知道创宇安全团队(KnownSec Team)今天捕获一种利用淘宝上传漏洞的钓鱼方式:由于淘宝网对用户作为店标的图片文件内容过滤不严,黑客可以构造带有图片文件头的特殊HTML文件,然后作为店标上传到淘宝网服务器,当用户使用IE等浏览器访问该文件时,文件中的JS代码将自动跳转到钓鱼网站。由于特殊构造的店标图片具有淘宝网的链接,被QQ等聊天工具认定为安全网站,如果用户不仔细核对每一步的链接很容易落入黑客设下的圈套。
QQ认定链接安全:
打开之后弹出窗口:
钓鱼网站界面和淘宝网的登录页面十分相像:
#p#副标题#e#
记录账号密码使用的ASP网页地址:
输入完毕之后跳转回淘宝:
知道安全提醒广大网民,使用网银及网购时尽量手工输入网站网址,不要贪图省事而点击不明来源的链接,即便是某些软件验证安全的网站,同时希望大家 安装必要的安全防护软件,增强网络安全意识,以免因网络安全事件而影响工作、生活。已经上当的网民请及时更改密码并联系当地公安机关。
看来大家以后也要提高安全意识了,相对这种大企业更应该加强对系统的审核机制。#p#副标题#e#