Смотреть
30 дней бесплатно
Смотреть
30 дней бесплатно
Условия просмотра: clck.ru/h7Vx2
18+
УЖЕ В ПОДПИСКЕ
Личный опыт
Amal Usmanov

Тайско-камбоджийские фишеры iCloud или история об iPhone, который украли дважды

Чуть больше года назад я работал в той самой компании, которая помогает найти дешевые авиабилеты, и жил на Пхукете.

Так получилось, что в одном из тайских клубов на знаменитой Bangla Road я потерял свой айфон. Наутро без телефона я сильно досадовал о своей потере, но через некоторое время смирился и купил другой. Потерянный телефон ввел в режим пропажи, указав номер по которому со мной можно связаться.

Но этой истории бы не произошло, если бы я не потерял его во второй раз.

Проснувшись как-то утром, обнаружил что мой айфон отобразился на карте недалеко от того места, где я его потерял. Обрадовавшись, что он онлайн — сразу же поехал в полицейский участок, ибо остров маленький, расстояния небольшие, рассчитывал прибыть туда с полицией. Там уже были в курсе о моей истории, так как я на всякий случай написал заявление о пропаже телефона.

В качестве номера для связи оставил тайский номер своего коллеги по работе. Кстати, Коля, с днем рождения!

Внимательные читатели могли заметить, что ссылка является фишинговой. Обычно ты не проверяешь ссылки от коллег в слаке, поэтому как многие уже догадались, я перешел по ней и ввел данные от своего iCloud. Находясь при этом в полицейском участке. Представьте картину: я стою перед полицейским, который готов, ехать по отображаемой локации, если телефон онлайн. Я же ввожу данные от своего iCloud, чтобы показать ему локацию и отвязываю свой айфон, после чего айфон просто исчезает с карты. Прямо у нас на глазах.

Так айфон был украден во второй раз, и уже казалось бы, окончательно.

Дорога из полицейского участка до офиса была занята мыслями о том, как такое могло произойти с человеком, который работает в IT.

Вернувшись в офис, стала интересна схема работы фишеров, которым я подарил свой айфон.

В whois ничего интересного обнаружено не было. Обычный shared-хостинг и скрытые персональные данные. Решил посмотреть какие еще домены зарегистрированы на пользователя и какие висят на этом ip-адресе.

При переходе по ip-адресу происходил редирект на домен iserver.pro

Обнаружил какую-то панель управления. И интересные копирайты в футере.

Немного погуглив копирайты из футера обнаруживается твиттер, фейсбук, а также несколько туториалов на ютьюбе по поводу того, как пользоваться данной панелью. Пока ничего не понятно, но очень интересно.

По описаниям социальных сетей и видео-туториалов на ютьюбе, становится понятным, что это какой-то сервис (из Камбоджии), который профессионально представляет услуги по анлоку потерянных (будем честны, скорее всего украденных) айфонов. На этом моменте для меня начинают проясняться некоторые вещи.

Пройдясь по панели при помощи scandir было обнаружено несколько занимательных ручек. Например, phpmyadmin, какая-то админка и пара php-скриптов со странными названиями.

Камбоджийские фишеры не хотят чтобы их панель можно было найти в гугл, поэтому прячутся от индексации при помощи Disallow в robots.txt. Список запрещенных ботов гораздо больше, но в скриншот не влезли.

Форма авторизации в админ панель очень похожа на ту же, что висит на главной странице. Зная, что это shared-хостинг, с phpmyadmin на борту и скриптами на PHP пробую подставить кавычку в форму авторизации.

Форма авторизации в админ панель

И падаю с 500-кой. Успех, скорее всего есть sql-инъекция.

Расчехляем sqlmap и пытаемся достать из базы что-нибудь интересное. В базе есть табличка iserver_users, в которой хранятся пары логин; md5 пароль.

Результат работы sqlmap

Фишеры не отягощены безопасностью, поэтому выбирают незамысловатые пароли, которые легко ищутся в радужных таблицах. Почти все пароли были найдены в радужных таблицах, исключения составили пароли, скорее всего, имеющие в своем составе специфические для Тайского или Камбоджийского алфавита символы.

Немного ожидания и попадаем в пользовательский интерфейс фишера. Здесь можно сгенерировать фишинговую ссылку, посмотреть на статус своих жертв (перешел ли пользователь и отвязал iCloud, или ссылка еще находится в ожидании), мануал пользователя, блокировка ip-адресов, логи, ну и многое другое. Даже новости какие-то.

В этот момент начинаю осознавать, что это не просто сервис по продаже услуг по анлоку краденных телефонов, а полноценный SaaS для фишеров с собственным кабинетом и стоимостью лицензии. У каждого фишера есть аккаунт, список жертв с различными статусами этапов, на котором находится жертва и сроком действия лицензии.

В базе находилось несколько тысяч фишинговых ссылок, и примерно каждая пятая со статусом success, что говорит о том. Представляете, каждый пятый айфон успешно отвязывается от iCloud?

Через некоторое время удалось попасть в админку разработчика. Стало понятно, что сервис довольно востребован в ЮВ-Азии и приносит, судя по графе Notes относительно неплохой для этой части света доход.

Через админку нахожу фишера, который анлокнул мой айфон. Домен сходится с доменом из СМС, которую отправили Коле. Значит, это точно он. В этот момент осознаю, что я еще легко отделался, введя свои данные. В моем случае телефон был просто отвязан от iCloud, но теоретически фишер мог заблокировать все остальные мои устройства и требовать выкуп за них. Я ранее слышал о такого рода разводах, но сам столкнулся с этим впервые.

Status: Completed

Немного гуглежа по юзернейму фишера приводят на какой-то странный форум. Обращаю внимание на имя и инициалы в конце сообщения.

Снова гугл, в этот раз пытаемся найти страничку на фейсбуке.

Обнаруживается страничка человека, который занимается чем-то связанным с айфонами. На аватарке фотография без лица, на обложке страницы фото Apple Store в Бангкоке.

Скроллю вниз, для того чтобы изучить посты на странице, и снова успех. Последняя запись на стене — объявление с айфоном. Примерно через несколько часов, после того как я отвязал свой. Какое интересное совпадение, думаю я.

Дальше при помощи переводчика и фейковой странички на фейсбуке связываемся с этим человеком. Выясняется, что он занимается анлоком айфонов и берет за это деньги. Заказываем фишеру анлок телефона под видом человека, который нашел потерянный айфон. Фишер успешно его анлочит, даже не подозревая что происходит. После чего присылает реквизиты местного тайского банка для оплаты своих услуг. И знаете что? И имя в реквизитах частично совпадает с именем на Facebook.

После этого информация была передана в полицию, которая очень быстро нашла его. Фишер сразу же во всем сознался и попросил некоторое время на возвращение телефона. Видимо, телефон уже был у новых владельцев.

Тайская полиция у дома фишера

Процесс взаимодействия с тайской полицией и возвращением айфона длился примерно месяц. Было сложно объяснить, что произошло из-за языкового барьера. Даже с тайско-английским переводчиком это непросто. К большому изумлению тайские копы довольно быстро вникли в суть произошедшего и довольно активно участвовали в процессе.

Телефон, кстати вернули. Такая история.

0
249 комментариев
Написать комментарий...
Bo0oM

Лайк!
Мы как-то сформировали комьюнити по взлому фишинга (и различных панелей и их форков), делюсь похожей историей

Ответить
Развернуть ветку
1 комментарий
Георгий Лобушкин

Великолепная статья

Ответить
Развернуть ветку
2 комментария
Чеченский пистолет

на одном дыхание прочел, можно и подробнее или фильм снять 🤡 

Ответить
Развернуть ветку
2 комментария
Екатерина Макеева

История 10/10. Мне зашло и очень радостно, что телефон нашёлся

Ответить
Развернуть ветку
Yaroslav Romantsov

Лучшие истории это со скамом скамера, просто браво

Ответить
Развернуть ветку
Make Luv

А этого говноеда не закрыли? Лютый фейл с фишингом и айтишниками, бдительность потерять на минуту и приехали. Прям сочувствую.

Ответить
Развернуть ветку
Amal Usmanov
Автор

Нет, фишера отпустили с обещанием никогда больше подобным не заниматься. Им оказался дедуля лет 50-ти.

Не хотелось брать грех на душу, ибо в тайских тюрьмах совсем не круто.

Ответить
Развернуть ветку
38 комментариев
Gennady Marchenko

Закрыть местного из-за жалобы фаранга? No way

Ответить
Развернуть ветку
5 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Amal Usmanov
Автор

Спасибо. Выводы в целом правильные, но так как подобные ситуации случаются с каждым отдельным человеком не часто, со временем начинаешь забывать про все меры безопасности :)

Ответить
Развернуть ветку
1 комментарий
symbix

На ссылку я бы тоже мог повестись, а вот “Dear Customer” (причём Customer с заглавной) и кривой английский насторожили бы сразу, Эппл бы так никогда не сформулировал.

Хотя, конечно, спросонья мог бы и этого не заметить, до первой чашки кофе мозг выключен)

Ответить
Развернуть ветку
Илья М

Чисто детектив :)
Имея доступ к управленческой системе в целом - можно же наверно как-то развлечься было помасштабнее? пароли там всем сменить, данные по платежным реквизитам на свои (если есть такие) :)
Ну и ментам местным или интерполу какому отдать адреса-пароли-явки потом.

Ответить
Развернуть ветку
Valik Pavlov

"...платежные данные сменить на СВОИ.."
И после "..сдать ментам.."

Ответить
Развернуть ветку
1 комментарий
symbix

sql-инъекция в форме логина - это мощно

Ответить
Развернуть ветку
Краткий яд

Комментарий недоступен

Ответить
Развернуть ветку
21 комментарий
Олег Павлов

Опубликуй на Хабре лучше, а история отличная)

Ответить
Развернуть ветку
A.K.

На хабре давно уже филиал пикабу плюс цензура мнений, а также травля через слив кармы всем подряд "просто потому что могу". Этот ресурс умирает. Не надо ему мешать.

Ответить
Развернуть ветку
58 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
5 комментариев
Amal Usmanov
Автор

В песочнице. На модерации. Там с этим как-то долго все :)

Ответить
Развернуть ветку
2 комментария
Кружочек

Так можно и тут. 

Ответить
Развернуть ветку
M K

Подождите-ка. На скрине из слаки "help-support.us", а ip-адрес нашли по "helps-support.us".
Вы точно именно тех фишеров заломали, которых надо было???

Ответить
Развернуть ветку
Vasya Pupkin

Вся статья - фейк и выдумка автора. Сплошные нестыковки и чудеса.

Ответить
Развернуть ветку
1 комментарий
Трудный рубин

Вот это поворот 😮 … продолжение обещает быть интересней самой истории. Ждём ответа автора! 🍿

Ответить
Развернуть ветку
Polina Oparina

Топовая история всё-таки)) всем офисом следили 😅

Ответить
Развернуть ветку
Краткий яд

Комментарий недоступен

Ответить
Развернуть ветку
Nikolay Yanchuk

Они фишинговую ссылку от имени коллеги не отправляли. Я сам продолбался и был невнимателен)
Мне пришла СМСка с утра и было несколько звонков с тайского номера, которые я проспал.
Проснувшись, я увидел просьбу от Амаля посмотреть, не было ли звонков
Я спросоня тупо скопипастил весь текст смски в слак, ну а дальше уже история описана

Ответить
Развернуть ветку
3 комментария
Drew

Состояние: друг героя статьи
«ну я спал и не услышал» (10:10 AM)

Ответить
Развернуть ветку
Боря Бро

Грамотно!👍 Вот бы и наши органы также возбуждались на подобные дела!

Ответить
Развернуть ветку
Valik Pavlov

В какой стране вы живете, что ваши органы не возбуждаются? В Нигерии?

Ответить
Развернуть ветку
1 комментарий
Алексей Полюсов

История топ, прям детектив. Но то как вы проебались с фиш ссылкой, это конечно "айтишники за 300". Расскажи кстати, откуда вообще ссылку взяли эту? Почему она попала в слэк?

Ответить
Развернуть ветку
Amal Usmanov
Автор

Ссылка из SMS, которую прислали Коле. Он переслал ее мне по слаку.

Ответить
Развернуть ветку
1 комментарий
A.K.

Вам очень повезло. В абсолютном большинстве случаев полиция не только не делает ничего, но еще и на стороне местных.

Ответить
Развернуть ветку
Краткий яд

Комментарий недоступен

Ответить
Развернуть ветку
4 комментария
Александр Лукьянов

В Камбодже (Пномпене) я "подарил" кому-то свою четверку 64Gb в 13 году. Телефон проявился на карте в полукилометре от меня (через речку Бассак) на следующий же день на местном рынке электроники. Пошел искать. Нашел (у меня там был скол в левой нижней части экрана). Лежит на ветрине. Посмотрел, повертел. Мое! Обращаться в полицию не стал. Тогда в Камбодже стремно все было. Не знаю как сейчас. Еще во Вьетнаме трешку кому то оставил. Пятерку в 15 году в Тае. Азиаты очень любят этот бренд. После этого я с Айфонами завязал )

Ответить
Развернуть ветку
Ипполит Воробьянинов
После этого я с Айфонами завязал )

Да, похоже, это не твоё... :-D

Ответить
Развернуть ветку
Илья М

это теряли или воровали?

Ответить
Развернуть ветку
1 комментарий
Антон Селихов

Может полиции на Бали тоже поможете?:) 
Так же лохонулся и отвязал айфон 

Ответить
Развернуть ветку
Amal Usmanov
Автор

Напишите мне в личку, можно поисследовать.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Andrey Novikov

Хорошая история, но не уверен, что прокатила бы с полицией у нас. 10/1, написали бы отказ за малой доказуемостью, к сожалению.

Ответить
Развернуть ветку
Сергей Исаков

Лол. Какой отказ) Какая малодоказуемость) 

Ответить
Развернуть ветку
Oleg Kachalov

История — топ!

Ответить
Развернуть ветку
Эффективный паук например

Классная история. Жаль, что не все так технически-подкованы😒

Ответить
Развернуть ветку
Чеченский пистолет

офигенно

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Вел Колдин

офигенно. красавчик) на Банглу с айфоном никогда не ездил, тока Нокио

Ответить
Развернуть ветку
Краткий яд

Комментарий недоступен

Ответить
Развернуть ветку
Печальный Мурод

Автор супер крутой:) Моё увожение)

Ответить
Развернуть ветку
Vasya Pupkin

Пахнет выдумкой от начала и до конца

Ответить
Развернуть ветку
Иван Полынцев

Статья написана на спор с Колей, что Амал поздравит его с ДР на vc.ru

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Александр Тарасов

Самый надежный вариант - гумнарь.

Ответить
Развернуть ветку
Проектный супер_стар

Комментарий недоступен

Ответить
Развернуть ветку
Tee Shark

Да, в плотной застройке бесполезно было искать. Я однажды долго наблюдал точку в колдце многоэтажек, и чесал репу что с этим делать — во дворе его, конечно, не было, где-то на окне лежал.

Начиная с 15-й версии и 12-го айфона, можно будет UWB использовать, даже если он выключен. Такой AirTag--переросток.

Ответить
Развернуть ветку
3 комментария
Александр Фатеев

🔥🔥🔥

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Gennady Marchenko

Just one word. Wow

Ответить
Развернуть ветку
Петр Виноградов

Микро-детектив...)  У нас, скорее всего, была бы немножко  другая концовка...

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Андрей Семенов

В этой истории странно то что ссылки уже не доступны полиция так быстро может закрывать такие сайты и сервера?

P.S. А самое интересное как можно объяснить полиции что информация была получена в результате взлома сайта.

Ответить
Развернуть ветку
Amal Usmanov
Автор

История произошла больше года назад.

Ответить
Развернуть ветку
Итальянский цветок

История топ. Классное решение... Но самый смешной момент - это переписка ))) А почему вы больше не в той компании? Теперь вы тоже занимаетесь анлоком?)

Ответить
Развернуть ветку
Илюша Шантарамка

Респект!

Ответить
Развернуть ветку
Алексей Березовой

Офигенно

Ответить
Развернуть ветку
Nikolay Vavilov

Как вы по фишинговой странице то прошли? удивительно конечно)))
А как вы тайцам все переводили и объясняли, что вот сами вычислили фишера?))

Ответить
Развернуть ветку
Константин Тишаков

Информативная статья, спасибо за разбор в формате триллера)
Тайские полицейские стали менее ленивыми или это была туристическая полиция?

Ответить
Развернуть ветку
Sergey Nester

Столкнулся с этим в Камбодже. Но до выкупа дело не дошло. Быстро сменил пароль

Ответить
Развернуть ветку
Danila

Прям детектив настоящий!

Ответить
Развернуть ветку
Serge Tikhonenko

Круто, вы молодец.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Взрослый холод

Класс, это бесценно!

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Elene Vernova

Очень круто!!

Ответить
Развернуть ветку
Chris Caro

Спасибо. Наконец-то оригинальный материал. :)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Wonabeez Doratie

Aviasales рулит?)

Ответить
Развернуть ветку
Аркадий Кушнерчук

Ничего не понятно, но ооочень интересно!

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Alexei Tr

👏👏👏👏👏

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Vitaly Zubarev

Детектэд неплохой... спасибо за время на контент-врайтинг...

docs:  - А как от Коли пришла фишинговая ссылка?? 
 - афоня введен в режим 'свистнули'
 - в облаке указан номер Коли для связи если всплывет
 - Коле позвонили с какого-то номера? с какого? 
 - куда Коле прислали линк? 

pls commit)

Ответить
Развернуть ветку
Бабка в засаде

Нихуя себе.
Шерлок Василич Холмс 

Ответить
Развернуть ветку
Максим Самойлов

Отличная статья. 

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Nice Man

В РФ помогли бы поймать этого вора?

Ответить
Развернуть ветку
J J

Красавчик! Просто нет слов, как круто сделал! 💪🙏

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Dmitrii Kniazev

история огонь! рад, что все благополучно закончилось

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Di V

Класс, обожаю такие кейсы🔥

Ответить
Развернуть ветку
Никита Маслов

Вау, угар!

Ответить
Развернуть ветку
German Gedgauds

У меня точно так же в этом году увели телефон в Барселоне, так же прислали фишинговую ссылку, сначала на английском а потом на испанском, думали может испанец, потому не ввожу данные. До сих пор полиция телефон не нашла (

Ответить
Развернуть ветку
Denny Stark

Читал взахлёб. Классная история

Ответить
Развернуть ветку
Леонид Рудык

Как же ты хорош!)) 

Ответить
Развернуть ветку
Кирилл Т

Офигенный детектив. Спасибо!

Ответить
Развернуть ветку
Кирилл Т

Как пришел фигинг то от коллеги?

Ответить
Развернуть ветку
Alexey Korsakov

Бонд! Джеймс Бонд! 
Офигенная история. Спасибо 😎

Ответить
Развернуть ветку
цорiк

Автор дэб, в компании по подбору билетов полы подметал, видимо

Ответить
Развернуть ветку
Amal Usmanov
Автор

Ты прав

Ответить
Развернуть ветку
Роман Рублевич

Хакер у хакера дубинку отнял?)  Молодец, чо.

Ответить
Развернуть ветку
Yu Li

Да эта история покруче настоящего детектива! :D и песпект тайской полиции.

Ответить
Развернуть ветку
Pavel Zhivulin

Вопрос - а в обратную сторону можно отправить сообщение?
К примеру у меня телефон на продажу вырвали из рук и убежали, он с iCloud lock, можно ли на него забросить сообщение с некоей social engineering ссылкой якобы от Apple, по которой похититель перейдет, введет все свои данные, карточку и будет ждать чудесного анлока?

Ответить
Развернуть ветку
Denis Vasiliev

Круто, вообще молоток!
Что касается детектива, то можно всё это сценаристам продать, но у дополнением, что на айфоне что-то государственной или даже мировой важности было. Фотка новой жены ВВП, например, или в заметках - код доступа к ЯО.

Ответить
Развернуть ветку
Constantin Maximov

Целое расследование! Браво! Молодец Мэн!

Ответить
Развернуть ветку
Irina Antonova

Офигенно интересно, не смотря на то, что треть слов лично мне не понятна. Можно вопрос для тех, кто не в теме? А по каким признакам внимательный читатель мог заметить, что ссылка фишинговая? По её окончанию?)

Ответить
Развернуть ветку
R D

А теперь прикиньте сколько людей в этом ничего не смыслят. И кто будет (из полиции), скажем в России или на Украине заниматься реальным полноценным поиском?  Думаю выводы понятны. 

Ответить
Развернуть ветку
Mikhail Alexandrovich Timoshin

кул

Ответить
Развернуть ветку
NiceBuh

В стиле фильма Заложница)
Еще бы сайт наказать по полной, со взломом)

Ответить
Развернуть ветку
キル ボルガリン

Отлично исполнил.

Ответить
Развернуть ветку
Евгений Красняк

Единственное не понял, как вам от коллеги в слаке пришла фишинговая ссылка?))

Ответить
Развернуть ветку
Airtemium

зачем обычному программисту Kali LInux?))

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Читать все 249 комментариев
null