CN101714272B - 一种保护银行卡号及口令不被网络钓鱼网站窃取的方法 - Google Patents
一种保护银行卡号及口令不被网络钓鱼网站窃取的方法 Download PDFInfo
- Publication number
- CN101714272B CN101714272B CN200910238401XA CN200910238401A CN101714272B CN 101714272 B CN101714272 B CN 101714272B CN 200910238401X A CN200910238401X A CN 200910238401XA CN 200910238401 A CN200910238401 A CN 200910238401A CN 101714272 B CN101714272 B CN 101714272B
- Authority
- CN
- China
- Prior art keywords
- bank
- website
- card number
- user
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种保护银行卡号及口令不被网络钓鱼网站窃取的方法,包括:在终端上建立监控装置,监控装置定期从服务器上下载更新银行信息库,实时监控用户在网页中的输入、监听系统向外发送的HTTP报文。如果用户在网页中输入了连续数字串,或系统向外发送连续数字串,在本地银行信息库中查询该串是否是银行卡号,如是卡号,查出对应的银行DNS服务器地址、其他可信网站的DNS服务器地址,向DNS服务器发送反向解析报文,判断接受卡号的网站是否属于相应域;如不属于相应域,根据用户的反馈来判断网站是否为钓鱼网站。如是钓鱼网站,阻断与该网站的连接。本发明的方法可准确有效地检测出窃取银行卡号及口令的钓鱼网站。
Description
技术领域
本发明涉及计算机网络安全领域,特别是指一种保护银行卡号及口令不被网络钓鱼网站窃取的方法。
背景技术
网络钓鱼(Phishing)是以社会工程学结合计算机技术骗取用户秘密信息(如银行卡号和口令、电子邮箱口令等)的手段。一般的做法是这样:不法分子首先建立一个网络钓鱼网站,其界面、域名往往与被冒仿的网站相似;然后通过电子邮件等形式将网络钓鱼网站的链接大量发送给因特网用户,让他们误以为这个网站是真的合法网站,欺骗用户访问这些钓鱼网站并输入他们的银行卡号和口令,如果这时用户信以为真,输入了银行卡号和口令,那么这些信息将被不法分子手获取。
除了上面的描述,还有一种称为Pharming的网络钓鱼手段。Pharming手段修改了用户使用的DNS服务器配置、DNS Cache或本地Hosts文件,当用户访问合法网站时,错误的DNS地址解析会将用户带到了非法的钓鱼网站上,从而被骗去了秘密信息。
现在的反网络钓鱼技术基本上可以分为黑名单、启发式特征判断、网页相似度评估等几种。黑名单是将已发现的网络钓鱼网站URL存储在数据库中,每当用户访问一个网站时,反网络钓鱼系统都要把这个网站的URL发送到黑名单库中去查询,从而可以得知该网站是否为钓鱼网站。启发式特征判断是通过分析已知的网络钓鱼网站,从中提取出一些特征,如:URL中有“”符号、URL中“.”比较多、网络钓鱼网站的域名注册时间较短、URL使用IP地址等,当用户访问一个网站时,反网络钓鱼软件会分析该网站是否具备钓鱼网站的特征,当匹配到的特征超过一定数量时,就判定该网站为钓鱼网站。网络相似度评估通过评估用户要访问网站与被保护网站的页面,如果相似度超过一个阈值,并且不完全相等,即认为该网站在冒仿这个被保护的网站。
目前主流的技术有一下缺点:1.黑名单技术的误报率低,但是有滞后性,无法防范黑名单库中没有的网站。2.启发式特征判断技术的误报率和漏报率较高,并且不发分子很容易用技术手段规避启发式特征判断的检测。3.网页相似度技术的计算量特别大,计算一个网页需要近1秒的时间,不适合在客户终端上检测钓鱼网站,并且这种技术的正确率依赖于文本、图片相似性识别技术,而这种技术(尤其图片相似性识别技术)目前还不够完善。4.这些技术均无法识别使用Pharming手段进行欺骗的钓鱼网站。
发明内容
据国际组织对已知网络钓鱼网站的统计分析,超过半数的网络钓鱼网站冒仿的是金融机构,目的是窃取网上银行用户的银行卡号和口令,本发明在于提供一种保护银行卡号及口令不被网络钓鱼网站窃取的方法及装置。该方法准确有效,并且可以有效的识别使用Pharming手段进行欺骗的钓鱼网站。
该方法通过一下步骤实现:
第一步:在信息服务器上建立银行信息库,内容包括:银行名称、银行DNS服务器IP地址、可接收该银行卡号的其他可信网站的DNS服务器地址(如可接收该银行卡号的第三方支付网站、电子商务网站等)、该银行所发放银行卡的卡号号段。由管理员维护此信息库,当银行信息更改时,更新信息库。
第二步:用户终端从服务器上下载银行信息库,并定期更新,保证本地银行信息库中的信息是有效的。
第三步:在用户终端上建立一个监控装置,监控装置实时监控用户是否在网页中输入银行卡号,同时监控装置监控用户终端系统是否要将银行卡号发送出去。
监控装置可以使用浏览器开发接口或操作系统开发接口等方式监控用户在浏览器中的输入,也可以修改浏览器源码,在其中加入监控接口。如果监控到用户输入了连续的数字串,且该数字串与本地银行信息库中存储的银行卡卡号段匹配,即认为用户可能输入了银行卡号。同时获取要接受该卡号的网站IP地址。
监控装置在底层监听系统向外发送的HTTP报文,如果发送的POST或GET报文中包含连续的数字串,且该数字串与本地银行信息库中存储的银行卡卡号段匹配,即认为终端可能向外发送银行卡号。通过分析IP报文的目的地址,获取要接受该卡号网站的IP地址。
记监控到的银行卡号为cardno,即要接受该卡号的网站IP地址为desip。
第四步:在银行信息库中检索卡号cardno所属银行的记录,获取对应的银行名称、银行DNS服务器地址和可信网站DNS服务器地址,记银行名称为bankname,银行DNS服务器地址为bankdns,可信网站DNS服务器地址可能有多个,分别记为trustydns_1..trustydns_n。向bankdns发送反向解析报文,查询desip是否属于该域。如果属于该域,说明这个网站是合法网上银行,对用户的操作不做任何处理,执行第三步继续监控。如果desip不属于该域,逐个向trustydns发送反向解析报文,查询desip是否属于相应域。如果属于其中一个域,说明这个网站是合法的可接收该银行卡卡号的网站,对用户操作不做任何处理。如果不属于任何一个域,执行第五步。
第五步:向用户弹出提示,询问用户是否在网上使用bankname银行的银行卡。如果用户回答否,说明用户没有在网上使用bankname银行卡,因此第三步监控到的cardno并非银行卡号,而是用户发送的正常报文中恰巧包含了与被保护银行卡号相同的内容,因此对用户的操作不做任何处理,执行第三步继续监控。如果用户回答是,说明用户以为自己在登陆bankname银行的网上银行或其他接收该行银行卡号的网站,但由于第四步的分析,desip并非bankname银行域或其他可信域的有效地址,所以可以认定desip是伪造了bankname银行的网络钓鱼网站。
第六步:如果用户访问的网站是网络钓鱼网站,向用户发出告警提示,阻止用户终端将用户的银行卡及口令信息发送出去。
本方法准确有效。由于是实时检测的,不需要等待黑名单的建立,克服了黑名单的时延性;由于银行卡号是存于数据库中的准确数据,所以克服了启发式特征判断技术误报率高的问题;由于在本地监听用户在浏览器的输入的同时也监听了底层HTTP报文,所以漏报率很低;同时,由于在银行信息库中存储了银行的DNS服务器IP地址,并获取了目标网站的IP地址,所以有效的解决了Pharming问题。
附图说明
图1.用户终端上的监控装置判断网络钓鱼网站的流程
图2.实施部署图
图3.监控装置框图
具体实施方式
该系统由信息服务器、监控装置两部分组成。信息服务器上存放银行信息库,提供下载接口,供监控装置下载。监控装置安装于用户终端上,监视用户访问的网站是否为网络钓鱼网站,防止用户的银行卡号及口令被网络钓鱼网站窃取
信息服务器:信息服务器上存放银行信息库,提供下载、管理接口,供监控装置下载。信息库由管理员维护,当银行信息更改时(如更换域名服务器地址),更新信息库。
银行信息库:由于每家银行所发放的银行卡号段都是已分配好的,因此,我们可以建立一个卡号与银行相对应的信息库。信息库中存储卡号段和银行的对应信息,包括四个字段:发卡银行名称、卡号号段、银行域名服务器地址、可接收该银行卡号的其他可信网站的DNS服务器地址(如第三方支付网站、电子商务网站等)。比如,如果Y银行的卡号范围为“111XXX-222XXX”,则Y银行的记录:发卡银行名称为“Y银行”,卡号号段为“111XXX-222XXX”,银行域名服务器IP地址为Y银行域名服务器的IP地址,如果第三方支付网站A和电子商务网站B也可以接收Y银行的卡号,A网站的DNS服务器地址为a1.a2.a3.a4,B网站的DNS服务器地址为b1.b2.b3.b4,则在Y银行记录中的可信网站DNS服务器地址字段为“a1.a2.a3.a4”和“b1.b2.b3.b4”。如果银行的卡号和口令只能由发卡行接收,则可信网站DNS服务器地址字段为空。
监控装置:监控装置安装在用户终端上,由信息同步模块、本地银行信息库、监视模块、Phishing识别模块和告警阻断模块组成。
本地银行信息库:从信息服务器上下载的银行信息库,存储于用户终端上。
信息同步模块:定期通过网络从信息服务器上更新银行信息库,保证本地信息库中的数据是实时有效的。
监视模块:监视模块有2个子模块,用户输入监视模块和底层HTTP报文监视模块。用户输入监视模块监视用户在网页中的输入,当用户输入连续的数字串时,查询本地银行信息库是否存储了该卡号的记录,如果有,即认为可能输入了卡号,同时分析出接收卡号的网页所在网站的IP地址。该模块可以使用浏览器提供的开发接口或操作系统提供的开发接口实现;如果可以修改浏览器的源码,也可以直接修改浏览器,增加对用户输入的监视功能。底层HTTP报文监视模块在底层监听用户终端向外发送的HTTP报文,当发送GET或POST请求报文时,如果其报文给服务器传送的信息中包含了连续的数字串时,查询本地银行信息库是否存储了该卡号的记录,如果有,即认为可能输入了卡号。将可疑卡号记为cardno,将发送的目的IP地址记为desip,调用Phishing识别模块分析desip是否为网络钓鱼网站。
Phishing识别模块:Phishing识别模块在本地银行信息库中检索卡号cardno所属银行的记录,获取对应的银行名称、银行DNS服务器地址和可信网站DNS服务器地址,记银行名称为bankname,银行DNS服务器地址为bankdns,可信网站DNS服务器地址为trustydns_1..trustydns_n。向bankdns发送反向解析报文,查询desip是否属于该域。如果属于该域,说明这个网站是合法网上银行,对用户的操作不做任何处理。如果desip不属于该域,逐个向每个trustydns发送反向解析报文,查询desip是否属于相应域。如果属于其中一个域,说明这个网站是合法的可接收该银行卡卡号的网站,对用户操作不做任何处理。如果不属于任何一个域,说明desip可能是网络钓鱼网站。这时,识别模块向用户弹出提示,询问用户是否在使用bankname银行的银行卡。如果用户回答否,说明用户没有在网上使用bankname银行卡,因此监视模块监控到的cardno并非银行卡号,而是用户发送的正常报文中恰巧包含了与被保护银行卡号相同的内容,因此对用户的操作不做任何处理。如果用户回答是,说明用户以为自己在登陆bankname银行的网上银行或其他接收该行银行卡号的网站,但由之前DNS反向解析的结果分析可知,desip并非bankname银行域或其他可信域的有效地址,所以可以认定desip是伪造了bankname银行的钓鱼网站,这时调用告警阻断模块,对用户进行告警,并阻止用户终端将银行卡号及口令发送出去。
告警阻断模块:向用户发出告警提示,阻断用户对网站的访问,阻止用户终端将银行卡号及口令发送出去。
本方法准确有效。由于是实时检测的,不需要等待黑名单的建立,克服了黑名单的时延性;由于银行卡号是存于数据库中的准确数据,所以克服了启发式特征判断技术误报率高的问题;由于在本地监听用户在浏览器的输入的同时也监听了底层HTTP报文,所以漏报率很低;同时,由于在银行信息库中存储了银行的DNS服务器IP地址,并获取了目标网站的IP地址,所以有效的解决了Pharming问题。
对于本发明各个实施例中所阐述的方法,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (1)
1.一种保护银行卡号及口令不被网络钓鱼网站窃取的方法,其特征在于,包括:
在信息服务器上建立银行信息库,存储:银行名称、银行DNS服务器IP地址、可接受该银行卡号的其他可信网站的DNS服务器IP地址、该银行所发放银行卡的卡号号段,在用户终端上安装监控装置,监控装置定期从信息服务器更新银行信息库,
监控装置实时监控用户是否在浏览器中输入银行卡号或口令,同时监控装置实时监控终端系统是否要将银行卡号发送出去,
如果所述监控装置监控到用户正在浏览器中输入银行卡号,或终端系统要将银行卡号发送出去,所述监控装置获取该银行卡号和要接收该卡号的网站IP地址,同时在本地银行信息库中查询该卡号发卡行的DNS服务器IP地址和可接受该银行卡号的其他可信网站的DNS服务器IP地址,然后所述监控装置向发卡行网站的DNS服务器发送查询报文,查询接收卡号的网站的IP地址是否是该行的有效地址,向可接受该银行卡号的其他可信网站的DNS服务器发送查询报文,查询接收卡号的网站的IP地址是否是相应域的有效地址,
如果接收卡号的IP地址既不是发卡行的IP地址,也不是可接受该银行卡号的其他可信网站的IP地址,所述监控装置向用户询问是否在使用该行银行卡,如果用户回答是,则用户访问的网站为钓鱼网站,这时所述监控装置阻断用户对该网站的访问、阻断终端系统向该网站发送的报文;
所述监控装置实时监控用户是否在浏览器中输入银行卡号或口令的步骤为:监控装置能够使用浏览器开发接口或操作系统开发接口监控用户在浏览器中的输入,也能够修改浏览器源码,在其中加入监控接口以监控用户在浏览器中的输入,如果输入了连续的数字串,且该数字串与本地银行信息库中存储的银行卡卡号段匹配,即认为用户可能输入了银行卡号;所述监控装置实时监控终端系统是否要将银行卡号发送出去的步骤为:用户终端上的监控装置在底层监听终端系统向外发送的HTTP报文,如果发送的POST或GET报文中包含连续的数字串,且该数字串与本地银行信息库中存储的银行卡卡号段匹配,即认为终端系统可能向外发送银行卡号;
所述如果所述监控装置监控到用户正在浏览器中输入银行卡号,或终端系统要将银行卡号发送出去,所述监控装置获取该银行卡号和要接收该卡号的网站IP地址的步骤为:当监控到用户在浏览器中输入银行卡号时,能够使用浏览器开发接口或操作系统开发接口、或直接通过修改浏览器源码、或通过分析接收卡号的网页的源码来获取要接受卡号的网站的IP地址;当监控到终端系统向外发送银行卡号时,通过分析IP报文的目的地址,能够获取要接受卡号的网站的IP地址;
所述监控装置向发卡行网站的DNS服务器发送查询报文,查询接收卡号的网站的IP地址是否是该行的有效地址的步骤为:监控装置向DNS服务器发送反向DNS解析报文,查询要接收银行卡号的IP地址是否属于该域,如果属于该域,则用户访问的网站不是钓鱼网站;
所述向可接受该银行卡号的其他可信网站的DNS服务器发送查询报文,查询接收卡号的网站的IP地址是否是相应域的有效地址的步骤为:监控装置向每个其他可信网站的DNS服务器发送反向DNS解析报文,查询要接收银行卡号的IP地址是否属于该域,如果属于其中一个域,则用户访问的网站不是钓鱼网站;
所述如果接收卡号的IP地址既不是发卡行的IP地址,也不是可接受该银行卡号的其他可信网站的IP地址,所述监控装置向用户询问是否在使用该行银行卡,如果用户回答是,则用户访问的网站为钓鱼网站,这时所述监控装置阻断用户对该网站的访问、阻断终端系统向该网站发送的报文的步骤为:当监控装置查询到要接收银行卡号的IP地址不属于发卡行网站的域,并且也不属于任何一个可接受该银行卡号的其他可信网站的域,则向用户询问是否在使用该行银行卡,如果用户回答是,则该用户访问的网站为钓鱼网站,这时监控装置阻断用户对该网站的访问、阻断终端系统向该网站发送的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910238401XA CN101714272B (zh) | 2009-11-19 | 2009-11-19 | 一种保护银行卡号及口令不被网络钓鱼网站窃取的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910238401XA CN101714272B (zh) | 2009-11-19 | 2009-11-19 | 一种保护银行卡号及口令不被网络钓鱼网站窃取的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101714272A CN101714272A (zh) | 2010-05-26 |
| CN101714272B true CN101714272B (zh) | 2011-12-07 |
Family
ID=42417881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910238401XA Expired - Fee Related CN101714272B (zh) | 2009-11-19 | 2009-11-19 | 一种保护银行卡号及口令不被网络钓鱼网站窃取的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101714272B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761500B (zh) * | 2011-04-26 | 2015-07-29 | 国基电子(上海)有限公司 | 防御网络钓鱼的网关及方法 |
| CN102780686A (zh) * | 2011-05-13 | 2012-11-14 | 中国银联股份有限公司 | 一种基于可信资源保护银行用户信息的方法和装置 |
| CN102231745A (zh) * | 2011-07-08 | 2011-11-02 | 盛大计算机(上海)有限公司 | 一种网络应用的安全系统及方法 |
| CN102299918A (zh) * | 2011-07-08 | 2011-12-28 | 盛大计算机(上海)有限公司 | 一种网络交易安全系统及方法 |
| CN102664874B (zh) * | 2012-03-29 | 2016-08-03 | 北京奇虎科技有限公司 | 一种安全登陆的方法和系统 |
| CN103516693B (zh) * | 2012-06-28 | 2017-10-24 | 中国电信股份有限公司 | 鉴别钓鱼网站的方法与装置 |
| US9756669B2 (en) * | 2012-11-14 | 2017-09-05 | General Motors Llc | Method of establishing a mobile-terminated packet data connection |
| CN103905394B (zh) * | 2012-12-27 | 2018-09-07 | 腾讯科技(深圳)有限公司 | 一种保护用户信息的方法和装置 |
| EP3079326B1 (en) * | 2013-12-25 | 2020-10-28 | Huawei Technologies Co., Ltd. | Network payment method, apparatus and system |
| EP3125147B1 (en) * | 2015-07-27 | 2020-06-03 | Swisscom AG | System and method for identifying a phishing website |
| CN107347050B (zh) * | 2016-05-05 | 2019-12-20 | 腾讯科技(深圳)有限公司 | 基于反向钓鱼的恶意识别方法和装置 |
| CN110784462B (zh) * | 2019-10-23 | 2020-11-03 | 北京邮电大学 | 基于混合方法的三层钓鱼网站检测系统 |
-
2009
- 2009-11-19 CN CN200910238401XA patent/CN101714272B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101714272A (zh) | 2010-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101714272B (zh) | 一种保护银行卡号及口令不被网络钓鱼网站窃取的方法 | |
| AU2019219712B9 (en) | System and methods for identifying compromised personally identifiable information on the internet | |
| Varshney et al. | A survey and classification of web phishing detection schemes | |
| Yang et al. | How to learn klingon without a dictionary: Detection and measurement of black keywords used by the underground economy | |
| CN109690547A (zh) | 用于检测在线欺诈的系统和方法 | |
| US20110055922A1 (en) | Method for Detecting and Blocking Phishing Attacks | |
| CN102045319B (zh) | Sql注入攻击检测方法及其装置 | |
| CN104767757A (zh) | 基于web业务的多维度安全监测方法和系统 | |
| CN103853841A (zh) | 一种社交网用户异常行为的分析方法 | |
| CN104426850A (zh) | 基于插件的漏洞检测方法 | |
| Dong et al. | Defending the weakest link: phishing websites detection by analysing user behaviours | |
| CN103368957A (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| US20190132337A1 (en) | Consumer Threat Intelligence Service | |
| Naresh et al. | Intelligent phishing website detection and prevention system by using link guard algorithm | |
| CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
| Kayode-Ajala | Applying Machine Learning Algorithms for Detecting Phishing Websites: Applications of SVM, KNN, Decision Trees, and Random Forests | |
| Kara et al. | Characteristics of understanding urls and domain names features: the detection of phishing websites with machine learning methods | |
| Ahmed et al. | PhishCatcher: Client-Side Defense Against Web Spoofing Attacks Using Machine Learning | |
| Bulakh et al. | Countering phishing from brands' vantage point | |
| Thaker et al. | Detecting phishing websites using data mining | |
| Rahman et al. | Classification of spamming attacks to blogging websites and their security techniques | |
| Bashir et al. | The Fuzzy Experiment Approach for Detection and Prevention of Phishing attacks in online Domain | |
| Gupta et al. | A review study on phishing attack techniques for protecting the attacks | |
| Aljahdalic et al. | URL filtering using machine learning algorithms | |
| Nirmal et al. | Enhancing online security using selective DOM approach to counter phishing attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111207 Termination date: 20171119 |