国内近期针对微软账户 Hotmail 进行扫号操作

104 天前
 huangxiao123

原由:昨天晚上的时候,发现微软的 Authenticator 弹出了个莫名其妙的认证请求,一开始疑惑是谁在登录,并且开始回想起本人平常有没有泄露账户,经排查,没泄露过该账户出去,该账户只用于微软家族的产品登录,没用于其他地方,疑似是通过 csrf /数据泄露获取到邮箱号

通过 https://account.live.com/Activity 进行排查,发现两个 IP 登录操作,如下

whois 信息如下

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '114.96.0.0 - 114.103.255.255'

% Abuse contact for '114.96.0.0 - 114.103.255.255' is 'anti-spam@chinatelecom.cn'

inetnum:        114.96.0.0 - 114.103.255.255
netname:        CHINANET-AH
descr:          CHINANET Anhui PROVINCE NETWORK
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
admin-c:        JW89-AP
tech-c:         JW89-AP
abuse-c:        AC1573-AP
status:         ALLOCATED PORTABLE
remarks:        service provider
remarks:        --------------------------------------------------------
remarks:        To report network abuse, please contact mnt-irt
remarks:        For troubleshooting, please contact tech-c and admin-c
remarks:        Report invalid contact via www.apnic.net/invalidcontact
remarks:        --------------------------------------------------------
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-AH
mnt-routes:     MAINT-CHINANET-AH
mnt-irt:        IRT-CHINANET-CN
last-modified:  2021-06-15T08:06:13Z
source:         APNIC

irt:            IRT-CHINANET-CN
address:        No.31 ,jingrong street,beijing
address:        100032
e-mail:         anti-spam@chinatelecom.cn
abuse-mailbox:  anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
auth:           # Filtered
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
mnt-by:         MAINT-CHINANET
last-modified:  2024-04-15T01:54:23Z
source:         APNIC

role:           ABUSE CHINANETCN
address:        No.31 ,jingrong street,beijing
address:        100032
country:        ZZ
phone:          +000000000
e-mail:         anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
nic-hdl:        AC1573-AP
remarks:        Generated from irt object IRT-CHINANET-CN
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
abuse-mailbox:  anti-spam@chinatelecom.cn
mnt-by:         APNIC-ABUSE
last-modified:  2024-04-15T01:55:05Z
source:         APNIC

person:         Jinneng Wang
address:        17/F, Postal Building No.120 Changjiang
address:        Middle Road, Hefei, Anhui, China
country:        CN
phone:          +86-551-2659073
fax-no:         +86-551-2659287
e-mail:         ahdata@189.cn
nic-hdl:        JW89-AP
mnt-by:         MAINT-CHINANET-AH
last-modified:  2014-02-21T01:19:43Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)

% [whois.apnic.net]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

% Information related to '111.126.0.0 - 111.127.255.255'

% Abuse contact for '111.126.0.0 - 111.127.255.255' is 'anti-spam@chinatelecom.cn'

inetnum:        111.126.0.0 - 111.127.255.255
netname:        CHINANET-NM
descr:          CHINANET NeiMengGu province network
descr:          Data Communication Division
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
admin-c:        CH93-AP
tech-c:         CH93-AP
abuse-c:        AC1573-AP
status:         ALLOCATED PORTABLE
remarks:        service provider
remarks:        --------------------------------------------------------
remarks:        To report network abuse, please contact mnt-irt
remarks:        For troubleshooting, please contact tech-c and admin-c
remarks:        Report invalid contact via www.apnic.net/invalidcontact
remarks:        --------------------------------------------------------
notify:         cyg@nmgtele.com
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-NM
mnt-routes:     MAINT-CHINANET-NM
mnt-irt:        IRT-CHINANET-CN
last-modified:  2021-06-15T08:05:56Z
source:         APNIC

irt:            IRT-CHINANET-CN
address:        No.31 ,jingrong street,beijing
address:        100032
e-mail:         anti-spam@chinatelecom.cn
abuse-mailbox:  anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
auth:           # Filtered
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
mnt-by:         MAINT-CHINANET
last-modified:  2024-04-15T01:54:23Z
source:         APNIC

role:           ABUSE CHINANETCN
address:        No.31 ,jingrong street,beijing
address:        100032
country:        ZZ
phone:          +000000000
e-mail:         anti-spam@chinatelecom.cn
admin-c:        CH93-AP
tech-c:         CH93-AP
nic-hdl:        AC1573-AP
remarks:        Generated from irt object IRT-CHINANET-CN
remarks:        anti-spam@chinatelecom.cn was validated on 2024-04-15
abuse-mailbox:  anti-spam@chinatelecom.cn
mnt-by:         APNIC-ABUSE
last-modified:  2024-04-15T01:55:05Z
source:         APNIC

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         anti-spam@chinatelecom.cn
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
mnt-by:         MAINT-CHINANET
last-modified:  2022-02-28T06:53:44Z
source:         APNIC

% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-JP3)

使用 https://ip.sy/查询的地理位置如下

ASN 均为: AS4134

微步:

腾讯威胁平台:

查询总结:

111.127.50.125 对应 ICP:

两者 IP 只开了 53 TCP + 1041 TCP

疑似是一伙人,不知各位 V 友怎么看待,疑似是国内某个扫号团伙拿到了微软泄露的数据库进行批量登录验证爆破

14298 次点击
所在节点    信息安全
143 条回复
JingHG
103 天前
看了一下我的账号,确实被扫了,还好我都是独立密码。
chanChristin
103 天前
https://img.03-a.org/file/111e07ee685f6f46e9521.png
我的 3 位 live 邮箱一直在被扫,都没停过。
liofoil
103 天前
看了下我的账号也在被扫,至少一个月前就开始了
huangxiao123
103 天前
@hqt1021 #97 工具什么的其实好写,但是突然集中在近期,行迹未免太可疑,感觉是有组织的
nznd
103 天前
我为了测试微软用户账户专门注册的一个 hotmail ,脸滚键盘方式输密码到 txt 再复制粘贴的,这两天在疯狂弹二步验证
yqchilde
103 天前
hotmail 扫号挺频繁的,tg 上很多卖的数据集,扫扫绑定过啥业务
hqt1021
103 天前
@huangxiao123 一直在扫,只是暑假快到了号不够了又来了一批人扫,刚看了眼群还发了 3 个多 g 的 cn combo...
hellsakura
103 天前
我今天早上凌晨 3 点弹了一个即时通知请求登录,但是我在活动历史里没找到这个登录请求,有人知道怎么查看 ios 的通知记录吗
KKFantasy
103 天前
我的好像正常,6 月只有两条记录,都是我自己登录的。不过我 outllook 也没怎么用,注册账户都用的 gmail
leimu012
103 天前
我的月初提醒异地登录,然后改了密码,我看是异地的记录是登录成功
yuhaofe
103 天前
自从 edge 里 300 多条密码泄露之后基本是 7*24 小时在被扫,已经习惯了😊
greeny1025
103 天前

我的 Hotmail 被尝试登录大半年了,7*24 未间断,每次 IP 还都不一样。不过安全验证全开了基本不会被攻破。
Dk2014
103 天前
我原来添加的几个单词 live 邮箱一直在被爆破,没有停过,不止登陆 还会尝试同步邮件
前几天把这几个邮箱登陆全关掉了,只使用我的域名邮箱,然后就消停了
AlynxZhou
103 天前
很多年前注册了一个 `@msn.com` 的邮箱当主力微软帐户,刚才看了一下登录记录发现我的也有,不过全都密码验证失败了。

立即添加了两步验证应用。
huntley
103 天前
我也遇到了。
hendry
103 天前
我的天,看到这篇帖子才想起来,早在 5 月 25 日至 6 月上旬,我的微软 Authenticator 就弹出了很多次的登录请求并提示异常活动,我当时还以为是我的 IP 变动触发微软安全机制导致的,今天进去看 IP 有来自南京、镇江、三亚以及日本、欧美的。我刚好有 2 个地区的 outlook 邮箱,目前是注册国外地址的遭到了攻击,地区选择中国的相安无事。
essethon
103 天前
@Dk2014 #113 不错的思路,我也尝试一下。把域名邮箱设置成 primary alias 然后把所有 outlook.com/hotmail.com 等等结尾的 alias 的 sign-in 权限都取消掉。
404www
103 天前
@huangxiao123 邮箱怎么改啊,我有一个/几个账号一直被扫发认证码。。烦死了
hendry
103 天前
38.207.136.2 美国 异常活动 6 月 15 日异常活动
117.92.238.99 江苏连云港 6 月 12 日 5:22 密码错误
106.111.246.183 江苏镇江 6 月 3 日 5:55 密码错误
60.169.94.79 安徽芜湖 5 月 31 日 13:27 密码错误

119.41.193.40 海南三亚 5 月 31 日 13:25 密码错误
185.220.238.154 日本 5 月 25 日 1:49 7:09 异常活动
essethon
103 天前
@404www #118 添加一个 alias (不一定是新创建,可以/最好是自己已有的非 Microsoft email 地址比如域名邮箱或者 Gmail 等都可以) https://support.microsoft.com/en-us/office/add-or-remove-an-email-alias-in-outlook-com-459b1989-356d-40fa-a689-8f285b13f1f2

然后在 https://account.live.com/names/Manage 把添加的 alias 设置成 primary alias

最后在下面的 Sign-in preferences 里把除了 primary alias 之外的所有登录名全部取消勾选。

这么做的话,你的 Microsoft account 就只能用刚添加的那个(非微软邮箱后缀的) alias 登录了,如果用原有的 xxx@outlook.com / xxx@hotmail.com 尝试登录的话会提示账号不存在。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1051891

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX