前段时间,网络安全专家提出,.zip 和 .mov 域名可被诈骗人员利用,从而实现诈骗的目的。这个说法在最近得到了进一步证实。
诈骗人员可利用 username:[email protected] 这种方式进行诈骗 (这种格式用于网站的快速登录)。
例如 https://github.com/nextcloud/docker/archive/refs/tags/@release.zip,当用户访问时,浏览器会将 https 作为用户名,并将 //github.com/nextcloud/docker/archive/refs/tags/ 作为密码,因此用户访问的真实网站为 release.zip,而不是 github.com。
在这里建议各位将 .zip 和 .mov 为后缀的域名写入路由分流的禁止列表当中,以防诈骗。
更多阅读: https://www.anquanke.com/post/id/288784
via Danielbility