淘寶現(xiàn)跨站漏洞騙子正瘋狂利用
近日,有好多網友反映他們的淘寶賬戶被盜,自己淘寶賬號被用來群發(fā)垃圾廣告和詐騙廣告,導致賬號被封。
當我看見這些消息的時間真的很驚訝,這怎么可能呢,淘寶他們安全人員現(xiàn)在在國內都算比較多的,系統(tǒng)存在漏洞的事情恐怕不會發(fā)生吧。懷著質疑的心情去了解了下被盜號網友的上當過程,終于發(fā)現(xiàn)以下情況:
該跨站漏洞的鏈接形式實例如下
仔細看,鏈接確實在淘寶下面,貌似合法鏈接,但悲劇的是,這是淘寶的一個跨站漏洞,被釣魚網站利用了。點擊以后,你再看打開的網站鏈接,就發(fā)現(xiàn),是另外一個網站了。如果你沒有留意到打開的網站的網址,那么你就會悲劇了。
大家都知道,為了安全,淘寶站外鏈接在論壇里是無法直接點擊的,而上面的釣魚鏈接,由于借用了淘寶漏洞,是可以直接點擊進入,旺旺也會顯示安全,這就是此釣魚鏈接的危險性。
剛才看幫派里,已經有人發(fā)帖聲稱被騙,數(shù)額有幾百的,也有一千多的,漏洞應該是剛剛出現(xiàn)不就,希望淘寶迅速修復。
再次,提醒大家,釣魚鏈接有兩種形式
***種:赤裸裸的釣魚,直接發(fā)釣魚鏈接,或者利用其他知名合法網站的博客等方式,比較老套,大部分受過安全學習的人都能識別。
第二種:利用知名合法網站的漏洞,甚至淘寶、支付寶、阿里巴巴自身的漏洞,這種釣魚鏈接是最難防范的。就像上面的鏈接,在旺旺中肯定是顯示綠色對勾,對于只會根據(jù)綠勾進行判斷的菜鳥,必然悲劇。
再次,我交給大家防范釣魚網站的三板斧
***斧:看域名,看鏈接圖標是否有綠色對勾,如果鏈接的***段含有“/”,注意,含有“/",那么說明這個鏈接可能是淘寶的鏈接,相對安全,但不是絕對安全,此招可滅掉絕大多數(shù)釣魚鏈接。
第二斧:看長度,釣魚鏈接為了偽裝,往往采用了**,四級甚至六級域名,或者用跨站url跳轉,整個鏈接的長度,那是相當?shù)拈L,在旺旺里起碼可以占掉半個聊天區(qū)域。而淘寶上的鏈接,通常都大半格地址欄就可以現(xiàn)實完整,在旺旺里最多兩行就顯示完了。
第三斧:點開鏈接別急著輸入密碼。通常如果是和騙子交易的過程中,騙子發(fā)完鏈接以后要做的最重要的事情,就是“催”,迅速的催,密集地催,讓你點開鏈接沒時間去想去看馬上去輸入密碼。所以,親啊,越是遇到急著催的人,越要高度警惕!打開鏈接,千萬要先看看地址欄里的地址是不是“淘寶/"。建議大家,遇到任何需要輸入密碼的網頁,立即關閉,因為我們完全可以從淘寶旺旺上進入“我的淘寶”,根本無需輸入密碼。
如果輸入了密碼,要趕緊修改自己密碼,同時打電話向淘寶客服說明情況。否則自己淘寶賬號會被用來群發(fā)垃圾廣告和詐騙廣告,甚至直接被犯罪分子用來實施詐騙,導致賬號被封。
【編輯推薦】
