SEAL團隊開發「可驗證的釣魚報告」以打擊詐騙者
網絡安全非營利組織Security Alliance近日推出了一項新工具,幫助安全研究人員驗證加密貨幣釣魚攻擊,該攻擊在今年上半年已導致超過4億美元的損失。
在週一,Security Alliance(SEAL)宣佈他們正在開發一項新工具,旨在讓「高級用戶和安全研究人員」能夠共同對抗加密釣魚詐騙,通過驗證報告的釣魚網站是否為惡意網站來實現。
安全研究人員往往無法看到或重現用戶在遇到潛在惡意鏈接時所見的內容,因為詐騙者已經開發出「隱藏功能」,以向可疑的網絡掃描器提供良性內容。
SEAL的新工具名為「TLS Attestations and Verifiable Phishing Reports」系統,旨在幫助安全研究人員,現在可以證明用戶所聲稱的惡意網站實際上確實包含釣魚內容。
「這是一個幫助經驗豐富的『好人』更好合作的工具,而不是針對普通用戶的。」SEAL告訴Cointelegraph。
「我們需要一種方法來查看用戶所見的內容。畢竟,如果有人聲稱某個URL提供了惡意內容,我們不能僅僅相信他們的話。」
SEAL的可驗證釣魚報告如何運作
該系統的運作方式是由一個可信的證明伺服器在TLS連接期間充當加密預言機。
傳輸層安全性(TLS)是一種網絡協議,確保通過計算機網絡進行安全通信,通過加密數據來保護其不被竊聽和篡改。
用戶或研究人員運行一個本地的HTTP代理,攔截連接,捕獲連接詳細信息並將其發送到證明伺服器。伺服器處理所有加密/解密操作,而用戶則保持實際的網絡連接。
用戶可以提交「可驗證的釣魚報告」,這些報告是加密簽名的證明,顯示網站向他們提供的具體內容。
SEAL隨後可以驗證這些報告的真實性,而無需直接訪問釣魚網站,這使得攻擊者更難隱藏其惡意內容。
「這是一個僅針對高級用戶和安全研究人員的工具。」SEAL在GitHub下載頁面上寫道。
這項新工具的推出,無疑是對抗網絡詐騙的一個重要進展。隨著加密貨幣的普及,釣魚攻擊的風險也隨之增加,這種工具可以幫助提升整個行業的安全性。不過,這也提醒我們,對於普通用戶來說,仍然需要提高警覺,並保持對潛在詐騙的警惕。未來,如何在技術和教育之間找到平衡,將是保障網絡安全的重要課題。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
