本文系统性地研究了专用URL缩短服务（DUSS）被滥用的“误导攻击”（Misdirection Attack）问题。DUSS广泛应用于大型企业，用于将受信任的长URL转换为短链接以优化用户体验，尤其是移动端。然而，攻击者可利用DUSS将其恶意链接转换为短链接，从而滥用用户对域名的隐含信任。当前学术研究对此类攻击缺乏系统认识。为此，作者首次从攻击面、可利用范围和现实世界安全影响三个维度进行了全面研究。研究发现，真实世界的DUSS普遍依赖自定义URL检查机制，但在Web域名安全假设上存在不可靠性，且未遵循安全标准。作者设计并实现了新型工具Ditto，从移动端视角实证研究易受攻击的DUSS。大规模实验表明，约四分之一的DUSS易受误导攻击。更重要的是，DUSS持有来自用户和基于域名的检查器的隐含信任，导致攻击后果扩展到移动设备上的隐蔽钓鱼和代码注入。作者已负责任地向受影响的DUSS企业报告了所有发现，并协助修复了漏洞。本文适合安全研究人员、移动安全工程师及URL缩短服务提供者阅读。