本周三（5月2日），Facebook正式对外宣布称，将为开发人员提供一款用于分辨钓鱼攻击活动的工具。

网络犯罪分子用于窃取个人信息的一种技术是“欺骗网站”——即创建一个与合法网站非常相似的虚假域名。他们可以使用这些网络钓鱼域名来收集用户名、密码、信用卡号码和其他敏感信息等。

随着攻击者技能的不断提升，钓鱼网站的辨识难度也日益增加，有些甚至能够获取到合法的TLS证书，例如，在去年发生的一起事件中，免费和开放的证书颁发机构Let's Encrypt就曾给钓鱼网站颁发了将近15000份安全证书。而使用了这些有效TLS证书的钓鱼网站，就可能会错误地被浏览器标识为“安全网站”。

为了应对这种威胁，Facebook最新设计了证书透明度日志（Certificate Transparency Logs）工具来跟踪公众信任的证书颁发机构所颁发的所有有效安全证书。这项技术将帮助社交媒体巨头Facebook监控证书颁发机构为该公司拥有的所有域名所颁发的证书安全性。

据悉，该证书透明度（CT）监控工具能够通过分析域名来查找常见的欺骗技术，例如：

同形异义字攻击（Homograph Attack）：即利用相似的域名对目标域名进行仿冒攻击，在这种类型的攻击中，恶意域名看起来与真实域名非常类似，例如faceb00k[.]com；

Combo squatting：即将合法域名与其他关键字组合在一起，例如helpdesk-facebook[.]com；

Typo-squatting（蓄意错误拼写）：即利用常见的拼写错误，例如faecbook[.]com；

现在，Facebook正在将其证书透明度监控工具的功能扩展到开发人员，因此他们也可以在证书颁发机构为潜在的网络钓鱼域名颁发证书时收到安全警报。

免费的网络钓鱼域名监控服务获取入口：

http://developers.facebook.com/tools/ct/subscriptions

此外，Facebook还在扩展其Webhook API，以帮助开发人员将他们的钓鱼检测功能集成到他们的外部系统中。