Is gewoon een link naar x.co encoded.

Je kunt dergelijke mails het beste even naar valse-email@ je bank sturen.

x.co is een Colombiaanse url-verkorter.

Als je www.x.co/<haal even de link weg!!!> invoert wordt je doorverwezen naar http://xxxxxxxxxxxx-iban.boxhost.me/ welke overigens offline lijkt te zijn (connection timed out), maar dat kan ook komen omdat mijn browser geen Apple is natuurlijk.

boxhost.me is toegewezen aan Montenegro, trek zelf je conclusies ;)

Mijn vraag is waarom alleen Appe-gebruikers deze mail hebben gekregen?
En x-webdoc zegt mij ook niets, behalve dat .webdoc een weinig gebruikte extensie voor online formulieren is.

En dan die hash. Weet je toevallig zelf waar die vandaan komt? Is die terug te vinden in de headers van de mail? Want dan zou het een referer kunnen zijn...

waar de link heen gaat had ik ook wel gezien, maar ik vroeg me meer af hoe het mechanisme werkt. = is een escape karakter, dus als je het decodeert staat er:

href="X.co/zhgr3dx"

Maar daar staat nog steeds niet dat het http verkeer is. Mijn vraag was dus hoe hij dat herkent. Als ik er met de muis over beweeg herkent hij de link niet, dus waarom zou het bij aanklikken wel herkend worden.

Ik heb nu een 'veilige' computer gepakt en daar de link aangeklikt. Hij blijkt niet eens te werken. Er wordt niets geopend omdat de mac ook niet weet welk protocol bedoeld wordt. Dus op de mac werkt die link gewoon niet. (nu met OSX 10.6 en OSX 10.9 getest) Blijkbaar zijn er mail programmas die bij een ontbrekend protocol, het maar via http proberen, anders maakt zo'n phishing mail helemaal geen zin.

Als ik de link met mijn OSX 10.6 computer kopieer dan wordt het "x-msg://12/X.co" Dus weer iets anders dan "x-webdoc://" Blijkbaar is die vertaling iets van de mac zelf en wat vroeger x-msg was is nu x-webdoc. Bij het ontbreken van een protocol maakt hij er een of ander intern protocol van die niet het internet op gaat.


Het zijn zeer waarschijnlijk niet alleen de Apple gebruikers die de mail gekregen hebben. Dit type hash gebruikt de mac voor heel veel meer interne zaken en wordt, naar ik nu denk, alleen intern op de mac aangemaakt en heeft niets met de originele verzenders van de mail te maken.

Dat gaat er vanuit dat er wel een default protocol zal zijn in de software. In Internet explorer zal dit vast wel werken, anders
stuurden ze die mail niet.

Overigens zijn .co en .me toplevel domeinen die je het beste in zijn geheel kunt blokkeren.
(net als .cc en nog een paar)

Ik heb "X.co" nu via mijn dns server geblokkeerd. Het '.me' toplevel domein wordt ook door Synology gebruikt voor hun DDNS dienst. Vraag me niet waarom een firma uit Taiwan een domein uit Montenegro gebruikt. Ook al omdat hun Europese servers in Engeland (Leeds?) staan. Zelf gebruik ik een andere ddns dienst dan die van Synology voor mijn nas, maar ik zal dat .me domein toch maar niet blokkeren.

Zoals ik het nu zie, is deze codering van de url in de mail er niet om de gebruiker te misleiden, maar om malware-scanners te misleiden. En bij sommige mail programma's snijden ze zich hiermee dus zelf in de vingers.

=2E is quoted printable MIME encoding. Het is de hexadecimale representatie van een punt.

Er zijn nogal wat mail programma's die nodeloos encoderen. Dat komt vooral voor bij emails van Aziaten. Het bemoeilijkt mogelijk wel de controle van links in domme parsers, maar veel heb je daar niet aan want x.co zal als domein niet worden geblokkeerd. x.co is een shortener van GoDaddy die ook in gewenste email kan voorkomen.
x.co is overigens populair in Aziatische spam.

De Apple x-webdoc onzin moet je gewoon negeren. Dat heeft niets met de phishing email te maken, het is Apple intern om aan te geven een uri scheme ontbreekt (de http://).