本文阅读时间约 5 分钟
链接预览是 SNS 和即时通讯应用在用户点击前预先展示链接内容的功能,让用户提前了解目标页面概况。Facebook、X(原 Twitter)、LINE、Slack、iMessage 等主流平台均实现了链接预览功能,显示从 OGP 元标签获取的标题、描述和缩略图。然而,这一便利功能与短链接结合时可能产生严重的安全风险。Citizen Lab(多伦多大学)2024 年的研究发现,20 款主流即时通讯应用中有 15 款在生成链接预览时会将用户 IP 地址发送到目标服务器。由于短链接可通过重定向隐藏最终目标,它们可能成为「预览伪装」攻击的温床。
链接预览生成过程按平台可分为三种架构:发送方生成(iMessage、Signal)、服务器端生成(Facebook、X、LinkedIn)和接收方生成。短链接介入时,预览生成请求先到达短链接服务器,再通过重定向转发到最终目标。Web 安全相关书籍可在 Amazon 查阅。
预览伪装攻击通过动态切换短链接的重定向目标来实现。攻击者先将合法网站设为重定向目标,待平台生成并缓存可信的预览后,再将目标切换为钓鱼网站。APWG 的报告显示,2024 年第四季度 18.3% 的钓鱼攻击使用了短链接,同比增长 4.7 个百分点。
短链接服务应实施多层安全措施:记录重定向目标变更历史并自动标记频繁变更的链接;与 Google Safe Browsing API 比对以阻止已知恶意网站;在重定向前显示中间页让用户确认最终目标;创建短链接时要求 CAPTCHA 验证以防止机器人批量生成恶意链接。
用户端防御同样重要。养成使用短链接展开服务验证最终目标的习惯;对于涉及金融机构或登录页面的链接,手动输入官方网址最为安全。企业安全负责人应将链接预览伪装攻击案例纳入安全培训。短链接的便利性与安全性始终存在权衡关系,但通过技术措施和用户教育双管齐下,可将风险控制在可接受水平。