Чуть больше года назад я работал в той самой компании, которая помогает найти дешевые авиабилеты, и жил на Пхукете.
Так получилось, что в одном из тайских клубов на знаменитой Bangla Road я потерял свой айфон. Наутро без телефона я сильно досадовал о своей потере, но через некоторое время смирился и купил другой. Потерянный телефон ввел в режим пропажи, указав номер по которому со мной можно связаться.
Но этой истории бы не произошло, если бы я не потерял его во второй раз.
Проснувшись как-то утром, обнаружил что мой айфон отобразился на карте недалеко от того места, где я его потерял. Обрадовавшись, что он онлайн — сразу же поехал в полицейский участок, ибо остров маленький, расстояния небольшие, рассчитывал прибыть туда с полицией. Там уже были в курсе о моей истории, так как я на всякий случай написал заявление о пропаже телефона.
Внимательные читатели могли заметить, что ссылка является фишинговой. Обычно ты не проверяешь ссылки от коллег в слаке, поэтому как многие уже догадались, я перешел по ней и ввел данные от своего iCloud. Находясь при этом в полицейском участке. Представьте картину: я стою перед полицейским, который готов, ехать по отображаемой локации, если телефон онлайн. Я же ввожу данные от своего iCloud, чтобы показать ему локацию и отвязываю свой айфон, после чего айфон просто исчезает с карты. Прямо у нас на глазах.
Так айфон был украден во второй раз, и уже казалось бы, окончательно.
Вернувшись в офис, стала интересна схема работы фишеров, которым я подарил свой айфон.
В whois ничего интересного обнаружено не было. Обычный shared-хостинг и скрытые персональные данные. Решил посмотреть какие еще домены зарегистрированы на пользователя и какие висят на этом ip-адресе.
Обнаружил какую-то панель управления. И интересные копирайты в футере.
Немного погуглив копирайты из футера обнаруживается твиттер, фейсбук, а также несколько туториалов на ютьюбе по поводу того, как пользоваться данной панелью. Пока ничего не понятно, но очень интересно.
По описаниям социальных сетей и видео-туториалов на ютьюбе, становится понятным, что это какой-то сервис (из Камбоджии), который профессионально представляет услуги по анлоку потерянных (будем честны, скорее всего украденных) айфонов. На этом моменте для меня начинают проясняться некоторые вещи.
Пройдясь по панели при помощи scandir было обнаружено несколько занимательных ручек. Например, phpmyadmin, какая-то админка и пара php-скриптов со странными названиями.
Камбоджийские фишеры не хотят чтобы их панель можно было найти в гугл, поэтому прячутся от индексации при помощи Disallow в robots.txt. Список запрещенных ботов гораздо больше, но в скриншот не влезли.
Форма авторизации в админ панель очень похожа на ту же, что висит на главной странице. Зная, что это shared-хостинг, с phpmyadmin на борту и скриптами на PHP пробую подставить кавычку в форму авторизации.
И падаю с 500-кой. Успех, скорее всего есть sql-инъекция.
Расчехляем sqlmap и пытаемся достать из базы что-нибудь интересное. В базе есть табличка iserver_users, в которой хранятся пары логин; md5 пароль.
Фишеры не отягощены безопасностью, поэтому выбирают незамысловатые пароли, которые легко ищутся в радужных таблицах. Почти все пароли были найдены в радужных таблицах, исключения составили пароли, скорее всего, имеющие в своем составе специфические для Тайского или Камбоджийского алфавита символы.
Немного ожидания и попадаем в пользовательский интерфейс фишера. Здесь можно сгенерировать фишинговую ссылку, посмотреть на статус своих жертв (перешел ли пользователь и отвязал iCloud, или ссылка еще находится в ожидании), мануал пользователя, блокировка ip-адресов, логи, ну и многое другое. Даже новости какие-то.
В этот момент начинаю осознавать, что это не просто сервис по продаже услуг по анлоку краденных телефонов, а полноценный SaaS для фишеров с собственным кабинетом и стоимостью лицензии. У каждого фишера есть аккаунт, список жертв с различными статусами этапов, на котором находится жертва и сроком действия лицензии.
В базе находилось несколько тысяч фишинговых ссылок, и примерно каждая пятая со статусом success, что говорит о том. Представляете, каждый пятый айфон успешно отвязывается от iCloud?
Через некоторое время удалось попасть в админку разработчика. Стало понятно, что сервис довольно востребован в ЮВ-Азии и приносит, судя по графе Notes относительно неплохой для этой части света доход.
Через админку нахожу фишера, который анлокнул мой айфон. Домен сходится с доменом из СМС, которую отправили Коле. Значит, это точно он. В этот момент осознаю, что я еще легко отделался, введя свои данные. В моем случае телефон был просто отвязан от iCloud, но теоретически фишер мог заблокировать все остальные мои устройства и требовать выкуп за них. Я ранее слышал о такого рода разводах, но сам столкнулся с этим впервые.
Немного гуглежа по юзернейму фишера приводят на какой-то странный форум. Обращаю внимание на имя и инициалы в конце сообщения.
Снова гугл, в этот раз пытаемся найти страничку на фейсбуке.
Обнаруживается страничка человека, который занимается чем-то связанным с айфонами. На аватарке фотография без лица, на обложке страницы фото Apple Store в Бангкоке.
Скроллю вниз, для того чтобы изучить посты на странице, и снова успех. Последняя запись на стене — объявление с айфоном. Примерно через несколько часов, после того как я отвязал свой. Какое интересное совпадение, думаю я.
Дальше при помощи переводчика и фейковой странички на фейсбуке связываемся с этим человеком. Выясняется, что он занимается анлоком айфонов и берет за это деньги. Заказываем фишеру анлок телефона под видом человека, который нашел потерянный айфон. Фишер успешно его анлочит, даже не подозревая что происходит. После чего присылает реквизиты местного тайского банка для оплаты своих услуг. И знаете что? И имя в реквизитах частично совпадает с именем на Facebook.
После этого информация была передана в полицию, которая очень быстро нашла его. Фишер сразу же во всем сознался и попросил некоторое время на возвращение телефона. Видимо, телефон уже был у новых владельцев.
Процесс взаимодействия с тайской полицией и возвращением айфона длился примерно месяц. Было сложно объяснить, что произошло из-за языкового барьера. Даже с тайско-английским переводчиком это непросто. К большому изумлению тайские копы довольно быстро вникли в суть произошедшего и довольно активно участвовали в процессе.
Телефон, кстати вернули. Такая история.
Опубликуй на Хабре лучше, а история отличная)
На хабре давно уже филиал пикабу плюс цензура мнений, а также травля через слив кармы всем подряд "просто потому что могу". Этот ресурс умирает. Не надо ему мешать.
А мне кажется всё ровно наоборот. Тут сплошной хейт на ровном месте, а там хоть вникают в суть.
Где именно тут сплошной хейт? Не вижу такого. Вижу, что бывает по-разному, да, но никакой реально нездоровой ситуации не наблюдаю. При этом люди не боятся говорить. А там? Просто посмотрите карму тех, кто пишет (если вообще пишет) в комментариях. Там 80% в минусах сидят, ограниченные в возможности отвечать. Причем комментарии тоже перестали быть чем-то ценным, как это было в стародавние времена. Очень часто любая тема скатывается в политику, которая скатывается в русофобию, за которую, кстати, там накидывают плюсов. То есть ресурс мало того, что перестал быть именно местом, где спецы сидят (оттуда ушло большинство интересных и адекватных, осталась лишь часть старожилов типа амарао), так он еще и в обсуждениях скатился на уровень указанного ранее пикабу.
дак тут всё тоже самое :D
Как минимум, тут нет такого страха открыть рот и нет понятия "карма". Да и ресурс себя не позиционировал "для элиты"
ну если срать на Россию – то тут нет страха. написать чё-то хорошее или адекватное — сразу заминусят. у каждого своё понимание хорошести комментариев и ресурсов)
Тут в комментах соотношение навальнята-русофобы/обычный чел — где-то 3к1, а там 30к1. Речь именно про комменты, так как там писать ты уже через несколько постов не сможешь, если не будешь срать на "рашку" через коммент
Навальнята/русофобы? Таким вам видится разделение людей, которые не довольны нашей страной?
претензии к властям - понимаю, а страна-то чем не угодила? может и "народ не тот"? :)
Я и не говорю за всех. Кому-то не нравится правительство, кому-то погода, кому-то и люди. Ситуаций множество. Мне просто непонятны вот эти термины с явно негативной оценкой "Навальнята/русофобы". С какого это перепуга надо быть всегда довольным своей страной?
недовольство ситуацией в стране с чем угодно, властями - понимаю. Страной в целом - нет. Видимо, остро не хватает воспитания патриотизма в школе, в стиле клятвы верности флагу и всякого такого :) Может это поможет перестать считать РФ ущербной по дефолту.
Ну это я так, старчески брюзжу.
Воспитание патриотизма в нашем случае это будет явная фальшь. С воспитанием патриотизма должна быть какая-то идея. А какая идея в нашей стране? Что мы Святая Русь, а вокруг одни враги, и надо чуточку потерпеть?
ну, идеологию у нас забанили на уровне конституции. Остается расплывчатая идея "страна у нас - самая лучшая" (ну или "одна из самых.."), детям заложить, а дальше сами разберутся.
Кмк, в штатах неплохо выходит: у меня сложилось впечатление что несмотря на то что каждый конкретный индивид может быть недоволен чем-то (реднеками, правительством, мигрантами и т.д., и .т.п.) в зависимости от своих взглядов - большая часть при этом считает что "Америка - номер 1 и охеренна". Вот нам бы так :)
Тут есть еще нюанс, что она реально много где - номер 1. Уж, что кто раньше - яйца или курица - конечно вопрос. Но тем не менее :) А когда нам говорят, что мы номер 1, а ты выходишь из подъезда и спотыкаешься об колдобину в асфальте, сложно всерьёз воспринимать это всерьёз :)
дети про асфальт еще не особо думают. Заложить любовь к родине в принудительном порядке - глядишь и асфальт улучшится после того как такое поколение вырастет.
У нас же сейчас куча народу ведет себя в стиле "да страна говно, урву кусок любым способом и свалю", хотя страна-то норм вполне, это человек говно :)