安全聯盟開發TLS憑證工具 直接曝光詐騙釣魚網站假面具

[周刊王CTWANT] 資安非營利組織「安全聯盟（Security Alliance，SEAL）」宣布一套新工具，鎖定年內上半年因加密釣魚造成逾4億美元損失的亂象，目標是讓研究人員在詐騙網站啟用「偽裝內容」情境下，仍能以加密方式還原並驗證受害者實際看見的惡意頁面。這項機制名為「TLS驗證與可驗證釣魚報告系統（TLS Attestations and Verifiable Phishing Reports）」，設計給具經驗的資安社群使用，不面向一般大眾。

據《Cointelegraph》報導，SEAL表示此工具定位在協助「好人」協作與舉證，而非提供日常用戶。過去研究人員常因詐騙者啟用偵測爬蟲、掃描器的「隱匿功能」而被引導至無害頁面，難以重現當事人點擊惡意連結時所見內容；TLS驗證試圖補上這段證據鏈。SEAL並在GitHub下載頁面標明，僅限進階使用者與研究人員操作。

運作上，使用者在本機啟動HTTP代理，攔截至目標站點的連線並擷取必要細節；受信任的驗證伺服器在TLS握手過程中扮演「加密神諭」，負責所有加解密計算，實際對外連線仍由使用者維持。完成後可產生「可驗證釣魚報告」，以加密簽章證明該網站在當下確實回應了含釣魚內容的頁面。

在這套技術的協助下，SEAL得以在不直接造訪可疑站點的情況下核實回報，降低詐騙者以流量判斷、地理與指紋比對等手法遮掩惡意內容的空間。

SEAL提到，這類攻擊財損今年快速攀升，過去也曾發生過相關案例，比如與去中心化金融協議Venus Protocol相關的釣魚事件，單起損失約1,350萬美元。

SEAL選擇自TLS通訊協定入手，符合其核心目的：TLS以對稱與非對稱加密確保端對端的機密性與完整性；若能在協議層取證，就能避開僅靠截圖、錄影難以被信任的老問題。SEAL補充，系統設計追求在隱私與可證性間取平衡，研究人員運作代理時不需把對外請求主導權交給伺服器端，降低濫用與外流風險。

延伸閱讀

• 兒子不給婆婆抱！一碰秒大哭 人妻直呼：這是現世報嗎？
• 長榮空服員返台猝逝！疑「史迪爾氏症」急爆發 「症狀與感冒接近」奪命時序曝
• 快訊／長榮空姐猝逝今告別式 胞姊轟座艙長「已讀不回」：聲明很虛偽