运营苹果手机“盗改销”、色情网站的黑产组织追踪
(2019年稿)
1 概述
老高酒后手机丢了,后续收到了两条钓鱼短信,就捎带脚追踪了下,权当酒资。
钓鱼短信中包含伪装成苹果官网的链接,短信内容都与“找回手机”“联网刷机”有关,诱使老高访问短信中的网站。该网站是伪装成iCloud登录界面的钓鱼网站,旨在窃取用户的iCloud口令,从而完成被盗或丢失手机的刷机激活流程。如果没有iCloud口令,被盗或丢失的苹果手机实际上是“砖头机”,只能拆开当零件卖,估值约数百元;如果有iCloud口令,就可以对被盗或丢失的苹果手机进行刷机,刷机后的手机价值约两三千元,还在保修期内的苹果手机可以以旧换新,价值更高。
老高通过对钓鱼网站域名注册人,注册人邮箱进行关联,追踪到了一个经营多项黑产活动的组织。该组织具备苹果手机“盗改销”完整的黑色产业链,线下盗窃或收购手机;线上搭建仿冒苹果官网的钓鱼网站,发送钓鱼短信,骗取用户iCloud口令,通过获骗取的iCloud口令进行刷机解锁等操作;通过线上线下相结合的方式将解锁手机进行售卖。该组织同时还具备运营色情网站的产业链,上游使用多个注册人信息注册大量域名,出售已备案域名,下游搭建色情网站,并高频率替换色情网站域名。该组织还可能从事出售企业资料,疑似进行东南亚招聘诈骗活动以及利用“玉启娱乐棋牌游戏平台”进行线上赌博和传销活动。
2 伪装为苹果公司的钓鱼短信事件
2.1 网友手机被盗后接收到伪装苹果公司的钓鱼短信
2019年6月24日,吾爱破解论坛上有网友发帖,称其在苹果手机被盗后,收到两条钓鱼短信,短信中域名的注册人为“李*凤”。该网友通过警察授权查看商店的监控后发现,有两个戴着“鸭舌帽+口罩”的人,一直靠近该网友,疑似利用衣服做掩盖盗窃该网友的手机。[1]
图 2‑1 伪装成苹果官方的钓鱼短信
2.2 老高手机丢失后接收到伪装苹果公司的钓鱼短信
2019年7月,老高手机丢失后接收到了两条伪装成苹果公司的钓鱼短信。
图 2‑2 钓鱼短信
短信中的电话号码:16505229093属地是成都,该手机号没有实名登记,属于未实名登记的黑卡。老高无法定位和追踪。
点击短信中提供的链接会跳转到一个伪装成iCloud登录界面的钓鱼网站,该钓鱼网站旨在获取用户的iCloud口令。Whois信息显示域名注册人也是“李*凤”。
图 2‑3 伪造成iCloud登录界面的钓鱼网站
3 对窃取iCloud口令钓鱼短信的关联分析
钓鱼短信中域名解析的IP只能追踪到某云服务商,并无实际意义,所以不提该公司名了。
钓鱼短信涉及的域名的WHOIS信息显示该域名注册人为“李*凤”,注册邮箱为whois8@outlook.com。
表 3‑1 钓鱼网址域名信息
|
域名 |
注册人 |
注册邮箱 |
注册商 |
|
syace.cn |
李*凤 |
whois8@outlook.com |
成都西***科技有限公司 |
|
isosfer.cn |
李*凤 |
whois8@outlook.com |
成都西***科技有限公司 |
|
onxs-2.cn |
李*凤 |
whois8@outlook.com |
成都西***科技有限公司 |
|
Appleid-mub.cn |
李*凤 |
whois8@outlook.com |
成都西***科技有限公司 |
3.1 注册人关联分析——运营钓鱼网站与色情网站
表3-1中的域名onxs-2.cn于2019年7月13日注册,在2019年7月15日便应用于钓鱼网站,短时间完成从域名注册到应用的过程,老高推测这是一个上下游分工明确,联系紧密的组织,上游注册不断注册新的域名,下游搭建钓鱼网站,从上游处获取新的域名并持续更新钓鱼网址。
图 3‑1 钓鱼网站域名注册于2019年7月13日
“李*凤”从2019年4月25日起通过域名注册商成都西***科技有限公司注册了662个域名(截止到2019年7月3日)且注册邮箱一致。老高在对“李*凤”名下的其他域名进行分析时发现存在多个域名指向同一IP的情况,存在多个域名与色情网站有关的现象。由此可看出,色情网站链和钓鱼网站链具有相同的模式,上游注册大量域名,下游搭建色情网站,从上游处获取域名并持续更新色情网站。
表 3‑2 注册人A名下部分域名和相关的色情网站
|
域名 |
IP |
IP解析地理位置 |
注册时间 |
相关色情网站 |
|
huojianhad***.cn |
67.198. ***.120 |
美国 |
2019/7/1 0:00:00 |
www.haod***.com |
|
menglong***.cn |
2019/7/1 0:00:00 |
www27***.com |
||
|
leitingweis***.cn |
2019/7/1 0:00:00 |
无 |
||
|
eo9***.cn |
67.198. ***.122 |
美国 |
2019/7/1 0:00:00 |
www.44***.com |
|
6d0***.cn |
2019/7/1 0:00:00 |
www.d***.com |
||
|
epk***.cn |
2019/7/1 0:00:00 |
www.556***.com |
||
|
aho***.cn |
67.198. ***.118 |
美国 |
2019/6/28 0.00 |
www.126x***.com |
|
38t1***.cn |
174.139. ***.3 |
美国 |
2019/4/3 0:00:00 |
www.345***.com |
|
5fti***.cn |
174.139. ***.89 |
美国 |
无 |
www.p1***.com |
|
64plv***.cn |
174.139. ***.32 |
美国 |
2019/5/8 0:00:00 |
www.ai***.com |
|
ailb***.cn |
174.139. ***.89 |
美国 |
2019/6/28 0:00:00 |
www.73***.com |
|
…… |
…… |
…… |
…… |
|
3.2 邮箱关联分析——多个注册人之间联系紧密
注册邮箱whois8@outlook.com至少注册了1万多个域名,老高对该邮箱注册的域名进行了关联。
表 3‑3注册邮箱whois8@outlook.com关联到的注册人信息
|
代号 |
注册人 |
注册公司 |
注册日期区段 |
记录/条 |
|
注册人A |
李*凤 |
成都西***科技有限公司 |
2019年4月25日至今 |
1709 |
|
注册人B |
广州能**科技股份有限公司 |
成都西***科技有限公司 北京新***信息技术有限公司 |
2018年5月、6月、8月、9月、10月 |
488 |
|
注册人群C |
王*业 |
成都西***科技有限公司 |
2018年11月、12月 |
1193 |
|
蒋*平 |
易***控股有限公司 北京新***信息技术有限公司 成都西***科技有限公司 **云计算有限公司(万网) |
2018年至2019年7月1日 |
1279 |
|
|
孙* |
成都西***科技有限公司 **云计算有限公司(万网)etc.. |
2017年4月至2019年1月19日 |
397 |
|
|
zhang****(张某) |
多个注册商 |
2006年-2019年 |
345 |
|
|
王*敏 |
北京新***信息技术有限公司 成都西***科技有限公司 |
2018年1月17日至2018年12月1日 |
10 |
|
|
江*盼 |
成都西***科技有限公司 |
2018年11月9日-2018年11月23日 |
432 |
|
|
高*磊 |
成都西***科技有限公司 |
2019年1月至2019年3月4日 |
1742 |
|
|
包*成 |
成都西***科技有限公司 |
2019年3月至2019年4月3日 |
1050 |
|
|
张*云 |
成都西***科技有限公司 |
2017年6月至2018年9月26日 |
1058 |
|
|
顾*天 |
成都西***科技有限公司 |
未知至2018年9月15日 |
6236 |
|
|
于*鹏 |
成都西***科技有限公司 |
2019年4月3日至2019年4月25日 |
628 |
- 注册人A与注册人B为同一组织
注册人B使用上市公司“广州能**科技股份有限公司”的名义在2018年间注册了大量域名。广州能**科技股份有限公司是一家上市公司,以公司名义注册域名需要企业资料和营业执照的照片,从广州能**科技股份有限公司在短时间注册大量域名来看,其营业执照图片和企业相关信息可能已被泄漏,大量的域名是假冒该公司名义注册的。
在进行域名查询时,“广州能**科技股份有限公司”名下有11个域名显示是在2008年之前注册的,而该公司成立于2008年。域名的注册时间会因为过期等原因变化,因此这些08年之前的域名可能是经过了注册人更改,但这些域名均非“广州能**科技股份有限公司”的官方声明的网站。
图 3‑2 2008年之前以“广州能**科技股份有限公司”名义注册的域名
用“广州能**科技股份有限公司”的名义询问注册商为何“广州能**科技股份有限公司”2008年成立,但其名下却存在08年之前注册的域名;为何多个色情网站相关域名使用“广州能**科技股份有限公司”的名义注册。但并未得到明确的答复。时隔两天左右,“广州能**科技股份有限公司”名下域名发生了注册人变更的情况,具体情况如下图所示。域名注册人从注册人B更改为了注册人A,注册人A与注册人B可以自由切换,因此可以推测注册人A与注册人B为同一组织。
图 3‑3 域名wqhgh.cn的注册人从“广州能**股份有限公司”更改为“李*凤”
图 3‑4域名eastnoble.cn的注册人从“广州能**股份有限公司”更改为“广州市泓**服装有限责任公司”
注:
成都西***科技有限公司曾因出售域名被以诈骗罪起诉,涉及的案件名称为《王以昆诈骗一审刑事判决书》。王以昆同伙韩某在西***(成都西***科技有限公司推出的一个平台)购买了dg95**8.pw、95**8kre.pw、seg**.pw、ki**.pw、wfe95**8.pw五个域名,王以昆使用这些域名搭建仿冒的工商银行网站进行诈骗活动。[2]
- 注册人B与注册人群C中的部分人员为同一组织
域名注册邮箱whois8@outlook.com从2017年至今更换了至少11个注册人。从注册人“广州能**科技股份有限公司”名下活跃域名WWW.HAOR22.CN可以关联到注册人群C中的3个人,由此可见这些注册人之间是有关系的,不存在有人冒用该注册邮箱的情况。
图 3‑5 同一IP指向的多个域名注册人属于注册人群C
4 运营手机“盗改销”、色情网站、域名出售及从事招聘骗局等活动的组织
对注册人群C进行注册人反查,得到多个QQ邮箱信息,根据邮箱信息,老高关联到了多起黑产活动:
l 该组织运营苹果手机“盗改销”产业链;
l 该组织运营色情网站;
l 该组织出售免备案及无备案的域名;
l 该组织疑似从事东南亚招聘骗局活动;
l 该组织疑似从事线上赌博和传销活动。
图 4‑1注册邮箱关联以及该组织从事的黑产活动
4.1 该组织运营苹果手机“盗改销”产业链
该组织运营一个苹果手机“盗改销”产业链。这条黑色“产业链”,由设立钓鱼网站、提供服务器、源码制作、非法查询信息、批量解锁赃机、非法收受赃机、盗窃抢劫等诸多环节组成。[3]
产业链上游搭建假冒苹果官网等钓鱼网站,通过发送钓鱼短信,非法获取用户数据,解锁苹果手机,修改iCloud ID,下游收购“赃机”或者盗窃手机,上下游合作对手机进行刷机并将解锁手机销往各处。链条节点上的参与者层层牟利。
4.2 该组织运营色情网站
注册人群C注册的多个域名在不同时间段指向了同一IP,这多个域名均与色情网站有关。注册人A名下的其他域名也存在多个域名指向同一IP的情况,这多个域名与都与色情网站有关。该色情网站产业链具有上下游分工明确,上游注册大量域名,下游搭建色情网站,从上游处获取域名并持续更新色情网站。
4.3 该组织出售免备案及无备案的域名
通过关联分析可以推测,邮箱whois8@outlook.com的所有者极有可能是张某。张某所控股的公司从事的正是域名注册服务,且出售免备案域名,免备案域名注册人属于注册人群C。
图 4‑2 邮箱信息关联分析
通过whois8@outlook.com可以得到下图中的信息,邮箱24*****@qq.com和手机号码*********89。通过注册人zhang****反查,得到了大量QQ邮箱信息,其中以24开头的只有2430***@qq.com。使用2430***@qq.com进行邮箱反查,得到多个电话信息,其中包含******15689。由此可见zhang ****实为张某,其QQ邮箱为2430***@qq.com。
图 4‑3 whois8@outlook.com的相关信息
图 4‑4 2430***@qq.com反查后得到的电话信息
注册人zhang****的QQ空间显示的ZYM.com是一个域名注册网站,该网站出售免备案服务器,出售已备案域名,提供域名注册服务。
图 4‑5 2430***的QQ信息
图 4‑6 网站首页显示显示“香港云服务器”,“免备案”字样
该网站出售的已备案域名ufnct.cn注册人为“蒋*平”,是通过whois8@outlook.com关联到的注册人之一。
图 4‑7出售的已备案域名ufnct.cn
该网站的在线充值页面显示了银行账号和账户名称---张某。2430***是ZYM.com官网上显示的值班QQ号。
图 4‑8 收款账户和账户名称
广州网*计算机科技有限公司2018年8月10日被列入严重违法失信企业名单,原因是“被列入经营异常名录届满3年仍未履行相关义务”。武汉超**科技有限公司成立于2015年,该公司网站中包含“注域名”网站。
图 4‑9 两家公司之间的关系
图 4‑10 两家公司的网站
4.4 该组织疑似从事东南亚招聘骗局活动
通过注册人“王*敏”的QQ空间内容可知,该人在2019年1月取得了美国护照,开展了出售企业资料、为某直播网站滚动广告招商、收微信号、开支付宝商户、购买柬埔寨的银行卡以及“做劫持别人网站内在线客服跳转到我们站内在线客服”等多项非正当业务。从其出售企业资料的业务来看,该组织伪装成企业注册大量域名的可能性很高。
图 4‑11 人力资源骗局
图 4‑12 在百度贴吧发布博彩网建站需求
该组织以“概念国际人力资源有限公司”的名义大量招人从中国去菲律宾等东南亚国家工作,在百度贴吧发布大量招聘信息,使用微信号RMB166***和应聘者联系,微信号地区显示为广东深圳。从其发布的办公环境来看,办公环境空无一人,办公桌上基本没有个人物品;从其与应聘者的聊天语气和内容来看,这个人并不具备大公司人力资源从业者的素养,测试应聘者的内容是打字,更加可以确定这个公司并非是真正的公司。与“菲律宾”和“出国工作”相关的骗局在网上可以搜出来很多,注册人“王*敏”极有可能打着人力资源的幌子骗取应聘者钱财。
图 4‑13 在百度贴吧以概念国际人力资源公司为名发布招聘信息(该账号已被屏蔽)
图 4‑14 发布的办公环境
图 4‑15 招聘要求
4.5 该组织疑似从事线上赌博和传销活动
通过该注册人“孙*”的QQ空间信息,可以关联到名为**娱乐的棋牌游戏平台。该平台为“房卡模式”棋牌游戏,涉及“变相传销”。QQ显示地理位置为菲律宾-马尼拉,与上文的“概念国际人力资源公司”同为菲律宾。
图 4‑16 331923***1的QQ空间
注:
所谓“房卡模式”棋牌游戏,一般是指游戏玩家在棋牌游戏运营商平台创建游戏房间,通过微信等社交渠道分享房间号,邀请好友进入自己创建的指定房间进行游戏,最终以游戏结束时积分作为胜负判定和计算标准。此房间为完全独立的存在,不会被其他玩家所干扰。游戏运营方主要盈利来源于用户购买“房卡”(有的称“钻石”),由每一次创建房间扣除房卡产生消耗,用户一旦没“房卡”便会购买,因而游戏运营平台就不断的生产“房卡”销售盈利。目前“房卡模式”的棋牌游戏有麻将类和纸牌类。“房卡模式”棋牌游戏的传销风险主要集中在游戏的代理推广方式上。游戏代理分二种,一种是销售代理,一种是推广代理。销售代理通过发展玩家,销售房卡获得差价利润。推广代理通过发展玩家,玩家通过游戏产生购卡行为,由游戏运营方返利给推广代理,目前主流的返利方案为三级,即A发展B,A获得B消耗返利,B发展C,A获得C消耗返利,这就可能涉嫌变相传销。[4]
5 总结
老高由苹果手机丢失后收到钓鱼短信,并追踪出一个运营苹果手机“盗改销”、色情网站的黑产组织,该组织依托域名注册服务开展多项黑产活动,通过非法获取的企业资料以及其他身份信息注册大量域名,为苹果手机“盗改销”产业链,色情网站产业链提供域名支持。除此之外,该黑产组织还可能从事出售企业资料,东南亚招聘诈骗活动以及利用玉启娱乐棋牌游戏平台进行线上赌博和线上传销活动。
友情提示:请大家务必保管好自己的手机,否则,会很麻烦。
至于某些企业对相关域名注册、出售、管理等是否因利益关系而不作为,老高不语不评,唯惜手机中因未上传云端而丢失之于终端的照片。
附录一:参考资料
[1] https://www.52pojie.cn/thread-979751-1-1.html
[2] 王以昆诈骗一审刑事判决书
https://www.tianyancha.com/lawsuit/fe818964e77446cba85efc81a28c5930
[3] 揭秘苹果手机盗改销“产业链”:分工明确 层层牟利
http://news.cctv.com/2017/12/31/ARTImkxlTVIDZj4yWap4qADL171231.shtml?spm=smpc.content.content.1.1545696000117ZF7ZGW1
[4] “房卡模式”棋牌游戏平台刑事风险分析与防范
http://www.51lvh.com/web/article/articleDetail.do?id=2970#
