安全矩阵

 找回密码
 立即注册
搜索
查看: 5310|回复: 0

记一次针对鹅厂的盗号追踪——盗号,朋友,以及妹子的...

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-11-23 17:22:40 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2020-11-23 17:24 编辑

原文链接:记一次针对鹅厂的盗号追踪——盗号,朋友,以及妹子的故事

一. 说明
本文是我的一次有趣的追踪经历,写出来,作为一个盗号追踪案例,供大家参考学习,同时也有让大家重新反思低端诈骗的攻击性,和非网络安全从业者对网络诈骗的警惕性的作用。
PS:本文仅用于技术研究与讨论,严禁用于非法用途,违者后果自负
二. 附加背景与说明

就在几个星期前,鹅厂貌似爆出了在线文档那么一个漏洞。
我自己也收到了在线文档,好像是点了会有密码泄露,引起了我的兴趣。
而前几天我的一个朋友和就刚刚又有一个朋友被盗了号,所以我打算写写对盗号的追踪案例。
注意,因为文章是我在事情结束后分4个晚上写的,所以截屏的时间逻辑是对不上的,但绝对是我最近真事。同时,为了文章简短,我有部分追踪的内容没写出来,所以在追踪逻辑小细节有点小问题和部分没说明,初投稿,请见谅!

三. 发现的开始
就在几天前,我看到我的QQ空间里有朋友抱怨的自己号被盗掉了。


然后我就闻到了可能是越权漏洞的香气(一般不会有漏洞),并主动向他要那个二维码。

可惜他在找回自己账号后,把所有信息都删了。

我就让他先检查一下自己的安全设备,看看有没有不熟悉的。


因为我们关系比较好,所以他打算把号给我,要求我对他进行正义的审判

在他给我密码时,我有点惊讶的,发现他的密码是弱口令,当然,也许是因为他临时用这个密码的原因。
经典的名字加123456

四. 登录朋友账号

登录他的账号后,我就开始查他的账号最近有哪些ip登陆过
然后大威天龙,不对,我第一眼发现了赣州的ip

还有个湖南的,所以我就在想,这是不是攻击者的VPN或者其他ip伪装手法。

当然,为了确定,我问他最近有没有去过外地,他回答没有。

然后我就一直把朋友的账号登陆记录往上翻。
我发现赣州的登录最早出在19号,(因为腾讯是只保留七天的记录了,所以再往前查不到了。)
出现在19号下午4:24。


我就问他19号那天干什么去了?
他说,中午去了趟网吧,4:00就下机了。
4点24绝对不是他登的
此时我怀疑是网吧的问题,有人安装了记忆键盘,或者对电脑有过手脚,但就算攻击者拿到了密码,也是无法登陆的。需要验证码或者手机令牌。
中间我也问过他那个互联业务是什么?他说忘了。


没办法,只能回到检查其他ip,与寻找二维码。
当然,此时我们也不是只干了一件事。
我在登他号之前,我就让他重新去添加那个攻击者的账号。(虽然不容易成功,而且攻击者就算会同意,也会先登下我朋友的号看看有没有陷阱,所以我没有在账号安全删攻击者的设备,让他更好登陆)



五. 逐渐清醒

为了寻找到二维码,我开始翻这个账号的加好友记录。

成功加到一个妹子
她说她也是受害者,但作为被坑过的我,保留了30%,她可能就是攻击者的可能性。

这是她的朋友被诈骗的一部分聊天记录




虽然很烂的骗法,但她的朋友有人被骗了300多。
不过我朋友的账号的好友也有机灵的,你们看看

跟她聊了一下下后,她也是说扫了二维码,点了辅助好友认证,号就被盗了的。
我便让她为我提供那个二维码。
不过因为这是她的小号,而不是扫了那个二维码的大号,所以她也给不出来。

我让她再仔细想想,然后我趁她思考的这个时间,重新检查了下这个账号的登录记录。发现就在刚刚有赣州登陆的记录。

攻击者上线了?来确认情况?

真刺激!(注意,这里号,并不是一直都在我手上的,我让我朋友登回去,查一下本地聊天记录的。)

我激动不已地把这个好消息告诉了我的朋友。

结果你猜我朋友怎么回答?


也就说他用的流量对接的ip是赣州的
这是我心中有数不清的口吐芳香,但我的脑子开始逐渐清醒了。

我重新思考一下这件事。
第一,我觉得他在19号就被攻击这件事是错的。
第二,赣州号可能不是攻击者的ip
其次,黑客真正攻击他的时间应该就只是他扫二维码的那一天。
所以我把火力对准他被盗号的那一天,检查每一个在24号登陆的记录,我相信在那一天是绝对能找到真正的攻击者的ip登陆记录,因为那天他必须得登录这个账号来改密码。
经过仔细的排查,果不其然,我成功排查出了攻击者的记录

并且确定了只有这个ip头,是攻击者的,而且我们也可以看出这个攻击者是有点不严谨的,因为他一直使用同一个ip
重点是他的手机比我好




六. 妹子的情况
搞清登录记录的问题后,妹子发了个图片

我问她要这个二维码,她说搞不到,这截图是其他受害者的
接着又发了这个
​当然到后面凌晨4点时的情况是这样的

你们觉得可能?绝对白给。(注意妹子的头像是她自己换的,这段聊天是我自己的账号)
回到前面妹子与王八蛋刚聊完的时间,之后我就开始听她抱怨攻击者多么可恶,
因为她是小妹妹,我是单身狗,所以我就爱听她抱怨,你管我

好在这妹子后面搞到了二维码,我不用多追踪一天

这个二维码不是腾讯官方的,所以有经验的老司机一看就知道是钓鱼网站,妹子肯定填了自己的密码
不过这个可不是钓鱼网站,准确说是钓鱼页面
扫描后是一个知名的问卷类的网站,被坏人用来干这事了(所以我对二维码简单涂鸦,保留下该网站的面子)

我朋友和这妹子还有其他受害者都填了自己的号和密码

还有账号安全保护的问题


到这里,我朋友都还没意识到自己干了什么
而那个妹子压根就没开安全保护

七. 追踪的结束

简单讲下骗法,就是攻击者先在网上收集A的足够信息,再用一个B号伪装成A的小号(比如头像,名称,名字等),去骗A的好友C,说自己大号被盗,给了些图片作证据,要求C帮忙好友辅助验证,进了个钓鱼页面,输了自己账号密码,又自己用自己手机发了令牌给腾讯中心(也正因为是用自己手机这点,受害者才没察觉有危险,这是腾讯要反思的地方),然后攻击者就成功登上了账号,开始诈骗好友,并故技重施盗了下一个不小心的人的号
在搞清这些后,我告诉了我朋友真相,他便猛男羞愧(他可曾是班长哦,在班上读学校发的网络安全宣传红纸)

妹子也在第二天要回了账号,

并有意外收获(貌似是攻击者与别的黑产的交易账号,我没细查,建议你们不要乱扫)


接着我就给刚拿回账号的小妹妹发了这个

剩下的就是警察叔叔们的事了
备注,后面小妹妹还主动想当我小弟哦(发个图来虾仁猪心)

(当然这里的牛逼是我给她看了其它的工作的图片)
吾辈楷模!


八. 反思
对于我来说,应当学会的是,在追踪ip时,要先弄清那些显示外地的ip号是否可能是本人的IP(比如本人开了vpn,或手机上有对应的软件),以避免追踪方向错误,造成目标不清,白费力气。
对于提供问卷类功能的厂商来说,要学会对提交的问卷设计过滤程序,起码在输任何密码的时候,提醒下用户要确认,以避免成为犯罪分子的帮凶。
对于网络安全从业者来说,要明白,非网络安全从业者对危险的察觉力是很弱的,对待他们要有耐心(下面的那位也是个生动的说明),同时也要明白,非网络安全从业者对自己是如何受害的描述是很乱的,在与他们交流时,要有自己的判断,否则受害者的描述会带偏你的(你们是不知道,听我朋友和小妹妹的描述真让我有一刻以为是新的越权漏洞《捂脸》,包括下面的被盗号的朋友的描述,也是离谱)

九. 又一个倒霉蛋
这是更近发生的盗号案例,也是我的一个盆友
我简单写下
你们先看他是怎么讲自己被盗的

这是我直接问他的


最后就是一钓鱼邮件的钓鱼网站,点开链接,就是扒了套源码


之前问他的时候还讲没输过



这个相册就是上面那个邮件,你进了钓鱼页面后,账号密码输奥里给都行,之后就会跳到一个真的有同学和学校照片以及生日卡一样的东西,也真因为这样,被害人才察觉不到。
这是攻击者盗号后的骗术





回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 17:23 , Processed in 0.018840 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表