資安業者揭露專門支援網路犯罪行動的短網址服務

專門提供IT自動化與安全服務的Infoblox在本周揭露了專門用來支援網路犯罪行動的短網址服務，Infoblox將此一服務供應商命名為Prolific Puma，指出該服務已存在至少4年之久，長期註冊大量的網域名稱來提供短網址服務，以協助網路犯罪份子躲避偵測，以用來執行網路釣魚行動與詐騙，或是用來遞送惡意程式。

Infoblox聲稱，網路犯罪是全球第三大的經濟活動，在今年的經濟價值高達8兆美元，而Prolific Puma即是該供應鏈中的一份子。

短網址服務可用來縮短網址，同時可指向原本的網頁，一來方便使用者分享，二來也可符合某些平臺的網址長度限制。由於它隱藏了真實的網址，也成為駭客利用的工具，事實上，坊間有為數不少的免費短網址工具，部分因遭到駭客濫用而聲名狼藉的短網址服務則會直接遭到組織封鎖，像是t.co或bit.ly等，這也使得駭客轉向Prolific Puma等付費的短網址服務。

研究人員指出，Prolific Puma並非他們所發現的唯一非法短網址服務，卻是其中最大也最活躍的，而且迄今沒有在該服務上發現任何合法內容。

根據Infoblox的調查，Prolific Puma註冊了大量的網址來提供短網址服務，光是自去年4月迄今，便註冊了3.5萬個至7.5萬個的不重覆網域名稱，從.us、.link、.info、.com、.cc到.me等。從今年5月以來，更主攻僅允許美國人或美國公司才能註冊的.us，已註冊數千個.us的網域名稱，呼應了《Krebs on Security》近日宣稱.us已成為最常受到駭客濫用的國家頂級網域名稱的報導。

藉由Prolific Puma短網址服務所連結的最終頁面經常是網路釣魚或詐騙網站，但有時是直接連至惡意網站，有時是透過多層的重新定向，也有些會連至其它服務所產生的短網址，還有的會連至CAPTCHA來躲避偵測，或是透過手機簡訊來傳遞，Infoblox從這些情景來判斷Prolific Puma的客戶非常多樣化。

此外，在註冊了新網址之後，Prolific Puma通常會靜置它們一陣子，因為絕大多數的網釣攻擊都是利用新註冊的網址，造成許多安全系統直接封鎖新網址，靜置幾周後的網址才能躲過這些系統的偵測。

Infoblox已透過GitHub公布了Prolific Puma所使用的網域名稱供外界參考。