Phishing Mail AppleID

0

Ho ricevuto la seguente email di phishing da "Apple":

Your ApрIe ID ( xxx ) was used to sign in to other device. Date and Time: 16 August 2017, 04:28 PM (GMT+10) Operating System: Linux

If you have not logged in recently and feel someone is logged in to your account ,go to ApрIe ID ( Verification your account ) and update your account.

ApрIe Suρρort

Il testo "Verifica il tuo account" contiene un collegamento ipertestuale a https://t.co/ccFy4cn8jr?=redirect .

Quando faccio clic su quel collegamento, mi viene reindirizzato a quello che sembra il sito Web ufficiale di Apple. Com'è possibile? Il collegamento t.co è stato modificato / modificato / reindirizzato per proteggere le persone dal sito Web dannoso?

Quando invio la richiesta HTTP, ricevo la seguente risposta:

<head>
    <noscript>
        <META http-equiv="refresh" content="0;URL=https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu">
    </noscript>
    <title>https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu</title>
</head>
<script>window.opener = null; location.replace("https:\/\/appleld.apple.com.3c8fcfcffe480bc910-verify.info\/?adu”)</script>

La visualizzazione di https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu attiva correttamente un avviso "Rilevato sito dannoso", diversamente dal clic sul link t.co originale.

Cosa sta succedendo qui? Perché facendo clic sul link t.co portami sul sito Web legittimo di Apple, quando invece dovrei essere reindirizzato a un sito Web di phishing? È possibile che venga fatto alcun danno qui causato dallo scripting cross-site? O si sta solo reindirizzando verso un sito web fasullo?

    
posta user3339208 17.08.2017 - 23:41
fonte

2 risposte

1

Questo non è il legittimo sito web ID Apple. Si noti la percentuale in minuscolo% co_de nell'URL al posto di una percentuale in maiuscolo% co_de. Non solo, il dominio effettivo è l piuttosto che apple.com .

In questo caso i è semplicemente un sottodominio, e poiché chiunque può registrare qualcosa come sottodominio sul proprio sito, dovrebbe aver mantenuto tale something-verify.info invece di sostituirlo con un appleld.apple.com . L'URL potrebbe avere un aspetto leggermente meno sospetto.

Segnala questa email come spam / phishing e, se inserisci le tue credenziali su quel sito, vai immediatamente al appleid.apple.com e cambia la tua password.

    
risposta data 17.08.2017 - 23:56
fonte
1

Modifica, perché ora sono confuso quanto il poster originale. Espandendo il collegamento t.co tramite CheckShortURL , si ottiene un reindirizzamento google.ca a apple.com/errors/us_error.html, non la pagina dell'account errato.

Non riesco a trovarlo da nessuna parte che finisce in 3c8fcfcffe480bc910-verify.info

....

....

....

(risposta originale sotto)

t.co è un servizio di riduzione / alias dell'URL

Ma quel link non ti porta alla pagina Apple, ma un sottodominio di 3c8fcfcffe480bc910-verify.info

Gli attacchi di phishing del genere sono pensati per far sì che la gente veda "oh, ha apple.com nell'URL, quindi deve essere sicuro". Ma, segui l'URL fino in fondo.

    
risposta data 18.08.2017 - 04:17
fonte

Leggi altre domande sui tag