El siguiente es un ejemplo de phishing bastante elaborado que busca robar contraseñas de Yahoo! Todo comienza con un correo falso que simula una desactivación de la cuenta para que la víctima haga clic en un enlace:
Un usuario atento notaría que la URL apunta hacia un dominio .info, lo cual ya es una clara señal de que algo raro está pasando. Sin embargo este detalle podría pasar desapercibido fácilmente, al hacer clic se carga la siguiente página:
El diseño es muy parecido al de Yahoo, cualquiera distraído o apurado podría ingresar su contraseña sin notar el engaño.
Hay un detalle interesante de este ataque, si uno ingresa directamente a la URL falsa, la página del phishing no cargará. Para que cargue es necesario pasarle algún parámetro luego del login_verify2, el atacante lo hace desde el correo electrónico camuflando en Base64 la dirección de la víctima, además de un mensaje para los curiosos (el humor nunca les falta):
Como vemos, es un ataque sencillo pero bien elaborado que puede engañar a muchas personas. Para no caer en estos engaños siempre hay que verificar los enlaces recibidos y prestar mucha atención a las URLs cuando se solicita una contraseña.
Por último dejo una captura del encabezado que sirve, entre otras cosas, para ver las IPs de los correos.
Si se analiza se podrán encontrar cosas bastante interesantes e incluso descubrir el servicio de phishing utilizado por el atacante lamer, también se podría descubrir escarbando un poco en el dominio falso:
