Facebook為開發人員提供一款用於識別釣魚攻擊活動的工具

本周三（5月2日），Facebook正式對外宣布稱，將為開發人員提供一款用於分辨釣魚攻擊活動的工具。

網路犯罪分子用於竊取個人信息的一種技術是「欺騙網站」——即創建一個與合法網站非常相似的虛假域名。他們可以使用這些網路釣魚域名來收集用戶名、密碼、信用卡號碼和其他敏感信息等。

隨著攻擊者技能的不斷提升，釣魚網站的辨識難度也日益增加，有些甚至能夠獲取到合法的TLS證書，例如，在去年發生的一起事件中，免費和開放的證書頒發機構Let"s Encrypt就曾給釣魚網站頒發了將近15000份安全證書。而使用了這些有效TLS證書的釣魚網站，就可能會錯誤地被瀏覽器標識為「安全網站」。

為了應對這種威脅，Facebook最新設計了證書透明度日誌（Certificate Transparency Logs）工具來跟蹤公眾信任的證書頒發機構所頒發的所有有效安全證書。這項技術將幫助社交媒體巨頭Facebook監控證書頒發機構為該公司擁有的所有域名所頒發的證書安全性。

據悉，該證書透明度（CT）監控工具能夠通過分析域名來查找常見的欺騙技術，例如：

同形異義字攻擊（Homograph Attack）：即利用相似的域名對目標域名進行仿冒攻擊，在這種類型的攻擊中，惡意域名看起來與真實域名非常類似，例如faceb00k[.]com；

Combo squatting：即將合法域名與其他關鍵字組合在一起，例如helpdesk-facebook[.]com；

Typo-squatting（蓄意錯誤拼寫）：即利用常見的拼寫錯誤，例如faecbook[.]com；

現在，Facebook正在將其證書透明度監控工具的功能擴展到開發人員，因此他們也可以在證書頒發機構為潛在的網路釣魚域名頒發證書時收到安全警報。

免費的網路釣魚域名監控服務獲取入口：

http://developers.facebook.com/tools/ct/subscriptions

此外，Facebook還在擴展其Webhook API，以幫助開發人員將他們的釣魚檢測功能集成到他們的外部系統中。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！