從網址看門道：如何用域名判斷一個網站的可信程度

xylon

這是從臉書轉來的文章，很深入，對一般域名小白很有用。不知道是否為本站版友？https://www.wilsonhuang.xyz/blog/domain-name-is-matter
從網址看門道：如何用域名判斷一個網站的可信程度
TL;DR
- 域名後綴就像店面地址，選在哪條街上基本透露了經營者的意圖
- .com、.io、.ai、.tw 這些比較正常；.top、.xyz、.cc、.shop 要特別小心
- 詐騙集團有成本考量，便宜的域名就是他們的消耗品
- 除了後綴，亂碼命名、仿冒品牌、帶連字號的域名都是警訊
如果你是創辦人，域名選擇也是品牌的一部分，別省這個錢。
---
先說為什麼要寫這篇
這十年來，太多人問我「這個投資案是不是真的」「這個網站看起來像不像在認真做」。我認真數過，大概每個月至少被問個兩三次，而且問的人橫跨我爸媽那輩到剛出社會的年輕人。
久了之後我發現一件事：其實很多時候，我根本不需要點進那個網站，光看網址就能判斷個七八成。
這套邏輯我一直放在腦子裡，沒有系統化地寫下來。最近又被問了幾次，想想還是整理成一篇文章，省得每次都要重新解釋。以我自己的經驗，這套方法雖然不是百分之百準確，但作為一個入門級的篩選框架，已經可以幫你避開大部分明顯的坑了。
後續如果有機會，我會再深入寫怎麼看 WHOIS 資訊、怎麼判斷網站背後的團隊是否可信，那些比較進階的東西。但今天先從最基本的講起。
---
域名就是店面的地址
先講一個概念。
你走在一條商業街上，有些店開在信義區一樓黃金店面，門面氣派，租金肯定不便宜。有些店窩在巷子深處，招牌用紙板手寫，看起來隨時會搬走。
域名的道理一模一樣。
一個網址的「結尾」，也就是所謂的頂級域名（TLD, Top-Level Domain），就是這間店選擇開在哪條街上。選越貴、越主流的地段，通常代表經營者願意砸錢、打算長期做生意。選那種便宜到不行的冷門地段？那就值得多想三秒。
---
比較正常的域名
以下這幾種後綴，是我認為比較不需要擔心的。注意，我說的是「比較不需要擔心」，不是「絕對安全」。
.com — 這個沒什麼好解釋的，全世界最普遍的域名後綴。就像開在信義區的店面，好的 .com 域名價格不低，幾乎所有認真經營的品牌都會優先搶 .com。一間公司連 .com 都有，至少代表他們願意花錢打地基。
.io — 近年在科技圈和新創圈非常流行。.io 的註冊費也不算便宜，加上它已經建立起「科技品牌」的形象，很多正規的 SaaS 產品和開發者工具都會選這個後綴。
.ai — 嚴格來說，.ai 是加勒比海小國安圭拉（Anguilla）的國碼域名。但隨著 AI 產業這十年的爆發，.ai 已經被搶到飛起來了。從 Perplexity .ai 到各種 AI 新創，大家搶著用。也因為需求暴增，.ai 的註冊價格水漲船高，現在已經算是高級域名。能用 .ai 的公司，基本上也代表願意砸錢。
.net / .org — 跟 .com 同輩的老牌後綴。.net 最早是給網路基礎設施相關的組織用的，.org 是非營利組織的首選。雖然現在註冊門檻已經開放，但因為歷史悠久、辨識度高，用這兩個後綴的網站普遍還是比較正規。
.network — 比較新的通用域名，價格不算便宜，在技術社群和基礎設施相關的服務偶爾會看到。整體來說品質相對穩定。
國碼域名（.tw、.jp、.de 等） — 代表特定國家或地區。以台灣的 .tw 為例，註冊通常需要提供當地身份資訊，門檻比較高。如果你看到一個台灣公司用 .com .tw，這通常是正面訊號，代表它有在地的合法登記。像德國的 .de、澳洲的 .au 這些管理嚴格的國碼域名，在各大資安機構的濫用排行榜上幾乎看不到，就是因為註冊門檻夠高。
---
高風險域名：巷口的臨時攤位
接下來講的就是重點了。這些域名後綴，看到的時候請先深呼吸，多想三秒再決定要不要點進去。
第一梯隊：重災區
.top — 我見過最多詐騙網址用的域名，各大資安報告裡的常客。根據 Interisle Consulting 的研究，光是 2023 年 5 月到 2024 年 4 月，在 276 萬個 .top 域名裡就有超過 11.7 萬個被用於釣魚網站。為什麼？因為它超便宜，有時候一年只要幾塊台幣。對詐騙集團來說，這根本就是夜市的臨時攤位，被拆了再租一個就好。
.xyz — 說到 .xyz，我得先自嘲一下：我自己的部落格用的就是 wilsonhuang .xyz。所以這個後綴的情況比較複雜。
從資安數據來看，.xyz 確實是僅次於 .top 的重災區，便宜又好取得，大量被拿來做釣魚和惡意軟體。但另一方面，不少知名的科技和幣圈項目也選了 .xyz。Google 母公司 Alphabet 用的是 abc .xyz；穩定幣支付平台 Bridge 從 2022 年創立之初就用 bridge .xyz，後來被 Stripe 以 11 億美元收購；Jack Dorsey 的 Block（前身 Square）用的是 block .xyz；DEX 聚合器 Matcha 用 matcha.xyz；智能錢包 Argent 用 argent .xyz; 最後 Top 1 Perp Dex 的 Hyperliquid 也是 hyperliquid .xyz。
說白了，.xyz 這幾年已經「變紅了」。在 FinTech 和幣圈項目裡，.xyz 幾乎成了一種身份標籤，意思是「我們是 Web3 原生的」。但也正因為如此，它同時吸引了正規新創和詐騙集團，兩極化非常嚴重。看到 .xyz 不能一竿子打翻一船人，但確實要搭配其他指標一起看。
.cc — 表面上是澳洲海外領地可可群島（Cocos Islands）的國碼域名，但因為價格低、註冊門檻也低，早就成了詐騙和垃圾郵件的溫床。在 Interisle 的報告裡，.cc 是惡意域名數量前五名的常客。
不過說到 .cc，我也得替它講句公道話。早期台灣其實蠻多網站用 .cc 的，最經典的就是無名小站（wretch .cc）。那個年代 .cc 還沒有被大規模濫用，短短兩個字母看起來簡潔俐落，所以不少台灣服務都選了它。但時過境遷，2025 年的 .cc 生態已經完全不同了。如果你現在看到一個陌生網站用 .cc，真的要非常小心。
.shop — 惡意域名數量緊追在 .top、.xyz、.cc 之後。這個後綴特別狠的地方在於，它天然帶有「購物」的暗示。很多假電商和假購物網站刻意選 .shop，就是要營造「這是正規商店」的假象，消費者搜尋商品的時候特別容易中招。
第二梯隊：容易搞混或假裝專業
.co — 這個後綴很陰，因為它長得太像 .com 了。確實有一些正規公司用 .co，但正因為容易跟 .com 混淆，它也被大量用在釣魚網站上。看到一個品牌用 .co 而不是 .com，建議多查證一下。
.pro — 聽起來很「專業」，但正規企業幾乎不會選這個後綴。反而是想營造假象的網站會用 .pro 來暗示自己很 pro，結果一點都不 pro。
.cloud — 價格低、註冊容易，經常被拿來搭一次性的詐騙頁面。
.loan / .date / .work — 這類「聽起來有意義」的新通用域名，長期佔據 Spamhaus 惡意指數排行榜。它們的名稱本身就帶暗示 .loan 暗示貸款、.date 暗示交友、.work 暗示求職——剛好是詐騙集團最愛操作的幾個主題。看到一個貸款網站用 .loan、一個交友平台用 .date？請先假設它有問題，再去驗證它是不是正規的。
第三梯隊：偽裝高手跟跳板
.zip / .mov — 這兩個是 Google 在 2023 年開放的新域名，我認為是最陰的設計之一。.zip 長得跟壓縮檔的副檔名一模一樣，.mov 跟影片檔一模一樣。犯罪者會建立像「report .zip」這樣的網址，讓你以為自己在下載檔案，實際上是進了一個釣魚網站。
這就像有人在路上放了一個假包裹，等你彎腰去撿的時候趁機下手。
.li — 列支敦士登的國碼域名。根據資安公司 ANY.RUN 在 2025 年的數據，.li 在釣魚濫用比率排名第一，高達 57% 的 .li 域名被標記為惡意。但它的運作方式很特別：大多數 .li 域名不直接放詐騙內容，而是當「跳板」，先把你導到 .li 的頁面，再悄悄轉址到真正的詐騙頁面。傳統的偵測工具很難抓到，因為惡意內容永遠在「下一站」。
第四梯隊：免費域名的天堂
.tk / .ml / .gq / .cf / .ga — 分別是托克勞、馬利、赤道幾內亞、中非共和國、加彭的國碼域名。共同特色：過去曾提供免費註冊。免費 = 零成本，對詐騙集團來說根本就是天上掉下來的禮物。雖然部分免費方案已經調整，但這些域名的惡意比例到現在還是居高不下，在 Spamhaus 的「壞域名指數」裡常年名列前茅。看到 .tk 或 .ml 結尾的網站？基本上可以直接略過。
第五梯隊：聽起來無害但別大意
.rest / .surf / .hair / .beauty / .mom — 聽起來都很無害，甚至有點可愛。但正因為冷門又便宜，反而成了垃圾郵件和詐騙的溫床。根據 Spamhaus 的統計，這些後綴在濫用比率排行榜長期榜上有名。一個正規的美容品牌不會選 .beauty 當域名，一個正規的衝浪用品店也不會用 .surf。它們會選 .com。
---
背後的經濟邏輯
為什麼詐騙網站這麼愛用便宜域名？這背後有一個很實際的成本考量。
詐騙集團的運作模式根本就是打游擊戰。一個網站被舉報、被封鎖之後，立刻換一個新域名繼續行騙。域名對他們來說就是消耗品，當然會選最便宜的。花十幾塊買一個 .top，騙到一個人就賺回來了。但如果要花幾百甚至幾千塊買一個 .com？那成本邏輯就完全不一樣。
而且他們不是只買一個，是一次買一大批。根據 Interisle 的報告，有案例是在單一註冊商處，8 小時內批量註冊了 17,000 個惡意域名。想像一下，就像在夜市一次包下整排攤位，一個被查封就換下一個，成本低到可以忽略不計。
Spamhaus 在報告裡也指出，前二十大高風險域名中有八個來自同一家以低價策略著稱的域名註冊局。便宜的價格吸引大量惡意註冊，寬鬆的管理讓這些域名活得更久，惡性循環。
所以你幾乎不會看到詐騙網站用 .com 或 .tw。不是不行，是不划算。
---
域名後綴之外，還能看什麼？
後綴只是第一層，還有幾個指標我會一起看。
主域名是不是一堆亂碼？ 正常品牌會用有意義的字當域名，shopee .tw、google .com。但如果你看到的是「E87C .top」或「xK4m9 .cc」這種東西，幾乎可以確定是隨機生成的詐騙域名。詐騙集團大量註冊域名的時候根本懶得取名字，直接亂數產生就好。
這不是我瞎猜的，根據 Stobbs 的研究，在 Spamhaus 列出的前十大最高風險域名裡，純數字域名佔了 53%，其中五個域名後綴的數字域名比例甚至超過 70%。一串數字加一個冷門後綴，基本上就是詐騙的標準配備。
是不是在模仿知名品牌？ 釣魚網站最愛做的事就是註冊一個跟知名品牌長得很像的域名。把「apple .com」改成「app1e .com」（l 換成 1），或加上多餘的字變成「apple-support-tw .top」。還有一種常見手法是開頭加「com-」，像「com-apple-verify .top」，讓你快速掃過網址的時候以為是 .com。看到這種東西，直接關掉。
網站活了多久？ 透過 WHOIS 查詢工具可以查到域名的註冊時間。一個聲稱營運多年的平台，域名卻是上個月才註冊的？那就非常可疑。
有沒有 HTTPS？ 雖然 HTTPS 已經不能當安全的唯一指標了，現在取得 SSL 憑證太容易。但如果一個網站連 HTTPS 都沒有，那就連最基本的門面都不想做了。
有沒有連字號（-）？ 這點純粹是我個人觀點，不代表客觀事實。但老實說，我真的很不喜歡帶連字號的域名，像「xxx-eee .com」或「best-deals-today .shop」。
一個好的域名應該是乾淨俐落、一氣呵成的。中間插一個連字號，總覺得像是想用的名字被別人註冊了，只好硬拼一個湊合著用。更重要的是，我觀察到很多詐騙網站特別愛用連字號，大概是因為好的域名都被正規公司買走了，只能用連字號組合出看起來像品牌的東西，像「apple-support-tw .top」或「bank-verify-login .cc」。
如果你是創辦人，建議盡量別在域名裡用連字號，免得無端拉低格調。
---
快速檢查表
下次收到一個可疑的網址，照這個順序花三十秒過一遍：
看後綴 — .com / .io / .ai / .net / .org / .tw 這類主流域名？還是 .top / .xyz / .cc / .shop？
看名稱 — 有意義的品牌名稱？還是一堆亂碼數字？有沒有不必要的連字號？
看相似度 — 是不是在模仿某個知名品牌？數字替代字母？多餘的字詞？
查年齡 — 用 WHOIS 查一下註冊時間。剛註冊的域名 + 高風險後綴 = 幾乎確定有問題。
查口碑 — 把整個網址丟進 Google，看有沒有人回報是詐騙。
不需要技術背景，任何人都能做。養成習慣就能閃掉大部分的坑。
---
給創辦人的幾句話
如果你正在創業，域名選擇是品牌建設的一部分，別省這筆錢。
盡可能拿到 .com。它是全球辨識度最高的後綴，消費者信任度也最高。如果你的品牌名 .com 已經被註冊了，認真考慮調整品牌名稱，而不是退而求其次選個冷門後綴。
目標市場是台灣的話，.com + .com .tw 是最理想的組合。前者面向國際，後者建立在地信任感。
然後，千萬別用本文提到的那些高風險域名。即使你的業務完全正規，用 .top 或 .cc 這種域名，潛在客戶在點進來之前就已經打了問號。想想看，名片上印一個 .xyz 的網址，對方的第一反應是「這公司好潮」還是「這該不會是詐騙吧」？
最後，把跟你品牌相似的域名也買下來做保護性註冊。品牌叫 example .com？那 examp1e .com、example .co、example .net 都買下來，避免被有心人拿去建釣魚網站。這筆錢絕對值得。
---
買域名去哪買
幾個我長期在用的平台：
Gandi（gandi .net）— 介面簡潔，隱私保護好，價格透明，不會用一堆加購轟炸你。我個人最常用。
GoDaddy（godaddy .com）— 全球最大的域名註冊商，選擇最多、功能最齊全，需要一站式服務的話很適合。
Namecheap（namecheap .com）— 如其名，價格實惠，免費附贈 WHOIS 隱私保護，性價比很高。
建議買之前先到幾個平台比價。同一個域名在不同平台的價格可能差不少，尤其是續約價格——有些平台第一年很便宜，續約的時候大幅漲價，這點要留意。
---
寫在最後
域名這個東西，說穿了就是經營者意圖的縮影。就像你不會隨便走進一間沒招牌、藏在暗巷裡的店，看到可疑的域名也請保持一樣的警覺。
當然，這套方法不是萬無一失。有少數正規公司用冷門域名（例如我自己），也有詐騙集團砸重金買 .com。但從機率來看，域名後綴仍然是最快、最直覺的第一道篩選。把它當成一種預警系統：預警響了不代表一定有危險，但代表你應該多花三十秒去查證，而不是直接點進去。
下次有人丟一個網址問你「這個可不可信」，先看看結尾那幾個字母。很多時候，答案就在那裡。
自行斟酌，共勉之。

xylon

原贴https://www.domain.club.tw/showthread.php?t=41676