CN108476222A - 钓鱼攻击的检测和减轻 - Google Patents
钓鱼攻击的检测和减轻 Download PDFInfo
- Publication number
- CN108476222A CN108476222A CN201780004693.3A CN201780004693A CN108476222A CN 108476222 A CN108476222 A CN 108476222A CN 201780004693 A CN201780004693 A CN 201780004693A CN 108476222 A CN108476222 A CN 108476222A
- Authority
- CN
- China
- Prior art keywords
- webpage
- protected
- phishing attack
- phishing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文公开了一种边缘服务,其执行反钓鱼攻击功能,以检测并减轻钓鱼攻击。在实现方式中,边缘服务针对包括指向网页的链接的任何电子邮件对传入的电子邮件进行检查。当遇到这样的电子邮件时,边缘服务打开可疑网页并将其与至少一个受保护页面进行比较。当通过比较的(多个)结果得到保证时,边缘服务采取步骤来减轻钓鱼攻击,例如,通过不将电子邮件递送给收件人。
Description
背景技术
在黑客尝试获得敏感用户信息的许多方式中,钓鱼攻击已变得非常普遍且具有破坏性。钓鱼攻击是恶意实体通过在电子通信中伪装成可信赖的实体来获取敏感信息的尝试。例如,最终用户可能接收到似乎来自可信源但实际上来自不可信赖的源的电子邮件。另外,电子邮件可能索取来自用户的用户名、密码、财务信息、秘密或其他信息,然后使用这些信息非法访问用户账户。
常见的钓鱼技术是在电子邮件或其他此类数字通信(例如,即时消息、社交网络帖子或微博客帖子)中包括统一资源定位符(URL)链接。点击该URL可能打开看起来像可信的用户入口点但实际上是从不同的位置提供服务的网页或应用。例如,网页可以是企业登录页面的复制品,并且钓鱼页面与合法页面之间的任何差异都可能被用户忽略。因此,用户可能无意中将他或她的登录凭证提供给攻击背后的恶意行动者。
钓鱼攻击可能从个人和商业角度对其受害者造成巨大损害。从更技术的角度,钓鱼攻击可能导致设备和基础设施的损坏、停机时间的浪费以及昂贵的维修和/或更换。高效地应对甚至阻止任何类型的恶意攻击所需的计算和通信资源是巨大的,并且拖累系统以及运行在其上的软件和服务的性能。在规模较小时,恶意攻击可能导致设备受损和设备性能不佳。
发明内容
本文公开了反钓鱼技术,其改进了对钓鱼攻击的检测和减轻。在实现方式中,由边缘服务针对可能包含指向网页的网络链接的电子邮件对传入的电子邮件进行检查。当遇到包括此类链接的电子邮件时,将检索网页并与受保护网页进行比较,以确定电子邮件是否表示发生了钓鱼攻击。如果是,则采取步骤以减轻对受保护页面的攻击,例如,通过删除电子邮件或以其他方式阻止将其递送给收件人。
提供此发明内容以便以简化的形式介绍将在下面的具体实施方式中进一步描述的概念的选择。可以理解,此发明内容不旨在识别所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
附图说明
参考以下附图可以更好地理解本公开的许多方面。虽然结合这些附图描述了若干实现方式,但是本公开不限于本文公开的实现方式。相反,旨在涵盖所有替代方案、修改方案和等同方案。
图1示出了增强型钓鱼攻击检测和减轻的实现方式。
图2示出了实现方式中的反钓鱼进程。
图3示出了增强型钓鱼检测和减轻的实现方式中的操作序列。
图4示出了增强型钓鱼攻击检测和减轻的另一实现方式。
图5示出了实现方式中的反钓鱼进程。
图6示出了增强型钓鱼检测和减轻的实现方式中的操作序列。
图7同样示出了增强型钓鱼攻击检测和减轻的实现方式。
图8示出了实现方式中的反钓鱼进程。
图9示出了适用于实现本文公开的反钓鱼技术的计算系统,包括在附图中示出并且在下面的具体实施方式中讨论的架构、元件、进程以及操作场景和序列中的任一个。
具体实施方式
本文公开了用于检测和减轻钓鱼攻击的技术。恶意黑客经常通过假冒电子邮件使其看起来好像是从内部源到达的,将链接放入邮件中,并且然后使链接将用户引导至看起来很像其典型的登录页面或其他敏感属性的网站、应用或其他资源来收集用户名和密码。
在或云服务中,本文设想了端边缘服务,其可以通过在电子邮件进入时在周边“引爆”电子邮件中的链接来防止该活动。边缘服务查找类似于登录页面的链接目的地(无论它们是内部页面还是外部页面),联合页面还是非联合页面,或者甚至是个人用户的登录页面。
边缘服务通过识别钓鱼攻击并防止可能导致的对资源的直接和长期损害来实现技术效果。例如,当钓鱼攻击受挫时,资源可以被保留,因为最终用户不需要经过以下过程:获取新凭证、修复损坏和以其他方式采取正确步骤来修复攻击造成的无论何种损害。总而言之,个人和企业同样节约这种攻击可能导致的运行停机时间。
参考图1,在反钓鱼技术的实施例中示出了实现方式100。实现方式100涉及电子邮件服务101、邮箱103和边缘服务105。边缘服务105提供关于电子邮件服务101和潜在的任何其他在线服务的反钓鱼功能。边缘服务105可以在图9中的计算系统901表示的一个或多个计算系统(物理的、虚拟的或其任何组合)上实现。
邮箱103表示其中托管与客户端相关联的电子邮件的数据存储库。客户端111、客户端113和客户端115表示与电子邮件服务101通信以发送、接收和以其他方式访问用户邮箱的内容的电子邮件客户端。
边缘服务105包括页面数据库107,该页面数据库107存储由页面108、页面109和页面110表示的受保护网页的实例。页面108、109和110对应于边缘服务105免受钓鱼攻击的属性。例如,页面108对应于由服务器125托管的网页126。
在操作中,边缘服务105采用图2中的反钓鱼进程200来保护最终用户和站点免受钓鱼攻击。作为示例,服务器125托管关于基于电子邮件的钓鱼攻击受边缘服务105保护的网站。相反,服务器123托管不受保护的网站,而服务器121托管钓鱼站点,如下面更详细解释的。
附带参考图2中所示的步骤,边缘服务105针对诸如URL的网络链接的存在对传入的电子邮件进行检查(步骤201)。如果电子邮件包括这样的链接,则链接被边缘服务105“引爆”(步骤203)。引爆链接可以包括例如从其网络位置请求网站或其他此类资源。一旦网页被下载,则边缘服务105将该网页与一个或多个受保护页面进行比较(步骤205)。其他资源的示例包括移动应用、电话号码(或启动互联网电话呼叫或视频聊天的URL)或用户可能通过其提供识别信息和其他敏感信息的任何其他类型的资源。
根据比较的结果,如果安全则可以将电子邮件递送到邮箱(步骤207),或者如果电子邮件被认为是钓鱼攻击则采取步骤以便减轻(步骤209)。比较的结果可能表明这两个页面是相同或相似的,在这种情况下,电子邮件被认为是攻击(假定该URL指代针对受保护页面、应用或其他这样的资源的有效位置以外的位置)。在一些情况下,比较可能表明这两个页面足够不同,以至于电子邮件不表示对受保护站点的攻击。
图3示出了关于实现方式100的操作序列300。首先,边缘服务105接收电子邮件131,处于示例性目的,可以假定电子邮件131表示钓鱼攻击。电子邮件131包括链接132(URL-X),其解析到服务器121和网页122。边缘服务105引爆链接132,意味着其检索与链接相关联的资源或网页122。边缘服务105然后将网页122与页面数据库中的一个或多个受保护页面进行比较。在该示例中,将网页122与页面108进行比较,并且由于它们的相似性,导致电子邮件131被指定为发生钓鱼攻击。阻止将电子邮件131递送到收件人/邮箱。
边缘服务105接下来接收包括链接134的电子邮件133。链接134(URL-Y)链接到服务器123和网页124。边缘服务105引爆链接(即使网页124不是受保护页面)并下载网页124。对网页124与页面数据库107中的页面中的任何一个或多个页面进行比较导致电子邮件133被指定为安全的或者至少不是钓鱼攻击。电子邮件133因此被提供给电子邮件服务101,以供递送到邮箱。
图4示出了反钓鱼技术的另一实现方式400。实现方式400涉及受边缘服务405保护的电子邮件服务401。电子邮件服务401包括邮箱403,其表示存储电子邮件以供电子邮件客户端消费的邮箱。客户端415表示用户(例如,用户416)可以在发送、接收和阅读电子邮件的上下文中与之交互的一个这样的客户端。
边缘服务405包括页面数据库407,其中存储受保护网页的副本,受保护网页的示例由页面408、页面409和页面410提供。边缘服务405可以在图9中的计算系统901表示的一个或多个计算系统(物理的、虚拟的或其任何组合)上实现。
实现方式400还涉及表示可以托管受保护网站的服务的服务器425。服务器425由边缘服务405在检查传入的电子邮件时隐式地保护,但也受其自己的边缘服务——边缘服务427保护。边缘服务427与边缘服务405协作以挫败恶意行动者的钓鱼攻击。特别地,边缘服务405采用反钓鱼进程500来保护最终用户和站点免受钓鱼攻击。作为示例,服务器421表示托管钓鱼站点的服务器,用户可能通过该钓鱼站点无意地提供诸如登录凭证、财务信息、公司秘密、个人识别信息等的敏感账户信息。
附带参考图5中所示的步骤,边缘服务405针对诸如URL的网络链接的存在对传入的电子邮件进行检查(步骤501)。如果电子邮件包括这样的链接,则链接被边缘服务405引爆(步骤503)。引爆链接导致边缘服务405从其网络位置下载网页,此时将该网页与一个或多个受保护页面进行比较,以确定它们是否足够相似使得电子邮件可以被指定为钓鱼攻击(步骤505)。如果页面不够相似,则可以将电子邮件提供给电子邮件服务401以供递送给收件人(步骤507)。如果页面非常相似,则电子邮件可能被视为“是钓鱼”,并且采取步骤来减轻潜在的钓鱼攻击。
例如,可以阻止电子邮件(步骤509)。这可以由边缘服务405在电子邮件服务401的外部发生,使得电子邮件甚至不会到达电子邮件系统。在其他实现方式中,可以将电子邮件提供给电子邮件服务401以用于其他安全处理,例如,将电子邮件置于隔离位置、置于垃圾邮件文件夹中或置于某个其他位置。电子邮件服务401可以简单地删除电子邮件和/或将其编入目录以供稍后调查。
除了阻止或以其他方式减轻攻击之外,边缘服务405通过提供跟踪凭证以通过可疑网页(网页422)如同客户端415或任何其他最终用户已经打开该链接一样来执行反击(步骤511)。可以向与受保护站点相关联的运营商或其他实体提供相同的跟踪凭证(步骤513)。受保护的实体或其代理然后可以监视使用跟踪凭证进行登录的任何稍后尝试。这种尝试可能被阻止,但在其他情形中,尝试可能被允许。使用跟踪凭证的恶意行动者可以被允许进入受保护站点的安全区域(或转移到另一站点)并且电子地询问可能有助于打败其他攻击的信息。例如,可以学习与攻击者相关联的互联网协议(IP)地址以及其他识别特征。
可以执行的其他减轻步骤包括从电子邮件被递送到的任何其他邮箱中移除电子邮件,向管理功能报告电子邮件,以及向管理功能报告有多少收件人点击URL。
图6示出了关于实现方式400的操作序列600。在操作序列600中,边缘服务405接收由电子邮件431表示的电子邮件。边缘服务405查看电子邮件以确定其是否包括链接,该电子邮件确实包括:指向URL-A的链接432。边缘服务405使用链接432从服务器421检索网页422,并且将其与页面数据库407中的页面中的一个或多个页面(包括页面408)进行比较。
当网页422被确定为与页面408相似时,边缘服务405将电子邮件431指定为钓鱼攻击并且采取步骤来阻止电子邮件。另外,边缘服务405向服务器421提交跟踪凭证。例如,边缘服务405模仿登录,如同最终用户响应于钓鱼攻击而无意地提供他或她的凭证一样。边缘服务405还向边缘服务427提供跟踪凭证。向前移动,边缘服务427可以监视利用跟踪凭证登录到服务器425的秘密尝试。
图7示出了实施例中的反钓鱼技术的另一实现方式700。实现方式700包括边缘服务701,其保护多租户服务702中的各种属性。边缘服务701可以在图9中的计算系统901表示的一个或多个计算系统(物理的、虚拟的或其任何组合)上实现。
多租户服务702包括诸如生产力服务703、电子邮件服务705和通信服务707之类的在线服务的集合。来自的是多租户服务的示例,其托管个人租户的各种在线租用。多租户服务702还可以与个人用户进行交流。
作为示例,多租户服务702可以向企业(例如,Acme公司)提供电子邮件、文档存储和生产力服务。与Acme相关联的员工或其他人员可以利用客户端应用登录到多租户服务702。客户端731表示一个这样的应用并且与用户732相关联。
访问服务709是多租户服务702中的层,其提供关于客户端访问请求的访问功能。包括在由访问服务709提供的功能中的是头版或主页功能,其中当最终用户导航到与多租户服务702相关联的URL时,将特定主页提供给最终用户。该URL可以是诸如URL-A.com之类的全局名称,或者其可以是仍然解析到多租户服务702的租户特定的URL。
当用户登录到多租户服务702时,可以向用户呈现其企业的特定登录页面。例如,提供客户端731并向用户732呈现网页711。网页711可以是为Acme公司定制的登录页面。用户732通过网页711提供他或她的登录凭证,然后由处理用户认证和/或授权的一些方面的活动目录服务710检查登录凭证。假定用户请求是有效的,则访问被准许由多租户服务702提供的各种服务。
多租户服务702还支持联合布置,由此租户企业处理认证和/或授权。作为示例,Contoso公司通过在企业服务721中运行的活动目录服务729的方式来处理其自己的授权和/或认证。因此,当用户尝试通过访问服务709登录到多租户服务时,从访问服务709将Contoso的主页提供给用户,但是他们的凭证由活动目录服务729进行检查。例如,向与客户端733相关联的用户734呈现Contoso的网页713,他或她通过该网页713来提供登录凭证。凭证被传送到活动目录服务710,活动目录服务710可以(或可以不)对用户进行认证和/或授权。
边缘服务701采用反钓鱼进程800来保护租户及其最终用户免受钓鱼攻击。作为示例,服务器741和服务器743表示托管钓鱼站点的服务器,用户可能通过该钓鱼站点无意地提供敏感账户信息,例如,登录凭证等。出于说明的目的,假定服务器741托管与Acme的登录页面(网页711)相对应的网页742,而服务器743托管不与多租户服务702中的任何属性相对应的网页744。相反,网页744可以对应于外部网站,例如,社交网络或电子商务服务的登录页面。
附带参考图8中所示的步骤,边缘服务701针对诸如URL的网络链接的存在对传入的电子邮件进行检查(步骤801),并且检索与该URL相关联的资源(步骤803)。边缘服务701还识别哪个受保护的资源或多个资源可能受电子邮件中的网络链接影响(步骤805)。
识别适当的资源可以包括基于与传入的电子邮件的收件人相关联的域或租用来选择受保护的资源。例如,如果收件人是Acme员工,则网页711将被识别为受保护的源,而如果收件人是Contoso员工,则网页713将被识别为受保护的资源。可以识别多个受保护的资源,尤其是当传入的电子邮件存在多个收件人时。
受保护的资源还可以基于对电子邮件中的URL中的字符串的分析来识别。例如,如果URL包括与已知且有效的URL大致相同(但不完全相同)的字符串,则与有效URL相关联的网页可以被识别为受保护的资源。
使用社交网络作为示例,其登录页面URL可以是www.socialnetwork.com/login。传入的电子邮件可能包括大致相同但略有不同的URL(例如www.socialnetwerk.com/login)。当这种URL存在于传入的电子邮件中时,边缘服务701将认识到该URL是社交网络的有效URL的粗略近似。因此,边缘服务701将检索社交网络的有效登录页面以与由可疑URL返回的无论何种网页进行比较。
可替代地或者除了上述技术之外,边缘服务701可以维护总是被指定为受保护页面的预定的一组网页。例如,高流量社交联网站点、电子商务站点或任何其他预定站点的登录页面(或其他页面)可以包括在被认为受保护的一组页面中,并且因此用于与潜在可疑网页进行比较。
一旦识别出受保护页面或多个页面,则边缘服务701将受传入的电子邮件中的URL影响的下载页面与受保护页面中的每个页面进行比较(步骤807)。如果页面足够不相似,则电子邮件被认为是安全的,允许相关联的资源(步骤809)。如果页面相同或足够相似,则电子邮件被认为“是钓鱼”并且潜在攻击被减轻(步骤811)。例如,电子邮件可能被阻止、隔离或以其他方式防止递送。
边缘服务701还可以是能够通过提供跟踪凭证以通过可疑网页来执行反击的。可以将相同的跟踪凭证提供给与受保护站点相关联的运营商或其他实体,例如,社会网络或电子商务站点的运营商。受保护实体或其代理然后可以监视使用跟踪凭证进行登录的任何稍后尝试,并且可以采取进一步的措施来减轻相同或其他的恶意攻击。
在操作示例中参考实现方式700,边缘服务701接收由电子邮件751、电子邮件753和电子邮件755表示的各种传入的数字项目。电子邮件751包括具有URL-X的链接752;电子邮件753包括具有URL-Y的链接754;并且电子邮件755包括具有URL-Z的链接756。除电子邮件之外,诸如文档、即时消息和博客帖子之类的其他类型的数字内容也可以由边缘服务701处理。边缘服务701还可以是能够检查电子邮件附件的。
边缘服务701引爆链接752,这导致网页742从服务器741下载,因为URL-X解析到该站点。可以假定电子邮件751包括用户732作为收件人。因此,将网页742与网页711(Acme人员的登录页面)进行比较。由于这两个页面相同或大部分相似,因此电子邮件751被视为钓鱼攻击并被阻止或以其他方式减轻。以这种方式,防止用户732无意地将他或她的凭证提供给与钓鱼站点相关联的恶意行动者740。
电子邮件753中的链接754可以被引爆,但是可能不影响受保护页面。例如,URL-Y可能解析到与任何租户登录页面或任何其他受保护页面不具有相似之处的无害网站。因此,电子邮件753可以传递通过电子邮件服务705或任何其他服务。
电子邮件755中的链接756也被引爆并且导致下载网页744。由于网页744与Contoso的登录页面(网页713)相同或足够相似,所以可以认为电子邮件755是钓鱼攻击。该消息可以被删除、防止递送或以其他方式减轻。
图9示出了计算系统901,其表示其中可以实现本文公开的各种应用、服务、场景和进程的任何系统或系统集合。计算系统901的示例包括但不限于服务器计算机、机架服务器、web服务器、云计算平台和数据中心设备,以及任何其他类型的物理或虚拟服务器机器、容器以及其任何变型或组合。其他示例可以包括智能电话、笔记本计算机、平板计算机、台式计算机、混合计算机、游戏机、虚拟现实设备、智能电视、智能手表和其他可穿戴设备以及其任何变型或组合。
计算系统901可以被实现为单个装置、系统或设备,或者可以以分布式方式实现为多个装置、系统或设备。计算系统901包括但不限于处理系统902、存储系统903、软件905、通信接口系统907和用户接口系统909。处理系统902可操作地与存储系统903、通信接口系统907和用户接口系统909耦合。
处理系统902从存储系统903加载并执行软件905。软件905包括反钓鱼进程906,其表示关于前面的图1-8所讨论的进程,包括反钓鱼进程200、500和800。当由处理系统902执行以检测并减轻钓鱼攻击时,软件905引导处理系统902如本文描述地至少针对前述实现方式中讨论的各种进程、操作场景和序列进行操作。计算系统901可以可选地包括出于简洁目的而没有讨论的附加设备、特征或功能。
仍然参照图9,处理系统902可以包括从存储系统903取回并执行软件905的微处理器和其他电路。处理系统902可以在单个处理设备内实现,但是也可以跨协作执行程序指令的多个处理设备或子系统分布。处理系统902的示例包括通用中央处理单元、专用处理器和逻辑器件以及任何其他类型的处理设备、其组合或变型。
存储系统903可以包括能够由处理系统902读取并且能够存储软件905的任何计算机可读存储介质。存储系统903可以包括以任何方法或技术实现用于存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的信息的易失性和非易失性、可移除和不可移除介质。存储介质的示例包括随机存取存储器、只读存储器、磁盘、光盘、闪速存储器、虚拟存储器和非虚拟存储器、磁盒、磁带、磁盘存储装置或其他磁存储设备或者任何其他合适的存储介质。在任何情况下,计算机可读存储介质都不是传播信号。
除了计算机可读存储介质之外,在一些实现方式中,存储系统903还可以包括计算机可读通信介质,软件905中的至少一些可以通过该计算机可读通信介质在内部或外部传送。存储系统903可以被实现为单个存储设备,但是也可以跨同地协作或相对于彼此分布的多个存储设备或子系统来实现。存储系统903可以包括能够与处理系统902或可能其他系统通信的附加元件,例如,控制器。
软件905可以在程序指令中并且在其他功能之中实现,软件905当由处理系统902执行时,可以引导处理系统902如关于本文所示的各种操作场景、序列和进程描述地进行操作。例如,软件905可以包括用于实现边缘服务(例如,边缘服务105、405和701)的程序指令。
特别地,程序指令可以包括协作或以其他方式交互以执行本文描述的各种进程和操作场景的各种组件或模块。各种组件或模块可以以编译或解释指令来体现,或以指令的某种其他变型或组合来体现。各种组件或模块可以以同步或异步方式,串行或并行地,在单线程环境或多线程中,或根据任何其他合适的执行范例、其变型或组合来执行。除了反钓鱼进程906之外或包括反钓鱼进程906,软件905可以包括附加的进程、程序或组件,例如,操作系统软件、虚拟机软件或其他应用软件。软件905还可以包括固件或者某种其他形式的处理系统902可执行的机器可读处理指令。
通常,软件905在被加载到处理系统902中并执行时,可以将(计算系统901表示的)合适的装置、系统或设备整体地从通用计算系统转换成被定制为促进钓鱼攻击检测和减轻的专用计算系统。事实上,在存储系统903上编码软件905可以转换存储系统903的物理结构。物理结构的特定转换可以取决于本说明书的不同实现方式中的各种因素。这些因素的示例可以包括但不限于:用于实现存储系统903的存储介质的技术,以及计算机存储介质是被表征为主要存储还是次要存储,以及其他因素。
例如,如果计算机可读存储介质被实现为基于半导体的存储器,则软件905可以在程序指令在其中被编码时转换半导体存储器的物理状态,例如,通过转换晶体管、电容器或构成半导体存储器的其他分立电路元件的状态。关于磁性或光学介质可能发生相似的转换。在不脱离本说明书的范围的情况下,对物理介质的其他转换是可能的,其中提供前述示例仅用于促进本讨论。
通信接口系统907可以包括允许通过通信网络(未示出)与其他计算系统(未示出)进行通信的通信连接和设备。一起允许系统间通信的连接和设备的示例可以包括网络接口卡、天线、功率放大器、RF电路、收发器和其他通信电路。连接和设备可以通过通信介质进行通信以与其他计算系统或系统网络交换通信,例如,金属、玻璃、空气或任何其他合适的通信介质。前述介质、连接和设备是公知的,并且不需要在这里详细讨论。
用户接口系统909是可选的并且可以包括键盘、鼠标、语音输入设备、用于接收来自用户的触摸手势的触摸输入设备、用于检测用户的非触摸手势和其他运动的运动输入设备以及能够接收来自用户的用户输入的其他可类比的输入设备和相关联的处理元件。诸如显示器、扬声器、触觉设备和其他类型的输出设备之类的输出设备也可以包括在用户接口系统909中。在一些情况下,输入设备和输出设备可以组合在单个设备中,例如,能够显示图像并接收触摸手势的显示器。前述用户输入设备和输出设备在本领域中是公知的,并且不需要在这里详细讨论。
用户接口系统909还可以包括能够由处理系统902执行以支持上面讨论的各种用户输入设备和输出设备的相关联的用户接口软件。单独地或者与彼此以及其他硬件元件和软件元件结合地,用户接口软件和用户接口设备可以支持图形用户接口、自然用户接口或任何其他类型的用户接口。
计算系统901与其他计算系统(未示出)之间的通信可以通过通信网络或多个通信网络并且根据各种通信协议、协议的组合或其变型来发生。示例包括内联网、互联网、因特网、局域网、广域网、无线网络、有线网络、虚拟网络、软件定义网络、数据中心总线、计算背板或任何其他类型的网络、网络的组合或其变型。前述通信网络和协议是公知的,并且不需要在这里详细讨论。然而,可以使用的一些通信协议包括但不限于因特网协议(IP、IPv4、IPv6等)、传输控制协议(TCP)和用户数据报协议(HDP)以及任何其他合适的通信协议、其变型或组合。
在其中交换数据、内容或任何其他类型的信息的前述示例中的任一示例中,对信息的交换可以根据以下各种协议中的任一种发生:包括FTP(文件传输协议)、HTTP(超文本传输协议)、REST(表示状态传输)、WebSocket、DOM(文档对象模型)、HTML(超文本标记语言)、CSS(级联样式表)、HTML5、XML(可扩展标记语言)、JavaScript、JSON(JavaScript对象符号)和AJAX(异步JavaScript和XML)以及任何其他合适的协议、其变型或组合。
从前述公开内容可以理解某些发明方面,其中以下是各种示例。
示例1.一种用于减轻钓鱼攻击的方法,该方法包括:在电子邮件系统中接收旨在用于收件人邮箱的电子邮件;针对包括在电子邮件中的、指向网页的网络链接对电子邮件进行检查;响应于在电子邮件中遇到包括指向网页的网络链接的一个电子邮件,使用网络链接对网页进行检索;至少部分地基于对网页与受保护网页的比较,确定该个电子邮件是否包括至少针对受保护网页的钓鱼攻击的发生;以及响应于钓鱼攻击的发生,减轻针对受保护网页的钓鱼攻击。
示例2.示例1的方法,其中,受保护网页包括网站的登录页面,并且其中,减轻针对受保护网页的钓鱼攻击包括向网页提交跟踪凭证。
示例3.示例1-2的方法,其中,减轻针对受保护网页的钓鱼攻击还包括对利用跟踪凭证来访问网站的尝试进行监视。
示例4.示例1-3的方法,其中,减轻针对受保护网页的钓鱼攻击包括阻止该个电子邮件被递送到收件人邮箱。
示例5.示例1-4的方法,还包括基于该个电子邮件的多个特性中的至少一个特性,从一组受保护网页中选择受保护网页。
示例6.示例1-5的方法,其中,对网页的比较包括用于确定网页与受保护网页的相似程度的相似度分析。
示例7.示例1-6的方法,其中,比较产生指示网页与受保护网页之间的相似度水平的相似度度量。
示例8.一种计算装置,包括:一种或多种计算机可读存储介质;处理系统,其可操作地耦合到该一种或多种计算机可读存储介质;以及程序指令,其存储在该一种或多种计算机可读存储介质上用于减轻钓鱼攻击,该程序指令在由处理系统执行时引导处理系统至少进行以下操作:当在电子邮件系统中旨在用于收件人邮箱的电子邮件到达时,针对包括在电子邮件中的、指向网页的网络链接对电子邮件进行检查;响应于在电子邮件中遇到包括指向网页的网络链接的一个电子邮件,对网页进行检索;执行对网页与受保护网页的比较,以确定该个电子邮件是否包括针对受保护网页的钓鱼攻击的发生;以及响应于钓鱼攻击的发生,减轻针对受保护网页的钓鱼攻击。
示例9.示例8的计算装置,其中,受保护网页包括网站的登录页面,并且其中,减轻针对受保护网页的钓鱼攻击包括向网页提交跟踪凭证。
示例10.示例8-9的计算装置,其中,减轻针对受保护网页的钓鱼攻击还包括对利用跟踪凭证来访问网站的尝试进行监视。
示例11.示例8-10的计算装置,其中,减轻对受保护网页的钓鱼攻击包括:阻止该个电子邮件被递送到收件人邮箱,将该个电子邮件从其被递送到的任何其他邮箱中移除,向管理功能报告该个电子邮件,以及向管理功能报告有多少收件人点击URL。
示例12.示例8-11的计算装置,还包括基于该个电子邮件的多个特性中的至少一个特性,从一组受保护网页中选择该受保护网页。
示例13.示例8-12的计算装置,其中,对网页的比较包括用于确定网页与受保护网页的相似程度的相似度分析。
示例14.示例8-13的计算装置,其中,比较的结果包括指示网页与受保护网页之间的相似度水平的相似度度量。
示例15.一种用于减轻钓鱼攻击的方法,该方法包括:在通信系统中接收旨在用于收件人的通信;针对统一资源定位符(URL)链接对通信进行检查;响应于遇到包括URL链接的通信,检索与URL链接中指定的URL相关联的资源;至少部分地基于对资源与受保护的资源的比较,确定通信是否包括至少针对受保护的资源的钓鱼攻击;以及响应于比较的结果,减轻针对资源的钓鱼攻击。
示例16.示例15的方法,其中,受保护的资源包括网站的登录页面,其中,资源包括网站的虚假登录页面,并且其中,为了减轻针对受保护的资源的钓鱼攻击,该程序指令引导处理系统向虚假登录页面提交跟踪凭证。
示例17.示例15-16的方法,其中,为了减轻针对受保护的资源的钓鱼攻击,该程序指令还引导处理系统对利用跟踪凭证来访问网站的稍后尝试进行监视。
示例18.示例15-17的方法,其中,通信包括电子邮件,其中,通信包括一个电子邮件,并且其中,为了减轻针对受保护的资源的钓鱼攻击,该程序指令引导处理系统阻止该个电子邮件被递送到收件人邮箱。
示例19.示例15-18的方法,其中,通信包括聊天消息,其中,通信包括一个聊天消息,并且其中,为了减轻针对受保护的资源的钓鱼攻击,该程序指令引导处理系统阻止聊天消息被递送到收件人。
示例20.示例15-19的方法,其中,通信包括微博客帖子,其中,通信包括一个微博客帖子,并且其中,为了减轻针对受保护的资源的钓鱼攻击,该程序指令引导处理系统阻止微博客帖子被递送到收件人。
附图中提供的功能框图、操作场景和序列以及流程图表示用于执行本公开的新颖方面的示例性系统、环境和方法。尽管出于简化说明的目的,本文包括的方法可以以功能图、操作场景或序列或者流程图的形式,并且可以被描述为一系列动作,但是应该理解并认识到,方法不受动作次序的限制,因为一些动作可以根据本文包括的方法以与本文描述和示出的不同的次序和/或与其他动作同时发生。例如,本领域技术人员将理解并认识到,方法可以可替代地表示为一系列相互关联的状态或事件,例如,在状态图中。此外,并非方法中示出的所有动作都可能是新颖实现方式所要求的。
本文包括的说明书和附图描绘了用于教导本领域技术人员如何实现和使用最佳选项的具体实现方式。出于教导发明原理的目的,一些常规方面已被简化或省略。本领域技术人员将认识到这些实现方式的变型落入本发明的范围内。本领域技术人员还将认识到,上述特征可以以各种方式组合以形成多个实现方式。因此,本发明不限于上述具体实现方式,而仅由权利要求及其等同物来限定。
Claims (11)
1.一种用于减轻钓鱼攻击的方法,所述方法包括:
在电子邮件系统中接收旨在用于收件人邮箱的电子邮件;
针对包括在所述电子邮件中的、指向网页的网络链接对所述电子邮件进行检查;
响应于在所述电子邮件中遇到包括指向网页的网络链接的一个电子邮件,使用所述网络链接对所述网页进行检索;
至少部分地基于对所述网页与受保护网页的比较,确定该个电子邮件是否包括至少针对所述受保护网页的钓鱼攻击的发生;以及
响应于所述钓鱼攻击的发生,减轻针对所述受保护网页的所述钓鱼攻击。
2.根据权利要求1所述的方法,其中,所述受保护网页包括网站的登录页面,其中,减轻针对所述受保护网页的所述钓鱼攻击包括向所述网页提交跟踪凭证,并且其中,减轻针对所述受保护网页的所述钓鱼攻击还包括对利用所述跟踪凭证来访问所述网站的尝试进行监视。
3.根据权利要求1所述的方法,其中,减轻针对所述受保护网页的所述钓鱼攻击包括阻止该个电子邮件被递送到收件人邮箱。
4.根据权利要求1所述的方法,还包括基于该个电子邮件的多个特性中的至少一个特性,从一组受保护网页中选择所述受保护网页。
5.根据权利要求1所述的方法,其中,对所述网页的所述比较包括用于确定所述网页与所述受保护网页的相似程度的相似度分析。
6.根据权利要求1所述的方法,其中,所述比较产生指示所述网页与所述受保护网页之间的相似度水平的相似度度量。
7.一种计算装置,包括:
一种或多种计算机可读存储介质;
处理系统,其可操作地耦合到所述一种或多种计算机可读存储介质;以及
程序指令,其存储在所述一种或多种计算机可读存储介质上用于减轻钓鱼攻击,所述程序指令在由所述处理系统执行时,引导所述处理系统至少进行以下操作:
当在电子邮件系统中旨在用于收件人邮箱的电子邮件到达时,针对包括在所述电子邮件中的、指向网页的网络链接对所述电子邮件进行检查;
响应于在所述电子邮件中遇到包括指向网页的网络链接的一个电子邮件,对所述网页进行检索;
执行对所述网页与受保护网页的比较,以确定该个电子邮件是否包括针对所述受保护网页的钓鱼攻击的发生;以及
响应于所述钓鱼攻击的发生,减轻针对所述受保护网页的所述钓鱼攻击。
8.根据权利要求7所述的计算装置,其中,减轻针对所述受保护网页的所述钓鱼攻击包括:
阻止该个电子邮件被递送到收件人邮箱;
将该个电子邮件从其被递送到的任何其他邮箱中移除;
向管理功能报告该个电子邮件;以及
向所述管理功能报告有多少收件人点击URL。
9.根据权利要求7所述的计算装置,还包括基于该个电子邮件的多个特性中的至少一个特性,从一组受保护网页中选择所述受保护网页。
10.根据权利要求7所述的计算装置,其中,对所述网页的所述比较包括用于确定所述网页与所述受保护网页的相似程度的相似度分析。
11.根据权利要求10所述的计算设备,其中,所述比较的结果包括指示所述网页与所述受保护网页之间的相似度水平的相似度度量。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/043,814 | 2016-02-15 | ||
| US15/043,814 US20170237753A1 (en) | 2016-02-15 | 2016-02-15 | Phishing attack detection and mitigation |
| PCT/US2017/016762 WO2017142734A1 (en) | 2016-02-15 | 2017-02-07 | Phishing attack detection and mitigation |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108476222A true CN108476222A (zh) | 2018-08-31 |
Family
ID=58094516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780004693.3A Pending CN108476222A (zh) | 2016-02-15 | 2017-02-07 | 钓鱼攻击的检测和减轻 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20170237753A1 (zh) |
| EP (1) | EP3417590B1 (zh) |
| CN (1) | CN108476222A (zh) |
| WO (1) | WO2017142734A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018004600A1 (en) | 2016-06-30 | 2018-01-04 | Sophos Limited | Proactive network security using a health heartbeat |
| US20180007066A1 (en) * | 2016-06-30 | 2018-01-04 | Vade Retro Technology Inc. | Detection of phishing dropboxes |
| US11316895B1 (en) * | 2016-10-20 | 2022-04-26 | United Services Automobile Association (Usaa) | Method of generating and using credentials to detect the source of account takeovers |
| US10454954B2 (en) * | 2017-11-06 | 2019-10-22 | Paypal, Inc. | Automated detection of phishing campaigns via social media |
| US20190268373A1 (en) * | 2018-02-26 | 2019-08-29 | Mucteba Celik | System, method, apparatus, and computer program product to detect page impersonation in phishing attacks |
| US11645943B2 (en) * | 2018-04-11 | 2023-05-09 | Barracuda Networks, Inc. | Method and apparatus for training email recipients against phishing attacks using real threats in realtime |
| US10749875B2 (en) * | 2018-06-28 | 2020-08-18 | Microsoft Technology Licensing, Llc | Security configuration lifecycle account protection for minors |
| EP3599753A1 (en) | 2018-07-25 | 2020-01-29 | Cyren Inc. | Phishing detection system and method |
| US11212312B2 (en) * | 2018-08-09 | 2021-12-28 | Microsoft Technology Licensing, Llc | Systems and methods for polluting phishing campaign responses |
| US11233820B2 (en) | 2019-09-10 | 2022-01-25 | Paypal, Inc. | Systems and methods for detecting phishing websites |
| US11363060B2 (en) * | 2019-10-24 | 2022-06-14 | Microsoft Technology Licensing, Llc | Email security in a multi-tenant email service |
| US20210203693A1 (en) * | 2019-12-27 | 2021-07-01 | Paypal, Inc. | Phishing detection based on modeling of web page content |
| US11489830B2 (en) | 2020-01-09 | 2022-11-01 | Kyndryl, Inc. | Source authentication of website content |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060168066A1 (en) * | 2004-11-10 | 2006-07-27 | David Helsper | Email anti-phishing inspector |
| US20080115214A1 (en) * | 2006-11-09 | 2008-05-15 | Rowley Peter A | Web page protection against phishing |
| CN101667979A (zh) * | 2009-10-12 | 2010-03-10 | 哈尔滨工程大学 | 基于链接域名和用户反馈的反钓鱼邮件系统及方法 |
| CN102098235A (zh) * | 2011-01-18 | 2011-06-15 | 南京邮电大学 | 一种基于文本特征分析的钓鱼邮件检测方法 |
| US8839369B1 (en) * | 2012-11-09 | 2014-09-16 | Trend Micro Incorporated | Methods and systems for detecting email phishing attacks |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8914309B2 (en) * | 2004-08-20 | 2014-12-16 | Ebay Inc. | Method and system for tracking fraudulent activity |
| KR100723867B1 (ko) * | 2005-11-23 | 2007-05-31 | 한국전자통신연구원 | 피싱웹페이지 차단 장치 및 방법 |
| US9985978B2 (en) * | 2008-05-07 | 2018-05-29 | Lookingglass Cyber Solutions | Method and system for misuse detection |
| US8381292B1 (en) * | 2008-12-30 | 2013-02-19 | The Uab Research Foundation | System and method for branding a phishing website using advanced pattern matching |
| US9501746B2 (en) * | 2012-11-05 | 2016-11-22 | Astra Identity, Inc. | Systems and methods for electronic message analysis |
| US9509715B2 (en) * | 2014-08-21 | 2016-11-29 | Salesforce.Com, Inc. | Phishing and threat detection and prevention |
| US9654492B2 (en) * | 2015-09-15 | 2017-05-16 | Mimecast North America, Inc. | Malware detection system based on stored data |
-
2016
- 2016-02-15 US US15/043,814 patent/US20170237753A1/en not_active Abandoned
-
2017
- 2017-02-07 EP EP17706355.9A patent/EP3417590B1/en active Active
- 2017-02-07 WO PCT/US2017/016762 patent/WO2017142734A1/en unknown
- 2017-02-07 CN CN201780004693.3A patent/CN108476222A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060168066A1 (en) * | 2004-11-10 | 2006-07-27 | David Helsper | Email anti-phishing inspector |
| US20080115214A1 (en) * | 2006-11-09 | 2008-05-15 | Rowley Peter A | Web page protection against phishing |
| CN101667979A (zh) * | 2009-10-12 | 2010-03-10 | 哈尔滨工程大学 | 基于链接域名和用户反馈的反钓鱼邮件系统及方法 |
| CN102098235A (zh) * | 2011-01-18 | 2011-06-15 | 南京邮电大学 | 一种基于文本特征分析的钓鱼邮件检测方法 |
| US8839369B1 (en) * | 2012-11-09 | 2014-09-16 | Trend Micro Incorporated | Methods and systems for detecting email phishing attacks |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017142734A1 (en) | 2017-08-24 |
| EP3417590B1 (en) | 2020-03-25 |
| EP3417590A1 (en) | 2018-12-26 |
| US20170237753A1 (en) | 2017-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108476222A (zh) | 钓鱼攻击的检测和减轻 | |
| Ho et al. | Detecting and characterizing lateral phishing at scale | |
| AU2019403265B2 (en) | Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time | |
| US10027701B1 (en) | Method and system for reducing reporting of non-malicious electronic messages in a cybersecurity system | |
| Jain et al. | A novel approach to protect against phishing attacks at client side using auto-updated white-list | |
| US10063584B1 (en) | Advanced processing of electronic messages with attachments in a cybersecurity system | |
| US10212175B2 (en) | Attracting and analyzing spam postings | |
| CN112567710B (zh) | 用于污染网络钓鱼活动响应的系统和方法 | |
| US10182031B2 (en) | Automated message security scanner detection system | |
| US11757914B1 (en) | Automated responsive message to determine a security risk of a message sender | |
| Johnson | Cyber crime, security and digital intelligence | |
| Lazarov et al. | Honey sheets: What happens to leaked google spreadsheets? | |
| Sonewar et al. | A novel approach for detection of SQL injection and cross site scripting attacks | |
| WO2020110109A1 (en) | Phishing protection methods and systems | |
| Mishra et al. | Intelligent phishing detection system using similarity matching algorithms | |
| Tharani et al. | Understanding phishers' strategies of mimicking uniform resource locators to leverage phishing attacks: A machine learning approach | |
| Goenka et al. | A comprehensive survey of phishing: mediums, intended targets, attack and defence techniques and a novel taxonomy | |
| Thaker et al. | Detecting phishing websites using data mining | |
| Rahman et al. | Classification of spamming attacks to blogging websites and their security techniques | |
| Varshney et al. | Anti-phishing: A comprehensive perspective | |
| Sood et al. | The Covid-19 threat landscape | |
| El Aassal et al. | Spears Against Shields: Are Defenders Winning The Phishing War? | |
| US20220321518A1 (en) | Email Sender and Reply-To Authentication to Prevent Interception of Email Replies | |
| Siadati et al. | A framework for analysis attackers’ accounts | |
| Wardle et al. | How long does it take to get owned? |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180831 |