记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

物理盗窃与网络犯罪的完美结合:揭秘“盗窃并倒卖苹果设备”的非法交易链

2017-11-18 23:45

背景介绍

在去年5月份的一次事件调查中,趋势科技的研究人员注意到了一种针对苹果设备的作案手段,犯罪分子们利用相关工具和程序能够破解iCloud账户,进而解锁那些被盗的iPhone手机,堪称“物理盗窃与网络犯罪的完美结合”。之后研究人员继续对这种情况进行深入的观察和分析,

跟踪发现,事实上,全球范围内兜售被盗手机的市场相当可观,而且随着时间的推移,iCloud的欺诈行为也在不断扩大。从爱尔兰、英国扩展到印度、阿根廷、和美国及其他国家和地区,针对被盗手机的解锁服务的需求是惊人的:去年一年,在美国迈亚密国际机场一共被盗了23000部iPhone手机,价值670万美元。

事件分析

骗子的攻击流程相对比较简单:

  • 首先,通过电子邮件或短信的方式通知苹果手机被盗的受害者,告诉他们设备已经找到了,如果希望拿回手机,需要点击一个链接。对于急于寻回手机的受害者而言,很容易被诱骗点击这些精心设计的链接,事实上,这样做会危机他们的iCloud凭据,而iCloud凭据可以被用来解锁设备。
  • 然后窃贼会将解锁设备的流程转包给第三方iCloud网络钓鱼服务。苹果手机iCloud的钓鱼服务的操作者们拥有一整套的网络犯罪工具,其中包括MagicApp、Applekit 和 Find My iPhone (FMI.php)框架(自动iCloud解锁),目的是为了更为便利的在地下和灰色市场上转售这些设备。

工具的开发者通过他们的社交媒体和个人网站运营iCloud解锁业务,除此之外,他们还提供额外的转售服务和服务器出租服务(用于发送钓鱼邮件),客户群体遍及全球,包括意大利、法国、西班牙、美国、印度、沙特阿拉伯、巴西、印度和菲律宾。在社交媒体、在线广告和一些电子商务网站上都可以找到很多iCloud解锁应用程序和服务的推广信息。

分析案件的过程中,定位到了几个来自科索沃、菲律宾、印度和北非地区的诈骗分子。

在一个阿拉伯语的黑客论坛上,AppleKit的开发者具有很高的声誉。MagicApp o或AppleKit的客户并非一定需要使用钓鱼脚本,但由于这些开发者们对彼此的产品很了解,很多人倾向于使用“全套”,以确保具有更高的成功率。

利用网络钓鱼窃取iCloud凭据

诈骗者的作案手法如下图所示。一旦攻击者劫持了受害者的iCloud凭据,利用其他的工具可以接管这些iCloud帐户(还可以被利用来执行其他恶意活动),然后删除它。

图1:诈骗者的攻击链(流程示意图)

图2:GitHub上的一个虚假的Apple验证钓鱼脚本的项目(2017年3月21日)

这个开放的GitHub库上包含了一些用于创建iCloud钓鱼网页的源代码。钓鱼页面是在一个被犯罪分子们称为FMI.php (Find My iPhone framework) / Devjo类的基础上开发出来的,目前该组件还被前其他的一些钓鱼套件使用。这些相似的犯罪工具大多是效仿苹果的 “Find My iPhone ”应用程序接口(API)。

一旦用户在钓鱼页面输入他们的凭据,该FMI.php框架就会检索用户的iCloud信息(如手机号、密码长度、ID、GPS定位、设备是否被锁定,以及擦除命令是否正在进行等),此外,FMI.php框架在解锁设备后还可以将该设备从受害者的苹果账户中删除。一旦受害者成功被钓鱼,攻击者会受到邮件通知。

图3:诈骗者收到电子邮件通知,包含受害者的Apple ID和密码(示例)

这些网络钓鱼工具在社交媒体上进行了积极的宣传和推广,其中包括一些如何使用它们的完整教程。关于这些工具的功能,描述如下:

  • 向攻击者发送电子邮件通知,其中包括受害者的IP、HTTP referral、浏览器用户代理等。
  • 访问受害者的iCloud账户,获得设备信息,解锁设备或者从受害者帐户中删除设备。
  • 反爬行和AV扫描的功能,维护了一套IP白名单

AppleKit: iCloud诈骗作为一种服务(iCloud Fraud as a Service

除了钓鱼工具外,诈骗者还使用其他的服务以便于发展自己的业务,其中一个是AppleKit,它包括一个被劫持设备的Web面板,支持苹果iPhone、iPad、Mac及Apple Watch,还会定期增加新的功能。

图4:AppleKit的控制面板

MagicApp:自动化的iCloud欺诈工具

MagicApp能够自动化的解锁iPhone设备,还会与其他的攻击向量结合共同执行某些攻击目标。MagicApp没有得到苹果官方应用商店(APP Store)的批准,可以运行在越狱的苹果设备,可以在在GitHub上免费获取到,如下图所示:

图5:MagicApp代码在GitHub上的快照

MagicApp能够提供解锁被盗设备的全套功能,包括发送钓鱼邮件或短信,文本信息支持自定义,允许诈骗者根据自己的本地语言定制发送的文本消息;也可以发送一个假的GPS位置欺骗受害者使他们相信丢失的手机已经被找到了。MagicApp甚至为每个苹果设备定制了50套钓鱼模版。

MagicApp的开发者与一个域名为iUnlocker[.]net的服务商合作,后者提供服务来检查iCloud上的设备状态以及所使用的电信运营商的状态。如果IMEIs被锁定,iUnlocker还能提供解锁服务。

图6:使用iUnlocker检查设备的IMEI的代码片段(示例)

物理安全和网络安全应齐头并进

正如互联网的发展深刻的影响了信息访问方式和企业的运作模式一样,它也逐渐模糊了犯罪的边界。从犯罪分子的层面来看,他们已经将传统的犯罪活动和在线网络犯罪工具进行了融合,如本文所讲述的案例这样。

去年九月份,网络犯罪分子利用搜集到的iCloud凭据,滥用苹果的“找到我的设备”服务,批量的锁定了这些设备,并向受害用户进行勒索,而且即使支付了赎金,用户也面临设备可能被重置或数据被清除的威胁。

对于用户而言,可以采取以下防御措施:

  • 物理防护,不容忽视;
  • 在iCloud帐户上启用双因素身份验证,并设置或启用设备的安全功能;
  • 定期备份你的数据,以减轻损失的影响;
  • 及时报告设备的损失或盗窃情况,防止诈骗者利用它们;
  • 提高针对各类钓鱼攻击的防范意识,尤其注意来源不明或可疑的电子邮件或短信,在要求您输入iCloud和Apple ID凭据时,尤其要谨慎;
  • 在工作场所强制执行健壮的安全策略,特别是当设备用于存储和管理敏感数据时

另外,如果购买二手设备,应尽可能与供应商或供货人核实该设备没有被列入黑名单。在此也提醒经销商和消费者也应该注意到,从设备中查看一下历史数据,使用者足够聪明的话,采取相应的预防措施,将使得盗窃和倒卖设备变得很棘手,偷盗者最后可能只能偷到一块板砖。

知识来源: www.mottoin.com/107117.html

阅读:78925 | 评论:0 | 标签:安全报告 Apple安全 趋势科技

想收藏或者和大家分享这篇好文章→复制链接地址

“物理盗窃与网络犯罪的完美结合:揭秘“盗窃并倒卖苹果设备”的非法交易链”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云