45942e3ac1c

该数据库似乎在注册时保留了大约113,000个用户的用户名,电子邮件地址,哈希密码,私人消息和IP地址(尽管这些昵称中有许多可能是同一个人使用的不同的别名)。

OGuser数据库的曝光令社区中的许多人感到惊讶,因为该论坛,作为吸引参与劫持电话号码,并接管受害者的社交媒体,电子邮件和金融账户,然后转售的方法而臭名远扬。

OGusers上的几个主题很快被充满了焦虑用户的反应,他们担心被违规行为暴露。

一些人抱怨他们已经收到针对其OGusers帐户和电子邮件地址的网络钓鱼电子邮件。 

9018781eb200f7f3273b815f8b0d3136

与此同时,OGusers的官方Discord聊天频道充斥着对黑客的抱怨。成员向主论坛管理员发泄愤怒,声称他在黑客攻击后改变了论坛功能,以防止用户删除他们的帐户。

89cd0824217732342bc76e201ffac352

幸灾乐祸

但愿这个库能抓到这群王八蛋。

话说,为什么我会说OGUSERS是一个盗号狗的天堂呢?

娓娓道来

OGUSERS表面上是一个买卖社交媒体和游戏账号的论坛,然而实际上交易的那些账号往往是通过“SIM卡劫持”盗取的。


通过SIM卡劫持,黑客盗用目标对象的手机号码,然后进行密码重置一一接管受害者的各种账号。正如一名深受其害的受害者所感悟的,手机号码是我们的数字生活中最薄弱的一环。

SIM卡劫持是一个引导电信供应商的过程,比如T-Mobile将被攻击目标的电话号码转移到了攻击者所持有的SIM卡上。

一旦黑客收到电话号码,他们就可以用来重置受害者的密码并侵入他们的账户,这其中就包括了加密货币交易所的账户。

664428e1194ddf2b58d989dc78adb603

实际上,他更像是一种帐户接管欺诈,通常针对双因素身份验证和两步验证的弱点,其中第二因素或步骤是SMS或拨打移动电话的呼叫。

基本通过社工手段,忽悠客服,利用客户丢失或手机被盗为理由,从而使移动电话运营商将电话号码无缝移植到新SIM卡。

像这样的攻击现在很普遍,网络犯罪分子利用它们不仅窃取凭证并捕获通过短信发送的OTP(一次性密码),而且还对受害者造成财务损失。

如果有人窃取了您的电话号码,您将面临很多问题,特别是因为我们的大多数现代双因素身份验证系统都基于可以使用此技术拦截的SMS。

犯罪分子可以通过密码重置发送到您的手机逐个劫持您的帐户。

2102ae3e91fd898bc3aeceff5e664a4c

而在黑市,类似OGUSERS论坛上,被盗取的社交媒体或游戏账号有专门的市场。

那些精简独特的用户名售价大约在5百美金到5千美金不等。几位劫持了Instagram账号@t的黑客声称,该账号最近的成交价为相当于4万美金的比特币。

T-Mobile向用户群发短信,提醒用户提防某个“全行业的”威胁。公司声称,有更多犯罪分子正在通过“电话号码转移诈骗”手法盗取个人电话号码。这种诈骗也被称作SIM卡劫持或SIM卡调换,手法简单粗暴却极其有效。

首先,犯罪分子会伪装成受害者拨打手机运营商的客服电话。

他们声称自己刚刚丢失了SIM卡,要求电话公司把电话号转移到事先准备好的另一张SIM卡上。此时犯罪分子只需向电话公司提供社会安全号码或家庭地址(可能犯罪分子早在几年前就悄悄截取了这些信息),即可获取客服人员的信任,达到他们的目的。

“只要拿到了电话号,你就可以获得他们所有的账号,而受害人毫无招架之力。”从事SIM卡劫持的黑客如是说。

    

3d36e7ce82526618a073d6a528b3660d

在电话号被劫持后收到的短信

一旦犯罪分子入手了电话号,用户的手机就会显示电话服务中断,因为同一个电话号无法有数张SIM卡同时连接到电话网络。黑客即可重设受害者的账号密码,双重验证在此时也不管用,因为犯罪分子已经掌握了电话号码。

曾经的黑客CosmoTheGod Eric Taylor就曾在他的著名案件中采用了这种手段,例如2012年他入侵CloudFlare CEO的邮箱帐号一案。如今Taylor已在安全公司Path Networ任职。他告诉我们,把电话号绑定上任何网上账号都是作死:“随便一个十几岁的小孩都能打个电话给运营商拿到你的电话号,然后盗你的号。这种事一直有。”

“任何类型的电话号码都可以被转移。有资源的犯罪分子完全可以暂时骗取一个电话号,这点时间就足够他们彻底掌握这个电话号。”

如果你的自行车被盗,那你应该上Craiglist看看是不是被人在黑市上出售了。

如果你的Instagram账号通过SIM交换被盗,那你应该上OGUSERS看看。

乍一看,OGUSERS似乎只不过是个普通的论坛。上面有“其他/搞笑”和其他栏目,用户在讨论隐约、娱乐、动漫、游戏等各种话题。

但最大最活跃的板块其实是社交媒体和游戏账号的交易市场,交易价有时高达几千美金。

在最近一个帖子中,有人以2万美金的高价出手了Instagram账号@Bitcoin。还有一个帖子上,有人挂了Instagram的@eternity账号,价格为1千美金。

这只不过是OGUSERS上社交媒体账号黑市的冰山一角。

这个在2017年4月成立的论坛原本就是为了让人们出售和购买“OG”用户名。

OG为“Original Gangster ”的缩写,意为“真正的社会人”。

社交媒体上的OG则就是指少见的用户名,例如@Sex、@Eternity或者@Rainbow这种独特的词,或是@t或@ty.Celebrities这种极短的用户名。
    

8ad85683bd4128ec6a57786618a3402a

    Selena Gomez Instagram账号被劫持后的截屏。

去年8月,Selena Gomez的Instagram 账号曾经被盗,黑客还发了一张Justin Bieber的裸照。Gomez的帐号的名字也被改成了Islah,与OGUSERS上某位用户的帐号明相同。

根据一些混迹OGUSERS的黑客,那些号称自己盗了Selena Gomez Instagram账号的黑客自称是劫持了某位单身女明星Instagram关联的电话号,盗取时该帐号还有1.25亿粉丝。

“牛逼,他们真的黑了全 Instagram粉丝数量最多的人。”一位OGUSERS用户在题为“SELENA GOMEZ一路走好”的评论中说到。

截至近日,OGUSERS上注册用户数量已经超过11万2千,帖子数量多达40多亿,每日活跃用户量超过5千。

该网站禁止用户讨论SIM卡劫持相关话题。如果有人提到了这个词,其他人立刻会发表“我绝不纵容任何非法行为”等言论。


然而管理员Ace和Thug声称,SIM卡劫持是OGUSERS用户盗取用户名的常用手段。

想要通过SIM卡劫持盗取用户名,黑客就必须先知道该帐号的关联电话号码。而事实证明,想要挖出电话号码似乎并没有人们想象的那么难。

去年,有些黑客在在网上出售名为Doxagram的服务,只要你付钱他们就可以帮你找出某个Instagram账号关联的邮箱或电话号。

值得一提的是,Doxagram刚刚诞生时正是在 OGUSERS上推广的。托那群爱炫耀的黑客的福,只要你去暗网里查查即可查到不少社会安全号码,这些信息早就在网上了。

Ace说他已经不干卖用户名的活了。Thug则说他和其他人还会通过T-Mobile内部工具查找用户数据,进行SIM卡劫持。在谈话中,黑客还给展示了他们用该工具时的截屏。
    

c9ec78842bf95e1d82baba2e2cf89392

Thug在聊天中的截图

出于实验目的,作者给Thug发了他自己的电话号。Thug 立刻给他发了一张截屏,上面有他的家庭住址、他在运营商的用户号码以及其他应该是隐私的账户信息。Thug甚至还查到了他为了保护个人帐号给T-Mobile发的指示。

  
曾经,一位网络安全研究人员发现他可以利用T-Mobile网页的漏洞获取类似方面的隐私信息。

在补上该漏洞之后,T-Mobile打压了对该漏洞的大众舆论,声称目前还没有人利用过该漏洞。

但事实上, 这种事情已经发生过很多次了。

YouTube上早在公司采取措施的几周前就有人上传了教程,教你如何通过该安全漏洞获取人们的隐私信息。

Thug声称,过去几年来,各家运营商都在不断提高像他这种黑客入侵的难度。“

最早是只要你打电话给运营商,告诉他们你想给这个电话号码换个SIM卡就可以了。

现在你得有内部人脉,只要你给100美金他们就会给你PIN码。”Thug说到。
(黑鸟:tm的100美金就卖了????)

根据Thug和Ace的说法,不少黑客现在都在找T-Mobile以及其他运营商的客服人员,以80到100美金的价格贿赂他们协助SIM卡劫持。

Thug声称他们就是靠贿赂内部人员拿到了T-Mobile内部工具的访问权

当然T-Mobile拒绝回答公司是否有内部人员参与SIM卡劫持诈骗的证据。

“有了内部人员的协助,事情就好办多了。”Thug说到。

找到内部人员并非难事,Ace补充道。“说服他们帮你做事并不难。”他说到。

最近安全公司Flashpoint的调查显示,有越来越多的犯罪分子通过运营商内部人员协助进行SIM卡劫持诈骗。前FTC首席技术师Lorrie Cranor表示,她找到多项证据都显示有内部人员参与其中。

SIM卡劫持鼻祖、如今的安全研究人员Taylor则说,他自己就认识和实体店工作人员有关系的黑客。

安全相关记者Brian Kerbs近日报道的一起案件中,T-Mobile实体店员工以盗取Instagram账号为目的进行了未经授权的SIM卡转移。

当然了,SIM卡转移并不是OGUSERS掌握账号的唯一手段。


另一种手法比SIM卡劫持道德一些,黑客会利用程序在账号放出的第一时间自动注册。

但盗取手机号虽然有效,技术上的实现难度却比其他作案手法大。据Ace和Thug估测,大约只有50名OGUSERS用户有这方面的人脉关系和技术工具。

在谈话中,作者还问Thug和Ace是否对入侵他人的网上账号、虚拟货币钱包或银行帐号感到过自责。

 “不好意思,我问心无愧。我拿他们的钱,过自己的日子。他们没能保障自己的安全,那是他们的责任。”

Thug还强调,尤其在劫持社交媒体账号一事中,黑客其实并没有对受害者造成什么实际损失。“不过就是个用户名,甚至没有丢钱。就是个破名字而已。”

日益严重的问题 无论这些犯罪分子是否出售了受害者的Instagram用户名,他们都能从中获取巨额利润。

“这是一种暴利手段。如果你知道怎么劫持SIM卡,那你真的能发财。”在Recorded Future研究SIM卡劫持非法商业的安全研究员Andrei Barysevich说到。

就在去年,虚拟现实公司IRL VR创始人Cody Brown在短短15分钟内失去了价值8千美金以上的比特币。

黑客掌握了他的手机号,然后利用该号码入侵了他的电子邮件,随后掌握了他的Coinbase账号。

Brown并不是唯一一位受害者;事实上类似案件是如此之多,以至于为一些大型虚拟货币交易平台提供双重认证的应用Authy不得不提醒用户提防SIM卡劫持诈骗,并为了阻止黑客增加了其他安全保护功能。

对于这些案例,我只能说,尽量较少自己个人信息外漏,避免被黑客用来当作筹码进行社工客服,才能更好的保护自我。

所幸的是,我们中国的运营商还是很负责任的,相比美国来说不知道好到哪里去了,外国的月亮真的一点都不圆。

请扫码关注本公众号

63570fa458eb3194994c4c79647d5f16

来源:freebuf.com 2019-05-21 12:03:31 by: 黑鸟

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论