短網址潛藏陷阱 恐隱匿釣魚網站

為了方便在社群媒體平台上分享連結，近年有越來越多人使用短網址服務（URL Shortener）。不過資安院警告，短網址服務導向後的真實網域不易辨識，攻擊者經常利用偽冒身分的社交工程手法包裝釣魚網站，誘使使用者提交個人資訊、金融憑證或下載惡意程式。

國家資通安全研究院近期的資安週報以「短網址服務持續潛伏資安威脅」為題，說明短網址服務可能潛藏的危害。

資安院說明，短網址服務又稱縮網址，雖具備易讀、美觀及便利等優勢，但也常遭濫用。由於使用者不易識別導向後的真實網域，短網址成為釣魚攻擊常見且有效的跳板。

資安院歸納，今年1至9月全球共蒐集逾1,500萬筆釣魚網站威脅指標，前10名中有過半為常見短網址服務，如bit.ly、tinyurl.com與t.co，顯示短網址被廣泛用於隱匿釣魚網站，讓使用者在點擊連結前難以辨識真偽。

此外，Google、Dropbox、Adobe等域名因本身具有品牌信任度，其雲端服務遭攻擊者用來隱藏惡意檔案或偽造表單，再與前述手法交互搭配，經由偽裝成通知訊息或共享檔案等社交工程話術，讓使用者輕忽防備。

資安院舉例，最近發現短網址ppt.cc遭惡意濫用，導向至偽冒加拿大Cogeco電信與網路服務業者的釣魚網站，藉此騙取使用者帳密資訊，攻擊者恐利用竊得帳號進行網路詐騙活動。

資安院說，釣魚網站可透過網路管控與短網址展開檢測機制限制存取，部分社交軟體也會提供內容預覽資訊。要辨識隱匿於正常服務的威脅，除依靠技術手段外，仍須仰賴使用者的資安意識，強化對短網址與社交工程訊息的警覺，降低遭駭風險。◇