Recibí el siguiente correo electrónico de phishing de "Apple":
Su ID de usuario (xxx) se utilizó para iniciar sesión en otro dispositivo. Fecha y Hora: 16 de agosto de 2017, 16:28 PM (GMT + 10) Sistema operativo: Linux
Si no has iniciado sesión recientemente y sientes que alguien ha iniciado sesión en su cuenta, vaya a ApreIe ID (Verifique su cuenta) y actualice tu cuenta.
ApрIe Suρρort
El texto "Verificación de su cuenta" contiene un hipervínculo a https://t.co/ccFy4cn8jr?=redirect .
Cuando hago clic en ese enlace, me redirige a lo que parece ser el sitio web oficial de Apple. ¿Cómo es esto posible? ¿Se ha ajustado / modificado / redirigido el enlace t.co para proteger a las personas de ir al sitio web malicioso?
Cuando envío la solicitud HTTP, recibo la siguiente respuesta:
<head>
<noscript>
<META http-equiv="refresh" content="0;URL=https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu">
</noscript>
<title>https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu</title>
</head>
<script>window.opener = null; location.replace("https:\/\/appleld.apple.com.3c8fcfcffe480bc910-verify.info\/?adu”)</script>
La visita https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu activa correctamente una advertencia de "Sitio malicioso detectado", a diferencia de hacer clic en el enlace original t.co .
¿Qué está pasando aquí? ¿Por qué hacer clic en el enlace t.co me lleva al sitio web legítimo de Apple, cuando debería ser redirigido a un sitio web de suplantación de identidad (phishing)? ¿Es posible que haya hecho algún daño aquí causado por los scripts entre sitios? ¿O es solo redirigir a un sitio web falso?