针对淘宝图片安全漏洞的钓鱼骗术（伟大的IE Only）

这两天在淘宝上哥发现了一个针对淘宝图片安全漏洞的钓鱼骗术，具有很强的欺骗性，再次提醒大家小心，切勿点击任何陌生人发送的链接。

不过，这个安全漏洞只针对IE有效，——再次给你一个放弃IE的理由。

亲 在吗？这个还有货不

如果说买家可以完全忽略其它陌生人的信息，但是作为卖家你就不得不成天和陌生人打交道了。一般骗子会发类似“亲 在吗？这个还有货不”、“咦·亲的这个宝贝图片打不开了·您看下伐？”之类的话，然后后面跟个链接，骗卖家点击。

不过以前这种2B骗术一般都跟一个不是“taobao.com”域名的链接，比如“taobac.com”、
“shop1233.blog.china.alibaba.com”之类的链接，一般稍微有点警惕性的人都不会上当，——当然你也不能高估所有人的智
商，否则骗子没饭吃了。

用member1.taobao.com进行钓鱼

骗子发的链接升级版，域名是“member1.taobao.com”。



而这时淘宝旺旺会提示你这个链接是绿色的“安全链接”，很强大。但是这个链接后面跟的一大串字符串暴漏了骗子的意图，——里面居然有“redirect_url”，聪明一点的人都知道这是啥意思了。

其实这个骗局依赖的是淘宝旺旺的“安全链接”检测的漏洞，做程序的人都知道“重定向”在网站上的应用是少不了的，但是旺旺对于自己淘宝安全域名的检测居然忽略了对跳转链接的安全检测，可以说这是淘宝的一个失误，而且居然现在还没有改正。

针对IE的淘宝图片安全漏洞

但是上面的骗子都不如这个，最nb的是这个：昨天哥发现了有个骗子发了这样一个链接：“http://img.taobao.com/top/T1j_tHXkJHXXb1upjX.jpg?id=28718875&src=fromSubCenter”

这个链接非常强大的被淘宝提示为绿色“安全链接”，然后链接非常简洁，没有跟任何“redirect”之类迹象，看上去没有任何破绽，——而事实上它真的是一个淘宝图片，你当然看不出来任何不正常的地方。

这时候卖家很有可能想“是不是买家真的在做询问，后面跟的链接只是自己产品的图片链接而已”，然后很有可能去点这个图片，——这样想的时候其实你已
经放松警惕了。然而当你点击这个链接以后，你会发现支付宝/淘宝的登陆界面，但是实际上浏览器的URL并不是taobao.com，但是也会是一个伪装的
很像的。如果你真的去输入用户名密码就完了。

这个问题的关键在于淘宝图片，如果你用FireFox打开http://img.taobao.com/top/T1j_tHXkJHXXb1upjX.jpg（可放心点击）的时候，你会发现其实这个图片是一段伪装成图片的javascript代码。

FireFox和Chrome都会根据对图片做出正确的处理，其它浏览器哥没有测试，而IE就再次SB了，如果你用IE打开这个图片链接，IE会非常开心的执行这段Javascript代码，然后redirect跳转…..

再次膜拜永垂不朽的IE…..

可以别“亲”不啊

最后，各位伟大的淘宝卖家，可以不要每次张口闭口都“亲”不啊？！！！！

也不知道谁发明的这个恶俗的叫法，还居然病毒式地感染了整个淘宝…..