短網址的設計初衷是「讓長網址變短」,方便分享和印刷。但這個功能有一個根本性的安全隱患:它隱藏了連結的真實目的地。惡意行為者正是利用這一點,讓釣魚連結、詐騙頁面和惡意軟體看起來和普通連結沒有兩樣。了解短網址的風險,是現代網路安全意識的基本功。
一、短網址的運作原理
短網址服務(如 bit.ly、TinyURL、reurl.cc)的運作方式很簡單:
- 使用者提交原始 URL(如
https://example.com/very/long/path?param=value) - 服務產生一個短代碼(如
abc123),建立對應關係 - 當有人點擊短網址時,服務查詢對應的原始 URL,執行 301 或 302 重定向
- 瀏覽器被導向到原始目的地,整個過程在毫秒內完成
問題在於:在點擊之前,你無法從短網址本身看出目的地是哪裡。https://bit.ly/abc123 可能是一篇正常的新聞文章,也可能是一個偽裝成銀行網站的釣魚頁面。
二、短網址被惡用的五種常見手法
1. 網路釣魚(Phishing)
攻擊者建立一個視覺上完全仿照真實銀行、電商或社群媒體的假網站,用短網址包裝連結,透過簡訊、電子郵件或社群媒體散佈。受害者點擊後輸入帳號密碼,資料直接傳送給攻擊者。
2. 惡意軟體下載
短網址連結到一個會自動下載可執行檔(.exe、.apk、.dmg)的頁面,或利用瀏覽器漏洞進行「開車式下載」(Drive-by Download)——使用者甚至不需要手動確認下載。
3. 廣告詐欺與流量劫持
短網址可以指向一個中間頁面,先跳幾個廣告頁計費,再導向最終目的地。使用者看到的最終頁面可能是正常的,但在重定向過程中已替攻擊者創造廣告收益。
4. 社交工程誘餌
在論壇、留言板或聊天應用中,攻擊者貼出短網址並搭配誘人文字(「點這裡領取免費禮物」、「你的帳號有異常活動」),誘使使用者在未查證的情況下點擊。
5. 追蹤與隱私侵害
部分短網址服務(包括合法服務)會記錄點擊者的 IP 位址、裝置資訊和地理位置,再附帶 UTM 參數或追蹤 cookie 傳到目標頁面。這不一定是惡意行為,但對隱私敏感的使用者需要注意。
三、點擊前如何預覽真實 URL
多數短網址服務提供預覽功能,不需要點擊就能看到真實目的地:
| 服務 | 預覽方法 |
|---|---|
| bit.ly | 在短網址後面加上 +,如 bit.ly/abc123+ |
| TinyURL | 前面加 preview.,如 preview.tinyurl.com/abc123 |
| 通用方法 | 使用 CheckShortURL 或 Unshorten.me 等展開服務 |
四、如何辨識可疑的短網址
展開短網址後,檢查以下幾個關鍵點:
檢查域名
- 仔細看字母:釣魚攻擊常見的「視覺相似字」,如
paypa1.com(數字 1 代替 l)、аpple.com(西里爾字母 а 代替拉丁字母 a),肉眼很難分辨 - 確認頂級域名:官方網站通常是
.com、.org、.gov;如果銀行網站突然變成.xyz或.info,要特別警惕 - 子域名陷阱:
paypal.legit-site.com的主域名是legit-site.com,不是paypal.com
檢查 HTTPS
HTTPS(有鎖頭圖示)只代表傳輸加密,不代表網站安全可信。釣魚網站也可以申請免費的 SSL 憑證,讓自己顯示鎖頭圖示。HTTPS 是必要條件,但不是充分條件。
使用信譽掃描服務
Google Safe Browsing(transparencyreport.google.com/safe-browsing/search)和 VirusTotal(virustotal.com)可以掃描 URL 是否被標記為惡意、釣魚或惡意軟體散佈來源。
五、短網址與 MD5 校驗的結合應用
在軟體散佈場景中,有時需要用短網址分享下載連結,同時提供 MD5 或 SHA 校驗碼供使用者驗證下載檔案的完整性。正確的做法是:
- 公布下載連結的短網址(方便分享)
- 同時公布原始檔案的 MD5 / SHA-256 校驗碼
- 使用者下載後,用校驗工具比對本地檔案的雜湊值是否和公布的一致
如果有攻擊者劫持了短網址(重定向到惡意下載),下載的檔案雜湊值就會和官方公布的不符,使用者就能發現問題。
六、組織使用短網址的安全建議
如果你在組織中負責發送帶有短網址的通訊(電子報、簡訊、公告),以下原則有助於維持信任:
- 使用自訂域名短網址:使用
yourbrand.com/s/abc這樣的自訂域名而非通用短網址服務,讓收件者一眼認出來源可信 - 定期稽核短網址清單:確認所有現有短網址的目的地仍然是預期的頁面,防止目標頁面被竄改
- 避免在短網址中嵌入敏感資訊:URL 參數(如訂單號、使用者 ID)不應直接暴露在短網址的目標 URL 中
- 使用限時短網址:對於促銷活動或一次性分享,設定短網址的有效期限,過期後自動失效,降低被惡意轉傳的風險
七、QR Code 的相同風險
QR Code 本質上就是把 URL 編碼成圖形,面臨和短網址完全相同的風險:你無法在掃描前看到真實目的地。額外的危險是「QRLjacking」——攻擊者在公共場所貼上偽造的 QR Code 貼紙(如停車繳費機、餐廳點餐碼),覆蓋掉合法的 QR Code,讓使用者掃到惡意頁面。
掃描 QR Code 前,確認它是印在可信媒介上(非貼紙);掃描後,在瀏覽器開啟前先確認顯示的網址是否符合預期。
總結
- 短網址隱藏真實目的地,是釣魚攻擊和惡意軟體散佈的常見媒介
- 點擊前用
+後綴或展開服務預覽真實 URL,展開後仔細檢查域名 - HTTPS 鎖頭不等於網站安全,釣魚網站也可以有 SSL 憑證
- 軟體下載附上 MD5/SHA 校驗碼,讓使用者能驗證檔案未被竄改
- 組織通訊使用自訂域名短網址,提升辨識度和信任感