·12 分鐘閱讀·drrop.cc

拿到陌生短網址安全嗎?10 個自保方法 + 4 個 unshortener 工具

朋友 / 訊息 / 論壇傳來一條短網址,不確定目標安全?本文 10 個自保方法 + 4 個 unshorten 工具讓你「點之前先看目標 URL」。

LINE 群組裡有人傳一條 bit.ly/abc123、Email 內容夾一條 tinyurl.com/xyz、Facebook 留言一條 t.co/qwe — 你不知道目標是什麼。點?不點?

短網址本質是個「目標 URL 的 alias」 — 它可能指向:

  • 正常文章
  • 釣魚網站(偷 Google 帳密、銀行帳號)
  • malware 下載連結
  • 詐騙廣告農場
  • 18+ 內容(誘導點擊)

本文給你 10 個點擊前的安全自保方法4 個 unshortener 工具(不點就看到目標 URL)。

10 個點擊前自保方法

① 看訊息上下文與發送者

最基本:發送者是你信任的人嗎?訊息內容自然嗎?

  • 「你那個帳號被駭了!快點 xxx.com/check」 — 典型釣魚話術
  • 「我們的服務需要驗證,點 bit.ly/verify」 — 官方絕不會用短網址傳這種
  • 「老闆要你緊急匯款,連結見此 tinyurl.com/...」 — CEO 詐騙,先打電話確認

信任度 = 發送者 × 訊息合理性。任一可疑就停。

② 看短網址 host 信譽

  • bit.ly / tinyurl.com / t.co — 老牌、相對安全(但仍可能被 abuse)
  • lihi.io / s.id / drrop.cc — 中等
  • 陌生短網址 host(你沒聽過的)— 警戒度高
  • 免費 TLD(.tk / .ml / .cf / .gq) — 多數是詐騙

③ 用 unshortener 工具 expand

把短網址貼進 unshortener,看真正目標。4 個推薦工具下方詳列。

④ 用 Google Safe Browsing 檢查

Google Safe Browsing 輸入短網址 → 看 Google 是否標可疑。

⑤ 用 VirusTotal 多引擎掃描

VirusTotal 輸入 URL → 70+ anti-virus 引擎掃過 → 看是否有 hit。

⑥ 看短網址結尾

有些短網址結尾的「短碼」可被猜:

  • bit.ly/3xyz — 3 字開頭是 bit.ly 內部規律
  • tinyurl.com/zzzzzzzz — 8 個 z = 異常

異常 pattern(譬如 bit.ly/00000000bit.ly/admin)多半是測試 URL 或 phishing。

⑦ 看訊息發送時間 / 場景

  • 三更半夜收到「銀行驗證」短網址 → 可疑
  • 國定假日「報稅退稅」連結 → 季節性詐騙高峰
  • 你沒參加的「中獎通知」連結 → 100% 詐騙

⑧ 在隔離環境點開

如果真的必須點

  • 用無痕視窗(不帶 cookie / session)
  • 用次要瀏覽器(Firefox / Brave,不是平常用的)
  • 或用沙盒環境(Sandboxie、virtual machine)
  • 手機點則開 Chrome 無痕模式

點開後如果要登入任何帳號 → 立刻關,別輸入。

⑨ 看域名是否「打錯字」(typosquatting)

點開後注意 address bar:

  • gooogle.com(三個 o)
  • g00gle.com(用數字 0 代替 o)
  • paypa1.com(用 1 代替 l)
  • facebook-login.com(仿冒 subdomain)

正版品牌絕對不會用這種拼錯 domain。

⑩ 啟用瀏覽器內建保護

  • Chrome:Settings → Privacy and security → Safe Browsing → Enhanced protection
  • Safari:Preferences → Security → Warn when visiting fraudulent website ✓
  • Firefox:Preferences → Privacy & Security → Deceptive Content and Dangerous Software Protection ✓
  • Edge:Settings → Privacy → Microsoft Defender SmartScreen ✓

這些 layer 1 防線會擋掉已知 phishing site。

4 個 Unshortener 工具

「Unshortener」= 輸入短網址 → 顯示真正目標 URL,不需要實際點擊。

① CheckShortURL

CheckShortURL

最簡單的工具:貼 URL → 顯示目標 + screenshot preview。免費、無註冊。

支援多數短網址服務(bit.ly、tinyurl、t.co、ow.ly...)。

② Unshorten.It

Unshorten.It

除了顯示目標 URL,還做:

  • Page rank 估算
  • HTTP redirect chain(如果多 hop)
  • Web of Trust(社群評分)
  • 截圖 preview

③ ExpandURL

ExpandURL.net

輕量、快速、無廣告。純粹給目標 URL,不多餘功能。

④ Browser DevTools(技術 user)

如果你會用瀏覽器 DevTools:

  1. 開新 tab、按 F12 開 DevTools
  2. Network tab、勾「Preserve log」
  3. address bar 貼短網址、按 Enter
  4. 看 Network log 第一個 request 的 Response HeadersLocation 就是目標

完全不依賴第三方工具、不離開瀏覽器、最快 1 秒搞定。

不同 platform 的內建檢查

Gmail / Outlook

hover 連結,底部 status bar 顯示完整 URL(在 link redirect 後的 final destination)。

LINE

桌面版 LINE 對 URL 沒原生 unshorten — hover 只顯示原 short URL。

Discord / Slack

hover 顯示 short URL,不顯示 unshorten 後的目標。要靠 unshortener 工具。

Twitter / X

所有貼出的 URL 自動被 Twitter t.co 包一層。但 hover 通常顯示「真實 URL」(user 看到的是 t.co + 真實 URL preview)。

iOS Safari

長按連結(不放開)→ 跳出 preview 視窗 + 顯示完整目標 URL。再決定是否點開。

特殊場景

Email 短網址「點擊驗證」型詐騙

「您的 Google 帳號異常,請點此驗證:bit.ly/google-verify-xxx

正版 Google 絕對不用短網址寄驗證信。任何「.com」官方品牌寄出的驗證 / 重設密碼 email,URL 應該是品牌完整 domain(譬如 accounts.google.com/...)。

看到 short URL → 99% 詐騙。

SMS / 簡訊短網址

簡訊字數有限(160 字元),所以合法短網址也常用。但詐騙集團也愛用。

判斷:

  • 法律 / 官方通知(譬如交通罰單) — 看 SMS sender ID 是否官方
  • 快遞 / 物流通知 — 多數仿冒,直接打物流公司客服確認
  • 銀行通知 — 任何含短網址的「銀行 SMS」幾乎都是詐騙

廣告 / 行銷短網址

廣告場景常見短網址(Facebook ad、Google ad 跑量)。一般是合法但目標頁面品質可能差

  • Affiliate 連結被多層轉跳
  • Landing page 是 sales funnel(不是你以為的「直接買」)
  • 退款政策不友善

對「衝動消費」場景特別小心。

drrop.cc 的安全設計

drrop.cc 從服務方角度降低 abuse 機率:

  • 6 位英數短碼(56^6 ≈ 30 億組合)— 不容易被暴力枚舉
  • URL validatorjavascript: / data: / 內網 IP / localhost
  • rate limit:每分鐘每 IP 限 5 條,防止大量發佈
  • admin 強制下架 + audit log:abuse 通報 24h 內可下架
  • Turnstile 防 bot 大量註冊

過濾目標 URL 內容不做(除明顯惡意 protocol) — 這跟所有縮網址服務一樣,是「中性 carrier」。

使用者而言,drrop.cc 提供的工具不能取代你自己對「該不該點」的判斷。

FAQ

Q:所有短網址都是不安全的嗎? A:不是。短網址是個中性技術,本身無善惡。80% 短網址是合法分享,20% 可能有問題 — 你的工作是用上述方法判別。

Q:unshortener 工具會記錄我查過什麼短網址嗎? A:通常會(為了 cache + 統計)。如果你查的短網址本身敏感(譬如懷疑朋友傳的釣魚連結),不要用 share 後上傳到第三方服務的工具 — 用 DevTools 法(不離開瀏覽器)。

Q:如果不小心點了釣魚連結怎麼辦? A:

  1. 不要在頁面內輸入任何資訊(帳密、信用卡)
  2. 立刻關閉 tab
  3. 如果該 host 已下載任何檔案 → 不要開啟,立刻刪除
  4. 重新檢查那帳號是否有可疑活動(譬如 Google 安全檢查、銀行最近交易)
  5. 改密碼 + 啟用 2FA

Q:drrop.cc 短網址你們會擋什麼? A:技術上擋:javascript: / data: / 內網 IP / .local / .internal / 自家 host。內容上不擋(中性工具)。但 admin 收到 abuse 通報後 24h 內 review,發現惡意立即下架。

Q:怎麼回報 drrop.cc 上的可疑短網址? A:drrop.cc 有 DMCA / NCII / Abuse 通報表單 — /report/dmca/report/ncii。或直接 email contact@drrop.cc。我們 24h 內 review。

最後

短網址不安全的 root cause 永遠是惡意 user,不是技術本身。

點擊前 5 秒檢查:

  • 發送者是誰?
  • 訊息合理嗎?
  • Host 是熟悉的服務嗎?
  • 必要的話,用 unshortener 確認目標

對「我建的短網址要避免被詐騙用」場景 → 用有 admin 監控 / 24h SLA 的服務(drrop.cc 走這個路線)。

→ 安全使用 drrop.cc:drrop.cc