安全聯盟開發TLS憑證工具 直接曝光詐騙釣魚網站假面具
[周刊王CTWANT] 資安非營利組織「安全聯盟(Security Alliance,SEAL)」宣布一套新工具,鎖定年內上半年因加密釣魚造成逾4億美元損失的亂象,目標是讓研究人員在詐騙網站啟用「偽裝內容」情境下,仍能以加密方式還原並驗證受害者實際看見的惡意頁面。這項機制名為「TLS驗證與可驗證釣魚報告系統(TLS Attestations and Verifiable Phishing Reports)」,設計給具經驗的資安社群使用,不面向一般大眾。
據《Cointelegraph》報導,SEAL表示此工具定位在協助「好人」協作與舉證,而非提供日常用戶。過去研究人員常因詐騙者啟用偵測爬蟲、掃描器的「隱匿功能」而被引導至無害頁面,難以重現當事人點擊惡意連結時所見內容;TLS驗證試圖補上這段證據鏈。SEAL並在GitHub下載頁面標明,僅限進階使用者與研究人員操作。
運作上,使用者在本機啟動HTTP代理,攔截至目標站點的連線並擷取必要細節;受信任的驗證伺服器在TLS握手過程中扮演「加密神諭」,負責所有加解密計算,實際對外連線仍由使用者維持。完成後可產生「可驗證釣魚報告」,以加密簽章證明該網站在當下確實回應了含釣魚內容的頁面。
在這套技術的協助下,SEAL得以在不直接造訪可疑站點的情況下核實回報,降低詐騙者以流量判斷、地理與指紋比對等手法遮掩惡意內容的空間。
SEAL提到,這類攻擊財損今年快速攀升,過去也曾發生過相關案例,比如與去中心化金融協議Venus Protocol相關的釣魚事件,單起損失約1,350萬美元。
SEAL選擇自TLS通訊協定入手,符合其核心目的:TLS以對稱與非對稱加密確保端對端的機密性與完整性;若能在協議層取證,就能避開僅靠截圖、錄影難以被信任的老問題。SEAL補充,系統設計追求在隱私與可證性間取平衡,研究人員運作代理時不需把對外請求主導權交給伺服器端,降低濫用與外流風險。
延伸閱讀
- 記者:周刊王CTWANT
- 更多科技新聞 »
