每次看到這樣的新聞就覺得好笑，Yahoo一再地強調，希望網友留意網域名稱，偏偏自己又留下一堆轉址漏洞，到xssed網站搜 尋一下，就可以發現其中有個Redirect的攻擊方式，顯然這個漏洞也開始受到重視了！再搜尋一下yahoo或google，可以發現其實還不少XSS 或Redirect的漏洞！在這樣的情況下，即使網友有留意網域名稱，還是很容易被導引至偽造網站的阿！這樣一來，yahoo提出的建議甚至很可能遭到反 利用！

另外，yahoo針對拍賣商品中隱藏的假網站連結，雖然已作出警示，但透過js作出的警告方式還是只能治標，當使用者關閉java script，或是習慣開啟新分頁瀏覽的使用者，透過js的警告方式將失去效果，所以建議yahoo還是應該尋求一個有效治本的方式～(不過至少有採取治 標措施了！這點還是值得肯定…^_^)

Ref：http://tw.news.yahoo.com/article/url/d/a/080309/78/uxth.html

釣魚郵件肆虐Gmail Google籲回報

更新日期: 2008/03/09 04:09

〔記者王珮華台北報導〕釣魚網站與釣魚郵件肆虐，連知名網路業者Google與Yahoo!都受害。

近期Gmail用戶收到一封署名Gmail小組的郵件，要求使用者升級電子信箱，細心的使用者發現該郵件提供的連結為釣魚網頁，目的在收集帳號密碼；而Yahoo!奇摩拍賣會員最近也收到「緊急安全通知」信件，要求更換密碼，結果將使用者導向釣魚網站，提醒網友注意。

最近不少Gmail使用者都接到一封署名「Gmail小組」的信件，信件內容表示，Gmail服務將升級，新版速度更快，且空間將從原來的４Ｇ增加到６Ｇ。信中提供的連結與Gmail界面完全相同，要求使用者輸入帳號與密碼。

不過，細心的網友發現，這封信的寄件人郵件地址是「menberservice@gmail.com」，連英文「member」都拼錯，按下郵件所 提供的連結，網址變成http：//210.59.117.100/serviceslogin.htm，並非Google官方網址。網友質疑，這封釣魚 信出現「優化」與「提交」二詞，均為中國慣用語，極可能是來自中國的詐騙集團。

雅虎奇摩也遭毒手

Google指出，Gmail服務絕不會要求使用者提供密碼或其他機密資訊，建議向Google回報詐騙郵件。

無獨有偶地，最近Yahoo!奇摩拍賣會員也接獲「Yahoo!奇摩用戶緊急安全通知」的信件，信件中含有釣魚網址連結，企圖騙取Yahoo!奇摩會員的登入帳號、密碼。

Yahoo!奇摩表示，真的網址為 http：//xxxx.xxx.yahoo.com/（xxx可為任何字母），避免被騙走帳號密碼，造成困擾。

資料來源 itinternals.com/archives/2008/03/09/635