Lo schema URI è composto in questo modo:
scheme:[//[user:password@]host[:port]][/]path[?query][#fragment]
Come puoi vedere, @
viene utilizzato per includere l'autenticazione (in questo caso, HTTP) direttamente nell'URL. La domanda diventa quindi "Perché un URL che include l'autenticazione deve essere un segno di phishing?".
Non conosco il ragionamento dell'autore, ma l'argomento più comune ho visto è che è un modo semplice per confondere l'utente su cosa sia il dominio. Ad esempio, http://www.mozilla.org&login3:141592653589793238462643383279502884197169@example.com/evil
assomiglia molto al caricamento www.mozilla.org
, ma se guardi abbastanza vicino è in realtà example.com/evil
. Trattare l'utente fidandosi di un sito Web falso è il fulcro di un attacco di phishing, quindi questo offre un'opportunità di attacco davvero interessante per un phisher.