Ho ricevuto messaggi da parenti che vanno in questo modo:
AirAsia is rewarding everyone with 2 free plane tickets to celebrate 24 Years of quality service. Get your free ticket at: http://airasîa.com/free-tickets/ .
che è un link unicode a link
Sono davvero curioso di sapere come un clic su questo collegamento sul telefono potrebbe consentire agli hacker di dirottare i miei amici e parenti account di Whatsapp? Cercando di accedere a questo sito su PC mi dà un errore 404.
Nel frattempo ho chiesto a chi mi ha inviato questo messaggio di usare le impostazioni di Whatsapp per uscire da tutte le sessioni del computer. Basta?
Aggiornamento 1:
Ho rintracciato il link di phishing al link , che utilizza js per reindirizzare a link . Questo è l'URL contenente i contenuti effettivi che i miei amici stavano guardando.
C'era un link come questo:
<a href="whatsapp://send?text=*AirAsia is rewarding everyone with 2 free plane tickets* to celebrate 24 Years of quality service. Get your free ticket at : http://airasîa.com/free-tickets/ .">
Quindi suppongo sia per questo che sto ricevendo quei messaggi.
Ma non riesco ancora a capire l'intento di questo phishing. Forse ha qualcosa a che fare con questo?
<script type="text/javascript">
(function(){
var foxscript = document.createElement('script');
foxscript.src = '//js.foxpush.com/aldi-com-2018com.js?v='+Math.random();
foxscript.type = 'text/javascript';
foxscript.async = 'true';
var fox_s = document.getElementsByTagName('script')[0];
fox_s.parentNode.insertBefore(foxscript, fox_s);})();
</script>
<body oncontextmenu="return false">
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-91015564-3"></script><script>window.dataLayer=window.dataLayer||[];functiongtag(){dataLayer.push(arguments);}gtag('js',newDate());gtag('config','UA-91015564-3');</script>Checosafainrealtà?
Aggiornamento2:
Hoscopertocheilsitodiphishingtentaeffettivamentedireindirizzaregliutentiafinal.htmlconlostessodominioaldi-com-2018.Ilsitocontienejavascriptoffuscatochenonhoideadicomedecifrare,macontienequestapartedicodice:
<scriptdata-cfasync="false" type="text/javascript" src="//go.onclasrv.com/apu.php?zoneid=956139" async onerror="_tyzjj()" onloaded="_rxnhqlpp()"></script>
Ricerca Google su onclasrv restituisce una serie di risultati correlati adware. Immagino che sia l'intenzione finale, allora?