資安院歸納前9月釣魚網站威脅指標 前10名半數為短網址

短網址服務具易讀、美觀及便利優勢，但經常遭到濫用。資安院歸納今年1至9月全球共1,500萬餘筆釣魚網站威脅指標，前10名中有過半為常見的短網址服務（如bit.ly、tinyurl.com、t.co），凸顯廣泛被用於隱匿釣魚網站，讓使用者點擊連結前難以辨識真偽。

資安院說明，短網址是將原本冗長的URL連結透過重新導向予以精簡，簡潔的短網址便於記憶、視覺美觀、提升傳遞便利性，發展20多年來已衍生眾多網路服務資源，如數發部111年也推出政府短網址服務「htts://gov.tw/」。

但因使用者不易識別導向後真實網域，攻擊者經常以偽冒身分社交工程手法，將釣魚網站進行包裝，誘導使用者提交個人資訊、金融憑證，或下載惡意程式。

此外，資安院也觀察，Google、Dropbox、Adobe 等域名因本身具品牌信任度，雲端服務遭攻擊者用來隱藏惡意檔案或偽造表單，再與偽冒社交工程手法交互搭配，經由偽裝成通知訊息或共享檔案等社交工程話術，讓使用者輕忽防備。

資安院指出，此類短網址與雲端服務屬於正常服務與應用，難以全面封鎖域名進行防護管控，但相關特性讓其成為釣魚攻擊常見且有效的跳板。

資安院舉例，近期發現實際案例，網路鄉民所熟悉的短網址ppt.cc也遭惡意濫用，導向至偽冒加拿大Cogeco電信與網路服務業者釣魚網站，藉此騙取使用者帳密資訊。

更值得注意的，資安院還發現，因短網址於點擊時才解析真實目的地，甚至曾發生平時轉址到正常網站，於特定情境時才轉址至釣魚網站案例，部分安全防護機制，像是URL過濾、防火牆黑名單等難以即時辨識。

先前資安署特別針對防範社交工程詐騙舉辦記者會，希望民眾使用電子郵件、簡訊時能先「停、看、聽」辨識正確網址。資安院也強調，雖釣魚網站可透過網路管控與短網址展開檢測機制來限制存取，且部分社交軟體亦會透過預覽方式提供內容資訊，但辨識隱匿於正常服務的威脅，除依靠技術手段外，還是要仰賴使用者資安防護意識，強化判讀釣魚網站偽冒技巧，提升對短網址連結與社交工程訊息警覺。

更多中時新聞網報導TOYOTA神級豪車賣瘋了 為何日本人反而不開？背後原因超殘酷「胖手指」買了38張0050 「放著反正遲早會漲？」 網：根本不用怕！沒買到台積電、鴻海？ 5檔鑽石股籌碼集中被低估