資安所：短網址 廣泛隱匿釣魚網站

　短網址服務具易讀、美觀及便利優勢，但經常遭到濫用。資安院歸納今年1至9月全球共1,500萬餘筆釣魚網站威脅指標，前10名中有過半為常見的短網址服務（如bit.ly、tinyurl.com、t.co），凸顯廣泛被用於隱匿釣魚網站，讓使用者點擊連結前難以辨識真偽。

　資安院說明，短網址發展20多年來已衍生眾多網路服務資源，如數發部111年也推出政府短網址服務「htts://gov.tw/」。但因使用者不易識別導向後真實網域，攻擊者經常以偽冒身分社交工程手法，將釣魚網站進行包裝，誘導使用者提交個人資訊、金融憑證，或下載惡意程式。

　此外，資安院也觀察，Google、Dropbox、Adobe等域名因本身具品牌信任度，雲端服務遭攻擊者用來隱藏惡意檔案或偽造表單，再與偽冒社交工程手法交互搭配，經由偽裝成通知訊息或共享檔案等社交工程話術，讓使用者輕忽防備。此類短網址與雲端服務為正常服務與應用，難以全面封鎖域名進行防護管控，但因信任讓其成為釣魚攻擊常見且有效的跳板。

　從歸納的釣魚網站威脅指標，排名第一的就是Google的文件服務，占比超過1成，Adobe Express服務、Dropbox雲端網站、QRCODE服務相關域名都入列。

　資安院舉例，近期發現案例，網路鄉民所熟悉的短網址ppt.cc也遭惡意濫用，導向至偽冒加拿大Cogeco電信與網路服務業者釣魚網站，藉此騙取使用者帳密資訊。

　資安院強調，釣魚網站可透過網路管控與短網址展開檢測機制來限制存取，且部分社交軟體亦會透過預覽方式提供內容資訊，但辨識隱匿於正常服務的威脅，除依靠技術手段外，還是要仰賴使用者資安防護意識，強化判讀釣魚網站偽冒技巧。