Фишеры icloud и где они обитают. Часть 3

#Обучение

Шло время, количество фейков не уменьшалось, кого-то было трудно найти, кто-то регистрировался на свою почту.

Чуваки с фреймворком Laravel явно не умеют его готовить. Можно было бы рассказать про создание сессии администратора через утекший APP_KEY. Или про выполнение произвольного кода с использованием десериализации. Но это и формат не тот, и пароль от базы подходил к паролю от панели, поэтому не время для лишних выкрутасов.

У некоторых помогал вызов ошибки или получение доступа к логам, так как часто администратор панели указывал свой ник на хостинге, который ставился в путь к веб-приложению (/var/www/h4cker/icloud/). Другие, после того, как устанавливали панель явно тестировали ее работоспособность на себе. Руки не дошли еще проверить все дампы баз и посмотреть.

Почему я выкладываю только данные администраторов? Потому что от баз жертв нет никакого смысла, им и так досталось, а тут еще их данные попадут в сеть.

Прошло где-то полгода после того, как был упущен злодей, с которым столкнулся мой друг.

Напомню, что “КоляВаня” был на домене

www.icloud.com.fmips.ru

И в этот момент мне попался на глаза следующий домен

www.icloud.com.fmistatus.info

У первого был IP адрес:

 93.170.123.118

У нового IP адрес:

 93.170.123.102

Используем дедукцию, и понимаем, что это скорее всего один хостинг. Ну, я сначала не посчитал это подозрительным, бывает, что чисто случайно несколько человек используют мелкого и никому неизвестного хостера (в датацентре MAROSNET). А еще точнее — непубличного, который игнорирует жалобы.

Email админа странный: soz112233soz@gmail.com

Но больше всего смутил пароль Qaqa2015.

Похож на предыдущий Zaza2015?

Вот и я так подумал.

Чекаем почту — подходит!

Отлично. Изучаем почтовик.

Два отправителя писем: ExpressVPN и TXTDAT.

Смотрим VPN:

Забавно, он потерял свой доступ к VPN. С кем не бывает?

Вспоминаем, что Google хранит историю поиска и местоположения.

Перемещения отсутствуют, а вот поиск сохранился:

Хорошо, видим что он посещал:

iunlocker.net sms-api.online

На тот момент использовал VPN?

Смотрим ниже:

Смотрим подробности, google говорит, что он из Москвы. Лексика похожа на предыдущего админа, которого мы упустили полгода назад. Пока все совпадает.

Смотрим в письмо TXTDAT, видим, что указанный логин: Lostoff.

Под этим именем можно найти сервис взлома почт, разблокировку айфонов, возможно из-за того, что это достаточно популярный логин.

Восстанавливаем пароль, проходим в TXTDAT.

Немного о нем: это сервис отправки СМС с подменой отправителя. Я попытался на нем зарегистрироваться, но нужно ждать подтверждение администратора. В интернете о нем особо никто не говорит. Видимо, это закрытый сервис “только для своих”.

Офигеваем, что всего один человек в пике может рассылать более сотни смс в день. Заходим в настройки аккаунта, видим номер.

Эх, очередной номер-однодневка. Или нет…

Добавляю в контакты в telegram:

Lostoff! Не соврал.

Доначу в telegram-бота @get_kontakt_bot и пробиваю номер там.

Зейнал Мамедов! Известный как “программист Зейнал”, “Зейнал баба” и “Зейнал Царицино К163”

Находим по этому номеру объявления:

Царицыно, что совпадает с первыми зацепками.

Пробив телефона по инстаграму через сервис nuga.app дал аж целых два контакта:

@zeynal.official, с именем Zeynal Mamedov, который уже удален.

и

 @lidermobile38, отдел на радиокомплексе Южный (ещё один радиорынок?).

После этой истории, на конференции ZeroNights была создана закрытая инициативная группа (аж 66 человек, на момент публикации) по взлому фейков. Ну как инициативная, видим фейк — пытаемся взломать, базу жертв отправляем владельцам оригинального сайта (для смены паролей и прочей деятельности). Но ты и сам можешь это попробовать.

С чего начать? 

Как искать фейки?

К сожалению и домены не живут долго, но всегда появляются новые. 

Я использовал несколько подходов. 

Первый, и самый банальный, это мониторинг соцсетей. 

Вводим в соцсеточках разные вариации поисковых запросов вида “украли iphone смс”, получаем выдачу из пострадавших. Как с грустными историями, что у них помимо телефона вывели деньги из банка, так и с просто недовольствами.

Но нам важны ссылки, поэтому списываем их с скриншотов. Если не стесняетесь, можно написать жертвам и лично попросить ссылку.

Способ два. Если домен попал в поле зрения различных роботов, попытаться найти их. 

На помощь приходят несколько сервисов: 

google.com 

Офигенный сайт, сам постоянно пользуюсь. Достаточно написать intitle:»iCloud cannot find that page», чтобы ловить те фейки, у которых на главной странице 404 ошибка icloud.

Можно уточнить поиск по определенному сайту, например site:cutestat.com

Они позволяют найти хосты, на которых крутились такие же сайты. Используем Title страницы, как и в предыдущем варианте.

urlscan.io

Офигенный сервис. Он позволяет искать, например, похожие ссылки. Это сразу дает множество свежих доменов на движке Phoenix (ну или на других).

iPanel Pro (и ему подобные) редиректят с главной страницы на оригинальный icloud.com, поэтому можно отследить редиректы. 

Третий способ — мониторинг в реальном времени.

Есть классный скрипт от x0rz: phishing_catcher, он позволяет наблюдать за выпущенными сертификатами. Но так как нам интересен только icloud, смотрим на домены. Выбираем ключевые слова и доменные зоны. 

Я оставил только такие ключевые слова:

# Apple iCloud 'appleid': 70 'icloud': 60 'iforgot': 60 'itunes': 50 'apple': 40 'iphone': 30 'findmy': 30 'findme': 30 'location': 30 'applecare': 30 'fmf': 20 'fmi': 20

Запустив скрипт, ставим на мониторинг, а потом смотрим выдачу. Что это популярный рынок можно судить о том, что в день регистрируют около 10 доменов.

Четвертый, и последний способ на сегодня, это поиск уже не по сертификатам, а по зарегистрированным доменам. В этом нам поможет dnspedia.

Я думаю, ты догадаешься как искать домены более чем за 7 дней.

Подытожим 

• Если мошенник доверяет мошеннику, то один пользуется другим. Наличие лазеек в зашифрованных файлах, отправка паролей автору панели, централизация всех фейков (каждый фейк сообщает где он находится) — говорит о многом. Вор у вора дубинку украл.
• Фишеры могут использовать личные email адреса для своих грязных делишек.
• Фишеры могут спалиться на том, что используют свои ники в качестве паролей
• Даже если ты вложил много сил и времени в анонимность — покупая симки, регистрируя одноразовые email’ы, используя VPN, закидывая деньги через цепочку платежных систем и левых телефонов — всегда есть вероятность, что ты ошибешься. А не ошибается тот, кто ничего не делает. 

Как говорил какой-то умный чувак, стоит человеку, который защищается, один раз ошибиться — его взломают. Но стоит взломщику ошибиться один раз — его найдут. 

Домены, данные администраторов и исходники я выложил на форуме xss.is и буду добавлять, если найду еще времени на эту активность. На этом мои полномочия — всё.

Источник