IT202000006340A1 - Metodo per monitorare e proteggere l’accesso ad un servizio online - Google Patents

Metodo per monitorare e proteggere l’accesso ad un servizio online Download PDF

Info

Publication number
IT202000006340A1
IT202000006340A1 IT102020000006340A IT202000006340A IT202000006340A1 IT 202000006340 A1 IT202000006340 A1 IT 202000006340A1 IT 102020000006340 A IT102020000006340 A IT 102020000006340A IT 202000006340 A IT202000006340 A IT 202000006340A IT 202000006340 A1 IT202000006340 A1 IT 202000006340A1
Authority
IT
Italy
Prior art keywords
online service
username
traffic
characteristic data
monitoring
Prior art date
Application number
IT102020000006340A
Other languages
English (en)
Inventor
Nicolò Pastore
Emanuele Parrinello
Carmine Giangregorio
Original Assignee
Cleafy Spa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cleafy Spa filed Critical Cleafy Spa
Priority to IT102020000006340A priority Critical patent/IT202000006340A1/it
Priority to EP21164170.9A priority patent/EP3885946B1/en
Priority to ES21164170T priority patent/ES2937143T3/es
Priority to US17/211,646 priority patent/US20210306369A1/en
Publication of IT202000006340A1 publication Critical patent/IT202000006340A1/it

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computer And Data Communications (AREA)
  • Maintenance And Inspection Apparatuses For Elevators (AREA)
  • Indicating And Signalling Devices For Elevators (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

TITOLO: ?Metodo per monitorare e proteggere l?accesso ad un servizio online?.
DESCRIZIONE
CAMPO DI APPLICAZIONE
La presente descrizione ha per oggetto un metodo per monitorare e proteggere da account take over l?accesso ad un servizio online. In particolare, la presente invenzione ha per oggetto un metodo per monitorare e proteggere l?accesso ad una applicazione web o mobile.
La presente descrizione si riferisce ad un metodo per monitorare e proteggere da account take over l?accesso ad un servizio online come ad un metodo per monitorare e proteggere l?accesso ad una applicazione web o mobile nei confronti di attacchi informatici da parte di malware, ad esempio del tipo Man-In-The-Browser e/o Manin-the-middle e/o Bot attack, finalizzati al furto di credenziali dell?utente o cosiddetto Account Takeover, abbr.: ATO.
Descrizione della tecnica anteriore
E? noto nello stato della tecnica l?impiego di software antivirus per contrastare attacchi informatici, anche del tipo Man-In-The-Browser e/o Man-in-the-middle e/o Bot attack.
Ad esempio, il Man in the Browser ? una categoria di attacco che consiste nella manipolazione diretta del Web browser al fine di modificare il contenuto visualizzato normalmente dall'utente quando visita un sito Web. Gli attacchi Man-in-the-Browser (MitB) vengono eseguiti utilizzando malware installati sul computer all?insaputa dell?utente. Tali malware (e.g., Proxy Trojan horse) interagiscono con la memoria dei processi del Web browser, in modo da reindirizzare il normale flusso di chiamate di sistema (utilizzate dal Web browser) a delle funzionalit? del malware che hanno, ad esempio, lo scopo di iniettare del codice HTML aggiuntivo nella pagina Web scaricata. E? opportuno evidenziare che, nel caso di attacco Man-In-The-Browser, la connessione avviene infatti al Web server originale del sito attaccato, rendendo estremamente difficile rilevare l'attacco. Pertanto, il Web browser e la Web application non sono in grado di individuare il contenuto che il malware ha aggiunto a quello effettivamente scaricato dal Web server. Sono stati constatati diversi tipi di attacco del tipo Man-In-The-Browser, fra cui il furto dei codici delle carte di credito da siti di ebanking ed e-commerce e l'esecuzione di transazioni economiche fraudolente spesso avviate in automatico senza l'interazione dell?utente.
In dettaglio, quando un utente richiede una pagina Web (i.e., web application) mediante un Web browser, il Web server in cui risiede la pagina web invia un codice sorgente HTML (DOM, Document Object Model) al Web browser. Il codice DOM viene passato al motore di rendering del Web browser per poter essere visualizzato dall?utente. Ad esempio, nel caso di un PC infettato da un malware, il codice DOM che il Web browser riceve dal Web server viene modificato dal malware prima di essere processato dal motore di rendering del Web browser. Infatti, il malware inietta un codice aggiuntivo (e.g., script) nel codice DOM ricevuto dal web server in modo da modificare il contenuto visualizzato dall?utente. Le modifiche apportate dal malware al codice DOM scaricato dal web server sono modifiche del codice HTML e/o javascript, e/o altro contenuto o risorsa web. In altre parole, il web browser ? connesso al web server originale mentre il malware causa delle modifiche al codice DOM scaricato. Tali modifiche possono includere alterazioni grafiche e/o comportamentali. Pertanto, l?utente visualizza una pagina web modificata nel comportamento e/o nella rappresentazione grafica rispetto alla pagina web originariamente richiesta dal client. Il client, involontariamente, conferisce accesso ai propri dati personali o autorizza azioni fraudolente a suo carico.
A titolo esemplificativo, nel mondo bancario il computer infettato da malware si collega normalmente con protocollo HTTP al sito dell'online banking, scaricando i dati della pagina Web. Tali dati vengono per? alterati in tempo reale dal malware aggiungendo script che consentono di richiedere i dati di accesso dell?utente alla pagina Web dell?online banking.
Un ulteriore esempio ? costituito dai Bot Attack, come illustrato in figura 1. Tali attacchi si concretizzano attraverso richieste della pagina provenienti da un sistema automatico, anzich? da una persona umana. Ci? pu? comportare un consumo di banda molto elevato per il fornitore del servizio. Inoltre, i sistemi automatici potrebbero fare usi indesiderabili e illegali del servizio. Noti esempi sono il web scraping (i.e., estrazione di dati dal servizio web) o il carding (i.e., nella fase di validazione delle carte di credito rubate), oppure il login brute-force (i.e., tentativo di ricerca delle credenziali di un utente nella pagina di login di una applicazione web).
Su dispositivi mobile i malware operanti potrebbero appartenere alle tipologie sopra descritte oppure potrebbero appartenere a tipologie specifiche. Per esempio, un malware di tipo Overlay potrebbe esibire un?interfaccia grafica identica o simile ad un?applicazione mobile legittima relativa ad un servizio che richiede delle credenziali. Un utente potrebbe non riuscire a distinguere l?applicazione legittima dall?applicazione Overlay malevola e inserire le credenziali del servizio all?interno di quest?ultima. In seguito, l?applicazione Overlay potrebbe inviare le credenziali ad un?entit? malevola tramite una connessione dai (ad esempio, WiFi, 3G, 4G e 5G).
I sopracitati malware, come gi? precisato, possono essere impiegati per sottrarre dati sensibili all?utente, come ad esempio le credenziali di accesso ad un sito di online banking. In queste circostanze, il malware impedisce all?utente di eseguire il login al sito di online banking. Infatti, le credenziali inserite dall?utente che pensa di accedere regolarmente alla piattaforma di online banking, vengono invece fornite al malware che ha simulato l?interfaccia di accesso al sito e che intrattiene l?utente ricreando una emulazione della pagina web dell?online banking. Una volta sottratti questi dati all?utente, il malware pu? inviare le credenziali raccolte ad un frodatore. Parallelamente alla sessione aperta su cui sta operando l?utente che non si ? autenticato, il frodatore apre una nuova pagina in cui inserisce le credenziali dell?utente per autenticarsi. Una volta autenticatosi, il frodatore pu? predisporre liberamente dell?account dell?utente ignaro, avviando operazioni fraudolente. Questo tipo di tecnica viene definita nel settore come Account Takeover (ATO), in quanto il frodatore prende il controllo dell?account agendo al posto dell?utente senza incontrare alcun tipo di intralcio. Inoltre, l?attacco potrebbe protrarsi qualora il frodatore riuscisse a sfruttare ulteriormente la sessione aperta infettata dal malware per ottenere dall?utente anche altri dati sensibili, come ad esempio credenziali di accesso di livello superiore necessarie per svolgere ingenti transazioni di denaro.
Inoltre, occorre precisare che un frodatore potrebbe eseguire un attacco di tipo Account Takeover senza utilizzare un Malware. Un attacco di questo tipo potrebbe impiegare tecniche note come phishing. Per esempio, il frodatore potrebbe indurre un utente a navigare su un sito identico a quello del servizio online autenticato. Una tecnica potrebbe sfruttare l?invio di una e-mail con una grafica simile a quella di un?entit? ufficiale contente un link al sito di phishing malevolo. L?ignaro utente potrebbe non distinguere il sito legittimo da quello malevolo e inserire le proprie credenziali in quest?ultimo. Il sito malevolo ? controllato dal frodatore, pertanto le credenziali vengono registrate o direttamente inviate al frodatore. Successivamente il frodatore pu? usare le credenziali raccolte per autenticarsi presso il servizio online ed eseguire liberamente le operazioni.
Esistono tecniche note finalizzate all?identificazione di tali attacchi di phishing che prevedono l?inserimento di risorse all?interno di un sito, come per esempio un?immagine. Poich? il frodatore potrebbe copiare l?intero sito web su un server di phishing da esso controllato, tali risorse potrebbero rimanere immutate nel sito fraudolento. Quanto il sito fraudolento viene visualizzato all?interno di un browser web queste risorse vengono scaricate dal server originale poich?, nel frattempo, sono rimaste immutate. In questo modo, analizzando le richieste al server originale ? possibile evidenziare un attacco di phishing tramite la presenza di richieste di risorse provenienti da un sito diverso da quello legittimo.
Problema della tecnica anteriore
I sistemi noti consentono di individuare ed eventualmente bloccare l?azione di un malware. Si vedano ad esempio i documenti EP 3021 550 A1 ed EP 3021 551 A1 che descrivono, rispettivamente, un metodo di malware detection ed un metodo di malware protection.
Tuttavia, nel caso di specie prima descritto, non ? possibile conoscere quale sia l?identit? dell?utente che, ignaro di essere stato attaccato dal malware, non si ? autenticato. Nello scenario in cui vi ? un malware in una sessione non ancora autenticata, nella tecnica nota consente di identificare la presenza del malware ma non ? possibile sapere a chi appartiene quella sessione infetta. Ne consegue che il malware ha la facolt? di recuperare dati sensibili della sessione inoltrando ad un frodatore che aprir? una nuova sessione identificandosi con i dati appena sottratti. La nuova sessione viene quindi riconosciuta come valida in quanto autenticata. Come anticipato prima, la nuova sessione vien aperta utilizzando dati sottratti all?utente con la cosiddetta tecnica di account take over.
Pertanto, quando il frodatore apre una nuova sessione della piattaforma dell?online banking ed esegue regolarmente l?accesso, essendo egli provvisto delle giuste credenziali dell?utente ignaro, nulla pu? essere fatto per impedire la sua condotta fraudolenta ai danni dell?utente.
Inoltre, le tecniche utilizzate per identificare gli attacchi di phishing non permetto di associare l?utenza interessata all?attacco phishing individuato.
SOMMARIO DELL?INVENZIONE
Scopo dell?invenzione in oggetto ? quello di realizzare un metodo per monitorare e proteggere l?accesso ad un servizio online in grado di superare gli inconvenienti della tecnica nota.
Ulteriore scopo della presente invenzione ? quello di realizzare un metodo per monitorare e proteggere l?accesso ad un servizio online, come una applicazione web o mobile, che consenta di proteggere l?utente da attacchi del tipo Account Takeover.
Vantaggi dell?invenzione
Grazie ad una forma di realizzazione, ? possibile realizzare un metodo che consente di monitorare e proteggere l?accesso ad un servizio online, come una applicazione web o mobile, da attacchi del tipo Account Takeover, riducendo i rischi di frode ai danni l?utente.
Grazie ad una ulteriore forma di realizzazione, ? possibile realizzare un metodo che consente di riconoscere uno o pi? possibili utenti celati dietro una sessione di navigazione anonima dell?applicazione web o mobile attaccata dal malware, cos? da poter proteggere le sessioni di navigazione autenticate avviate formalmente da tali utenti, ma potenzialmente da un frodatore che ha sottratto le credenziali all?utente.
BREVE DESCRIZIONE DEI DISEGNI
Le caratteristiche ed i vantaggi della presente divulgazione risulteranno evidenti dalla seguente descrizione dettagliata di una possibile forma di realizzazione pratica, illustrata a titolo di esempio non limitativo nell?insieme dei disegni, in cui:
- le figure 1 e 2 mostrano un sistema 100 nel quale ? possibile applicare una prima forma realizzativa del metodo della presente invenzione;
- la figura 3 mostra un diagramma di flusso di una sequenza di fasi di un esempio realizzativo del metodo secondo la prima forma realizzativa della presente invenzione;
- la figura 4 mostra un diagramma di flusso di una ulteriore sequenza di fasi dell?esempio di figura 3;
- la figura 5 mostra un diagramma di flusso di una ulteriore sequenza di fasi del dell?esempio delle figure 3 e 4;
- la figura 6 mostra un sistema 100 nel quale ? possibile applicare una seconda forma realizzativa del metodo della presente invenzione.
DESCRIZIONE DETTAGLIATA
Anche qualora non esplicitamente evidenziato, le singole caratteristiche descritte in riferimento alle specifiche realizzazioni dovranno intendersi come accessorie e/o intercambiabili con altre caratteristiche, descritte in riferimento ad altri esempi di realizzazione.
La presente invenzione riguarda un metodo per monitorare e proteggere da account take over l?accesso ad un servizio online. In particolare, oggetto della presente invenzione ? un metodo per monitorare e proteggere l?account da un utente da un attacco da parte di un frodatore F, ad esempio con l?impiego di un malware M, volto al furto di credenziali dell?utente per l?accesso al servizio online.
Nell?ambito della presente invenzione, per servizio online si intende un servizio o applicazione web e mobile che richiede credenziali per essere utilizzato da un utente in modo sicuro. Un servizio online molto diffuso riguarda le piattaforme bancarie online, web o mobile, che consentono agli utenti registrati e autenticati di poter eseguire operazioni finanziare online, come ad esempio transazioni finanziarie. Nello specifico, un servizio di Home Banking dove un utente ha la possibilit? di effettuare un bonifico dopo essersi autenticato con delle credenziali, ad esempio username e password e, opzionalmente, un token temporaneo.
Nelle unite figure 1 e 2, con il numero 100 si fa riferimento ad un sistema nel quale ? possibile applicare una prima forma realizzativa del metodo della presente invenzione. In altre parole, si fa riferimento al sistema 100 come ad un ambiente di rete, chiaramente costituito da dispositivi e componenti di rete per la navigazione in internet di tipo hardware, come ad esempio server, database e unit? di elaborazione, nel quale ? possibile applicare la prima forma di realizzazione del metodo della presente invenzione.
Il metodo per monitorare e proteggere da account take over l?accesso ad un servizio online comprende la fase di fornire un traffic inspector 1 in comunicazione di segnale con almeno un dispositivo client 2 per la navigazione in internet e con un web server 4 nel quale risiede il servizio online.
Nell?ambito della presente invenzione, per dispositivo client 2 si intende un dispositivo per la navigazione in internet posto in comunicazione di segnale con il web server 4. Il dispositivo client 2 ? in grado di inviare delle richieste al web server 4 e di ricevere risposte attraverso una rete internet. Il dispositivo client 2 pu? essere un tablet, un computer portatile, un computer desktop, una smart tv, uno smartwatch, uno smartphone oppure ogni altro dispositivo con capacit? di elaborazione, di comunicazione con un web server 4 e di visualizzazione dei contenuti ottenuti dal web server 4 oppure di contenuti gi? presenti all?interno del dispositivo client 2. I contenuti potrebbero essere visualizzati da un browser oppure da altri tipi di software. Tali contenuti potrebbero essere in formato HTML, JavaScript oppure altri analoghi formati di tipo noto. Inoltre, il dispositivo client 2 potrebbe contenere sistemi operativi noti quali ad esempio Android, iOS o Microsoft Windows.
Preferibilmente, nel dispositivo client 2 risiede un web browser 3 se il dispositivo client 2 ? un computer, o un?applicazione mobile se il dispositivo client 2 ? ad esempio uno smartphone o tablet.
Nel prosieguo, per brevit? espositiva, si far? riferimento unicamente al caso esemplificativo del web browser 3 residente nel dispositivo client 2.
Il metodo comprendente altres? la fase di fornire un traffic analyzer 5 in comunicazione di segnale con il traffic inspector 1.
Nell?ambito della presente invenzione, per traffic inspector 1 si intende un dispositivo inline sul traffico Web tra ciascun dispositivo client 2 e il web server 4 nel quale risiede il servizio online. Pertanto, il traffic inspector 1 ? in grado di intercettare le seguenti informazioni relative alla comunicazione: indirizzo IP di una richiesta HTTP, i cookie, gli headers ed il body della medesima richiesta HTTP. Il traffic inspector 1 ? preferibilmente un dispositivo hardware, su cui risiedono componenti software, configurato per generare un codice univoco e per inserirlo in un cookie all?interno della risposta alla richiesta HTTP. Pi? preferibilmente, il traffic inspector 1 ? configurato per modificare il codice DOM di una pagina web aggiungendo il codice necessario per generare ed inviare una fingerprint. Inoltre, il traffic inspector 1 ? configurato per inviare al traffic analyzer 5 tutte le informazioni raccolte nel corso delle sessioni di navigazioni di ciascun utente sul servizio online residente nel web server 4.
Nell?ambito della presente invenzione, per traffic analyzer 5 si intende un dispositivo hardware, in cui sono residenti componenti software quali algoritmi 7, 8, 9, 10 per: estrarre lo username delle informazioni ricevute dal traffic inspector 1 (algoritmo di estrazione 10); associare lo username alle informazioni univoche della richiesta HTTP dalla quale ? stato estratto, come IP, e UUID inserito in un cookie; stimare lo username che ha generato la richiesta HTTP nell?eventualit? in cui tale richiesta non contenga delle effettive credenziali, la stima essendo basata sulle informazioni univoche presenti nella richiesta HTTP associate allo/agli username stimato/i (algoritmo di user prediction 7); identificare un attacco di account takeover (algoritmo di detection 8); proteggere l?utente in caso di attacco (algoritmo di protection 9). Inoltre, il traffic analyzer 5 comprende preferibilmente un database 6 per memorizzare tali associazioni A tra username e informazioni univoche quali, ad esempio IP e UUID.
Occorre precisare che, secondo una soluzione preferita dell?invenzione, il trraffic analyzer 1 ed il traffic inspector 5 possono essere implementati in un?unica macchina (o dispositivo elettronico) che, dunque, ? in grado di svolgere le attivit? del traffic analyzer 1 e del traffic inspector 5 con le medesime modalit? qui descritte.
Il metodo comprendente la fase di identificare ciascuna sessione di navigazione del dispositivo client 2, e preferibilmente del web browser 3, sul servizio online tramite il traffic inspector 1.
Il metodo comprende anche la fase di analizzare il traffico scambiato tra il dispositivo client 2 e il web server 4, e preferibilmente tra il web browser 3 e il web server 4, tramite il traffic analyzer 5 per estrarre e identificare almeno uno username quando un utente esegue l?operazione di autenticazione al servizio online.
In altre parole, l?architettura basata su traffic inspector 1 e traffic analyzer 5 permette il monitoraggio di un traffico applicativo web/mobile.
Inoltre, il metodo comprende la fase di raccogliere tramite il traffic inspector 1 primi dati caratteristici relativi a parametri tecnici univoci e/o non univoci ed associare tramite il traffic analyzer 5 i primi dati caratteristici ad un rispettivo username identificato.
Il metodo comprende la fase di memorizzare i primi dati caratteristici associati a ciascuno username identificato in un database 6 associato al traffic analyzer 5.
Il metodo comprende altres? la fase di identificare ciascuna sessione di navigazione anonima del dispositivo client 2, e preferibilmente, del web browser 3, sul servizio online tramite il traffic analyzer 5.
Il metodo comprende anche la fase di raccogliere tramite il traffic inspector 1 secondi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer 5 i secondi dati caratteristici alla sessione di navigazione anonima.
Il metodo comprende la fase di confrontare tramite un algoritmo di user prediction 7 residente nel traffic analyzer 5 i primi dati caratteristici relativi a ciascuno username identificato con i secondi dati caratteristici relativi alla sessione anonima per associare alla sessione di navigazione anonima uno username identificato quando vi ? una similitudine o una sostanziale coincidenza tra i primi dati caratteristici ed i secondi dati caratteristici confrontati. In altre parole, il metodo prevede di associare alla sessione di navigazione anonima una serie di possibili utenti attraverso un algoritmo di user prediction 7, il quale analizza la serie di parametri tecnici raccolti sulla sessione e li confronta con la storia dei parametri e delle sessioni autenticate raccolte, analizzate o monitorate in precedenza.
Il metodo comprende la fase di analizzare tramite un algoritmo di detection 8 residente nel traffic analyzer 5 ciascuna sessione di navigazione anonima associata ad uno o pi? username identificati per inserire in una lista di monitoraggio ogni username associato alla sessione di navigazione anonima in cui viene rilevata una situazione di rischio di furto di credenziali. In altre parole, il metodo prevede di identificare la presenza di rischi tecnici e non, ad esempio, la presenza di malware in una sessione di navigazione non ancora autenticata ma con utenti predetti nella precedente fase di confronto con l?algoritmo di user prediction 7, attraverso un monitoraggio continuo prima dell?autenticazione. Se vi ? presenza di rischi, gli utenti predetti e a rischio vengono inseriti nella lista di monitoraggio.
In aggiunta, il metodo comprende la fase di monitorare le sessioni di navigazione a rischio associate a ciascuno username inserito nella lista di monitoraggio quando il rispettivo utente esegue un?altra successiva operazione di autenticazione al servizio online.
In accordo con una forma preferita dell?invenzione, la fase di monitorare le sessioni di navigazione associate a ciascuno username inserito nella lista di monitoraggio comprende le sotto fasi di:
- identificare mediante l?algoritmo di detection 8 le sessioni di navigazione a rischio associate a ciascuno username presente nella lista di monitoraggio quando il rispettivo utente esegue un?operazione di autenticazione al servizio online;
- proteggere le sessioni di navigazione a rischio mediante un algoritmo di protection 9 residente nel traffic analyzer 5.
Preferibilmente, la fase di proteggere la sessione di navigazione a rischio mediante l?algoritmo di protection 9 comprende la sotto fase di bloccare l?username dell?utente associato alla sessione di navigazione a rischio o eseguire un algoritmo di Strong Customer Authentication per l?username dell?utente associato alla sessione di navigazione a rischio o eseguire un algoritmo di Multi Factor Authentication per l?username dell?utente associato alla sessione di navigazione a rischio. Vale a dire che, quando il metodo identifica una sessione di navigazione associata ad un utente autenticato, se tale utente ? presente nella lista di monitoraggio degli utenti a rischio generata dall?algoritmo di detection 8, l?algoritmo di protection 9 innesca meccanismi di protezione quali, ad esempio, blocco utente, SCA, MFA e/o meccanismi di segnalazione ad altri sistemi o utenti. Ad esempio, il metodo pu? prevedere una fase di generare un avviso di pericolo P tramite il traffic analyzer 5 per segnalare il pericolo all?utente che ha subito l?attacco o ad altri sistemi o ad altri utenti.
Preferibilmente, la fase di monitorare le sessioni di navigazione associate a ciascuno username inserito nella lista di monitoraggio comprende la sotto fase di generare un segnale di rischio indicativo della presenza di una possibile minaccia associata all?attacco di un malware nella sessione di navigazione a rischio.
Secondo una soluzione preferita, il metodo comprendente la fase di rimuovere uno username dalla lista di monitoraggio quando l?algoritmo di detection 8 rileva che ? terminato l?attacco da parte del malware. Giova rilevare che ? possibile stabilire criteri predefiniti tali per cui l?algoritmo di detection 8 sia in grado di rilevare se l?attacco sia terminato.
Preferibilmente, la fase di rimuovere uno username dalla lista di monitoraggio comprende la sottofase di rimuovere uno username dalla lista di monitoraggio quando ? trascorso un intervallo di tempo predefinito dall?istante temporale in cui l?algoritmo di detection 8 ha rilevato che ? terminato l?attacco da parte del malware. Vale a dire che lo username viene rimosso automaticamente dalla lista di monitoraggio allo scadere della condizione di rischio, ad esempio utilizzando un timer fisso.
In accordo con una forma preferita, la fase di raccogliere tramite il traffic inspector 1 primi dati caratteristici relativi a parametri tecnici univoci /o non univoci e associare tramite il traffic analyzer 5 i primi dati caratteristi ad un rispettivo username identificato comprende la sotto fase di raccogliere tramite il traffic inspector 1 primi dati caratteristici relativi a uno o pi? tra parametri tecnici univoci, parametri tecnici non univoci, endpoint (ad esempio, fingerprint), network (ad esempio, IP) e browser (ad esempio, cookie di tracciamento e marcatura). In altre parole, questa sotto fase prevede che il metodo associ lo username identificato e tutti i parametri tecnici univoci e non alla sessione di navigazione autenticata. Inoltre, la fase di raccogliere tramite il traffic inspector 1 secondi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer 5 i secondi dati caratteristici alla sessione di navigazione anonima comprende la sottofase di; raccogliere tramite il traffic inspector 1 secondi dati caratteristici relativi a uno o pi? tra parametri tecnici univoci, parametri tecnici non univoci, endpoint (ad esempio, fingerprint), network (ad esempio, IP) e browser (ad esempio, cookie di tracciamento e marcatura).
Preferibilmente, i primi dati caratteristici ed i secondi dati caratteristici comprendono UUID e IP. Occorre rilevare che in figura 2 i secondi dati caratteristici sono indicati con IP1 e UUID1.
Con riferimento alla forma realizzativa in cui il traffic inspector 1 ? configurato per modificare il codice DOM di una pagina web aggiungendo il codice necessario per generare ed inviare una fingerprint, il codice necessario alla generazione di un fingerprint contiene preferibilmente le istruzioni necessarie alla cattura di alcune informazioni che caratterizzano un ambiente di esecuzione del suddetto codice, come per esempio il web browser 3 o un dispositivo client 2 mobile. Pi? preferibilmente, il codice contiene istruzioni finalizzate a trasformare le informazioni raccolte, ossia i primi e secondi dati caratteristici, in un formato compatto. Il dispositivo che esegue queste istruzioni, contiene istruzioni per inviare le informazioni raccolte al Traffic Analyzer 5. Sempre preferibilmente, le istruzioni finalizzate a trasformare le informazioni raccolte in un formato compatto vengono eseguite sia nel Web Browser 3 che all?interno del Traffic Inspector 1. Quando le istruzioni finalizzate a trasformare le informazioni raccolte in un formato compatto vengono eseguite all?interno del Web Browser 3, il codice invia al Traffic Analyzer 5 solamente la rappresentazione compatta delle informazioni raccolte. Sempre preferibilmente, le informazioni raccolte riguardano l?elenco delle fonti tipografiche installate all?interno del dispositivo. Pi? preferibilmente, le informazioni raccolte le dimensioni dello schermo del dispositivo. Tali informazioni, pur non essendo univoche, sono distribuite con sufficiente rarit? da permettere l?identificazione di un dispositivo client 2 sulla base delle medesime. Su alcuni dispositivi, le informazioni caratteristiche potrebbero riguardare informazioni disponibili solo in alcune tipologie di dispositivo. Per esempio, alcuni dispositivi mobile offrono dei numeri di serie nativi. Vantaggiosamente, tali informazioni offrono addirittura maggiori garanzie riguardo all?univocit? delle informazioni raccolte. Inoltre, il codice potrebbe catturare ulteriori informazioni rispetto a quelle indicate in precedenza. Il Traffic Analyzer 5 memorizza tali informazioni su un database 6 permanente unitamente a informazioni relative all?utente associato al dispositivo client 2, nel momento in cui sono disponibili. Quanto il Traffic Analyzer 5 riceve le informazioni di fingerprint di un dispositivo client 2, esso ricerca all?interno del database 6 permanente informazioni riguardo all?utenza che ? stata associata in precedenza a tali informazioni di fingerprint. In questo modo, le informazioni di fingerprint permettono di ipotizzare l?utenza di un dispositivo senza che questi si sia autenticato inserendo le proprie credenziali, similmente a quanto accade con UUID e IP.
In accordo con una soluzione preferita, la fase di monitorare le sessioni di navigazione a rischio associate a ciascuno username inserito nella lista di monitoraggio quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online, comprende la sottofase di:
- confrontare tramite l?algoritmo di detection 8 i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio con i primi dati caratteristici raccolti dal traffic inspector 1 quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online per identificare la presenza di eventuali anomalie. In figura 2, i primi dati caratteristici raccolti dal traffic inspector 1 quando il rispettivo utente inserito nella lista di monitoraggio esegue un?altra operazione di autenticazione al servizio online, sono indicati con IP2 e UUID2.
Secondo una soluzione preferita dell?invenzione, la fase di confrontare tramite l?algoritmo di detection 8 i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio con i primi dati caratteristici raccolti dal traffic inspector 1 quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online per identificare la presenza di eventuali anomalie, comprende la sottofase di:
- generare un avviso di pericolo P quando i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio differiscono dai primi dati caratteristici raccolti dal traffic inspector 1 quando il rispettivo utente esegue un?altra successiva operazione di autenticazione al servizio online.
In accordo con una soluzione preferita, la fase di identificare ciascuna sessione di navigazione del dispositivo client 2, e preferibilmente, del web browser 3, sul servizio online tramite il traffic inspector 1 comprende la sotto fase di:
- identificare ciascuna sessione di navigazione del dispositivo client 2, e preferibilmente del web browser 3, sul servizio online tramite il traffic inspector 1 utilizzando cookie di sessione.
Preferibilmente, la fase di identificare ciascuna sessione di navigazione del dispositivo client 2, e preferibilmente del web browser 3, sul servizio online tramite il traffic inspector 1, comprendente la sotto fase di intercettare tramite il traffic inspector 1 una richiesta HTTP inviata dal web browser 3 al web server 4. Inoltre, la fase di analizzare il traffico scambiato tra il web browser 3 e il web server 4 tramite il traffic analyzer 5 per estrarre e identificare almeno uno username quando un utente esegue l?operazione di autenticazione al servizio online, comprende la sotto fase di estrarre uno username dalla richiesta HTTP intercettata dal traffic inspector 1 quando un utente esegue l?operazione di autenticazione al servizio online mediante un algoritmo di estrazione 10 residente nel traffic analyzer 5 e basato su espressioni regolari.
Vantaggiosamente, il metodo della presente invenzione consente di identificare eventuali rischi, anche tecnici o un?azione ad esempio nel caso VOD (video on demand), derivanti da un attacco di account take over.
Sempre vantaggiosamente, il metodo della presente invenzione consente di fornire una predizione di quale sia l?identit? dell?utente che sta agendo in un?area che ? anonima in quanto non ancora autenticata, generando tramite l?algoritmo di user prediction 7 una lista di potenziali utenti che potrebbero celarsi dietro la sessione di navigazione anonima. Questi utenti, nel caso in cui venga rilevato un rischio nella relativa sessione di navigazione tramite l?algoritmo di detection 8, vengono inseriti in una ista di monitoraggio. Cos? facendo, viene controllata ogni successiva sessione di navigazione autenticata da parte di un utente inserito nella lista di monitoraggio, cos? da poter richiedere tramite l?algoritmo di protection 9 ulteriori credenziali di accesso ed eventualmente per bloccare la sessione nel caso di minaccia concreta.
Vantaggiosamente, il metodo della presente invenzione condente di identificare e contrastare eventuali attacchi di account take over eseguiti ai danni degli utenti registrati ad un servizio online.
Nel prosieguo viene descritto un esempio di applicazione del metodo della presente invenzione, con particolare riferimento alle sequenze di fasi illustrate nelle figure 3, 4 e 5.
Con particolare riferimento alla figura 3, la fase di identificare ciascuna sessione di navigazione del web browser 3 sul servizio online tramite il traffic inspector 1 prevede:
- la sottofase 301 in cui l?utente richiede una pagina web tramite un web browser 3 che invia una richiesta HTTP al web server 4.
La fase di analizzare il traffico scambiato tra il web browser 3 e il web server 4 tramite il traffic analyzer 5 per estrarre e identificare almeno uno username quando un utente esegue l?operazione di autenticazione al servizio online prevede:
- la sottofase 302 in cui il traffic inspector 1 legge le chiavi di configurazione e ricerca una particolare UUID nella richiesta HTTP;
- la sottofase 303 di determinare se sia presente una UUID nella richiesta HTTP;
- la sottofase 304 di ottenere la UUID se presente;
- la sottofase 305 di aggiungere una UUID alla richiesta HTTP se non presente, e la sottofase 306 di conservare la UUID nel web browser 3;
- la sottofase 307 in cui il traffic inspector 1 invia l?UUID la richiesta HTTP al traffic analyzer 5;
- la sottofase 308 in cui il traffic analyzer 5 ricerca informazioni su username nella richiesta HTTP e ottiene informazioni su IP presenti nella richiesta HTTP.
La fase di accogliere tramite il traffic inspector 1 primi dati caratteristici relativi a parametri tecnici univoci e/o non univoci ed associare tramite il traffic analyzer 5 i primi dati caratteristici ad un rispettivo username identificato, prevede:
- la sottofase 309 di verificare se sia presente uno username nella richiesta HTTP;
- la sottofase 310 in cui il traffic analyzer 5 ricerca username gi? associati a UUID ricevuto;
- la sottofase 311 in cui il traffic analyzer 5 ricerca nel database 6 username gi? associati a IP ricevuto.
La fase di memorizzare i primi dati caratteristici associati a ciascuno username identificato in un database 6 associato al traffic analyzer 5 prevede:
- se lo username ? presente nella richiesta HTTP, la sottofase 312 in cui il traffic analyzer 5 memorizza nel database 6 le associazioni A rilevate tra username e IP, e memorizza le associazioni A rilevate tra username e UUID;
- la sottofase 313 in cui il traffic analyzer 5 unisce gli username secondo predefinite regole e produce una lista affinata di username.
Con particolare riferimento alle figure 4 e 5, la sottofase 307 in cui il traffic inspector 1 invia l?UUID e la richiesta HTTP al Traffic Analyzer 5, prevede:
- la sottofase 401 in cui il traffic inspector 1 invia UUID e IP legittimi al traffic analyzer 5 e invia la richiesta HTTP legittima al traffic analyzer 5, dove per legittima si intende che si tratta di una sessione di navigazione autenticata, sicura e gestita dall?utente;
- la sottofase 402 in cui il traffic inspector 1 invia UUID e IP del frodatore al traffic analyzer 5 e invia la richiesta HTTP del frodatore al traffic analyzer 5.
La fase di confrontare tramite un algoritmo di user prediction 7 residente nel traffic analyzer 5 i primi dati caratteristici relativi a ciascuno username identificato con i secondi dati caratteristici relativi alla sessione anonima per associare alla sessione di navigazione anonima uno username identificato quando vi ? una similitudine o una sostanziale coincidenza tra i primi dati caratteristici ed i secondi dati caratteristici confrontati, prevede:
- la sottofase 403 in cui il traffic analyzer 5 stima il possibile username legittimo dietro la sessione di navigazione anonima in funzione di UUID, IP e algoritmo di user prediction 7.
La fase di accogliere tramite il traffic inspector 1 primi dati caratteristici relativi a parametri tecnici univoci e/o non univoci ed associare tramite il traffic analyzer 5 i primi dati caratteristici ad un rispettivo username identificato, prevede:
- la sottofase 404 in cui il traffic analyzer 5 estrae informazioni sullo username dalla richiesta HTTP relativa alla sessione di navigazione autenticata, successiva alla sessione anonima in cui ? stato predetto lo username dello stesso utente nella sottofase 403.
La fase di generare un avviso di pericolo P quando i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio differiscono dai primi dati caratteristici raccolti dal traffic inspector 1 quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online, prevede:
- la sottofase 405 in cui il traffic analyzer 5 determina se UUID e IP siano insoliti per lo username;
- se determina che UUID e IP sono insoliti 406, la sottofase 407 in cui il traffic analyzer 5 determina se lo username legittimo stimato della sessione anonima sia lo stesso estratto dalla richiesta HTTP autenticata del frodatore;
- se lo username ? lo stesso 408, la sottofase 409 in cui il traffic analyzer 5 determina se le due richieste siano avvenute in un intervallo di tempo ristretto;
- se le due sessioni prima anonima e poi autenticata dello stesso utente sono vicine 410, ossia se sono avvenute in un intervallo di tempo ristretto, la sottofase 411 n cui il traffic analyzer 5 stabilisce che la richiesta del frodatore ? fraudolenta.
La sottofase 405 prevede:
- la sottofase 501 di verificare se lo username sia presente nella richiesta HTTP;
- la sottofase 502 in cui il traffic analyzer 5 ricerca se siano memorizzate nel database 6 associazioni A tra username e UUID;
- la sottofase 503 in cui il traffic analyzer 5 ricerca se siano memorizzate nel database 6 associazioni A tra username e IP;
- se non ? rilevata l?associazione A tra username e UUID 504 e/o se non ? rilevata l?associazione A tra username e IP 505, la sottofase 506 in cui il traffic analyzer 5 genera un avviso di pericolo P.
Di seguito viene descritta una seconda forma realizzativa, alternativa o combinabile con la precedente (si veda la terza forma realizzativa descritta successivamente), del metodo per monitorare e proteggere da account take over l?accesso ad un servizio online secondo la presente invenzione.
Nella unita figura 6, con il numero 100 si fa riferimento ad un sistema nel quale ? possibile applicare la seconda forma realizzativa del metodo della presente invenzione. In altre parole, si fa riferimento al sistema 100 come ad un ambiente di rete, chiaramente costituito da dispositivi e componenti di rete per la navigazione in internet di tipo hardware, come ad esempio server, database e unit? di elaborazione, nel quale ? possibile applicare la seconda forma di realizzazione del metodo della presente invenzione.
In accordo con la seconda forma realizzativa, il metodo per monitorare e proteggere da account take over l?accesso ad un servizio online, comprendentela fase di fornire un traffic inspector 1 in comunicazione di segnale con almeno un dispositivo client 2 per la navigazione in internet e con un web server 4 nel quale risiede il servizio online.
Il metodo comprende anche la fase di fornire un traffic analyzer 5 in comunicazione di segnale con il traffic inspector 1.
Inoltre, il metodo comprende la fase di identificare ciascuna sessione di navigazione del dispositivo client 2 sul servizio online tramite il traffic inspector 1.
Il metodo comprende la fase di analizzare il traffico scambiato tra il dispositivo client 2 e il web server 4 tramite il traffic analyzer 5 per estrarre e identificare almeno uno username quando un utente esegue l?operazione di autenticazione al servizio online.
In aggiunta, il metodo comprende la fase di raccogliere tramite il traffic inspector 1 primi dati caratteristici relativi a parametri tecnici univoci e/o non univoci ed associare tramite il traffic analyzer 5 i primi dati caratteristici ad un rispettivo username identificato.
Il metodo comprende la fase di memorizzare i primi dati caratteristici associati a ciascuno username identificato in un database 6 associato al traffic analyzer 5-
Altres? il metodo comprende la fase di identificare ciascun web beacon anonimo generato del dispositivo client 2 sul servizio online tramite il traffic analyzer 5, il web beacon essendo indicativo del fatto che il dispositivo client 2 ha avviato una sessione di navigazione fraudolenta su un web server di phishing 11.
Nell?ambito della presente invenzione, per web Beacon si intende un elemento incluso in una pagina web finalizzato a monitorare l?effettiva visualizzazione della pagina da parte di un utente. Ad esempio, un web beacon potrebbe essere un?immagine o un altro tipo di risorsa statica referenziata dalla pagina web. Quando l?utente ottiene la pagina web dal web server 4 attraverso una richiesta, i beacon non vengono inviati direttamente. Quando la pagina viene visualizzata all?interno del dispositivo client 2 dell?utente, per esempio attraverso un web browser 3, i beacon referenziati all?interno della pagina web vengono richiesti al web server 4. Pertanto, ? possibile identificare se la pagina del servizio online ? stata effettivamente visualizzata sul dispositivo client 2 controllando nel registro delle richieste al web server 4 se le richieste relative ai beacons sono state inviate. Un web beacon potrebbe essere una risorsa gi? contenuta nella pagina (per esempio un logo o altri elementi grafici). Oppure potrebbe essere un?immagine, per esempio un?immagine costituita da un solo pixel trasparente inserito appositamente al fine di garantire un monitoraggio. Queste risorse comprendono un riferimento costituito da un nome univoco all?interno della pagina web.
Ulteriormente, il metodo comprende la fase di raccogliere tramite il traffic inspector 1 terzi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer 5 i terzi dati caratteristici al web beacon anonimo.
Il metodo comprende la fase di confrontare tramite un algoritmo di user prediction 7 residente nel traffic analyzer 5 i primi dati caratteristici relativi a ciascuno username identificato con i terzi dati caratteristici relativi al web beacon anonimo per associare al web beacon anonimo uno username identificato quando vi ? una similitudine o una sostanziale coincidenza tra i primi dati caratteristici ed i terzi dati caratteristici confrontati.
Il metodo comprende inoltre la fase di analizzare tramite un algoritmo di detection 8 residente nel traffic analyzer 5 ciascun web beacon anonimo associato ad uno o pi? username identificati per inserire in una lista di monitoraggio ogni username associato al web beacon anonimo in cui viene rilevata una situazione di rischio di furto di credenziali a seguito di attacco di phishing.
Il metodo comprende la fase di monitorare le sessioni di navigazione a rischio associate a ciascuno username inserito nella lista di monitoraggio quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online.
Secondo una forma preferita, la fase di monitorare le sessioni di navigazione associate a ciascuno username inserito nella lista di monitoraggio comprende le sotto fasi di:
- identificare mediante l?algoritmo di detection 8 le sessioni di navigazione a rischio associate a ciascuno username presente nella lista di monitoraggio quando il rispettivo utente esegue un?operazione di autenticazione al servizio online;
- proteggere le sessioni di navigazione a rischio mediante un algoritmo di protection 9 residente nel traffic analyzer 5.
Preferibilmente, la fase di proteggere la sessione di navigazione a rischio mediante l?algoritmo di protection 9 comprende la sotto fase di bloccare l?username dell?utente associato alla sessione di navigazione a rischio o eseguire un algoritmo di Strong Customer Authentication per l?username dell?utente associato alla sessione di navigazione a rischio o eseguire un algoritmo di Multi Factor Authentication per l?username dell?utente associato alla sessione di navigazione a rischio.
Preferibilmente, la fase di monitorare le sessioni di navigazione associate a ciascuno username inserito nella lista di monitoraggio comprende la sotto fase di generare un segnale di rischio indicativo della presenza di una possibile minaccia associata all?attacco di phishing nella sessione di navigazione a rischio.
Secondo una forma preferita, il metodo comprende la fase di rimuovere uno username dalla lista di monitoraggio quando l?algoritmo di detection 8 rileva che ? terminato l?attacco di phishing.
Preferibilmente, la fase di rimuovere uno username dalla lista di monitoraggio comprende la sottofase di rimuovere uno username dalla lista di monitoraggio quando ? trascorso un intervallo di tempo predefinito dall?istante temporale in cui l?algoritmo di detection 8 ha rilevato che ? terminato l?attacco da parte del malware.
In accordo con una soluzione preferita, la fase di raccogliere tramite il traffic inspector 1 primi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer 5 i primi dati caratteristi ad un rispettivo username identificato comprende la sotto fase di raccogliere tramite il traffic inspector 1 primi dati caratteristici relativi a uno o pi? tra parametri tecnici univoci, parametri tecnici non univoci, endpoint, network e browser. Preferibilmente, la fase di raccogliere tramite il traffic inspector 1 terzi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer 5 i terzi dati caratteristici al web beacon anonimo, comprende la sottofase di raccogliere tramite il traffic inspector 1 terzi dati caratteristici relativi a uno o pi? tra parametri tecnici univoci, parametri tecnici non univoci, endpoint, network e browser.
Preferibilmente, i primi dati caratteristici ed i terzi dati caratteristici comprendono UUID e IP.
Secondo una forma preferita, la fase di monitorare le sessioni di navigazione a rischio associate a ciascuno username inserito nella lista di monitoraggio quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online, comprende la sottofase di confrontare tramite l?algoritmo di detection 8 i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio con i primi dati caratteristici raccolti dal traffic inspector 1 quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online per identificare la presenza di eventuali anomalie.
Secondo una soluzione preferita, la fase di confrontare tramite l?algoritmo di detection 8 i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio con i primi dati caratteristici raccolti dal traffic inspector 1 quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online per identificare la presenza di eventuali anomalie, comprende la sottofase di generare un avviso di pericolo P quando i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio differiscono dai primi dati caratteristici raccolti dal traffic inspector 1 quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online.
Preferibilmente, la fase di identificare ciascun web beacon anonimo generato del dispositivo client 2 sul servizio online tramite il traffic analyzer 5, comprende la sotto fase di identificare ciascun web beacon anonimo generato del dispositivo client 2 sul servizio online tramite il traffic analyzer 5 utilizzando cookie di sessione.
Secondo una forma preferita, la fase di identificare ciascuna sessione di navigazione del dispositivo client 2 sul servizio online tramite il traffic inspector 1, comprendente la sotto fase diintercettare tramite il traffic inspector 1 una richiesta HTTP inviata da un web browser 3 residente nel dispositivo client 2 al web server (4). Preferibilmente, la fase di analizzare il traffico scambiato tra il dispositivo client 2 e il web server 4 tramite il traffic analyzer 5 per estrarre e identificare almeno uno username quando un utente esegue l?operazione di autenticazione al servizio online, comprende la sotto fase di estrarre uno username dalla richiesta HTTP intercettata dal traffic inspector 1 quando un utente esegue l?operazione di autenticazione al servizio online mediante un algoritmo di estrazione 10 residente nel traffic analyzer 5 e basato su espressioni regolari.
Secondo una forma preferita, il metodo comprende la fase di modificare il servizio online inserendo al suo interno un web beacon. Ai fini della ricerca di siti di phishing ? importante che le risorse che costituiscono il web beacon siano inserite in posizioni del sito difficilmente identificabili da parte del frodatore F, per evitare che vengano rimosse durante l?operazione di clonazione del sito legittimo.
Preferibilmente, il web beacon comprende una richiesta HTTP di una risorsa risiedente all?interno del web server 4. Preferibilmente, la fase di identificare ciascun web beacon anonimo generato del dispositivo client 2 sul servizio online tramite il traffic analyzer 5 comprende la sotto fase di intercettare attraverso il traffic inspector 1 ciascuna richiesta HTTP associata ad un web beacon anonimo. Sempre preferibilmente, la fase di raccogliere tramite il traffic inspector 1 terzi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer 5 i terzi dati caratteristici al web beacon anonimo; comprende la sotto fase di inviare tramite il traffic inspector 1 i terzi dati caratteristici al traffic analyzer 5, i terzi dati caratteristici essendo associati a parametri tecnici univoci e/o non univoci caratteristici alla richiesta associata al web beacon anonimo.
Preferibilmente, la fase di analizzare tramite un algoritmo di detection 8 residente nel traffic analyzer 5 ciascun web beacon anonimo associato ad uno o pi? username identificati per inserire in una lista di monitoraggio ogni username associato al web beacon anonimo in cui viene rilevata una situazione di rischio di furto di credenziali a seguito di phishing, comprende le sotto fasi di:
- analizzare se ciascuna richiesta HTTP intercettata dal traffic inspector 1 e relativa ad un web beacon associato ad uno username provenga dal dominio legittimo del servizio online;
- generare un avviso di pericolo P quando una richiesta HTTP non proviene dal dominio legittimo del servizio online.
Pi? preferibilmente, la fase di generare un avviso di pericolo P quando una richiesta HTTP non proviene dal dominio legittimo del servizio online comprende la sotto fase di inviare il segnale di pericolo P all?utente titolare dello username associato al web beacon relativo alla richiesta HTTP non proveniente dal dominio legittimo del servizio online.
Vantaggiosamente, l?utente accede al sito malevolo da un IP e/o con un UUID tipicamente associabile alla sua utenza. Tali informazioni caratteristiche sono trasportate all?interno delle richieste delle risorse effettuate presso il server legittimo. In tal modo possono essere intercettate dal traffic inspector 2 e inviate al traffic analyzer 5. Il traffic analyzer 5 ? in grado di analizzare le richieste e individuare attacchi di phishing utilizzando le tecniche di arte note. Inoltre, il traffic analizer 5 ? in grado di associare ad un utente non identificato gli attacchi di phishing individuati utilizzando le informazioni caratteristiche come IP e UUID associate alle richieste.
Preferibilmente, la fase di identificare ciascun web beacon anonimo generato del dispositivo client 2 sul servizio online tramite il traffic analyzer 5 ? eseguita tramite l?algoritmo di detection 8.
La presente invenzione ha altres? per oggetto una terza forma realizzativa dell?invenzione che prevede la combinazione delle precedenti forme realizzative, ossia una combinazione della prima forma realizzativa con la seconda forma realizzativa.
La terza forma realizzativa ha per oggetto un metodo per monitorare e proteggere da account take over l?accesso ad un servizio online, comprendente la fase di fornire un traffic inspector 1 in comunicazione di segnale con almeno un dispositivo client 2 per la navigazione in internet e con un web server 4 nel quale risiede il servizio online.
Il metodo comprende la fase di fornire un traffic analyzer 5 in comunicazione di segnale con il traffic inspector 1.
Il metodo comprende la fase di identificare ciascuna sessione di navigazione del dispositivo client 2 sul servizio online tramite il traffic inspector 1.
Inoltre, il metodo comprende la fase di analizzare il traffico scambiato tra il dispositivo client 2 e il web server 4 tramite il traffic analyzer 5 per estrarre e identificare almeno uno username quando un utente esegue l?operazione di autenticazione al servizio online.
Il metodo comprende anche la fase di raccogliere tramite il traffic inspector 1 primi dati caratteristici relativi a parametri tecnici univoci e/o non univoci ed associare tramite il traffic analyzer 5 i primi dati caratteristici ad un rispettivo username identificato.
Il metodo comprende la fase di memorizzare i primi dati caratteristici associati a ciascuno username identificato in un database 6 associato al traffic analyzer 5.
Il metodo comprende la fase di identificare tramite il traffic analyzer 5 ciascuna sessione anonima applicativa e ciascuna sessione anonima virtuale del dispositivo client 2 sul servizio online.
Per ciascuna sessione anonima applicativa identifica nella fase precedente, il metodo comprende le seguenti fasi:
- identificare una sessione di navigazione anonima del dispositivo client 2 sul servizio online tramite il traffic analyzer 5;
- raccogliere tramite il traffic inspector 1 secondi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer 5 i secondi dati caratteristici alla sessione di navigazione anonima;
- confrontare tramite un algoritmo di user prediction 7 residente nel traffic analyzer 5 i primi dati caratteristici relativi a ciascuno username identificato con i secondi dati caratteristici relativi alla sessione anonima per associare alla sessione di navigazione anonima uno username identificato quando vi ? una similitudine o una sostanziale coincidenza tra i primi dati caratteristici ed i secondi dati caratteristici confrontati;
- analizzare tramite un algoritmo di detection 8 residente nel traffic analyzer 5 ciascuna sessione di navigazione anonima associata ad uno o pi? username identificati per inserire in una lista di monitoraggio ogni username associato alla sessione di navigazione anonima in cui viene rilevata una situazione di rischio di furto di credenziali;
Per ciascuna sessione anonima virtuale identifica nella fase precedente, il metodo comprende le seguenti fasi:
- identificare ciascun web beacon anonimo generato del dispositivo client 2 sul servizio online tramite il traffic analyzer 5, il web beacon essendo indicativo del fatto che il dispositivo client 2 ha avviato una sessione di navigazione fraudolenta su un web server di phishing 11;
- raccogliere tramite il traffic inspector 1 terzi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer 5 i terzi dati caratteristici al web beacon anonimo;
- confrontare tramite l?algoritmo di user prediction 7 residente nel traffic analyzer 5 i primi dati caratteristici relativi a ciascuno username identificato con i terzi dati caratteristici relativi al web beacon anonimo per associare al web beacon anonimo uno username identificato quando vi ? una similitudine o una sostanziale coincidenza tra i primi dati caratteristici ed i terzi dati caratteristici confrontati;
- analizzare tramite l?algoritmo di detection 8 residente nel traffic analyzer 5 ciascun web beacon anonimo associato ad uno o pi? username identificati per inserire nella lista di monitoraggio ogni username associato al web beacon anonimo in cui viene rilevata una situazione di rischio di furto di credenziali a seguito di attacco di phishing.
In aggiunta, il metodo comprende la fase di monitorare le sessioni di navigazione a rischio associate a ciascuno username inserito nella lista di monitoraggio quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online.
Occorre qui precisare che le fasi e le sottofasi descritte per la prima e la seconda forma realizzativa possono essere applicate anche al metodo della terza forma realizzativa in quanto quest?ultima ? una combinazione sinergica delle due precedenti forme realizzative. In particolare, le fasi e le sottofasi relative al metodo della prima forma realizzativa sono applicabili nel caso delle sessioni anonime applicative, mentre le fasi e le sottofasi del metodo della seconda forma realizzativa sono applicabili al caso delle sessioni anonime virtuali.
Vantaggiosamente, grazie al metodo della terza forma realizzativa ? possibile intercettare tutte le richieste anonime o i web beacon generati dal dispositivo client cos? da poter individuare e prevenire eventuali rischi legati, rispettivamente, ad attacchi di furto di credenziali da parte di un malware e/o di phishing.
Ovviamente, un tecnico del ramo, allo scopo di soddisfare esigenze contingenti e specifiche, potr? apportare numerose modifiche alle varianti prima descritte, tutte peraltro contenute nell'ambito di protezione quale definito dalle seguenti rivendicazioni.

Claims (15)

  1. RIVENDICAZIONI 1. Metodo per monitorare e proteggere da account take over l?accesso ad un servizio online, comprendente le fasi di: - fornire un traffic inspector (1) in comunicazione di segnale con almeno un dispositivo client (2) per la navigazione in internet e con un web server (4) nel quale risiede il servizio online; - fornire un traffic analyzer (5) in comunicazione di segnale con il traffic inspector (1); - identificare ciascuna sessione di navigazione del dispositivo client (2) sul servizio online tramite il traffic inspector (1); - analizzare il traffico scambiato tra il dispositivo client (2) e il web server (4) tramite il traffic analyzer (5) per estrarre e identificare almeno uno username quando un utente esegue l?operazione di autenticazione al servizio online; - raccogliere tramite il traffic inspector (1) primi dati caratteristici relativi a parametri tecnici univoci e/o non univoci ed associare tramite il traffic analyzer (5) i primi dati caratteristici ad un rispettivo username identificato; - memorizzare i primi dati caratteristici associati a ciascuno username identificato in un database (6) associato al traffic analyzer (5); - identificare ciascun web beacon anonimo generato del dispositivo client (2) sul servizio online tramite il traffic analyzer (5), detto web beacon essendo indicativo del fatto che il dispositivo client (2) ha avviato una sessione di navigazione fraudolenta su un web server di phishing (11); - raccogliere tramite il traffic inspector (1) terzi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer (5) i terzi dati caratteristici al web beacon anonimo; - confrontare tramite un algoritmo di user prediction (7) residente nel traffic analyzer (5) i primi dati caratteristici relativi a ciascuno username identificato con i terzi dati caratteristici relativi al web beacon anonimo per associare al web beacon anonimo uno username identificato quando vi ? una similitudine o una sostanziale coincidenza tra i primi dati caratteristici ed i terzi dati caratteristici confrontati; - analizzare tramite un algoritmo di detection (8) residente nel traffic analyzer (5) ciascun web beacon anonimo associato ad uno o pi? username identificati per inserire in una lista di monitoraggio ogni username associato al web beacon anonimo in cui viene rilevata una situazione di rischio di furto di credenziali a seguito di attacco di phishing; - monitorare le sessioni di navigazione a rischio associate a ciascuno username inserito nella lista di monitoraggio quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online.
  2. 2. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo la rivendicazione 1, in cui la fase di monitorare le sessioni di navigazione associate a ciascuno username inserito nella lista di monitoraggio comprende le sotto fasi di: - identificare mediante l?algoritmo di detection (8) le sessioni di navigazione a rischio associate a ciascuno username presente nella lista di monitoraggio quando il rispettivo utente esegue un?operazione di autenticazione al servizio online; - proteggere le sessioni di navigazione a rischio mediante un algoritmo di protection (9) residente nel traffic analyzer (5).
  3. 3. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo la rivendicazione 2, in cui la fase di proteggere la sessione di navigazione a rischio mediante l?algoritmo di protection (9) comprende la sotto fase di: - bloccare l?username dell?utente associato alla sessione di navigazione a rischio o eseguire un algoritmo di Strong Customer Authentication per l?username dell?utente associato alla sessione di navigazione a rischio o eseguire un algoritmo di Multi Factor Authentication per l?username dell?utente associato alla sessione di navigazione a rischio.
  4. 4. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo la rivendicazione 2 o 3, in cui la fase di monitorare le sessioni di navigazione associate a ciascuno username inserito nella lista di monitoraggio comprende la sotto fase di: - generare un segnale di rischio indicativo della presenza di una possibile minaccia associata all?attacco di phishing nella sessione di navigazione a rischio.
  5. 5. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo una qualsiasi delle precedenti rivendicazioni, comprendente la fase di: - rimuovere uno username dalla lista di monitoraggio quando l?algoritmo di detection (8) rileva che ? terminato l?attacco di phishing.
  6. 6. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo la rivendicazione 5, in cui la fase di rimuovere uno username dalla lista di monitoraggio comprende la sottofase di: - rimuovere uno username dalla lista di monitoraggio quando ? trascorso un intervallo di tempo predefinito dall?istante temporale in cui l?algoritmo di detection (8) ha rilevato che ? terminato l?attacco da parte del malware.
  7. 7. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo una qualsiasi delle precedenti rivendicazioni, in cui - la fase di raccogliere tramite il traffic inspector (1) primi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer (5) i primi dati caratteristi ad un rispettivo username identificato comprende la sotto fase di: - raccogliere tramite il traffic inspector (1) primi dati caratteristici relativi a uno o pi? tra parametri tecnici univoci, parametri tecnici non univoci, endpoint, network e browser; - la fase di raccogliere tramite il traffic inspector (1) terzi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer (5) i terzi dati caratteristici al web beacon anonimo; comprende la sottofase di; - raccogliere tramite il traffic inspector (1) terzi dati caratteristici relativi a uno o pi? tra parametri tecnici univoci, parametri tecnici non univoci, endpoint, network e browser.
  8. 8. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo la rivendicazione 7, in cui i primi dati caratteristici ed i terzi dati caratteristici comprendono UUID e IP.
  9. 9. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo una qualsiasi delle precedenti rivendicazioni, in cui la fase di monitorare le sessioni di navigazione a rischio associate a ciascuno username inserito nella lista di monitoraggio quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online, comprende la sottofase di: - confrontare tramite l?algoritmo di detection (8) i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio con i primi dati caratteristici raccolti dal traffic inspector (1) quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online per identificare la presenza di eventuali anomalie.
  10. 10. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo una qualsiasi delle precedenti rivendicazioni, in cui la fase di confrontare tramite l?algoritmo di detection (8) i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio con i primi dati caratteristici raccolti dal traffic inspector (1) quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online per identificare la presenza di eventuali anomalie, comprende la sottofase di: - generare un avviso di pericolo P quando i primi dati caratteristici associati ad uno username inserito nella lista di monitoraggio differiscono dai primi dati caratteristici raccolti dal traffic inspector (1) quando il rispettivo utente esegue un?altra operazione di autenticazione al servizio online.
  11. 11. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo una qualsiasi delle precedenti rivendicazioni, in cui la fase di identificare ciascun web beacon anonimo generato del dispositivo client (2) sul servizio online tramite il traffic analyzer (5), comprende la sotto fase di: - identificare ciascun web beacon anonimo generato del dispositivo client (2) sul servizio online tramite il traffic analyzer (5) utilizzando cookie di sessione.
  12. 12. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo una qualsiasi delle precedenti rivendicazioni, in cui - la fase di identificare ciascuna sessione di navigazione del dispositivo client (2) sul servizio online tramite il traffic inspector (1), comprendente la sotto fase di: - intercettare tramite il traffic inspector (1) una richiesta HTTP inviata da un web browser (3) residente nel dispositivo client (2) al web server (4); - la fase di analizzare il traffico scambiato tra il dispositivo client (2) e il web server (4) tramite il traffic analyzer (5) per estrarre e identificare almeno uno username quando un utente esegue l?operazione di autenticazione al servizio online, comprende la sotto fase di: - estrarre uno username dalla richiesta HTTP intercettata dal traffic inspector (1) quando un utente esegue l?operazione di autenticazione al servizio online mediante un algoritmo di estrazione (10) residente nel traffic analyzer (5) e basato su espressioni regolari.
  13. 13. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo una qualsiasi delle precedenti rivendicazioni, comprendente la fase di: - modificare il servizio online inserendo al suo interno un web beacon.
  14. 14. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo una qualsiasi delle precedenti rivendicazioni, in cui - il web beacon comprende una richiesta HTTP di una risorsa risiedente all?interno del web server (4), - la fase di identificare ciascun web beacon anonimo generato del dispositivo client (2) sul servizio online tramite il traffic analyzer (5) comprende la sotto fase di: - intercettare attraverso il traffic inspector (1) ciascuna richiesta HTTP associata ad un web beacon anonimo; - la fase di raccogliere tramite il traffic inspector (1) terzi dati caratteristici relativi a parametri tecnici univoci e/o non univoci e associare tramite il traffic analyzer (5) i terzi dati caratteristici al web beacon anonimo; comprende la sotto fase di: - inviare tramite il traffic inspector (1) i terzi dati caratteristici al traffic analyzer (5), i terzi dati caratteristici essendo associati a parametri tecnici univoci e/o non univoci caratteristici alla richiesta associata al web beacon anonimo.
  15. 15. Metodo per monitorare e proteggere l?accesso ad un servizio online secondo la rivendicazione 14, in cui la fase di analizzare tramite un algoritmo di detection (8) residente nel traffic analyzer (5) ciascun web beacon anonimo associato ad uno o pi? username identificati per inserire in una lista di monitoraggio ogni username associato al web beacon anonimo in cui viene rilevata una situazione di rischio di furto di credenziali a seguito di phishing, comprende le sotto fasi di: - analizzare se ciascuna richiesta HTTP intercettata dal traffic inspector (1) e relativa ad un web beacon associato ad uno username provenga dal dominio legittimo del servizio online; - generare un avviso di pericolo (P) quando una richiesta HTTP non proviene dal dominio legittimo del servizio online.
IT102020000006340A 2020-03-25 2020-03-25 Metodo per monitorare e proteggere l’accesso ad un servizio online IT202000006340A1 (it)

Priority Applications (4)

Application Number Priority Date Filing Date Title
IT102020000006340A IT202000006340A1 (it) 2020-03-25 2020-03-25 Metodo per monitorare e proteggere l’accesso ad un servizio online
EP21164170.9A EP3885946B1 (en) 2020-03-25 2021-03-23 Method of monitoring and protecting access to an online service
ES21164170T ES2937143T3 (es) 2020-03-25 2021-03-23 Procedimiento de monitoreo y protección del acceso a un servicio en línea
US17/211,646 US20210306369A1 (en) 2020-03-25 2021-03-24 Methods of monitoring and protecting access to online services

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102020000006340A IT202000006340A1 (it) 2020-03-25 2020-03-25 Metodo per monitorare e proteggere l’accesso ad un servizio online

Publications (1)

Publication Number Publication Date
IT202000006340A1 true IT202000006340A1 (it) 2021-09-25

Family

ID=70978381

Family Applications (1)

Application Number Title Priority Date Filing Date
IT102020000006340A IT202000006340A1 (it) 2020-03-25 2020-03-25 Metodo per monitorare e proteggere l’accesso ad un servizio online

Country Status (4)

Country Link
US (1) US20210306369A1 (it)
EP (1) EP3885946B1 (it)
ES (1) ES2937143T3 (it)
IT (1) IT202000006340A1 (it)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT202000006343A1 (it) 2020-03-25 2021-09-25 Cleafy Spa Metodo per monitorare e proteggere l’accesso ad un servizio online
CN115271719A (zh) * 2021-12-08 2022-11-01 黄义宝 一种基于大数据的攻击防护方法及存储介质
US20240007491A1 (en) * 2022-06-30 2024-01-04 Crowdstrike, Inc. Methods and systems for identity control

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3021550A1 (en) 2014-11-13 2016-05-18 Nicolo Pastore System and method for identifying internet attacks
EP3021551A1 (en) 2014-11-13 2016-05-18 Nicolo Pastore Method of identifying and counteracting internet attacks
US20180033089A1 (en) * 2016-07-27 2018-02-01 Intuit Inc. Method and system for identifying and addressing potential account takeover activity in a financial system
US20180152471A1 (en) * 2016-11-30 2018-05-31 Agari Data, Inc. Detecting computer security risk based on previously observed communications
US20180212993A1 (en) * 2013-03-15 2018-07-26 Shape Security, Inc. Code modification for automation detection
US20190349351A1 (en) * 2018-05-14 2019-11-14 Guardinex LLC Dynamic Risk Detection And Mitigation Of Compromised Customer Log-In Credentials

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8739278B2 (en) * 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
CN101937439B (zh) * 2009-06-30 2013-02-20 国际商业机器公司 用于收集用户访问相关信息的方法和系统
US20130132508A1 (en) * 2011-11-21 2013-05-23 Google Inc. Low latency referrer free requests
US9967236B1 (en) * 2015-07-31 2018-05-08 Palo Alto Networks, Inc. Credentials enforcement using a firewall
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US11140158B1 (en) * 2018-08-07 2021-10-05 United Services Automobile Association (Usaa) Authentication for application downloads
US11553346B2 (en) * 2019-03-01 2023-01-10 Intel Corporation Misbehavior detection in autonomous driving communications
US20210021637A1 (en) * 2019-07-15 2021-01-21 Kumar Srivastava Method and system for detecting and mitigating network breaches
US11444962B2 (en) * 2020-02-05 2022-09-13 International Business Machines Corporation Detection of and defense against password spraying attacks

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180212993A1 (en) * 2013-03-15 2018-07-26 Shape Security, Inc. Code modification for automation detection
EP3021550A1 (en) 2014-11-13 2016-05-18 Nicolo Pastore System and method for identifying internet attacks
EP3021551A1 (en) 2014-11-13 2016-05-18 Nicolo Pastore Method of identifying and counteracting internet attacks
US20180033089A1 (en) * 2016-07-27 2018-02-01 Intuit Inc. Method and system for identifying and addressing potential account takeover activity in a financial system
US20180152471A1 (en) * 2016-11-30 2018-05-31 Agari Data, Inc. Detecting computer security risk based on previously observed communications
US20190349351A1 (en) * 2018-05-14 2019-11-14 Guardinex LLC Dynamic Risk Detection And Mitigation Of Compromised Customer Log-In Credentials

Also Published As

Publication number Publication date
EP3885946A1 (en) 2021-09-29
ES2937143T3 (es) 2023-03-24
EP3885946B1 (en) 2022-12-28
US20210306369A1 (en) 2021-09-30

Similar Documents

Publication Publication Date Title
EP3219068B1 (en) Method of identifying and counteracting internet attacks
Iqbal et al. On cloud security attacks: A taxonomy and intrusion detection and prevention as a service
US9825928B2 (en) Techniques for optimizing authentication challenges for detection of malicious attacks
JP5008851B2 (ja) インターネットの安全性
US9071600B2 (en) Phishing and online fraud prevention
ES2937143T3 (es) Procedimiento de monitoreo y protección del acceso a un servicio en línea
US20140122343A1 (en) Malware detection driven user authentication and transaction authorization
US10015191B2 (en) Detection of man in the browser style malware using namespace inspection
US20180302437A1 (en) Methods of identifying and counteracting internet attacks
IT202000006265A1 (it) Metodo per monitorare e proteggere l’accesso ad un servizio online
US20220303293A1 (en) Methods of monitoring and protecting access to online services
IT202000006343A1 (it) Metodo per monitorare e proteggere l’accesso ad un servizio online
Mohammed Application Of Deep Learning In Fraud Detection In Payment Systems
US20150213450A1 (en) Method for detecting potentially fraudulent activity in a remote financial transaction system
Lee et al. Security Threats to the Platform Identification
IT202000025168A1 (it) Metodo per tracciare endpoint malevoli in diretta comunicazione con un back end applicativo utilizzando tecniche di tls fingerprinting
De Ryck et al. Attacks on the user’s session
Bente et al. Countering Phishing with TPM-bound Credentials
Tak et al. Parsing operations based approach towards phishing attacks