V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
my2492
V2EX  ›  信息安全

被钓鱼网站盗号,盗号者目前正在撞库,现在应该如何使损失最小?

  •  
  •   my2492 · 2020-06-29 15:23:17 +08:00 · 6230 次点击
    这是一个创建于 1633 天前的主题,其中的信息可能已经有所发展或是发生改变。
    被 steam 上钓鱼网站盗了,因为用的 qq 邮箱,并且密码很多地方用同一个,已经导致 Apple id 也中枪了(主要影响大小写标点数字都要的网站)

    reg007 查邮箱注册过哪些地方也不全,比如游戏就查不了,我大部分是用的手机注册的,顶多绑定邮箱

    好在我 qq 密码不同,盗号者无法盗走邮箱去改密码

    请问我现在应该怎么办?我该如何知道盗号者有没有登录 iCloud 下载我的照片?查了 apple id 登录设备没有多的,但是早上苹果账号被锁定,当时没注意直接解锁了,中午登不上 steam 才发现不对
    55 条回复    2020-07-02 20:25:14 +08:00
    kop1989
        1
    kop1989  
       2020-06-29 15:32:29 +08:00
    appleID 是可以改邮箱的,steam 不知道能不能改(好像是不能)。
    改邮箱就直接规避了。
    xuanbg
        2
    xuanbg  
       2020-06-29 15:34:10 +08:00
    二次验证才是正道
    kop1989
        3
    kop1989  
       2020-06-29 15:34:23 +08:00   ❤️ 3
    另外,如果不嫌弃,可以发出来钓鱼网站的网址,让我们乐呵乐呵
    Cu635
        4
    Cu635  
       2020-06-29 15:35:58 +08:00
    只能一个一个查,立刻修改密码。
    balabalabiubiu
        5
    balabalabiubiu  
       2020-06-29 15:36:31 +08:00
    @kop1989 很棒的建议
    my2492
        6
    my2492  
    OP
       2020-06-29 15:44:55 +08:00
    @kop1989 是 steam 上一个活动领皮肤的钓鱼网站,骗填游戏里的验证码的。pubghpl.fun 这个网站,以前不怎么玩 steam,陪朋友玩游戏才弄的,没想到 steam 社区首页上的还能是假的,官方居然不删掉
    Songxwn
        7
    Songxwn  
       2020-06-29 15:45:47 +08:00
    steam 可以改邮箱
    my2492
        8
    my2492  
    OP
       2020-06-29 15:47:00 +08:00
    现在确认信息:
    1 、qq 相关服务没有异常登录,邮箱没有被盗,不存在盗号者进邮箱删提示邮件
    2 、没有收到登录 iCloud 的邮件,应该没有登录 iCloud
    3 、早上 Apple ID 被锁,怀疑有人尝试登录 /登录后分享账号
    4 、盗号发生时间昨天 17:12,Apple ID 是早上起来被锁的,steam 是昨天晚上就被盗了,朋友提示我在线才发现
    my2492
        9
    my2492  
    OP
       2020-06-29 15:48:17 +08:00
    @kop1989 盗号者就是把邮箱也改了,所以现在在申诉
    ditel
        10
    ditel  
       2020-06-29 16:05:20 +08:00 via Android
    @my2492 steam 社区首页都是刷上去的,就是很多账号一起刷,总有漏网的
    my2492
        11
    my2492  
    OP
       2020-06-29 16:14:46 +08:00
    目前已经检查的绑定邮箱的地方:
    百度和部分网易游戏
    腾讯游戏采用 qq 登录,应该没有影响

    大家还能想到哪些地方一般会绑定邮箱的?非常感激大家

    微博、淘宝、抖音、大众点评和各种外卖软件、直播平台、b 站、支付宝、京东、苏宁、知乎、闲鱼均已检查,都是手机号登录

    百度已检查,提示未找到此密保邮箱,应该是没有绑定自己的 qq 邮箱

    现在开始检查境外平台用邮箱注册的应用
    my2492
        12
    my2492  
    OP
       2020-06-29 16:15:36 +08:00
    @ditel 我刚才去看了一下,现在都还在。。这么大的东西就在首页最前面,难以置信,都一天了还没删
    oko
        13
    oko  
       2020-06-29 16:16:49 +08:00
    lastpass 保平安
    Twice
        14
    Twice  
       2020-06-29 16:19:43 +08:00 via iPhone
    建议通过这次事情,使用密码管理软件 1p,enpass,keepass,lastpass 之类的,同时加上 totp 把常用的都换掉,totp 加强抗风险能力,生成随机强密码也减少被一锅端的风险。
    mistakes2333
        15
    mistakes2333  
       2020-06-29 16:29:17 +08:00 via Android
    @my2492 这个是游戏评论..谁都可以写的 只能说社区没人管 而且也没人防范
    my2492
        16
    my2492  
    OP
       2020-06-29 16:29:26 +08:00
    已检查 twitter 、instagram 、pixiv 等海外平台,暂时没有发现异常
    ClarkAbe
        17
    ClarkAbe  
       2020-06-29 16:29:38 +08:00 via iPhone
    @my2492 安排上了这就去抓接口写自动提交
    yujiang
        18
    yujiang  
       2020-06-29 16:31:30 +08:00 via Android
    兄台你先把手机上的苹果账号退一下吧,万一被人登上去了抹你数据就惨了
    kop1989
        19
    kop1989  
       2020-06-29 16:31:38 +08:00
    @ClarkAbe #17 用了防 ddos 和人类检测,postMan 搞不定了,非专业前端表示压力很大。😂
    yujiang
        20
    yujiang  
       2020-06-29 16:40:48 +08:00 via Android
    打不了。。。他套了 cf,成本太大。
    不过你可以向 cf 提交滥用
    https://support.cloudflare.com/hc/zh-cn/articles/360028158352
    ClarkAbe
        21
    ClarkAbe  
       2020-06-29 16:57:00 +08:00 via iPhone
    @kop1989 直接提交接口啊……带上 cookie
    kop1989
        22
    kop1989  
       2020-06-29 17:00:37 +08:00
    @ClarkAbe #21 接口会验证 js,直接提交会跳转到 cf 的页面上被洗掉,有层 cf 做浏览器和真人验证,不知道咋下手
    wildcat007
        23
    wildcat007  
       2020-06-29 17:00:37 +08:00
    steam 很多留言盗号的,领 PUBG 皮肤的~举报过没啥用。
    my2492
        24
    my2492  
    OP
       2020-06-29 17:02:11 +08:00
    @yujiang 抹掉数据需要验证锁屏密码吗?还是只要 Apple ID 密码就行?
    LnTrx
        25
    LnTrx  
       2020-06-29 17:03:40 +08:00
    之前 V2EX 被打时,据说攻击者有能力穿透 cf,不知道是啥技术
    my2492
        26
    my2492  
    OP
       2020-06-29 17:04:17 +08:00
    @yujiang 昨天他自动用 194.156.123.122 这个 ip 登了我的号,这个应该是后端的一部分
    fetich
        27
    fetich  
       2020-06-29 17:31:23 +08:00
    @LnTrx 钞能力(狗头
    Atukey
        28
    Atukey  
       2020-06-29 17:32:46 +08:00
    @ClarkAbe 除非你能模拟人家的 token
    so1n
        29
    so1n  
       2020-06-29 17:39:13 +08:00
    所以我一个域名 /公司一个密码,防止一个密码出问题,别的也遭殃
    valkyrja
        30
    valkyrja  
       2020-06-29 18:00:51 +08:00
    用 1password 每个账号不同密码,再也不怕被撞库了
    家庭版还有车位,联系 tg:vvalkyrja (狗头
    kop1989
        31
    kop1989  
       2020-06-29 18:15:51 +08:00
    我发现是 10 条提交就禁 ip,所以只能插 10 条 fuXkyXu 然后就 403 了😂
    zqz19941106
        32
    zqz19941106  
       2020-06-29 18:26:03 +08:00
    钓鱼网站 url 有吗 帮你攻击他 写点脏数据什么的
    my2492
        33
    my2492  
    OP
       2020-06-29 18:30:06 +08:00
    @zqz19941106 pubghpl 点 fun 这个是网站,试了一下不好攻击,它是实时验证密码正确性的,不是收集后人工尝试的。
    不过它后端使用的 ip 是 194.156.123.122 ,当时收到了如下邮件:

    这封电子邮件生成是由于地址为 194.156.123.122 ( RU )的电脑试图登录您的帐户。该地址在试图登录时输入了您正确的帐户名称和密码。
    ghylcg
        34
    ghylcg  
       2020-06-29 18:35:08 +08:00
    这个应该没事的,你之所以被盗号,是因为你点了链接,他跟你要了邮箱的验证码,你输入了验证码,他直接改你的 steam 密码了应该是,他应该没拿到你的密码,账号被盗了他们有群出售账号,然后有人买号开挂带老板上分
    my2492
        35
    my2492  
    OP
       2020-06-29 18:44:04 +08:00
    @ghylcg 是的,整个流程大概是输入账号密码——您的 Steam 帐户:来自新电脑的访问 邮件——Steam Account Recovery 邮件——与 Steam 帐户关联的电子邮件地址已被成功更改 邮件
    我朋友也证实了这个号昨天晚上就开始有人在玩了,今天早上又有人玩了两小时。然后我这个号的名称直接是我的 qq 号

    然后今天早上我用 qq 号做主邮箱的 Apple ID 被锁定,原因未知。客服说被人暴力破解输错 5 次或者是被人一次成功登陆异地登陆等行为都可能触发锁定。个人感觉应该没破解成功,邮箱里没收到账号登录提示邮件,也没有锁我手机,话说盗苹果 ID 最常见的不就是锁手机勒索么,不过这个事情感觉也真的很巧合
    kop1989
        36
    kop1989  
       2020-06-29 18:58:49 +08:00 via iPhone
    @my2492 哦,这就明了了,怪不得写脏数据能实时返回密码错误。他的目的是拿到改密码邮件的验证码。
    这就很难再恶心他了,主要用了 cf 的 cdn,不是国内黑作坊的流派。
    my2492
        37
    my2492  
    OP
       2020-06-29 19:01:35 +08:00
    @kop1989 他这个理论上能看到我输入的密码吗?我现在就是觉得 Apple ID 早上被锁很奇怪,之前一直很正常,怀疑他对我的 Apple ID 干了什么..
    no1xsyzy
        38
    no1xsyzy  
       2020-06-29 19:22:34 +08:00
    吃一堑,长一智
    用密码管理器
    如果域名不对,就不会自动填充,自动防范钓鱼。
    lidodo
        39
    lidodo  
       2020-06-29 19:29:57 +08:00
    1 、随机生成密码
    2 、二步验证
    能解决大多数问题。
    ddefewfewf
        40
    ddefewfewf  
       2020-06-29 20:10:13 +08:00 via iPhone
    ddos 吧
    KamenReborn
        41
    KamenReborn  
       2020-06-29 20:11:56 +08:00
    密码管理器,域名不对是根本不会自动填充
    my2492
        42
    my2492  
    OP
       2020-06-29 20:24:47 +08:00
    @KamenReborn 会影响使用某平台账号授权登录其他平台这样的吗?
    KamenReborn
        43
    KamenReborn  
       2020-06-29 20:49:11 +08:00
    @my2492 #42 授权登录也会跳回源网站再登录啊
    xyjincan
        44
    xyjincan  
       2020-06-29 21:24:21 +08:00
    查 chrome 的密码记录
    yujiang
        45
    yujiang  
       2020-06-29 21:39:11 +08:00 via Android
    @LnTrx 有个网站能查 cf 真实 IP 来着

    @my2492 俄.罗斯的,兜兜转转看了一圈感觉像肉鸡
    QUIOA
        46
    QUIOA  
       2020-06-29 23:29:39 +08:00 via Android
    @yujiang 什么网站啊
    kop1989
        47
    kop1989  
       2020-06-30 09:08:13 +08:00
    @yujiang #45 试过了,无论是 censys 还是 d@n@s 历史记录都木有,RU 果然比咱这边的杂鱼专业的多😂
    ghylcg
        48
    ghylcg  
       2020-06-30 09:59:07 +08:00
    @my2492 前段时间也手欠点了一次,导致账号被封,因为账号里有点枪的皮肤,所以申诉回来了,正常走申诉就行,会跟你要一个交易的截图,如果充过钱的话,账号应该就可以申诉回来
    zanewayne
        49
    zanewayne  
       2020-06-30 11:29:20 +08:00
    steam 推荐评论的链接基本都是钓鱼(可以改游玩时间 10 小时以上的评论上首页推荐,钓鱼的游戏时间一般都不会超过 1 小时),而且 steam 被盗的一般是没开启手机令牌二次验证
    glfpes
        50
    glfpes  
       2020-06-30 11:40:05 +08:00
    没救了,唯有换密码。
    my2492
        51
    my2492  
    OP
       2020-06-30 12:42:01 +08:00
    @ghylcg 我也申诉回来了,申诉回来非常容易,但是这种钓鱼网站会不会去折腾其他平台的密码是个问题
    yhyh
        52
    yhyh  
       2020-06-30 14:45:32 +08:00
    不检查一下游戏的装备吗
    my2492
        53
    my2492  
    OP
       2020-06-30 17:10:55 +08:00 via Android
    @yhyh 游戏没什么大问题,毕竟不涉及隐私和消费
    xyjincan
        54
    xyjincan  
       2020-07-02 10:23:15 +08:00
    再提交一个错误密码到钓鱼网站?
    my2492
        55
    my2492  
    OP
       2020-07-02 20:25:14 +08:00 via Android   ❤️ 1
    @xyjincan 钓鱼网站是实时验证你密码是否正确的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2145 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 00:01 · PVG 08:01 · LAX 16:01 · JFK 19:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.