Ho ricevuto la seguente email di phishing da "Apple":
Your ApрIe ID ( xxx ) was used to sign in to other device. Date and Time: 16 August 2017, 04:28 PM (GMT+10) Operating System: Linux
If you have not logged in recently and feel someone is logged in to your account ,go to ApрIe ID ( Verification your account ) and update your account.
ApрIe Suρρort
Il testo "Verifica il tuo account" contiene un collegamento ipertestuale a https://t.co/ccFy4cn8jr?=redirect .
Quando faccio clic su quel collegamento, mi viene reindirizzato a quello che sembra il sito Web ufficiale di Apple. Com'è possibile? Il collegamento t.co è stato modificato / modificato / reindirizzato per proteggere le persone dal sito Web dannoso?
Quando invio la richiesta HTTP, ricevo la seguente risposta:
<head>
<noscript>
<META http-equiv="refresh" content="0;URL=https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu">
</noscript>
<title>https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu</title>
</head>
<script>window.opener = null; location.replace("https:\/\/appleld.apple.com.3c8fcfcffe480bc910-verify.info\/?adu”)</script>
La visualizzazione di https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu attiva correttamente un avviso "Rilevato sito dannoso", diversamente dal clic sul link t.co originale.
Cosa sta succedendo qui? Perché facendo clic sul link t.co portami sul sito Web legittimo di Apple, quando invece dovrei essere reindirizzato a un sito Web di phishing? È possibile che venga fatto alcun danno qui causato dallo scripting cross-site? O si sta solo reindirizzando verso un sito web fasullo?