Phishing Mail AppleID

0

Recibí el siguiente correo electrónico de phishing de "Apple":

  

Su ID de usuario (xxx) se utilizó para iniciar sesión en otro dispositivo. Fecha y   Hora: 16 de agosto de 2017, 16:28 PM (GMT + 10) Sistema operativo: Linux

     

Si no has iniciado sesión recientemente y sientes que alguien ha iniciado sesión en   su cuenta, vaya a ApreIe ID (Verifique su cuenta) y actualice   tu cuenta.

     

ApрIe Suρρort

El texto "Verificación de su cuenta" contiene un hipervínculo a https://t.co/ccFy4cn8jr?=redirect .

Cuando hago clic en ese enlace, me redirige a lo que parece ser el sitio web oficial de Apple. ¿Cómo es esto posible? ¿Se ha ajustado / modificado / redirigido el enlace t.co para proteger a las personas de ir al sitio web malicioso?

Cuando envío la solicitud HTTP, recibo la siguiente respuesta:

<head>
    <noscript>
        <META http-equiv="refresh" content="0;URL=https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu">
    </noscript>
    <title>https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu</title>
</head>
<script>window.opener = null; location.replace("https:\/\/appleld.apple.com.3c8fcfcffe480bc910-verify.info\/?adu”)</script>

La visita https://appleld.apple.com.3c8fcfcffe480bc910-verify.info/?adu activa correctamente una advertencia de "Sitio malicioso detectado", a diferencia de hacer clic en el enlace original t.co .

¿Qué está pasando aquí? ¿Por qué hacer clic en el enlace t.co me lleva al sitio web legítimo de Apple, cuando debería ser redirigido a un sitio web de suplantación de identidad (phishing)? ¿Es posible que haya hecho algún daño aquí causado por los scripts entre sitios? ¿O es solo redirigir a un sitio web falso?

    
pregunta user3339208 17.08.2017 - 23:41

2 respuestas

1

Ese no es el sitio web legítimo de Apple ID. Observe el l en minúscula en la URL en lugar de un i en mayúscula. No solo eso, el dominio real es something-verify.info en lugar de apple.com .

En este caso, appleld.apple.com es simplemente un subdominio, y como cualquiera puede registrar cualquier cosa como subdominio en su propio sitio, debería haber mantenido ese i en lugar de reemplazarlo con un l . La URL podría haber parecido ligeramente menos sospechosa.

Reporte este correo electrónico como spam / phishing, y si ingresó sus credenciales en ese sitio, diríjase de inmediato al verdadero appleid.apple.com y cambia tu contraseña.

    
respondido por el user11633 17.08.2017 - 23:56
1

Edición, porque estoy tan confundido como el cartel original ahora. Expandiendo el enlace t.co a través de CheckShortURL , produce un redireccionamiento de google.ca a apple.com/errors/us_error.html, no la página de cuenta incorrecta.

No puedo encontrar ningún lugar que termine en 3c8fcfcffe480bc910-verify.info

....

....

....

(respuesta original a continuación)

t.co es un servicio de acortamiento / alias de url

Pero ese enlace no te lleva a la página de Apple, sino a un subdominio de 3c8fcfcffe480bc910-verify.info

Los ataques de phishing como ese están diseñados para que la gente vea "oh, tiene apple.com en la url, por lo que debe ser seguro". Pero, siga la URL hasta el final.

    
respondido por el Kent 18.08.2017 - 04:17

Lea otras preguntas en las etiquetas