四川傳媒學院的喬同學反饋說，他和一位魔獸玩家約定交易游戲幣時，進入對方發來的釣魚網站被騙200多元。令他困惑的是，這個釣魚網站在瀏覽器中顯示為“百度”，并被提示“此網站通過百度認證，請安心訪問”。

為什么百度官網地址會出現釣魚網站？經過業內人士分析，原來這個釣魚網站利用了百度視頻的iframe嵌套漏洞，雖然網址前綴顯示為v.baidu.com，實際上網頁已經跳轉到釣魚網站的地址了。

原來，百度視頻整合其他視頻站點資源時，其官方網站的整體架構均使用iframe嵌套的形式，把其他網站的視頻內容嵌套到自身官網加載執行。也就是說，當用戶通過百度視頻觀看來自樂視、PPS等網站的視頻內容時，最終訪問的頁面在地址欄呈現時均以v.baidu.com為默認域名。百度視頻以此方式獲取流量，但也帶來了安全隱患。

由于百度視頻對嵌套加載的URL參數審查過濾不嚴，導致黑客可直接利用其官網域名加載跳轉釣魚網址，這也使網友們更加難以識別和防范。

群里有同學爆料，利用百度視頻釣魚已經成為黑產流行的手法，目測一些安全廠商也開始進行針對性攔截。以喬同學反映的釣魚網站為例，如果使用360瀏覽器訪問，已經提示為危險網站。