你都看不见,何谈安全?
本篇日志将通过社会工程学等技术手段,揪出做黑产的不法分子,文章中关键信息全部做了隐藏,并不是想包庇不法分子,只是想给众多网友看一下,以此提升网络安全意识。
——————————————————
不泻药
从上个月29号开始,陆陆续续收到钓鱼邮件,内容为一个网站,打开后会显示一个类似于QQ邮箱的登陆界面,
界面做的很假,还不会自动适配浏览器,快速登陆与账号密码登陆字体颜色都不一样。
其中他的网站会持续做加载,我没有搞清楚他持续加载的原因,但是我猜测可能是为了防止浏览器检查其网页内容,例如360浏览器会在加载结束后检查网页内容,保证网站持续加载就能保证网页内容不会被检测,因为浏览器会认为你的网站未加载结束所以不会检查。
输入用户名密码后跳转至QQ邮箱的官方界面,
我们通过审查元素发现,提交方式为post,提交至L2.asp
当前地址的L2.asp吗?试一试
貌似不是啊,报404错误。
用开发者工具拦截一下post看看
啊哈,提交的地址跟之前不同,爆出来一个域名为 www.*********q2.gq的域名
我们把之前的域名 *****.org whois反查一下,
域名注册地址亚利桑那州菲尼克斯,并没有什么有效信息。这很正常,没有一个做钓鱼的人会傻到用自己的服务器
但是回过来咱们看post的地址,www.*************hq2.gq进行whois反查后
提示非法,可能是做了隐藏,安全意识很高啊。
不要担心,有域名就必须有服务器,我们来反查一下服务器IP
IP地址为:47.252.*.*
在通过IP查一下所有者
所有者是一个叫timthoy***的人,最后更新时间是2015年6月22日
通过查询他的名字,我们可以得到更多信息
他曾经有新浪微博和腾讯微博都叫这个名字
因为腾讯微博关闭了,我只能通过快照的方式查看一部分信息,大致能了解到他是一个网瘾少年,整天沉迷小说和网络
也有关于服务器的描述,应该是他的钓鱼服务器
新浪微博也已经很久没有的登陆了,最后一次登陆是在2015年,内容为关于阿里云服务器的东西
还有一条微博是关于四川电信卡的活动的
这一点不能忽视,至少说明他是在用四川的卡,跟后期我查到他的四川电话这个事实相符。
他从12年至今,共使用timthoy***这个名字在香港等地注册海量的域名、服务器,下面仅列举一部分
43.252.228.*
103.30.40.*
45.64.74.*
43.224.248.*
43.252.231.*
103.243.26.*
103.30.40.*
103.229.126.*
103.229.127.*
103.30.43.*
103.56.114.*
45.64.74.*
103.30.41.*
103.56.112.*
一位普通人,哪怕是公司也不会在如此短的时间内注册如此多的域名与服务器,因此可以很确定的是,他就是做黑产的
但是每一次注册他都使用的是假名字假电话(或者是废弃的电话),其中有一个133****9953的电话出现最为频繁, 但是很遗憾这个电话并没有给我留下太多信息。
域名和服务器查到差不多了,他的反侦察意识很强,那么还有没有别的办法呢?
有
经过一系列的折腾,我终于找到他留下的一点点痕迹,
他曾经在2017年8月29日续租了一款AS(访问服务器),其中留下了他的另一个电话 133****7556,我查了一下是四川成都了,这跟微博之前的结果相符,
通过支付宝查询发现,该账号绑定有三个邮箱,这就很开心了,至少说明这个卡真真确确在他手上
再次强调了他的反侦察意识很强,曾在多个域名服务商注册过,且用的名字都不一样,但是我注意到了一点,最中间的名字“*铁轩”曾经在哪看见过,
哦,对了,是在腾讯微博
当初腾讯微博有个毛病啊,注册的时候很容易写成名字
把名字往支付宝一填,ok正确。
查查微信?
也没什么特别有用的信息
*铁轩就是他的真名吗?我看未必,只是有可能是
比如他的12年支付宝账单
可以看出,他是有两个小号的,给小号转账占比较高
这些都是通过百度快照获取到的。
——————————————
名字也找到了,手机也找到了,打打试试呗?
……
…………
打通了,他不接……
——————————————
这位仁兄安全意识很高,每台服务器上都装了专用的服务器安全软件,想干掉他不是那么容易
我写这篇文章的目的,其实是想让大家看一下,一位专门从事黑产的人其实也是有自己忽视的时候,而恰恰是自己的忽视,造成了不必要的麻烦。
安全,只有被看见才能被重视。
~~~~~~~~~~~~~~~~~~~
版权声明:
本文首发时间2017年11月8日,授权“变革加科技”发文,请勿复制盗用!违者必究!!!
~~~~~~~~~~~~~~~~~~~