資安院近期資安週報示警,短網址服務導向後的真實網域不易辨識,使用者在點擊前難以判斷真偽。攻擊者經常利用偽冒身分的社交工程手法包裝釣魚網站,誘使使用者提交個人資訊、金融憑證或下載惡意程式。
國家資通安全研究院說明,短網址服務(URL Shortener)又稱縮網址,雖具備易讀、美觀及便利等優勢,但也常遭濫用。由於使用者不易識別導向後的真實網域,短網址成為釣魚攻擊常見且有效的跳板。
資安院歸納,今年1至9月全球共蒐集逾1,500萬筆釣魚網站威脅指標,前10名中有過半為常見短網址服務,如bit.ly、tinyurl.com與t.co,顯示短網址被廣泛用於隱匿釣魚網站,使使用者在點擊連結前難以辨識真偽。
資安院表示,最近發現短網址ppt.cc遭惡意濫用,導向至偽冒加拿大Cogeco電信與網路服務業者的釣魚網站,藉此騙取使用者帳密資訊,攻擊者恐利用竊得帳號進行網路詐騙活動。
資安院指出,釣魚網站可透過網路管控與短網址展開檢測機制限制存取,部分社交軟體也會提供內容預覽資訊。惟要辨識隱匿於正常服務的威脅,除依靠技術手段外,仍須仰賴使用者的資安意識,強化對短網址與社交工程訊息的警覺,降低遭駭風險。
(作者:趙敏雅;首圖來源:pixabay)
線