Google声称 已经发现两个网络钓鱼可以利用的漏洞

  据外电报道，Google日前表示，已经发现2个网络钓鱼（Phishing）能利用的漏洞，其中一个已经完成修补，恶意黑客将无法再度利用，而另一个在近日内也将完成修补。所谓的网络钓鱼泛指让使用者误信该电子邮件由正式机构所发出、吸引网络使用者泄漏自身身分资料、发送具诈骗意图电子信件的手法。已经修补完毕的漏洞系黑客利用JavaScript改变Google所显示的网页内容，或是操纵搜索资料。
　Google的安全漏洞系由英国网络安全公司Netcraft的计算机工程师Jim Ley发现，Ley表示，尽管在2年前便发现Google的漏洞，但写电子信件给Google仅收到自动回复的邮件，因此Ley认为Google对于网络安全漏洞并不在乎，而仅在乎漏洞暴露于大众面前。但是Ley也强调，Google的问题在多数大型网站上很常见，Google在信息安全的防护上并不特别差。
　盗用Google名义以欺骗大众的一种模式为采用Google的企业识别标志以及字样，宣称Google即将针对搜索服务进行收费，而早期的订户可以用折扣价格订购服务。而Google近期推出的PC搜索服务Desktop Search将增加潜在的诈骗集团的可信度，由于诈骗集团可能利用Desktop Search所搜索PC内有档案，更易让人误信外来电子邮件。

                  网络“钓鱼”出新骗局 利用合法网站攻击上钩用户

     网络“钓鱼”骗局的骗子们没有止步不前，他们变得更加聪明了。
　　“钓鱼”骗局是黑客们采用的一种技术，它们用电子邮件将用户骗到看起来极其真实的假冒网站，比如你开户银行的网站。一旦用户登录，被骗者会无意识地披露个人财务信息，“钓鱼”骗局骗子用这些信息进行电子商务欺诈并实施身份欺诈和盗窃。由于一些知名度很高的“钓鱼”攻击事件，现在绝大多数人对这些骗局有了警觉。
　　但现在骗局有了更加少见的发展，在新骗局中，电子商务企业可能成为无意识的帮凶，因为即便是最聪明的网络用户也可能无法察觉这种骗术。这种“混合”式“钓鱼”骗局利用人们所信任机构的合法网站，而不是假冒网站和虚假的URL地址。其结果是，即便那些最谨慎的用户也不可能分辨出作为威胁的假冒链接。
　　新骗局将传统的骗局方法与另一种技术结合起来，即所谓的网站交叉脚本，它可以导致重大危害，方法是在被攻击者的浏览器上执行非法脚本程序。触发器就是电子邮件内嵌脚本的链接。
　　在点击电子邮件后，被攻击者被发向某个合法的网站，恶意链接在合法网站上执行若干动作，例如生成一个弹出的注册窗口，一旦登录，黑客既可以进入网站，也可以得到被攻击者的个人信息。该链接还将特洛伊木马或病毒上传到用户电脑上。
　　“钓鱼”骗子甚至还采用网站交叉脚本损害网站，他们将其他网站正常显示的图像嵌入被攻击的网站。由于脚本程序无法在服务上安装，被攻击的公司不知道它们的网站和品牌已经被损害，直到访问用户通知后才了解情况。