Otrzymałem następujący e-mail phishingowy od „Apple”:
Twój identyfikator produktu (xxx) został użyty do zalogowania się na inne urządzenie. Data i Czas: 16 sierpnia 2017, 04:28 (GMT + 10) System operacyjny: Linux
Jeśli nie zalogowałeś się ostatnio i czujesz, że ktoś jest zalogowany Twoje konto, przejdź do ID produktu (Weryfikacja konta) i zaktualizuj Twoje konto.
PROJEKT Suρρort
Tekst „Weryfikacja konta” zawiera hiperłącze do https://t.co/ccFy4cn8jr?=redirect
.
Kiedy klikam ten link, przekierowuję do tego, co wygląda na oficjalną stronę Apple. Jak to jest możliwe? Zawiera t.co
link został dostosowany / zmodyfikowany / przekierowany, aby chronić ludzi przed przechodzeniem na szkodliwą stronę?
Po przesłaniu żądania HTTP otrzymuję następującą odpowiedź:
<head>
<noscript>
<META http-equiv="refresh" content="0;URL=https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu">
</noscript>
<title>https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu</title>
</head>
<script>window.opener = null; location.replace("https:\/\/appleld.apple.com.3c8fcfcffe480bc910-verify.info\/?adu”)</script>
Przyjezdny https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu
poprawnie uruchamia ostrzeżenie „Wykryto złośliwą witrynę”, w przeciwieństwie do kliknięcia oryginału t.co
połączyć.
Co tu się dzieje? Dlaczego klikanie t.co
link przeniesie mnie do legalnej witryny Apple, gdy zamiast tego powinienem zostać przekierowany na stronę phishingową? Czy to możliwe, że zrobiłem tutaj jakąś krzywdę spowodowaną przez skrypty krzyżowe? Czy jest to tylko przekierowanie do fałszywej witryny?
Odpowiedzi:
To nie jest legalna witryna Apple ID. Zwróć uwagę na małe litery
l
w adresie URL zamiast wielkiej literyi
. Poza tym rzeczywista domena tosomething-verify.info
zamiast Apple.com .W tym przypadku
appleld.apple.com
jest po prostu subdomeną, a ponieważ każdy może zarejestrować dowolną subdomenę we własnej witrynie, powinien to zachowaći
zamiast go zastąpićl
. Adres URL mógł wyglądać nieco mniej podejrzane.Zgłoś tę wiadomość e-mail jako spam / phishing, a jeśli wprowadziłeś swoje poświadczenia w tej witrynie, natychmiast udaj się do prawdziwego appleid.apple.com i zmień hasło.
źródło
Edycja, ponieważ jestem teraz tak samo zagubiony jak oryginalny plakat. Rozszerzenie linku t.co przez CheckShortURL , daje przekierowanie google.ca na apple.com/errors/us_error.html, a nie na złą stronę konta.
Nie mogę znaleźć nigdzie, który kończy się na 3c8fcfcffe480bc910-verify.info
....
....
....
(oryginalna odpowiedź poniżej)
t.co to usługa skracania adresów URL / aliasów
Ale ten link nie prowadzi do strony Apple, ale do subdomeny
3c8fcfcffe480bc910-verify.info
Takie ataki typu phishing mają na celu sprawienie, by ludzie zobaczyli „och, ma apple.com w adresie URL, więc musi być bezpieczny”. Ale podążaj za URL aż do końca.
źródło