记一次针对鹅厂的盗号追踪——盗号,朋友,以及妹子的故事

2020-10-05 16:18淼一销毁
21

一. 说明

本文是我的一次有趣的追踪经历,写出来,作为一个盗号追踪案例,供大家参考学习,同时也有让大家重新反思低端诈骗的攻击性,和非网络安全从业者对网络诈骗的警惕性的作用。

PS:本文仅用于技术研究与讨论,严禁用于非法用途,违者后果自负

二. 附加背景与说明

就在几个星期前,鹅厂貌似爆出了在线文档那么一个漏洞。

我自己也收到了在线文档,好像是点了会有密码泄露,引起了我的兴趣。

而前几天我的一个朋友和就刚刚又有一个朋友被盗了号,所以我打算写写对盗号的追踪案例。

注意,因为文章是我在事情结束后分4个晚上写的,所以截屏的时间逻辑是对不上的,但绝对是我最近真事。同时,为了文章简短,我有部分追踪的内容没写出来,所以在追踪逻辑小细节有点小问题和部分没说明,初投稿,请见谅!

三. 发现的开始

就在几天前,我看到我的QQ空间里有朋友抱怨的自己号被盗掉了。


1.png

2.png


然后我就闻到了可能是越权漏洞的香气(一般不会有漏洞),并主动向他要那个二维码。


3.png


可惜他在找回自己账号后,把所有信息都删了。


4.png


我就让他先检查一下自己的安全设备,看看有没有不熟悉的。


5.png


6.png


因为我们关系比较好,所以他打算把号给我,要求我对他进行正义的审判


7.png


在他给我密码时,我有点惊讶的,发现他的密码是弱口令,当然,也许是因为他临时用这个密码的原因。

经典的名字加123456

四. 登录朋友账号

8.png


登录他的账号后,我就开始查他的账号最近有哪些ip登陆过

然后大威天龙,不对,我第一眼发现了赣州的ip


9.png


还有个湖南的,所以我就在想,这是不是攻击者的VPN或者其他ip伪装手法。


2.png


当然,为了确定,我问他最近有没有去过外地,他回答没有。


3.png


然后我就一直把朋友的账号登陆记录往上翻。

我发现赣州的登录最早出在19号,(因为腾讯是只保留七天的记录了,所以再往前查不到了。)

出现在19号下午4:24。


4.png


5.png


我就问他19号那天干什么去了?

他说,中午去了趟网吧,4:00就下机了。

4点24绝对不是他登的

此时我怀疑是网吧的问题,有人安装了记忆键盘,或者对电脑有过手脚,但就算攻击者拿到了密码,也是无法登陆的。需要验证码或者手机令牌。

中间我也问过他那个互联业务是什么?他说忘了。


6.png


7.png


没办法,只能回到检查其他ip,与寻找二维码。

当然,此时我们也不是只干了一件事。

我在登他号之前,我就让他重新去添加那个攻击者的账号。(虽然不容易成功,而且攻击者就算会同意,也会先登下我朋友的号看看有没有陷阱,所以我没有在账号安全删攻击者的设备,让他更好登陆)


8.png


五. 逐渐清醒

为了寻找到二维码,我开始翻这个账号的加好友记录。


9.png


成功加到一个妹子

她说她也是受害者,但作为被坑过的我,保留了30%,她可能就是攻击者的可能性。


12.png


这是她的朋友被诈骗的一部分聊天记录

13.png

14.png

15.png

17.png


虽然很烂的骗法,但她的朋友有人被骗了300多。

不过我朋友的账号的好友也有机灵的,你们看看


18.png


跟她聊了一下下后,她也是说扫了二维码,点了辅助好友认证,号就被盗了的。

我便让她为我提供那个二维码。

不过因为这是她的小号,而不是扫了那个二维码的大号,所以她也给不出来。


19.png


我让她再仔细想想,然后我趁她思考的这个时间,重新检查了下这个账号的登录记录。发现就在刚刚有赣州登陆的记录。


20.png


攻击者上线了?来确认情况?


21.png


真刺激!(注意,这里号,并不是一直都在我手上的,我让我朋友登回去,查一下本地聊天记录的。)


22.png


我激动不已地把这个好消息告诉了我的朋友。


23.png


结果你猜我朋友怎么回答?


24.png

25.png


也就说他用的流量对接的ip是赣州的

这是我心中有数不清的口吐芳香,但我的脑子开始逐渐清醒了。


1.png


我重新思考一下这件事。
第一,我觉得他在19号就被攻击这件事是错的。
第二,赣州号可能不是攻击者的ip
其次,黑客真正攻击他的时间应该就只是他扫二维码的那一天。
所以我把火力对准他被盗号的那一天,检查每一个在24号登陆的记录,我相信在那一天是绝对能找到真正的攻击者的ip登陆记录,因为那天他必须得登录这个账号来改密码。

经过仔细的排查,果不其然,我成功排查出了攻击者的记录


2.png


并且确定了只有这个ip头,是攻击者的,而且我们也可以看出这个攻击者是有点不严谨的,因为他一直使用同一个ip

重点是他的手机比我好


11.png

3.png


4.png


六. 妹子的情况

搞清登录记录的问题后,妹子发了个图片


5.png


我问她要这个二维码,她说搞不到,这截图是其他受害者的

接着又发了这个


6.png


当然到后面凌晨4点时的情况是这样的


7.png


你们觉得可能?绝对白给。 (注意妹子的头像是她自己换的,这段聊天是我自己的账号)

回到前面妹子与王八蛋刚聊完的时间,之后我就开始听她抱怨攻击者多么可恶,

因为她是小妹妹,我是单身狗,所以我就爱听她抱怨,你管我


1.png


好在这妹子后面搞到了二维码,我不用多追踪一天


2.png


这个二维码不是腾讯官方的,所以有经验的老司机一看就知道是钓鱼网站,妹子肯定填了自己的密码
不过这个可不是钓鱼网站,准确说是钓鱼页面

扫描后是一个知名的问卷类的网站,被坏人用来干这事了(所以我对二维码简单涂鸦,保留下该网站的面子)


3.png


我朋友和这妹子还有其他受害者都填了自己的号和密码


4.png


还有账号安全保护的问题


5.png


6.png


到这里,我朋友都还没意识到自己干了什么
而那个妹子压根就没开安全保护

七. 追踪的结束

简单讲下骗法,就是攻击者先在网上收集A的足够信息,再用一个B号伪装成A的小号(比如头像,名称,名字等),去骗A的好友C,说自己大号被盗,给了些图片作证据,要求C帮忙好友辅助验证,进了个钓鱼页面,输了自己账号密码,又自己用自己手机发了令牌给腾讯中心(也正因为是用自己手机这点,受害者才没察觉有危险,这是腾讯要反思的地方),然后攻击者就成功登上了账号,开始诈骗好友,并故技重施盗了下一个不小心的人的号

在搞清这些后,我告诉了我朋友真相,他便猛男羞愧(他可曾是班长哦,在班上读学校发的网络安全宣传红纸)


7.png


妹子也在第二天要回了账号,


8.png


并有意外收获(貌似是攻击者与别的黑产的交易账号,我没细查,建议你们不要乱扫)


9.png


13.png


接着我就给刚拿回账号的小妹妹发了这个


14.png


剩下的就是警察叔叔们的事了

备注,后面小妹妹还主动想当我小弟哦(发个图来虾仁猪心)


1.png


(当然这里的牛逼是我给她看了其它的工作的图片)

吾辈楷模!


2.png


八. 反思

对于我来说,应当学会的是,在追踪ip时,要先弄清那些显示外地的ip号是否可能是本人的IP(比如本人开了vpn,或手机上有对应的软件),以避免追踪方向错误,造成目标不清,白费力气。

对于提供问卷类功能的厂商来说,要学会对提交的问卷设计过滤程序,起码在输任何密码的时候,提醒下用户要确认,以避免成为犯罪分子的帮凶。

对于网络安全从业者来说,要明白,非网络安全从业者对危险的察觉力是很弱的,对待他们要有耐心(下面的那位也是个生动的说明),同时也要明白,非网络安全从业者对自己是如何受害的描述是很乱的,在与他们交流时,要有自己的判断,否则受害者的描述会带偏你的(你们是不知道,听我朋友和小妹妹的描述真让我有一刻以为是新的越权漏洞《捂脸》,包括下面的被盗号的朋友的描述,也是离谱)

九. 又一个倒霉蛋

这是更近发生的盗号案例,也是我的一个盆友

我简单写下

你们先看他是怎么讲自己被盗的


3.png


这是我直接问他的


11.png


22.png


最后就是一钓鱼邮件的钓鱼网站,点开链接,就是扒了套源码


5.png


6.png


之前问他的时候还讲没输过


7.png


8.png


这个相册就是上面那个邮件,你进了钓鱼页面后,账号密码输奥里给都行,之后就会跳到一个真的有同学和学校照片以及生日卡一样的东西,也真因为这样,被害人才察觉不到。

这是攻击者盗号后的骗术


9.png

10.png

昵称:
内容:
提交评论