RU2571721C2 - Система и способ обнаружения мошеннических онлайн-транзакций - Google Patents

Система и способ обнаружения мошеннических онлайн-транзакций Download PDF

Info

Publication number
RU2571721C2
RU2571721C2 RU2014110601/08A RU2014110601A RU2571721C2 RU 2571721 C2 RU2571721 C2 RU 2571721C2 RU 2014110601/08 A RU2014110601/08 A RU 2014110601/08A RU 2014110601 A RU2014110601 A RU 2014110601A RU 2571721 C2 RU2571721 C2 RU 2571721C2
Authority
RU
Russia
Prior art keywords
computer
transaction
payment service
user
information
Prior art date
Application number
RU2014110601/08A
Other languages
English (en)
Other versions
RU2014110601A (ru
Inventor
Сергей Юрьевич Голованов
Алексей Владимирович Монастырский
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2014110601/08A priority Critical patent/RU2571721C2/ru
Priority to US14/264,501 priority patent/US9363286B2/en
Priority to EP14169196.4A priority patent/EP2922265B1/en
Publication of RU2014110601A publication Critical patent/RU2014110601A/ru
Application granted granted Critical
Publication of RU2571721C2 publication Critical patent/RU2571721C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1475Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к компьютерной безопасности, а более конкретно к системам и способам обеспечения безопасности онлайн-транзакций. Технический результат настоящего изобретения заключается в обеспечении безопасности пользовательских транзакций за счет обнаружения вредоносных программ, используемых для мошеннических транзакций. Настоящий результат достигается за счет способа обнаружения вредоносных программ, используемых для мошеннических транзакций, при этом способ содержит этапы, на которых: определяют начало транзакции на стороне компьютера пользователя и на стороне платежного сервиса; получают информацию, связанную с компьютером, с помощью антивируса на стороне компьютера пользователя; получают информацию, связанную с платежным сервисом, с помощью банковского модуля на стороне платежного сервиса; производят анализ собранной информации, при этом анализ основан на сравнении полученной информации; признают транзакцию подозрительной в том случае, если анализ выявил различия между информацией, связанной с компьютером, полученной с помощью антивируса на стороне компьютера пользователя, и информацией, связанной с платежным сервисом, полученной с помощью банковского модуля на стороне платежного сервиса; проводят антивирусную проверку на компьютере пользователя в случае подозрительной транзакции с целью обнаружения вредоносных программ, используемых для мошеннических транзакций, с использованием информации, связанной с компьютером и платежным сервисом. 2 н. и 4 з.п. ф-лы, 3 ил.

Description

Область техники
Изобретение относится к компьютерной безопасности, а более конкретно к системам и способам обеспечения безопасности онлайн-транзакций.
Уровень техники
В настоящее время существует большое количество программного обеспечения, с помощью которого можно проводить различные онлайн-транзакции. Многие транзакции совершаются с помощью онлайн-банкинга, используя стандартные браузеры, также используются отдельные банковские клиенты, которые особенно популярны на мобильных платформах. Используя браузер для проведения транзакции, пользователь, как правило, заходит на сайт банка, проходит авторизацию (которая иногда бывает двухфакторной, например, с помощью SMS или токена), после чего получает возможность проводить операции со своими средствами.
Неудивительно, что с ростом онлайн-платежей этим сегментом услуг заинтересовались злоумышленники, которые активно исследуют возможные варианты перехвата данных транзакций с целью незаконного перевода средств. Как правило, кражу данных транзакций осуществляют с помощью вредоносных программ, которые попадают на компьютеры пользователей (заражают компьютеры). Чаще всего подобные программы попадают на компьютеры заражение через популярные интернет-браузеры, выполняют перехват данных, вводимых с устройств ввода (таких как клавиатура или мышь), или перехватывают данные, отправляемые в сеть. Например, вредоносные программы, заражающие браузеры, получают доступ к файлам браузера, просматривают историю посещений и сохраненные пароли при посещении веб-страниц. Перехватчики ввода данных (англ. keyloggers) перехватывают ввод данных с клавиатуры или мыши, делают снимки экранов (англ. screenshots) и скрывают свое присутствие в системе с помощью целого ряда руткит-технологий (англ. rootkit). Подобные технологии также применяются при реализации перехватчиков сетевых пакетов (снифферов графика, англ. traffic sniffers), которые перехватывают передаваемые сетевые пакеты, извлекая из них ценную информацию, такую как пароли и другие личные данные. Стоит отметить, что заражение чаще всего происходит с использованием уязвимостей в программном обеспечении, которые позволяют использовать различные эксплойты (англ. exploit) для проникновения в компьютерную систему.
Существующие антивирусные технологии, такие как использование сигнатурной или эвристической проверок, методы проактивной защиты или использование списков доверенных приложений (англ. whitelist), хотя и позволяют добиться обнаружения многих вредоносных программ на компьютерах пользователей, однако не всегда способны определить их новые модификации, частота появления которых растет день ото дня. Таким образом, требуются решения, которые могли бы обезопасить процедуру проведения онлайн-платежей у пользователей.
Учитывая растущее количество небезопасных онлайн-транзакций со стороны злоумышленников, которые являются мошенническими (англ. fraud), банки используют свои схемы проверки проводимых онлайн-транзакций. Например, в патенте US 8555384 внедряется отдельный объект (предпочтительно, основанный на технологиях Flash, Java, Silverlight) на веб-страницу банка для сбора данных о клиенте и отправке их на выделенный сервер для проверки данных на мошенничество. В публикации US 20100235908 описано определение изменения поведения пользователя на веб-странице. Поведение складывается из ряда параметров, которые образуют вектор. Система сравнивает новые векторы с уже известными, которые отвечают ″нормальным″ действиям пользователя путем подсчета расстояния. При наличии отклонений действия пользователя признаются подозрительными и транзакции могут быть отклонены.
Также банки используют различные схемы оценки рисков по транзакциям для определения возможного мошенничества. Например, патент US 8280833 описывает сервис, который предлагает автоматический анализ рисков транзакций, а также имеет интерфейс для работы аналитиков, анализирующих транзакции на предмет мошенничества. Для определения риска используется вероятностная модель, которая работает на основании поступающих событий. В качестве модели может использоваться сеть Байеса.
Однако стоит отметить, что в настоящий момент не описано подходов, которые могли бы предложить обнаружение неизвестных вредоносных программ, которые влияют на транзакции (например, осуществляя атаку Man-in-the-Browser). Даже если на стороне банка будет возможность отклонить транзакцию от клиента по той причине, что она содержит подозрительные условия, то на стороне клиента вредоносная программа может продолжать работать еще длительное время, пока не будет установлена антивирусная программа, обновлены антивирусные базы, или же пользователь произведет переустановку операционной системы или произведет ее откат.
Анализ предшествующего уровня техники позволяет сделать вывод о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно обнаружения вредоносных программ, используемых для мошеннических транзакций.
Раскрытие изобретения
Технический результат настоящего изобретения заключается в обеспечении безопасности пользовательских транзакций за счет обнаружения вредоносных программ, используемых для мошеннических транзакций.
Согласно одному из вариантов реализации предлагается способ обнаружения вредоносных программ, используемых для мошеннических транзакций, при этом содержит этапы, на которых: определяют начало транзакции на стороне компьютера пользователя и на стороне платежного сервиса; получают информацию, связанную с компьютером, с помощью антивируса на стороне компьютера пользователя, при этом информацией, связанной с компьютером, является по меньшей мере одно из: версия антивирусных баз; события, связанные с обнаружением вредоносных программ; статус антивируса в виде используемых компонент; использование средств ввода пользователем; история срабатывания модуля антифишинга; идентификатор компьютера; запущенные процессы; события по файловым операциям; события по операциям с реестром; список сетевых соединений; список подключенных устройств; уязвимости на стороне компьютера; установленные обновления для операционной системы; получают информацию, связанную с платежным сервисом, с помощью банковского модуля на стороне платежного сервиса, при этом информацией, связанной с платежным сервисом, является по меньшей мере одно из: информация о транзакции; информация о приложении, используемом для проведения транзакции; идентификатор компьютера; структура веб-страницы сайта платежного сервиса; использование средств ввода пользователем; производят анализ собранной информации, при этом анализ основан на сравнении полученной информации; признают транзакцию подозрительной в том случае, если анализ выявил различия между информацией, связанной с компьютером, полученной с помощью антивируса на стороне компьютера пользователя, и информацией, связанной с платежным сервисом, полученной с помощью банковского модуля на стороне платежного сервиса; проводят антивирусную проверку на компьютере пользователя в случае подозрительной транзакции с целью обнаружения вредоносных программ, используемых для мошеннических транзакций, с использованием информации, связанной с компьютером и платежным сервисом.
Согласно одному из частных вариантов реализации начало транзакции определяется на основании одного из следующих действий: пользователь запускает приложение, используемое для проведения транзакции; пользователь заходит на сайт платежного сервиса; пользователь вводит логин и пароль на сайте платежного сервиса.
Согласно другому частному варианту реализации приложением, используемым для проведения транзакции, является браузер.
Согласно еще одному варианту реализации система обнаружения вредоносных программ, используемых для мошеннических транзакций, при этом система содержит следующие средства:
- на стороне компьютера пользователя: приложение, используемое для проведения транзакции, при этом приложение передает данные о транзакции на сторону платежного сервиса; антивирус, предназначенный для определения начала транзакции на стороне компьютера пользователя, сбора информации на стороне компьютера пользователя и передачи ее модулю выявления вредоносных действий, а также для проведения антивирусной проверки на компьютере пользователя в случае подозрительной транзакции с целью обнаружения вредоносных программ, используемых для мошеннических транзакций, с использованием информации, связанной с компьютером и платежным сервисом, при этом информацией, связанной с компьютером, является по меньшей мере одно из: версия антивирусных баз; события, связанные с обнаружением вредоносных программ; статус антивируса в виде используемых компонент; использование средств ввода пользователем; история срабатывания модуля антифишинга; идентификатор компьютера; запущенные процессы; события по файловым операциям; события по операциям с реестром; список сетевых соединений; список подключенных устройств; уязвимости на стороне компьютера; установленные обновления для операционной системы;
- на стороне платежного сервиса: банковский модуль, предназначенный для определения начала транзакции на стороне платежного сервиса и сбора информации на стороне платежного сервиса и передачи ее модулю выявления вредоносных действий, при этом информацией, связанной с платежным сервисом, является по меньшей мере одно из: информация о транзакции; информация о приложении, используемом для проведения транзакции; идентификатор компьютера; структура веб-страницы сайта платежного сервиса; использование средств ввода пользователем;
- на стороне сервиса безопасности: модуль выявления вредоносных действий, предназначенный для: анализа информации от антивируса и банковского модуля; признания транзакции подозрительной в том случае, если анализ выявил различия между информацией, связанной с компьютером, полученной с помощью антивируса на стороне компьютера пользователя, и информацией, связанной с платежным сервисом, полученной с помощью банковского модуля на стороне платежного сервиса.
Согласно одному из частных вариантов реализации, начало транзакции определяется на основании одного из следующих действий: пользователь запускает приложение, используемое для проведения транзакции; пользователь заходит на сайт платежного сервиса; пользователь вводит логин и пароль на сайте платежного сервиса.
Согласно еще одному частному варианту реализации приложением, используемым для проведения транзакции, является браузер.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг.1 иллюстрирует систему работы настоящего изобретения.
Фиг.2 иллюстрирует способ работы настоящего изобретения.
Фиг.3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Фиг.1 иллюстрирует систему работы настоящего изобретения. Пользователь 100 работает за компьютером 110, используя при этом браузер 130 для проведения онлайн-транзакций через платежный сервис 160. Как правило, пользователь использует браузер 130 для того, чтобы зайти на веб-сайт 162 платежного сервиса 160. Под браузером 130, как правило, подразумевают такие веб-браузеры, как Internet Explorer или Google Chrome, но также сюда можно отнести и другие приложения, предназначенные для совершения онлайн-транзакций, например, банковские клиенты.
Даже если на компьютере 110 установлен антивирус 120, то нельзя быть полностью уверенным в том, что также на компьютере полностью отсутствуют вредоносные программы 140, которые могли попасть на компьютер по целому ряду причин: не были своевременно обновлены базы антивируса 120, антивирус 120 был установлен после того, как вредоносная программа 140 попала на компьютер, пользователь 100 установил низкий уровень защиты в настройках антивируса 120, или же вредоносная программа до сих пор неизвестна или не была проанализирована в антивирусной компании. Таким образом, всегда существует риск того, что пользователь может быть введен в заблуждение различными приемами, используемыми для проведения мошеннических транзакций. Например, фишинг (англ. phishing) позволит с большой достоверностью подделать сайт 162 платежного сервиса 160, в то время как использование атаки типа man-in-the-browser (http://www.trusteer.com/glossary/man-in-the-browser-mitb) позволит также подделать цифровой сертификат сайта, что может ввести в заблуждение пользователя, но также и привести к пропуску возможной антивирусной проверки сайта.
Для того чтобы избежать возможной компрометации пользователя и проведения мошеннической транзакции, на стороне платежного сервиса 160 работают, как правило, собственные аналитики безопасности 164 и механизмы проверки подлинности транзакций 163, которые занимаются проверкой составных частей транзакции (информации о плательщике, деталях транзакции, таких как время, частота, сумма и т.д.) для выделения подозрительных транзакций, которые могут оказаться мошенническими. Однако не имея полной информации о компьютерной системе 110, аналитики безопасности 164 и механизмы проверки подлинности транзакций 163 не в состоянии полностью оценить возможный риск для каждой следующей транзакции и способны допустить ошибку, так как создатели вредоносных программ 140 постоянно совершенствуют свои приемы для обхода не только внимания пользователя 100 и антивирусных технологий, но также и алгоритмов проверки на стороне банков и платежных сервисов.
Для решения вышеуказанных проблем в систему также вводится сервис безопасности 170, который состоит из модуля выявления вредоносных действий 171, а также антивирусных аналитиков 173 и баз данных вредоносных программ 172. Антивирусные аналитики 173 играют вспомогательную роль, корректируют работу модуля выявления вредоносных действий 171, который играет основную роль для выявления вредоносной активности на компьютере 110 и блокируя мошеннические транзакции, используя обратную связь с механизмом проверки подлинности транзакций 163 на стороне платежного сервиса 160. База данных вредоносных программ 172 может содержать такие алгоритмы обнаружения вредоносных программ, как например описанные в патентах US 7640589, US 7743419, US 8356354, US 8572740. Также база данных вредоносных программ 172 содержит правила обнаружения вредоносных приложений, которые используются модулем выявления вредоносных действий 171 на основании данных от антивируса 120 и банковского модуля 161, который установлен на стороне платежного сервиса 160 и предоставляет информацию нaq сторону сервиса безопасности 170. Также модуль выявления вредоносных действий 171 может получать информацию от сетевых провайдеров 150 и механизма проверки подлинности транзакций 163. В качестве сетевых провайдеров 150 могут выступать как локальные провайдеры Интернета, услугами которых пользуются пользователи 100, так и крупные провайдеры, контролирующие основные магистральные сети связи, которые, например, связывают между собой автономные системы (AS).
Основные приемы для выявления вредоносных действий основаны на выделении событий на стороне компьютера 110 пользователя 100 и информации, получаемой со стороны банковского модуля 161.
Примером информации со стороны компьютера 110 может служить:
- версия антивирусных баз;
- события, связанные с обнаружением вредоносных программ за определенный промежуток времени, например, день или месяц;
- статус антивируса 120 в виде используемых компонент, таких как сетевой экран, файловый антивирус, веб-антивирус и т.д.;
- использование средств ввода пользователем 100, шаблоны ввода в виде частоты нажатия клавиш, перемещения мыши и т.д.;
- история срабатывания модуля антифишинга;
- идентификатор компьютера 110;
- запущенные процессы;
- события по файловым операциям;
- события по операциям с реестром;
- список сетевых соединений;
- список подключенных устройств, таких как, например, токен;
- уязвимости на стороне компьютера 110;
- установленные обновления для операционной системы или таких приложений как браузер 130.
Стоит отметить, что информация со стороны компьютера 110 может быть более детализированной, нежели чем приведенный здесь список, который является скорее примерным. Например, если антивирус 120 содержит сетевой экран, то модулю выявления вредоносных действий 171 может также передаваться информация не только о типе соединений и процессах, которые их устанавливают, но и более детальная информация, такая как, например, информация из HTTP заголовков в виде данных о куки (англ. cookie), тип передаваемых данных, тип агента (браузера 130) и др.
Примером информации со стороны банковского модуля 161 может служить:
- информация о транзакции (счет, время транзакции, количество средств и т.д.);
- информация о браузере 130;
- идентификатор компьютера 110 (может быть вычислен по ряду косвенных параметров, таких как IP адрес);
- структура веб-страницы, которую видит пользователь 100 (DOM модель);
- использование средств ввода пользователем 100, шаблоны ввода в виде частоты нажатия клавиш, перемещения мыши и т.д.
Дополнительно модуль выявления вредоносных действий 171 может получать информацию от сетевых провайдеров 150 и механизма проверки подлинности транзакций 163. Примером такой информации от механизма проверки подлинности транзакций 163 может служить:
- более подробная информация о транзакции;
- история транзакций, связанных со счетами пользователя 100;
- возможные риски, связанные с конкретной транзакцией или пользователем 100;
Сетевые провайдеры 150 могут также указать маршрут следования графика от пользователя 100 до сайта 162. Кроме того, для определения возможных аномалий могут быть применены технологии по определению маршрутов следования графика, как, например, в публикации US 20130086636.
Фиг.2 иллюстрирует способ работы настоящего изобретения. На этапе 210 пользователь 100 инициирует транзакцию, что может быть выделено по ряду критериев, таких как:
- пользователь 100 запустил браузер:
- пользователь 100 зашел на сайт 162;
- пользователь 100 вводит логин и пароль на сайте 162, т.е. авторизуется на сайте 162 для возможного проведения онлайн-транзакции;
- пользователь может самостоятельно выбирать режим защиты онлайн-транзакции с помощью настоящей системы.
После этапа 210 на этапах 220, 230, 240 происходит сбор информации со стороны компьютера 110 (с помощью антивируса 120 на этапе 220), банковского модуля 161 (этап 230), а также сетевых провайдеров 150 и механизма проверки подлинности транзакций 163 (этап 240). На этапе 250 происходит анализ собранной информации, примеры анализа будут приведены ниже. Далее, на этапе 260, определяется, является ли транзакция подозрительной или нет. Если транзакция не является подозрительной, то транзакция совершается без каких-либо ограничений на этапе 270. В случае, если транзакция признается подозрительной, то на этапе 280 определяется, удалось ли на стороне компьютера 100 выявить вредоносную программу 140 с помощью антивируса 120. В том случае, если вредоносную программу 140 не удалось выявить сразу, то на этапе 285 производят дополнительный анализ, после чего на этапе 290 устраняют последствия работы вредоносной программы. Если же дополнительный анализ не смог выявить вредоносную программу, то на этапе 295 транзакция завершается и пользователь информируется о подозрительной активности на его компьютере.
Под дополнительным анализом на этапе 285 подразумевается, например, одно из следующих:
- загрузка последней версии антивирусных баз;
- проверка файловой системы (так называемая on demand scan, т.е. проверка по требованию), реестра, загруженных процессов с более ″агрессивными″ настройками проверки;
- изменение правил контроля приложений (англ. Application Control) с разрешением на запуск только доверенных приложений или же приложений без известных уязвимостей;
- перезагрузка компьютера с дополнительной проверкой на руткиты и буткиты;
- обращение в службу безопасности платежного сервиса 160 или на сторону сервиса безопасности 170 (например, обращение к аналитикам 173).
Устранение последствий работы вредоносной программы может включать одно из следующих:
- откат операционной системы к одному из предыдущих состояний (из резервной копии);
- удаление найденной вредоносной программы, а также откат всех сделанных ею изменений;
- отмена текущей транзакции;
- предупреждение пользователя 100 о возможной подмене текущей транзакции на мошенническую;
- нотификация платежного сервиса 160 о транзакциях от данного пользователя 100 как о возможных подозрительных (или с компьютера 110).
Ниже приведены примеры, которые иллюстрируют Фиг.2.
Пример №1
После начала транзакции, в окне браузера были зарегистрированы события, связанные с вводом с клавиатуры и мыши, однако никаких данных от физических устройств не поступало. Банковский модуль 161 также мог передать информацию об успешной авторизации (т.е. ввод данных с компьютера 110 был успешен), однако антивирус 120 посылает нотификацию о возможном использовании сервиса удаленного администрирования. В качестве мер противодействия настоящая транзакция предотвращается, а на компьютере запускается анализ всех запущенных процессов (в том числе и доверенных) и используемых соединений. Дополнительно может быть проведена антируткит-проверка после перезагрузки компьютера для отслеживания возможных скрытых драйверов в операционной системе.
Пример №2
Банковский модуль 161 также мог передать информацию об успешной авторизации (т.е. ввод данных с компьютера 110 был успешен), однако антивирус 120 посылает информацию о том, что сертификат сайта 162 отличается от того, что был раньше и является недоверенным. Таким образом, имеет место атака Man-in-the-Browser, после чего запускается антивирусная проверка на компьютере 110, а настоящая транзакция отвергается на стороне платежного сервиса 160.
Пример №3
Модуль выявления вредоносных действий 171 определяет по идентификатору компьютера, что транзакция производится с компьютера 110, который ранее был отмечен как компьютер, с которого совершаются подозрительные транзакции. Данная информация может быть получена из истории мошеннических транзакций со стороны механизмов проверки подлинности транзакций 163. В таком случае на сторону антивируса 120 данного компьютера 110 отправляется запрос о статусе антивирусной защиты (дата последней проверки, количество найденных вредоносных программ, статус антивирусных баз и т.д.). Если было определено, что последняя проверка не выявила никаких вредоносных программ, то данная транзакция разрешается, а в ином случае отвергается и антивирус 120 проводит дополнительные проверки.
Стоит отметить, что дополнительные антивирусные проверки могут проходить с более агрессивными настройками, чем те, которые были заданы пользователем 100. При этом пользователю 100 может быть отправлена нотификация о возможном мошенничестве, связанном с его компьютером 110, и необходимости проверить компьютер 110 на предмет наличия вредоносных программ.
Пример №4
Шаблоны ввода данных пользователем не совпадают - данные различия могут быть выявлены как путем сравнения шаблонов ввода с помощью антивируса 120 на компьютере 110 и банковского модуля 161, так и на основании истории известных шаблонов ввода со стороны пользователя 100. В таком случае транзакция помечается как подозрительная, и назначается дополнительная антивирусная проверка.
Пример №5
Пользователь 100 заходит на сайт платежного сервиса, однако адрес сайта не подтверждается как доверенный со стороны модуля выявления вредоносных действий 171. При этом со стороны банковского модуля 161 обнаруживается, что сайт 162 мог быть скомпрометирован (например, XSS-атака). После этого транзакция прерывается, на сторону платежного сервиса отправляется нотификация о найденной уязвимости.
Пример №6
Компрометация антивируса 120. Например, модуль выявления вредоносных действий 171 получает информацию от антивируса 120, что при проведении транзакции все функции защиты в настоящий момент включены. Однако со стороны банковского модуля 161 приходит информация о том, что транзакция может быть мошеннической: не совпадает шаблон ввода со стороны пользователя, отличается информация по браузеру 130, который раньше использовался для транзакций со стороны компьютера 110. На сторону антивируса 120 отправляется нотификация о перезагрузке компьютера с проведением антивирусной проверки на наличие руткитов и буткитов, а также для проведения антивирусных баз.
Фиг.3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора ″мышь″ 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п.
Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (LJSB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (6)

1. Способ обнаружения вредоносных программ, используемых для мошеннических транзакций, при этом способ содержит этапы, на которых:
а) определяют начало транзакции на стороне компьютера пользователя и на стороне платежного сервиса;
б) получают информацию, связанную с компьютером, с помощью антивируса на стороне компьютера пользователя, при этом информацией, связанной с компьютером, является информация, относящаяся к по меньшей мере одному из: версии антивирусных баз; событиям, связанным с обнаружением вредоносных программ; статусу антивируса в виде используемых компонент; использованию средств ввода пользователем; истории срабатывания модуля антифишинга; идентификатору компьютера; запущенным процессам; событиям по файловым операциям; событиям по операциям с реестром; списку сетевых соединений; списку подключенных устройств; уязвимостям на стороне компьютера; установленным обновлениям для операционной системы;
в) получают информацию, связанную с платежным сервисом, с помощью банковского модуля на стороне платежного сервиса, при этом информацией, связанной с платежным сервисом, является по меньшей мере одно из: информация о транзакции; информация о приложении, используемом для проведения транзакции; идентификатор компьютера; структура веб-страницы сайта платежного сервиса; использование средств ввода пользователем;
г) производят анализ собранной на этапах б) - в) информации, при этом анализ основан на сравнении полученной информации;
д) признают транзакцию подозрительной в том случае, если анализ выявил различия между информацией, связанной с компьютером, полученной с помощью антивируса на стороне компьютера пользователя, и информацией, связанной с платежным сервисом, полученной с помощью банковского модуля на стороне платежного сервиса;
е) проводят антивирусную проверку на компьютере пользователя в случае подозрительной транзакции для обнаружения вредоносных программ, используемых для мошеннических транзакций, с использованием информации, связанной с компьютером и платежным сервисом.
2. Способ по п. 1, в котором начало транзакции определяется на основании одного из следующих действий: пользователь запускает приложение, используемое для проведения транзакции; пользователь заходит на сайт платежного сервиса; пользователь вводит логин и пароль на сайте платежного сервиса.
3. Способ по п. 2, в котором приложением, используемым для проведения транзакции, является браузер.
4. Система обнаружения вредоносных программ, используемых для мошеннических транзакций, при этом система содержит компьютер пользователя, платежный сервис, сервис безопасности:
- на стороне компьютера пользователя:
а) приложение, используемое для проведения транзакции, при этом приложение передает данные о транзакции на сторону платежного сервиса;
б) антивирус, предназначенный для определения начала транзакции на стороне компьютера пользователя, сбора информации на стороне компьютера пользователя и передачи ее модулю выявления вредоносных действий, а также для проведения антивирусной проверки на компьютере пользователя в случае подозрительной транзакции для обнаружения вредоносных программ, используемых для мошеннических транзакций, с использованием информации, связанной с компьютером и платежным сервисом, при этом информацией, связанной с компьютером, является информация, относящаяся к по меньшей мере одному из: версии антивирусных баз; событиям, связанным с обнаружением вредоносных программ; статусу антивируса в виде используемых компонент; использованию средств ввода пользователем; истории срабатывания модуля антифишинга; идентификатору компьютера; запущенным процессам; событиям по файловым операциям; событиям по операциям с реестром; списку сетевых соединений; списку подключенных устройств; уязвимостям на стороне компьютера; установленным обновлениям для операционной системы;
- на стороне платежного сервиса:
а) банковский модуль, предназначенный для определения начала транзакции на стороне платежного сервиса и сбора информации на стороне платежного сервиса и передачи ее модулю выявления вредоносных действий, при этом информацией, связанной с платежным сервисом, является по меньшей мере одно из: информация о транзакции; информация о приложении, используемом для проведения транзакции; идентификатор компьютера; структура веб-страницы сайта платежного сервиса; использование средств ввода пользователем; на стороне сервиса безопасности:
а) модуль выявления вредоносных действий, предназначенный для:
I) анализа информации от антивируса и банковского модуля;
II) признания транзакции подозрительной в том случае, если анализ выявил различия между информацией, связанной с компьютером, полученной с помощью антивируса на стороне компьютера пользователя, и информацией, связанной с платежным сервисом, полученной с помощью банковского модуля на стороне платежного сервиса.
5. Система по п. 4, в котором начало транзакции определяется на основании одного из следующих действий: пользователь запускает приложение, используемое для проведения транзакции; пользователь заходит на сайт платежного сервиса; пользователь вводит логин и пароль на сайте платежного сервиса.
6. Система по п. 5, в котором приложением, используемым для проведения транзакции, является браузер.
RU2014110601/08A 2014-03-20 2014-03-20 Система и способ обнаружения мошеннических онлайн-транзакций RU2571721C2 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2014110601/08A RU2571721C2 (ru) 2014-03-20 2014-03-20 Система и способ обнаружения мошеннических онлайн-транзакций
US14/264,501 US9363286B2 (en) 2014-03-20 2014-04-29 System and methods for detection of fraudulent online transactions
EP14169196.4A EP2922265B1 (en) 2014-03-20 2014-05-21 System and methods for detection of fraudulent online transactions

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014110601/08A RU2571721C2 (ru) 2014-03-20 2014-03-20 Система и способ обнаружения мошеннических онлайн-транзакций

Publications (2)

Publication Number Publication Date
RU2014110601A RU2014110601A (ru) 2015-09-27
RU2571721C2 true RU2571721C2 (ru) 2015-12-20

Family

ID=54142407

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014110601/08A RU2571721C2 (ru) 2014-03-20 2014-03-20 Система и способ обнаружения мошеннических онлайн-транзакций

Country Status (2)

Country Link
US (1) US9363286B2 (ru)
RU (1) RU2571721C2 (ru)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2626337C1 (ru) * 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Способ обнаружения мошеннической активности на устройстве пользователя
RU2634173C1 (ru) * 2016-06-24 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения приложения удалённого администрирования
RU2635275C1 (ru) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
US11068578B2 (en) 2016-06-03 2021-07-20 Visa International Service Association Subtoken management system for connected devices
RU2762241C2 (ru) * 2020-02-26 2021-12-16 Акционерное общество "Лаборатория Касперского" Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10282550B1 (en) * 2015-03-12 2019-05-07 Whitehat Security, Inc. Auto-remediation workflow for computer security testing
US20170076292A1 (en) * 2015-09-14 2017-03-16 BIS Global, Inc. Enhanced fraud screening process for filtering of network statistics in order to detect, block, and deter fraudulent on-line activity
US20170116604A1 (en) 2015-10-21 2017-04-27 Mastercard International Incorporated Systems and Methods for Identifying Payment Accounts to Segments
US20170116584A1 (en) * 2015-10-21 2017-04-27 Mastercard International Incorporated Systems and Methods for Identifying Payment Accounts to Segments
US10592922B2 (en) 2016-09-09 2020-03-17 Ns8, Inc. System and method for detecting fraudulent internet traffic
US10552838B2 (en) * 2016-09-09 2020-02-04 Ns8, Inc. System and method for evaluating fraud in online transactions
US11010233B1 (en) 2018-01-18 2021-05-18 Pure Storage, Inc Hardware-based system monitoring
US10970395B1 (en) 2018-01-18 2021-04-06 Pure Storage, Inc Security threat monitoring for a storage system
US11694293B2 (en) * 2018-06-29 2023-07-04 Content Square Israel Ltd Techniques for generating analytics based on interactions through digital channels
EP3605374A1 (en) * 2018-08-03 2020-02-05 Hewlett-Packard Development Company, L.P. Intrusion resilient applications
US11301496B2 (en) * 2018-12-26 2022-04-12 Imperva, Inc. Using access logs for network entities type classification
US11941116B2 (en) 2019-11-22 2024-03-26 Pure Storage, Inc. Ransomware-based data protection parameter modification
US11657155B2 (en) 2019-11-22 2023-05-23 Pure Storage, Inc Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system
US11625481B2 (en) 2019-11-22 2023-04-11 Pure Storage, Inc. Selective throttling of operations potentially related to a security threat to a storage system
US11675898B2 (en) 2019-11-22 2023-06-13 Pure Storage, Inc. Recovery dataset management for security threat monitoring
US11651075B2 (en) 2019-11-22 2023-05-16 Pure Storage, Inc. Extensible attack monitoring by a storage system
US11755751B2 (en) 2019-11-22 2023-09-12 Pure Storage, Inc. Modify access restrictions in response to a possible attack against data stored by a storage system
US11687418B2 (en) 2019-11-22 2023-06-27 Pure Storage, Inc. Automatic generation of recovery plans specific to individual storage elements
US11520907B1 (en) 2019-11-22 2022-12-06 Pure Storage, Inc. Storage system snapshot retention based on encrypted data
US11645162B2 (en) 2019-11-22 2023-05-09 Pure Storage, Inc. Recovery point determination for data restoration in a storage system
US11720714B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Inter-I/O relationship based detection of a security threat to a storage system
US11500788B2 (en) 2019-11-22 2022-11-15 Pure Storage, Inc. Logical address based authorization of operations with respect to a storage system
US11615185B2 (en) 2019-11-22 2023-03-28 Pure Storage, Inc. Multi-layer security threat detection for a storage system
US11720692B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Hardware token based management of recovery datasets for a storage system
US11341236B2 (en) 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system
US20220272123A1 (en) * 2021-02-25 2022-08-25 Shopify Inc. Method and system for protecting a checkout transaction from malicious code injection

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2402814C2 (ru) * 2005-04-19 2010-10-27 Майкрософт Корпорейшн Сетевые коммерческие транзакции
US8079085B1 (en) * 2008-10-20 2011-12-13 Trend Micro Incorporated Reducing false positives during behavior monitoring
US8280833B2 (en) * 2008-06-12 2012-10-02 Guardian Analytics, Inc. Fraud detection and analysis
RU2494448C1 (ru) * 2012-02-24 2013-09-27 Закрытое акционерное общество "Лаборатория Касперского" Использование защищенного устройства для обеспечения безопасной передачи данных в небезопасных сетях

Family Cites Families (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7080000B1 (en) * 2001-03-30 2006-07-18 Mcafee, Inc. Method and system for bi-directional updating of antivirus database
US7516491B1 (en) 2002-10-17 2009-04-07 Roger Schlafly License tracking system
US7331062B2 (en) 2002-08-30 2008-02-12 Symantec Corporation Method, computer software, and system for providing end to end security protection of an online transaction
US7509679B2 (en) 2002-08-30 2009-03-24 Symantec Corporation Method, system and computer program product for security in a global computer network transaction
US7467409B2 (en) * 2003-12-12 2008-12-16 Microsoft Corporation Aggregating trust services for file transfer clients
US20050267954A1 (en) * 2004-04-27 2005-12-01 Microsoft Corporation System and methods for providing network quarantine
US7694150B1 (en) * 2004-06-22 2010-04-06 Cisco Technology, Inc System and methods for integration of behavioral and signature based security
US9021253B2 (en) * 2004-07-02 2015-04-28 International Business Machines Corporation Quarantine method and system
CN100568212C (zh) * 2004-07-02 2009-12-09 国际商业机器公司 隔离系统及隔离方法
US8065712B1 (en) * 2005-02-16 2011-11-22 Cisco Technology, Inc. Methods and devices for qualifying a client machine to access a network
US8561190B2 (en) * 2005-05-16 2013-10-15 Microsoft Corporation System and method of opportunistically protecting a computer from malware
US7631357B1 (en) * 2005-10-05 2009-12-08 Symantec Corporation Detecting and removing rootkits from within an infected computing system
US7926106B1 (en) * 2006-04-06 2011-04-12 Symantec Corporation Utilizing early exclusive volume access and direct volume manipulation to remove protected files
AU2007266332A1 (en) * 2006-05-29 2007-12-06 Symbiotic Technologies Pty Ltd Communications security system
US7921461B1 (en) * 2007-01-16 2011-04-05 Kaspersky Lab, Zao System and method for rootkit detection and cure
US8495741B1 (en) * 2007-03-30 2013-07-23 Symantec Corporation Remediating malware infections through obfuscation
US8225394B2 (en) * 2007-04-13 2012-07-17 Ca, Inc. Method and system for detecting malware using a secure operating system mode
US8156335B2 (en) 2008-09-02 2012-04-10 F2Ware, Inc. IP address secure multi-channel authentication for online transactions
US8225401B2 (en) * 2008-12-18 2012-07-17 Symantec Corporation Methods and systems for detecting man-in-the-browser attacks
US20100235908A1 (en) 2009-03-13 2010-09-16 Silver Tail Systems System and Method for Detection of a Change in Behavior in the Use of a Website Through Vector Analysis
US9087188B2 (en) * 2009-10-30 2015-07-21 Intel Corporation Providing authenticated anti-virus agents a direct access to scan memory
US9021583B2 (en) * 2010-01-26 2015-04-28 Emc Corporation System and method for network security including detection of man-in-the-browser attacks
EP2542971B1 (en) * 2010-03-01 2019-01-30 EMC Corporation Detection of attacks through partner websites
US8756684B2 (en) * 2010-03-01 2014-06-17 Emc Corporation System and method for network security including detection of attacks through partner websites
EP2388726B1 (en) * 2010-05-18 2014-03-26 Kaspersky Lab, ZAO Detection of hidden objects in a computer system
US20120102568A1 (en) * 2010-10-26 2012-04-26 Mcafee, Inc. System and method for malware alerting based on analysis of historical network and process activity
US8424093B2 (en) * 2010-11-01 2013-04-16 Kaspersky Lab Zao System and method for updating antivirus cache
US8555384B1 (en) 2010-12-10 2013-10-08 Amazon Technologies, Inc. System and method for gathering data for detecting fraudulent transactions
US9058607B2 (en) 2010-12-16 2015-06-16 Verizon Patent And Licensing Inc. Using network security information to detection transaction fraud
US8621637B2 (en) * 2011-01-10 2013-12-31 Saudi Arabian Oil Company Systems, program product and methods for performing a risk assessment workflow process for plant networks and systems
US8869279B2 (en) * 2011-05-13 2014-10-21 Imperva, Inc. Detecting web browser based attacks using browser response comparison tests launched from a remote source
US9003519B2 (en) 2011-05-16 2015-04-07 At&T Intellectual Property I, L.P. Verifying transactions using out-of-band devices
RU2506638C2 (ru) * 2011-06-28 2014-02-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере
US8677493B2 (en) * 2011-09-07 2014-03-18 Mcafee, Inc. Dynamic cleaning for malware using cloud technology
US8700913B1 (en) * 2011-09-23 2014-04-15 Trend Micro Incorporated Detection of fake antivirus in computers
US8646089B2 (en) * 2011-10-18 2014-02-04 Mcafee, Inc. System and method for transitioning to a whitelist mode during a malware attack in a network environment
US8595808B2 (en) * 2011-12-16 2013-11-26 Daon Holdings Limited Methods and systems for increasing the security of network-based transactions
US9306905B2 (en) * 2011-12-20 2016-04-05 Tata Consultancy Services Ltd. Secure access to application servers using out-of-band communication
CN103366119B (zh) * 2012-04-09 2016-08-03 腾讯科技(深圳)有限公司 病毒趋势异常的监控方法及装置
US8782793B2 (en) * 2012-05-22 2014-07-15 Kaspersky Lab Zao System and method for detection and treatment of malware on data storage devices
US9154517B2 (en) * 2012-06-19 2015-10-06 AO Kaspersky Lab System and method for preventing spread of malware in peer-to-peer network
US9306973B2 (en) * 2012-08-06 2016-04-05 Empire Technology Development Llc Defending against browser attacks
US20140122343A1 (en) * 2012-11-01 2014-05-01 Symantec Corporation Malware detection driven user authentication and transaction authorization
US9275221B2 (en) * 2013-05-01 2016-03-01 Globalfoundries Inc. Context-aware permission control of hybrid mobile applications
US9178900B1 (en) * 2013-11-20 2015-11-03 Trend Micro Inc. Detection of advanced persistent threat having evasion technology

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2402814C2 (ru) * 2005-04-19 2010-10-27 Майкрософт Корпорейшн Сетевые коммерческие транзакции
US8280833B2 (en) * 2008-06-12 2012-10-02 Guardian Analytics, Inc. Fraud detection and analysis
US8079085B1 (en) * 2008-10-20 2011-12-13 Trend Micro Incorporated Reducing false positives during behavior monitoring
RU2494448C1 (ru) * 2012-02-24 2013-09-27 Закрытое акционерное общество "Лаборатория Касперского" Использование защищенного устройства для обеспечения безопасной передачи данных в небезопасных сетях

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2626337C1 (ru) * 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Способ обнаружения мошеннической активности на устройстве пользователя
US11068578B2 (en) 2016-06-03 2021-07-20 Visa International Service Association Subtoken management system for connected devices
RU2634173C1 (ru) * 2016-06-24 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения приложения удалённого администрирования
RU2635275C1 (ru) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
RU2762241C2 (ru) * 2020-02-26 2021-12-16 Акционерное общество "Лаборатория Касперского" Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами

Also Published As

Publication number Publication date
US9363286B2 (en) 2016-06-07
RU2014110601A (ru) 2015-09-27
US20150269380A1 (en) 2015-09-24

Similar Documents

Publication Publication Date Title
RU2571721C2 (ru) Система и способ обнаружения мошеннических онлайн-транзакций
JP6472771B2 (ja) 不正なオンライン取引を検出するためのシステムおよび方法
RU2587423C2 (ru) Система и способ обеспечения безопасности онлайн-транзакций
US11140150B2 (en) System and method for secure online authentication
US10366218B2 (en) System and method for collecting and utilizing client data for risk assessment during authentication
US20160164861A1 (en) Methods for Fraud Detection
US20140122343A1 (en) Malware detection driven user authentication and transaction authorization
RU2584506C1 (ru) Система и способ защиты операций с электронными деньгами
RU2634174C1 (ru) Система и способ выполнения банковской транзакции
ES2937143T3 (es) Procedimiento de monitoreo y protección del acceso a un servicio en línea
EP2922265B1 (en) System and methods for detection of fraudulent online transactions
RU2666644C1 (ru) Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами
US8261328B2 (en) Trusted electronic communication through shared vulnerability
US8266704B1 (en) Method and apparatus for securing sensitive data from misappropriation by malicious software
WO2017068714A1 (ja) 不正通信制御装置および方法
EP3012771B1 (en) System and method for protecting electronic money transactions
EP3059694B1 (en) System and method for detecting fraudulent online transactions
EP2854088B1 (en) A system and method for ensuring safety of online transactions
EP3261009B1 (en) System and method for secure online authentication
US11729177B2 (en) System and method for authentication
RU2757535C2 (ru) Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам
EP3306508A1 (en) System and method for performing secure online banking transactions