近日，有好多網(wǎng)友反映他們的淘寶賬戶(hù)被盜，自己淘寶賬號(hào)被用來(lái)群發(fā)垃圾廣告和詐騙廣告，導(dǎo)致賬號(hào)被封。

當(dāng)我看見(jiàn)這些消息的時(shí)間真的很驚訝，這怎么可能呢，淘寶他們安全人員現(xiàn)在在國(guó)內(nèi)都算比較多的，系統(tǒng)存在漏洞的事情恐怕不會(huì)發(fā)生吧。懷著質(zhì)疑的心情去了解了下被盜號(hào)網(wǎng)友的上當(dāng)過(guò)程，終于發(fā)現(xiàn)以下情況：

該跨站漏洞的鏈接形式實(shí)例如下

仔細(xì)看，鏈接確實(shí)在淘寶下面，貌似合法鏈接，但悲劇的是，這是淘寶的一個(gè)跨站漏洞，被釣魚(yú)網(wǎng)站利用了。點(diǎn)擊以后，你再看打開(kāi)的網(wǎng)站鏈接，就發(fā)現(xiàn)，是另外一個(gè)網(wǎng)站了。如果你沒(méi)有留意到打開(kāi)的網(wǎng)站的網(wǎng)址，那么你就會(huì)悲劇了。

大家都知道，為了安全，淘寶站外鏈接在論壇里是無(wú)法直接點(diǎn)擊的，而上面的釣魚(yú)鏈接，由于借用了淘寶漏洞，是可以直接點(diǎn)擊進(jìn)入，旺旺也會(huì)顯示安全，這就是此釣魚(yú)鏈接的危險(xiǎn)性。

剛才看幫派里，已經(jīng)有人發(fā)帖聲稱(chēng)被騙，數(shù)額有幾百的，也有一千多的，漏洞應(yīng)該是剛剛出現(xiàn)不就，希望淘寶迅速修復(fù)。

再次，提醒大家，釣魚(yú)鏈接有兩種形式

***種：赤裸裸的釣魚(yú)，直接發(fā)釣魚(yú)鏈接，或者利用其他知名合法網(wǎng)站的博客等方式，比較老套，大部分受過(guò)安全學(xué)習(xí)的人都能識(shí)別。

第二種：利用知名合法網(wǎng)站的漏洞，甚至淘寶、支付寶、阿里巴巴自身的漏洞，這種釣魚(yú)鏈接是最難防范的。就像上面的鏈接，在旺旺中肯定是顯示綠色對(duì)勾，對(duì)于只會(huì)根據(jù)綠勾進(jìn)行判斷的菜鳥(niǎo)，必然悲劇。

再次，我交給大家防范釣魚(yú)網(wǎng)站的三板斧

***斧：看域名，看鏈接圖標(biāo)是否有綠色對(duì)勾，如果鏈接的***段含有“/”，注意，含有“/",那么說(shuō)明這個(gè)鏈接可能是淘寶的鏈接，相對(duì)安全，但不是絕對(duì)安全，此招可滅掉絕大多數(shù)釣魚(yú)鏈接。

第二斧：看長(zhǎng)度，釣魚(yú)鏈接為了偽裝，往往采用了**，四級(jí)甚至六級(jí)域名，或者用跨站url跳轉(zhuǎn)，整個(gè)鏈接的長(zhǎng)度，那是相當(dāng)?shù)拈L(zhǎng)，在旺旺里起碼可以占掉半個(gè)聊天區(qū)域。而淘寶上的鏈接，通常都大半格地址欄就可以現(xiàn)實(shí)完整，在旺旺里最多兩行就顯示完了。

第三斧：點(diǎn)開(kāi)鏈接別急著輸入密碼。通常如果是和騙子交易的過(guò)程中，騙子發(fā)完鏈接以后要做的最重要的事情，就是“催”，迅速的催，密集地催，讓你點(diǎn)開(kāi)鏈接沒(méi)時(shí)間去想去看馬上去輸入密碼。所以，親啊，越是遇到急著催的人，越要高度警惕!打開(kāi)鏈接，千萬(wàn)要先看看地址欄里的地址是不是“淘寶/"。建議大家，遇到任何需要輸入密碼的網(wǎng)頁(yè)，立即關(guān)閉，因?yàn)槲覀兺耆梢詮奶詫毻线M(jìn)入“我的淘寶”，根本無(wú)需輸入密碼。

如果輸入了密碼，要趕緊修改自己密碼，同時(shí)打電話(huà)向淘寶客服說(shuō)明情況。否則自己淘寶賬號(hào)會(huì)被用來(lái)群發(fā)垃圾廣告和詐騙廣告，甚至直接被犯罪分子用來(lái)實(shí)施詐騙，導(dǎo)致賬號(hào)被封。

【編輯推薦】

1. 淘寶網(wǎng)遭受網(wǎng)絡(luò)釣魚(yú)陷害網(wǎng)絡(luò)購(gòu)物需警惕
2. 網(wǎng)絡(luò)購(gòu)物——可信的網(wǎng)站身份加安全支付方式