短链接滥用是指利用 URL 缩短服务「隐藏链接目标」的特性,将用户引导至钓鱼网站、恶意软件分发站点或诈骗网站的不法行为。
主要的滥用手法有三种。第一是钓鱼 (引导至银行或服务的伪造登录页面);第二是恶意软件分发 (引导至病毒或勒索软件的下载页面);第三是垃圾信息 (大量生成短链接在社交媒体和邮件中散布)。据 APWG 2023 年报告,约 8% 的钓鱼攻击通过短链接实施。
短链接服务方面的防御措施包括:URL 注册时的黑名单比对 (拦截已知恶意域名)、实时恶意软件扫描 (与 Google Safe Browsing API 联动)、闪屏页面 (重定向前显示目标链接的警告画面)、不当使用举报功能、速率限制 (防止短时间内大量生成) 等。
用户方面的防范同样重要。收到可疑短链接时,可以使用预览功能 (在 URL 末尾加「+」等) 查看重定向目标,使用 URL 展开服务 (如 CheckShortURL) 预先确认链接目标,以及确认邮件或消息的发送者是否可信。
企业在选择短链接服务时,应将安全功能的完善程度作为重要评估标准。需要确认是否支持自定义域名、是否强制 HTTPS、是否保留访问日志、是否具备不当使用检测机制等。相关书籍可在 Amazon 搜索 中查阅。