| 微信第一风尚自媒体 |

范主说：请保护好你的苹果~

（文|fenggou，授权商务范发布）

如果你是iPhone用户，那今天的内容对你来说挺重要。这个事儿也许你经历过，也许你的朋友遇到过，但你没遇到过不知所以然，不过无需担心，我马上给你娓娓道来，再重复一次：今天这事儿对iPhone用户很重要！

Part.1

忘记从iOS哪个版本开始，苹果对iPhone上登录的AppleID（iCloud账号，就是你同步你通讯录、照片需要的那个账号）进行了严格的绑定措施。在没有iCloud密码的情况下，其他人没法把你账号注销换成自己的。

换句话说，你的这部iPhone登录iCloud账号后，除非你主动解除绑定，否则控制权将一直属于你。

挺好的不是么，买了个属于自己的东西，比那啥只能使用70年强多了。但是，但是！有个行业不爽了，那就是传说中的 “‘偷’机倒手” 族，专注于偷手机、然后销赃的利益链。

因苹果的这个绑定机制，偷来的手机不好卖了，买家绑定不了自己账号还面临随时被原主人锁机的风险谁干那？但做这个买卖的没有傻子，他们很快就想到了完美的应对方案：骗（别笑，这个方案在中国真的可以说完美）！

于是在丢失iPhone后，我们开始收到这样的短信／邮件：

手机丢了本来就心慌，里面存的那些照片、视频让别人看着可咋整啊……结果收到这种信息后，一下又充满了希望。原来可以拒绝其他人激活看到俺的信息，还能定位？赶紧看看偷手机的小兔崽子在哪！结果头一晕，手一快，手机彻底找不回来了不说，还将自己的iCloud账号拱手送给了骗子。

等等，刚刚剧情发展有点快，没看懂，这中间到底都发生了啥？点开明明就是iCloud登录页面么，那么酷炫屌炸天的Apple style我不会认错的。那现在我镜头慢回放，仔细看下点开的网站：

看看Apple官方的样子

https还算是一个识别依据吧，但也不是100%的，比如乌云社区的这个案例，骗子竟然也上了合法的https证书，

发现一个仿真度极高的Paypal钓鱼网站还支持SSL，链接：https://link.zhihu.com/?target=http%3A//zone.wooyun.org/content/24005

--------- 牛逼闪闪的分割线 ----------

其实上面的内容大家多少都知道点哈…就这么结束显然不够逼格，所以下面要放出重磅炸弹，白帽子对这种钓鱼平台的后台进行数据揭秘，看看到底有多少人中招，骗子怎么收密码的，以下内容来自乌云白帽子报告：

利用漏洞揭秘iCloud钓鱼网站（涉及20余个钓鱼站点，最近1个月1.3万Apple受害者，链接：https://link.zhihu.com/?target=http%3A//www.wooyun.org/bugs/wooyun-2018-0161152

首先白帽子对自己收到的这个iCloud骗子网站进行了深入的分析（骗错人了hiahia），不出意料发现了一个漏洞，这个漏洞不一般，感觉更像是钓鱼行业中“黑吃黑”现象故意留的后门（你买我的钓鱼程序，但后期我能悄悄的拿走你骗来的成果，对用户账号造成二次泄露影响），这个牛逼哄哄的漏洞是酱婶儿的

白帽子在这个钓鱼站上找到这个链接，打开后直接就是发件箱配置，里面一个163邮箱，密码星号看不到。不急，右键查看源代码，找到了星号下的明文邮箱密码，登录之，duang！原来受骗者填写的iCloud账号密码是通过这个邮箱发给后面的骗子。

随便点开一封邮件瞅瞅，老板请核实资料？

有了这个信息，就能解除iCloud绑定了，白帽子在这几分钟的时间内，发现这个邮箱仍然在对外发新的受骗者信息，可见其活跃。通过这个邮箱不完全统计，该骗子在一个月内竟成功骗到了一万三千多个iCloud账号和密码！

飞蛾扑火，前赴后继。明显感觉到这骗子已经累惨，平均每天要去验证433个iCloud账号，然后解绑手机点钱，这活儿还真有点吸引力呢。关于iPhone手机的倒卖行业，我也做了些了解，丢了想找回来几乎不可能，在各种钓鱼手段狂轰滥炸一个月后没中招的话，骗子会将你的手机买配件，大概2k左右的价格也很可观。

所以iPhone丢失后，不要抱有太多的幻想能够找回手机，期望越大，你越容易落入陷阱。

所以我的建议是平时的锁屏密码设置复杂些，毕竟都指纹解锁了，麻烦不到哪去，同步备份也勤快些省的丢失数据；其次丢失手机第一时间登录iCloud锁定手机，并在接下来的一段时间内警惕任何收到的短信、邮件（有的骗子直接跳出伪装跟你聊QQ，中间威逼利诱，比如你给500机器就还给你之类的，大家好自为之）。

哦对了，这事儿有破案的先例，

最后微博上收集了一些热心网友讨论，分享一下，今天就酱：

***Angeles：一看短信就知道假的，擦 人家官方几时写iPhone 为 iphone 过啊，大小写很注重的好吧 （细节党，赞）

三不知大师：故意输错密码账号试试能不能通过 （这还真是个小技巧，但不准）

余博伦是讨厌鬼：这前端仿得不错哈 （是的，好的钓鱼前端能迷倒千千万）

Leona***：小时候玩剑侠情缘网络版，被骗子的免费点卡充值引诱，在山寨官网上填写账号从而被盗号以后，对于任何需要填写密码的网页我都是检查了又检查。已坚持了十二年。 （一朝被蛇咬，十二年怕井绳，不过谨慎是个好事儿少年）

亦半亦*：手机丢后也收到过 如果不是苹果客服提醒骗子会想方设法的套取我的用户名和密码就信了 还好自己也上假冒网站上去过F12看了下就一张图片和一个表单提交控件。。 （技术流，但看域名更简单一些）

iTo***:手机丢啦，苹果也不会主动发短信给你的！所以这样的短信只能是骗子想获取你的id。稍后的每日一技中会提到~不过大家还是要注意下啦！

Part.2

这内容更惊悚，更要加以防范！

这个攻击叫做“GodLike攻击”。

上备份提到的骗子手段还算文艺的，用各种各样“文案”忽悠你交出密码，但你以为不上道就没事儿了？流氓会武术，谁都拦不住。现在骗子们开始用上“黑科技”，通过漏洞直接盗取你的AppleID邮箱，自己给手机iCloud安全绑定取消掉！

首先，各种软磨硬泡钓鱼你不上钩后，会收到这样的邮件：

或者这样的

哼哼，你以为骗子服软了？给点小钱就把手机还给你？图样啊……当你点开那张“照片”后，一段隐藏的恶意代码就在你的浏览器上欢快的开始干活了，“悄悄地进村，打枪的不要”。

隐藏的恶意代码如下，算了，反正你们也看不懂，我就不放图了。总之，骗子所谓的照片或者店铺地址隐藏了一个名叫“GodLike”的html页面，这个页面中的恶意代码利用了国内某大型邮件服务商的漏洞，

通过这个漏洞可以直接盗取你的邮箱控制权。

主要是获取XX邮箱sid、skey等关键认证信息。

还是放图吧，看看骗子的专业性。。。这张“图片”点开后是酱婶儿的，其实是个网页，藏着Godlike攻击代码

具体的GodLike攻击代码，窃取你邮箱的认证信息

将窃取到的认证信息发送到骗子的远程服务器上记录与利用，你邮箱就这么丢的，现在造了不？感觉骗子专业吧，会用漏洞了。

PS：上图线索来自，js可以跨域得到cookie?qq邮箱被一封邮件黑了?链接：https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx21dd00cd1ccac236&redirect_uri=http%3A%2F%2Fwww.zhihu.com%2Fquestion%2F39019943&response_type=code&scope=snsapi_base&state=8714c358ccfc35b9cbee19772612fdd7&connect_redirect=1#wechat_redirect

试想下，你用了XX厂的邮箱，然后还注册成了AppleID，那么当你点开这封邮件的时候，骗子通过漏洞窃取了你XX邮箱的控制权，然后上了你的邮箱翻些好玩的，顺便再给你AppleID的绑定给取消掉，好么，这次丢了邮箱又彻底赔了手机。。。

我目前接到了多起漏洞攻击举报，文件命名都是“GodLike”，所以将这种攻击行为命名为GodLike攻击，这种漏洞攻击力极强，不知骗子的音箱是否正回响着。

First Blood ！

Double Kill ！！

Triple Kill ！！！

M-m-m-m....Monster Kill ！！！！！

God Like ！！！！！

[骗子某] 已经接近神了。。。拜托谁杀了他把(350额外金钱)

注：dota玩家都懂得。

再注：很多人遇到这种钓鱼邮件后，喜欢打开链接进行嘲讽（如安全技术人员），但切记在浏览器隐身模式下打开，否则你正登录着的XX邮箱也会被盗走（误伤啊，放过我）。。

最后注：该漏洞我已经报告给XX邮箱官方，预计很快就会修复。目前防范手段就是不要在电脑或手机端直接打开邮件中的链接，在“隐身模式”中查看。

（本文经授权商务范发布｜来源：知乎专栏：乌云君；作者知乎ID：fenggou）

『 圈子 』

只谈风月，不谈国事