ITUB20152771A1 - Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti - Google Patents
Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti Download PDFInfo
- Publication number
- ITUB20152771A1 ITUB20152771A1 ITUB2015A002771A ITUB20152771A ITUB20152771A1 IT UB20152771 A1 ITUB20152771 A1 IT UB20152771A1 IT UB2015A002771 A ITUB2015A002771 A IT UB2015A002771A IT UB20152771 A ITUB20152771 A IT UB20152771A IT UB20152771 A1 ITUB20152771 A1 IT UB20152771A1
- Authority
- IT
- Italy
- Prior art keywords
- perception
- csp
- qualitative
- experiences
- user
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 28
- 230000008447 perception Effects 0.000 claims description 16
- 230000021317 sensory perception Effects 0.000 claims description 13
- 230000001953 sensory effect Effects 0.000 claims description 7
- 238000012795 verification Methods 0.000 claims description 7
- 230000001720 vestibular Effects 0.000 claims description 6
- 230000010354 integration Effects 0.000 claims description 4
- 230000003155 kinesthetic effect Effects 0.000 claims description 4
- 238000005259 measurement Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 4
- 230000016776 visual perception Effects 0.000 claims description 4
- 230000000007 visual effect Effects 0.000 claims description 3
- 230000008859 change Effects 0.000 claims description 2
- 210000003205 muscle Anatomy 0.000 claims description 2
- 238000012545 processing Methods 0.000 claims description 2
- 230000002427 irreversible effect Effects 0.000 claims 1
- 230000009471 action Effects 0.000 description 4
- 230000002265 prevention Effects 0.000 description 3
- 230000035807 sensation Effects 0.000 description 2
- 230000003935 attention Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000010389 voluntary attention Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Sub-Exchange Stations And Push- Button Telephones (AREA)
- Exchange Systems With Centralized Control (AREA)
Description
"SISTEMA E METODO PER PREVENIRE IL PHISHING ATTRAVERSO ESPERIENZE QUALITATIVE COSCIENTI"
DESCRIZIONE
La presente invenzione ha per oggetto un sistema e metodo per la prevenzione di attacchi informatici dove viene impiegata in qualche maniera la falsificazione dell'identità, attraverso contromisure qualitative delle esperienze coscienti - nel seguito denominato anche per brevità Sistema -, ovvero attraverso un'esperienza cosciente con una sensazione qualitativa diversa da un'altra.
Sono noti sistemi vari di prevenzione dagli attacchi di phishing (ovvero attacchi informatici ingannevoli attraverso i quali il malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, codici di accesso o inducendola in errore ad eseguire azioni che possono compromettere i dati personali), che forniscono , ad esempio, misure di verifica sugli indirizzi IP del server, sul nome a dominio del sito web, sull'indirizzo email, sulla presenza di connessioni sicure, ma che richiedono un'attenzione proattiva dell'utente o un'azione da eseguire da parte dell'utente per completare la verifica. Detti sistemi incapaci di restituire all'utente certezza dell'inganno senza che quest'ultimo debba eseguire un'azione di verifica, controllo o riconoscimento, tali da non poterli ritenere, allo stato attuale della tecnica, sufficientemente efficaci a riconoscere un attacco di phishing da parte di una popolazione di utenti di normale cultura e alfabetizzazione informatica.
Sono noti anche altri sistemi di protezione che fanno uso di dispositivi hardware e software, caratterizzati da un meccanismo di autenticazione dell'utente, o da un'insieme di tecniche e metodi di autenticazione, attraverso 1 'uso di sistemi o dispositivi diversi tra loro (ad esempio password OTP - One Time Password verifica SMS; etc.).
Tuttavia, anche questi ultimi, non soddisfano lo scopo del presente Sistema, rimanendo necessaria un'azione attiva e specifica da parte dell'utente, con grossi dispendi di risorse in mezzi, infrastrutture e materiali, senza tuttavia ottenere risultati difensivi sufficientemente idonei.
Sono altresì note, infine, alcune contromisure che utilizzano una barra anti-phishing specifica sui siti web, controllando 1'autenticità di ogni pagina scaricata dal sito . Anche queste risultano inefficaci contro le nuove tecniche di phishing che utilizzano "keylogging" da email ingannevoli, consentendo la navigazione sul sito originale, ma catturando i dati al momento del loro inserimento sulla tastiera; anch'esse prive di un sistema e metodo in grado di avvisare 1'utente del tentativo di phishing sin dal momento stesso della ricezione di una email ingannevole, senza che 1'utente debba verificare o controllare l'autenticità della provenienza o dell'identità della email o del sito web.
L'ultimo rapporto sulle attività di phishing realizzato dall'organizzazione internazionale "APWG" (Anti Phishing Working Group), che raggruppa una coalizione di oltre 2.000 istituzioni nel mondo, tra cui organizzazioni governative, ha stimato nel 2014 oltre 255.000 nuovi attacchi ogni giorno. Solo in Italia 1 'ultimo rapporto reso noto da Anti Phising Italia nel 2015 stima una crescita mensile di attacchi di circa il 91%.
Da un punto di vista generale, 1'obiettivo del presente trovato è di offrire ad ogni utente un'esperienza cognitiva qualitativa e univoca per sito web ed email, tale da garantire un'immediata differenza tra il sito o email ingannevole e quello originale, senza che il malintenzionato possa replicare e/o ingannare tale modalità di navigazione sul web.
Il limite, fino ad ora riscontrato, nelle tecniche, metodi e sistemi tradizionali, e in quelli più innovativi, era nell'obbligo, da parte dell'utente, di utilizzare sistemi di verifica o di autenticazione prima di procedere a qualsiasi operazione sul web.
Scopo del Sistema è quello di eliminare la verifica da parte dell'utente, inserendo elementi univoci qualitativi dell'esperienza cosciente tali da distinguere 1'inganno dall'originale.
L'originalità e ingegnosità della proposta consiste nell'aver disegnato un nuovo processo e sistema che rende uniche le pagine web del sito originale e delle email agli utenti, con elementi caratteristici noti solo all'utente e che non necessitano di una attenzione volontaria, ma che rispondono a sensazioni qualitative particolari dell'esperienza cosciente almeno in quattro proprietà fondamentali:
- Ineffabili, perché sono relativi solamente al soggetto che li esperisce, il quale non può dire agli altri come sta vedendo, gustando, odorandò, etc.
- Intrinseci, perché sono elementi semplici ed atomici, cioè non riducibili a nuli'altro. - Privati, poiché relativi al soggetto che li esperisce e pertanto non paragonabili con quelli esperiti da altri soggetti.
- Apprensibili direttamente o immediatamente nella coscienza, ovvero esperienze immediate e non inferenziali della coscienza.
Tali da rendere possibile che una serie di dati sensoriali provenienti da differenti canali periferici vengano poi unificati in una dimensione omogenea ed unitaria (1'esperienza soggettiva, appunto).
L'innovatività della proposta si sostanzia nella combinazione del tutto originale e ingegnosa dell'utilizzo di tecniche e procedimenti in parte già noti. Tale combinazione porta all'ottenimento di un risultato industriale nuovo, economicamente utile e attualmente non raggiunto con 1'impiego di uno o più elementi e mezzi isolatamente presi.
Il problema tecnico allo stato attuale dell'arte, che è alla base della presente invenzione, è di fornire un sistema e metodo che consenta, in un sistema generico di trasmissione email e in un sistema generico di pubblicazione di siti web, di restituire all'utente un'esperienza di lettura e navigazione sul web univoca, basata su una serie di dati sensoriali non replicabili, tale da poter distinguere, a semplice "percezione sensoriale", un attacco informatico ingannevole di phishing da una comunicazione o sito web originale -con riferimento alle attuali tecniche - raggiungendo i summenzionati obiettivi.
Tale problema è risolto da un nuovo Sistema che usa un metodo per la prevenzione del phishing attraverso contromisure qualitative delle esperienze coscienti, comprendente i seguenti processi (del
Sistema):
1)PREREQUISITI:
a.predisposizione di una banca dati elettronica protetta per 1'archiviazione dei dati personali degli utenti, consultabile a distanza da un generico utente e dal gestore del servizio di posta elettronica o applicazione web (denominata per brevità Repository);
b.predisposizione di un generatore elettronico casuale, elaborato con con dati volatili, di un codice rappresentativo di una percezione sensoriale visiva, oppure tattile, acustica, vestibolare o cinestesiea (denominato in sigla CSP - Coding of Sensory Perception). Ad esempio il codice colore in esadecimale per la percezione visiva; il codice Ascii (American Standard Code for Information Interchange) di un terminale Braille per la percezione tattile; un suono o nota musicale per la percezione acustica; il valore di misurazione di un movimento, della posizione e dell'ambiente attraverso accelerometro, giroscopio, magnetometro, esposimetro, barometro o geomagnetico per la percezione vestibolare; il valore di misurazione motoria di un muscolo attraverso elettrodi per la percezione cinestestesica;
c.associazione del CSP ad una denominazione testuale rappresentativa della percezione sensoriale (denominato in sigla NCSP Name of CSP);
d.associazione del CSP ad un codice numerico casuale, non direttamente derivato e/o collegato all'elaborazione del CSP o al NCSP (denominato in sigla EN - Easy Number).
2)ASSOCIAZIONE UTENTE:
a.associazione dell'utente, nel Repository, ai dati di CSP, NCSP e EN;
b.possibilità per l'utente di modificare, cambiare e/o aggiornare il CSP (attraverso una diversa codifica di una nuova percezione sensoriale), del relativo NCSP (anche di fantasia, scelto dall'utente), e del relativo numero facile da ricordare EN;
3)INTEGRAZIONE EMAIL E WEB:
a.integrazione dell 'insieme dei dati CSP, NCSP e EN collegati tra loro al singolo utente (esperienza soggettiva) in ogni messaggio di posta elettronica o pagina web del mittente il messaggio email o del titolare del sito web, sia in forma di stringa di testo sia in forma di rappresentazione sensoriale (ad esempio la rappresentazione del colore per la percezione visiva, la riproduzione di un suono o di una voce per la percezione acustica; la rotazione del testo o delle immagini per la percezione vestibolare, etc.);
Il principale vantaggio del Sistema, secondo la presente invenzione, risiede nel consentire ad ogni utente una percezione sensoriale caratteristica e univoca in ogni messaggio di posta elettronica o pagina web di navigazione, tale da rendere altamente improbabile che il malintenzionato di un messaggio ingannevole (phishing) possa conoscere e, quindi, replicare, attraverso 1'inganno, la riproduzione delle stesse informazioni sensoriali, diverse da utente a utente e comunque di volta in volta modificabili solo dall'utente stesso.
Ne consegue che tutti i sistemi di messaggistica, posta elettronica e pagine web che fanno uso di tale Sistema, offrono all'utente un efficace metodo di prevenzione contro il phishing.
La presente invenzione verrà qui di seguito descritta secondo una sua forma di realizzazione preferita, fornita a scopo esemplificativo e non limitativo.
Nell'esempio qui descritto, all'attuale stato della tecnica, per realizzare il Sistema con il metodo oggetto dell'invenzione si ricorre alla rete pubblica internet quale vettore di trasporto dei dati.
Il gestore del servizio di messaggistica o applicazione web, che per brevità nell'esempio chiameremo genericamente Gestore, integra il Sistema anche attraverso lo sviluppo di un'applicazione web internet, ad accesso protetto con autenticazione. Il Sistema consentirà agli utenti di scegliere o modificare la preferenza dei dati sensoriali caratteristici e di associarli al proprio account registrato presso il Gestore.
In testa ad ogni pagina web o messaggio di posta elettronica del Gestore il Sistema compone una barra anti-phishing dell'altezza di 50 pixel con colore di sfondo uguale al codice colore associato all'utente (percezione visiva). All 'interno della barra anti-phishing è inserita una stringa di testo che riporta il nome dell 'utente, il nome del colore scelto (che può essere anche un nome di fantasia) ed il numero facile dell'utente.
Ogni Gestore che utilizza il Sistema integrato nelle proprie applicazioni non conosce i dati di percezione sensoriale scelti dall'utente.
L'utente che utilizza applicazioni web o riceve messaggi di posta elettronica da qualsiasi Gestore che ha integrato il Sistema, troverà sempre gli stessi dati sensoriali caratteristici nei messaggi di posta elettronica e sulle pagine web del Gestore.
Al sopra descritto sistema e metodo ogni persona esperta del ramo, allo scopo di soddisfare ulteriori e contingenti esigenze, potrà apportare numerose ulteriori modifiche e varianti, tutte peraltro comprese nell'ambito di protezione della presente invenzione, quale definito dalle rivendicazioni allegate.
documento firmato elettronicamente
Claims (1)
- RIVENDICAZIONI 1.Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti, caratterizzato da un Sistema comprendente i seguenti processi: a.predisposizione di una banca dati elettronica protetta per 1'archiviazione dei dati personali degli utenti (denominata per brevità Repository); b.predisposizione di un generatore elettronico casuale, elaborato con con dati volatili, di un codice rappresentativo di una percezione sensoriale (denominato in sigla CSP Coding of Sensory Perception); c.associazione del CSP ad una denominazione testuale rappresentativa della percezione sensoriale (denominato in sigla NCSP Name of CSP); d.associazione del CSP ad un codice numerico casuale, non direttamente derivato e/o collegato all'elaborazione del CSP o al NCSP (denominato in sigla EN - Easy Number); e.associazione dell'utente, nel Repository, con i dati di CSP, NCSP e EN; f.possibilità per l'utente di modificare, cambiare e/o aggiornare il CSP (attraverso una diversa codifica di una nuova percezione sensoriale), del relativo NCSP (anche di fantasia, scelto dall'utente), e del relativo numero facile da ricordare EN; g.integrazione dell 'insieme dei dati CSP, NCSP e EN collegati tra loro al singolo utente (esperienza soggettiva) per ogni messaggio di posta elettronica o pagina web del mittente del messaggio email o del titolare del sito web, sia in forma di stringa di testo sia in forma di rappresentazione sensoriale (a titolo esemplificativo, ma non limitativo, la rappresentazione del colore per la percezione visiva; la riproduzione di un suono o di una voce per la percezione acustica; la rotazione del testo o delle immagini per la percezione vestibolare, etc.). 2.Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti, come da rivendicazione n. 1, in cui il Sistema può essere consultabile a distanza attraverso una rete, pubblica o privata, secondo un qualsiasi protocollo di trasporto dati. 3.Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti, come da rivendicazione n. 1, in cui il codice di percezione sensoriale CSP, di cui alla lettera (b), può essere costituito da un algoritmo di tipo irreversibile . 4.Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti, come da rivendicazione n. 1, in cui il codice di percezione sensoriale CSP, di cui alla lettera (b), può rappresentare la percezione visiva, oppure tattile, acustica, vestibolare o cinestesica (a titolo esemplificativo, ma non limitativo, il codice colore in esadecimale per la percezione visiva; il codice Ascii American Standard Code for Information Interchange - di un terminale Braille per la percezione tattile; nn suono o nota musicale per la percezione acustica; il valore di misurazione di un movimento, della posizione e dell'ambiente attraverso accelerometro , giroscopio , magnetometro , esposimetro, barometro o geomagnetico per la percezione vestibolare; il valore di misurazione motoria di un muscolo attraverso elettrodi per la percezione cinestestesica ). 5. Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti, come da rivendicazione n. 1, in cui il codice di percezione sensoriale CSP, di cui alla lettera (b), può essere un qualsiasi valore, dispositivo o strumento, in base all'evoluzione della tecnica. 6. Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti, come da rivendicazione n. 1, in cui il processo di integrazione, di cui alla lettera (g), può comprendere strumenti identificativi o certificativi dell 'identità di provenienza (a titolo esemplificativo, ma non limitativo, firma digitale, certificato di protezione, verifica indirizzo IP, etc.)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ITUB2015A002771A ITUB20152771A1 (it) | 2015-08-03 | 2015-08-03 | Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti |
| PCT/IB2016/054669 WO2017021896A1 (en) | 2015-08-03 | 2016-08-03 | Computer implemented method to prevent phishing through conscious qualitative experiences of the user |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ITUB2015A002771A ITUB20152771A1 (it) | 2015-08-03 | 2015-08-03 | Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ITUB20152771A1 true ITUB20152771A1 (it) | 2017-02-03 |
Family
ID=55409945
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ITUB2015A002771A ITUB20152771A1 (it) | 2015-08-03 | 2015-08-03 | Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti |
Country Status (2)
| Country | Link |
|---|---|
| IT (1) | ITUB20152771A1 (it) |
| WO (1) | WO2017021896A1 (it) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11526588B2 (en) | 2020-08-18 | 2022-12-13 | Whatsapp Llc | Systems and methods for digital content anti-counterfeiting |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080046723A1 (en) * | 2006-08-17 | 2008-02-21 | Fiserv, Inc. | Multi-factor authentication |
| US20110162078A1 (en) * | 2009-12-24 | 2011-06-30 | Ebay Inc. | Dynamic pattern insertion layer |
| US20110173273A1 (en) * | 2010-01-14 | 2011-07-14 | Motiondrive Ag | Method and system for inhibiting phishing |
| US20120246079A1 (en) * | 2011-03-24 | 2012-09-27 | Dave William Wilson | Authentication using application authentication element |
-
2015
- 2015-08-03 IT ITUB2015A002771A patent/ITUB20152771A1/it unknown
-
2016
- 2016-08-03 WO PCT/IB2016/054669 patent/WO2017021896A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080046723A1 (en) * | 2006-08-17 | 2008-02-21 | Fiserv, Inc. | Multi-factor authentication |
| US20110162078A1 (en) * | 2009-12-24 | 2011-06-30 | Ebay Inc. | Dynamic pattern insertion layer |
| US20110173273A1 (en) * | 2010-01-14 | 2011-07-14 | Motiondrive Ag | Method and system for inhibiting phishing |
| US20120246079A1 (en) * | 2011-03-24 | 2012-09-27 | Dave William Wilson | Authentication using application authentication element |
Non-Patent Citations (2)
| Title |
|---|
| AMIR HERZBERG: "Browsers Defenses Against Phishing, Spoofing and Malware", INTERNATIONAL ASSOCIATION FOR CRYPTOLOGIC RESEARCH,, vol. 20060912:201955, 12 September 2006 (2006-09-12), pages 1 - 14, XP061001931 * |
| RACHNA DHAMIJA ET AL: "The Battle Against Phishing: Dynamic Security Skins", SYMPOSIUM ON USABLE PRIVACY AND SECURITY (SOUPS) 2005, JULY 6-8, 2005, PITTSBURGH, PA, USA,, 6 July 2005 (2005-07-06), pages 1 - 12, XP007913743 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2017021896A1 (en) | 2017-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alabdan | Phishing attacks survey: Types, vectors, and technical approaches | |
| US11349873B2 (en) | User model-based data loss prevention | |
| Saravanakumar et al. | On privacy and security in social media–a comprehensive study | |
| KR101589192B1 (ko) | 신원 인증 관리 장치 및 신원 인증 관리 방법 | |
| Josang et al. | Usability and privacy in identity management architectures | |
| CN108234519A (zh) | 检测和防止加密连接上的中间人攻击 | |
| US20090216795A1 (en) | System and method for detecting and blocking phishing attacks | |
| WO2014208627A1 (ja) | ユーザ認証システム、ユーザ認証方法、プログラム及び情報記憶媒体 | |
| Osuagwu et al. | Mitigating social engineering for improved cybersecurity | |
| Bansla et al. | Social engineering: A technique for managing human behavior | |
| JP2020524864A (ja) | データへのアクセスの制御 | |
| ITTO20130513A1 (it) | Sistema e metodo per il filtraggio di messaggi elettronici | |
| Blakely | Cyberprints: identifying cyber attackers by feature analysis | |
| ITUB20152771A1 (it) | Sistema e metodo per prevenire il phishing attraverso esperienze qualitative coscienti | |
| Frauenstein et al. | An enterprise anti-phishing framework | |
| ISER et al. | Role of Awareness to Prevent Personal Disasters: Reducing the Risks of Falling for Phishing by Strengthening User Awareness | |
| Ashraf et al. | " Stalking is immoral but not illegal": Understanding Security, Cyber Crimes and Threats in Pakistan | |
| Barker | Confident Cyber Security: How to Get Started in Cyber Security and Futureproof Your Career | |
| Ananth Kumar et al. | Captcha techniques of secure web authentication: A survey | |
| Plössl et al. | Protection mechanisms against phishing attacks | |
| Papazov | Social Engineering | |
| Mokhtar et al. | A Preliminary Investigation on User Factors of Phishing E-mail | |
| Berg | Development and implementation of a phishing email detection application | |
| Memon et al. | Anti phishing for mid-range mobile phones | |
| Bonilla et al. | Social Media Privacy and Security–Developing Guidelines |