安全連結處理：點擊前如何驗證網域，避免釣魚與假網站

一切從「主網域」開始：先找出真正的身份牌

判斷連結安全與否，第一步不是看版面多像、文字多正式，而是看：這個網站真正的主網域是誰？

很多人會被「看起來像官方的字」騙到，例如網址裡出現 bank、google、line、shopee、delivery、support 之類字樣，就以為安全。但網址裡的文字可以隨便放，真正有意義的是主網域。

什麼是主網域？

以這個例子來看：

https://login.example.com/account/reset

• example.com：主網域（最重要）
• login：子網域（可以隨便取，不能用來判斷官方）
• /account/reset：路徑（內容可以偽造）

如果攻擊者做一個假網站，他可以把「login」「secure」「support」塞滿，但只要主網域不是官方的，那就不是官方。

核心原則：你要判斷的是「誰擁有這個主網域」，不是「網址看起來多像」。

最常見的陷阱：子網域障眼法

釣魚連結最愛用的招式之一，就是把「看起來像官方」的字放在子網域裡，讓你以為那就是網站身份。

陷阱範例 1：把品牌放在子網域

https://google.security-check.example.net

你看到 google 可能就放心，但真正的主網域是 example.net，不是 google.com。

陷阱範例 2：把品牌放在很前面，真正網域藏後面

https://shopee.tw.login-verify.account-service.com

前面一長串看起來像 shopee.tw，但主網域其實是 account-service.com。很多人會在手機上被長網址截斷視線，誤以為安全。

陷阱範例 3：使用 @ 符號混淆

少數惡意連結會利用網址格式讓你誤判，例如：

https://official-site.com@evil-domain.com/login

真正的主網域是 evil-domain.com。@ 前面的內容只是用來騙你「看起來像官方」。

遇到任何「網址很長、很多點、很多連字號」的連結，第一件事就是：停下來，把主網域抓出來。

第二道防線：看清楚字母與拼字，避免「一眼看不出」的假網域

釣魚網域常用「非常接近」的拼字來騙你，例如只差一個字母、少一個點、或用相似字元替換。這類詐騙在視覺上很難辨識，尤其在手機上更容易中招。

常見拼字手法

• 多一個字母：例如 gooogle、faceboook
• 少一個字母：例如 gogle、instagrm
• 替換相似字元：例如 l（小寫L）與 I（大寫i），或 0 與 O
• 插入連字號：例如 secure-login、account-verify
• 換不同後綴：例如 .com 變成 .net / .top / .xyz

這裡不是說「非 .com 就一定不安全」，而是提醒你：如果對方宣稱自己是某個官方品牌，但後綴怪怪的，或拼字不對，就要高度警覺。

實用技巧：把網域念出來。很多假網域「看起來像」，但「念起來不對」。

HTTPS 與小鎖頭：有鎖不代表安全，但沒鎖一定要小心

很多人會用「網址有小鎖頭」判斷安全。這個觀念只對一半。

• 沒有 HTTPS：資料可能被攔截或竄改，風險非常高，通常不建議輸入任何資訊。
• 有 HTTPS：代表傳輸有加密，但不代表這個網站是官方，也不代表它不釣魚。

為什麼有 HTTPS 也可能是釣魚？

因為現在申請 TLS 憑證很容易，攻擊者也能讓假網站顯示鎖頭。HTTPS 只能說「你跟這個網域的連線是加密的」，不能證明「這個網域就是你以為的那個品牌」。

那鎖頭到底有什麼用？

鎖頭是一個必要但不充分的條件。你應該把它當作「基本門檻」：如果連 HTTPS 都沒有，更不用談安全；如果有 HTTPS，才進入下一步：確認主網域是否可信、是否為官方。

最有效的方法：用「官方入口」反向驗證

如果你不確定連結真假，最穩的方法不是研究那個連結本身，而是不要點，改用官方入口自己走一遍。

怎麼做最安全？

• 自己打網址：不要從訊息裡點，改成自己在瀏覽器輸入你知道的官方網址。
• 用書籤：把常用官方站存書籤，以後一律從書籤進。
• 用官方 App：例如銀行、電商、物流，很多通知在 App 內也看得到。
• 用搜尋引擎也要小心：搜尋結果可能有廣告假站，進站前仍要看主網域。

例如你收到「帳號異常」通知，你可以直接打開官方 App 或官方網站登入，看看是否真的有通知；你收到「包裹配送」連結，可以去物流官方網站查單號，而不是從簡訊連結進去。

風險最低策略：任何要求你「立刻登入／立刻付款／立刻輸入驗證碼」的連結，一律改走官方入口。

短網址與轉址：先展開，再決定要不要點

很多連結會用短網址（例如看起來很短的網址）或多層轉址，讓你看不到最後會跳到哪個網域。這對詐騙非常有利，因為你在點下去前無法判斷主網域。

短網址為什麼危險？

• 你不知道它最後導向哪個網域。
• 攻擊者可以隨時更改導向目的地。
• 某些短網址會刻意導向「看起來像官方」的假頁面。

實用做法

• 在電腦上可以把滑鼠移到連結上（不點），看瀏覽器左下角顯示的目標網址或預覽。
• 在手機上長按連結，選擇「預覽」或「複製連結」，貼到文字編輯器先看清楚。
• 只要你無法確認最後主網域是誰，就不要在那個頁面輸入任何資訊。

短網址不是一定惡意，但它讓你失去「點擊前驗證網域」的機會，因此需要更謹慎。

手機上怎麼檢查網域？台灣人最常在手機中招

因為手機螢幕小、網址列常被縮短、APP 內建瀏覽器又更容易隱藏細節，所以很多人是「在手機上」點到釣魚連結。以下是你可以馬上用的做法：

做法 1：把網址列點一下，讓完整網址顯示

很多瀏覽器會把網址中間省略，你要主動點一下網址列，讓整串網址完整顯示，才能看到主網域。

做法 2：不要在聊天 App 內建瀏覽器登入重要帳號

LINE、Messenger、IG 等 App 內建瀏覽器有時候會把網址顯示得不清楚。建議遇到重要操作（登入、付款、輸入驗證碼），改用系統瀏覽器（Safari/Chrome）或官方 App。

做法 3：複製連結到備忘錄，先看主網域

你不必馬上打開連結。長按複製，貼到備忘錄或記事本，先找出主網域再判斷。

做法 4：看到「要求立刻輸入 OTP」先停

只要對方引導你輸入一次性密碼、簡訊驗證碼、或要求你「再驗證一次」，你就要提高警覺。真正的官方流程通常會在你自己登入官方站後才觸發，而不是用陌生連結逼你輸入。

進階但超實用：快速用 DNS 與 WHOIS 看「這網域像不像真的」

如果你想更確定（特別是你要把連結分享給家人朋友前），可以用更嚴謹的方式檢查網域背景。你不需要懂技術細節，只要知道要看什麼：

檢查重點 1：網域是否很新

大量釣魚網域是近期才註冊的，因為被封後就換新的。若一個「看起來像官方」的網域才剛出現不久，可信度就很低。

檢查重點 2：註冊資訊是否可疑

WHOIS 資訊可能會被隱私服務遮蔽，這不一定是壞事，但如果整體資訊顯得非常「空白」或「不一致」，就要更小心。

檢查重點 3：是否與官方網域一致

你可以把這個網域跟你熟悉的官方網域做比對：拼字是否一致？後綴是否合理？是否是常見的官方域名架構？如果差異很大，寧可不點。

提醒：這些檢查是加分，不是唯一判斷。最安全的做法仍然是「走官方入口」。

常見釣魚劇本：看到這些訊息語氣要立刻警覺

除了網址，詐騙訊息的語氣也有固定模式。以下是台灣很常見的紅旗：

• 時間壓迫：例如「24 小時內未處理將停權」「最後通知」。
• 恐嚇與焦慮：例如「異常登入」「帳戶凍結」。
• 要求你離開官方流程：例如「點此連結重新驗證」「輸入 OTP 完成更新」。
• 語言不自然：用詞怪、標點奇怪、繁簡混用，或是翻譯腔很重。
• 連結看起來不對：短網址、亂碼、奇怪後綴，或主網域跟宣稱身份不符。

只要訊息同時具備「逼你快點做」加上「讓你點連結登入」這兩個元素，就值得你停下來驗證網域。

如果你不小心點了怎麼辦？三個當下處理步驟

人都有不小心的時候。重點是你點了以後做了什麼。

情況 1：只點開，沒有輸入任何資料

• 立刻關掉頁面。
• 回到官方入口確認是否真的有通知。
• 建議清除該頁面權限（例如不要允許通知、不要下載檔案）。

情況 2：輸入了帳密

• 立刻改密碼（從官方入口，不要從那個連結）。
• 如果有兩步驟驗證（2FA），立刻啟用或重新綁定。
• 檢查登入紀錄、裝置清單，登出所有可疑裝置。

情況 3：輸入了 OTP 或授權碼

• 這通常代表攻擊者正在即時接管帳號。
• 立即改密碼、重新設定 2FA，並檢查是否有新增的轉寄規則、備援信箱、付款方式。
• 若是金流相關，盡快聯繫客服並做風險控管。

不要覺得丟臉。越快處理，損失越小。

最後給你一套「點擊前 10 秒」檢查清單

你不需要每次都做很複雜的驗證，只要把以下流程養成習慣，大多數釣魚連結都會被你擋下來：

1. 先看主網域：不要被子網域與路徑騙。
2. 拼字念一遍：是否有怪字母、怪後綴、怪連字號。
3. 確認是否為官方入口：能不用連結就不用連結，改自己打網址或開官方 App。
4. 短網址先展開：看不到最後主網域就不要輸入資料。
5. 任何要求 OTP 的連結都先停：這是高風險操作。

一句話總結：安全不是「不點連結」，而是「點之前先確認你到底要去誰家」。網域就是門牌。門牌不對，再像也不是你要找的那一間。

把這套方法教給家人、同事、朋友會非常有用。因為詐騙會變，但「主網域驗證」這個基本功不會過時。你只要慢 10 秒，很多麻煩就能少好幾個月。