收到一封苹果钓鱼邮件，但是链接地址开头却是 http://c.apple.com/r?v=2...

Support

› 根据产品序列号查看状态

有用链接

› Apple 产品更新周期

› Other World Computing 性能升级

› Apple 软件 Beta 测试

This topic created in 3178 days ago, the information mentioned may be changed or developed.

发件人 ID 是 [email protected] ，明显是封钓鱼邮件。

但是仔细看里面的链接没发现什么问题，http://c.apple.com 开头，然后后面是一长串的“随机”字符。

没想清楚这通钓鱼是怎么运作的。

Supplement 1 · Sep 27, 2017

有兴趣的话可以看下邮件源码

https://docs.google.com/document/d/1D18pb7Q8hX38B8vrMCdw_uXWHCjMTL5FLklSyb4uoLE/edit?usp=sharing

链接

钓鱼

开头

邮件

25 replies • 2017-09-27 15:17:03 +08:00

SilentDepth

Sep 27, 2017

确定是 apple.com 而不是什么「相似的」字符？

mcfog

Sep 27, 2017 via Android

curl/匿名模式访问一下看是不是有跳转，如果是的话算是苹果官网的安全缺陷

wuhaoworld

Sep 27, 2017

你点开后看跳转地址，邮件内容可以是 html，是可以这样的：
<a href="http://www.钓鱼地址.com">http://www.apple.com</a>

yushaw

Sep 27, 2017

@wuhaoworld
@SilentDepth
链接是直接复制出来的，c.apple.com 无误。

完整地址如下，手动加了点空格以免误点。
http://c. app le .co m/r?v=2&la=zhs&lc=cn&a= WZR3c8rpDSFiRj6B022JsApny TtXcONTOvvVx4EL4FMZ4UngSjQbQQ1uHBt4RJScpGQAOVtPk%2BVZl2Z8iZxb1IlUQa0yRTqSAeBVMilz8I1EXD94%2FURCLDkg8OeAL731oCBZ%2FbamAdt7soCB 4ZK%2BTI0ZOkvIHXmvxI9UwcBuPVY7Rw TCCupBeoqcQnpaOX5RW1RAFD4rgewmyffL%2 FbLTdA%3D%3D&ct=aI4U5I5I4M

@mcfog
有跳转，从 c.apple.com 跳转到 survey.apple.com
邮件内容就是电话支持的反馈。

colordog

Sep 27, 2017 via iPhone

里面有空格，是不是特殊字符，之前有个类似的 google 的钓鱼

colordog

Sep 27, 2017 via iPhone

看错，你手动加的

suikator

Sep 27, 2017 via Android

确定 a 是英文 a 吗？

yushaw

Sep 27, 2017

@suikator 需要怎么确认？

learnshare

Sep 27, 2017

@yushaw ab - αβ

CannotGetPoint

Sep 27, 2017

你点击之后看到的是什么？？

我这提示：
感谢您的关注。您已完成本调查或您的邀请已过期。

谢谢！

Apple 支持团队

bayallen

Sep 27, 2017

把楼主发的「 c.apple.com 」复制到 console，再和自己手打的「 c.apple.com 」比较，结果是 true ……

yushaw

Sep 27, 2017

@learnshare 这个很明显呐，不会看错的。:)

@CannotGetPoint 对，和你一样。我没想清楚这封邮件的动机是什么

blahgeek

Sep 27, 2017

https://support.apple.com/en-gb/HT204759

If you receive what you believe to be a phishing email that's designed to look like it ’ s from Apple, please send it to [email protected].