ES2874148T3 - Sistema y métodos para detectar fraudes en línea - Google Patents

Sistema y métodos para detectar fraudes en línea Download PDF

Info

Publication number
ES2874148T3
ES2874148T3 ES17742672T ES17742672T ES2874148T3 ES 2874148 T3 ES2874148 T3 ES 2874148T3 ES 17742672 T ES17742672 T ES 17742672T ES 17742672 T ES17742672 T ES 17742672T ES 2874148 T3 ES2874148 T3 ES 2874148T3
Authority
ES
Spain
Prior art keywords
domain
domains
fraudulent
internet
fraud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17742672T
Other languages
English (en)
Inventor
Alin-Octavian Damian
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bitdefender IPR Management Ltd
Original Assignee
Bitdefender IPR Management Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bitdefender IPR Management Ltd filed Critical Bitdefender IPR Management Ltd
Application granted granted Critical
Publication of ES2874148T3 publication Critical patent/ES2874148T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9535Search customisation based on user profiles and personalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

Un sistema informático que comprende al menos un procesador de hardware configurado para operar un mapeador (52) inverso de direcciones, un filtro (54) de datos de inscripción conectado al mapeador inverso de direcciones y un analizador (56) de contenido conectado al filtro de datos de inscripción, en donde: el mapeador inverso de direcciones está configurado para identificar un conjunto de dominios (64) de Internet alojados conjuntamente según un dominio de Internet fraudulento conocido, en donde el dominio de Internet fraudulento conocido está ubicado en una dirección de Protocolo de Internet (IP) de destino, y en donde la identificación del conjunto de dominios de Internet alojados conjuntamente comprende la selección del conjunto de dominios de Internet alojados conjuntamente de manera que todos los miembros del conjunto de dominios de Internet alojados conjuntamente estén ubicados en la dirección IP de destino; el filtro de datos de inscripción está configurado para: recibir el conjunto de dominios de Internet alojados conjuntamente del mapeador inverso de direcciones ; y filtrar el conjunto recibido de dominios de Internet alojados conjuntamente para producir un subconjunto de dominios (66) candidatos al fraude, en donde la filtración del conjunto de dominios de Internet alojados conjuntamente comprende: la determinación de si se cumple una condición de selección según los datos de inscripción de nombre de dominio que caracterizan un dominio del conjunto de dominios de Internet alojados conjuntamente, y en respuesta, seleccionar el dominio en el subconjunto de dominios candidatos al fraude cuando se cumple la condición de selección; y el analizador de contenido está configurado para: recibir el subconjunto de dominios candidatos al fraude del filtro de datos de inscripción, analizar un documento electrónico distribuido por un dominio candidato seleccionado del subconjunto recibido de dominios candidatos al fraude para determinar si el documento electrónico es fraudulento, y en respuesta, cuando el documento electrónico sea fraudulento, determinar que el dominio candidato es fraudulento (68).

Description

DESCRIPCIÓN
Sistema y métodos para detectar fraudes en línea
Antecedentes
La invención se refiere a sistemas y métodos de seguridad informática y, en particular, a sistemas y métodos para detectar fraudes en línea, por ejemplo, páginas web fraudulentas.
El rápido desarrollo de las comunicaciones electrónicas, el comercio en línea y los servicios tales como el comercio bancario en línea ha ido acompañado de un aumento de la delincuencia electrónica. El fraude en Internet, especialmente en forma de phishing y robo de identidad, representa una amenaza cada vez mayor para los usuarios de Internet en todo el mundo. La información confidencial de identidad y los detalles de la tarjeta de crédito obtenidos de manera fraudulenta por redes criminales internacionales que operan en Internet se utilizan para financiar diversas transacciones en línea y/o se venden además a terceros. Además del daño financiero directo a las personas, el fraude en Internet también causa una variedad de efectos secundarios no deseados, tales como mayores costes de seguridad para las empresas, precios minoristas y tarifas bancarias más altos, valores de las acciones en declive, salarios más bajos y menores ingresos fiscales.
En un intento de phishing ejemplar, un sitio web falso se hace pasar por una página web genuina que pertenece a un minorista en línea o una institución financiera, invitando al usuario a ingresar cierta información personal (por ejemplo, nombre de usuario, contraseña) y/o información financiera (por ejemplo, número de tarjeta de crédito, número de cuenta, código de seguridad). Una vez que la información es enviada por el usuario desprevenido, puede ser obtenida por el sitio web falso. Además, el usuario puede ser dirigido a otra página web que puede instalar software malicioso en el ordenador del usuario. El software malicioso (por ejemplo, virus, troyanos) puede continuar robando información personal al registrar las teclas presionadas por el usuario mientras visita ciertas páginas web, y puede transformar el ordenador del usuario en una plataforma para lanzar otros ataques maliciosos.
El software que se ejecuta en el sistema informático de un usuario de Internet se puede utilizar para identificar documentos web fraudulentos y para emitir una advertencia y/o bloquear el acceso a dichos documentos. Se han propuesto varios enfoques para identificar páginas web fraudulentas. Las estrategias ejemplares incluyen hacer coincidir una dirección de una página web con una lista de direcciones fraudulentas y/o confiables conocidas (técnicas denominadas listas negras y blancas, respectivamente). Para evitar tal detección, los estafadores cambian con frecuencia la dirección de sus sitios web. Los documentos US 2013/185802 A1 y US 2016/191548 A1 constituyen una técnica anterior relevante relacionada con la presente invención.
Existe un interés persistente en desarrollar métodos para detectar e impedir el fraude en línea, y especialmente métodos capaces de realizar una detección proactiva.
Compendio
La presente invención está definida por las reivindicaciones independientes adjuntas. Según un aspecto, un sistema informático comprende al menos un procesador de hardware configurado para operar un mapeador inverso de direcciones, un filtro de datos de inscripción conectado al mapeador inverso de direcciones y un analizador de contenido conectado al filtro de datos de inscripción. El mapeador inverso de direcciones está configurado para identificar un conjunto de dominios de Internet alojados conjuntamente según un dominio de Internet fraudulento conocido, en donde el dominio de Internet fraudulento conocido está ubicado en una dirección de Protocolo de Internet (IP) de destino, y en donde se identifica el conjunto de los dominios de Internet alojados conjuntamente comprenden la selección del conjunto de dominios de Internet alojados conjuntamente de manera que todos los miembros del conjunto de dominios de Internet alojados conjuntamente estén ubicados en la dirección IP de destino. El filtro de datos de inscripción está configurado para filtrar el conjunto de dominios de Internet alojados conjuntamente para producir un subconjunto de dominios candidatos al fraude. El filtrado del conjunto de dominios de Internet alojados conjuntamente comprende la determinación de si se cumple una condición de selección según los datos de inscripción del nombre de dominio que caracterizan un dominio del conjunto de dominios de Internet alojados conjuntamente y, en respuesta, seleccionar el dominio en el subconjunto de dominios candidatos al fraude cuando se cumple la condición de selección. El analizador de contenido está configurado para analizar un documento electrónico distribuido por un dominio candidato seleccionado del subconjunto de dominios candidatos al fraude para determinar si el documento electrónico es fraudulento y, en respuesta, cuando el documento electrónico es fraudulento, determinar que el dominio candidato es fraudulento.
Según otro aspecto, un método para identificar dominios de Internet fraudulentos comprende el empleo de al menos un procesador de hardware para identificar un conjunto de dominios de Internet alojados conjuntamente según un dominio de Internet fraudulento conocido, en donde el dominio de Internet fraudulento conocido está ubicado en una dirección de protocolo de Internet(IP) de destino, y en donde la identificación del conjunto de dominios de Internet alojados conjuntamente comprende la selección del conjunto de dominios de Internet alojados conjuntamente de manera que todos los miembros del conjunto de dominios de Internet alojados conjuntamente estén ubicados en la dirección IP de destino. El método comprende además el empleo del al menos un procesador de hardware para filtrar el conjunto de dominios de Internet alojados conjuntamente para producir un subconjunto de dominios candidatos al fraude. El filtrado del conjunto de dominios de Internet alojados conjuntamente comprende la determinación de si se cumple una condición de selección según los datos de inscripción del nombre de dominio que caracterizan un dominio del conjunto de dominios de Internet alojados conjuntamente y, en respuesta, seleccionar el dominio en el subconjunto de dominios candidatos al fraude cuando se cumple la condición de selección. El método comprende además el empleo del al menos un procesador de hardware para analizar un documento electrónico distribuido por un dominio candidato seleccionado del subconjunto de dominios candidatos al fraude, para determinar si el documento electrónico es fraudulento. El método comprende además, en respuesta al análisis del documento electrónico, cuando el documento electrónico es fraudulento, determinar que el dominio candidato es fraudulento.
Según otro aspecto, un medio legible por ordenador no transitorio almacena instrucciones que, cuando son ejecutadas por al menos un procesador de hardware, hacen que el procesador de hardware forme un mapeador inverso de direcciones, un filtro de datos de inscripción conectado al mapeador inverso de direcciones, y un analizador de contenido conectado al filtro de datos de inscripción. El mapeador inverso de direcciones está configurado para identificar un conjunto de dominios de internet alojados conjuntamente según un dominio de internet fraudulento conocido, en donde el dominio de internet fraudulento conocido se encuentra en una dirección de protocolo de internet (IP) de destino, y donde la identificación del conjunto de los dominios de internet alojados conjuntamente comprende la selección del conjunto de dominios de internet alojados conjuntamente de manera que todos los miembros del conjunto de dominios de internet alojados conjuntamente estén ubicados en la dirección IP de destino. El filtro de datos de inscripción está configurado para filtrar el conjunto de dominios de Internet alojados conjuntamente para producir un subconjunto de dominios candidatos al fraude. El filtrado del conjunto de dominios de Internet alojados conjuntamente comprende la determinación de si se cumple una condición de selección según los datos de inscripción del nombre de dominio que caracterizan un dominio del conjunto de dominios de Internet alojados conjuntamente y, en respuesta, seleccionar el dominio en el subconjunto de dominios candidatos al fraude cuando se cumple la condición de selección. El analizador de contenido está configurado para analizar un documento electrónico distribuido por un dominio candidato seleccionado del subconjunto de dominios candidatos al fraude para determinar si el documento electrónico es fraudulento y, en respuesta, cuando el documento electrónico es fraudulento, determinar que el dominio candidato es fraudulento.
Breve descripción de los dibujos
Los aspectos y ventajas anteriores de la presente invención se comprenderán mejor al leer la siguiente descripción detallada y al hacer referencia a los dibujos en donde:
La Figura 1 muestra un conjunto ejemplar de sistemas cliente protegidos contra el fraude en línea según algunas realizaciones de la presente invención.
La Figura 2-A muestra una configuración de hardware ejemplar de un sistema cliente según algunas realizaciones de la presente invención.
La Figura 2-B muestra una configuración de hardware ejemplar de un sistema informático servidor según algunas realizaciones de la presente invención.
La Figura 3 muestra componentes de software ejemplares que se ejecutan en un sistema cliente según algunas realizaciones de la presente invención.
La Figura 4 muestra un intercambio de datos ejemplar entre un sistema cliente y un servidor de seguridad, según algunas realizaciones de la presente invención.
La Figura 5 muestra una secuencia ejemplar de operaciones realizadas por el módulo antifraude y el servidor de seguridad para proteger un sistema cliente del fraude electrónico según algunas realizaciones de la presente invención.
La Figura 6 ilustra componentes ejemplares de un servidor de identificación de fraudes según algunas realizaciones de la presente invención.
La Figura 7 muestra una secuencia ejemplar de operaciones realizadas por el servidor de identificación de fraudes según algunas realizaciones de la presente invención.
Descripción detallada de realizaciones preferidas
En la siguiente descripción, se comprende que todas las conexiones enumeradas entre estructuras pueden ser conexiones operativas directas o conexiones operativas indirectas a través de estructuras intermedias. Un conjunto de elementos incluye uno o más elementos. Se comprende que cualquier enumeración de un elemento se refiere al menos a un elemento. Una pluralidad de elementos incluye al menos dos elementos. A menos que se requiera lo contrario, cualquiera de las operaciones del método descrito no necesitan realizarse necesariamente en un orden ilustrado particular. Un primer elemento (por ejemplo, datos) derivado de un segundo elemento abarca un primer elemento igual al segundo elemento, así como un primer elemento generado procesando el segundo elemento y opcionalmente otros datos. Tomar una determinación o decisión según un parámetro abarca tomar la determinación o decisión según el parámetro y opcionalmente según otros datos. A menos que se especifique lo contrario, un indicador de alguna cantidad/datos puede ser la cantidad/datos en sí, o un indicador diferente de la cantidad/datos en sí. Un programa informático es una secuencia de instrucciones del procesador que lleva a cabo una tarea. Los programas informáticos descritos en algunas realizaciones de la presente invención pueden ser entidades o sub­ entidades de software independientes (por ejemplo, subrutinas, bibliotecas) de otros programas informáticos. A menos que se especifique lo contrario, la seguridad informática abarca la protección de equipos y datos contra el acceso ilegítimo, la modificación y/o la destrucción. A menos que se especifique lo contrario, el término fraude en línea no se limita a sitios web fraudulentos, sino que también abarca otras comunicaciones electrónicas comerciales ilegítimas o no solicitadas, tales como correo electrónico, mensajes instantáneos y mensajes telefónicos de texto y multimedia, entre otros. Un dominio de Internet (o simplemente, dominio) es un subconjunto de recursos informáticos (sistemas informáticos reales o virtuales, direcciones de red) que son propiedad, están controlados u operados por un individuo u organización en particular. Un dominio de Internet fraudulento es un dominio que aloja y/o distribuye documentos electrónicos fraudulentos. Un nombre de dominio es un alias alfanumérico que representa el dominio de Internet respectivo. Un nombre de dominio fraudulento es un nombre de dominio de un dominio fraudulento. Los medios legibles por ordenador abarcan medios no transitorios tales como medios de almacenamiento magnéticos, ópticos y semiconductores (por ejemplo, discos duros, discos ópticos, memoria flash, DRAM), así como enlaces de comunicación tales como enlaces de cables conductores y de fibra óptica. Según algunas realizaciones, la presente invención proporciona, entre otros, sistemas informáticos que comprenden hardware (por ejemplo, uno o más procesadores) programados para realizar los métodos descritos en la presente memoria, así como instrucciones de codificación de medios legibles por ordenador para realizar los métodos descritos en la presente memoria.
La siguiente descripción ilustra realizaciones de la invención a modo de ejemplo y no necesariamente a modo de limitación.
La Figura 1 muestra un sistema antifraude ejemplar según algunas realizaciones de la presente invención. Una pluralidad de sistemas 10a-d cliente están protegidos contra el fraude en línea por un servidor 14 de seguridad y un servidor 12 de identificación de fraudes. Los sistemas 10a-d cliente representan genéricamente cualquier dispositivo electrónico que tenga un procesador y una memoria y sea capaz de conectarse a una red de comunicaciones. Los dispositivos cliente ejemplares incluyen, entre otros, ordenadores personales, portátiles, dispositivos informáticos móviles (por ejemplo, tabletas), teléfonos móviles, dispositivos ponibles (por ejemplo, relojes, monitores de ejercicios), consolas de juegos, televisores y electrodomésticos (por ejemplo, refrigeradores, reproductores multimedia). Los sistemas 10a-d cliente están interconectados a través de una red 13 de comunicaciones, tal como una red corporativa o Internet. Partes de la red 13 puede incluir una red de área local (LAN) y/o una red de telecomunicaciones (por ejemplo, una red 3G).
Cada servidor 12, 14 representa genéricamente un conjunto de sistemas informáticos acoplados comunicativamente, que pueden no estar en proximidad física entre sí. En algunas formas de realización, el servidor 14 de seguridad está configurado para recibir una consulta de un sistema cliente, la consulta indicativa de un documento electrónico, tal como una página web o un mensaje electrónico, y para responder con un indicador de evaluación que indica si es probable que el documento respectivo sea fraudulento. En algunas realizaciones, la probabilidad de fraude se determina según un indicador de ubicación del documento respectivo. Los indicadores de ubicación ejemplares incluyen un nombre de dominio, un nombre de anfitrión y una dirección de Protocolo de Internet (IP) de un sistema informático que aloja o distribuye el documento electrónico respectivo. Un nombre de dominio es un término comúnmente utilizado en la técnica para indicar una secuencia única de caracteres que identifican un ámbito específico de Internet, propiedad y/o controlada por un individuo u organización. Un nombre de dominio constituye una abstracción (por ejemplo, alias) de un conjunto de direcciones de red (por ejemplo, direcciones IP) de ordenadores que alojan y/o distribuyen documentos electrónicos. Los nombres de dominio generalmente comprenden una secuencia concatenada de etiquetas, delimitadas por puntos, por ejemplo, www.bitdefender.com.
El servidor 12 de identificación de fraudes está configurado para recopilar información sobre fraudes en línea, incluyendo, por ejemplo, una lista de indicadores de ubicación (nombres de dominio, direcciones IP, etc.) de documentos fraudulentos. En algunas realizaciones, el servidor 12 de identificación de fraudes almacena información indicativa de fraude en una base de datos 15 de dominios fraudulentos, que puede ser utilizada además por el servidor 14 de seguridad para determinar la probabilidad de que un documento electrónico sea fraudulento. Los detalles de dicha funcionalidad se dan a continuación.
La Figura 2-A muestra una configuración de hardware ejemplar de un sistema 10 cliente, tales como sistemas 10a-d en la Figura 1. Para simplificar, el sistema cliente ilustrado es un sistema informático; la configuración de hardware de otros sistemas cliente, tales como teléfonos móviles, relojes inteligentes, etc., puede diferir algo de la configuración ilustrada. El sistema 10 cliente comprende un conjunto de dispositivos físicos, incluyendo un procesador 20 de hardware y una unidad 22 de memoria. El procesador 20 comprende un dispositivo físico (por ejemplo, un microprocesador, un circuito integrado de múltiples núcleos formado sobre un sustrato semiconductor, etc.) configurado para ejecutar operaciones computacionales y/o lógicas con un conjunto de señales y/o datos. En algunas realizaciones, tales operaciones se indican al procesador 20 en forma de una secuencia de instrucciones del procesador (por ejemplo, código de máquina u otro tipo de codificación). La unidad 22 de memoria puede comprender medios legibles por ordenador volátiles (por ejemplo, DRAM, SRAM) que almacenan instrucciones y/o datos a los que se accede o generados por el procesador 20.
Los dispositivos 24 de entrada pueden incluir teclados de ordenador, ratones y micrófonos, entre otros, incluyendo las respectivas interfaces de hardware y/o adaptadores que permiten al usuario introducir datos e/o instrucciones en el sistema 10 cliente. Los dispositivos 26 de salida pueden incluir dispositivos de visualización (por ejemplo, monitor, pantalla de cristal líquido) y altavoces, así como interfaces/adaptadores de hardware tales como tarjetas gráficas, lo que permite que el sistema 10 cliente comunique datos a un usuario. En algunas realizaciones, los dispositivos 24 de entrada y los dispositivos 26 de salida pueden compartir una pieza común de hardware, por ejemplo, un dispositivo de pantalla táctil. Una unidad 28 de almacenamiento incluye medios legibles por ordenador que posibilitan el almacenamiento, lectura y escritura no volátiles de instrucciones de software y/o datos. Los dispositivos 28 de almacenamiento ejemplares incluyen discos magnéticos y ópticos y dispositivos de memoria flash, así como medios extraíbles, tales como unidades y discos CD y/o DVD. El conjunto de adaptadores 32 de red posibilita que el sistema 10 cliente se conecte a una red informática y/o a otros dispositivos electrónicos. El concentrador 30 del controlador representa la pluralidad de buses de sistema, periféricos y/o conjuntos de chips, y/o todos los demás circuitos que posibilitan la comunicación entre procesadores 20 y dispositivos 22, 24, 26, 28, y 32. Por ejemplo, el concentrador 30 del controlador puede incluir un controlador de memoria, un controlador de entrada/salida (E/S) y un controlador de interrupción, entre otros. En otro ejemplo, el concentrador 30 del controlador puede comprender un procesador 20 de conexión de Puente Norte (Northbridge) a la memoria 22 y/o un procesador 20 de conexión de Puente Sur (Southbridge) a los dispositivos 24, 26, 28, y 32.
La Figura 2-B muestra una configuración de hardware ejemplar del servidor 12 de identificación de fraudes según algunas realizaciones de la presente invención. El servidor 14 de seguridad puede tener una configuración similar. El servidor 12 de identificación de fraudes comprende al menos un procesador 120 de hardware (por ejemplo, un microprocesador, mi circuito integrado de múltiples núcleos), una memoria 122 física, dispositivos 128 de almacenamiento del servidor y un conjunto de adaptadores 132 de red de servidor. Los adaptadores 132 pueden incluir tarjetas de red y otras interfaces de comunicación que posibilita que el servidor 12 de identificación de fraudes se conecte a la red 13 de comunicaciones. Los dispositivos 128 de almacenamiento del servidor pueden almacenar al menos un subconjunto de registros de la base de datos 15 de dominios de fraude. En una realización alternativa, el servidor 12 puede acceder a los registros de fraude de la base de datos 15 a través de la red 13. En algunas realizaciones, el servidor 12 además comprende dispositivos de entrada y salida, que pueden ser similares en función a los dispositivos 24 y 26 de entrada/salida del sistema 10 cliente respectivamente.
La Figura 3 muestra un software ejemplar que se ejecuta en el sistema 10 cliente según algunas realizaciones de la presente invención. Un sistema operativo (SO) 34 proporciona una interfaz entre el hardware del sistema 10 cliente y un conjunto de aplicaciones de software. Los sistemas operativos ejemplares incluyen Windows®, MacOS®, iOS® y Android®, entre otros. Una aplicación 36 representa genéricamente cualquier aplicación de usuario, tal como procesamiento de textos, procesamiento de imágenes, hoja de cálculo, calendario, juegos en línea, redes sociales, navegador web y aplicaciones de comunicación electrónica, entre otras.
Un módulo 38 antifraude protege el sistema 10 cliente contra el fraude electrónico, por ejemplo, impidiendo que el sistema 10 cliente acceda a un documento electrónico fraudulento (por ejemplo, un sitio web fraudulento, un mensaje de correo electrónico, etc.). En algunas realizaciones, la operación del módulo 38 antifraude puede ser encendido y/o apagado por un usuario del sistema 10 cliente. El módulo 38 antifraude puede ser una aplicación independiente o puede formar parte de un conjunto de programas informáticos que protegen el sistema 10 cliente contra amenazas a la seguridad informática, tal como software malicioso (malware), software espía (spyware) e intrusiones no autorizadas. El módulo 38 puede operar en varios niveles de privilegios de procesador (por ejemplo, modo de usuario, modo de kernel). En algunas realizaciones, el módulo 38 está integrado con la aplicación 36, por ejemplo, como programa adicional, extensión o barra de herramientas.
En algunas realizaciones, el módulo 38 antifraude puede incluir un filtro 39 de red configurado para interceptar una solicitud por parte del sistema 10 cliente para acceder a un documento remoto y bloquear selectivamente la solicitud respectiva. Una solicitud de acceso ejemplar detectada por el módulo 38 comprende una solicitud de Protocolo de Transferencia de Hipertexto (HTTP) emitida por el sistema 10 cliente. El filtro 39 de red puede operar, por ejemplo, como un controlador registrado con OS 34. En una realización en donde el OS 34 y la aplicación 36 se ejecutan dentro de una máquina virtual, el módulo 38 antifraude (o al menos el filtro 39 de red) puede ejecutarse fuera de la máquina virtual respectiva, por ejemplo, en el nivel de privilegio del procesador de un hipervisor. Tales configuraciones pueden proteger eficientemente el módulo 38 y/o filtro 39 de red de software malicioso que posiblemente infecte la máquina virtual. En otra realización más, el módulo 38 antifraude puede operar, al menos en parte, en un dispositivo electrónico distinto del sistema 10 cliente, por ejemplo, en un enrutador, servidor proxy o dispositivo de puerta de enlace utilizado para conectar el sistema 10 cliente a una red extendida tal como Internet.
La Figura 4 ilustra el funcionamiento del módulo 38 antifraude a través de un intercambio de datos ejemplar entre el sistema 10 cliente y el servidor 14 de seguridad. La Figura 5 además muestra una secuencia ejemplar de operaciones realizadas por el módulo 38 antifraude y/o el servidor 14 de seguridad para proteger el sistema 10 cliente contra el fraude electrónico según algunas realizaciones de la presente invención. En un ejemplo ilustrativo en donde la aplicación 36 comprende un navegador web, cuando un usuario intenta acceder a un documento remoto (por ejemplo, un sitio web), una aplicación 36 puede enviar una solicitud para acceder al documento respectivo a través de la red 13 de comunicaciones a un servidor de proveedor de servicios. Una solicitud típica puede incluir una codificación de una ubicación del recurso respectivo. Las codificaciones de ubicación ejemplares incluyen un nombre de dominio, un nombre de servidor, un Identificador Uniforme de Recursos (URI), un Localizador Uniforme de Recursos (URL) y una dirección de Protocolo de Internet (IP), entre otros.
Al detectar la solicitud de acceso (por ejemplo, solicitud HTTP emitida por un navegador web), algunas realizaciones del módulo 38 antifraude suspenden al menos temporalmente la transmisión de la solicitud respectiva a su destino previsto y, en su lugar, transmiten un indicador 42 de documento al servidor 14 de seguridad. En algunas realizaciones, el indicador 42 de documento incluye la codificación de la ubicación del documento solicitado (por ejemplo, nombre de dominio, URL, dirección IP) y puede incluir además otra información obtenida por el módulo 38 antifraude analizando la solicitud de acceso interceptada. Dicha información puede incluir un indicador de un tipo del documento solicitado, un indicador de una aplicación solicitante y un identificador de un usuario solicitante, entre otros. En respuesta al indicador 42 de recepción de documentos, en una secuencia de operaciones 208-210 (Figura 5), algunas realizaciones del servidor 14 de seguridad preparan un indicador 44 de evaluación indicando si es probable que el documento solicitado sea fraudulento, y transmiten un indicador 44 al sistema 10 cliente. En algunas realizaciones, la probabilidad de fraude se cuantifica como un valor booleano (por ejemplo, 0/1, SÍ/NO), o como un número entre un límite inferior y un límite superior (por ejemplo, entre 0 y 100).
En algunas realizaciones, en una operación 212, el módulo 38 antifraude determina según el indicador 44 de evaluación si es probable que el documento solicitado sea fraudulento. En caso afirmativo, una operación 214 permite al sistema 10 cliente (por ejemplo, aplicación 36) acceder al documento respectivo, por ejemplo, transmitiendo la solicitud de acceso original a su destino previsto. En caso negativo, una operación 216 puede bloquear el acceso al documento respectivo. Algunas realizaciones pueden mostrar además una notificación al usuario (por ejemplo, una pantalla de advertencia, icono, explicación, etc.) y/o pueden notificar a un administrador del sistema del sistema 10 cliente.
En una realización alternativa, el módulo 38 antifraude que se ejecuta en el sistema 10 cliente o en un enrutador que conecta el sistema 10 cliente a Internet puede redirigir todas las solicitudes para acceder a documentos remotos en el servidor 14 de seguridad para su análisis. El servidor 14 de seguridad por lo tanto, puede colocarse en una posición de servidor proxy entre el sistema 10 cliente y los servidores remotos que proporcionan acceso a los recursos respectivos. En tales realizaciones, las operaciones 212-214-216 pueden ejecutarse mediante un servidor 14 de seguridad.
En una realización ejemplar que protege a un usuario del sistema 10 cliente de mensajes electrónicos fraudulentos (por ejemplo, correo electrónico), el módulo 38 antifraude puede instalarse como programa adicional o extensión de una aplicación de lectura de mensajes. Al recibir un mensaje, el módulo 38 puede analizar un encabezado del mensaje respectivo para extraer un indicador de documento que comprende, por ejemplo, una dirección electrónica de un remitente del mensaje respectivo y/o un nombre de dominio del servidor de correo electrónico que entrega el mensaje respectivo. El módulo 38 puede transmitir, a continuación, un indicador 42 de documento al servidor 14 de seguridad y en respuesta, recibir un indicador 44 de evaluación del servidor 14. El módulo 38 antifraude puede determinar según el indicador 44 si es probable que el mensaje respectivo sea fraudulento y, en caso afirmativo, impedir la visualización de un contenido del mensaje respectivo al usuario. En algunas realizaciones, el módulo 38 puede colocar un mensaje que se considere probable que sea fraudulento en una carpeta de mensajes separada.
En una realización alternativa, el módulo 38 antifraude puede ejecutarse en un sistema informático de servidor (por ejemplo, un servidor de correo electrónico) gestionando la mensajería electrónica en nombre de múltiples sistemas cliente, por ejemplo, sistemas 10a-d cliente en la Figura 1. En respuesta a la determinación de que es probable que un mensaje sea fraudulento, el módulo 38 puede bloquear la distribución del mensaje respectivo a su destinatario previsto.
Para determinar la probabilidad de fraude, el servidor 14 de seguridad puede consultar la base de datos 15 de dominios fraudulentos (operación 208 en la Figura 5). En algunas realizaciones, la base de datos 15 comprende un conjunto de registros, cada registro correspondiente a un nombre de dominio fraudulento; tales conjuntos de registros se conocen a veces en la técnica como listas negras. En algunas realizaciones, la operación 208 comprende la determinación de si un nombre de dominio indicado por el indicador 42 de documento coincide con cualquier registro de la base de datos 15 de la lista negra. En caso afirmativo, el servidor 14 de seguridad puede determinar que es probable que el documento solicitado sea fraudulento.
La base de datos 15 de dominios fraudulentos se puede llenar y mantener mediante un servidor 12 de identificación de fraudes. En algunas realizaciones, el servidor 12 identifica un conjunto de dominios fraudulentos previamente desconocidos basándose en el conocimiento derivado del análisis de un dominio de Internet fraudulento conocido, denominado en la presente memoria dominio semilla. Los nombres de dominio de dominios fraudulentos recién descubiertos se pueden, a continuación, agregar a la base de datos 15. La Figura 6 ilustra componentes ejemplares del servidor 12 de identificación de fraudes según algunas realizaciones de la presente invención. El servidor 12 puede comprender un mapeador 52 inverso de direcciones, un filtro 54 de datos de inscripción conectado al mapeador 52 inverso de direcciones, y un analizador 56 de contenido conectado al filtro 54. La Figura 7 muestra una secuencia ejemplar de operaciones realizadas por el servidor 12 de identificación de fraudes para descubrir dominios de Internet fraudulentos según algunas realizaciones de la presente invención.
Algunas realizaciones de la presente invención se basan en la observación de que un recurso informático físico que pertenece a un dominio fraudulento a menudo también pertenece a otros dominios fraudulentos. Por ejemplo, el mismo servidor y/o dirección IP puede alojar una pluralidad de sitios web fraudulentos. Dichos servidores o direcciones de red pueden ser propiedad de estafadores o pueden ser secuestrados sin el conocimiento de su legítimo propietario/operador, por ejemplo, mediante el uso de software malicioso cuidadosamente elaborado. La descripción siguiente muestra cómo se puede utilizar el conocimiento de un dominio fraudulento para destapar otros dominios fraudulentos previamente desconocidos.
En algunas realizaciones, el mapeador 52 inverso de direcciones está configurado para recibir un indicador de un dominio semilla (por ejemplo, un nombre de dominio 62 semilla en la Figura 6) y generar un conjunto de dominios 64 alojados conjuntamente (operación 234 en la Figura 7). El dominio semilla representa un dominio fraudulento conocido, es decir, un dominio conocido por alojar o distribuir documentos fraudulentos. Ejemplos de tales dominios incluyen dominios que alojan sitios web de bancos falsos, sitios de apuestas en línea falsos, sitios de préstamos falsos, etc. Los nombres de dominio semilla pueden ser detectados, por ejemplo, por investigadores de una compañía de seguridad informática, o pueden ser reportados por usuarios de Internet o por autoridades que investigan el fraude en línea. Los nombres de dominio semilla también se pueden descubrir automáticamente mediante una serie de herramientas conocidas en la técnica, por ejemplo, sistemas trampa (honeypots).
En algunas realizaciones, los dominios 64 alojados conjuntamente comprenden un conjunto de dominios que comparten una dirección de red común con el dominio semilla (por ejemplo, una dirección IP común). Un conjunto ejemplar de dominios 64 alojados conjuntamente utilizan el mismo servidor físico para distribuir documentos electrónicos. Ya que una sola dirección de red/IP puede corresponder a una pluralidad de sistemas informáticos distintos, los dominios 64 alojados conjuntamente pueden no incluir necesariamente la misma máquina física que el dominio semilla. Sin embargo, un servidor de nombres de dominio asignará el nombre de dominio 62 semilla y los nombres de dominio de todos los dominios 64 alojados conjuntamente a la misma dirección de red. Para identificar los dominios 64 alojados conjuntamente, el servidor 12 de identificación de fraudes puede utilizar cualquier método conocido en la técnica de las redes informáticas. Tales operaciones se conocen comúnmente como análisis inverso de IP, búsqueda inversa del Sistema de Nombres de Dominio (DNS) o resolución inversa del DNS. En un enfoque ejemplar, el servidor 12 opera un servidor de nombres utilizado para realizar búsquedas directas de DNS (es decir, determinar una dirección IP según un nombre de dominio) y utiliza el servidor de nombres para construir un mapa inverso de DNS. Otro enfoque puede buscar el tipo de registro de puntero de DNS (registro PTR) de un dominio en particular, por ejemplo, inaddr.arpa o ip6.arpa.
No todos los dominios 64 alojados conjuntamente necesitan ser fraudulentos. Como se ha descrito anteriormente, a veces un sistema informático que pertenece a un dominio legítimo es secuestrado por estafadores, que, a continuación, utilizan la máquina respectiva para alojar un conjunto de dominios fraudulentos. A veces, dichos dominios fraudulentos se alojan en la máquina respectiva solamente durante un breve período de tiempo y después se mueven a otro servidor para evitar la detección o contramedidas. En algunas realizaciones, el filtro 54 de datos de inscripción del servidor 12 de identificación de fraudes está configurado para filtrar el conjunto de dominios 64 alojados conjuntamente para seleccionar un conjunto de dominios 66 candidatos al fraude (operación 236 en la Figura 7), que representa dominios sospechosos de ser fraudulentos. Los dominios 66 candidatos al fraude pueden someterse a un escrutinio adicional, como se muestra a continuación.
La operación 236 puede verse como una optimización, ya que el análisis de fraude como se muestra a continuación puede ser computacionalmente costoso. El filtrado previo del conjunto de dominios 64 alojados conjuntamente puede reducir la carga computacional mediante el uso de reglas relativamente menos costosas para seleccionar un subconjunto de dominios candidatos para el análisis de fraude. Algunas realizaciones del filtro 54 de datos de inscripción seleccionan los dominios 66 candidatos al fraude según un registro de inscripción de nombres de dominio de cada dominio alojado conjuntamente. Los registros de inscripción son generados y/o mantenidos por una autoridad de inscripción de dominios (por ejemplo, un registrador de Internet). Para cada nombre de dominio registrado, un registro de inscripción ejemplar puede incluir datos de contacto del solicitante de registro, propietario o administrador del nombre de dominio respectivo (por ejemplo, nombre, dirección, número de teléfono, dirección de correo electrónico, etc.), así como datos generados automáticamente, tales como el ID de un registrador y varias marcas de tiempo que indican un momento en el tiempo en el que se ha registrado el nombre de dominio respectivo, cuándo se ha modificado por última vez el registro de inscripción respectivo, cuándo expira el registro de inscripción respectivo, etc.
Algunos datos de inscripción de nombres de dominio son públicos y pueden consultarse a través de instrucciones informáticas específicas y/o protocolos como WHOIS. En algunas realizaciones, el filtro 54 de datos de inscripción obtiene datos de inscripción de nombres de dominio relacionados con dominios 64 alojados conjuntamente de una base de datos 17 de inscripción de dominios, por ejemplo, utilizando el protocolo de WHOIS. El filtro 54 a continuación, puede buscar dentro de los datos de inscripción de nombre de dominio de cada dominio alojado conjuntamente para un conjunto de patrones indicativos de fraude, para determinar si es probable que un dominio sea fraudulento o no. Algunas realizaciones se basan en la observación de que la inscripción de nombres de dominios fraudulentos a menudo se agrupa en el tiempo (ráfagas de inscripciones de nombres de dominio); tales realizaciones pueden comparar una marca de tiempo de inscripción del nombre de dominio 62 semilla con una marca de tiempo de inscripción de un dominio 64 alojado conjuntamente y seleccione el dominio alojado conjuntamente respectivo en el conjunto de dominios 66 candidatos al fraude según un resultado de la comparación (por ejemplo, cuando las dos inscripciones están muy cerca entre sí en el tiempo).
Otra característica ejemplar indicativa de fraude es el solicitante de registro del nombre de dominio (por ejemplo, propietario, administrador, etc.). Algunas realizaciones del filtro 54 pueden intentar hacer coincidir las credenciales del solicitante de registro con una lista de nombres conocidos, números de teléfono, direcciones, correos electrónicos, etc., obtenidos de los datos de inscripción de nombres de dominio de dominios fraudulentos conocidos, tales como el nombre de dominio 62 semilla. Una coincidencia puede indicar que es probable que el dominio alojado conjuntamente respectivo sea fraudulento, lo que justifica la inclusión del dominio alojado conjuntamente respectivo en el conjunto de candidatos 66 al fraude.
En algunas realizaciones, el filtro 54 puede buscar ciertas características indicativas de fraude en el número de teléfono de un solicitante de registro. En un ejemplo, algunos códigos de área o país pueden considerarse indicativos de fraude. En otro ejemplo, ciertas combinaciones de dígitos dentro de los números de teléfono corresponden a servicios de redireccionamiento automático de llamadas; el número de teléfono respectivo puede parecer un número legítimo, pero llamarlo daría lugar a que la llamada respectiva se redirija a otro número, posiblemente en otro país. Tales patrones de redireccionamiento de llamadas pueden considerarse indicativos de fraude. Algunas realizaciones del filtro 54 de datos de inscripción pueden realizar una búsqueda inversa de números de teléfono y comparar el resultado de la búsqueda con otros datos de inscripción de dominios, como una dirección o un nombre. Cualquier discrepancia puede considerarse indicativa de fraude y puede resultar en la inclusión del dominio alojado conjuntamente respectivo en el conjunto de candidatos al fraude.
Otro criterio ejemplar más para seleccionar un dominio en el conjunto de dominios 66 candidatos al fraude es la dirección de correo electrónico del solicitante de registro. Algunas realizaciones del filtro 54 pueden intentar hacer coincidir la dirección de correo electrónico respectiva con una lista negra de direcciones de correo electrónico obtenidas de documentos fraudulentos conocidos (por ejemplo, páginas web, mensajes de correo electrónico). La lista negra puede comprender además direcciones de correo electrónico obtenidas de los datos de inscripción de dominios de dominios fraudulentos conocidos. Algunas realizaciones del filtro 54 pueden buscar ciertos patrones en el correo electrónico del solicitante de registro, tales como secuencias aparentemente aleatorias de caracteres, direcciones de correo electrónico inusualmente largas, etc. Dichos patrones pueden indicar que la dirección respectiva se ha generado automáticamente, lo que puede ser indicativo de fraude. En algunas realizaciones, el filtro 54 puede determinar si incluir un dominio alojado conjuntamente en el conjunto de candidatos al fraude según un proveedor de una dirección de correo electrónico, por ejemplo, según si el proveedor respectivo permite cuentas de correo electrónico anónimas, según si las direcciones de correo electrónico respectivas se proporcionan de forma gratuita, etc. Algunas realizaciones pueden identificar un servidor de correo electrónico que maneja el correo electrónico destinado y/o que se origina en la dirección de correo electrónico respectiva, y determinar si se incluye un dominio alojado conjuntamente en el conjunto de candidatos al fraude según la identidad de dicho servidor.
En respuesta a la selección de dominios 66 candidatos al fraude, en algunas realizaciones, el analizador 56 de contenido realiza un análisis de contenido para determinar si alguno del conjunto de dominios candidatos al fraude es realmente fraudulento (operación 238 en la Figura 7). El análisis de contenido puede comprender el acceso a un dominio candidato al fraude y el análisis de un contenido de un documento electrónico alojado o distribuido por el dominio respectivo. Cuando el análisis de contenido determina que el documento electrónico es fraudulento, una operación 240 puede determinar que el dominio candidato al fraude respectivo es realmente fraudulento, y puede guardar el nombre de dominio fraudulento recién identificado en una base de datos 15 de dominios fraudulentos.
El análisis de contenido ejemplar de un documento de lenguaje de marcado de hipertexto (HTML) incluye, entre otros, la determinación de si el documento respectivo comprende una página de autenticación de usuario (inicio de sesión). Tales determinaciones pueden incluir la determinación de si la página web respectiva contiene un campo de formulario y/o cualquiera de una pluralidad de palabras clave de autenticación de usuario (por ejemplo, "nombre de usuario", "contraseña", nombres y/o acrónimos de instituciones financieras).
El análisis de contenido puede incluir además la comparación del documento HTML respectivo con un conjunto de documentos fraudulentos conocidos y/o con un conjunto de documentos legítimos. Algunas realizaciones determinan que un documento es fraudulento cuando el documento respectivo es suficientemente similar a un documento fraudulento conocido. Dichos métodos se basan en la observación de que los estafadores a menudo reutilizan una plantilla de documento exitosa, por lo que generalmente hay varios documentos fraudulentos que utilizan aproximadamente el mismo diseño y/o formato.
Sin embargo, un documento también puede ser fraudulento cuando es lo suficientemente similar a un documento legítimo en particular. En uno de tales ejemplos, una página web puede intentar engañar a los usuarios haciéndose pasar por una página web legítima de una institución financiera (por ejemplo, un banco, una compañía de seguros, etc.). Algunas realizaciones del analizador 56 de contenido por lo tanto, utilice el análisis de contenido para determinar si un documento HTML ubicado en un dominio candidato al fraude es un clon ilegítimo de una página web legítima. Tales determinaciones pueden incluir el análisis de un conjunto de elementos gráficos del documento bajo escrutinio (por ejemplo, imágenes, logotipos, esquemas de color, fuentes, estilo de fuente, tamaño de fuente, etc.) y la comparación de dichos elementos con elementos gráficos obtenidos de un conjunto de páginas web legítimas.
El análisis de contenido puede comprender además el análisis de una parte de texto del documento electrónico respectivo. Dicho análisis de texto puede incluir la búsqueda de ciertas palabras clave, el cálculo de la frecuencia de aparición de ciertas palabras y/o secuencias de palabras, la determinación de la posición relativa de ciertas palabras con respecto a otras palabras, etc. Algunas realizaciones determinan una distancia entre documentos indicativa de un grado de similitud entre un documento de destino y un documento de referencia (ya sea fraudulento o legítimo), y determinan si el documento de destino es legítimo según la distancia calculada.
Otro ejemplo de análisis de contenido basado en texto comprende la identificación y extracción de información de contacto de un documento electrónico, tal como un documento HTML o un mensaje de correo electrónico (por ejemplo, una dirección, un número de teléfono de contacto, una dirección de correo electrónico de contacto, etc.). El analizador 56 de contenido puede entonces intentar hacer coincidir los datos de contacto respectivos con una lista negra de datos similares extraídos de documentos fraudulentos conocidos. Por ejemplo, cuando una página web enumera un número de teléfono de contacto que aparece en un sitio web fraudulento, algunas realizaciones pueden concluir que la página web también es fraudulenta. Otras realizaciones buscan patrones indicativos de fraude en los datos de contacto, por ejemplo, números de teléfono con ciertos códigos de país y/o área, patrones de dígitos de números de teléfono que indican servicios de redirección de llamadas, etc. (véase más arriba, en relación con el análisis de los datos de inscripción de dominios).
Otro conjunto ejemplar de métodos de análisis de contenido identifica fragmentos de código colocados dentro de un documento electrónico, tal como el código de seguimiento del tráfico. Los servicios de análisis web (por ejemplo, Google® Analytics®) utilizan un ejemplo de dicho código para calcular y reportar varios datos relacionados con el uso de una página web: número de visitas, referencias, país de origen de las visitas, etc. Dicho código típicamente comprende un ID de cliente único (por ejemplo, ID de seguimiento) que permite al servicio analítico respectivo asociar el documento electrónico respectivo con un cliente particular. Algunas realizaciones del analizador 56 de contenido pueden identificar un ID de seguimiento e intentar hacer coincidir el ID respectivo con una lista negra de dichos ID obtenidos de documentos fraudulentos conocidos. Una coincidencia puede indicar que el documento actualmente analizado también es fraudulento.
Los sistemas y métodos ejemplares descritos anteriormente permiten una detección automática de fraudes en Internet, por ejemplo, de páginas web y mensajes electrónicos fraudulentos. Algunas realizaciones identifican automáticamente un nombre de dominio de Internet fraudulento, es decir, un nombre de un dominio que aloja o distribuye documentos fraudulentos, e impiden que un usuario acceda al nombre de dominio fraudulento respectivo. Las realizaciones alternativas muestran una alerta y/o notifican a un administrador del sistema cuando se intenta acceder a un nombre de dominio fraudulento conocido.
Algunas realizaciones descubren automáticamente un conjunto de nombres de dominios fraudulentos previamente desconocidos basándose en el conocimiento derivado del análisis de un nombre de dominio fraudulento conocido. Tal detección automática posibilita una respuesta rápida a los intentos de fraude emergentes e incluso puede permitir un enfoque proactivo para la prevención del fraude mediante la detección de nombres de dominio que se han registrado, pero que aún no se han utilizado para llevar a cabo actividades fraudulentas.
Algunas realizaciones seleccionan dominios candidatos al fraude entre un conjunto de dominios alojados en la misma máquina o máquinas que el dominio fraudulento conocido. El conjunto de candidatos se puede recortar aún más según los datos de inscripción de dominios. El análisis de contenido, a continuación, se puede utilizar para identificar los dominios verdaderamente fraudulentos dentro del conjunto de candidatos.
Será evidente para un experto en la técnica que las realizaciones anteriores pueden modificarse de muchas formas sin desviarse del alcance de la invención. Por consiguiente, el alcance de la invención debería estar determinado por las siguientes reivindicaciones y sus equivalentes legales.

Claims (21)

REIVINDICACIONES
1. - Un sistema informático que comprende al menos un procesador de hardware configurado para operar un mapeador (52) inverso de direcciones, un filtro (54) de datos de inscripción conectado al mapeador inverso de direcciones y un analizador (56) de contenido conectado al filtro de datos de inscripción, en donde: el mapeador inverso de direcciones está configurado para identificar un conjunto de dominios (64) de Internet alojados conjuntamente según un dominio de Internet fraudulento conocido, en donde el dominio de Internet fraudulento conocido está ubicado en una dirección de Protocolo de Internet (IP) de destino, y en donde la identificación del conjunto de dominios de Internet alojados conjuntamente comprende la selección del conjunto de dominios de Internet alojados conjuntamente de manera que todos los miembros del conjunto de dominios de Internet alojados conjuntamente estén ubicados en la dirección IP de destino; el filtro de datos de inscripción está configurado para: recibir el conjunto de dominios de Internet alojados conjuntamente del mapeador inverso de direcciones ; y filtrar el conjunto recibido de dominios de Internet alojados conjuntamente para producir un subconjunto de dominios (66) candidatos al fraude, en donde la filtración del conjunto de dominios de Internet alojados conjuntamente comprende:
la determinación de si se cumple una condición de selección según los datos de inscripción de nombre de dominio que caracterizan un dominio del conjunto de dominios de Internet alojados conjuntamente, y
en respuesta, seleccionar el dominio en el subconjunto de dominios candidatos al fraude cuando se cumple la condición de selección; y
el analizador de contenido está configurado para:
recibir el subconjunto de dominios candidatos al fraude del filtro de datos de inscripción,
analizar un documento electrónico distribuido por un dominio candidato seleccionado del subconjunto recibido de dominios candidatos al fraude para determinar si el documento electrónico es fraudulento, y
en respuesta, cuando el documento electrónico sea fraudulento, determinar que el dominio candidato es fraudulento (68).
2. - El sistema informático de la reivindicación 1, en donde la determinación de si se cumple la condición de selección comprende la comparación de los datos de inscripción de nombre de dominio que caracterizan el dominio con los datos de inscripción de nombre de dominio que caracterizan el dominio de Internet fraudulento conocido.
3. - El sistema informático de la reivindicación 2, en donde la determinación de si se cumple la condición de selección comprende la comparación de una marca de tiempo de inscripción del dominio con una marca de tiempo de inscripción del dominio de Internet fraudulento conocido.
4. - El sistema informático de la reivindicación 1, en donde los datos de inscripción de nombre de dominio que caracterizan el dominio comprenden una dirección de correo electrónico, y en donde el filtro de datos de inscripción está configurado para determinar si se cumple la condición de selección según la dirección de correo electrónico.
5. - El sistema informático de la reivindicación 4, en donde el filtro de datos de inscripción está configurado para determinar si se cumple la condición de selección según una longitud de la dirección de correo electrónico.
6. - El sistema informático de la reivindicación 4, en donde el filtro de datos de inscripción está configurado para determinar si se cumple la condición de selección según una identidad de un servidor de correo que maneja el correo electrónico enviado a la dirección de correo electrónico.
7. - El sistema informático de la reivindicación 4, en donde el filtro de datos de inscripción está configurado para determinar si se cumple la condición de selección según si un proveedor de la dirección de correo electrónico permite cuentas de correo electrónico anónimas.
8. - El sistema informático de la reivindicación 4, en donde el filtro de datos de inscripción está configurado para determinar si se cumple la condición de selección según una probabilidad de que la dirección de correo electrónico se genere automáticamente.
9. - El sistema informático de la reivindicación 1, en donde los datos de inscripción de nombre de dominio que caracterizan el dominio comprenden un número de teléfono, y en donde el filtro de datos de inscripción está configurado para determinar si se cumple la condición de selección según el número de teléfono.
10. - El sistema informático de la reivindicación 9, en donde la determinación de si se cumple la condición de selección comprende la realización de una búsqueda inversa de número de teléfono para determinar una entidad propietaria del número de teléfono, y en donde el filtro de datos de inscripción está configurado para determinar si se cumple la condición de selección según un resultado de la búsqueda inversa del número de teléfono.
11. - Un método para identificar dominios de Internet fraudulentos, comprendiendo el método:
el empleo de al menos un procesador de hardware para identificar un conjunto de dominios (64) de Internet alojados conjuntamente según un dominio de Internet fraudulento conocido, en donde el dominio de Internet fraudulento conocido está ubicado en una dirección de Protocolo de Internet (IP) de destino, y en donde la identificación del conjunto de dominios de Internet alojados conjuntamente comprende la selección del conjunto de dominios de Internet alojados conjuntamente de manera que todos los miembros del conjunto de dominios de Internet alojados conjuntamente estén ubicados en la dirección IP de destino;
en respuesta a la identificación del conjunto de dominios de Internet alojados conjuntamente, emplear al menos un procesador de hardware para filtrar el conjunto de dominios de Internet alojados conjuntamente para producir un subconjunto de dominios (66) candidatos al fraude, en donde la filtración del conjunto de dominios de Internet alojados conjuntamente comprenden:
la determinación de si se cumple una condición de selección según los datos de inscripción de nombre de dominio que caracterizan un dominio del conjunto de dominios de Internet alojados conjuntamente, y
en respuesta, seleccionar el dominio en el subconjunto de dominios candidatos al fraude cuando se cumple la condición de selección;
en respuesta a la producción del conjunto de dominios de Internet alojados conjuntamente, emplear el al menos un procesador de hardware para analizar un documento electrónico distribuido por un dominio candidato seleccionado del subconjunto de dominios candidatos al fraude, para determinar si el documento electrónico es fraudulento; y en respuesta al análisis del documento electrónico, cuando el documento electrónico es fraudulento, determinar que el dominio candidato es fraudulento (68)
12. - El método de la reivindicación 11, en donde la determinación de si se cumple la condición de selección comprende la comparación de los datos de inscripción de nombre de dominio que caracterizan el dominio con los datos de inscripción de nombre de dominio que caracterizan el dominio de Internet fraudulento conocido.
13. - El método de la reivindicación 12, en donde la determinación de si se cumple la condición de selección comprende la comparación de una marca de tiempo de inscripción del dominio con una marca de tiempo de inscripción del dominio de Internet fraudulento conocido.
14. - El método de la reivindicación 11, en donde los datos de inscripción del nombre de dominio que caracterizan el dominio comprenden una dirección de correo electrónico, y en donde el método comprende la determinación de si se cumple la condición de selección según la dirección de correo electrónico.
15. - El método de la reivindicación 14, que comprende la determinación de si se cumple la condición de selección según la longitud de la dirección de correo electrónico.
16. - El método de la reivindicación 14, que comprende la determinación de si se cumple la condición de selección según una identidad de un servidor de correo que maneja el correo electrónico enviado a la dirección de correo electrónico.
17. - El método de la reivindicación 14, que comprende la determinación de si se cumple la condición de selección según si un proveedor de la dirección de correo electrónico permite cuentas de correo electrónico anónimas.
18. - El método de la reivindicación 14, que comprende la determinación de si se cumple la condición de selección según una probabilidad de que la dirección de correo electrónico se genere automáticamente.
19. - El método de la reivindicación 11, en donde los datos de inscripción del nombre de dominio que caracterizan el dominio comprenden un número de teléfono, y en donde el método comprende la determinación de si se cumple la condición de selección según el número de teléfono.
20. - El método de la reivindicación 19, en donde la determinación de si se cumple la condición de selección comprende la realización de una búsqueda inversa de número de teléfono para determinar una entidad propietaria del número de teléfono, y en donde el método comprende la determinación de si se cumple la condición de selección según un resultado de la búsqueda inversa de número de teléfono.
21. - Un medio legible por ordenador no transitorio que almacena instrucciones que, cuando son ejecutadas por al menos un procesador de hardware, hacen que el procesador de hardware forme un mapeador (52) inverso de direcciones un filtro (54) de datos de inscripción conectado al mapeador inverso de direcciones, y un analizador (56) de contenido conectado al filtro de datos de inscripción, en donde:
el mapeador inverso de direcciones está configurado para identificar un conjunto de dominios (64) de Internet alojados conjuntamente según un dominio de Internet fraudulento conocido, en donde el dominio de Internet fraudulento conocido está ubicado en una dirección de Protocolo de Internet (IP) de destino, y en donde la identificación del conjunto de dominios de Internet alojados conjuntamente comprende la selección del conjunto de dominios de Internet alojados conjuntamente de manera que todos los miembros del conjunto de dominios de Internet alojados conjuntamente estén ubicados en la dirección IP de destino;
el filtro de datos de inscripción está configurado para:
recibir el conjunto de dominios de Internet alojados conjuntamente del mapeador inverso de direcciones; y filtrar el conjunto recibido de dominios de Internet alojados conjuntamente para producir un subconjunto de dominios (66) candidatos al fraude, en donde la filtración del conjunto de dominios de Internet alojados conjuntamente comprende:
la determinación de si se cumple una condición de selección según los datos de inscripción de nombre de dominio que caracterizan un dominio del conjunto de dominios de Internet alojados conjuntamente, y en respuesta, seleccionar el dominio en el subconjunto de dominios candidatos al fraude cuando se cumple la condición de selección; y
el analizador de contenido está configurado para:
recibir el subconjunto de dominios candidatos al fraude del filtro de datos de inscripción,
analizar un documento electrónico distribuido por un dominio candidato seleccionado del subconjunto recibido de dominios candidatos al fraude para determinar si el documento electrónico es fraudulento, y
en respuesta, cuando el documento electrónico sea fraudulento, determinar que el dominio candidato es fraudulento (68).
ES17742672T 2016-07-11 2017-07-10 Sistema y métodos para detectar fraudes en línea Active ES2874148T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/206,761 US10171497B2 (en) 2016-07-11 2016-07-11 Systems and methods for detecting online fraud
PCT/EP2017/067192 WO2018011104A1 (en) 2016-07-11 2017-07-10 System and methods for detecting online fraud

Publications (1)

Publication Number Publication Date
ES2874148T3 true ES2874148T3 (es) 2021-11-04

Family

ID=59384138

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17742672T Active ES2874148T3 (es) 2016-07-11 2017-07-10 Sistema y métodos para detectar fraudes en línea

Country Status (12)

Country Link
US (2) US10171497B2 (es)
EP (1) EP3482334B1 (es)
JP (1) JP6871357B2 (es)
KR (1) KR102130122B1 (es)
CN (1) CN109690547B (es)
AU (1) AU2017295738B2 (es)
CA (1) CA3027470C (es)
ES (1) ES2874148T3 (es)
IL (1) IL265307B (es)
RU (1) RU2744671C2 (es)
SG (1) SG11201811343SA (es)
WO (1) WO2018011104A1 (es)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016154419A1 (en) 2015-03-25 2016-09-29 Equifax, Inc. Detecting synthetic online entities
US10860715B2 (en) * 2016-05-26 2020-12-08 Barracuda Networks, Inc. Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets
US20180077227A1 (en) * 2016-08-24 2018-03-15 Oleg Yeshaya RYABOY High Volume Traffic Handling for Ordering High Demand Products
US10498753B1 (en) * 2016-12-08 2019-12-03 Jpmorgan Chase Bank, N.A. System and method for identifying potentially fraudulent domain name and identifiers
US11036767B2 (en) 2017-06-26 2021-06-15 Jpmorgan Chase Bank, N.A. System and method for providing database abstraction and data linkage
EP4312420A3 (en) * 2018-02-20 2024-04-03 Darktrace Holdings Limited A method for sharing cybersecurity threat analysis and defensive measures amongst a community
WO2020044469A1 (ja) * 2018-08-29 2020-03-05 Bbソフトサービス株式会社 不正Webページ検出装置、不正Webページ検出装置の制御方法及び制御プログラム
US11252127B2 (en) * 2018-12-11 2022-02-15 Level 3 Communications, Llc Systems and methods for processing requests for content of a content distribution network
JP6998294B2 (ja) * 2018-12-12 2022-01-18 Kddi株式会社 検知装置、検知方法及び検知プログラム
US10887278B2 (en) * 2019-01-10 2021-01-05 Proofpoint, Inc. Systems and methods for discovery of brand-registered domain names
US11411991B2 (en) * 2019-07-09 2022-08-09 Mcafee, Llc User activity-triggered URL scan
JP7069090B2 (ja) * 2019-08-19 2022-05-17 Kddi株式会社 解析装置、検出装置、システム及びプログラム
KR102051350B1 (ko) * 2019-09-05 2019-12-03 (주)에스투더블유랩 암호화폐 거래를 분석하기 위한 데이터 획득 방법 및 장치
US10755095B1 (en) * 2020-01-02 2020-08-25 Capital One Services, Llc System for scanning solicitations for fraud detection
WO2021155388A2 (en) * 2020-05-21 2021-08-05 Futurewei Technologies, Inc. Domain name system (dns) services for variable-length address (vla) networks
CN114205460A (zh) * 2020-09-01 2022-03-18 中国移动通信集团有限公司 不良电话号码识别方法、装置、存储介质和计算机设备
US11699156B2 (en) * 2020-09-15 2023-07-11 Capital One Services, Llc Advanced data collection using browser extension application for internet security
CN112818278B (zh) * 2021-02-07 2022-06-03 国网湖南省电力有限公司 互联网托管网站的排查方法及排查系统
CN113115311B (zh) * 2021-04-12 2022-12-06 江苏通付盾科技有限公司 一种基于支持向量机模型的欺诈行为的识别方法及系统
CN112995357B (zh) * 2021-04-21 2021-07-23 腾讯科技(深圳)有限公司 基于云托管服务的域名管理方法、装置、介质及电子设备
KR102684310B1 (ko) * 2022-02-25 2024-07-11 주식회사 에이아이스페라 Dns 서비스를 이용하는 악성 사이트의 숨겨진 ip 주소를 찾는 방법 및 장치

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8661539B2 (en) * 2000-07-10 2014-02-25 Oracle International Corporation Intrusion threat detection
US8990928B1 (en) * 2003-12-11 2015-03-24 Radix Holdings, Llc URL salience
US7457823B2 (en) * 2004-05-02 2008-11-25 Markmonitor Inc. Methods and systems for analyzing data related to possible online fraud
US8769671B2 (en) 2004-05-02 2014-07-01 Markmonitor Inc. Online fraud solution
US8056128B1 (en) * 2004-09-30 2011-11-08 Google Inc. Systems and methods for detecting potential communications fraud
US8032449B2 (en) * 2007-03-08 2011-10-04 Soft Route Corporation Method of processing online payments with fraud analysis and management system
US20160012223A1 (en) * 2010-10-19 2016-01-14 Cyveillance, Inc. Social engineering protection appliance
US9985978B2 (en) 2008-05-07 2018-05-29 Lookingglass Cyber Solutions Method and system for misuse detection
US8381292B1 (en) 2008-12-30 2013-02-19 The Uab Research Foundation System and method for branding a phishing website using advanced pattern matching
JP2011193343A (ja) * 2010-03-16 2011-09-29 Kddi Corp 通信ネットワーク監視システム
JP2011237979A (ja) * 2010-05-10 2011-11-24 Kddi Corp ウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラム
CN102291268B (zh) * 2011-09-23 2014-11-26 杜跃进 一种基于安全域名服务器系统的恶意域名监控方法
US9189746B2 (en) * 2012-01-12 2015-11-17 Microsoft Technology Licensing, Llc Machine-learning based classification of user accounts based on email addresses and other account information
US8813239B2 (en) * 2012-01-17 2014-08-19 Bitdefender IPR Management Ltd. Online fraud detection dynamic scoring aggregation systems and methods
CA2905996C (en) * 2013-03-13 2022-07-19 Guardian Analytics, Inc. Fraud detection and analysis
US20150067853A1 (en) * 2013-08-27 2015-03-05 Georgia Tech Research Corporation Systems and methods for detecting malicious mobile webpages
JP5813810B2 (ja) * 2014-03-19 2015-11-17 日本電信電話株式会社 ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
US11188916B2 (en) * 2014-03-28 2021-11-30 First Data Resources, Llc Mitigation of fraudulent transactions conducted over a network
US20150350229A1 (en) * 2014-05-29 2015-12-03 Singularity Networks, Inc. Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data
US10185761B2 (en) * 2015-08-07 2019-01-22 Cisco Technology, Inc. Domain classification based on domain name system (DNS) traffic
US9654492B2 (en) * 2015-09-15 2017-05-16 Mimecast North America, Inc. Malware detection system based on stored data
US10178121B2 (en) * 2015-10-01 2019-01-08 Michael Klatt Domain reputation evaluation process and method
US10178107B2 (en) * 2016-04-06 2019-01-08 Cisco Technology, Inc. Detection of malicious domains using recurring patterns in domain names

Also Published As

Publication number Publication date
SG11201811343SA (en) 2019-01-30
RU2019103228A3 (es) 2020-11-03
EP3482334B1 (en) 2021-03-17
RU2019103228A (ru) 2020-08-11
US20190132357A1 (en) 2019-05-02
WO2018011104A1 (en) 2018-01-18
US20180013789A1 (en) 2018-01-11
CN109690547B (zh) 2023-05-05
CA3027470A1 (en) 2018-01-18
KR20190026691A (ko) 2019-03-13
JP6871357B2 (ja) 2021-05-12
RU2744671C2 (ru) 2021-03-12
US11388193B2 (en) 2022-07-12
CN109690547A (zh) 2019-04-26
AU2017295738A1 (en) 2019-01-03
KR102130122B1 (ko) 2020-07-06
EP3482334A1 (en) 2019-05-15
IL265307B (en) 2021-12-01
IL265307A (en) 2019-05-30
US10171497B2 (en) 2019-01-01
AU2017295738B2 (en) 2021-07-01
JP2019528509A (ja) 2019-10-10
CA3027470C (en) 2021-11-30

Similar Documents

Publication Publication Date Title
ES2874148T3 (es) Sistema y métodos para detectar fraudes en línea
ES2866723T3 (es) Métodos y sistemas de agregación de puntuaciones dinámicas de detección de fraude en línea
US9015090B2 (en) Evaluating a questionable network communication
US8775524B2 (en) Obtaining and assessing objective data ralating to network resources
US11265323B2 (en) Fictitious account generation on detection of account takeover conditions
US8713677B2 (en) Anti-phishing system and method
US20060070126A1 (en) A system and methods for blocking submission of online forms.
CA2921345A1 (en) Evaluating a questionable network communication
US20150067772A1 (en) Apparatus, method and computer-readable storage medium for providing notification of login from new device
Choudhary et al. Comparative analysis of mobile phishing detection and prevention approaches
EP3451223B1 (en) Systems and methods for detecting fraudulent use of a serial code for accessing an associated value stored on a network
Abiodun et al. Linkcalculator—An efficient link-based phishing detection tool
KR20070019896A (ko) 유알엘과 중요정보 필터링을 통한 피싱방지 기법 및프로그램
Singh et al. Phishing: A computer security threat
Curran et al. Integrating geolocation into electronic finance applications for additional security
Grobler Phishing for fortune
Andrushchak Andrushchak I. Ye. Features of the main directions, techniques and methods of protection against fishing at-tacks
Sujatha et al. URL Analysis and cross site scripting with secured authentication protocol system in financial services
Jakobsson et al. Phishing