V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
huangxiao123
V2EX  ›  信息安全

国内近期针对微软账户 Hotmail 进行扫号操作

  •  3
     
  •   huangxiao123 · 153 天前 · 15862 次点击
    这是一个创建于 153 天前的主题,其中的信息可能已经有所发展或是发生改变。

    原由:昨天晚上的时候,发现微软的 Authenticator 弹出了个莫名其妙的认证请求,一开始疑惑是谁在登录,并且开始回想起本人平常有没有泄露账户,经排查,没泄露过该账户出去,该账户只用于微软家族的产品登录,没用于其他地方,疑似是通过 csrf /数据泄露获取到邮箱号

    通过 https://account.live.com/Activity 进行排查,发现两个 IP 登录操作,如下

    • 114.100.82.7 ,尝试登录时间为:6.22 00:08 分操作
    • 111.127.50.125 ,尝试登录时间为:6.23 17:35 分操作

    whois 信息如下

    • 114.100.82.7
    % [whois.apnic.net]
    % Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
    
    % Information related to '114.96.0.0 - 114.103.255.255'
    
    % Abuse contact for '114.96.0.0 - 114.103.255.255' is '[email protected]'
    
    inetnum:        114.96.0.0 - 114.103.255.255
    netname:        CHINANET-AH
    descr:          CHINANET Anhui PROVINCE NETWORK
    descr:          China Telecom
    descr:          No.31,jingrong street
    descr:          Beijing 100032
    country:        CN
    admin-c:        JW89-AP
    tech-c:         JW89-AP
    abuse-c:        AC1573-AP
    status:         ALLOCATED PORTABLE
    remarks:        service provider
    remarks:        --------------------------------------------------------
    remarks:        To report network abuse, please contact mnt-irt
    remarks:        For troubleshooting, please contact tech-c and admin-c
    remarks:        Report invalid contact via www.apnic.net/invalidcontact
    remarks:        --------------------------------------------------------
    mnt-by:         APNIC-HM
    mnt-lower:      MAINT-CHINANET-AH
    mnt-routes:     MAINT-CHINANET-AH
    mnt-irt:        IRT-CHINANET-CN
    last-modified:  2021-06-15T08:06:13Z
    source:         APNIC
    
    irt:            IRT-CHINANET-CN
    address:        No.31 ,jingrong street,beijing
    address:        100032
    e-mail:         [email protected]
    abuse-mailbox:  [email protected]
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    auth:           # Filtered
    remarks:        [email protected] was validated on 2024-04-15
    mnt-by:         MAINT-CHINANET
    last-modified:  2024-04-15T01:54:23Z
    source:         APNIC
    
    role:           ABUSE CHINANETCN
    address:        No.31 ,jingrong street,beijing
    address:        100032
    country:        ZZ
    phone:          +000000000
    e-mail:         [email protected]
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    nic-hdl:        AC1573-AP
    remarks:        Generated from irt object IRT-CHINANET-CN
    remarks:        [email protected] was validated on 2024-04-15
    abuse-mailbox:  [email protected]
    mnt-by:         APNIC-ABUSE
    last-modified:  2024-04-15T01:55:05Z
    source:         APNIC
    
    person:         Jinneng Wang
    address:        17/F, Postal Building No.120 Changjiang
    address:        Middle Road, Hefei, Anhui, China
    country:        CN
    phone:          +86-551-2659073
    fax-no:         +86-551-2659287
    e-mail:         [email protected]
    nic-hdl:        JW89-AP
    mnt-by:         MAINT-CHINANET-AH
    last-modified:  2014-02-21T01:19:43Z
    source:         APNIC
    
    % This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)
    
    • 111.127.50.125
    % [whois.apnic.net]
    % Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
    
    % Information related to '111.126.0.0 - 111.127.255.255'
    
    % Abuse contact for '111.126.0.0 - 111.127.255.255' is '[email protected]'
    
    inetnum:        111.126.0.0 - 111.127.255.255
    netname:        CHINANET-NM
    descr:          CHINANET NeiMengGu province network
    descr:          Data Communication Division
    descr:          China Telecom
    descr:          No.31,jingrong street
    descr:          Beijing 100032
    country:        CN
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    abuse-c:        AC1573-AP
    status:         ALLOCATED PORTABLE
    remarks:        service provider
    remarks:        --------------------------------------------------------
    remarks:        To report network abuse, please contact mnt-irt
    remarks:        For troubleshooting, please contact tech-c and admin-c
    remarks:        Report invalid contact via www.apnic.net/invalidcontact
    remarks:        --------------------------------------------------------
    notify:         [email protected]
    mnt-by:         APNIC-HM
    mnt-lower:      MAINT-CHINANET-NM
    mnt-routes:     MAINT-CHINANET-NM
    mnt-irt:        IRT-CHINANET-CN
    last-modified:  2021-06-15T08:05:56Z
    source:         APNIC
    
    irt:            IRT-CHINANET-CN
    address:        No.31 ,jingrong street,beijing
    address:        100032
    e-mail:         [email protected]
    abuse-mailbox:  [email protected]
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    auth:           # Filtered
    remarks:        [email protected] was validated on 2024-04-15
    mnt-by:         MAINT-CHINANET
    last-modified:  2024-04-15T01:54:23Z
    source:         APNIC
    
    role:           ABUSE CHINANETCN
    address:        No.31 ,jingrong street,beijing
    address:        100032
    country:        ZZ
    phone:          +000000000
    e-mail:         [email protected]
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    nic-hdl:        AC1573-AP
    remarks:        Generated from irt object IRT-CHINANET-CN
    remarks:        [email protected] was validated on 2024-04-15
    abuse-mailbox:  [email protected]
    mnt-by:         APNIC-ABUSE
    last-modified:  2024-04-15T01:55:05Z
    source:         APNIC
    
    person:         Chinanet Hostmaster
    nic-hdl:        CH93-AP
    e-mail:         [email protected]
    address:        No.31 ,jingrong street,beijing
    address:        100032
    phone:          +86-10-58501724
    fax-no:         +86-10-58501724
    country:        CN
    mnt-by:         MAINT-CHINANET
    last-modified:  2022-02-28T06:53:44Z
    source:         APNIC
    
    % This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)
    
    

    使用 https://ip.sy/查询的地理位置如下

    • 114.100.82.7: 中国安徽省合肥市瑶海区北二环路,瑶海区香江国际佳元(北二环路南) // 安徽省合肥市瑶海区方庙街道北二环路 144 号香江国际佳元
    • 111.127.50.125: 中国内蒙古自治区呼和浩特市赛罕区蒙中医院巷,赛罕区民望家园 1 区(蒙中医院巷北) // 内蒙古自治区呼和浩特市赛罕区昭乌达路街道民望巷民望家园一区

    ASN 均为: AS4134

    微步:

    腾讯威胁平台:

    查询总结:

    111.127.50.125 对应 ICP:

    两者 IP 只开了 53 TCP + 1041 TCP

    疑似是一伙人,不知各位 V 友怎么看待,疑似是国内某个扫号团伙拿到了微软泄露的数据库进行批量登录验证爆破

    144 条回复    2024-10-16 20:15:04 +08:00
    1  2  
    JingHG
        101
    JingHG  
       152 天前
    看了一下我的账号,确实被扫了,还好我都是独立密码。
    chanChristin
        102
    chanChristin  
       152 天前
    https://img.03-a.org/file/111e07ee685f6f46e9521.png
    我的 3 位 live 邮箱一直在被扫,都没停过。
    liofoil
        103
    liofoil  
       152 天前
    看了下我的账号也在被扫,至少一个月前就开始了
    huangxiao123
        104
    huangxiao123  
    OP
       152 天前
    @hqt1021 #97 工具什么的其实好写,但是突然集中在近期,行迹未免太可疑,感觉是有组织的
    nznd
        105
    nznd  
       152 天前
    我为了测试微软用户账户专门注册的一个 hotmail ,脸滚键盘方式输密码到 txt 再复制粘贴的,这两天在疯狂弹二步验证
    yqchilde
        106
    yqchilde  
       152 天前
    hotmail 扫号挺频繁的,tg 上很多卖的数据集,扫扫绑定过啥业务
    hqt1021
        107
    hqt1021  
       152 天前
    @huangxiao123 一直在扫,只是暑假快到了号不够了又来了一批人扫,刚看了眼群还发了 3 个多 g 的 cn combo...
    hellsakura
        108
    hellsakura  
       152 天前
    我今天早上凌晨 3 点弹了一个即时通知请求登录,但是我在活动历史里没找到这个登录请求,有人知道怎么查看 ios 的通知记录吗
    KKFantasy
        109
    KKFantasy  
       152 天前
    我的好像正常,6 月只有两条记录,都是我自己登录的。不过我 outllook 也没怎么用,注册账户都用的 gmail
    leimu012
        110
    leimu012  
       152 天前
    我的月初提醒异地登录,然后改了密码,我看是异地的记录是登录成功
    yuhaofe
        111
    yuhaofe  
       152 天前
    自从 edge 里 300 多条密码泄露之后基本是 7*24 小时在被扫,已经习惯了😊
    greeny1025
        112
    greeny1025  
       152 天前

    我的 Hotmail 被尝试登录大半年了,7*24 未间断,每次 IP 还都不一样。不过安全验证全开了基本不会被攻破。
    Dk2014
        113
    Dk2014  
       152 天前   ❤️ 1
    我原来添加的几个单词 live 邮箱一直在被爆破,没有停过,不止登陆 还会尝试同步邮件
    前几天把这几个邮箱登陆全关掉了,只使用我的域名邮箱,然后就消停了
    AlynxZhou
        114
    AlynxZhou  
       152 天前
    很多年前注册了一个 `@msn.com` 的邮箱当主力微软帐户,刚才看了一下登录记录发现我的也有,不过全都密码验证失败了。

    立即添加了两步验证应用。
    huntley
        115
    huntley  
       152 天前
    我也遇到了。
    hendry
        116
    hendry  
       151 天前 via Android
    我的天,看到这篇帖子才想起来,早在 5 月 25 日至 6 月上旬,我的微软 Authenticator 就弹出了很多次的登录请求并提示异常活动,我当时还以为是我的 IP 变动触发微软安全机制导致的,今天进去看 IP 有来自南京、镇江、三亚以及日本、欧美的。我刚好有 2 个地区的 outlook 邮箱,目前是注册国外地址的遭到了攻击,地区选择中国的相安无事。
    essethon
        117
    essethon  
       151 天前
    @Dk2014 #113 不错的思路,我也尝试一下。把域名邮箱设置成 primary alias 然后把所有 outlook.com/hotmail.com 等等结尾的 alias 的 sign-in 权限都取消掉。
    404www
        118
    404www  
       151 天前
    @huangxiao123 邮箱怎么改啊,我有一个/几个账号一直被扫发认证码。。烦死了
    hendry
        119
    hendry  
       151 天前 via Android
    38.207.136.2 美国 异常活动 6 月 15 日异常活动
    117.92.238.99 江苏连云港 6 月 12 日 5:22 密码错误
    106.111.246.183 江苏镇江 6 月 3 日 5:55 密码错误
    60.169.94.79 安徽芜湖 5 月 31 日 13:27 密码错误

    119.41.193.40 海南三亚 5 月 31 日 13:25 密码错误
    185.220.238.154 日本 5 月 25 日 1:49 7:09 异常活动
    essethon
        120
    essethon  
       151 天前   ❤️ 1
    @404www #118 添加一个 alias (不一定是新创建,可以/最好是自己已有的非 Microsoft email 地址比如域名邮箱或者 Gmail 等都可以) https://support.microsoft.com/en-us/office/add-or-remove-an-email-alias-in-outlook-com-459b1989-356d-40fa-a689-8f285b13f1f2

    然后在 https://account.live.com/names/Manage 把添加的 alias 设置成 primary alias

    最后在下面的 Sign-in preferences 里把除了 primary alias 之外的所有登录名全部取消勾选。

    这么做的话,你的 Microsoft account 就只能用刚添加的那个(非微软邮箱后缀的) alias 登录了,如果用原有的 [email protected] / [email protected] 尝试登录的话会提示账号不存在。
    huangxiao123
        121
    huangxiao123  
    OP
       151 天前
    @leimu012 #110 你这个比较危险了
    huangxiao123
        122
    huangxiao123  
    OP
       151 天前
    @hendry #119 感谢补充 IP
    huangxiao123
        123
    huangxiao123  
    OP
       151 天前
    @404www #118 楼下有专业的兄弟回复了你,我也不太懂这个
    yjxjn
        124
    yjxjn  
       151 天前
    确实。我别名有很多,都以密码错误失败告终了。但是我目前有 2FA ,防止楼上说的弹窗误操作 OK 的问题,特意一直用的 code 验证。

    https://imgur.com/a/Xmsa2s4
    javeil
        125
    javeil  
       151 天前
    微软账号强制 mfa 了吧 要是拿到密码撞库撞上了也没啥意义。。
    xiafengjieying
        126
    xiafengjieying  
       151 天前 via iPhone
    @fairytale 我也是
    oldboy627
        127
    oldboy627  
       151 天前
    @greeny1025 英国那个自动同步,是不是说明登录成功了
    terryl
        128
    terryl  
       151 天前
    @essethon 的确这是目前为止端侧唯一有效避免继续被扫的操作了。
    ShareDuck
        129
    ShareDuck  
       151 天前
    Hotmail 好像从来就没停过。https://imgur.com/GVm0LEg
    bigshawn
        130
    bigshawn  
       151 天前
    outlook 最近一直都有克罗地亚、德国、乌克兰的,还全是 IPv6 。
    Andrue
        131
    Andrue  
       151 天前
    最近半年有些游戏论坛也在讨论这个情况,说明攻击者的爆破行动早就开始了
    journalist
        132
    journalist  
       151 天前
    去年有段时间经常有美国 IP 尝试密码登录,后来我开启了无密码,也遇到过几次弹验证器。最近倒是没有。
    Andrue
        133
    Andrue  
       151 天前
    两个账号检查了下这四个月平均每天二十次登录尝试,怕了怕了
    还是开无密码吧
    guguxia
        134
    guguxia  
       151 天前
    开了无密码登录,没弹过验证器
    yazoox
        135
    yazoox  
       151 天前
    为什么只有 Microsoft 的邮箱碰到了这个问题,其它的比如 gmail 有这个现象么?
    suchasplus
        136
    suchasplus  
       151 天前
    我的 MS Authenticator 也弹了,当场点了拒绝。
    然后 gmail 收到个邮件,说我的 EA 因为安全问题被禁用了,需要改密码
    l4ever
        137
    l4ever  
       151 天前
    和楼主一样, 我也收到了登录二次认证提示.
    404www
        138
    404www  
       151 天前
    @essethon 感谢回复!
    huangxiao123
        139
    huangxiao123  
    OP
       149 天前
    截止目前 6.27 ,没收到二次认证提醒了
    bluebee
        140
    bluebee  
       145 天前
    幸好从来不用 APP 上确认当两步验证,一不留神就可能点击同意。由于微软账号名称简洁,经常遇到这种情况,还有每天的大量垃圾邮件和钓鱼邮件。
    ulyssesg
        141
    ulyssesg  
       142 天前
    这跟国内没关系。
    如果你的微软账户开了免密码登录,同时又选择 Microsoft authenticator 作为登录凭证(这是微软推荐的方式),就会存在这样一个风险窗口:如果另一个人恰好在你登录的同时也输入你的邮箱试图登录你的账号,那么你有可能会误把他的那次登录批准。这事就是大海捞针式的捡尸,但尝试够多就会有人受害。
    微软出于推自己产品及绑定客户的目的搞了这么一个极度不安全的策略,真是够丧心病狂的。现在全世界指望吃这口饭的人应该很多了,微软居然还死不悔改。
    061uU7O7hUY73XI6
        142
    061uU7O7hUY73XI6  
       99 天前
    7 月 16 号开始第一次异常登录,后面断断续续一直有,我还以为是 iPhone 的问题呢,因为在 iphone 里设置了该邮箱,看来有很多人遇到了。
    G1k
        143
    G1k  
       96 天前
    一样遇到了,但是我全都是国内的 ip
    LaoChen
        144
    LaoChen  
       37 天前
    也碰到了。没有设置 MS Authenticator 的账户,每隔 2 小时世界各地的尝试登录(会话活动:输入的密码不正确),各种设备都有( MacOS+Safari 也有。还有“未知”设备+“未知”浏览器的)。IP 来自世界各地,甚至包括伊拉克巴格达
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2715 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:02 · PVG 20:02 · LAX 04:02 · JFK 07:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.