【大纪元2025年11月10日讯】(大纪元记者吴旻洲台湾台北报导)为了方便在社群媒体平台上分享连结,近年有越来越多人使用短网址服务(URL Shortener)。不过资安院警告,短网址服务导向后的真实网域不易辨识,攻击者经常利用伪冒身份的社交工程手法包装钓鱼网站,诱使使用者提交个人资讯、金融凭证或下载恶意程式。
国家资通安全研究院近期的资安周报以“短网址服务持续潜伏资安威胁”为题,说明短网址服务可能潜藏的危害。
资安院说明,短网址服务又称缩网址,虽具备易读、美观及便利等优势,但也常遭滥用。由于使用者不易识别导向后的真实网域,短网址成为钓鱼攻击常见且有效的跳板。
资安院归纳,今年1至9月全球共搜集逾1,500万笔钓鱼网站威胁指标,前10名中有过半为常见短网址服务,如bit.ly、tinyurl.com与t.co,显示短网址被广泛用于隐匿钓鱼网站,让使用者在点击连结前难以辨识真伪。
此外,Google、Dropbox、Adobe等域名因本身具有品牌信任度,其云端服务遭攻击者用来隐藏恶意档案或伪造表单,再与前述手法交互搭配,经由伪装成通知讯息或共享档案等社交工程话术,让使用者轻忽防备。
资安院举例,最近发现短网址ppt.cc遭恶意滥用,导向至伪冒加拿大Cogeco电信与网路服务业者的钓鱼网站,借此骗取使用者帐密资讯,攻击者恐利用窃得账号进行网路诈骗活动。
资安院说,钓鱼网站可透过网路管控与短网址展开检测机制限制存取,部分社交软体也会提供内容预览资讯。要辨识隐匿于正常服务的威胁,除依靠技术手段外,仍须仰赖使用者的资安意识,强化对短网址与社交工程讯息的警觉,降低遭骇风险。◇
责任编辑:郑桦
