KR20090019451A - 피싱 및 파밍 알림 방법 및 장치 - Google Patents

피싱 및 파밍 알림 방법 및 장치 Download PDF

Info

Publication number
KR20090019451A
KR20090019451A KR1020070083896A KR20070083896A KR20090019451A KR 20090019451 A KR20090019451 A KR 20090019451A KR 1020070083896 A KR1020070083896 A KR 1020070083896A KR 20070083896 A KR20070083896 A KR 20070083896A KR 20090019451 A KR20090019451 A KR 20090019451A
Authority
KR
South Korea
Prior art keywords
site
normal
access site
address
access
Prior art date
Application number
KR1020070083896A
Other languages
English (en)
Inventor
강정민
이도훈
박응기
박춘식
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070083896A priority Critical patent/KR20090019451A/ko
Priority to US12/056,375 priority patent/US20090055928A1/en
Publication of KR20090019451A publication Critical patent/KR20090019451A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 인터넷 정보 보안 기술에 관한 것으로, 특히 접속 중인 웹 사이트의 정보를 정상 사이트의 정보와 비교하여 접속 중인 웹 사이트가 피싱된 사이트인지 여부를 알리기 위한 방법을 제공한다.
이를 위하여, 본 발명의 일실시 예에 따른 피싱 알림 방법은, (a) 현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 단계; (b) 상기 접속 사이트와 동일한 도메인을 갖는 정상 사이트 정보가 기 구축된 데이터 베이스에 있다면 상기 접속 사이트의 정보와 상기 정상 사이트 정보를 비교하는 단계; 및 (c) 상기 비교 결과 상기 접속 사이트의 정보와 상기 정상 사이트 정보가 일치하지 않는 경우 상기 접속 사이트가 피싱(phishing) 되었음을 알리는 단계를 포함한다. 그럼으로써, 본 발명은 현재 접속 중인 웹 사이트가 피싱된 사이트인지 여부를 확인하고 안전하게 인터넷을 이용할 수 있게끔 하는 이점이 있다.
피싱, 파밍, 도메인, IP 주소

Description

피싱 및 파밍 알림 방법 및 장치{THE METHOD AND APPARATUS FOR ALARMING PHISHING AND PHARMING}
본 발명은 인터넷 정보 보안 기술에 관한 것으로, 특히 화이트 리스트를 기반으로 한 피싱 및 파밍 알림 방법 및 장치에 관한 것이다.
최근 정보 시스템 및 인터넷의 급격한 발달과 확산으로 인하여 인터넷상에서 유포되는 정보의 가치는 날로 증가하고 있다. 특히, 근래 수많은 금융 관련 사이트들이 생겨나고 이를 이용하는 사용자의 수도 나날이 증가하고 있는 추세이다.
최근 이와 같은 금융 관련 사이트에서 오고 가는 개인 정보들을 해킹하는 피싱 및 파밍과 같은 악의적인 기술이 유포되고 있다.
피싱(phishing)이란, 개인 정보를 불법적으로 획득하려는 자가 이메일(e-mail)을 이용하여 인터넷 사용자를 가짜 웹 사이트로 유인한 후, 인터넷 사용자의 신용 카드 및 은행 계좌 정보 등을 빼내어 이를 악용하려는 목적의 신종 인터넷 금융 사기 기법으로써, 개인 정보(private data)와 낚시(fishing)의 합성어로 낚시하 듯이 개인 정보를 몰래 빼낸다는 데서 유래하였다.
이와 같은 피싱 방지를 위한 방법 중의 하나는 피싱 전과가 있는 사이트를 블랙 리스트(black list)로 등록하여 사용자가 블랙 리스트에 있는 사이트를 접속하는 순간 피싱 사이트임을 알려주는 것이다. 또한, 이와 유사하게 웹 사이트의 위험도를 표시하고 피싱 사이트로 평가된 곳에 접근하지 못하도록 하는 방법이 있다. 이와 같은 방법들은 침입 탐지 시스템의 오용 탐지 기법과 유사하게 비정상적인 피싱 사이트 정보를 보유하고 있다가 사용자가 접속하는 사이트가 등록된 사이트와 일치하면 피싱 사이트로 보고해 주는 것이다. 그런데, 이러한 접근 방법은 등록되지 않은 비정상적 사이트 또는 새로운 피싱 사이트에 접속 시 대처할 수 없고, 피싱 사이트 정보를 매번 업데이트 해야하는 불편함이 있다.
또한, 이와는 반대로, 피싱 공격의 대상이 되는 유명 사이트들의 공식 URL(Uniform Resource Locator)로 구성된 화이트 리스트(white list)를 기반으로 사용자가 현재 접속해 있는 웹 사이트의 주소를 화이트 리스트와 비교하여 사용자에게 알려줌으로써, 사용자가 현재 접속하고 있는 사이트가 사용자가 접속을 원하는 사이트인지 알려주도록 하는 방법이 있다. 그러나, 이러한 방법은 원래 사이트가 해킹을 당하여 피싱 사이트로 운영되는 경우 이에 신속히 대처할 수 없는 단점이 있다.
파밍(pharming)이란, 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS : Domain Name System) 또는 프락시 서버(proxy server)의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하 도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄 수법을 말한다.
파밍 방지를 위한 종래 기술은 주로 사용자 PC의 호스트 파일의 변조 시 이를 사용자에게 알리는 수준이다. 호스트 파일은 PC(Personal Computer)에 저장된 파일로써, 네트워크 접속 설정 및 차단을 위해 활용되는 일종의 DNS 역할을 하는 파일이다. 이러한 호스트 파일이 변경될 때마다 사용자에게 이를 경고하는 것은 사용자에게 불안을 야기하는 단점이 있다.
또한, 사용자 PC에 설정된 네트워크 DNS가 파밍된다면 사용자가 의도하는 사이트로의 접속을 보장할 수 없다. 현재 네트워크 DNS 파밍에 대한 대응 방법은 DNS 자체를 안전하게 하는 방향에서 접근되고 있으며, 개인 PC에서 네트워크 DNS의 파밍 여부를 검사하는 방법은 현재 존재하지 않는다.
따라서, 본 발명의 목적은, 접속 중인 웹 사이트의 정보를 정상 사이트의 정보와 비교하여 접속 중인 웹 사이트가 피싱된 사이트인지 여부를 알리기 위한 방법 및 장치를 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 웹 사이트 피싱 여부를 판단하기 위한 정상 사이트의 목록을 구축하기 위한 방법을 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 로컬 네트워크 도메인 네임 서버의 파밍 여부를 알리기 위한 방법을 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 시스템의 호스트 파일 파밍 여부를 알리기 위한 방법 및 장치를 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 하기의 설명 및 본 발명의 일실시 예에 의하여 파악될 수 있다.
이를 위하여, 본 발명의 일실시 예에 따른 피싱 알림 방법은, (a) 현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 단계; (b) 상기 접속 사이트와 동일한 도메인을 갖는 정상 사이트 정보가 기 구축된 데이터 베이스에 있다면 상기 접속 사이트의 정보와 상기 정상 사이트 정보를 비교하는 단계; 및 (c) 상기 비교 결과 상기 접속 사이트의 정보와 상기 정상 사이트 정보가 일치하지 않는 경우 상 기 접속 사이트가 피싱(phishing)되었음을 알리는 단계를 포함한다.
또한, 이를 위하여 본 발명의 일실시 예에 따른 파밍 알림 방법은, (a) 현재 접속 중인 접속 사이트의 도메인 및 IP(Internet Protocol) 주소를 도메인 네임 서버에 요청하여 수신하는 단계; (b) 상기 도메인 네임 서버로부터 수신한 접속 사이트의 도메인과 호스트(hosts) 파일에 등록된 도메인을 비교하는 단계; (c) 상기 도메인 네임 서버로부터 수신한 접속 사이트의 도메인과 동일한 도메인이 상기 호스트 파일에 등록되어 있다면, 상기 도메인 네임 서버로부터 수신한 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교하는 단계; 및 (d) 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소가 다르다면 상기 호스트 파일이 파밍되었음을 알리는 단계를 포함한다.
또한, 이를 위하여 본 발명의 다른 실시 예에 따른 파밍 알림 방법은, (a) 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP(Internet Protocol) 주소를 로컬 네트워크 도메인 네임 서버로 요청하여 수신하는 단계; (b) 상기 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 원격 도메인 네임 서버로 요청하여 수신하는 단계; 및 (c) 상기 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 상기 원격 도메인 네임 서버로부터 수신된 IP 주소가 일치하지 않는 경우 상기 로컬 네트워크 도메인 네임 서버가 파밍되었음을 알리는 단계를 포함한다.
또한, 이를 위하여 본 발명의 일실시 예에 따른 피싱 알림 장치는, 정상 사 이트로부터 추출된 또는 사용자로부터 입력된 정상 사이트 정보로 이루어진 정상 사이트 데이터 베이스; 현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 사이트 스캔부; 상기 사이트 스캔부에서 추출된 접속 사이트 정보와 상기 정상 사이트 데이터 베이스에 저장된 정상 사이트 정보를 비교하는 정상 사이트 판단부; 및 상기 접속 사이트 정보와 상기 정상 사이트 정보가 일치하지 않는다면 상기 접속 사이트가 피싱(phishing)되었음을 알리는 메시지를 출력하는 메시지 출력부를 포함한다.
또한, 이를 위하여 본 발명의 일실시 예에 따른 파밍 알림 장치는, 도메인 및 상기 도메인에 대응되는 IP(Internet Protocol) 주소가 등록된 호스트(hosts) 파일이 저장된 메모리부; 현재 접속 중인 접속 사이트의 도메인 및 IP 주소를 도메인 네임 서버에 요청하여 수신하고, 상기 수신된 접속 사이트의 도메인과 동일한 도메인이 상기 호스트 파일에 등록되어 있다면 상기 수신된 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교하는 정상 사이트 판단부; 및 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP주소가 다르다면 상기 호스트 파일이 파밍(pharming)되었음을 알리는 메시지를 출력하는 메시지 출력부를 포함한다.
상술한 바와 같이 본 발명은, 접속 중인 웹 사이트가 피싱된 사이트인지 여부를 확인하고 안전하게 인터넷을 이용할 수 있게끔 하는 이점이 있다.
또한, 본 발명은, 로컬 네트워크 도메인 네임 서버 및 시스템의 호스트 파일 파밍 여부를 확인하고 안전하게 인터넷을 이용할 수 있게끔 하는 이점이 있다.
도 1은 본 발명의 일실시 예에 따른 피싱 알림 장치의 블록 구성도이다. 이하, 도 1을 참조하여 본 발명의 일실시 예에 따른 피싱 알림 장치의 구성 및 동작에 대하여 상세히 설명한다.
본 발명의 일실시 예에 따른 피싱 알림 장치는, 사이트 스캔부(102), 정상 사이트 데이터 베이스(104), 정상 사이트 판단부(106), 메모리부(108) 및 메시지 출력부(110)를 포함한다.
본 발명의 일실시 예에 따른 사이트 스캔부(102)는, 피싱이 되지 않은 웹 사이트(이하, 정상 사이트라 함)에 접속하여 정상 사이트를 스캔 및 파싱한 후 상기 정상 사이트의 정보를 추출하여 정상 사이트 데이터 베이스(104)에 저장한다. 이러한 정상 사이트 정보의 저장은 사용자에 의하여 직접 입력되는 데이터에 의할 수도 있다.
이하, 정상 사이트 정보란, 정상 사이트의 도메인, IP(Internet Protocol) 주소, 상기 정상 사이트가 어느 나라에서 운영되고 있는지를 나타내는 국가 표시 정보 및 상기 정상 사이트 내에 포함된 폼 태그(form tag)를 포함하는 의미로 기재한다. 이는 본 발명의 일실시 예에 따른 정상 사이트 정보를 보여주기 위한 예시도인 도 2에 나타나 있다. 이 때, 하나의 정상 사이트에서 추출되는 IP 주소는 다수 개일 수 있다. 특정 사이트들은 부하 분산 등의 이유로 다수 개의 IP 주소를 사용하기 때문이다. 예를 들어, 도 2에 보이는 바와 같이 'http://www.naver.com' 이라는 도메인은 '222.122.84.200', '222.122.84.250', '61.247.208.6' 및 '61.247.208.7' 등의 IP 주소를 갖는다.
또한, 본 발명의 일실시 예에 따른 사이트 스캔부(102)는, 현재 접속 중인 웹 사이트(이하, 접속 사이트라 함)로부터 접속 사이트의 정보를 추출하여 정상 사이트 판단부(106)로 출력한다. 이 때, 상기 접속 사이트의 정보의 추출은 정상 사이트 정보의 추출과 마찬가지로 상기 접속 사이트를 스캔 및 파싱한 후 이루어질 수 있다.
본 발명의 일실시 예에 따른 정상 사이트 데이터 베이스(104)는, 사이트 스캔부(102)로부터 출력되는 정상 사이트 정보를 저장한다. 또한, 본 발명의 일실시 예에 따른 정상 사이트 데이터 베이스(104)는, 사용자로부터 입력되는 정상 사이트 정보를 저장할 수 있다.
본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 정보와 정상 사이트 데이터 베이스(104)에 저장된 정상 사이트 정보를 비교하여, 상기 비교 결과에 따라 상기 접속 사이트의 피싱 여부를 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
즉, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 접속 사이트와 동일한 도메인을 갖는 정상 사이트 정보가 정상 사이트 데이터 베이스(104)에 있는지 판단하고, 만약 있다면, 상기 접속 사이트의 정보와 상기 정상 사이트 정보를 비교하여 상기 접속 사이트의 정보와 상기 정상 사이트 정보가 일치하지 않는 경우에 상기 접속 사이트가 피싱된 것으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 접속 사이트의 도메인과 유사한 도메인이 상기 정상 사이트 데이터 베이스(104)에 저장되어있는지 판단하고, 만약 상기 접속 사이트의 도메인과 유사한 도메인이 상기 정상 사이트 데이터 베이스(104)에 저장되어 있다면 상기 접속 사이트가 피싱된 사이트라고 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
이 때, 정상 사이트 판단부(106)는, 사용자에게 상기 접속 사이트를 정상 사이트로 등록할 것인지 여부를 묻고, 사용자로부터의 입력에 따라 상기 접속 사이트를 정상 사이트로 등록할 수 있다. 즉, 정상 사이트 판단부(106)는, 사용자로부터 상기 접속 사이트를 정상 사이트로 등록하라는 입력을 받으면, 상기 접속 사이트의 정보를 정상 사이트 데이터 베이스(104)에 저장한다.
또한, 상기 접속 사이트의 도메인과 상기 정상 사이트의 도메인의 유사도가 미리 정해진 임계치 이상인 경우에 상기 접속 사이트의 도메인과 상기 정상 사이트의 도메인이 유사하다고 판단할 수 있다. 상기 접속 사이트와 상기 정상 사이트가 유사한 것인지에 대한 판단은, Ratcliff 알고리즘과 같은 다양한 유사도 계산 알고리즘을 이용할 수 있으며, 이를 <표 1>을 참조하여 설명하면 다음과 같다.
<표 1>은 정상 사이트의 도메인과 정상 사이트에 대한 피싱 사이트로 의심되는 사이트의 도메인에 대한 유사도 계산을 보여주는 예이다.
정상 사이트 피싱 사이트 유사도(%)
http://www.usbank.com http://www.us-bank.com 97.7
http://www.ameritrading.net http://www.ameritrading.net 98.2
http://comcast.com http://comcast-database.biz 66.7
http://www.paypal.com http://www.paypal-cgi.us 80.0
http://login.personal.wamu.com http://www.login.personal.wamuin.com 95.2
http://www.amazon.com http://www.amazon-department.com 79.2
http://www.msn.com http://www.msnassistance.com 78.2
<표 1>을 참조하여, 정상 사이트 'http://www.msn.com'와 피싱 사이트로 의심되는 사이트 'http://www.msnassistance.com'의 유사도를 계산하는 예를 보이면 다음과 같다.
정상 사이트 'http://www.msn.com'의 전체 문자 수는 18개이고, 피싱 사이트 'http://www.msnassistance.com'의 전체 문자 수는 28개이다. 이 때, 두 사이트의 도메인 중 동일한 문자의 수는 'http://www.msn'의 28(14*2)개와 '.com'의 8(4*2)개로 모두 36개이다. 이 때, 유사도는, 두 사이트의 도메인 중 동일한 문자의 수 '36'를 두 사이트 도메인의 전체 문자 수 '46'으로 나누어 계산할 수 있다. 이러한 방법으로 위의 예에서 유사도를 백분율로 계산하면, 78.2%((36/46)*100)가 된다.
이 때, 만약 유사도 판단의 임계치가 70%로 설정되어 있다면, <표 1>의 'http://comcast.com'과 'http://comcast-database.biz'는 유사도가 66.7%이기 때문에 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 'http://comcast-database.biz'를 'http://comcast.com'의 피싱 사이트로 판단하지 않게 된다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 정상 사이트의 도메인과 상기 접속 사이트의 도메인이 일치하는 경우, 상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소를 비교하고, 상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소가 일치하지 않는 경우에 이를 피싱으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
이를 <표 2>를 참조하여 설명하면 다음과 같다.
접속 사이트 정상 사이트
도메인 http://www.naver.com http://www.naver.com
... ... ...
IP 주소 222.222.222.222 222.122.84.200
... ... ...
현재 사용자가 접속하고 있는 사이트가 <표 2>에서 보이는 것처럼 'http://www.naver.com' 이라는 도메인을 가지는 사이트일 때, 정상 사이트 판단부(106)는 접속 사이트의 도메인과 일치하는 정상 사이트가 정상 사이트 데이터 베이스(104)에 있는지 검색하고, 만약 있다면, 접속 사이트와 정상 사이트에 저장된 사이트의 IP 주소를 비교한다. <표 2>에서 보면, 현재 접속 사이트의 IP 주소는 '222.222.222.222' 이고, 정상 사이트 데이터 베이스(104)에 저장된 정상 사이트의 IP 주소는 '222.122.84.200'이기 때문에 정상 사이트 판단부(106)는 현재 접속 사이트가 피싱된 사이트라 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 정상 사이트의 도메인 및 IP 주소와 상기 접속 사이트의 도메인 및 IP 주소가 모두 일치하는 경우, 상기 정상 사이트의 폼 태그와 상기 접속 사이트의 폼 태그를 비교하고, 상기 정상 사이트의 폼 태그와 상기 접속 사이트의 폼 태그가 일치하지 않는 경우에 이를 피싱으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
예를 들어, 어느 은행 사이트의 로그인을 위한 폼 태그의 액션(actioin) 속성이 가리키는 주소가 'abc.asp'라고 가정할 때, 만약 위 은행 사이트가 피싱되어 상기 로그인을 위한 폼 태그의 액션 속성이 가리키는 주소가 'http://XXX.com/bcd.asp'로 변경되어 있다면, 사용자는 은행 사이트에 로그인을 위한 아이디와 비밀 번호의 정보를 'http://XXX.com/bcd.asp'로 보내게 된다. 즉, 이와 같은 상황을 방지하기 위하여 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 정상 사이트의 도메인 및 IP 주소와 접속 사이트의 도메인 및 IP 주소가 모두 일치하더라도, 정상 사이트의 폼 태그와 접속 사이트의 폼 태그를 비교하여 피싱 판단을 할 수 있다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 정상 사이트의 국가 표시 정보와 상기 접속 사이트의 국가 표시 정보를 비교하고, 상기 정상 사이트의 국가 표시 정보와 상기 접속 사이트의 국가 표시 정보가 일치하지 않는 경우에 이를 피싱으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다. 이 때, 접속 사이트의 국가 표시 정보가 일정 횟수 이상 바뀌는 경우에 피싱으로 판단할 수도 있다. 예를 들어, 오전에 접속했을 때의 국가 표시 정보가 '대한민국'이고, 오후에 접속했을 때의 국가 표시 정보가 '미국'이고, 저녁에 접속했을 때의 국가 표시 정보가 '프랑스'인 경우와 같이 어느 접속 사이트에 대하여 미리 정해진 일정 횟수 이상 국가 표시 정보가 변경되는 경우 피싱으로 판단할 수 있다. 또한, 상기 국가 표시 정보는 이미지로 표현될 수 있다. 이는 시각화를 통하여 사용자에게 국가 표시 정보가 변경되었음을 좀 더 잘 알려줄 수 있는 장점이 있다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 시스템의 메모리부(108)에 저장된 호스트(hosts) 파일이 파밍되었는지의 여부를 판단할 수 있다. 즉, 정상 사이트 판단부(106)는, 접속 사이트의 도메인 및 IP 주소를 도메인 네임 서버에 요청하여 수신하고, 수신된 도메인과 동일한 도메인이 호스트 파일에 등록되어 있다면 수신한 도메인에 대응되는 IP 주소와 호스트 파일에 등록된 IP 주소를 비교하여, 두 주소가 다르다면 호스트 파일이 파밍된 것으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다. 이 때, 상기 도메인 네임 서버는 상기 시스템이 속한 로컬 네트워크 도메인 네임 서버일 수도 있고, 국내외 ISP(Internet Service Provider) 도메인 네임 서버일 수도 있다.
호스트 파일의 파밍에 대하여 간략히 설명하면 다음과 같다.
예를 들어, 윈도우즈(windows) XP를 사용하는 시스템의 경우, 'C:\WINDOWS\SYSTEM32\DRIVER\ETC'폴더에 'hosts'라는 파일이 있는 데, 이는 웹 사이트의 도메인 및 IP 주소를 저장하고 있어서, 사용자로부터 도메인 명이 입력되더라도 도메인 네임 서버에 상기 도메인 네임에 해당하는 IP 주소를 찾아줄 것을 요청하지 않고, 'hosts' 파일에 기록된 IP 주소로 접속을 시도하게 된다.
예를 들어, 만약 도메인 'http://www.naver.com'의 실제 IP 주소가 '222.122.84.200'이지만, 파밍으로 인하여 'hosts'파일의 내용이 도메인'http://www.naver.com'과 '222.222.222.222'로 변경된 경우, 사용자로부터 'http://www.naver.com'이라는 도메인이 입력되면 정상적인 IP 주소인 '222.122.84.200'으로 접속하지 않고, 파밍된 IP 주소'222.222.222.222'로 접속하게 되는 것이다.
위와 같은 호스트 파일 파밍 여부 검사 과정을 도 3을 참조하여 설명하면 다음과 같다.
도 3은 본 발명의 일실시 예에 따른 시스템 호스트 파일 파밍 여부 검사 과정을 나타내는 흐름도이다.
단계(301)에서 정상 사이트 판단부(106)는, 현재 접속 중인 접속 사이트의 도메인 및 IP 주소를 도메인 네임 서버에 요청하고 이를 수신한 후 단계(303)로 진행한다.
단계(303)에서 정상 사이트 판단부(106)는, 단계(301)에서 수신된 접속 사이트의 도메인과 호스트 파일에 등록된 도메인을 비교한 후, 단계(305)로 진행한다.
단계(305)에서 정상 사이트 판단부(106)는, 단계(301)에서 수신된 접속 사이트의 도메인과 일치하는 도메인이 시스템 호스트 파일에 등록되어 있는지 판단하고, 일치하는 도메인이 등록되어 있다면 단계(307)로 진행한다.
단계(307)에서 정상 사이트 판단부(106)는, 단계(301)에서 수신한 접속 사이트의 IP 주소와 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교한 후, 단계(309)로 진행한다.
단게(309)에서 정상 사이트 판단부(106)는, 상기 접속 사이트의 IP 주소와 상기 호스트 파일의 IP주소가 일치하는지 판단하고, 일치하지 않는다면 단계(311)로 진행한다.
단계(311)에서 메시지 출력부(110)는, 상기 호스트 파일이 파밍되었음을 알리는 메시지를 출력하고 종료한다.
다시 도 1을 참조하여 설명하면, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 현재 사용중인 시스템이 속하는 로컬 네트워크 도메인 네임 서버의 파밍 여부를 판단할 수 있다.
즉, 정상 사이트 판단부(106)는, 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 로컬 네트워크 도메인 네임 서버 및 원격 도메인 네임 서버로 요청하여 수신하고, 상기 수신된 두 IP 주소가 일치하지 않는 경우 상기 로컬 네트워크 도메인 네임 서가 파밍된 것으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
이 때, 만약, 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 다수 개의 원격 도메인 네임 서버로 요청하여 수신한 경우, 상기 다수 개의 원격 도메인 네임 서버로부터 수신된 IP 주소의 갯수와 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 일치하는 상기 다수 개의 원격 도메인 네임 서버로부터 수신된 IP 주소의 갯수의 비율이 미리 정해진 임계치 이상인 경우 상기 로컬 네트워크 도메인 네임 서버가 파밍되지 않은 것으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
예를 들어, 접속하고자 하는 웹 사이트의 주소 'http://www.naver.com'에 대하여 로컬 네트워크 도메인 네임 서버로부터 수신한 IP 주소가 '222.122.84.200'이고, 3개의 원격 도메인 네임 서버 'A 서버', 'B 서버', 'C 서버'부터 상기 웹 사이트 'http://www.naver.com'에 대하여 수신된 IP 주소는 각각 '222.122.84.200', '222.122.84.200' 및 '222.122.84.250'이라고 가정하자. 이 때, 만약 미리 설정된 임계치가 50%라고 한다면, A 내지 C 서버로부터 수신된 IP 주소 중 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 동일한 IP 주소의 수는 2개이므로, 그 일치하는 비율은 66.7% 이다. 따라서, 미리 정해진 임계치 50% 이상의 비율이 나타나므로 로컬 네트워크 도메인 네임 서버가 파밍되지 않았음을 알 수 있다.
본 발명의 일실시 예에 따른 메모리부(108)는, 웹 사이트의 도메인 및 상기 도메인에 대응되는 IP 주소가 등록된 호스트 파일을 저장한다.
본 발명의 일실시 예에 따른 메시지 출력부(110)는, 정상 사이트 판단부(106)로부터 수신되는 피싱 및 파밍 판단 결과에 따른 메시지를 외부로 출력한다. 또한, 본 발명의 일실시 예에 따른 메시지 출력부(110)는, 피싱 사이트로 의심가는 사이트를 정상 사이트로 등록할 것인지의 여부에 대하여 사용자로부터의 입력을 받기 위한 메시지를 외부로 출력한다.
도 4는 본 발명의 일실시 예에 따른 피싱 알림 방법을 나타내기 위한 흐름도이다. 이하, 도 4를 참조하여 본 발명의 일실시 예에 따른 피싱 알림 방법에 대하여 설명하되, 도 1 내지 도 3을 참조하여 설명한 내용과 중복되는 내용은 생략하기로 한다.
단계(401)에서 웹 사이트로의 접속이 이루어지면, 단계(403)에서 본 발명의 일실시 예에 따른 사이트 스캔부(102)는, 접속 사이트를 스캔 및 파싱하여 상기 접속 사이트의 접속 사이트 정보를 추출한다.
단계(405)에서 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 도메인과 일치하는 정상 사이트 도메인이 정상 사이트 데이터 베이스(104)에 저장되어 있는지 검색하고, 일치하는 정상 사이트 도메인이 있다면 단계(407)로 진행하고, 그렇지 않으면 단계(415)로 진행한다.
단계(407)에서 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 IP 주소와 접속 사이트의 도메인과 일치하는 정상 사이트의 IP 주소를 비교하고, 두 IP 주소가 같다면 단계(409)로 진행하고, 그렇지 않으면 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속 사이트가 피싱 사이트임을 사용자에게 알린다.
단계(409)에서 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 국가 표시 정보와 접속 사이트의 도메인과 일치하는 정상 사이트의 국가 표시 정보를 비교하고, 두 국가 표시 정보가 일치한다면 단계(411)로 진행하고, 그렇지 않으면 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속 사이트가 피싱 사이트임을 사용자에게 알린다.
단계(411)에서 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 폼 태그 정보와 접속 사이트의 도메인과 일치하는 정상 사이트의 폼 태그 정보를 비교하고, 두 폼 태그 정보가 일치하지 않으면 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속 사이트가 피싱 사이트임을 사용자에게 알린다.
한편, 단계(405)에서 접속 사이트의 도메인과 일치하는 도메인이 정상 사이트 데이터 베이스(104)에 저장되어 있지 않다고 판단하여 진행한 단계(415)에서, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 도메인과 유사한 도메인이 정상 사이트 데이터 베이스(104)에 저장되어 있는지 판단하고, 유사한 도메인이 저장되어 있다면 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속사이트가 피싱 사이트임을 사용자에게 알린다. 이 때, 앞에서 설명한 바와 같이, 도메인의 유사도는 미리 정한 임계치를 기준으로 판단할 수 있다.
한편, 도 1을 참조하여 설명한 바와 같이, 국가 표시 정보가 미리 정한 일정한 횟수 이상 바뀔 때 접속 사이트가 피싱되었다고 판단할 수 있다. 즉, 단계(409)에서 국가 표시 정보가 미리 정한 일정 횟수 이상 바뀌는 경우 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속 사이트가 피싱 사이트임을 사용자에게 알린다.
상술한 본 발명의 설명에서는 구체적인 일실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서, 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위와 특허청구범위의 균등한 것에 의해 정해져야 한다.
도 1은 본 발명의 일실시 예에 따른 피싱 알림 장치의 블록 구성도,
도 2는 본 발명의 일실시 예에 따른 정상 사이트 정보를 보여주기 위한 예시도,
도 3은 본 발명의 일실시 예에 따른 시스템 호스트 파일 파밍 여부 검사 과정을 나타내는 흐름도,
도 4는 본 발명의 일실시 예에 따른 피싱 알림 방법을 나타내기 위한 흐름도.

Claims (16)

  1. (a) 현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 단계;
    (b) 상기 접속 사이트와 동일한 도메인을 갖는 정상 사이트 정보가 기 구축된 데이터 베이스에 있다면 상기 접속 사이트 정보와 상기 정상 사이트 정보를 비교하는 단계; 및
    (c) 상기 비교 결과 상기 접속 사이트 정보와 상기 정상 사이트 정보가 일치하지 않는 경우 상기 접속 사이트가 피싱(phishing)되었음을 알리는 단계
    를 포함하는 피싱 알림 방법.
  2. 제 1항에 있어서,
    상기 정상 사이트에 접속하여 상기 정상 사이트를 스캔(scan) 및 파싱(parsing)한 후, 상기 파싱된 정상 사이트로부터 상기 정상 사이트 정보를 추출하여 저장함으로써 상기 데이터 베이스를 구축하는 단계
    를 더 포함하는 피싱 알림 방법.
  3. 제 1항에 있어서,
    사용자로부터 상기 정상 사이트 정보를 입력받고 저장함으로써 상기 데이터 베이스를 구축하는 단계
    를 더 포함하는 피싱 알림 방법.
  4. 제 1항에 있어서, 상기 접속 사이트 정보 및 상기 정상 사이트 정보는,
    도메인, IP(Internet Protocol) 주소, 국가 표시 정보 및 폼 태그(form tag) 중 적어도 하나를 포함하는
    피싱 알림 방법.
  5. 제 1항에 있어서, 상기 (b) 단계는,
    상기 접속 사이트의 도메인과 상기 기 구축된 데이터 베이스에 저장된 적어도 하나의 정상 사이트의 도메인의 유사도를 계산하고, 상기 계산된 유사도가 미리 정해진 임계치 이상인 경우에 상기 접속 사이트의 피싱 가능성을 알리는 단계
    를 포함하는 피싱 알림 방법.
  6. 제 5항에 있어서, 상기 (b) 단계는,
    사용자로부터 상기 접속 사이트를 정상 사이트로 등록할 것인지의 여부에 대한 입력을 받는 단계
    를 더 포함하는 피싱 알림 방법.
  7. 제 1항에 있어서, 상기 (c) 단계는,
    상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소를 비교하고 상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소가 일치하지 않는 경우에 상기 접속 사이트가 피싱되었음을 알리는 단계
    를 포함하는 피싱 알림 방법.
  8. 제 1항에 있어서, 상기 (c) 단계는,
    상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소를 비교하여 상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소가 일치하는 경우 상기 정상 사이트의 폼 태그와 상기 접속 사이트의 폼 태그를 비교하고, 상기 정상 사이트의 폼 태그와 상기 접속 사이트의 폼 태그가 일치하지 않는 경우에 상기 접속 사이트가 피싱되었음을 알리는 단계
    를 포함하는 피싱 알림 방법.
  9. 제 1항에 있어서, 상기 (c) 단계는,
    상기 정상 사이트의 국가 표시 정보와 상기 접속 사이트의 국가 표시 정보를 비교하고, 상기 정상 사이트의 국가 표시 정보와 상기 접속 사이트의 국가 표시 정보가 일치하지 않는 경우에 이를 알리는 단계
    를 포함하는 피싱 알림 방법.
  10. 제 1항에 있어서, 상기 (c) 단계는,
    상기 접속 사이트로의 접속 시마다 상기 접속 사이트의 국가 표시 정보를 저장하고, 상기 접속 사이트의 현재 국가 표시 정보를 이전에 저장된 국가 표시 정보와 비교하여 상기 접속 사이트의 국가 표시 정보가 미리 정해진 횟수 이상 바뀌는 경우에 이를 알리는 단계
    를 포함하는 피싱 알림 방법.
  11. (a) 현재 접속 중인 접속 사이트의 도메인 및 IP(Internet Protocol) 주소를 도메인 네임 서버에 요청하여 수신하는 단계;
    (b) 상기 도메인 네임 서버로부터 수신된 접속 사이트의 도메인과 호스트(hosts) 파일에 등록된 도메인을 비교하는 단계;
    (c) 상기 도메인 네임 서버로부터 수신된 접속 사이트의 도메인과 동일한 도메인이 상기 호스트 파일에 등록되어 있다면, 상기 도메인 네임 서버로부터 수신된 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교하는 단계; 및
    (d) 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소가 다르다면 상기 호스트 파일이 파밍(pharming)되었음을 알리는 단계
    를 포함하는 파밍 알림 방법.
  12. 제 11항에 있어서, 상기 도메인 네임 서버는,
    로컬 네트워크 도메인 네임 서버 및 원격 도메인 네임 서버 중 어느 하나인
    파밍 알림 방법.
  13. (a) 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP(Internet Protocol) 주소를 로컬 네트워크 도메인 네임 서버로 요청하여 수신하는 단계;
    (b) 상기 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 원격 도메인 네임 서버로 요청하여 수신하는 단계; 및
    (c) 상기 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 상기 원격 도메인 네임 서버로부터 수신된 IP 주소가 일치하지 않는 경우 상기 로컬 네트워크 도메인 네임 서버가 파밍(pharming)되었음을 알리는 단계
    를 포함하는 파밍 알림 방법.
  14. 제 13항에 있어서,
    상기 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 다수 개의 원격 도메인 네임 서버로 요청 및 수신한 경우,
    상기 다수 개의 원격 도메인 네임 서버로부터 수신된 IP 주소의 갯수와 상기 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 일치하는 상기 다수 개의 원격 도메인 네임 서버로부터 수신된 IP 주소의 갯수의 비율이 미리 정해진 임계치 이하인 경우 상기 로컬 네트워크 도메인 네임 서버가 파밍되었음을 알리는 단계
    를 포함하는 파밍 알림 방법.
  15. 정상 사이트로부터 추출된 또는 사용자로부터 입력된 정상 사이트 정보로 이루어진 정상 사이트 데이터 베이스;
    현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 사이트 스캔부;
    상기 사이트 스캔부에서 추출된 접속 사이트 정보와 상기 정상 사이트 데이터 베이스에 저장된 정상 사이트 정보를 비교하는 정상 사이트 판단부; 및
    상기 접속 사이트 정보와 상기 정상 사이트 정보가 일치하지 않는다면 상기 접속 사이트가 피싱(phishing)되었음을 알리는 메시지를 출력하는 메시지 출력부
    를 포함하는 피싱 알림 장치.
  16. 도메인 및 상기 도메인에 대응되는 IP(Internet Protocol) 주소가 등록된 호스트(hosts) 파일이 저장된 메모리부;
    현재 접속 중인 접속 사이트의 도메인 및 IP 주소를 도메인 네임 서버에 요청하여 수신하고, 상기 수신된 접속 사이트의 도메인과 동일한 도메인이 상기 호스트 파일에 등록되어 있다면 상기 수신된 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교하는 정상 사이트 판단부; 및
    상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP주소가 다르다면 상기 호스트 파일이 파밍(pharming)되었음을 알리는 메시지를 출력하는 메시지 출력부
    를 포함하는 파밍 알림 장치.
KR1020070083896A 2007-08-21 2007-08-21 피싱 및 파밍 알림 방법 및 장치 KR20090019451A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070083896A KR20090019451A (ko) 2007-08-21 2007-08-21 피싱 및 파밍 알림 방법 및 장치
US12/056,375 US20090055928A1 (en) 2007-08-21 2008-03-27 Method and apparatus for providing phishing and pharming alerts

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070083896A KR20090019451A (ko) 2007-08-21 2007-08-21 피싱 및 파밍 알림 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20090019451A true KR20090019451A (ko) 2009-02-25

Family

ID=40383413

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070083896A KR20090019451A (ko) 2007-08-21 2007-08-21 피싱 및 파밍 알림 방법 및 장치

Country Status (2)

Country Link
US (1) US20090055928A1 (ko)
KR (1) KR20090019451A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101344242B1 (ko) * 2011-07-06 2014-01-28 주식회사 에이텍정보기술 디앤에스를 이용한 불법 브라우저 차단 방법
KR101468798B1 (ko) * 2013-03-27 2014-12-03 중소기업은행 파밍 탐지 및 차단 장치, 이를 이용한 방법

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090328208A1 (en) * 2008-06-30 2009-12-31 International Business Machines Method and apparatus for preventing phishing attacks
US8701185B2 (en) * 2008-10-14 2014-04-15 At&T Intellectual Property I, L.P. Method for locating fraudulent replicas of web sites
WO2011018316A1 (en) * 2009-08-12 2011-02-17 F-Secure Corporation Web browser security
US9130988B2 (en) * 2010-12-21 2015-09-08 Microsoft Technology Licensing, Llc Scareware detection
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US8966625B1 (en) * 2011-05-24 2015-02-24 Palo Alto Networks, Inc. Identification of malware sites using unknown URL sites and newly registered DNS addresses
CN102902917A (zh) 2011-07-29 2013-01-30 国际商业机器公司 用于预防钓鱼式攻击的方法和系统
US9104870B1 (en) 2012-09-28 2015-08-11 Palo Alto Networks, Inc. Detecting malware
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US9344449B2 (en) 2013-03-11 2016-05-17 Bank Of America Corporation Risk ranking referential links in electronic messages
US10019575B1 (en) 2013-07-30 2018-07-10 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using copy-on-write
US9613210B1 (en) 2013-07-30 2017-04-04 Palo Alto Networks, Inc. Evaluating malware in a virtual machine using dynamic patching
US9811665B1 (en) 2013-07-30 2017-11-07 Palo Alto Networks, Inc. Static and dynamic security analysis of apps for mobile devices
US9621582B1 (en) * 2013-12-11 2017-04-11 EMC IP Holding Company LLC Generating pharming alerts with reduced false positives
US9489516B1 (en) 2014-07-14 2016-11-08 Palo Alto Networks, Inc. Detection of malware using an instrumented virtual machine environment
US9542554B1 (en) 2014-12-18 2017-01-10 Palo Alto Networks, Inc. Deduplicating malware
US9805193B1 (en) 2014-12-18 2017-10-31 Palo Alto Networks, Inc. Collecting algorithmically generated domains
US10200381B2 (en) 2015-08-05 2019-02-05 Mcafee, Llc Systems and methods for phishing and brand protection
GB2545491B (en) * 2015-12-18 2020-04-29 F Secure Corp Protection against malicious attacks
US10097580B2 (en) 2016-04-12 2018-10-09 Microsoft Technology Licensing, Llc Using web search engines to correct domain names used for social engineering
US11010474B2 (en) 2018-06-29 2021-05-18 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US10956573B2 (en) 2018-06-29 2021-03-23 Palo Alto Networks, Inc. Dynamic analysis techniques for applications
US10523706B1 (en) 2019-03-07 2019-12-31 Lookout, Inc. Phishing protection using cloning detection
US11196765B2 (en) 2019-09-13 2021-12-07 Palo Alto Networks, Inc. Simulating user interactions for malware analysis

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7111325B2 (en) * 2002-06-13 2006-09-19 International Business Machines Corporation Apparatus, system and method of double-checking DNS provided IP addresses
GB2412189B (en) * 2004-03-16 2007-04-04 Netcraft Ltd Security component for use with an internet browser application and method and apparatus associated therewith
EP1779216A1 (en) * 2004-08-20 2007-05-02 Rhoderick John Kennedy Pugh Server authentication
US8799465B2 (en) * 2004-10-13 2014-08-05 International Business Machines Corporation Fake web addresses and hyperlinks
US20060168066A1 (en) * 2004-11-10 2006-07-27 David Helsper Email anti-phishing inspector
US7630987B1 (en) * 2004-11-24 2009-12-08 Bank Of America Corporation System and method for detecting phishers by analyzing website referrals
WO2007030764A2 (en) * 2005-09-06 2007-03-15 Daniel Chien Identifying a network address source for authentication
JP4950606B2 (ja) * 2005-09-30 2012-06-13 トレンドマイクロ株式会社 通信システム、セキュリティ管理装置およびアクセス制御方法
US20070083670A1 (en) * 2005-10-11 2007-04-12 International Business Machines Corporation Method and system for protecting an internet user from fraudulent ip addresses on a dns server
US7849502B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for monitoring network traffic
US20080060054A1 (en) * 2006-09-05 2008-03-06 Srivastava Manoj K Method and system for dns-based anti-pharming
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
US9779433B2 (en) * 2007-03-22 2017-10-03 Sophos Limited Systems and methods for dynamic vendor and vendor outlet classification
US7747780B2 (en) * 2007-08-27 2010-06-29 DNSStuff, INC. Method, system and apparatus for discovering user agent DNS settings

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101344242B1 (ko) * 2011-07-06 2014-01-28 주식회사 에이텍정보기술 디앤에스를 이용한 불법 브라우저 차단 방법
KR101468798B1 (ko) * 2013-03-27 2014-12-03 중소기업은행 파밍 탐지 및 차단 장치, 이를 이용한 방법

Also Published As

Publication number Publication date
US20090055928A1 (en) 2009-02-26

Similar Documents

Publication Publication Date Title
KR20090019451A (ko) 피싱 및 파밍 알림 방법 및 장치
US11388193B2 (en) Systems and methods for detecting online fraud
Gastellier-Prevost et al. Defeating pharming attacks at the client-side
US9900346B2 (en) Identification of and countermeasures against forged websites
US9055097B1 (en) Social network scanning
US9215242B2 (en) Methods and systems for preventing unauthorized acquisition of user information
US8578481B2 (en) Method and system for determining a probability of entry of a counterfeit domain in a browser
US20100031362A1 (en) System and method for identification and blocking of malicious use of servers
US20150319191A1 (en) Anti-phishing domain advisor and method thereof
Bin et al. A DNS based anti-phishing approach
JP2010516007A (ja) コンピュータ不正行為を検出するための方法及び装置
JP2009527855A (ja) クライアントサイド攻撃対抗フィッシング検出
KR100745044B1 (ko) 피싱 사이트 접속 방지 장치 및 방법
KR101996471B1 (ko) 네트워크 보안장치 및 보안방법
WO2019123665A1 (ja) 照合サーバ、照合方法及びコンピュータプログラム
US10079856B2 (en) Rotation of web site content to prevent e-mail spam/phishing attacks
KR102514214B1 (ko) 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템
Shahriar et al. Information source-based classification of automatic phishing website detectors
KR102367545B1 (ko) 네트워크 파밍 차단 방법 및 시스템
KR20090102410A (ko) 피싱 도메인 탐지 시스템
Fotiou et al. Fighting phishing the information-centric way

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application