Фишеры icloud и где они обитают. Часть 2
Life-Hack [Жизнь-Взлом]/ХакингПрошел год
*звук пения птиц в лесу*
Прошло два года
Второе пришествие началось, когда у моего друга — Киберпанка, произошла такая же история.
Все по классической схеме. Кража, блокировка, фишинг на домен (в этот раз был icloud.at), который редиректит на саму панель с доменом www.icloud.com.fmistatus.info.
Позже тот хост погас и пришла СМС, которая ведет на apple-find.ru
А так как уязвимости в этой панели мне уже были известны, фишинг был успешно взломан в короткие сроки. Администратором его был некий kolya2017zaza@gmail.com с паролем Zaza2015, что, кагбе, намекает, я Коля Заза, и “мой пароль не менялся с 2015 года”.
Но в интернете нет ни единого упоминания этого аккаунта:
Your search - "kolya2017zaza" - did not match any documents.
Взгрустнулось.
Изучаем базу дальше. Вспоминаем про настройки, в дампе БД это таблица options.
Находим там отправку уведомлений с адреса ivan89776593244@yandex.ru
Отлично, значит отправляются данные с сервера Яндекса. Идем туда:
Я испугался, что двухфакторка. Но нет.
Догадываешься, что нужно ввести, чтобы попасть внутрь?
После успешного входа видим, что у нас есть оповещения от нескольких сервисов. Ух ты, а Ванька-то москвич! Интересно, коренной?
Видим одно отправленное письмо.
По общению понятно, что москвич не коренной. Но не суть.
Проверяем Zadarma (это сервис аренды виртуальных номеров) — заблокирован. Проверяем Skype — заблокирован.
Зачем эти сервисы?
Если фишинг не сработал, они звонят под видом сотрудника сервисного центра (а может и не под видом). Говорят, что какой-то подозрительный тип принес мобилку, скоро ее нужно будет отдать, пытаются заговорить зубы (переключите язык на английский) и все к тому, чтобы ты нажал на удаление телефона из функции пропажи.
Идем в Яндекс Деньги.
Видим: IP адрес во всех операциях принадлежит Megafon, покупки сервисов Zadarma, четырех доменов, два пополнения телефонов:
+7 977 6593244
+7 916 1168710
Яндекс деньги пополнялись через аккаунт в QIWI. Используем телефон “Ивана” и известный пароль. Он подходит и тут. Ведь как известно, стабильность — признак мастерства.
Выясняем, что кошелек QIWI пополнялся как с помощью номера +7 977 8667146 (еще один одноразовый номер), так и с помощью терминала. На самом деле там номеров больше, мне просто лень искать их в логе (а я его сохранил, если кому-то ну очень интересно, пните меня).
А сейчас я покажу небольшой трюк по OSINT в QIWI. Каждый терминал имеет свой уникальный идентификатор. Если перейти в детали платежа и посмотреть json, то вместе с разными идентификаторами будет параметр account — это именно он!
Но что с ним делать, не бегать же по всей Москве в поисках номера терминала? У Qiwi есть приятная опция для таких случаев — карта терминалов.
Ходим по карте, смотрим на прилетающие идентификаторы и понимаем, что терминал стоит на рынке Царицыно.
А еще, зная номер терминала, дату и код операции, можно проверить платеж с помощью этих данных на страничке проверки чека.
“И что же случилось дальше?” — спросишь ты.
А я отвечу — ничего.
Куча левых телефонов, левые имена, и рынок в Царицыно.
Но чтобы не было скучно, я решил продолжать ломать фейки. А заодно и смотреть, все ли такие же аккуратные, как КоляВова, который пытался увести у друга аккаунт.
Человек человеку — волк
Несколько раз мне попадался email volkbaku@mail.ru на доменах findfindiphone.com и findphonefmi.com
Я, воспользовавшись методом дедукции, предположил, что этот человек вряд ли мексиканец или итальянец.
Пароли у него попадались Pass12340@ и Orxan1313@.
Логин гуглится на GSM форуме, больше интересного вроде нет.
А по почте можно посмотреть соцсеточку MailRu
Clean icloud unlocking service, говорит он. А имени нет! Ну, храни свои секретики.
Смотрим его email в других соцсетях, например из утечки БД у vk.
И вот оно что! ID в вконтактике — id105140112, также находим facebook — necefliorxan. Instagram @orhkan13 указан на странице.
В пароле был логин из инстаграма, заметил?
Чувак из Азербайджана, живет в Москве. Master in programmer, говорит в facebook.
В общем, успешный успех.
Passwordman
В другом случае попался домен icloud.com-maps-id.com, админский аккаунт find48store@yandex.ru
Поиск по почте не дал ничего интересного.
А вот пароль… Пароль у админа панели vasif548! Вглядись в пароль — совсем другое дело!
Люди забывают, что фингерпринтом пользователя может быть не только какой-то идентификатор типа логина или электронной почты. Им может быть и пароль!
У тебя может быть множество логинов, но если ты используешь один пароль — тебя можно легко раскусить. А если ты используешь пароль из собственного логина — ну извините. Мог бы хотя бы скопировать логин в качестве пароля два раза, как это делаю я!
Этот чувак зарегался на большем количестве форумов.
Но вот незадача — больше данных я не вижу. Но ты заметил, что этот фишер и волк-из-Баку сидели на одном форуме? Пробуем логопас волка и…
Последняя активность в 2016, наверняка у него есть vk. На всякий случай изучил друзей Волка, но ничего.
Думаю, а не замутить ли социалочку? Напишу, мол, дай свой актуальный контакт. Вдруг вообще один посоветовал форум другому?
Составляем письмо:
Нет, что-то не так. Редактируем письмо следующим образом и засылаем:
Ждем.
Проходит неделя, а ответа все нет. И тут я понял, что допустил досадную ошибку. Я вновь стал изучать профили vasif548 и наткнулся на то, что на сайте 4pda у него был указан vk!
Готовимся лицезреть, открываем ссылку https://vk.com/id277815372
Но все что попало в интернет — остается в интернете. Страница с таким id была некого Васифа Бахышова, о чем говорит сервис vkfaces (https://vkfaces.com/vk/user/id402895773)
Смотрим на указанную дату рождения, ищем в других соцсетях. Находим одного Васифа в ok.ru (570202078321). В фотографиях видим объявления о разблокировках телефона.
Бум! Савеловский рынок, Павильон 45
Продолжение следует…