图片来源@Unsplash,基于CC0协议!
自己是派代的常客,但就很少写帖子,呵呵,所以也包括这次。转篇文章回来,跟大家分享一下。不知道之前在派代有没出现过呢。
近日,有好多网友反映他们的淘宝账户被盗,自己淘宝账号被用来群发垃圾广告和诈骗广告,导致账号被封。
当我看见这些消息的时间真的很惊讶,这怎么可能呢,淘宝他们安全人员现在在国内都算比较多的,系统存在漏洞的事情恐怕不会发生吧。怀着质疑的心情去了解了下被盗号网友的上当过程,终于发现以下情况:
该跨站漏洞的链接形式实例如下
http://auction1.taobao.com/auction/mall/shopvip%2ehtm?turbine_uri=http://ru.rd.yahoo.com/SIG=10uaccr0v/D=maps/Y=YAHOO/EXP=1288992407/?http://www.onlinedm.net/taobao/member/login.jsp?wwname=%B1%F9%CC%EC%D1%A9%B5%D8001&url=item_detail-0db1-8fe231761123c212aa41c213417a5600c.htm
仔细看,链接确实在taobao.com下面,貌似合法链接,但悲剧的是,这是淘宝的一个跨站漏洞,被钓鱼网站利用了。点击以后,你再看打开的网站链接,就发现,是另外一个网站了。如果你没有留意到打开的网站的网址,那么你就会悲剧了。
大家都知道,为了安全,淘宝站外链接在论坛里是无法直接点击的,而上面的钓鱼链接,由于借用了淘宝漏洞,是可以直接点击进入,旺旺也会显示安全,这就是此钓鱼链接的危险性。
刚才看帮派里,已经有人发帖声称被骗,数额有几百的,也有一千多的,漏洞应该是刚刚出现不就,希望淘宝迅速修复。
再次,提醒大家,钓鱼链接有两种形式
第一种:赤裸裸的钓鱼,直接发钓鱼链接,或者利用其他知名合法网站的博客等方式,比较老套,大部分受过安全学习的人都能识别。
第二种:利用知名合法网站的漏洞,甚至淘宝、支付宝、阿里巴巴自身的漏洞,这种钓鱼链接是最难防范的。就像上面的链接,在旺旺中肯定是显示绿色对勾,对于只会根据绿勾进行判断的菜鸟,必然悲剧。
再次,我交给大家防范钓鱼网站的三板斧
第一斧:看域名,看链接图标是否有绿色对勾,如果链接的第一段含有“taobao.com/”,注意,含有“/",那么说明这个链接可能是淘宝的链接,相对安全,但不是绝对安全,此招可灭掉绝大多数钓鱼链接。
第二斧:看长度,钓鱼链接为了伪装,往往采用了三级,四级甚至六级域名,或者用跨站url跳转,整个链接的长度,那是相当的长,在旺旺里起码可以占掉半个聊天区域。而淘宝上的链接,通常都大半格地址栏就可以现实完整,在旺旺里最多两行就显示完了。
第三斧:点开链接别急着输入密码。通常如果是和骗子交易的过程中,骗子发完链接以后要做的最重要的事情,就是“催”,迅速的催,密集地催,让你点开链接没时间去想去看马上去输入密码。所以,亲啊,越是遇到急着催的人,越要高度警惕!打开链接,千万要先看看地址栏里的地址是不是“taobao.com/"。建议大家,遇到任何需要输入密码的网页,立即关闭,因为我们完全可以从淘宝旺旺上进入“我的淘宝”,根本无需输入密码。
如果输入了密码,要赶紧修改自己密码,同时打电话向淘宝客服说明情况。否则自己淘宝账号会被用来群发垃圾广告和诈骗广告,甚至直接被犯罪分子用来实施诈骗,导致账号被封。