KR20090019451A - 피싱 및 파밍 알림 방법 및 장치 - Google Patents
피싱 및 파밍 알림 방법 및 장치 Download PDFInfo
- Publication number
- KR20090019451A KR20090019451A KR1020070083896A KR20070083896A KR20090019451A KR 20090019451 A KR20090019451 A KR 20090019451A KR 1020070083896 A KR1020070083896 A KR 1020070083896A KR 20070083896 A KR20070083896 A KR 20070083896A KR 20090019451 A KR20090019451 A KR 20090019451A
- Authority
- KR
- South Korea
- Prior art keywords
- site
- normal
- access site
- address
- access
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 인터넷 정보 보안 기술에 관한 것으로, 특히 접속 중인 웹 사이트의 정보를 정상 사이트의 정보와 비교하여 접속 중인 웹 사이트가 피싱된 사이트인지 여부를 알리기 위한 방법을 제공한다.
이를 위하여, 본 발명의 일실시 예에 따른 피싱 알림 방법은, (a) 현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 단계; (b) 상기 접속 사이트와 동일한 도메인을 갖는 정상 사이트 정보가 기 구축된 데이터 베이스에 있다면 상기 접속 사이트의 정보와 상기 정상 사이트 정보를 비교하는 단계; 및 (c) 상기 비교 결과 상기 접속 사이트의 정보와 상기 정상 사이트 정보가 일치하지 않는 경우 상기 접속 사이트가 피싱(phishing) 되었음을 알리는 단계를 포함한다. 그럼으로써, 본 발명은 현재 접속 중인 웹 사이트가 피싱된 사이트인지 여부를 확인하고 안전하게 인터넷을 이용할 수 있게끔 하는 이점이 있다.
피싱, 파밍, 도메인, IP 주소
Description
본 발명은 인터넷 정보 보안 기술에 관한 것으로, 특히 화이트 리스트를 기반으로 한 피싱 및 파밍 알림 방법 및 장치에 관한 것이다.
최근 정보 시스템 및 인터넷의 급격한 발달과 확산으로 인하여 인터넷상에서 유포되는 정보의 가치는 날로 증가하고 있다. 특히, 근래 수많은 금융 관련 사이트들이 생겨나고 이를 이용하는 사용자의 수도 나날이 증가하고 있는 추세이다.
최근 이와 같은 금융 관련 사이트에서 오고 가는 개인 정보들을 해킹하는 피싱 및 파밍과 같은 악의적인 기술이 유포되고 있다.
피싱(phishing)이란, 개인 정보를 불법적으로 획득하려는 자가 이메일(e-mail)을 이용하여 인터넷 사용자를 가짜 웹 사이트로 유인한 후, 인터넷 사용자의 신용 카드 및 은행 계좌 정보 등을 빼내어 이를 악용하려는 목적의 신종 인터넷 금융 사기 기법으로써, 개인 정보(private data)와 낚시(fishing)의 합성어로 낚시하 듯이 개인 정보를 몰래 빼낸다는 데서 유래하였다.
이와 같은 피싱 방지를 위한 방법 중의 하나는 피싱 전과가 있는 사이트를 블랙 리스트(black list)로 등록하여 사용자가 블랙 리스트에 있는 사이트를 접속하는 순간 피싱 사이트임을 알려주는 것이다. 또한, 이와 유사하게 웹 사이트의 위험도를 표시하고 피싱 사이트로 평가된 곳에 접근하지 못하도록 하는 방법이 있다. 이와 같은 방법들은 침입 탐지 시스템의 오용 탐지 기법과 유사하게 비정상적인 피싱 사이트 정보를 보유하고 있다가 사용자가 접속하는 사이트가 등록된 사이트와 일치하면 피싱 사이트로 보고해 주는 것이다. 그런데, 이러한 접근 방법은 등록되지 않은 비정상적 사이트 또는 새로운 피싱 사이트에 접속 시 대처할 수 없고, 피싱 사이트 정보를 매번 업데이트 해야하는 불편함이 있다.
또한, 이와는 반대로, 피싱 공격의 대상이 되는 유명 사이트들의 공식 URL(Uniform Resource Locator)로 구성된 화이트 리스트(white list)를 기반으로 사용자가 현재 접속해 있는 웹 사이트의 주소를 화이트 리스트와 비교하여 사용자에게 알려줌으로써, 사용자가 현재 접속하고 있는 사이트가 사용자가 접속을 원하는 사이트인지 알려주도록 하는 방법이 있다. 그러나, 이러한 방법은 원래 사이트가 해킹을 당하여 피싱 사이트로 운영되는 경우 이에 신속히 대처할 수 없는 단점이 있다.
파밍(pharming)이란, 합법적으로 소유하고 있던 사용자의 도메인을 탈취하거나 도메인 네임 시스템(DNS : Domain Name System) 또는 프락시 서버(proxy server)의 주소를 변조함으로써 사용자들로 하여금 진짜 사이트로 오인하여 접속하 도록 유도한 뒤에 개인정보를 훔치는 새로운 컴퓨터 범죄 수법을 말한다.
파밍 방지를 위한 종래 기술은 주로 사용자 PC의 호스트 파일의 변조 시 이를 사용자에게 알리는 수준이다. 호스트 파일은 PC(Personal Computer)에 저장된 파일로써, 네트워크 접속 설정 및 차단을 위해 활용되는 일종의 DNS 역할을 하는 파일이다. 이러한 호스트 파일이 변경될 때마다 사용자에게 이를 경고하는 것은 사용자에게 불안을 야기하는 단점이 있다.
또한, 사용자 PC에 설정된 네트워크 DNS가 파밍된다면 사용자가 의도하는 사이트로의 접속을 보장할 수 없다. 현재 네트워크 DNS 파밍에 대한 대응 방법은 DNS 자체를 안전하게 하는 방향에서 접근되고 있으며, 개인 PC에서 네트워크 DNS의 파밍 여부를 검사하는 방법은 현재 존재하지 않는다.
따라서, 본 발명의 목적은, 접속 중인 웹 사이트의 정보를 정상 사이트의 정보와 비교하여 접속 중인 웹 사이트가 피싱된 사이트인지 여부를 알리기 위한 방법 및 장치를 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 웹 사이트 피싱 여부를 판단하기 위한 정상 사이트의 목록을 구축하기 위한 방법을 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 로컬 네트워크 도메인 네임 서버의 파밍 여부를 알리기 위한 방법을 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 시스템의 호스트 파일 파밍 여부를 알리기 위한 방법 및 장치를 제공하는 데 있다.
또한, 본 발명의 다른 목적은, 하기의 설명 및 본 발명의 일실시 예에 의하여 파악될 수 있다.
이를 위하여, 본 발명의 일실시 예에 따른 피싱 알림 방법은, (a) 현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 단계; (b) 상기 접속 사이트와 동일한 도메인을 갖는 정상 사이트 정보가 기 구축된 데이터 베이스에 있다면 상기 접속 사이트의 정보와 상기 정상 사이트 정보를 비교하는 단계; 및 (c) 상기 비교 결과 상기 접속 사이트의 정보와 상기 정상 사이트 정보가 일치하지 않는 경우 상 기 접속 사이트가 피싱(phishing)되었음을 알리는 단계를 포함한다.
또한, 이를 위하여 본 발명의 일실시 예에 따른 파밍 알림 방법은, (a) 현재 접속 중인 접속 사이트의 도메인 및 IP(Internet Protocol) 주소를 도메인 네임 서버에 요청하여 수신하는 단계; (b) 상기 도메인 네임 서버로부터 수신한 접속 사이트의 도메인과 호스트(hosts) 파일에 등록된 도메인을 비교하는 단계; (c) 상기 도메인 네임 서버로부터 수신한 접속 사이트의 도메인과 동일한 도메인이 상기 호스트 파일에 등록되어 있다면, 상기 도메인 네임 서버로부터 수신한 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교하는 단계; 및 (d) 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소가 다르다면 상기 호스트 파일이 파밍되었음을 알리는 단계를 포함한다.
또한, 이를 위하여 본 발명의 다른 실시 예에 따른 파밍 알림 방법은, (a) 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP(Internet Protocol) 주소를 로컬 네트워크 도메인 네임 서버로 요청하여 수신하는 단계; (b) 상기 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 원격 도메인 네임 서버로 요청하여 수신하는 단계; 및 (c) 상기 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 상기 원격 도메인 네임 서버로부터 수신된 IP 주소가 일치하지 않는 경우 상기 로컬 네트워크 도메인 네임 서버가 파밍되었음을 알리는 단계를 포함한다.
또한, 이를 위하여 본 발명의 일실시 예에 따른 피싱 알림 장치는, 정상 사 이트로부터 추출된 또는 사용자로부터 입력된 정상 사이트 정보로 이루어진 정상 사이트 데이터 베이스; 현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 사이트 스캔부; 상기 사이트 스캔부에서 추출된 접속 사이트 정보와 상기 정상 사이트 데이터 베이스에 저장된 정상 사이트 정보를 비교하는 정상 사이트 판단부; 및 상기 접속 사이트 정보와 상기 정상 사이트 정보가 일치하지 않는다면 상기 접속 사이트가 피싱(phishing)되었음을 알리는 메시지를 출력하는 메시지 출력부를 포함한다.
또한, 이를 위하여 본 발명의 일실시 예에 따른 파밍 알림 장치는, 도메인 및 상기 도메인에 대응되는 IP(Internet Protocol) 주소가 등록된 호스트(hosts) 파일이 저장된 메모리부; 현재 접속 중인 접속 사이트의 도메인 및 IP 주소를 도메인 네임 서버에 요청하여 수신하고, 상기 수신된 접속 사이트의 도메인과 동일한 도메인이 상기 호스트 파일에 등록되어 있다면 상기 수신된 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교하는 정상 사이트 판단부; 및 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP주소가 다르다면 상기 호스트 파일이 파밍(pharming)되었음을 알리는 메시지를 출력하는 메시지 출력부를 포함한다.
상술한 바와 같이 본 발명은, 접속 중인 웹 사이트가 피싱된 사이트인지 여부를 확인하고 안전하게 인터넷을 이용할 수 있게끔 하는 이점이 있다.
또한, 본 발명은, 로컬 네트워크 도메인 네임 서버 및 시스템의 호스트 파일 파밍 여부를 확인하고 안전하게 인터넷을 이용할 수 있게끔 하는 이점이 있다.
도 1은 본 발명의 일실시 예에 따른 피싱 알림 장치의 블록 구성도이다. 이하, 도 1을 참조하여 본 발명의 일실시 예에 따른 피싱 알림 장치의 구성 및 동작에 대하여 상세히 설명한다.
본 발명의 일실시 예에 따른 피싱 알림 장치는, 사이트 스캔부(102), 정상 사이트 데이터 베이스(104), 정상 사이트 판단부(106), 메모리부(108) 및 메시지 출력부(110)를 포함한다.
본 발명의 일실시 예에 따른 사이트 스캔부(102)는, 피싱이 되지 않은 웹 사이트(이하, 정상 사이트라 함)에 접속하여 정상 사이트를 스캔 및 파싱한 후 상기 정상 사이트의 정보를 추출하여 정상 사이트 데이터 베이스(104)에 저장한다. 이러한 정상 사이트 정보의 저장은 사용자에 의하여 직접 입력되는 데이터에 의할 수도 있다.
이하, 정상 사이트 정보란, 정상 사이트의 도메인, IP(Internet Protocol) 주소, 상기 정상 사이트가 어느 나라에서 운영되고 있는지를 나타내는 국가 표시 정보 및 상기 정상 사이트 내에 포함된 폼 태그(form tag)를 포함하는 의미로 기재한다. 이는 본 발명의 일실시 예에 따른 정상 사이트 정보를 보여주기 위한 예시도인 도 2에 나타나 있다. 이 때, 하나의 정상 사이트에서 추출되는 IP 주소는 다수 개일 수 있다. 특정 사이트들은 부하 분산 등의 이유로 다수 개의 IP 주소를 사용하기 때문이다. 예를 들어, 도 2에 보이는 바와 같이 'http://www.naver.com' 이라는 도메인은 '222.122.84.200', '222.122.84.250', '61.247.208.6' 및 '61.247.208.7' 등의 IP 주소를 갖는다.
또한, 본 발명의 일실시 예에 따른 사이트 스캔부(102)는, 현재 접속 중인 웹 사이트(이하, 접속 사이트라 함)로부터 접속 사이트의 정보를 추출하여 정상 사이트 판단부(106)로 출력한다. 이 때, 상기 접속 사이트의 정보의 추출은 정상 사이트 정보의 추출과 마찬가지로 상기 접속 사이트를 스캔 및 파싱한 후 이루어질 수 있다.
본 발명의 일실시 예에 따른 정상 사이트 데이터 베이스(104)는, 사이트 스캔부(102)로부터 출력되는 정상 사이트 정보를 저장한다. 또한, 본 발명의 일실시 예에 따른 정상 사이트 데이터 베이스(104)는, 사용자로부터 입력되는 정상 사이트 정보를 저장할 수 있다.
본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 정보와 정상 사이트 데이터 베이스(104)에 저장된 정상 사이트 정보를 비교하여, 상기 비교 결과에 따라 상기 접속 사이트의 피싱 여부를 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
즉, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 접속 사이트와 동일한 도메인을 갖는 정상 사이트 정보가 정상 사이트 데이터 베이스(104)에 있는지 판단하고, 만약 있다면, 상기 접속 사이트의 정보와 상기 정상 사이트 정보를 비교하여 상기 접속 사이트의 정보와 상기 정상 사이트 정보가 일치하지 않는 경우에 상기 접속 사이트가 피싱된 것으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 접속 사이트의 도메인과 유사한 도메인이 상기 정상 사이트 데이터 베이스(104)에 저장되어있는지 판단하고, 만약 상기 접속 사이트의 도메인과 유사한 도메인이 상기 정상 사이트 데이터 베이스(104)에 저장되어 있다면 상기 접속 사이트가 피싱된 사이트라고 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
이 때, 정상 사이트 판단부(106)는, 사용자에게 상기 접속 사이트를 정상 사이트로 등록할 것인지 여부를 묻고, 사용자로부터의 입력에 따라 상기 접속 사이트를 정상 사이트로 등록할 수 있다. 즉, 정상 사이트 판단부(106)는, 사용자로부터 상기 접속 사이트를 정상 사이트로 등록하라는 입력을 받으면, 상기 접속 사이트의 정보를 정상 사이트 데이터 베이스(104)에 저장한다.
또한, 상기 접속 사이트의 도메인과 상기 정상 사이트의 도메인의 유사도가 미리 정해진 임계치 이상인 경우에 상기 접속 사이트의 도메인과 상기 정상 사이트의 도메인이 유사하다고 판단할 수 있다. 상기 접속 사이트와 상기 정상 사이트가 유사한 것인지에 대한 판단은, Ratcliff 알고리즘과 같은 다양한 유사도 계산 알고리즘을 이용할 수 있으며, 이를 <표 1>을 참조하여 설명하면 다음과 같다.
<표 1>은 정상 사이트의 도메인과 정상 사이트에 대한 피싱 사이트로 의심되는 사이트의 도메인에 대한 유사도 계산을 보여주는 예이다.
정상 사이트 | 피싱 사이트 | 유사도(%) |
http://www.usbank.com | http://www.us-bank.com | 97.7 |
http://www.ameritrading.net | http://www.ameritrading.net | 98.2 |
http://comcast.com | http://comcast-database.biz | 66.7 |
http://www.paypal.com | http://www.paypal-cgi.us | 80.0 |
http://login.personal.wamu.com | http://www.login.personal.wamuin.com | 95.2 |
http://www.amazon.com | http://www.amazon-department.com | 79.2 |
http://www.msn.com | http://www.msnassistance.com | 78.2 |
<표 1>을 참조하여, 정상 사이트 'http://www.msn.com'와 피싱 사이트로 의심되는 사이트 'http://www.msnassistance.com'의 유사도를 계산하는 예를 보이면 다음과 같다.
정상 사이트 'http://www.msn.com'의 전체 문자 수는 18개이고, 피싱 사이트 'http://www.msnassistance.com'의 전체 문자 수는 28개이다. 이 때, 두 사이트의 도메인 중 동일한 문자의 수는 'http://www.msn'의 28(14*2)개와 '.com'의 8(4*2)개로 모두 36개이다. 이 때, 유사도는, 두 사이트의 도메인 중 동일한 문자의 수 '36'를 두 사이트 도메인의 전체 문자 수 '46'으로 나누어 계산할 수 있다. 이러한 방법으로 위의 예에서 유사도를 백분율로 계산하면, 78.2%((36/46)*100)가 된다.
이 때, 만약 유사도 판단의 임계치가 70%로 설정되어 있다면, <표 1>의 'http://comcast.com'과 'http://comcast-database.biz'는 유사도가 66.7%이기 때문에 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 'http://comcast-database.biz'를 'http://comcast.com'의 피싱 사이트로 판단하지 않게 된다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 정상 사이트의 도메인과 상기 접속 사이트의 도메인이 일치하는 경우, 상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소를 비교하고, 상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소가 일치하지 않는 경우에 이를 피싱으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
이를 <표 2>를 참조하여 설명하면 다음과 같다.
접속 사이트 | 정상 사이트 | |
도메인 | http://www.naver.com | http://www.naver.com |
... | ... | ... |
IP 주소 | 222.222.222.222 | 222.122.84.200 |
... | ... | ... |
현재 사용자가 접속하고 있는 사이트가 <표 2>에서 보이는 것처럼 'http://www.naver.com' 이라는 도메인을 가지는 사이트일 때, 정상 사이트 판단부(106)는 접속 사이트의 도메인과 일치하는 정상 사이트가 정상 사이트 데이터 베이스(104)에 있는지 검색하고, 만약 있다면, 접속 사이트와 정상 사이트에 저장된 사이트의 IP 주소를 비교한다. <표 2>에서 보면, 현재 접속 사이트의 IP 주소는 '222.222.222.222' 이고, 정상 사이트 데이터 베이스(104)에 저장된 정상 사이트의 IP 주소는 '222.122.84.200'이기 때문에 정상 사이트 판단부(106)는 현재 접속 사이트가 피싱된 사이트라 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 정상 사이트의 도메인 및 IP 주소와 상기 접속 사이트의 도메인 및 IP 주소가 모두 일치하는 경우, 상기 정상 사이트의 폼 태그와 상기 접속 사이트의 폼 태그를 비교하고, 상기 정상 사이트의 폼 태그와 상기 접속 사이트의 폼 태그가 일치하지 않는 경우에 이를 피싱으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
예를 들어, 어느 은행 사이트의 로그인을 위한 폼 태그의 액션(actioin) 속성이 가리키는 주소가 'abc.asp'라고 가정할 때, 만약 위 은행 사이트가 피싱되어 상기 로그인을 위한 폼 태그의 액션 속성이 가리키는 주소가 'http://XXX.com/bcd.asp'로 변경되어 있다면, 사용자는 은행 사이트에 로그인을 위한 아이디와 비밀 번호의 정보를 'http://XXX.com/bcd.asp'로 보내게 된다. 즉, 이와 같은 상황을 방지하기 위하여 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 정상 사이트의 도메인 및 IP 주소와 접속 사이트의 도메인 및 IP 주소가 모두 일치하더라도, 정상 사이트의 폼 태그와 접속 사이트의 폼 태그를 비교하여 피싱 판단을 할 수 있다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 상기 정상 사이트의 국가 표시 정보와 상기 접속 사이트의 국가 표시 정보를 비교하고, 상기 정상 사이트의 국가 표시 정보와 상기 접속 사이트의 국가 표시 정보가 일치하지 않는 경우에 이를 피싱으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다. 이 때, 접속 사이트의 국가 표시 정보가 일정 횟수 이상 바뀌는 경우에 피싱으로 판단할 수도 있다. 예를 들어, 오전에 접속했을 때의 국가 표시 정보가 '대한민국'이고, 오후에 접속했을 때의 국가 표시 정보가 '미국'이고, 저녁에 접속했을 때의 국가 표시 정보가 '프랑스'인 경우와 같이 어느 접속 사이트에 대하여 미리 정해진 일정 횟수 이상 국가 표시 정보가 변경되는 경우 피싱으로 판단할 수 있다. 또한, 상기 국가 표시 정보는 이미지로 표현될 수 있다. 이는 시각화를 통하여 사용자에게 국가 표시 정보가 변경되었음을 좀 더 잘 알려줄 수 있는 장점이 있다.
또한, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 시스템의 메모리부(108)에 저장된 호스트(hosts) 파일이 파밍되었는지의 여부를 판단할 수 있다. 즉, 정상 사이트 판단부(106)는, 접속 사이트의 도메인 및 IP 주소를 도메인 네임 서버에 요청하여 수신하고, 수신된 도메인과 동일한 도메인이 호스트 파일에 등록되어 있다면 수신한 도메인에 대응되는 IP 주소와 호스트 파일에 등록된 IP 주소를 비교하여, 두 주소가 다르다면 호스트 파일이 파밍된 것으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다. 이 때, 상기 도메인 네임 서버는 상기 시스템이 속한 로컬 네트워크 도메인 네임 서버일 수도 있고, 국내외 ISP(Internet Service Provider) 도메인 네임 서버일 수도 있다.
호스트 파일의 파밍에 대하여 간략히 설명하면 다음과 같다.
예를 들어, 윈도우즈(windows) XP를 사용하는 시스템의 경우, 'C:\WINDOWS\SYSTEM32\DRIVER\ETC'폴더에 'hosts'라는 파일이 있는 데, 이는 웹 사이트의 도메인 및 IP 주소를 저장하고 있어서, 사용자로부터 도메인 명이 입력되더라도 도메인 네임 서버에 상기 도메인 네임에 해당하는 IP 주소를 찾아줄 것을 요청하지 않고, 'hosts' 파일에 기록된 IP 주소로 접속을 시도하게 된다.
예를 들어, 만약 도메인 'http://www.naver.com'의 실제 IP 주소가 '222.122.84.200'이지만, 파밍으로 인하여 'hosts'파일의 내용이 도메인'http://www.naver.com'과 '222.222.222.222'로 변경된 경우, 사용자로부터 'http://www.naver.com'이라는 도메인이 입력되면 정상적인 IP 주소인 '222.122.84.200'으로 접속하지 않고, 파밍된 IP 주소'222.222.222.222'로 접속하게 되는 것이다.
위와 같은 호스트 파일 파밍 여부 검사 과정을 도 3을 참조하여 설명하면 다음과 같다.
도 3은 본 발명의 일실시 예에 따른 시스템 호스트 파일 파밍 여부 검사 과정을 나타내는 흐름도이다.
단계(301)에서 정상 사이트 판단부(106)는, 현재 접속 중인 접속 사이트의 도메인 및 IP 주소를 도메인 네임 서버에 요청하고 이를 수신한 후 단계(303)로 진행한다.
단계(303)에서 정상 사이트 판단부(106)는, 단계(301)에서 수신된 접속 사이트의 도메인과 호스트 파일에 등록된 도메인을 비교한 후, 단계(305)로 진행한다.
단계(305)에서 정상 사이트 판단부(106)는, 단계(301)에서 수신된 접속 사이트의 도메인과 일치하는 도메인이 시스템 호스트 파일에 등록되어 있는지 판단하고, 일치하는 도메인이 등록되어 있다면 단계(307)로 진행한다.
단계(307)에서 정상 사이트 판단부(106)는, 단계(301)에서 수신한 접속 사이트의 IP 주소와 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교한 후, 단계(309)로 진행한다.
단게(309)에서 정상 사이트 판단부(106)는, 상기 접속 사이트의 IP 주소와 상기 호스트 파일의 IP주소가 일치하는지 판단하고, 일치하지 않는다면 단계(311)로 진행한다.
단계(311)에서 메시지 출력부(110)는, 상기 호스트 파일이 파밍되었음을 알리는 메시지를 출력하고 종료한다.
다시 도 1을 참조하여 설명하면, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 현재 사용중인 시스템이 속하는 로컬 네트워크 도메인 네임 서버의 파밍 여부를 판단할 수 있다.
즉, 정상 사이트 판단부(106)는, 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 로컬 네트워크 도메인 네임 서버 및 원격 도메인 네임 서버로 요청하여 수신하고, 상기 수신된 두 IP 주소가 일치하지 않는 경우 상기 로컬 네트워크 도메인 네임 서가 파밍된 것으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
이 때, 만약, 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 다수 개의 원격 도메인 네임 서버로 요청하여 수신한 경우, 상기 다수 개의 원격 도메인 네임 서버로부터 수신된 IP 주소의 갯수와 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 일치하는 상기 다수 개의 원격 도메인 네임 서버로부터 수신된 IP 주소의 갯수의 비율이 미리 정해진 임계치 이상인 경우 상기 로컬 네트워크 도메인 네임 서버가 파밍되지 않은 것으로 판단하고, 판단된 결과를 메시지 출력부(110)로 출력한다.
예를 들어, 접속하고자 하는 웹 사이트의 주소 'http://www.naver.com'에 대하여 로컬 네트워크 도메인 네임 서버로부터 수신한 IP 주소가 '222.122.84.200'이고, 3개의 원격 도메인 네임 서버 'A 서버', 'B 서버', 'C 서버'부터 상기 웹 사이트 'http://www.naver.com'에 대하여 수신된 IP 주소는 각각 '222.122.84.200', '222.122.84.200' 및 '222.122.84.250'이라고 가정하자. 이 때, 만약 미리 설정된 임계치가 50%라고 한다면, A 내지 C 서버로부터 수신된 IP 주소 중 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 동일한 IP 주소의 수는 2개이므로, 그 일치하는 비율은 66.7% 이다. 따라서, 미리 정해진 임계치 50% 이상의 비율이 나타나므로 로컬 네트워크 도메인 네임 서버가 파밍되지 않았음을 알 수 있다.
본 발명의 일실시 예에 따른 메모리부(108)는, 웹 사이트의 도메인 및 상기 도메인에 대응되는 IP 주소가 등록된 호스트 파일을 저장한다.
본 발명의 일실시 예에 따른 메시지 출력부(110)는, 정상 사이트 판단부(106)로부터 수신되는 피싱 및 파밍 판단 결과에 따른 메시지를 외부로 출력한다. 또한, 본 발명의 일실시 예에 따른 메시지 출력부(110)는, 피싱 사이트로 의심가는 사이트를 정상 사이트로 등록할 것인지의 여부에 대하여 사용자로부터의 입력을 받기 위한 메시지를 외부로 출력한다.
도 4는 본 발명의 일실시 예에 따른 피싱 알림 방법을 나타내기 위한 흐름도이다. 이하, 도 4를 참조하여 본 발명의 일실시 예에 따른 피싱 알림 방법에 대하여 설명하되, 도 1 내지 도 3을 참조하여 설명한 내용과 중복되는 내용은 생략하기로 한다.
단계(401)에서 웹 사이트로의 접속이 이루어지면, 단계(403)에서 본 발명의 일실시 예에 따른 사이트 스캔부(102)는, 접속 사이트를 스캔 및 파싱하여 상기 접속 사이트의 접속 사이트 정보를 추출한다.
단계(405)에서 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 도메인과 일치하는 정상 사이트 도메인이 정상 사이트 데이터 베이스(104)에 저장되어 있는지 검색하고, 일치하는 정상 사이트 도메인이 있다면 단계(407)로 진행하고, 그렇지 않으면 단계(415)로 진행한다.
단계(407)에서 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 IP 주소와 접속 사이트의 도메인과 일치하는 정상 사이트의 IP 주소를 비교하고, 두 IP 주소가 같다면 단계(409)로 진행하고, 그렇지 않으면 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속 사이트가 피싱 사이트임을 사용자에게 알린다.
단계(409)에서 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 국가 표시 정보와 접속 사이트의 도메인과 일치하는 정상 사이트의 국가 표시 정보를 비교하고, 두 국가 표시 정보가 일치한다면 단계(411)로 진행하고, 그렇지 않으면 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속 사이트가 피싱 사이트임을 사용자에게 알린다.
단계(411)에서 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 폼 태그 정보와 접속 사이트의 도메인과 일치하는 정상 사이트의 폼 태그 정보를 비교하고, 두 폼 태그 정보가 일치하지 않으면 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속 사이트가 피싱 사이트임을 사용자에게 알린다.
한편, 단계(405)에서 접속 사이트의 도메인과 일치하는 도메인이 정상 사이트 데이터 베이스(104)에 저장되어 있지 않다고 판단하여 진행한 단계(415)에서, 본 발명의 일실시 예에 따른 정상 사이트 판단부(106)는, 접속 사이트의 도메인과 유사한 도메인이 정상 사이트 데이터 베이스(104)에 저장되어 있는지 판단하고, 유사한 도메인이 저장되어 있다면 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속사이트가 피싱 사이트임을 사용자에게 알린다. 이 때, 앞에서 설명한 바와 같이, 도메인의 유사도는 미리 정한 임계치를 기준으로 판단할 수 있다.
한편, 도 1을 참조하여 설명한 바와 같이, 국가 표시 정보가 미리 정한 일정한 횟수 이상 바뀔 때 접속 사이트가 피싱되었다고 판단할 수 있다. 즉, 단계(409)에서 국가 표시 정보가 미리 정한 일정 횟수 이상 바뀌는 경우 단계(413)로 진행하여 메시지 출력부(110)를 통하여 접속 사이트가 피싱 사이트임을 사용자에게 알린다.
상술한 본 발명의 설명에서는 구체적인 일실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서, 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위와 특허청구범위의 균등한 것에 의해 정해져야 한다.
도 1은 본 발명의 일실시 예에 따른 피싱 알림 장치의 블록 구성도,
도 2는 본 발명의 일실시 예에 따른 정상 사이트 정보를 보여주기 위한 예시도,
도 3은 본 발명의 일실시 예에 따른 시스템 호스트 파일 파밍 여부 검사 과정을 나타내는 흐름도,
도 4는 본 발명의 일실시 예에 따른 피싱 알림 방법을 나타내기 위한 흐름도.
Claims (16)
- (a) 현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 단계;(b) 상기 접속 사이트와 동일한 도메인을 갖는 정상 사이트 정보가 기 구축된 데이터 베이스에 있다면 상기 접속 사이트 정보와 상기 정상 사이트 정보를 비교하는 단계; 및(c) 상기 비교 결과 상기 접속 사이트 정보와 상기 정상 사이트 정보가 일치하지 않는 경우 상기 접속 사이트가 피싱(phishing)되었음을 알리는 단계를 포함하는 피싱 알림 방법.
- 제 1항에 있어서,상기 정상 사이트에 접속하여 상기 정상 사이트를 스캔(scan) 및 파싱(parsing)한 후, 상기 파싱된 정상 사이트로부터 상기 정상 사이트 정보를 추출하여 저장함으로써 상기 데이터 베이스를 구축하는 단계를 더 포함하는 피싱 알림 방법.
- 제 1항에 있어서,사용자로부터 상기 정상 사이트 정보를 입력받고 저장함으로써 상기 데이터 베이스를 구축하는 단계를 더 포함하는 피싱 알림 방법.
- 제 1항에 있어서, 상기 접속 사이트 정보 및 상기 정상 사이트 정보는,도메인, IP(Internet Protocol) 주소, 국가 표시 정보 및 폼 태그(form tag) 중 적어도 하나를 포함하는피싱 알림 방법.
- 제 1항에 있어서, 상기 (b) 단계는,상기 접속 사이트의 도메인과 상기 기 구축된 데이터 베이스에 저장된 적어도 하나의 정상 사이트의 도메인의 유사도를 계산하고, 상기 계산된 유사도가 미리 정해진 임계치 이상인 경우에 상기 접속 사이트의 피싱 가능성을 알리는 단계를 포함하는 피싱 알림 방법.
- 제 5항에 있어서, 상기 (b) 단계는,사용자로부터 상기 접속 사이트를 정상 사이트로 등록할 것인지의 여부에 대한 입력을 받는 단계를 더 포함하는 피싱 알림 방법.
- 제 1항에 있어서, 상기 (c) 단계는,상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소를 비교하고 상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소가 일치하지 않는 경우에 상기 접속 사이트가 피싱되었음을 알리는 단계를 포함하는 피싱 알림 방법.
- 제 1항에 있어서, 상기 (c) 단계는,상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소를 비교하여 상기 정상 사이트의 IP 주소와 상기 접속 사이트의 IP 주소가 일치하는 경우 상기 정상 사이트의 폼 태그와 상기 접속 사이트의 폼 태그를 비교하고, 상기 정상 사이트의 폼 태그와 상기 접속 사이트의 폼 태그가 일치하지 않는 경우에 상기 접속 사이트가 피싱되었음을 알리는 단계를 포함하는 피싱 알림 방법.
- 제 1항에 있어서, 상기 (c) 단계는,상기 정상 사이트의 국가 표시 정보와 상기 접속 사이트의 국가 표시 정보를 비교하고, 상기 정상 사이트의 국가 표시 정보와 상기 접속 사이트의 국가 표시 정보가 일치하지 않는 경우에 이를 알리는 단계를 포함하는 피싱 알림 방법.
- 제 1항에 있어서, 상기 (c) 단계는,상기 접속 사이트로의 접속 시마다 상기 접속 사이트의 국가 표시 정보를 저장하고, 상기 접속 사이트의 현재 국가 표시 정보를 이전에 저장된 국가 표시 정보와 비교하여 상기 접속 사이트의 국가 표시 정보가 미리 정해진 횟수 이상 바뀌는 경우에 이를 알리는 단계를 포함하는 피싱 알림 방법.
- (a) 현재 접속 중인 접속 사이트의 도메인 및 IP(Internet Protocol) 주소를 도메인 네임 서버에 요청하여 수신하는 단계;(b) 상기 도메인 네임 서버로부터 수신된 접속 사이트의 도메인과 호스트(hosts) 파일에 등록된 도메인을 비교하는 단계;(c) 상기 도메인 네임 서버로부터 수신된 접속 사이트의 도메인과 동일한 도메인이 상기 호스트 파일에 등록되어 있다면, 상기 도메인 네임 서버로부터 수신된 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교하는 단계; 및(d) 상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소가 다르다면 상기 호스트 파일이 파밍(pharming)되었음을 알리는 단계를 포함하는 파밍 알림 방법.
- 제 11항에 있어서, 상기 도메인 네임 서버는,로컬 네트워크 도메인 네임 서버 및 원격 도메인 네임 서버 중 어느 하나인파밍 알림 방법.
- (a) 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP(Internet Protocol) 주소를 로컬 네트워크 도메인 네임 서버로 요청하여 수신하는 단계;(b) 상기 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 원격 도메인 네임 서버로 요청하여 수신하는 단계; 및(c) 상기 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 상기 원격 도메인 네임 서버로부터 수신된 IP 주소가 일치하지 않는 경우 상기 로컬 네트워크 도메인 네임 서버가 파밍(pharming)되었음을 알리는 단계를 포함하는 파밍 알림 방법.
- 제 13항에 있어서,상기 접속하고자 하는 웹 사이트의 도메인 네임에 해당하는 IP 주소를 다수 개의 원격 도메인 네임 서버로 요청 및 수신한 경우,상기 다수 개의 원격 도메인 네임 서버로부터 수신된 IP 주소의 갯수와 상기 로컬 네트워크 도메인 네임 서버로부터 수신된 IP 주소와 일치하는 상기 다수 개의 원격 도메인 네임 서버로부터 수신된 IP 주소의 갯수의 비율이 미리 정해진 임계치 이하인 경우 상기 로컬 네트워크 도메인 네임 서버가 파밍되었음을 알리는 단계를 포함하는 파밍 알림 방법.
- 정상 사이트로부터 추출된 또는 사용자로부터 입력된 정상 사이트 정보로 이루어진 정상 사이트 데이터 베이스;현재 접속 중인 접속 사이트의 접속 사이트 정보를 추출하는 사이트 스캔부;상기 사이트 스캔부에서 추출된 접속 사이트 정보와 상기 정상 사이트 데이터 베이스에 저장된 정상 사이트 정보를 비교하는 정상 사이트 판단부; 및상기 접속 사이트 정보와 상기 정상 사이트 정보가 일치하지 않는다면 상기 접속 사이트가 피싱(phishing)되었음을 알리는 메시지를 출력하는 메시지 출력부를 포함하는 피싱 알림 장치.
- 도메인 및 상기 도메인에 대응되는 IP(Internet Protocol) 주소가 등록된 호스트(hosts) 파일이 저장된 메모리부;현재 접속 중인 접속 사이트의 도메인 및 IP 주소를 도메인 네임 서버에 요청하여 수신하고, 상기 수신된 접속 사이트의 도메인과 동일한 도메인이 상기 호스트 파일에 등록되어 있다면 상기 수신된 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP 주소를 비교하는 정상 사이트 판단부; 및상기 접속 사이트의 IP 주소와 상기 호스트 파일에 등록된 상기 동일한 도메인에 대응되는 IP주소가 다르다면 상기 호스트 파일이 파밍(pharming)되었음을 알리는 메시지를 출력하는 메시지 출력부를 포함하는 파밍 알림 장치.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070083896A KR20090019451A (ko) | 2007-08-21 | 2007-08-21 | 피싱 및 파밍 알림 방법 및 장치 |
US12/056,375 US20090055928A1 (en) | 2007-08-21 | 2008-03-27 | Method and apparatus for providing phishing and pharming alerts |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070083896A KR20090019451A (ko) | 2007-08-21 | 2007-08-21 | 피싱 및 파밍 알림 방법 및 장치 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20090019451A true KR20090019451A (ko) | 2009-02-25 |
Family
ID=40383413
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070083896A KR20090019451A (ko) | 2007-08-21 | 2007-08-21 | 피싱 및 파밍 알림 방법 및 장치 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20090055928A1 (ko) |
KR (1) | KR20090019451A (ko) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101344242B1 (ko) * | 2011-07-06 | 2014-01-28 | 주식회사 에이텍정보기술 | 디앤에스를 이용한 불법 브라우저 차단 방법 |
KR101468798B1 (ko) * | 2013-03-27 | 2014-12-03 | 중소기업은행 | 파밍 탐지 및 차단 장치, 이를 이용한 방법 |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090328208A1 (en) * | 2008-06-30 | 2009-12-31 | International Business Machines | Method and apparatus for preventing phishing attacks |
US8701185B2 (en) * | 2008-10-14 | 2014-04-15 | At&T Intellectual Property I, L.P. | Method for locating fraudulent replicas of web sites |
WO2011018316A1 (en) * | 2009-08-12 | 2011-02-17 | F-Secure Corporation | Web browser security |
US9130988B2 (en) * | 2010-12-21 | 2015-09-08 | Microsoft Technology Licensing, Llc | Scareware detection |
US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
US8966625B1 (en) * | 2011-05-24 | 2015-02-24 | Palo Alto Networks, Inc. | Identification of malware sites using unknown URL sites and newly registered DNS addresses |
CN102902917A (zh) | 2011-07-29 | 2013-01-30 | 国际商业机器公司 | 用于预防钓鱼式攻击的方法和系统 |
US9104870B1 (en) | 2012-09-28 | 2015-08-11 | Palo Alto Networks, Inc. | Detecting malware |
US9215239B1 (en) | 2012-09-28 | 2015-12-15 | Palo Alto Networks, Inc. | Malware detection based on traffic analysis |
US9344449B2 (en) | 2013-03-11 | 2016-05-17 | Bank Of America Corporation | Risk ranking referential links in electronic messages |
US10019575B1 (en) | 2013-07-30 | 2018-07-10 | Palo Alto Networks, Inc. | Evaluating malware in a virtual machine using copy-on-write |
US9613210B1 (en) | 2013-07-30 | 2017-04-04 | Palo Alto Networks, Inc. | Evaluating malware in a virtual machine using dynamic patching |
US9811665B1 (en) | 2013-07-30 | 2017-11-07 | Palo Alto Networks, Inc. | Static and dynamic security analysis of apps for mobile devices |
US9621582B1 (en) * | 2013-12-11 | 2017-04-11 | EMC IP Holding Company LLC | Generating pharming alerts with reduced false positives |
US9489516B1 (en) | 2014-07-14 | 2016-11-08 | Palo Alto Networks, Inc. | Detection of malware using an instrumented virtual machine environment |
US9542554B1 (en) | 2014-12-18 | 2017-01-10 | Palo Alto Networks, Inc. | Deduplicating malware |
US9805193B1 (en) | 2014-12-18 | 2017-10-31 | Palo Alto Networks, Inc. | Collecting algorithmically generated domains |
US10200381B2 (en) | 2015-08-05 | 2019-02-05 | Mcafee, Llc | Systems and methods for phishing and brand protection |
GB2545491B (en) * | 2015-12-18 | 2020-04-29 | F Secure Corp | Protection against malicious attacks |
US10097580B2 (en) | 2016-04-12 | 2018-10-09 | Microsoft Technology Licensing, Llc | Using web search engines to correct domain names used for social engineering |
US11010474B2 (en) | 2018-06-29 | 2021-05-18 | Palo Alto Networks, Inc. | Dynamic analysis techniques for applications |
US10956573B2 (en) | 2018-06-29 | 2021-03-23 | Palo Alto Networks, Inc. | Dynamic analysis techniques for applications |
US10523706B1 (en) | 2019-03-07 | 2019-12-31 | Lookout, Inc. | Phishing protection using cloning detection |
US11196765B2 (en) | 2019-09-13 | 2021-12-07 | Palo Alto Networks, Inc. | Simulating user interactions for malware analysis |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7111325B2 (en) * | 2002-06-13 | 2006-09-19 | International Business Machines Corporation | Apparatus, system and method of double-checking DNS provided IP addresses |
GB2412189B (en) * | 2004-03-16 | 2007-04-04 | Netcraft Ltd | Security component for use with an internet browser application and method and apparatus associated therewith |
EP1779216A1 (en) * | 2004-08-20 | 2007-05-02 | Rhoderick John Kennedy Pugh | Server authentication |
US8799465B2 (en) * | 2004-10-13 | 2014-08-05 | International Business Machines Corporation | Fake web addresses and hyperlinks |
US20060168066A1 (en) * | 2004-11-10 | 2006-07-27 | David Helsper | Email anti-phishing inspector |
US7630987B1 (en) * | 2004-11-24 | 2009-12-08 | Bank Of America Corporation | System and method for detecting phishers by analyzing website referrals |
WO2007030764A2 (en) * | 2005-09-06 | 2007-03-15 | Daniel Chien | Identifying a network address source for authentication |
JP4950606B2 (ja) * | 2005-09-30 | 2012-06-13 | トレンドマイクロ株式会社 | 通信システム、セキュリティ管理装置およびアクセス制御方法 |
US20070083670A1 (en) * | 2005-10-11 | 2007-04-12 | International Business Machines Corporation | Method and system for protecting an internet user from fraudulent ip addresses on a dns server |
US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
US20080060054A1 (en) * | 2006-09-05 | 2008-03-06 | Srivastava Manoj K | Method and system for dns-based anti-pharming |
US9654495B2 (en) * | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
US9779433B2 (en) * | 2007-03-22 | 2017-10-03 | Sophos Limited | Systems and methods for dynamic vendor and vendor outlet classification |
US7747780B2 (en) * | 2007-08-27 | 2010-06-29 | DNSStuff, INC. | Method, system and apparatus for discovering user agent DNS settings |
-
2007
- 2007-08-21 KR KR1020070083896A patent/KR20090019451A/ko not_active Application Discontinuation
-
2008
- 2008-03-27 US US12/056,375 patent/US20090055928A1/en not_active Abandoned
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101344242B1 (ko) * | 2011-07-06 | 2014-01-28 | 주식회사 에이텍정보기술 | 디앤에스를 이용한 불법 브라우저 차단 방법 |
KR101468798B1 (ko) * | 2013-03-27 | 2014-12-03 | 중소기업은행 | 파밍 탐지 및 차단 장치, 이를 이용한 방법 |
Also Published As
Publication number | Publication date |
---|---|
US20090055928A1 (en) | 2009-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR20090019451A (ko) | 피싱 및 파밍 알림 방법 및 장치 | |
US11388193B2 (en) | Systems and methods for detecting online fraud | |
Gastellier-Prevost et al. | Defeating pharming attacks at the client-side | |
US9900346B2 (en) | Identification of and countermeasures against forged websites | |
US9055097B1 (en) | Social network scanning | |
US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
US8578481B2 (en) | Method and system for determining a probability of entry of a counterfeit domain in a browser | |
US20100031362A1 (en) | System and method for identification and blocking of malicious use of servers | |
US20150319191A1 (en) | Anti-phishing domain advisor and method thereof | |
Bin et al. | A DNS based anti-phishing approach | |
JP2010516007A (ja) | コンピュータ不正行為を検出するための方法及び装置 | |
JP2009527855A (ja) | クライアントサイド攻撃対抗フィッシング検出 | |
KR100745044B1 (ko) | 피싱 사이트 접속 방지 장치 및 방법 | |
KR101996471B1 (ko) | 네트워크 보안장치 및 보안방법 | |
WO2019123665A1 (ja) | 照合サーバ、照合方法及びコンピュータプログラム | |
US10079856B2 (en) | Rotation of web site content to prevent e-mail spam/phishing attacks | |
KR102514214B1 (ko) | 빅데이터를 이용한 인공지능형 네트워크 파밍 차단 방법 및 시스템 | |
Shahriar et al. | Information source-based classification of automatic phishing website detectors | |
KR102367545B1 (ko) | 네트워크 파밍 차단 방법 및 시스템 | |
KR20090102410A (ko) | 피싱 도메인 탐지 시스템 | |
Fotiou et al. | Fighting phishing the information-centric way |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |