Security Alliance开发了一种基于TLS的证明技术，用于加密验证钓鱼报告，从而解决诈骗者隐藏恶意内容的问题。

一家非营利的网络安全组织发布了一款新工具，旨在帮助安全研究人员验证加密货币钓鱼攻击。据统计，今年上半年此类攻击导致超过4亿美元被盗。

周一，Security Alliance（简称SEAL）宣布正在开发一款新工具，使“高级用户和安全研究人员”能够验证举报的钓鱼网站是否确实存在恶意行为，从而共同打击加密货币钓鱼攻击。

通常，网络安全研究人员难以看到或复制用户在遭遇潜在恶意链接时所看到的内容，因为诈骗者已开发出“隐藏功能”，让恶意网站向扫描工具提供虚假的内容，他们补充说。

SEAL的新工具名为“TLS证明和可验证钓鱼报告系统”，旨在协助安全研究人员验证恶意网站是否确实展现出用户报告的钓鱼内容。

“这是一款旨在帮助经验丰富的‘善意用户’更好协作的工具，而非针对普通用户，”SEAL在Cointelegraph中表示。

“我们需要一种工具，能够让我们看到用户所见的内容。毕竟，如果有人声称某个URL在提供恶意内容，我们不能仅凭他说的话就相信。”

SEAL的可验证钓鱼报告工作原理

该系统通过让可信的证明服务器在TLS连接期间充当“加密预言机”来实现验证。

传输层安全（TLS）是一种网络协议，通过加密传输内容，确保数据不被窃听或篡改，从而保障网络安全通信。

用户或安全研究人员在本地运行HTTP代理，拦截网络连接，捕获连接详细信息后，将这些信息发送给验证服务器。服务器负责处理所有的加密和解密任务，而用户则保持实际的网络连接不中断。

可验证钓鱼报告

用户可以提交“可验证钓鱼报告”，这些报告由加密签名的证明组成，准确显示网站向用户提供的内容。

SEAL之后可以验证这些报告的真实性，而无需直接访问钓鱼网站，从而增加攻击者隐藏恶意内容的难度。

“这是一款仅供高级用户和安全研究人员使用的工具，”SEAL在其GitHub项目页面上写道。

相关推荐：收益率的海妖之歌：USDe 循环贷如何触发币圈崩盘？