钓鱼诈骗是一种伪装成正规服务的虚假网站,诱导用户泄露个人信息和登录凭据的网络攻击。由于短链接会隐藏链接目标,因此成为攻击者的理想掩护工具。根据 Anti-Phishing Working Group (APWG) 2023 年 Phishing Activity Trends Report,2023 年报告的钓鱼网站总数达到年均约 500 万个,以每季度约 130 万个的速度增长。其中通过短链接进行的攻击占总数的约 8%,同比增加 1.5 个百分点。仅短链接渠道,每年就有约 40 万个以上的钓鱼网站存在。APWG 还报告称,钓鱼攻击最常针对的行业是金融机构 (占总数的 23.5%),其次是 SaaS / Web 邮件 (19.4%)、电商网站 (14.6%)。
以下介绍 5 种利用短链接的钓鱼攻击具体模式。第一种是冒充银行或信用卡公司的邮件攻击。以"您的账户出现可疑访问,请在 24 小时内确认"为主题制造紧迫感,诱导点击正文中的短链接。跳转目标是与正规网站极为相似的虚假登录页面,实时窃取输入的 ID、密码和一次性密码,用于非法登录正规网站。这种手法被称为实时钓鱼 (Adversary-in-the-Middle),比传统的静态钓鱼网站更难检测。
第二种是冒充电商网站 (Amazon、乐天等) 的订单确认诈骗。标注看似真实的订单号如"订单确认: 订单号 #503-2847591",以"如果您没有下过此订单,请点击此处取消"的文案诱导点击短链接。收件人因不明订单而慌张,在无法冷静判断的情况下在虚假网站输入信用卡信息。
第三种是利用 SNS 私信的攻击。从被盗账号发送"这张照片里的人是你吗?""您在此次活动中中奖了"等激发好奇心的消息,附带短链接。由于看似来自信任的朋友,警惕性降低,被引导至恶意软件下载页面或虚假登录界面。
第四种是利用短信的"短信钓鱼 (Smishing)"。以"您有一个快递包裹因无人签收已带回,请点击此处安排重新配送"的快递不在通知为幌子,通过短链接引导至虚假网站。钓鱼对策协议会 2023 年报告显示,冒充快递的短信钓鱼报告数量同比增加 35%。智能手机上浏览器的网址栏较小,容易忽略虚假域名,这一点被攻击者利用。
第五种是将恶意短链接嵌入二维码的"QRishing"。在停车场收费机、餐厅菜单、公共设施指示牌等处,在正规二维码上方贴上虚假二维码贴纸的手法已有报告。用户倾向于信任实体张贴物,因此比在线钓鱼的警惕性更低。
这些手法的共同点是制造紧迫感,妨碍冷静判断。正规服务很少使用"不立即点击账户将被删除"这样的威胁性表述。收到邮件或消息时,首先确认发件人的邮箱地址。正规服务会从官方域名 (例: @amazon.co.jp) 发送。检查邮件头信息的 Return-Path 和 Received 字段可以确定实际的发送服务器。在 Gmail 中可通过"显示邮件源代码",在 Outlook 中可通过"邮件属性"查看邮件头信息。SPF、DKIM、DMARC 的认证结果也记录在邮件头中,如果这些结果为 FAIL,则可能存在发件人伪造。
活用预览功能是钓鱼防护的基本措施。可靠的短链接服务可以事先确认链接目标的网址、页面标题、OGP 信息。确认链接目标的域名是否与正规服务一致,如有任何可疑之处就避免点击。钓鱼网站常用的域名特征包括:将正规域名中的字母替换为数字 (例: amaz0n-login.com)、在子域名中包含正规名称 (例: amazon.co.jp.fake-site.com)、使用连字符分隔的长域名 (例: amazon-account-verify.com) 等。养成通过预览功能确认域名的习惯,就能避免大多数钓鱼攻击。
浏览器的安全功能也是重要的防御层。Chrome 的 Safe Browsing、Firefox 的 Phishing Protection、Edge 的 SmartScreen 都会与钓鱼网站数据库进行比对,在访问危险网站时显示警告。根据 Google 的透明度报告,Safe Browsing 每天显示约 400 万次警告,保护约 50 亿台设备。保持浏览器更新至最新版本并启用安全功能,即使误点击钓鱼链接也能将损害降至最低。
双因素认证 (2FA) 的设置是减轻钓鱼损害最有效的对策之一。即使登录信息泄露,只要启用了双因素认证就能防止非法登录。Google 的调查显示,基于短信的 2FA 可防止 96% 的账户盗用,基于安全密钥的 2FA 可防止 100%。不过,基于短信的 2FA 容易受到 SIM 卡交换攻击和实时钓鱼的威胁。SIM 卡交换攻击中,攻击者冒充受害者向运营商申请将电话号码转移到另一张 SIM 卡,从而截获短信验证码。建议尽可能使用 TOTP 应用 (Google Authenticator、Authy 等) 或硬件安全密钥 (YubiKey 等)。支持 FIDO2 / WebAuthn 的安全密钥会自动验证钓鱼网站的域名,从物理层面阻止在虚假网站上的认证。欢迎参阅在 Amazon 搜索安全对策实践书籍。
缺点方面,安全对策过于严格会降低便利性,存在权衡关系。养成对所有链接都通过预览确认的习惯虽然安全,但会降低日常链接操作的速度。在高风险场景 (可疑邮件、来自陌生发件人的消息) 中仔细确认,对来自可信发件人的链接则正常操作,根据情况灵活判断更为现实。此外,2FA 的引入需要逐个账户设置,管理负担也会增加。配合使用密码管理器 (1Password、Bitwarden 等) 可以统一管理密码和 2FA 代码,减轻运营负担。
相关书籍:如果您想系统学习 Web 安全和钓鱼防护,推荐在 Amazon 搜索相关书籍。