iPhone 丢失后产业链里另外 2 个比较有趣的东西，分享给大家分析分析

家人的手机走在路上不知不觉就没了，具体怎么没的就不清楚了，应该是去店里微信支付买东西后被盯上了
丢失后，马上补卡、更改 Apple ID 密码、开启 2 步认证等等常规的措施
还有就是因为上班时间，没有去报案，感觉只是浪费时间而已

过几天，常规的收到产业链的人发送的钓鱼邮件（假 Apple 网站）、 400 电话、短信、通过 QQ 咨询不加好友直接骚扰你。这些在 V2EX 上面看的多了，就不多说

说下比较有趣的 2 个东西：
① 产业链的人是如何知道 Apple ID 邮箱的，这个我一直不太清楚，可是这次我自己使用的 Gmail 邮箱被连累了，同步收到钓鱼邮件，这个邮箱注册的是美区的 ID ， [没有] 作为家人的 [救援邮箱] 。唯一能联系上的是，家人的 iPhone 使用过这个 ID 下载过一次软件。那我就大胆结论：通过 AppStore 的登录记录漏洞获取到了历史登录列表

② 这个应该常见，但是 V2EX 很少人提及。今天我的 Gmail 收到钓鱼邮件，说愿意 800 块钱卖回给我，淘宝交易，后面接了假的链接，步骤是：假的展示页面->引导 QQ 登录->利用某个 QQ 游戏官网的 XSS 漏洞获取到 QQ 密码
入口一： view-source:http://www.asg6.com/apollo2/taobao.html
iframe ： view-source:http://www.asg6.com/apollo2/index.html
XSS 脚本： http://xsspt.com/qrH2vw?1459932540
涉及能 XSS 的 QQ 游戏官网： http://qt.qq.com/act/a20150423cfhx/index.htm#M
XSS 测试平台： http://xsspt.com/index.php?do=login

最后在不实际的吐槽下：
产业链太疯狂，技术实力还是相当可以的（前面 V 友爆出的那个功能完善的管理后台），有关部门一锅端的能力我认为还是有的。
只是现在报案， JC 都一股嫌弃你给他们找麻烦的态度，还是算了。。