据安全专家称，通过让用户登录合法的雅虎网站来记录用户的用户名和密码，雅虎的用户正在受到一种新的钓鱼式攻击。

    用户会受到一则即时通讯消息或一封电子邮件，消息或电子邮件自称是朋友想让用户看渡假或生日舞会的照片，其中包含有指向钓鱼式网站的链接。该网站能够记录用户的ID和密码，并将用户引导到真正的Yahoo Photos网站。

    安全专家保罗说，用户很难知道他们已经受到了钓鱼式攻击。保罗表示，钓鱼式攻击站点就托管在雅虎的Geocities服务提供的免费空间中。

    保罗说，这种攻击方法的独特之处就在于，钓鱼式攻击者不但使用虚假标志来欺骗用户，还将用户引导到合法的网站，这种攻击方法虽然以前也出现过，但规模要小得多。Websense的全球性监测网络发现了这一攻击技术。他说，这使得我们认为这种攻击技术相当普遍，但要对它进行量化是相当困难的。

    保罗表示，用户应当对非预期的电子邮件和即时通讯消息十分谨慎。犯罪分子对社会工程学知识的运用越来越老练了。