Phishing Mail AppleID

0

Otrzymałem następujący e-mail phishingowy od „Apple”:

Twój identyfikator produktu (xxx) został użyty do zalogowania się na inne urządzenie. Data i Czas: 16 sierpnia 2017, 04:28 (GMT + 10) System operacyjny: Linux

Jeśli nie zalogowałeś się ostatnio i czujesz, że ktoś jest zalogowany Twoje konto, przejdź do ID produktu (Weryfikacja konta) i zaktualizuj Twoje konto.

PROJEKT Suρρort

Tekst „Weryfikacja konta” zawiera hiperłącze do https://t.co/ccFy4cn8jr?=redirect.

Kiedy klikam ten link, przekierowuję do tego, co wygląda na oficjalną stronę Apple. Jak to jest możliwe? Zawiera t.co link został dostosowany / zmodyfikowany / przekierowany, aby chronić ludzi przed przechodzeniem na szkodliwą stronę?

Po przesłaniu żądania HTTP otrzymuję następującą odpowiedź:

<head>
    <noscript>
        <META http-equiv="refresh" content="0;URL=https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu">
    </noscript>
    <title>https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu</title>
</head>
<script>window.opener = null; location.replace("https:\/\/appleld.apple.com.3c8fcfcffe480bc910-verify.info\/?adu”)</script>

Przyjezdny https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu poprawnie uruchamia ostrzeżenie „Wykryto złośliwą witrynę”, w przeciwieństwie do kliknięcia oryginału t.co połączyć.

Co tu się dzieje? Dlaczego klikanie t.co link przeniesie mnie do legalnej witryny Apple, gdy zamiast tego powinienem zostać przekierowany na stronę phishingową? Czy to możliwe, że zrobiłem tutaj jakąś krzywdę spowodowaną przez skrypty krzyżowe? Czy jest to tylko przekierowanie do fałszywej witryny?

— user3339208
źródło

Adres t.co rzeczywiście zabrał mnie na stronę phishingową: „ appleld.apple.com.3c8fcfcffe480bc910-verify.info/… „Strona jest podobną kopią prawdziwej strony Apple, ale wszystkie linki na stronie są wewnętrzne, a kliknięcie na nich nic nie robi. Jedyną funkcją, która działa, jest możliwość zarejestrowania Twojego Apple ID w oknie logowania. strona winowajcy „3c8fcfcffe480bc910-verify.info” ma adres IP 62.4.16.89, który należy do francuskiej firmy hostingowej Dedibox.

— Doc G.

To nie jest strona Apple, to kopia.

— John Keates

1

To nie jest legalna witryna Apple ID. Zwróć uwagę na małe litery l w adresie URL zamiast wielkiej litery i. Poza tym rzeczywista domena to something-verify.info zamiast Apple.com .

W tym przypadku appleld.apple.com jest po prostu subdomeną, a ponieważ każdy może zarejestrować dowolną subdomenę we własnej witrynie, powinien to zachować i zamiast go zastąpić l. Adres URL mógł wyglądać nieco mniej podejrzane.

Zgłoś tę wiadomość e-mail jako spam / phishing, a jeśli wprowadziłeś swoje poświadczenia w tej witrynie, natychmiast udaj się do prawdziwego appleid.apple.com i zmień hasło.

1

Edycja, ponieważ jestem teraz tak samo zagubiony jak oryginalny plakat. Rozszerzenie linku t.co przez CheckShortURL , daje przekierowanie google.ca na apple.com/errors/us_error.html, a nie na złą stronę konta.

Nie mogę znaleźć nigdzie, który kończy się na 3c8fcfcffe480bc910-verify.info

....

(oryginalna odpowiedź poniżej)

t.co to usługa skracania adresów URL / aliasów

Ale ten link nie prowadzi do strony Apple, ale do subdomeny 3c8fcfcffe480bc910-verify.info

Takie ataki typu phishing mają na celu sprawienie, by ludzie zobaczyli „och, ma apple.com w adresie URL, więc musi być bezpieczny”. Ale podążaj za URL aż do końca.

— Kent
źródło

4

Adres przekierowania t.co nadal prowadzi mnie do strony phishingowej. Może się zdarzyć, że po powiadomieniu o sytuacji, Twitter zmienił swój skrócony adres URL t.co, aby zamiast tego przekierować na stronę błędu Apple, jak pokazał Twój sprawdzanie adresów URL, ale moje serwery DNS nadal obsługują buforowane informacje.

— Doc G.