首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yushaw
V2EX  ›  Apple

收到一封苹果钓鱼邮件,但是链接地址开头却是 http://c.apple.com/r?v=2...

  •   
  •   yushaw · 2017-09-27 09:59:35 +08:00 · 6443 次点击
    这是一个创建于 2606 天前的主题,其中的信息可能已经有所发展或是发生改变。

    发件人 ID 是 [email protected] ,明显是封钓鱼邮件。

    但是仔细看里面的链接没发现什么问题,http://c.apple.com 开头,然后后面是一长串的“随机”字符。

    没想清楚这通钓鱼是怎么运作的。

    第 1 条附言  ·  2017-09-27 10:48:38 +08:00
    有兴趣的话可以看下邮件源码

    https://docs.google.com/document/d/1D18pb7Q8hX38B8vrMCdw_uXWHCjMTL5FLklSyb4uoLE/edit?usp=sharing
  • 链接
  • 钓鱼
  • 开头
  • 邮件
    25 条回复    2017-09-27 15:17:03 +08:00
    SilentDepth
        1
    SilentDepth  
       2017-09-27 10:04:35 +08:00
    确定是 apple.com 而不是什么「相似的」字符?
    mcfog
        2
    mcfog  
       2017-09-27 10:05:32 +08:00 via Android
    curl/匿名模式访问一下看是不是有跳转,如果是的话算是苹果官网的安全缺陷
    wuhaoworld
        3
    wuhaoworld  
       2017-09-27 10:05:47 +08:00   ❤️ 2
    你点开后看跳转地址,邮件内容可以是 html,是可以这样的:
    <a href="http://www.钓鱼地址.com">http://www.apple.com</a>
    yushaw
        4
    yushaw  
    OP
       2017-09-27 10:13:22 +08:00
    @wuhaoworld
    @SilentDepth
    链接是直接复制出来的,c.apple.com 无误。

    完整地址如下,手动加了点空格以免误点。
    http://c. app le .co m/r?v=2&la=zhs&lc=cn&a= WZR3c8rpDSFiRj6B022JsApny TtXcONTOvvVx4EL4FMZ4UngSjQbQQ1uHBt4RJScpGQAOVtPk%2BVZl2Z8iZxb1IlUQa0yRTqSAeBVMilz8I1EXD94%2FURCLDkg8OeAL731oCBZ%2FbamAdt7soCB 4ZK%2BTI0ZOkvIHXmvxI9UwcBuPVY7Rw TCCupBeoqcQnpaOX5RW1RAFD4rgewmyffL%2 FbLTdA%3D%3D&ct=aI4U5I5I4M


    @mcfog
    有跳转,从 c.apple.com 跳转到 survey.apple.com
    邮件内容就是电话支持的反馈。
    colordog
        5
    colordog  
       2017-09-27 10:17:57 +08:00 via iPhone
    里面有空格,是不是特殊字符,之前有个类似的 google 的钓鱼
    colordog
        6
    colordog  
       2017-09-27 10:18:24 +08:00 via iPhone
    看错,你手动加的
    suikator
        7
    suikator  
       2017-09-27 10:20:28 +08:00 via Android
    确定 a 是英文 a 吗?
    yushaw
        8
    yushaw  
    OP
       2017-09-27 10:28:38 +08:00
    @suikator 需要怎么确认?
    learnshare
        9
    learnshare  
       2017-09-27 10:31:29 +08:00
    @yushaw ab - αβ
    CannotGetPoint
        10
    CannotGetPoint  
       2017-09-27 10:31:42 +08:00
    你点击之后看到的是什么??

    我这提示:
    感谢您的关注。您已完成本调查或您的邀请已过期。

    谢谢!

    Apple 支持团队
    ferrum
        11
    ferrum  
       2017-09-27 10:37:52 +08:00
    把楼主发的「 c.apple.com 」复制到 console,再和自己手打的「 c.apple.com 」比较,结果是 true ……
    yushaw
        12
    yushaw  
    OP
       2017-09-27 10:38:20 +08:00
    @learnshare 这个很明显呐,不会看错的。:)


    @CannotGetPoint 对,和你一样。我没想清楚这封邮件的动机是什么
    blahgeek
        13
    blahgeek  
       2017-09-27 10:39:50 +08:00   ❤️ 2
    https://support.apple.com/en-gb/HT204759

    If you receive what you believe to be a phishing email that's designed to look like it ’ s from Apple, please send it to [email protected].
    xiaoyanbot
        14
    xiaoyanbot  
       2017-09-27 10:48:25 +08:00
    也想知道是怎么回事,
    yushaw
        15
    yushaw  
    OP
       2017-09-27 10:49:58 +08:00
    @blahgeek 谢谢提醒,已转发 🙏
    geelaw
        16
    geelaw  
       2017-09-27 10:57:35 +08:00 via iPhone
    @mcfog 这样不安全,因为 URL 可以是对每个人不同的(例如放在 URL encoded form 里面)。

    有些钓鱼邮件会放入一些正确的链接,以混淆。
    shizhouren
        17
    shizhouren  
       2017-09-27 11:09:14 +08:00
    苹果委托的营销公司做调查的吧?
    Micky
        18
    Micky  
       2017-09-27 11:28:37 +08:00
    apple 中的字母『 l 』是 L 还是大写的 i
    yushaw
        19
    yushaw  
    OP
       2017-09-27 11:40:37 +08:00
    @shizhouren 应该不是吧,调研的话这么做有点不太讲究
    ryd994
        20
    ryd994  
       2017-09-27 11:46:17 +08:00
    没那么复杂,就一条:苹果不可能用 Foxmail
    做营销加几个邮箱账号又不是很难的事
    hahastudio
        21
    hahastudio  
       2017-09-27 11:54:17 +08:00
    https://discussions.apple.com/thread/6033965?tstart=0
    VYSE
        22
    VYSE  
       2017-09-27 12:04:20 +08:00 via Android
    点开证书验证即可,的确有用某些字符集完全模仿的 punnycode 域名
    kfll
        23
    kfll  
       2017-09-27 12:29:40 +08:00 via Android
    估计是退订页面 xss
    Junn
        24
    Junn  
       2017-09-27 14:42:05 +08:00
    某个 app 作者做的调查吧。只是用的 apple 的服务。
    CannotGetPoint
        25
    CannotGetPoint  
       2017-09-27 15:17:03 +08:00
    @yushaw #12 所以 你为什么称它为钓鱼邮件...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2819 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 14:39 · PVG 22:39 · LAX 06:39 · JFK 09:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.