JP2008521149A - オンライン詐欺の可能性に関連するデータを解析するための方法およびシステム - Google Patents

オンライン詐欺の可能性に関連するデータを解析するための方法およびシステム Download PDF

Info

Publication number
JP2008521149A
JP2008521149A JP2007543525A JP2007543525A JP2008521149A JP 2008521149 A JP2008521149 A JP 2008521149A JP 2007543525 A JP2007543525 A JP 2007543525A JP 2007543525 A JP2007543525 A JP 2007543525A JP 2008521149 A JP2008521149 A JP 2008521149A
Authority
JP
Japan
Prior art keywords
website
domain
score
url
classifying
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2007543525A
Other languages
English (en)
Inventor
イハブ シュレイム,
マーク シュル,
Original Assignee
マークモニター インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マークモニター インコーポレイテッド filed Critical マークモニター インコーポレイテッド
Publication of JP2008521149A publication Critical patent/JP2008521149A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1813Arrangements for providing special services to substations for broadcast or conference, e.g. multicast for computer conferences, e.g. chat rooms
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99941Database schema or data structure
    • Y10S707/99944Object-oriented database structure
    • Y10S707/99945Object-oriented database structure processing
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99941Database schema or data structure
    • Y10S707/99948Application of database or data structure, e.g. distributed, multimedia, or image

Abstract

本発明の様々な実施形態はデータを解析するための方法、システムおよびソフトウェアを提供する。例えば、特定の実施形態においては、ウェブサイトについてのデータのセットは、ウェブサイトが不正である(例えば、フィッシング詐欺、グレイマーケットの商品の販売などの詐欺的スキームに包含される)可能性があるかどうかを決定するために解析され得る。例示的な実施形態においては、データのセットは複数のコンポーネント(一部の場合には、これらの各々は個別のデータセットであると考慮され得る)に分割され得る。単なる例として、データのセットは複数のデータ供給源から集められたデータを備え得、および/または各コンポーネントは複数のデータ供給源から集められたデータを備え得る。別の例として、データのセットは複数のセクションを有するドキュメントを備え得、各コンポーネントは複数のセクションの1つを備え得る。

Description

(著作権通知)
本特許書面の開示の一部は、著作権保護の対象となる材料(material)を含む。著作権者は、特許商標庁の特許公開または記録に現れる特許書面または特許開示の、任意の人物によるファクシミリ複製に対して異議を有さないが、その他の場合には、全ての著作権のいかなる権利をも留保する。
(関連出願の引用)
本出願は、Shraim他によって、2004年5月2日に出願され、「Online Fraud Solution」と題された米国特許出願第10/709,398号の一部係属出願であり、かつ該出願の利益を主張し、該出願の開示はその全体が本明細書において全ての目的のために参考として援用される。本出願はまた、以下の仮出願、すなわち、Shraim他によって、2004年10月4日に出願され、「Online Fraud Solution」と題された米国特許仮出願第60/615,973号と、Shullによって、2004年9月17日に出願され、「Methods and Systems for Preventing Online Fraud」と題された米国特許仮出願第60/610,714号と、Shullによって、2004年9月17日に出願され、「Customer−Based Detection of Online Fraud」と題された米国特許仮出願第60/610,715号との利益を主張し、これらの仮出願の開示はその全体が本明細書において全ての目的のために参考として援用される。
本出願はまた、共有に係る同時係属中の以下の出願でも関連し、これらの出願の各々は、本出願と同日に出願され、本明細書において、全ての目的のために参考として援用される。これらの出願とは、すなわち、Shraim他により出願され「Online Fraud Solution」(代理人整理番号第040246−000120US号)と題された米国特許出願第−−/−−−−−−号と、Shull他により出願され「Enhanced Responses to Online Fraud」(代理人整理番号第040246−000510US号)と題された米国特許出願第−−/−−−−−−号と、Shull他により出願され「Customer−Based Detection of Online Fraud」(代理人整理番号第040246−000610US号)と題された米国特許出願第−−/−−−−−−号と、Shull他により出願され「Early Detection of Online Fraud」(代理人整理番号第040246−000700US号)と題された米国特許出願第−−/−−−−−−号と、Shull他により出願され「Enhanced Responses to Online Fraud」(代理人整理番号第040246−000800US号)と題された米国特許出願第−−/−−−−−−号と、Shull他により出願され「Generating Phish Messages」(代理人整理番号第040246−001200US号)と題された米国特許出願第−−/−−−−−−号と、Shull他により出願され「Advanced Responses to Online Fraud」(代理人整理番号第040246−001300US号)と題された米国特許出願第−−/−−−−−−号、である。
(技術分野)
本発明は、コンピュータシステムに関し、より詳細には、オンライン詐欺を検出する、防止する、オンライン詐欺に応答する、および/または、あるいはオンライン詐欺に対処するための、システム、方法およびソフトウェアに関する。
電子メール(「email」)は、現代の通信の重要商品になっている。しかしながら、不幸にも、通常のベースで電子メールを使用する任意の人物は、様々な広告主からほぼ全ての電子メールアドレスに送信される大量の「スパム」(望まれない(unsolicited)電子メール)に日常接している。伝統的な紙の「ジャンクメール(junk mail)」にどこか類似しているが、スパムは、実質的にコストがかからないという点と、スパム提供者(「スパムメール送信者」)が、莫大な数のスパムを簡単かつ素早く生成し得、かつ伝送し得るという点で独特である。さらに、インターネット規格のシンプルメール転送プロトコル(「SMTP」)における制限は、スパムメール送信者に比較的匿名で、結果として、相応して低い責任能力でスパムを送信可能にする。結果として、スパムは大多数の受信者を苛立たせ、また、伝送されたスパムの量に対して、スパムメール送信者にとっては、わずかな成功の売り上げ機会を生み出すにすぎないものの、スパム「産業」は急激に発展している。安価にかつ素早く大量のスパムを送信するためのスパムの能力を与えられ、スパムメール送信者は、スパム広告の比較的に低い応答率からでさえ、かなりの利益を上げ得る。
それらの特性として、スパムメール送信者はスパムを送信するための新しい受信者(犠牲者)を継続的に検索する。スパム「産業」は、それゆえ、「ハーベスタ(harvester)」という派生的な産業を生み出した。「ハーベスタ」は有効な電子メールアドレスのリストを生成するためにインターネットおよび他の供給源を捜し回り、次いでスパムメール送信者に売る。(明らかに、これらの活動は協力して行われるので、多くのスパムメール送信者は、彼ら自身のため、または仲間のスパムメール送信者のためにハーベスタとして活動する)。ハーベスタは電子メールアドレスリストを取得するための種々の手法を使用し、しばしば、継続的に新しい電子メールアドレスを求めてインターネットをうろつく自動検索プログラム(一般的には「ロボット(robot)」または「ウェブクローラ(webcrawler)」と呼ばれる)を開発する。例えば、ハーベスタは、その上でユーザがフィードバックなどのために通常電子メールアドレスを提供する、インターネット(および他の)ニュースグループ、チャットルーム、およびディレクトリサービス(例えば、ホワイトページ)サイト、ならびにメッセージボード、メーリングリストおよびウェブページから電子メールアドレスを取得する。
マーケティング手法としてのスパムの成功は、「フィッシング」操作を行うためにスパムを使用するという結果を生じ始める。フィッシング操作は、消費者に、彼/彼女が他の場合にはとらない行動をとらせる、任意のタイプの社会工学のアタック(典型的にブランド名の不正使用に頼る)として定義され得る。フィッシング詐欺は、わいろ(bribery)、お世辞(flattery)、欺き(deceit)、甘言を弄すこと(cajoling)によって、および他の方法を介して操作し得る。フィッシング操作は、しばしば消費者への大量コンタクト(例えば、「スパム」電子メールメッセージ、テキストメッセージ、VoIPコール、インスタントメッセージなどによって、ならびに他のデバイスを介して)を含み、一般的にはコンタクトされた消費者を応答サイトへ向けさせ、応答サイトはしばしばウェブサイトであり、しかしまたは電話番号などであり得る。
フィッシング詐欺の1つのかなり一般的な例は、非常に低い値段で周知のソフトウェアアプリケーションまたはパッケージ(これらは、実際には著作権侵害されたか、またはそうでなければ不正に取得されたものである)を広告し、およびソフトウェアが購入され得るウェブサイトへ応答者を向けるスパム電子メールメッセージである。そのサイトを訪問すると、広告された値段がひどく非現実的であり、おそらく以前の違法行為を指示する(例えば、ブラックマーケットまたはグレイマーケットの商品)ことを、消費者は知る(または知るべきである)。しかしながら、一部の消費者は、無知から、または故意の盲目からのいずれかで、ソフトウェアが正当であるという、フィッシュメール送信者の保証を受容し、結果として不正なソフトウェアを購入し、フィッシング詐欺を完了する。
別の一般的なフィッシング操作は「スプーフィング」詐欺として周知である。この実行は、電子メールメッセージの「From:」または「Reply−to:」ヘッダに偽の電子メールアドレスを挿入することを含み、このことにより、相対的に信頼できる供給源から電子メールが発生されたと信じるように受信者を誤解させる。スプーフされた電子メールメッセージは、しばしば周知のインターネットサービスプロバイダ(「ISP」)(例えば、America OnlineTMおよびThe Microsoft NetworkTM)、または容易に識別可能な電子メールアドレスを有する他の注目を集める実体(entity;例えば、IBMTM、MicrosoftTM、General MotorsTMおよびE−BayTM、ならびにさまざまな金融機関、オンライン小売業および同様のもの)からであることを装う。このスプーフィングは、スプーフィングが顧客の混乱を引き起こし、非常に洗練されたオンラインの存在の価値を破壊し、スプーフされたブランドの一般的な不信を生成し、評判の良い実体のオンライン通信およびオンライン取引の価値を大きく弱めるというだけではなく、多くの理由においてこれらの実体に受容不能である。
さらに、多くの場合には、スパムメール送信者および/またはスプーフメール送信者は彼らの「産業」の中で情報を広める手段(メッセージボード、チャットルーム、ニュースグループおよび同様のもののような種々のオンラインフォーラムを含む)を発展させる。このような位置において、スパムメール送信者はしばしばさらに効果的なスパム送信/スプーフィング、新しいスプーフサイトなど、ならびに収集されたアドレスのリストの取引および/または広告するための戦略を議論する。これらのリソースを用いることによって、スパムメール送信者および/またはスプーフメール送信者は、最も効果的なスパム送信/スプーフィング手法に焦点を当て得、他のスプーフされたウェブサイトおよび同様なものから学び得および/またはコピーし得る。このようなリソースはまた、効果的なスパム送信/スプーフィング手法を素早く選び取ることを新しいスパムメール送信者またはスプーフ送信者に可能にする。
可能性としては、大変不安になるが、スパム(特にスプーフされたスパム)は、フィッシングアタックのような詐欺的な活動(アイデンティティの窃盗、認証されないクレジットカードの取引および/またはアカウントからの預金引き出しなどを含む)を促進するためにますます使用され得る。この手法は、信頼できる会社を装うことを含み、しばしばアカウント情報をアップデートするため、オンライン取引などを確認するため、などと称する要求に応答して、疑いを知らない消費者に秘密の個人情報を提供させる。単なる例として、スプーフメール送信者は、受信者の銀行からであると称する、および受信者が詐欺的なウェブサイトに対し電子メールを返信、またはログオンすることによって個人情報を提供することによって受信者のアイデンティティを「確認」する(皮肉な)要求をするスプーフ電子メールを送信し得る。同様に、通常のスプーフのメッセージは、受信者が周知の電子商取引サイトにログオンし、そのサイトによって記憶されるクレジットカード情報を「アップデートする」ことを要求する。
スパムメッセージ(特にフィッシングスキームの一部であるスパムメッセージ)はしばしば、フィッシュメール送信者のウェブサイトにリンクするユニフォームリソースロケータ(「URL」)を含む。例えば、ウェブサイトは、不正な商品を販売するための応答ポイントであり得る。他の場合には、URLはスプーフされた送信者のウェブサイトに関連するように考えられるように構成され得るが、実際には受信者をスプーフされたウェブサイト(すなわち、電子メールのスプーフされた供給源のウェブサイトを真似する、または該ウェブサイトに似るように設計されるウェブサイト)へとあて先変更し得る。スプーフされたウェブサイトを訪問することで、受信者は情報(受信者の住所、電話番号、社会保障番号、銀行のアカウント番号、クレジットカード番号、母の旧姓など)を要求するフォームを示され得る。信頼できる会社と通信していると信じている受信者は、この情報の一部または全てを提供し得、次いで情報は任意の不正な種々の目的のために使用するためにスパムメールを送信する人物の自由になる。(一部の場合には、フィッシュ送信者によって収集される個人情報などを提供する命令を有する正当なウェブサイト上に示される不正なおよび/またはスプーフされたポップアップウィンドウを有する、正当なウェブサイトを示すように、リンクが構成され得る)。
かくして、フィッシング詐欺および他の不正なオンライン活動が繁栄している。このような活動は、明らかに違法であり、不道徳である。フィッシュメールを送信する人物の相対的な匿名性、ならびにインターネットの国際性は、これらの活動の効果的な法的告発を妨げる。単なる例として、詐欺的なウェブサイトに関連するサーバは、告発/犯人の引き渡し(extradition)がかなり起こりにくい国に配置され得る。さらに、詐欺的なウェブサイトはしばしばかなり一時的なものであり、フィッシュメールを送信する人物が新しいサーバまたはISPに移動するまでに、所与のサーバまたはISPに短い時間(可能性としてはおよそ数日、または数時間のみでさえ)存在する。詐欺的なウェブサイトをホストする多くのサーバが、フィッシュメールを送信する人物またはその仲間によって既に危険にされた(または「ハックされた」)合法的なウェブサイトであり、サーバの所有者/操作者は、サーバが不正な目的のためにひそかに使用されていることを知らないままであるという事実が、実施の問題を複雑にする。
従って、これらの不正使用を扱うための効果的な解決策が必要である。
本発明の様々な実施形態は、データを解析するための方法、システムおよびソフトウェアを提供する。例えば、特定の実施形態においては、ウェブサイトについてのデータのセットが、ウェブサイトが不正である(例えば、フィッシング詐欺、グレイマーケットの商品の販売などのような詐欺的なスキームに包含される)可能性があるかを決定するために解析され得る。例示的な実施形態においては、データのセットは複数のコンポーネントに分割され得る(これらの各々は、一部の場合には、個別のデータセットと考えられ得る)。単なる例として、データのセットは複数のデータ供給源から集められたデータを備え得、および/または各コンポーネントは複数のデータ供給源の1つから集められたデータを備え得る。別の例として、データのセットは複数のセクションを有するドキュメントを備え得、各コンポーネントは複数のセクションの1つを備え得る。当業者は、特定のコンポーネントの解析はあるテストおよび/または評価を備え得ること、また別のコンポーネントの解析は異なるテストおよび/または評価を備え得ることを認識する。他の場合には、各コンポーネントの解析は類似のテストおよび/または評価を備え得る。種々のテストおよび/または評価は一般には、インプリメンテーション特有であり得る。
実施形態の一セットは方法を提供し、方法の一部または全部はコンピュータによって行われ得る。単なる例として、一部の実施形態は、データを解析するための方法を提供する。例示的な実施形態は、詐欺の可能性のあるウェブサイトとして、ウェブサイトを分類する方法を提供する。方法はウェブサイトに関連するデータのセットにアクセスするコンピュータを備え得る。データのセットの例は、ウェブサイトに関連する電子メールメッセージ(例えば、ウェブサイトを参照するURLを備える電子メールメッセージ、ウェブサイトについて議論する電子メールメッセージなど)、ウェブサイトに関連するドメインについてのデータのセット、ウェブサイトをホストするサーバについてのデータのセット、および/またはウェブサイト、ニュースグループの更新、ウェブページ、インターネットチャットセッションの表現形式などを参照するURLについてのデータのセット、を含むがこれらに限定はされない。データのセットのタイプに依存して、データのセットへのアクセスは種々の手順(例えば、電子メールメッセージを受信すること、サーバに問い合わせをすること、ドメインレジストレーションゾーンファイルにアクセスすることなど)を含み得る。
例示的な方法はデータのセットを複数のコンポーネントに分割すること、および/または複数のコンポーネントの少なくとも一部を解析することをさらに含み得る。特定の実施形態においては、可能性としては解析されたコンポーネントの各々の解析に基づいて、スコアが複数のコンポーネントの各々に割り当てられ得る。それゆえに、複数のスコアが割り当てられ得る。次いで、ある実施形態においては、複合のスコア(これは複数のスコアうちの1つ、一部、または全てに基づき得る)が、データのセットに割り当てられ得る。ウェブサイトは、次いで、分類され得る。一部の場合には、ウェブサイトの分類は複数のスコアのうちの1つ(または1つ以上)に基づき得る。他の場合には、分類は複合のスコアに基づき得、複合のスコアは上記されるように割り当てられ得る。
他の実施形態は電子メールメッセージを解析する方法を提供する。例示的な実施形態は電子メールメッセージを複数のコンポーネントに分割するコンピュータを備える。コンピュータは複数のコンポーネントの少なくとも1つを解析し得、(可能性としては複数のコンポーネントの少なくとも1つの解析に基づいて)、複数のコンポーネントの少なくとも1つにスコアを割り当て得る。可能性としてはスコアに基づいて、電子メールメッセージは分類され得る。
一部の実施形態に従って、コンピュータは複数のコンポーネントの各々を解析し得る。複数のコンポーネントの各々に対して、コンピュータはコンポーネントにスコアを割り当て得る。複数のコンポーネントに各々に割り当てられるスコアに基づいて、複合のスコアが電子メールメッセージに割り当てられ得る。このような場合には、電子メールメッセージを分類することは、複合のスコアに基づいて電子メールメッセージを分類することを含み得る。例示的な方法は電子メールメッセージを、フィッシング詐欺(および/または他のオンライン詐欺)に包含されている、商標を不適切に使用している、などとして分類するために使用され得る。
特定の実施形態においては、電子メールメッセージはヘッダ部分、本体部分および/またはURL(これらの各々は、一部の場合には電子メールメッセージのコンポーネントと考慮され得る)を備え得る。それゆえ、ヘッダ部分は解析され得、および/またはスコアが割り当てられ得る。本体部分は解析され得、および/またはスコアが割り当てられ得る。ならびに/もしくはURLは解析され得、および/またはスコアが割り当てられ得る。一部の場合には、スコアリングは、例えば、本体部分はヘッダ部分がある閾値を超える場合に限り解析され、同様にURLはヘッダ部分および/または本体部分のそれぞれのスコア(および/またはヘッダ部分に対するスコアおよび本体部分に対するスコアに基づく結合スコア)がある閾値スコアを超える場合に限り解析され得るという点において、本質的に段階的であり得る。複合のスコアは電子メールメッセージに(例えば、ヘッダ部分、本体部分、および/またはURLに対するスコアに基づいて)割り当てられ得、および/または電子メールメッセージは複合のスコアに基づいて分類され得る。
さらなる実施形態はウェブサイトを分類する方法を提供し得る。単なる例として、このような一方法は、ウェブサイト上で複数のテストを行うこと、テストの各々に基づいてスコアを割り当てること、複数のテストの各々に基づいて複合のスコアを割り当てること、および/またはウェブサイトを分類すること(可能性としては、複合のスコアに基づいて)を含み得る。テストは種々の要因に関連し得る。単なる例として、1つ以上のテストはウェブサイト、ウェブサイトのコンテンツ、ウェブサイトのウェブページなどを参照するURLと関連し得る。
URLを解析(上記したように、ウェブサイトを参照するURL上でテストを行うために使用され得る)する例示的な方法は、ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を識別することを備え得る。方法は、URLによって参照されるウェブサイトが稼動中であることを検証すること、URLによって参照されるドメインについての情報を解析すること、および/またはURLのフォーマットを解析することをさらに含み得る。これらの検証および解析の1つ以上の結果に基づいて、URLによって参照されるウェブサイトは詐欺の可能性のあるウェブサイトとして分類され得る。URLによって参照されるドメインについての情報の解析は、このようなウェブサイト(本明細書に記載される任意の解析を含むがこれに限定はされない)をホストするURLおよび/またはサーバに関連するウェブサイトを解析することを含み得る。URLのフォーマットを解析することは、URLのディレクトリパスを評価すること、URLのコード化フォーマットすることを評価することなどを含み得る。方法はURLによって参照されるウェブサイトをホストするサーバの地理的な位置を決定することをさらに含み得る。
一部の場合には、スコアリングシステムはインプリメントされ得る。単なる例として、第一のスコアはウェブサイトが稼動中であることを検証することの結果に基づいて割り当てられ得、第二のスコアはURLによって参照されるドメインの解析に基づいて割り当てられ得、および/またはURLのフォーマットの解析に基づいて第三のスコアを割り当てる。複合のスコアはこれらのスコアの1つ以上に基づいて割り当てられ得、ならびに/もしくはURLによって参照されるウェブサイトは任意のこれらのスコアに基づいて、および/または複合のスコアに基づいて分類され得る。
ウェブサイトを詐欺の可能性のあるウェブサイトとして分類する別の方法は、ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を解析することを含み得る。この解析は上記した任意のまたは全ての手順を含み得るが、これらに限定はされない。方法はウェブサイトをホストするサーバを解析することをさらに含み得る。ウェブサイトがウェブページを備える場合には、方法はウェブページを解析することをさらに含み得る。ウェブサイトを参照するURLの解析、ウェブサイトをホストするサーバの解析、および/またはウェブページの解析に基づいて、ウェブサイトは詐欺の可能性のあるウェブサイトとして分類され得る。
ウェブページを解析することは、以下の手順の1つ以上を含み得る。その手順は、すなわち、ウェブページをダウンロードすることと、ウェブページがオンラインフォームをインプリメントするかを決定するためにウェブページを解析することと、(例えば、オンラインフォームがユーザから個人情報を要求するかを決定するために)ウェブページに組み込まれたオンラインフォームを解析することと、スペルまたは文法におけるエラーのためにウェブページを解析することと、識別されたURLがウェブサイトの外部のリソースを参照するかを決定するためにウェブページに組み込まれたユニフォームリソースロケータ(「URL」)を解析することと、ウェブページの表現を記憶されたウェブページの表現と比較することと、である。
さらに、実施形態の別のセットは、ドメインを解析するための方法を提供する。例示的な方法は、ドメインを詐欺の可能性のあるドメインと分類するために使用され得、該方法はドメインに関連するドメインレジストレーション記録(例えば、ゾーンファイルにおける記録)にアクセスすることを含む。方法は、ドメインに関連するサーバによってホストされるドメインおよび/またはウェブサイトに関する複数のテスト(上記したテストを含むがこれらに限定はされない)を行うことをさらに含み得る。複数のテストの各々に対して、スコアは可能性としては複数のテストの各々に対するスコアに基づいて、ドメインに割り当てられ得、および/または複合のスコアはドメインに割り当てられ得る。可能性としては複合のスコアに基づいて、ドメインは、不正である可能性のあるドメインとして分類され得る。
種々のテストが行われ得る。単なる例として、テストにおいて、ドメインに関連するウェブサイトは識別され得、ウェブサイトに関連するIPアドレスは識別され得、ドメインに関連するIPブロックは識別され得、および/またはIPブロックはIPアドレスと比較され得る。別のテストはドメインの所有者を評価すること、および/またはドメインの所有者とドメインの名前に類似する商標の所有者とを比較することとを備え得る。他の例においては、WHOISおよび/またはDNS情報のセットが評価され得る。一部の場合には、1つ以上のテスト(上記したテストを含むがこれらに限定はされない)はドメインに関連するウェブサイトをホストするサーバ上で行われ得る。
実施形態の他のセットは、システムおよび/またはソフトウェアプログラム(本発明の方法を行うように構成されるシステムおよび/または本発明の方法を行うためのコンピュータによって実行可能な命令を備えるソフトウェアプログラムを含むがこれらに限定はされない)を提供する。単なる例として、例示的なシステムは、プロセッサと、上記した方法の1つ以上を行なうためのプロセッサによって実行可能な命令とを備える。別の例としてソフトウェアプログラム(コンピュータ読み取り可能な媒体上に具体化される)は、上記した方法の1つ以上を行うために1つ以上のコンピュータによって実行可能な命令を備え得る。
本発明の性質および利点のさらなる理解は図面を参照することによって実現され得、図面は明細書の残りの部分に記載される。図面においては、同様の参照番号が類似の構成要素を示すためにいくつかの図面を通じて使用される。一部の例においては、小文字からなるサブラベルが、複数の類似の構成要素の1つを示すために参照番号に関連付けられる。実在するサブラベルを特定化することなく参照番号が参照された場合には、このような複数の類似構成要素全てを参照することを意図する。
(特定の実施形態の詳細な記載)
様々な実施形態に従った、システム、方法およびソフトウェアが、オンラインの詐欺、特に「フィッシング」操作に対抗するために提供される。「スプーフィング」詐欺として公知の例示的なフィッシング操作は、「スプーフされた」電子メールのメッセージを使用して、実際はサーバが消費者の個人情報へのアクセスを得るために、信頼されている加入者を装う別のパーティにより操作されているときに、疑いを知らない消費者に、違法な(illicit)ウェブサイトへのアクセスをさせ、信頼される加入者(例えば、銀行、オンラインの小売業者など)によって操作されていると信じられるサーバに対して個人情報を提供させる。本明細書で使用される、用語「個人情報」は、個人を識別するために使用され得る、および/または通常はその人物により比較的信頼されている実体(entity)にのみ明らかにされる任意の情報を含むことが理解されるべきである。単なる例として、個人情報は金融機関の口座番号、クレジットカード番号、有効期限および/またはセキュリティコード(当該分野では時折「カード照合番号」、「カード照合値」、「カード照合コード」または「CVV」という)、および/または他の金融の情報;ユーザID、パスワード、母親の旧姓、および/または他のセキュリティ情報;フルネーム、住所、電話番号、社会保障番号、運転免許証番号、および/または他の識別情報を含み得るが、これらに限定はされない。
(1.概観)
本発明の特定の実施形態は、このようなスプーフされた電子メールメッセージを引き込み、メッセージが詐欺活動(および/またはスプーフされたメッセージを含む)を含む確率を見積もるためにメッセージを解析し、任意の識別された詐欺活動に対する応答を提供する、システム、方法および/またはソフトウェアを特徴として提示する。図1Aは、これらの実施形態の一部に従ったオンラインの詐欺に対抗するために使用され得る例示的なシステム100の機能的要素を図示しており、ある実施形態がどのように操作し得るかの一般的な概観を提供する。(様々な実施形態は、以下の追加の詳細において記載される)。図1Aにより描かれる機能のアーキテクチャおよび各々の機能的構成要素に関して記載される手順は例示の目的のみのために提供され、本発明の実施形態は、特定の、機能的なまたは構造的なアーキテクチャに必ずしも限定されないことが注意されるべきである。本明細書に記載される様々な手順は任意の適切なフレームワークにおいて行われ得る。
多くの場合において、図1Aのシステム100は、詐欺防止サービス、セキュリティサービスなど(本明細書において「詐欺防止プロバイダ」という)によって、1人以上の顧客に対して操作され得る。しばしば、顧客は、模倣されている、偽造されている、および/またはスプーフされている危険がある製品、ブランドおよび/またはウェブサイトを有する実体である(例えば、オンライン小売人、金融機関、会社など)。しかしながら、他の場合には、詐欺防止プロバイダは、顧客ならびに/もしくは顧客に加盟している実体および/または顧客に組み込まれる実体(例えば、消費者のセキュリティ部門、情報サービス部門など)の使用人であり得る。
本発明の一部の実施形態に従って、システム100は、種々のデータ供給源105を含み(および/またはアクセスし)得る。データ供給源105は、図解を簡略化するためにシステム100の一部として描かれるが、当業者は、本明細書の開示に基づいて、データ供給源105はしばしば第三者によって独立に維持され、システム100によってアクセスされ得ることを認識する。一部の場合には、あるデータ供給源105が、(例えば、システム100によるより簡単なアクセスのために)ローカルに(適切に)転写および/またはコピーされ得る。
データ供給源105は、任意の供給源(1つ以上のチャットルーム105a、ニュースグループフィード105b、ドメインレジストレーションファイル105c、および/または電子メールフィード105dを含むがこれらに限定はされない)を備え得、任意の供給源からオンライン詐欺の可能性についてのデータが取得され得る。システム100は、オンラインの詐欺の実例を検出するために、および/または本明細書で議論される詐欺防止の方法論の効率および/または効果を強化するために、任意のデータ供給源105から取得された情報を使用し得る。一部の場合には、システム100(および/またはシステム100の構成要素)は、関連情報を見出すために、可能性としてはスケジュールされたべースで(例えば、10分ごとに1回、1日につき1回、1週間につき1回など)様々なデータ供給源を「クロール(crawl)」する(例えば、様々なデータ供給源を自動的にアクセスすることおよび/またはそこから情報を自動的にダウンロードすること)ように構成され得る。
単なる例として、新しいスパミング/スプーフィングスキームを議論するために、ならびに収集される電子メールアドレスのリストを売買するために共通に使用されるいくつかのニュースグループがある。このようなスキームを追跡する反不正使用(anti−abuse)ニュースグループもまた存在する。システム100は、新しいスプーフ詐欺、新しい収集されたアドレスのリスト、収集されたアドレスの新しい供給源などについての情報を見出すために、任意の適用可能なニュースグループ105bにクロールするように構成され得る。一部の場合には、システム100は、このようなクロールにおいて特定のキーワード(例えば、「フィッシュ」、「スプーフ」など)を検索するように構成され得る。他の場合には、ニュースグループはURLをスキャンされ得、URLはダウンロードされ得(またはコピーされ得)およびさらなる解析に供され得る(例えば、以下に詳細にて記載するように)。加えて、上記したように、モニタされ得る1つ以上の反不正使用グループがあり得る。このような反不正使用ニュースグループは、しばしば、発見された新しい詐欺を列挙し、および/またはこのような詐欺にURLを提供する。結果として、このような反不正使用グループはモニタされ得/クロールされ得る(例えば、上記した方法において、関連する情報を見出すために、次いで情報がさらなる解析に供され得る)。任意の他のデータ供給源(例えば、ウェブページおよび/またはウェブサイト全体、電子メールメッセージなどを含む)は、同様の方法でクロールおよび/または検索され得る。
別の例として、オンラインのチャットルーム(インターネットリレーチャット(IRC)チャネル、様々なISP(例えば、YahooTM、America OnlineTM、など)により維持され/ホストされるチャットルームおよび/または同様のものを含むがこれらに限定はされない)(例えば、105a)は、関連情報についてモニタされ得る(および/またはこのようなチャットルームからのログはクロールされ得る)。一部の場合において、自動化処理(「ボット(bot)」として当該分野において公知)は、この目的のために使用され得る。しかしながら、他の場合には、付き添い人がこのようなチャットルームを個人的にモニタし得る。当業者は、しばしばこのようなチャットルームが、アクセス特権を維持するために参加を要求することを理解する。それゆえ、一部の場合には、ボットまたは付き添い人のいずれかが、貢献者として見られるためにこのようなチャットルームに対して入力を通知し得る。
ドメインレジストレーションゾーンファイル105c(ならびに/もしくは任意の他のドメインの供給源および/またはインターネットレジストリ(例えば、ARIN)のようなネットワーク情報)はまた、データ供給源として使用され得る。当業者が認識するように、ゾーンファイルは、新しいドメインレジストレーションを反映するために定期的に(例えば、時間ごとにまたは日ごとに)アップデートされる。これらのファイルは、新しいドメインレジストレーションを探すために定期的にクロール/スキャンされ得る。特定の実施形態においては、ゾーンファイル105cは、顧客の名前および/またはドメインに類似したレジストレーションをスキャンされ得る。単なる例として、システム100は、異なるトップレベルドメイン(「TLD」)またはグローバルトップレベルドメイン(「gTLD」)および/または類似の綴りを有するドメインを用いて類似するドメインレジストレーションを検索するように構成され得る。従って、顧客が<acmeproducts.com>ドメインを使用する場合には、<acmeproducts.biz>、<acmeproducts.co.uk>および/または<acmeproduct.com>のレジストレーションは、スプーフサイトの可能性のあるホストとして重要であり得、このようなドメインに対するドメインレジストレーションは、レジストレーションが対応するドメインのさらなる解析のためにダウンロードされ得および/または記され得る。一部の実施形態において、疑わしいドメインが見出される場合には、そのドメインはモニタリングリスト上に置かれ得る。モニタリングリスト上のドメインは、ドメインが「生きて」いるかどうか(例えば、ドメインに関連するアクセス可能なウェブページがあるかどうか)を決定するために、以下のさらなる詳細において記載されるように、定期的にモニタされ得る。
1つ以上の電子メールフィード105dは、システム100に追加のデータ供給源を提供し得る。電子メールフィードは、上記したようにスパムメッセージを含む電子メールメッセージの任意の供給源であり得る。(実際、1つの入力電子メールメッセージは、一部の実施形態に従って電子メールフィードと考えられ得る)。一部の場合において、例えば、以下により詳細に記載するように、おとり(bait)電子メールアドレスは、本発明の実施形態により「シードされ」、またはプラントされ得、および/またはこれらのプラントされたアドレスは電子メールの供給源を提供し得る(例えば、電子メールフィード)。それゆえ、システム100は、アドレスプランタ170を含み得、アドレスプランタ170は、図1Bとの関連において詳細に示される。
アドレスプランタ170は、電子メールアドレスジェネレータ175を含み得る。アドレスジェネレータ175は、ユーザインターフェース180および/または1つ以上のデータベース185と通信し得る(これらの各々が関係のデータベースおよび/または任意の他の適切な記憶メカニズムを含み得る)。1つのこのようなデータ記憶装置は、ユーザID情報185aのデータベースを含み得る。ユーザID情報185aは、本発明の実施形態に従うユーザIDを生成するために使用され得る名前、番号および/または他の識別子のリストを含み得る。一部の場合には、ユーザID情報185aは(例えば、ファーストネーム、ラストネーム、番号または他のキャラクタのような変更子などに)分類され得る。別のデータ記憶装置は、ドメイン情報180を含み得る。ドメイン情報180のデータベースは、アドレスに利用可能なドメインのリストを含み得る。多くの場合には、これらのドメインは、アドレスプランタ170の操作者によって所有/管理されるドメインである。しかしながら、他の場合には、ドメインは他者(例えば、商用のISPおよび/または消費者のISPなど)によって管理され得る。
アドレスジェネレータ175は、アドレスジェネレーションエンジンを備え、アドレスジェネレーションエンジンは、インターネット上の適切な位置(または他の場所に)にプラントされ得る電子メールアドレスを生成する(個別ベースで、および/またはバッチベースで)ように構成され得る。単なる例として、アドレスジェネレータ175は、ユーザIDデータ記憶装置185aから1つ以上のユーザID情報の要素を選択するように(および/または複数のこのような要素を組み合わせるように)構成され得、これらの要素をドメインデータ記憶装置185bから選択されたドメインに付加するように構成され得、これにより電子メールアドレスを作成する。これらの構成要素を組み合わせるための手順は、任意に決定できる。単なる例として、一部の実施形態においては、アドレスジェネレータ175は、比較的多くのアドレスがこれらのドメインにおいて生成されるように、あるドメインネームに優先順位を決めるように構成され得る。他の実施形態において、処理は1つ以上のアドレスコンポーネントのランダムな選択を含み得る。
アドレスプランタ170の一部の実施形態は、追跡データベース190を含み、追跡データベース190は、プラント操作(特定のアドレスがプラントされる位置(例えば、ウェブサイトなど)、プラントの日付/時間、ならびにプラントについての任意の他の関連する詳細を含むがこれらに限定はされない)を追跡するために使用され得る。単なる例として、所与のアドレスを有するメーリングリストに加入することによりアドレスがプラントされる場合には、メーリングリストは(可能性としては、ウェブサイト、リストの管理人の電子メールアドレスなども同様に)、追跡データベースに記録され得る。一部の場合において、この情報の追跡は自動化され得る(例えば、アドレスプランタ170のユーザインターフェース180が、ウェブブラウザおよび/または電子メールクライアントを含む場合には、ならびにそのウェブブラウザ/電子メールクライアントがアドレスをプラントするために使用される場合には、プラントの情報についての情報は、アドレスプランタ170により自動的に登録され得る)。あるいは、ユーザがアドレスを手動でプラントし得(例えば、ユーザ独自のウェブブラウザ、電子メールクライアントなどを使用して)、結果として追跡データベースに、専用の入力ウィンドウ、ウェブブラウザなどを介して、関連情報を付加し得る。
実施形態の1つのセットにおいて、アドレスプランタ170は、電子メールアドレスを生成するため、特定された位置において電子メールアドレスをプラントするため(アドレスジェネレータ170によって生成されるかどうか)、および/またはプラント操作についての情報を追跡するために使用され得る。特定の実施形態においては、アドレスプランタ170はまた、1つ以上のアプリケーションプログラミングインターフェース(「API」)195を含み得、API195は、図1のシステム100の他の構成要素(または任意の他の適切なシステム)が、アドレスプランタとプログラムされているように相互作用することを可能にする。単なる例として、一部の実施形態において、API195は、プラント操作を行うために、アドレスプランタ170がウェブブラウザ、電子メールクライアント、などとインターフェースすることを可能にする。(他の実施形態においては、上記したように、このような機能性はアドレスプランタ170自体に含まれ得る)。
ある実施形態におけるAPI195の特定の使用は、他のシステム構成要素(特にイベントマネージャ135を含む)が、アドレスプラント操作(および/またはそれらの結果)についての情報を取得および/またはアップデートすることを可能にする。(一部の場合において、アドレスプランタ170へのプログラムに基づいたアクセスは必要とされ得ない。システム100の必要な構成要素は、必要な場合には、単にSQLなどを通じてデータ記憶装置185の1つ以上にアクセスし得る)。単なる例として、電子メールメッセージがシステム100により解析される場合には(例えば、以下に詳細に記載されるように)、システム100は、アドレスプランタ170および/またはデータ記憶装置185の1つ以上を問い合わせ(interrogate)し得ることにより、電子メールアドレスがアドレスプランタ170によりプラントされたアドレスにアドレスされたかどうかを決定する。そうである場合には、アドレスプランタ170(または、イベントマネージャ135のようなシステム100の一部の他の構成要素)は、プラントする位置を、フィッシュメッセージを誘発しそうな位置として記し得、それにより、追加のアドレスが所望どおりにこのような位置にプラントされ得る。このようにして、システム100は、プラント操作の効率を強化するようにフィードバックループをインプリメントし得る(このフィードバック処理は任意の所望のタイプの「望まれない」メッセージ(フィッシュメッセージ、一般的なスパムメッセージ、商標の悪用を証明するメッセージなどを含むがこれらに限定はされない)に対してインプリメントされ得ることに注意する)。
他の電子メールフィードは、本明細書の他の箇所に記載され、それらはスパムメール送信者/フィッシュメール送信者から直接受信されたメッセージと、ユーザ、ISPおよび/または任意の他の供給源(可能性としては、電子メールがスパムおよび/またはフィッシュであるという疑いに基づいて)から転送された電子メールと、メーリングリスト(反不正使用メーリングリストを含むがこれらに限定はされない)から転送された電子メールなどを含む(が、それに限定はされない)。電子メールメッセージ(これは、スパムメッセージであり得る)がシステム100により受信される場合には、そのメッセージは、解析され得、フィッシング/スプーフィングスキームの一部であるかどうかを決定する。任意のこれらのデータフィードから受信された情報の解析は、以下にさらに詳細に記載され、解析は、しばしば、ウェブサイト(しばしば、データ供給源105から受信/ダウンロードされたURLまたは他の情報により参照される)がフィッシングおよび/またはスプーフィングの詐欺に従事する可能性があるかどうかの評価を含む。
システムに入来する任意の電子メールメッセージは、本発明の様々な方法に従って解析され得る。当業者が認識するように、大量のインターネット上の望まれない電子メールのトラフィックがあり、これらのメッセージの多くがオンラインの詐欺のコンテキストにおいて重要であり得る。単なる例として、一部の電子メールメッセージは、本明細書でさらに詳細に記載されるフィッシング詐欺の一部として伝送され得る。他のメッセージは、消費者にブラックマーケットおよび/またはグレイマーケットの商品(例えば、海賊版ソフトウェア、偽造のデザイナー商品(時計、ハンドバッグなどを含むがこれらに限定はされない))を勧め得る。さらに他のメッセージは正当な商品のための広告であり得るが、非合法の方法を含み得、そうでなければ(例えば、契約によって)禁止されている実行(例えば、不適当な商標の使用および/または商品の違法な故意の値下げなど)を含み得る。本発明の様々な実施形態は、以下に記載されるように、これらの実行の1つ以上を検索し、識別し、および/またはこれらの実行の1つ以上に応答するように構成され得る。(ある実施形態が、同様の振る舞いをする電子メールフィード以外のゾーンファイル、ウェブサイト、チャットルームなどを含む、データ供給源にアクセス、モニタ、クロールなどを行うように構成され得ることにも同様に注意する)。単なる例として、システム100は、用語ROLEXTMに対して1つ以上のデータ供給源をスキャンするように、および/またはROLEXTMの時計の任意の不適当な広告を識別するように構成され得る。
当業者は、普通の電子メールアドレスは、多くの望まれない電子メールメッセージを受信することを認識し、システム100は、以下に記載されるように、このようなメッセージを受信および/または解析するように構成され得る。入来するメッセージは、多くの方法により受信され得る。単なる例として、一部のメッセージは、メッセージを促すために行動がとられないので、「ランダムに」受信され得る。あるいは、1人以上のユーザが、このようなメッセージをシステムに転送し得る。単なる例として、ISPは、ISPのユーザに、全ての望まれないメッセージを特定のアドレスに転送するように命令し得、特定のアドレスは、以下に記載されるようにシステム100によりモニタされ得、またはユーザの入力メッセージのコピーをこのようなアドレスに自動的に転送し得る。特定の実施形態においては、ISPは、ISPのユーザに伝送された疑わしいメッセージ(および/または例えば、このようなメッセージに含まれる任意のURLを含むこのような疑わしいメッセージの一部)をシステム100(および/またはシステム100の任意の適切な構成要素)に定期的なベースで転送し得る。一部の場合には、ISPは、この処理を円滑にするように設計されたフィルタリングシステムを有し得、および/またはシステム100のある特徴はISPのシステム内でインプリメント(および/または複製)され得る。
上記したように、システム100はまた、例えば、スパムメール送信者/フィッシュメール送信者による収集のために、特定のデータ供給源内におとりの電子メールアドレス(および/または他のおとりの情報)をプラントまたはシードし得る。通常は、これらのおとりの電子メールアドレスは、電子メールアドレスのハーベスタに対する魅力的なターゲットを提供するように設計され、おとりの電子メールアドレスは通常は(常にではないが)フィッシュメール送信者を引き込む目的で特別に生成され、それゆえに通常の電子メール通信には使用されない。
それゆえ、図1Aに戻ると、システム100は「ハニーポット」110をさらに含み得る。ハニーポット110は、データ供給源105の各々から情報を受信するために使用され得、および/または必要であればさらなる解析のためにその情報を相関付けるために使用され得る。ハニーポット110は、本発明の様々な実施形態に従って、このような情報を種々の方法で受信し得、どのようにハニーポット110が情報を受信するかは任意に決定できる。
単なる例として、上記したようにハニーポット100は、必ずしも必要でないが、データ供給源を実際にクロールすること/モニタすることを行うために使用され得る。(一部の場合には、1つ以上の他のコンピュータ/プログラムは実際にクロールすること/モニタすることの操作を行うために使用され得、および/またはこのような操作を介して取得された任意の関連情報をハニーポット110に伝送し得る。例えば、処理はゾーンファイルをモニタするように構成され得、任意の新しい、無効のおよび/またはそうでない場合には変更されたドメインレジストレーションの解析のためにハニーポット110に伝送するように構成され得る。あるいは、ゾーンファイルはハニーポット110に対する入力として送られ、および/またはハニーポット110は、任意の変更されたドメインレジストレーションを検索するために使用され得る)。ハニーポット110はまた、電子メールメッセージ(これは別の受信者から転送され得る)を受信するように構成され得、および/または1つ以上のおとりの電子メールを入来する電子メールについてモニタリングするように構成され得る。特定の実施形態においては、システム100は、ハニーポット110が1つ以上の電子メールアドレス(これはおとりのアドレスであり得る)に対するメールサーバであるように構成され得、ゆえにこのようなアドレスにアドレスされた全てのメールはハニーポット110に直接送信される。ハニーポット110は、それゆえ、電子メールメッセージを受信するように機能する(例えば、SMTPサーバなど)、および/またはおとりの電子メールアドレスにアドレスされた電子メールメッセージを引き出すように機能する(例えば、POP3および/またはIMAPクライアントなど)デバイスおよび/またはソフトウェアを含み得る。このようなデバイスおよびソフトウェアは当該分野において周知であり、本明細書で詳細に議論する必要はない。様々な実施形態に従って、ハニーポット110は、任意の(または全ての)種々の周知のメッセージフォーマット(SMTP、MIME、HTML、RTF、SMSおよび/または同様のものを含む)を受信するように構成され得る。ハニーポット110はまた、1つ以上のデータベース(および/または他のデータ構造)を備え得、これは電子メールメッセージおよび他のデータ(例えば、ゾーンファイルなど)ならびにクロールする/モニタリングする操作から取得された情報を維持/分類するために使用され得る。
一部の局面において、ハニーポット110は、受信されたデータ(受信された電子メールメッセージを含むがこれに限定はされない)の一部の予備的な分類および/またはフィルタ掛けを行うように構成され得る。特定の実施形態において、例えば、ハニーポット110は、受信されたデータの「ブラックリストに列挙される」単語または言いまわしを検索するように構成され得る。(「ブラックリスト」の概念は以下にさらに詳細に記載される)。ハニーポット110は、優先順位を決められた処理のために、および/またはこれらのまたは他の判定基準に基づいてデータ/メッセージにフィルタを掛けるために、このようなブラックリストに列挙される用語を含むデータ/メッセージを分離する。
ハニーポット110はまた、顧客ポリシー115に従って操作するように構成され得る。例示的な顧客ポリシーは、ハニーポットに、特定のタイプおよび/またはフォーマットの電子メールを見張るように命令し得る(例えば、特定のキーワードを検索するために、顧客ごとをベースとしてカスタマイズすることを可能にさせることを含む)。加えて、ハニーポット110は、拡張モニタリングオプション120を活用し得る(他の状況をモニタすること(例えば、危険性のために顧客のウェブサイトをモニタすることなど)を含む)。ハニーポット110は、メッセージを受信すると、選択的に電子メールメッセージをデータファイルに変換し得る。
一部の実施形態においては、ハニーポット110は、1つ以上の相関エンジン125と通信し、相関エンジン125は、電子メ−ルメッセージ(および/または他の情報/データ(例えば、クロールする/モニタリングする操作から受信された情報))のさらに詳細な解析を行い得る。(しかしながら、本明細書の機能の様々な構成要素(例えば、ハニーポット110、相関エンジン125など)への割り当ては任意であることに注意されるべきであり、一部の実施形態に従って、特定の構成要素は、他の構成要素に割り当てられた機能性を統合し得る)。
定期的なベースで、および/または入来するメッセージ/情報がハニーポット110により受信される/引き出される場合に、ハニーポット110は、受信された/引き出された電子メールメッセージ(および/または対応するデータファイル)を、解析のために利用可能な相関エンジン125に伝送する。あるいは、各相関エンジン125は、ハニーポット110からメッセージ/データファイルを定期的に引き出すように構成され得る(例えば、スケジュールされたFTP処理などを用いること)。例えば、特定のインプリメンテーションにおいては、ハニーポット110は、上記したように、電子メールメッセージおよび/または他のデータ(これは分類/フィルタされたり、されなかったりする)を記憶し得、各相関エンジンは、定期的なおよび/またはアドホックなベースでデータおよび/またはメッセージを引き出し得る。例えば、相関エンジン125が、利用可能な処理能力を有する場合には(例えば、相関エンジン125がそのキューにおいて任意のデータ/メッセージの処理を終えている)、相関エンジン125は、処理のためにハニーポット110から次の100個のメッセージ、データファイルなどをダウンロードし得る。特定の実施形態に従って、様々な相関エンジン(例えば、125a、125b、125c、125d)は、あるタイプのデータ(例えば、ドメインレジストレーション、電子メールなど)を処理するように特別に構成され得る。他の実施形態においては、全ての相関エンジン125は任意の利用可能なデータを処理するように構成され得、および/または複数の相関エンジン(例えば、125a、125b、125c、125d)は、並列処理の強化された効率を利用するようにインプリメントされ得る。
相関エンジン125は、データ(単なる例として電子メールメッセージを含む)を解析し得、ハニーポット110により受信された任意のメッセージがフィッシュメッセージであるか、および/または個人情報を収集するための詐欺的な試行を証明しそうであるかを決定する。この解析のための手順は以下に詳細に記載される。
相関エンジン125は、イベントマネージャ135と通信し得、イベントマネージャ135はまた、モニタリングセンタ130と通信し得る。(あるいは、相関エンジン125はまた、モニタリングセンタ130と直接通信し得る)。特定の実施形態においては、イベントマネージャ135は、コンピュータおよび/またはソフトウェアアプリケーションであり得、これらはモニタリングセンタ130内の技術者によりアクセス可能であり得る。相関エンジン125が、特定の入力電子メールメッセージが詐欺的な活動の候補でありそうであること、またはクロールする/モニタリングする操作を介して取得される情報が詐欺的な活動を指示し得ることを決定する場合には、相関エンジン125は、イベントマネージャ135に、イベントが電子メールメッセージにおいて作成されるべきであるという信号を送り得る。特定の実施形態においては、相関エンジン125および/またはイベントマネージャ135は、当該分野において周知の簡易ネットワーク管理プロトコル(「SNMP」)を使用して通信するように構成され得、相関エンジンの信号は、解析されたメッセージおよび/またはデータは、さらに調査されるべきである詐欺の可能性のあるイベントを指示していることを指示するSNMPの「トラップ」を含み得る。信号(例えば、SNMPトラップ)に応答して、イベントマネージャ135は、イベント(これは、SNMPイベントを含み得、独自のフォーマットであり得る)を作成し得る。
イベントを作成すると、イベントマネージャ135は、メッセージ/情報に含まれるおよび/またはメッセージ/情報に関連する、メッセージ/情報および/またはURLの情報収集操作(調査)140を開始し得る。以下に詳細に記載されるように、調査は、URLに関連するドメインおよび/またはIPアドレスについての情報を収集すること、ならびにURLにより参照されるリソース(例えば、ウェブページなど)をホストするサーバに問い合わせすることを含み得る。(本明細書で使用される場合、用語「サーバ」は時折、個人情報が交換され得るIPベースのサービスを提供することまたはオンラインの取引を指揮することが可能な任意のコンピュータシステム、および特に個人情報の詐欺的な収集(例えば、個人情報を要求するウェブページを提供することによって)に従事させ得るコンピュータシステム、を示すコンテキストとして使用される。それゆえに、このようなサーバのもっとも一般的な例は、ハイパーテキストトランスファープロトコル(「HTTP」)および/または任意のいくつかの関連サービスを使用して操作するウェブサーバであり、一部の場合ではあるが、サーバは、データベースサービスなどのような他のサービスを提供し得る)。特定の実施形態においては、1つの電子メールメッセージ(または情報ファイル)が複数のURLを含む場合には、個別のイベントが各URLに対して生成され得る。他の場合には、1つのイベントは特定のメッセージにおけるURLの全てを覆い得る。メッセージおよび/または調査が、イベントが特定の顧客に関連することを指示する場合には、イベントはその顧客に関連し得る。
イベントマネージャはまた、自動化した報告145を準備し得(および/または、報告を生成するための報告モジュール(示されていない)のような別の処理を引き起こし得)、報告145は、モニタリングセンタ130(またはそういうことならば任意の他の位置)における追加の技術者により解析され得、イベントに対して、報告は調査の概略および/または調査により取得された任意の情報を含み得る。一部の実施形態においては、処理は完全に自動化され得、それゆえ人間による解析は必要ではない。所望される場合には(および、可能性として顧客ポリシー115によって指示される場合には)、イベントマネージャ135は、影響を受けた顧客にイベントを知らせる通知150を自動的に作成し得る。顧客通知150は、報告145からの情報の一部(または全て)を含み得る。あるいは、顧客通知150は、顧客が報告のコピーへアクセスすることを可能にする(例えば、ウェブブラウザ、クライアントアプリケーションなどを通じて)イベントを顧客に通知し得るだけである(例えば、電子メール、電話、ページャなどを通じて)。顧客はまた、その顧客を含むイベントを示す専用のウェブサイトのようなポータルを使用することに重要なイベントを見得る(例えば、ここでイベントは顧客の商標、製品、ビジネスアイデンティティなどを使用する詐欺に関連する)。
調査140が、URLによって参照されるサーバが個人情報を収集するための詐欺的な試行に関連していることを明らかにする場合には、技術者は禁止(interdiction)応答155(本明細書では「技術応答」ともいう)を開始し得る。(あるいは、イベントマネージャ135は技術者による介入なしで自動的に応答を開始するように構成され得る)。状況および実施形態に依存して、種々の応答が適切であり得る。例えば、当業者は、一部の場合にはサーバが危うくされ得(すなわち「ハックされ」)、その場合にはサーバが、サーバの操作者の制御下ではなしにアプリケーションを実行し、および/またはサービスを提供する。(本コンテキストで使用される場合には、用語「操作者」は、所有する実体、維持する実体、および/またはそうでないならばサーバに責任のある実体を意味する)。調査140が、サーバが危険であると思われることを明らかにした場合には、サーバの操作者は単に無意識の犠牲者であり、詐欺のスキームにおける関係者であるように、適切な応答が、サーバの操作者にサーバが危険であることを伝えることを単純に含み得、可能性としては、危険性が許容される任意の脆弱性をどのように修復するかを説明することを含み得る。
他の場合においては、他の応答がより適切であり得る。このような応答は、一般的に、以下により完全に記載されるように、本質的には管理的160または技術的165のいずれかとして分類され得る。一部の場合には、システム100はダイリューションエンジン(示されていない)を含み得、ダイリューションエンジンは、以下により完全に記載されるように、技術応答に着手するために使用され得る。一部の実施形態においては、ダイリューションエンジンはコンピュータ上で実行するソフトウェアアプリケーションであり得、とりわけ、本発明の方法に従って、フィッシング詐欺に対する応答を作成および/またはフォーマットするように構成され得る。ダイリューションエンジンは、相関エンジン125、イベントマネージャ135などと同一のコンピュータ上に存在し得(および/または組み込まれ得)、および/または個別のコンピュータ上に存在し得、ダイリューションエンジンは任意のこれらの構成要素と通信し得る。
上記したように、一部の実施形態においては、システム100は、フィードバック処理を組み込み得ることにより、どちらのプラント位置/手法が、スパム生成に比較的により効果的であるかの決定を円滑にする。単なる例として、システム100は、アドレスプランタ170を含み得、アドレスプランタ170は、上記したようにプラントされたアドレスについての情報を追跡するためのメカニズムを提供し得る。これに対して、イベントマネージャ135は、電子メールメッセージ(および特定の、結果としてイベントを生じるメッセージ)を解析するように構成され得ることにより、メッセージがプラントする操作から生じたかどうかを決定する。例えば、メッセージのアドレスは、もしあれば、どちらがシステム100によりプラントされた1つ以上のアドレスに対応するかを決定するために評価され得る。メッセージが1つ以上のプラントされたアドレスに対応していることが決定される場合には、プラントされたアドレスのデータベースはプラントの状況を決定するために閲覧され、システム100はこの情報を技術者に表示し得る。このようにして、技術者は、よい結果を生む(fruitful)位置に追加のアドレスをプラントすることを選択し得る。あるいは、システム100は、アドレスプランタ170に自動的なフィードバックを提供するように構成され得、アドレスプランタ170は、代わりに、このような位置に追加のアドレスを自動的にプラントするように構成され得る。
本発明の様々な実施形態に従って、結果として、オンラインの詐欺の可能性についてのデータのセット(これは電子メールメッセージ、ドメインレジストレーション、URL、および/または任意の他のオンラインの詐欺についての関連データであり得る)は受信され得、解析され得ることにより、詐欺的な活動の存在を決定し、詐欺的な活動の例は、フィッシングスキームであり得る。本明細書で使用される場合には、用語「フィッシング」は、しばしば、ユーザが正当であると思われるウェブサーバのようなサーバにアクセスすることを要求する望まれない電子メールメッセージ(または、電話のコール、ウェブページ、SMSメッセージなど一部の他の通信)を送信することによって、ユーザに、それ以外の場合にはユーザがとらない行動をとるようにさせる(例えば、彼または彼女の個人情報を提供する、違法の製品を購入するなど)ための詐欺的なスキームを意味する。そうである場合には、任意の関連する電子メールメッセージ、URL、ウェブサイトなどは、調査され得、および/または応答の行動がとられ得る。追加の特性および他の実施形態は、いかにさらなる詳細として記載される。
(2.例示的な実施形態)
上記したように、本発明の特定の実施形態は、オンラインの詐欺に対処するためのシステムを提供する。図2のシステム200は、実施形態の1つのセットの例示が考慮され得る。システム200は、一般的にネットワークされた環境において実行され、ネットワークされた環境は、ネットワーク205を含み得る。多くの場合においては、ネットワーク205はインターネットであり、一部の実施形態の場合ではあるが、ネットワーク205は、一部の他の公共のおよび/またはプライベートなネットワークであり得る。通常は、任意のコンピュータ間のデータ通信をサポートすることが可能なネットワークで十分である。システム200は、マスタコンピュータ210を含み、マスタコンピュータ210は、本明細書で議論される、任意の手順または方法を行うために使用され得る。特定の場合には、マスタコンピュータ210は様々なデータ供給源をクロール/モニタするように、おとりの電子メールアドレスをシードするように、おとりの電子メールアドレスに伝送された電子メールアドレスを収集および/または解析するように、イベントを作成および/または追跡するように、URLおよび/またはサーバを調査するように、イベントについての報告を準備するように、イベントについて顧客に通知するように、ならびに/あるいは、例えば、電気通信リンクを通じて、モニタリングセンタ215と通信するように(およびより詳しくは、モニタリングセンタ内のモニタリングコンピュータ220と通信するように)、構成され得る(例えば、ソフトウェアアプリケーションを通じて)。マスタコンピュータ210は、複数のコンピュータであり得、複数のコンピュータの各々は、様々な実施形態に従って、特定の処理を行うように構成され得る。単なる例として、1台のコンピュータは、ハニーポットに関して上記した機能を行うように構成され得、別のコンピュータは相関エンジンに関連するソフトウェアを実行するように構成され得る(例えば、電子メールのメッセージ/データファイルの解析を行うこと)。第3のコンピュータはイベントマネージャとして役立つように構成され得(例えば、詐欺の疑いのある出来事を調査することおよび/またはそれに応答すること)、および/または第4のコンピュータは、ダイリューションエンジンとして機能するように構成され得る(例えば、技術応答を生成および/または伝送すること、技術応答は、以下にさらに詳細に記載されるように、単なる例として1つ以上のHTTP要求を含み得る)。同様に、モニタリングコンピュータ220は、任意の適切な機能を行うように構成され得る。
モニタリングセンタ215、モニタリングコンピュータ220および/またはマスタコンピュータ210は、1人以上の顧客225と(例えば、電気通信リンクを経由して)通信する。電気通信リンクは、音声および/またはデータ通信を提供することが可能な任意の媒体(例えば、電話線、無線接続、ワイドエリアネットワーク、ローカルエリアネットワーク、仮想的なプライベートネットワークおよび/または同様のもの)を経由する接続を含み得る。このような通信は、データ通信および/または音声通信であり得る(例えば、モニタリングセンタにいる技術者が、顧客における人物と電話通信を行い得る)。顧客225との通信は、イベント報告、イベントの通知、および/または詐欺的な活動の応答についての相談の伝送を含み得る。
マスタコンピュータ210は、複数のデータ供給源(上記したデータ供給源105を含むがこれに限定はされない)を含む(および/または複数のデータ供給源と通信する)。他のデータ供給源は、同様に使用され得る。例えば、マスタコンピュータは、証拠データベース230および/または「安全なデータ」のデータベース235を含み得、それらは、以下に詳細に議論するような使用において、1つ以上の架空の(または真実の)識別子のためのおとりの電子メールアドレスおよび/または個人情報を生成および/または記憶するために使用され得る。(本明細書で使用される場合には、用語「データベース」は、データを記憶する任意の手段(伝統的なデータベース管理ソフトウェア、オペレーティングシステム、ファイルシステムおよび/または同様のものを含む)を含むように広く解釈されるべきである)。マスタコンピュータ210はまた、調査されるべきインターネットおよび/または任意のサーバについての情報の1つ以上の供給源と通信し得る。このような情報の供給源は、ドメインWHOISデータベース240、ゾーンデータファイル245などを含み得る。当業者は、WHOISデータベースがしばしば、中央のレジストレーションオーソリティ(例えば、American Registry for Internet Numbers(「ARIN」)、Network Solutions,Incなど)により維持されることと、マスタコンピュータ210はこれらのオーソリティを照会するように構成され得ることと、あるいはマスタコンピュータ210は、他の供給源(例えば、プライベートに維持されるデータベースなど)からこのような情報を取得するように構成され得ることと、を認識する。マスタコンピュータ210(および/または任意の他の適切なシステム構成要素)は、これらのリソースを使用し得、他のもの(例えば、公共利用可能なドメインネームサーバ(DNS)データ、ルーティングデータおよび/または同様のもの)を、詐欺的な活動を行っている疑いのあるサーバ250を調査するために使用し得る。上記したように、サーバ250は、オンライン取引の処理、ウェブページを提供することおよび/またはそうでなければ個人情報を収集することが可能な任意のコンピュータであり得る。
システムはまた、1つ以上の応答コンピュータ255を含み、応答コンピュータ255は、以下に詳細に記載するように詐欺的な活動への技術応答を提供するために使用され得る。特定の実施形態においては、1つ以上の応答コンピュータ255は、ダイリューションエンジンを備え得、および/またはダイリューションエンジンと通信し得、ダイリューションエンジンは、フィッシング詐欺への応答を作成および/またはフォーマットするために使用され得る。(応答コンピュータ255の機能はまた、マスタコンピュータ210、モニタリングコンピュータ220等により行われ得ることに注意する)。特定の実施形態においては、複数のコンピュータ(例えば、225a〜225c)は、分散型の応答を提供するために使用され得る。応答コンピュータ255、ならびにマスタコンピュータ210および/またはモニタリングコンピュータ220は、必要なタスクを行うためのハードウェア、ファームウェアおよび/またはソフトウェアの命令を有する専用コンピュータであり得る。あるいは、これらのコンピュータ210、220、255は、オペレーティングシステムを有する汎用コンピュータ(例えば、Microsoft Corp.のWindows(登録商標)および/またはApple Corp.のMacintoshTMのオペレーティングシステムの任意の適切なフレーバーを実行するパーソナルコンピュータおよび/またはラップトップコンピュータ、ならびに/あるいは任意の種々の市販されるUNIX(登録商標)またはUNIX(登録商標)に似たオペレーティングシステムを実行するワークステーションコンピュータを含む)であり得る。特定の実施形態においては、コンピュータ210、220、255は、任意の種々の無料のオペレーティングシステム(例えば、GNU/Linux、FreeBSDなど)を実行し得る。
コンピュータ210、220、255はまた、種々のサーバアプリケーション(HTTPサーバ、FTPサーバ、CGIサーバ、データベースサーバ、Java(登録商標)サーバなどを含む)を実行し得る。これらのコンピュータは、他のコンピュータ(ウェブアププリケーションを含むがこれに限定はされない)からの要求および他のコンピュータとの相互作用に応答してプログラムまたはスクリプトを実行可能な1つ以上の汎用コンピュータであり得る。このようなアプリケーションは、任意のプログラミング言語(単なる例として、C、C++、Java(登録商標)、COBOLあるいはPerl、Python、またはTCLまたはこれらの任意の組み合わせのような任意のスクリプト言語)で書かれた1つ以上のスクリプトまたはプログラムとしてインプリメントされ得る。コンピュータ210、220、255はまた、データベースサーバソフトウェア(OracleTM、MicrosoftTM、SybaseTM、IBMTMなどから商用に入手可能なパッケージを含むがこれらに限定はされない)を含み得、データベースサーバソフトウェアは、ローカルにおよび/または他のコンピュータ上で実行するデータベースクライアントからの要求を処理し得る。単なる例として、マスタコンピュータ210は、本発明の実施形態に従って、タスクを行うための独自のアプリケーションソフトウェアを実行するように構成されたGNU/LinuxオペレーティングシステムおよびPostgreSQLデータベースエンジンを操作するIntelTMプロセッサマシンであり得る。
一部の実施形態においては、1つ以上のコンピュータ110は、調査報告を表示することなどに必要な場合に、ウェブページを動的に作成し得る。これらのウェブページは、1台のコンピュータ(例えば、マスタコンピュータ210)と別のコンピュータ(例えば、モニタリングコンピュータ220)との間のインターフェースとして役立ち得る。あるいは、コンピュータ(例えば、マスタコンピュータ210)はサーバアプリケーションを実行し得、一方で別の(例えば、モニタリングコンピュータ220)デバイスは専用のクライアントアプリケーションを実行し得る。サーバアプリケーションは、それゆえ、クライアントアプリケーションを実行するユーザデバイスのインターフェースとして役立ち得る。あるいは、特定のコンピュータは他のコンピュータと通信する「シン(thin)クライアント」またはターミナルとして構成され得る。
システム200は、1つ以上のデータ記憶装置を含み得、データ記憶装置は、1つ以上のハードドライブなどを備え得、ハードドライブなどは、例えば、データベース(例えば、230、235)を記憶するために使用され得る。データ記憶装置の位置は任意に決定される。単なる例として、データ記憶装置は、記憶媒体上にコンピュータの1つ以上に対してローカルに存在し(および/または常駐し)得る。あるいは、データ記憶装置は、データ記憶装置がこれらの1つ以上と通信する(例えば、ネットワーク205を経由して)間は、これらの任意のまたは全てのデバイスから離れ得る。一部の実施形態においては、データ記憶装置は、当業者に馴染み深い記憶領域ネットワーク(「SAN」)に存在し得る。(同様に、コンピュータ210、220、255に起因する機能を行うための任意の必要なファイルは、コンピュータ読み取り可能な記憶媒体に、各々のコンピュータにローカルにおよび/または各々のコンピュータから離れて、適切に記憶され得る)。
図3は、本明細書に記載される、本発明の方法および/またはマスタコンピュータ、モニタリングコンピュータ、および/または応答コンピュータの機能を行い得るコンピュータシステム300の一実施形態の一般化された概略図を提供する。図3は、様々な構成要素の一般化された図を提供することのみを意図されており、任意の構成要素は適切に利用され得る。コンピュータシステム300は、バス305を通じて電気的に結合され得る、1つ以上のプロセッサ310と、1つ以上の記憶デバイス315と、を含むハードウェア構成要素を含み得る。記憶デバイス315は、ディスクドライブ、光学記憶デバイス、固体素子記憶デバイス(例えば、ランダムアクセスメモリ(「RAM」)および/または読み取り専用メモリ(「ROM」))を含むがこれらに限定はされない。これらは、プログラム可能であり得、素早いアップデートが可能であり得および/または同様のものであり得る(上記されるように、これらはデータ記憶装置として機能し得る)。1つ以上の入力デバイス320(入力デバイス320はマウス、キーボードおよび/または同様のものを含むがこれらに限定はされない)と、1つ以上の出力デバイス325(出力デバイス325はディスプレイデバイス、プリンタおよび/または同様のものを含むがこれらに限定はされない)と、通信サブシステム330(通信サブシステム330は、モデム、ネットワークカード(無線または有線)、赤外線通信デバイスおよび/または同様のものを含むがこれらに限定はされない)はまた、バス305と通信し得る。
コンピュータシステム300はまた、現在ワーキングメモリ335内に位置するように示されるソフトウェア要素(オペレーティングシステム340、ならびに/あるいは上記したような、および/または本発明の方法をインプリメントするように設計されたアプリケーションプログラムのような他のコード345)を備え得る。当業者は、実質的な変更が、特定の実施形態および/または要求に従ってなされ得ることを認識する。例えば、カスタマイズされたハードウェアはまた、使用され得、および/または特定の要素は、ハードウェア、ソフトウェア(アプレットのようなポータブルソフトウェアを含む)、またはその両方においてインプリメントされ得る。
実施形態の別のセットは、オンラインの詐欺に対抗する方法を提供し、方法は、一部の場合には、コンピュータによりインプリメントされ得、コンピュータソフトウェアプログラムにおいて具体化され得る。これらの方法は、コンピュータソフトウェアアプリケーションとして、および/またはコンピュータシステム(上記のシステムを含む)によって、インプリメントされ得るが、必ずしもインプリメントされる必要はない。図4〜図8は、いくつかのこのような方法を集団的に図示しており、このような方法は、個別におよび/またはお互いに関連して(他の方法と同様に)インプリメントされ得る。これらの方法の一部として記載される手順の一部または全ては、図1Aに関連して記載されたものに類似する、可能性としては1人以上の人間の技術者からの相互作用を用いて、システムの様々な構成要素により行われ得る(が、行われる必要はない)。
図4A、図4Bおよび図4Cは、オンラインの詐欺の可能性のある出来事についての情報を収集する方法を図示している。例えば、図4Aは、本発明のある実施形態に従って、入来する電子メールメッセージを誘起すること、受信することおよび/または分類することのための方法400を図示している。一部の場合には、ハニーポットおよび/または相関エンジンは、方法400を行うために使用され得る。特定の実施形態においては、アドレスジェネレータ(例えば、図1Bに対して記載されるアドレスジェネレータ170)は、特定の操作(このようなおとりの電子メールアドレスをプラントすること、フィードバックループをインプリメントすることなど)を行うために使用され得る。例示的な方法400は、1人以上の顧客に対して顧客プロファイルを確立することを含み得る(ブロック402)。顧客プロファイルは、入力電子メールメッセージが顧客をスプーフすることを試行していることを指示し得る特定のキーワードのブラックリストを識別し得る。例えば、金融サービス業界の顧客にとって、キーワードは、「ローン」、「アカウント」、「クレジットカード」および/または同様のものであり得る。顧客プロファイルはまた、顧客ならびにデフォルトの構成情報(例えば、電子メールメッセージをフィッシュとして考慮するための顧客の(例えば、比較的寛大なまたは比較的厳しい)閾値、および/または詐欺的な活動に応答するための顧客の優先度(例えば、管理上の応答のための優先度、技術応答の優先レベルなど))を含むフィッシング活動に関連することが知られているサーバ、URL、ドメイン、および/またはIPアドレスを識別し得る。
ブロック404において、1つ以上の「安全なアカウント」が、例えば、顧客のシステム内に作成され得る。これらの安全なアカウントは、任意の本当のアカウント名義人には対応しない有効なアカウント(例えば、使用中のクレジットカードアカウント)であり得、安全なアカウントは、任意の本当のアカウント名義人に対応しないが、顧客のシステムによって有効であるとして受容され得る有効な(または明らかに有効な)識別子(例えば、アカウント番号、社会保障番号、クレジットカード番号など)を含む、架空の個人情報に関連し得る。安全なアカウントは、その後、任意の取引またはアクセス試行をモニタされ得る(ブロック406)。安全なアカウントは本当のアカウント名義人には対応しないので、任意の取引、アクセス試行など(「アカウント活動」)は不正な使用を表す。加えて、安全なアカウントは、以下にさらに詳細に記載されるように、識別子の使用をトレースする(trace)ためおよび/または追跡するために使用され得、詐欺的な活動の証拠となる記録をコンパイルするために使用され得る。
方法400はまた、おとりの電子メールアドレスを生成および/またはプラントすることを含み得、おとりの電子メールアドレスは、スパムおよび/またはフィッシュメッセージを引き込むために使用され得る。一部の場合には、おとりのアドレスは、フィッシュメール送信者に魅力的なもの(例えば、魅力的なドメインから、および/またはユーザIDとして英語の適切な名前を使用して)であるように、および/または収集されたリスト上で優先されるもの(例えば、番号、文字a、またはアルファベットではないキャラクタなどにより始まるユーザIDを有する)であるように選択され得る。このようにして、フィッシュメール送信者が、フィッシュメッセージを収集されたリスト上のアドレスの各々に送信する場合には、おとりのアドレスがフィッシュメッセージを、メーリング処理において比較的に早く受信する高い確率があり得、多くの実際の受信者がフィッシュに応答して個人情報を提供する機会を有する前に、システムに応答行動をとらせる。
従って、一部の実施形態においては、電子メールアドレスを作成することは1つ以上のユーザID要素(例えば、上記したもの、上記したものは電子メールアドレスを作成するために使用され得る)を選択すること(ブロック408)を含み得る。ユーザID要素の選択は、アドレスプランタ(上記したような)によって、任意の他の適切なツールによって、および/または手動で行われ得る。所望される場合には、2つ以上のユーザID要素は、連結され得、そうでない場合はユーザIDを形成するために組み合わされ得る(ブロック410)。特定の実施形態においては、ユーザIDは単に1つのユーザID要素を備え得る。
方法400は、おとりのアドレスに対してホストネームおよび/またはドメインネームを選択することをさらに包含し得る(ブロック412)。本明細書で記載されるように、ドメインの選択にはいくつかの要因が考慮され得る。単なる例として、特定のドメインは、スパムおよび/またはフィッシュメッセージをより引き付ける可能性があるとして優先順位を付けられ得る(例えば、ドメインネームの性質によって、そのドメインを使用する電子メールアドレスは過去においては比較的多くのフィッシュメッセージを引き込むので、など)。多くの場合には、ドメインはアドレスをプラントすることに対する責任がある実体によって所有および/または管理されるドメインである(または、このような実体がアクセスするドメイン)。特定の場合には、有名な消費者ISPドメイン(例えば、「aol.com」、「msn.com」など)が使用され得る。このようなドメインの所有者は、プラントするアドレスに責任のある実体と連携し得る。あるいは、アドレスプランタ(または別のツール)は、適切なISPにおいてアカウントを作成するために、および/または受信されたメッセージをハニーポットなどに自動転送するためのアカウントを構成するために使用され得る。
ドメインネームが、次いで、ユーザIDに付加され得ることにより、電子メールアドレスを作成する(ブロック414)。(この時点において、電子メールアドレスが、適切なホスト上にユーザIDを作成すること、ISPにアカウントを開くことなどを可能にするための任意の必要なステップは、自動的にまたは技術者によってのいずれかでとられ得る。しかしながら、多くの場合には、本明細書に記載されるように、選択されたドメインに対するメール交換が、任意のユーザIDに入来するメールを許容するように構成され得るので、特定のユーザIDに対してステップがとられる必要はないことが認識され得る)。
生成された電子メールアドレスに対して、1つ以上のプラントする位置が選択され得る(ブロック416)。プラントする位置は、ウェブサイト、ニュースグループおよび/または本明細書に記載される、収集されるプラントされたアドレス、ならびに/あるいはスパムおよび/またはフィッシュの電子メールを受信するプラントされたアドレスを結果として生じる可能性があり得る他の位置を含み得る。一部の場合には、1つの位置のみに各々の電子メールアドレスをプラントすることが望まれ得る(例えば、以下に、および図1Bに関連して記載される、追跡およびフィードバック処理を円滑にするために)。他の場合においては、例えば、各々の生成されたアドレスの効果を最大にすることが望まれる場合には、特定のアドレスが複数の位置にプラントされ得る。特定の実施形態においては、以下に詳細に記載するように、プラントする位置の選択は、どちらのプラントする位置がフィッシュ/スパムメッセージを生成したかを見積もる三角測量(triangulation)の手順を円滑にするように設計され得る。
次いで、ブロック418において、おとりの電子メールアドレスは、上記したように適切な位置にプラントされ得る。(おとりの電子メールアドレスは、生成されたアドレスであり得、購入されたドメインに関連するアドレス、先在するアドレスなどであり得る)。一部の場合には、プラントする位置は、ブロック416にて選択された位置であり得る。おとりのアドレスをプラントするタスク(本明細書では「シードする」ともいわれる)は、自動化され得(例えば、ハニーポット、アドレスジェネレータなどのようなコンピュータシステムにより行われる)、および/または手動で行われ得る。単なる例として、図1Bに関連して記載されるアドレスジェネレータ170に類似する、アドレスジェネレータは、特定の実施形態においては、図1Bに関連して詳細に記載される類似した処理を用いて、おとりの電子メールアドレスをプラントするために使用され得る。上記したように、特定の実施形態においては、各々の作成されたアドレスを1つの位置のみにプラントすることが望まれ得る(例えば、フィードバックループを追跡および/またはインプリメントすることを補助するために)。他の場合には、各々の生成されたアドレスの効果を最大にするために、各々のアドレスを複数の位置にプラントすることが望まれ得る。
他の実施形態においては、種々の自動化の、および/または手動の処理がおとりのアドレスをプラント(シード)するために使用され得(おとりのアドレス自体は、アドレスジェネレータによって、手動でおよび/または他の自動化処理を介して生成され得る)、単なる例として、自動化の処理は、ニュースグループにおとりの電子メールアドレスを含むアイテムを送り得、管理上のコンタクトとしておとりの電子メールアドレスを有するドメインレジストレーションを作成し得、収集されたアドレスのリストなどとして見られるようにフォーマットされたおとりのアドレスのリストをコンパイルおよび/または分配し得る。一部の状況においては、電子メールアドレスをプラントすることは、追加の情報を提供することをさらに包含し得る。単なる例として、アドレスをプラントすることが、管理上のコンタクトとしてアドレスによってWHOIS記録を作成することを包含する場合には、プラントする操作は、WHOIS記録内に含まれる他の関連する情報(例えば、電話番号、コンタクトネーム、アドレスなど)を提供することを包含し得る。他の例においては、例えば、ニュースレターに加入する場合に、ファーストネームおよび/またはラストネームがおとりのアドレスに提供され得る。この情報は手動で供給され得、および/または自動化様式(例えば、アドレスプランタによって)で、可能性としてはユーザIDの生成に類似した様式で、生成され得る。一部の場合には、以下に記載するように、このような追加の情報は、どちらのプラントする位置がスパム/フィッシュ電子メールを生じたかを決定する処理を効率化(refine)するために使用され得る。結果として、追加の情報は、各々のプラントする位置において異なる情報を提供するために(おとりのアドレスが同一である場合でさえも)有用であり得る。
プラントする位置は、例えば、上記したように追跡データベースの使用を介して追跡され得る(ブロック420)。さらに、プラントされたアドレスと共に提供された任意の情報はまた、追跡され得る。プラントする位置の追跡は、以下に記載するように、フィードバック処理を円滑にし得る。
おとりの電子メールアドレスがプラントされた後に、おとりのアドレスに入来する任意の電子メールメッセージは、任意の受容可能な手順(上で議論されたような手順を含む)を使用して収集され得る(ブロック422)。一部の実施形態に従って、例えば、入来する電子メールメッセージを収集することは、ハニーポット/メールサーバから入来する電子メールメッセージをダウンロードすること、および/または電子メールメッセージをデータファイルに変換することを包含し、データファイルは、電子メールメッセージのヘッダ情報、電子メールメッセージの本体部分、電子メールメッセージに含まれる任意のURL、および/または電子メールメッセージの任意の添付ファイルに対応する個別の部分および/またはフィールドを有し得る。電子メールメッセージを収集することは、解析のために、電子メールメッセージ、および/または電子メールメッセージをダウンロードする相関を相関エンジンに伝送することをさらに包含する。任意の収集された入来する電子メールメッセージ(および/または対応するデータファイル)は、メッセージがおそらくフィッシュである(すなわち詐欺的な電子メールメッセージ)として分類されるべきかどうかを決定するために解析され得る(ブロック424)。電子メールメッセージを解析するための1つの例示的な処理は、図5を参照することによって以下に記載される。
特定の実施形態に従って、プラントする処理はフィードバックループ(例えば、上記したものを含む)をインプリメントし得る(ブロック426)。単なる例として、入来する電子メールメッセージが解析される場合には、入来する電子メールメッセージのアドレスは、そのアドレスが調べられ得ることにより、任意の生成されたおよび/またはプラントされたアドレスに相関するかどうかを決定する。相関する場合には、ルックアップが(例えば、追跡データベースを検索することによって)行われ得ることにより、アドレスがどこにプラントされたかを決定し、フィードバックはアドレスジェネレータ(および/またはアドレスをプラントする責任がある任意の他のツールまたは実体)に提供され得ることにより、そのアドレスに対するプラントする位置が、スパムおよび/またはフィッシュ電子メールメッセージの供給源となる可能性があることを指示する。次いで、所望される場合には、このような位置は追加のプラントする操作のための位置として優先順位が決定され得る。
一部の実施形態においては(例えば、ここで生成されたアドレスは複数の位置にプラントされる)、フィードバック処理はさらに洗練され得る。例えば、特定のアドレスが複数の位置にプラントされた場合には、ただ単に入来するフィッシュ/スパムメッセージのアドレスを確認することだけでは、プラントする位置のどちらがメッセージを生じたかを決定するためには不十分であり得る。このような場合においては、任意のいくつかの手順が、どちらのプラントする位置がメッセージを生成したかについてのさらなる情報を提供するために使用され得る。単なる例として、三角測量手順が使用され得る。アドレスAが位置XおよびYにプラントされた一方で、アドレスBが位置YおよびZにプラントされ、アドレスCは位置XおよびZにプラントされたという状況を考慮する。フィッシュメッセージがアドレスAおよびCにより受信される場合には、位置Xはフィッシュメッセージを生成したプラント位置であった可能性がある。同様に、フィッシュメッセージがアドレスAおよびBによって受信される場合には、位置Yはフィッシュメッセージを生成したプラント位置であった可能性があり、以下同様である。(特定の生成されたアドレスに対するプラント位置の選択は、このような三角測量を行うための能力を強化するように構成され得ることに注意されるべきである)。
別の例示的な手順は、どちらのプラントする位置がフィッシュメッセージを生成したかを識別する情報について、入力メッセージを解析することを含み得る。単純な場合においては、メッセージが発信されたドメインは、アドレスがプラントされたドメインと相関し得る。(一部の場合には、本明細書の他の箇所に記載されるように、ドメイン解析はこの解析を洗練するために使用され得る。単なる例として、プラントする位置に対するWHOIS記録は、フィッシュメッセージが発信されたドメインについて対応するWHOIS情報にマッチする任意の情報を見出すために解析され得る)。他の場合には、フィッシュメッセージは、プラントされたアドレスに提供される情報(例えば、名、姓など)と相関され得、このような情報は、どちらのプラントする位置がメッセージを生じたかを決定するために使用され得る。本明細書の開示に基づいて、当業者は、種々の手順が、いくつかのプラントする位置のどれがフィッシュメッセージを生じたかを確認するために使用され得ることを理解する。
図4Bは、潜在的な詐欺的な活動(フィッシング/スプーフィング詐欺を含む)についての情報を取得するために使用され得る別の方法435を図示している。図4Bの方法435は、一部の場合においてはハニーポット、相関エンジンおよび/またはイベントマネージャ(例えば、上記したような)を使用してインプリメントされ得、方法435は、任意の適切なデータ供給源(上記したデータ供給源105を含むがこれに限定はされない)から情報を獲得するために使用され得る。一部の実施形態に従って、方法435は、データ供給源にアクセスすることを含み得る(ブロック440)。データ供給源にアクセスすることは、データ供給源のタイプ、所望される情報のタイプおよび/または他の適切な因子に依存する任意の種々の手順を包含し得る。単なる例として、一部の実施形態においてはデータ供給源にアクセスすることは、データ供給源をクロールするために処理(この処理は無人のものおよび/または自動化されたものであり得る)を使用することを包含し得る。従って、例えば、データ供給源がウェブサイトである場合には、ウェブサイト上の1つ以上のファイルがクロールされ得(すなわちアクセスされ得および/またはダウンロードされ得)、このようなファイルはオプションとして、詐欺防止システムにローカルにセーブされ得る。他の場合には、ウェブ検索エンジン(例えば、GoogleTM、LycosTMなど)が情報を検索するために使用され得る。データ供給源がアクセス制限されたデータ供給源である場合には、データ供給源にアクセスすることは、1つ以上の認証手順(例えば、ユーザネームおよび/またはパスワードを提供すること)を含み得、認証手順は、手動で、相互作用的に、および/または自動化様式で行われ得る。別の例として、例えば、データ供給源がオンラインのチャットルームである場合には、データ供給源にアクセスすることは、チャットルームにログオンすることを含み得る。さらなる場合には、データ供給源にアクセスすることは、例えば、定期的ベースまたは必要に応じたベースで、データ供給源全体をダウンロードすること、および/またはダウンロードされたデータ供給源にアクセスすること(読み込むこと、解析すること、検索することなど)を含み得る。単なる例として、ドメインレジストレーションゾーンファイルは定期的ベースでローカルにダウンロードされ得、ゾーンファイルに対する検索は、より素早くおよび/またはオフラインの様式で行われ得る。
特定の実施形態においては、データ供給源にアクセスすることは、そのデータ供給源をモニタリングすることを含み得る。データ供給源をモニタリングすることは、一部の場合においては、定期的ベースでデータ供給源にアクセスすることを含み得る。一部の実施形態に従って、データ供給源をモニタリングすることは、データ供給源の以前のアクセス以来発生する変化(例えば、追加のおよび/またはアップデートされた情報)に対してデータ供給源の評価をすることを包含し得る。単なる例として、ドメインレジストレーションゾーンファイルがモニタされ得ることにより、ドメインレジストレーションに対する変更を見出す(以下にさらに詳細に記載される)。他の実施形態においては、データ供給源をモニタリングすることは、データ供給源がアクセスされている間に発生するデータ供給源に対する変化を追跡することを包含し得る。一例として、データ供給源がオンラインのチャットルームである場合には、データ供給源をモニタリングすることは、チャットルーム内で起こるオンラインの「会話」を見ることと、ダウンロードすることと、コピーすることなどを、含み得る。多少類似しているが、データ供給源がニュースグループである場合には、ニュースグループは新しい通知、返信などについてモニタされ得る。
方法435はまた、アクセスされた/モニタされたデータ供給源から情報を獲得することを含み得る(ブロック445)。データ供給源にアクセスすること/モニタリングすることと同様に、情報を獲得することは、種々の形式をとる。例えば、データ供給源がファイルまたはファイルのセット(例えば、ウェブサイト、ドメインレジストレーションファイル、ニュースグループ)である場合には、情報を獲得することは、ファイルを(例えば、キーワードなどで)検索することを包含し得る。単なる例として、情報は、URLおよび/または関連する用語(例えば、「フィッシュ」、「スプーフ」、「詐欺」など、ならびにこのような単語の変形)の検索によって獲得され得る。特定の顧客の名前はまた、これらの名前の存在が、顧客に関与し得る、詐欺的な活動の可能性を指示し得る場合には、検索用語であり得る。このような単語を含むファイルは、さらなる解析のためにダウンロードされ得、および/または分類され得る。他の場合においては、情報を獲得することは、URLおよび/または関連用語を備える情報を含む関連情報を含むオンラインのチャットセッションの記録をコピーすることおよび/またはログすることを包含し得る。
例えば、データ供給源がモニタされる場合を含む特定の実施形態においては、情報を獲得することは、データ供給源に対する任意の変更をダウンロードすることを、および/またはデータ供給源がモニタされない場合には、その記録を作成することを包含し得る。このことは一般的に(すなわちデータ供給源の全変更に関して、および/またはデータ供給源に含まれる情報に関して)および/またはオプションとして(すなわち関連情報に関してのみ)なされ得る。単なる例として、ドメインレジストレーションゾーンファイルがモニタされる場合には、レジストレーション記録に対する全ての変化は、記され得および/またはダウンロードされ得る。あるいは、特定の判定基準(例えば、クライアントのドメインネームおよび/または商標に怪しげに類似する新しいドメイン、あるいはスパムメール送信者、フィッシュメール送信者および/またはスプーフ送信者に応じると考えられる新しいドメイン)に合う変化のみが、記され得および/またはダウンロードされ得る。特定の場合において、有用なドメインネームの有効期限が切れる(例えば、ドメインネームが「有効期限切れ」とマークされ、および/またはドメインネームがドメインレジストレーションゾーンファイルから消える)場合には、その情報は、図4Cの参照によってさらに詳細に記載されるように、記され得る。
通常の場合には、情報を獲得することは、任意の行動を包含し得、任意の行動によって、情報はデータ供給源から取得され得る。さらに、本明細書の開示に基づいて、当業者は、データ供給源にアクセスすることを獲得することおよび情報を獲得することの手順が、1つの手順に統合され得ることを認識する。一部の場合には、情報を獲得することの処理はまた、新しい情報が獲得され、かつ評価されることが必要であると、管理者に通知すること(および/または自動化処理)を含み得る。この通知は、電子メールメッセージ、中間処理ソフトウェアメッセージ、アプリケーションの呼び出しなどを含むがこれらに限定はされない。特定の場合においては、獲得された情報は、特定の位置(例えば、データベースまたは他のデータ構造、ファイルシステムの特定のディレクトリなど)に配置され得、および/または処理は、評価されるべき新しい情報の位置をモニタし得る。それゆえ、通知は、正確な位置に情報を配置することを、単純に包含し得る。
一旦情報が獲得されると、その情報は評価され得る(ブロック450)。情報の評価は、自動化処理によって、および/または人間の技術者によって行われ得る。一部の場合には、評価は情報を獲得する処理の間に行われ得る。通常の意味においては、情報を評価することは、情報がさらなる行動を要求する可能性があるかどうかの決定を行うこと、および/またはどのタイプの行動が要求され得るかを決定することを包含し得る。それゆえ、情報を評価するための手順は、獲得された情報のタイプの少なくとも一部に依存して、顧客の優先度(例えば、顧客ポリシーに記されるように)を変更する可能性がある。
単なる例として、情報が疑わしいフィッシング詐欺に関する場合には、情報の評価はURLに対する情報を解析することを包含し得る。URLが見出される場合には、そのことは、URLのさらなる調査が行われるべきであることを指示し得る。同様に、情報が、スパム供給源および/または収集操作の可能性を指示する場合には、情報は、収集するためのおとりの電子メールアドレスをプラントする確率をさらに調査するために適切であり得る。他の実施形態においては、獲得された情報は、ドメイン活動(例えば、新しいレジストレーション、有効期限が切れたレジストレーションなど)を指示し得、情報の評価は、ドメイン活動がさらなる行動を正当とするかどうかを評価することを含み得る。
単なる例として、特定の場合に、獲得された情報が疑わしいドメインが登録されていることを指示する場合には、ドメインをモニタすることは適切であり得る(ブロック455)。(一部の場合には、ドメインをモニタリングすることは、評価の処理の一部として考慮され得る)。特定の実施形態に従って、ドメインをモニタリングすることは、ドメインを活動について、可能性としては定期的に(例えば、15分ごとに、1時間ごとに、1日ごとになど)チェックすることを包含し得る。活動についてドメインをチェックすることは、ドメインにおけるウェブサイトへのアクセスを(例えば、HTTP GET要求を、ドメイン自体および/またはドメインにおける一般的なホストネーム、www、webなどのいずれかに送信することによって)試行することと、サーバに対してドメインを問い合わせることと、ドメインレジストレーション記録および/またはDNS記録などをモニタリングすることと、を包含し得る。ドメインが「生きて」いる場合には(すなわち、サーバがそのドメインにおいて操作を始める)、そのことは詐欺的な活動の可能性のさらなる調査に対する必要性を指示し得る。
情報の評価(および/またはドメインのモニタリング)が、さらなる調査が必要であることを指示する場合には、このような調査は行われ得る。一部の実施形態に従って、例えば、イベントマネージャにおいて、調査はイベントを作成することにより開始され得(ブロック460)、および/またはそうでない場合にはさらなる調査の必要性の記録を作成する。図6(以下に記載される)は、詐欺的な活動の可能性を調査する例示的な方法の一部を図示しており、ブロック605(同じく以下に記載される)はイベントを作成するための1つの手順を図示している。一部の実施形態においては、イベントは、調査および/または応答に対する優先順位が付けられ得る。一部のイベントは、他のイベントよりも相対的に決定的ではないように判断され得、どちらのイベントがより決定的であると考慮されるかの決定が任意に決定される。単なる例として、一部のタイプのオンラインの詐欺(例えば、偽の時計の販売)が、他のタイプよりも有害でないように判断され得る(例えば、個人情報を収集するための試行)。一部の場合においては、大域的なパラメータ(global parameter)は、全ての顧客に対して、異なるタイプのイベントの相対的な緊急性を定義し得る。他の場合においては、特定の顧客のプロファイルが、その顧客に対して、どちらのイベントが相対的により緊急なものとして扱われるべきかを指示するように構成され得る。いくつかのレベルの緊急性があり得、かつ/または上記レベルは、色(例えば、黄、オレンジ、赤)、数字(例えば、1〜5)、および/またはシステム、技術者および/または任意の他の関心のあるパーティを特定のイベントの比較的な緊急性を識別することにおいて援助するための任意の他の適切なスキームを使用して、識別され得る。
本発明の特定の実施形態に従う、方法400がどのようにドメインをモニタするために使用され得るかの例として、以下のシナリオを考慮する。会社「Acme Products」が、そのブランド名に関連するフィッシングスキームを回避したいと願う場合には、会社(および/または、例えば、第三者のセキュリティサービスプロバイダ)は、データ供給源としてゾーンファイルをモニタすることを選択し得る。データ供給源のモニタリングを介して、ドメイン<acmeproduct.com>が登録されていることが発見される。本発明の方法に従って、例えば、定期的にHTTP GET要求をドメインに対して(および/または、www.acmeproduct.comのようなそのドメイン上のホストに対して)作成することによって、モニタリングシステムはそのドメインをモニタし得る。一旦ドメインが利用可能になると(すなわち、HTTP GET要求が故障以外の何かを返す)、システムはウェブサイトをクロールするように構成され得、ウェブサイト上の1つ以上の(可能性としては全ての)利用可能なページの「スナップショット」をとる。スナップショットは、ページ自体のコピー、ならびに/あるいは例えば、ページのコンテンツから算出される、1つ以上のチェックサムおよび/またはハッシュ値、を単に備え得る。この手順は、定期的に継続され得(例えば、1分に1回、1時間に1回、1日に1回など)、かつ/またはこのような定期的なスナップショットは、一方が他方と比較され得る(例えば、戻されたページなどに対してハッシュ値を素早く比較することによって)。当業者は、開始の段階において、ドメインが、通常はウェブサイトが「構築中」などであることを指示する「パーク」ページを有することを認識する。それゆえに、ウェブサイトが「稼動」する(すなわち、ウェブサイトがパークページ以外のいくつかのコンテンツを有する)場合には、定期的なスナップショットの比較が、この変化を明らかにする。ウェブサイトが稼動する時点で、ウェブサイトの調査および/または解析が行われ得る。例えば、特定の実施形態においては、イベントがイベントマネージャにおいて開かれ得、かつ/または本明細書の他の箇所に記載される調査/解析手順が行われ得る。従って、ドメインをモニタすることによって、フィッシング操作の可能性は、フィッシュメッセージが送信される前に(および、結果として任意の顧客がフィッシング操作によって騙される前に)明らかにされ得る。
本発明の他の実施形態は、追加の入来するスパムメッセージを促進するために使用され得る方法を提供する。図4Cは、1つのこのような方法465を図示している。このような方法によって促進されたメッセージは、一部の実施形態においては、図4Aに関して記載される様式と類似した様式で処理され得、かつ/または以下にさらに詳細に記載されるように解析され得る。通常は、方法465は、有効期間切れのドメインの獲得およびこれらのドメインに対してアドレスされた電子メールメッセージの収集に関連する。当業者が認識するように、一旦ドメインが有効切れになると、そのドメインにおける受信者に対してアドレスされた電子メールは、通常は、受信者に対してもはや発送されない。このような受信者は、それゆえ通常は、新しい電子メールアドレスを獲得し、これらの新しいアドレスを彼らの文通者(correspondent)に通知し、文通者はその後有効期限切れのドメインにおけるアドレスではない新しいアドレスを使用する。従って、多くの場合には、未だに有効期限切れのドメインに送信されている任意の電子メールメッセージは、スパムメッセージであるという平均よりも高い確率を有する。
方法465は、ドメイン情報にアクセスすることを包含し得る(ブロック470)。多くの場合には、ドメイン情報にアクセスすることは、関連するデータ供給源(例えば、ドメインレジストレーションゾーンファイル)にアクセスすることおよび/またはそのデータ供給源から情報を獲得することを包含し得る。上記した手順は、この様式でドメイン情報にアクセスするために使用され得る。他の場合には、種々のリソースは、ドメイン情報(単なる例として、有効期限切れのドメイン(および/または有効期限切れ間近のドメイン)を識別するニュースレターの購読を含む)、ドメインを無断占拠する(domain−squatting)ウェブサイト(これはしばしば有効期限切れのドメインを売りに出す広告を出す)、および/または同様のものにアクセスするために使用され得る。
方法465は、スパムメッセージを引き込むためのドメインの適合性を評価することをさらに包含し得る(ブロック475)。単なる例として、スパムメール送信者は、時折メッセージを人口統計学によって送信し、このようなスパムを引き込むための任意の試行は、このような人口統計学をシミュレートすることを試行し得る。例えば、特定のドメイン(例えば、<musclecars.com>)は、そのドメインにおいて電子メールを受信するユーザが自動車のファンである可能性があることを指示し得、および/または別のドメイン(例えば、<finearts.com>)は、そのドメインにおいて電子メールを受信するユーザが芸術のファンである可能性があることを指示し得る。他のドメインは、他の適当な人口統計学(例えば、女性のユーザ、男性のユーザ、若者のユーザなど)を指示し得る。
他の要因は、ドメインの適合性を評価することにおいて考慮され得る。単なる例として、比較的に長期間登録されているドメインは、比較的に短い歴史を有するドメインよりも多くの量のスパムを受信する可能性が高い。従って、ドメインの適合性を評価することは、ドメインが登録されているおよび/またはドメインが存在する時間の長さの解析を含み得る。このような解析は、関連するドメインレジストレーション記録の調査、アーカイブされたウェブサイトなどを記憶する様々なアーカイブサイト(単なる例として、<archive.org>を含む)のレビューを含み得る。さらに、ドメインレジストレーションが既に有効切れである場合には、ドメインが最後に使用されてからの時間の長さが要因として考慮され得る。最近有効切れになったドメインは、長く有効期限切れであるドメインに比べてスパムを受信する可能性が比較的高い。
ドメインレジストレーションが既に有効期限切れである場合には、方法465は、ドメインレジストレーション記録(および/または有効期限切れのデータ供給源)をモニタリングすることを含み得る(ブロック480)。単なる例として、当業者は、典型的なドメインレジストレーション記録(例えば、ゾーンファイル内の記録)が、しばしば、ドメインの有効期限の日付の指示を提供することを理解する。適切なドメインが見出される場合には、有効期限の日付は記され得、かつ/またはデータ供給源(例えば、ゾーンファイル)は、スケジュールされた有効期限の日付あたりでモニタされ得ることにより、ドメインレジストレーションが更新されるか、または有効期限が切れるかを決定する。同様に、ゾーンファイルアップデートは、有効期限切れのドメイン(上で議論された)に対してモニタされ得、このようなドメインは、適合性に対して評価され得る。結果として、様々な実施形態に従って、ドメインの適合性を評価するための手順およびドメインの有効期限をモニタリングするための手順が、任意の適切な順序において発生し得る。ある実施形態においては、ドメインの有効期限をモニタリングすることは、例えば、上記された手法を用いて、ドメインにおける任意の活動をモニタリングすることを含み得る。
適切な有効期限切れの(そうでなければ利用可能の)ドメインが見出される場合には、そのドメインが獲得され得る(ブロック485)。一部の場合には、ドメインを獲得することは、適切な登録機関によって、当業者に馴染みの手順によって、ドメインを登録することを包含し得る。この手順は自動化され得かつ/または技術者によって手動で行われ得る。他の場合には、ドメインを獲得することは、第三者からドメインを購入することを包含し得る。このような場合には、ドメインの再登録が要求され得る。選択的に、ドメインに関連するおとりの電子メールアドレスは、例えば、収集のためにシードおよび/またはプラントされ得る(ブロック490)。おとりのアドレスをシードする/プラントするための1つの例示的な手順は、図4Aに関連して上で議論される。他の手順は、同様に使用され得る。
メールサーバ(これはハニーポットであり得る)は、ドメインにおける受信者に対してアドレスされたメールを受信するように構成され得、かつ/またはドメインに対して送信された電子メールメッセージは、メールサーバによって受容され得る(ブロック495)。受容されたメッセージは、次いで本明細書で議論される他の方法に関連して記載されるように、および/または所望されるように処理され得る。特定の実施形態に従って、システムは、入力メッセージが有効な受信者に対してアドレスされているかどうかにかかわらず、そのドメインに対する全ての入力メッセージが受容されるように構成され得る。実際は、無効な受信者のアドレスに対してアドレスされたメッセージは、スパムおよび/またはフィッシングの試行である可能性が高くあり得る。例えば、一部のメッセージはそのドメインの以前のユーザにアドレスされたことが予測され得、上記したように、このようなメッセージが大量送信のメールであることは、比較的に可能性が高い。
本発明のさらなる実施形態は、任意の受信される情報および/またはメッセージ(上記される方法の結果として受信される情報/メッセージを含むがこれらに限定はされない)を解析するために、調査するために、および/またはそれらに応答するために使用され得る。例えば、図5は、本発明のある実施形態に従って、入力電子メールメッセージ(またはデータファイル)を解析する方法500を詳細に図示している。(図5の議論においては、用語データファイルおよびメッセージは、相互転換可能に使用される。なぜならば、解析の方法はメッセージおよびデータファイルに等しく適用し得るからである。上記したようにメッセージおよびデータファイルは、受信される電子メールメッセージに対応し得るが、それらは任意の他のデータセットにも対応し得る。任意のデータセットは、種々の異なるデータ供給源(ニュースグループの通知、ウェブページ、および/または同様のもの)から獲得され得る。同様に、本明細書で議論される他の方法は、このようなデータセットおよび/またはデータ供給源に対応するデータファイルに適用され得る)。図5に図示される手順の一部は、特定の実施形態においては、図5により図示される方法500(例えば、入力電子メールメッセージを収集すること(ブロック525)を含む)における他の点において発生し得ること、ならびにこれらの方法における手順(および実際は、本明細書に記載される全ての方法)の組織化は、単に記載を簡単にするためのみであることに注意されるべきである。特定の手順は、本明細書で記載されるものに比べて順序において異なって発生し得、実際は、様々な手順が本発明の様々な実施形態に従って、追加されおよび/または省略され得る。
図5によって図示される方法500は、メッセージ(および/または解析されるべき任意の他のデータ)にタイムスタンプすることと、および/またはメッセージ/データに識別子を割り当てること(これはメッセージを一意的に識別するのに十分であり得る)とを含み得(ブロック505)、これはメッセージの識別(例えば、本明細書で議論される処理の全体にわたって)を支援し得、メッセージが受信される場合に永続的な指示を提供し得、および/または異なるメッセージの比較を円滑にし得る。識別子を発生するための手順は任意に決定される。単なる例として、識別子は、いつメッセージ/データの解析をするかについての情報(例えば、タイムスタンプ)、メッセージの供給源の指示子などを含み得る。あるいは、識別子(および/または識別子の構成要素)は、連続的におよび/またはランダムに割り当てられ得、かつ/または識別子は解析されるためのデータのタイプを識別し得る(例えば、ドメインレジストレーション、電子メールメッセージなど)。
方法500はまた、一部の実施形態においては、可能性としては上記された様式でメッセージからデータファイルを作成すること(ブロック510)を含み得る。(上記されたように、文脈上他に明確に示さない場合には、電子メールメッセージ、他のデータ(例えば、ドメインレジストレーション、受信されるURLなど)、およびこのようなメッセージ/データから作成されるデータファイルは、類似の様式で処理され得、本明細書の手順の記載は、通常は、必要な場合には適切な変更を行い、任意のこれらのアイテムに等しく適用され得る)。データファイルは、例えば、データファイルを相関エンジンに伝送することによって、および/またはデータファイルを収集されたコンピュータ(例えば、ハニーポット)からデータファイルをダウンロードする相関エンジンによって、収集され得る(ブロック515)。(一部の場合には、データファイルを収集することは必要ではあり得ない。例えば、相関エンジンおよびハニーポットは、1つのソフトウェアプログラムまたはプログラムモジュール内に組み込まれ得、および/または同一のコンピュータ上で実行し得る)。
データファイルは、次いで、相関エンジンによって解析または読み取られ得る(ブロック520)。解析は、データファイルを、様々なセクションおよび/またはフィールドに分割し得、解析はデータファイルのフィールドおよび/またはセクションが、相関エンジンによって解析されることを可能にし得る。例えば、電子メールメッセージに関して、例えば、ヘッダ情報が解析され得ることにより、ヘッダに供給源および/またはあて先が作り出されるかどうかを決定する(ブロック525)。そうである場合には、電子メールがフィッシュであることは、比較的に可能性が高い。別の例として、メッセージヘッダ内のルーティング情報は解析され得ることにより、メッセージが疑わしいドメインから発生したか、および/またはメッセージが疑わしいドメインを通って発送されたかどうかを決定し、さらにメッセージがフィッシュである可能性が強化される。
電子メールメッセージの本体を含むがこれに限定はされない任意のテキスト(すなわち、データファイルの本体フィールド)は、次いで解析され得る(ブロック530)。本体の解析は、本体をブラックリストおよび/またはホワイトリストに列挙される用語で検索することを含み得る。単なる例として、ブラックリストに列挙される用語は、フィッシュメッセージにおいて共通に見出される用語(例えば、「自由旅行」)、メッセージが個人情報を参照することを指示する用語(例えば、「クレジットカード」、「認可」、「確認」など)、および/またはブランド名、顧客の名前などを含み得る。逆に、ホワイトリストに列挙される用語は、メッセージがフィッシュではないことを共通に指示する用語である。メッセージがフィッシュであると最終的に決定される場合には、ブラックリストに列挙される用語のリストは、そのメッセージのテキスト(またはそのテキストの一部分)が含まれるように自動的にアップデートされ得るように、システムがフィードバックループを提供するように構成され得ることに、この点で注意されるべきである。さらに、相関エンジン(および/または任意の他の適切な構成要素)は、一般的なフィッシュ戦術(例えば、明らかなスペル間違い、不要情報のテキストおよび同様のもの)を打ち負かすように設計されている発見的アルゴリズムを含み得る。同様に、システムは基語(root word)の共通の文法上の変更を識別するように、「ステミング(stemming)」論理をインプリメントし得る(例えば、「行っている(going)」、「行く(goes)」、「行った(gone)」などの単語は、「行く(go)」の変形として識別され得、逆もまた同様である)。
メッセージの本体を解析することは、他の形式の解析を同様に含み得る。単なる例として、本体が、URLまたは他の形式のあて先変更を含む場合には、これらのデバイスの存在はまた、メッセージがフィッシュである(または逆にメッセージがフィッシュではない)より高い可能性を指示し得る。(加えて、URLおよび他のあて先変更のデバイスは、以下に記載されるように個別に解析され得る)。さらに、他の要因(例えば、電子メールメッセージの本体の長さ、本体が画像を含むかなど)は、電子メールメッセージの本体の解析において考慮され得る。
加えて、メッセージがURLを含む場合には(あるいは任意の他の形式の参照および/またはあて先変更)、URLは解析され得る。(この解析はまた、別の供給源から受信されるURL(例えば、ISPによって伝送されるURLのリスト、疑わしいウェブページのURL、疑わしいドメインレジストレーションに関連するURLなど)に適用され得る)。例えば、URLに関連するドメインに対するネットワークデータ(DNSおよび/またはWHOISデータ、ならびにネットワーク記録(例えば、ARIN)を含むがこれらに限定はされない)は、アクセスされ得る。このデータが、URLがドメインに分離されないことを指示する場合には(例えば、URLがIPアドレスにのみ分離される)、URLはフィッシング詐欺の一部であり得る。同様に、当業者は、フィッシング詐欺はしばしば米国の外のサーバ/ドメインに基地を置くこと、同様に特定のドメインはフィッシング詐欺をホストする可能性があることが公知であり得ることを認識し得る。それゆえ、URLが疑わしいドメインまたはグローバルトップレベルドメイン(「gTLD」)に分離される場合には、URLはフィッシング詐欺の一部であり得る。別の例として、URL(および/またはURLに関連するドメインおよび/またはIPアドレスに対するネットワークデータ)は、電子メールヘッダ内の情報(例えば、供給源のアドレス、「FROM」フィールドなどを含む)および/またはこのようなヘッダ情報に関連するネットワークデータと比較され得る。この比較が矛盾を明らかにする場合には、そのメッセージがフィッシュであることは比較的に可能性が高くあり得る。逆に、この情報が一貫している場合には、メッセージがフィッシュではないことが、比較的に高い可能性であり得る(が、必ずしもそうではない)。
一部の実施形態においては、URL(任意の供給源から取得される)を解析することは、1つ以上の詳細なテストを含み得る。図5Bは、種々のこのようなテスト(任意のこのようなテストは、実施形態に依存して、様々な順序および/または組み合わせで行われ得る)を含む例示的な方法560を図示している。例えば、1つのテストは、URLをテストすることを包含することにより、URLが「生きている」(すなわち、URLによって参照されるウェブページなどが利用可能である)ことを決定する(ブロック562)。このテストは、ウェブブラウザ、HTTP GET要求などを使用して行われ得る。さらに、URLによって参照されるサーバおよび/またはドメインに対するDNS情報は(任意のいくつかの共通な方法を使用して)取得され得、および/または解析され得る(ブロック564)(例えば、URLが参照するサーバのIPアドレスおよび/またはネットワークブロックを決定するために)。同様に、ドメインに対するWHOIS情報が、取得され得および/または解析され得ることにより、例えば、誰がドメインを所有するかを決定する(ブロック566)。特に、ドメインに対する任意の特定の識別情報(例えば、コンタクトネーム、住所、電子メールアドレス、電話番号など)が記され得る。これらの手順により取得される任意の情報は、将来の参照のために記憶され得、および/または以前の解析を介して取得される類似の情報と比較され得る。このようにして、例えば、繰り返しの違反者(offender)が、効果的に識別され得る。単なる例として、解析されたURLに関連するドメインが、オンラインの詐欺と関連があると先に見出されたドメインと、同じコンタクト電子メールアドレスを有する場合には、現在のURLは詐欺と関連があるという、比較的高い可能性があり得る。
一部の実施形態に従って、URLをホストするサーバの地理的な位置が決定され得る(ブロック568)。当業者は、サーバの地理的な位置を決定するための(例えば、そのドメイン名および/またはIPアドレスに基づく)種々の公知の手順があり、かつ任意のこれらの手順が使用され得ることを認識する。サーバの地理的な位置は、サーバが詐欺的な活動に従事している可能性があるかどうかの指示を提供し得る。単なる例として、東ヨーロッパに位置するサーバが、アメリカに位置する会社に関連すると称するウェブサイトをホストしている場合には、ウェブサイトは詐欺であることが比較的高い可能性であり得る。加えて、サーバの位置を決定することは、どの管理上の応答および/または技術応答が、そのサーバによって提供されるウェブページに対して利用可能であるかの指示を提供し得る。
URL自体の構成はまた、URLが詐欺のウェブサイトを参照する可能性があるかを明らかにする。単なる例として、多くの場合には、正当な会社のウェブサイトを参照するURLは、ウェブサーバに対するルート(デフォルト)パス(例えば、「/」または可能性としてはルートパスのサブディレクトリ(例えば、「/verify/」))のようなかなり単純なディレクトリパスを有する。回旋状のまたは異常なディレクトリパスを有する任意のURLは、それゆえに、詐欺的な活動に従事しているという可能性が高くあり得、URL自体の検査は、この事実のいくつかの指示を提供し得る。従って、方法560は、一部の場合には、URLのディレクトリパスを評価することを含み得る(ブロック570)。単なる例として、URLがユーザディレクトリ(例えば、「/〜jsmith/」)を参照する場合には、URLは不正なウェブサイトを参照するという可能性が比較的に高くあり得る。なぜならば、正当な会社のウェブサイトがユーザのディレクトリ内に存在することは予想されないからである。詐欺師はこの事実を認識しているので、詐欺師は時折、例えば、URLのあて先変更を用いてウェブサイトのディレクトリパスを不明瞭にすることを試行し、これはしばしば比較的に慣習的でないURLという結果を生じる。従って、URLのコード化はまた、検査され得る(ブロック572)。URLが慣習的でないコード化(例えば、ディレクトリパスの位置におけるキャラクタ文字列など)を有する場合には、このような慣習的でないコード化は、URLが暗黙のあて先変更(例えば、不明瞭なパスへと)を含むことを指示し得、URLは不正なウェブサイトを参照する可能性が比較的に高くあり得ることを意味する。
一部の場合には、反不正使用情報の供給源(例えば、反不正使用のニュースグループ、電子メールリストなど)は、解析されるURLに対する参照のために(および/またはホスト、ドメイン、IPアドレスおよび/またはURLに関連するネットワークブロックのために)検索され得る(ブロック574)。これらの反不正使用供給源の1つにおける参照は、URLが詐欺的なウェブサイトを参照するということ指示し得る。
考慮され得る別の要因は、URLが暗号化接続(例えば、当業者に公知のSecured Sockets Layer(「SSL」)暗号化スキームによって守られる接続)を参照するかどうかである(ブロック576)。例えば、URLによって明らかにされるプロトコルが「https」である場合には、URLは通常は安全な接続とリンクする。あるいは、URLによって参照されるリソースをホストするサーバが問い合わせられ得ることにより、例えば、URLによって参照されるホストネーム(またはIPアドレス)に対するHTTPS GET要求を提示することによって、サーバが安全な接続を受容するかどうかを決定する。他の手順は同様に使用され得る。暗号化または他のセキュリティの使用は、参照されるウェブサイトが、詐欺的な活動に従事するという可能性が比較的に高く(または低く)あるということを指示し得る。
安全な接続のテストに加えて、URLが参照するサーバおよび/またはウェブサイトは、追加のテストの対象とされ得る。(このようなテストはまた、ウェブサイト/サーバ調査(例えば、図7に関して記載される調査)の一部として行われ得る)。単なる例として、サーバ上のアクティブなポートは、例えば、ポートスキャナおよび/または他の診断ツール(NMAPおよびNessusのような上で議論されるものを含むが、これらに限定はされない)を使用して、確認され得る(ブロック578)。サーバが「高い」または「未知の」ポート(例えば、1024を超える番号が付けられた任意のポート)をリスニング(listening)する場合には、このようなポートの活動は、ウェブサイトが不正なものであるという可能性が比較的に高いことを指示し得る。(加えて、URLはさらに評価され得ることにより、URLが高いまたは未知のポート番号を参照するかを決定し、これらは類似の指示を提供する)。さらに、サーバがセキュリティの脆弱性を許容することが公知のポート上でリスニングする場合には、サーバが危険にさらされる可能性が比較的に高くあり得、これは詐欺的な活動の向上した可能性を指示し得る。
一部の場合には、URL(および/または、参照されるページ、最初の10ページ、リンクの最初のレベルなどのようなウェブサイトの一部)によって参照されるウェブサイトをクロールすることが適切であり得る(ブロック580)。この手順は、図7に関連してより詳細に記載される。ダウンロードされたページは、ウェブサイトが、正当であるかどうかの追加の指示を提供し得る。単なる例として、ページは、綴りのおよび/または文法上のエラーをチェックされ得る(ブロック582)。このようなエラー(特に、エラーが比較的に多数である場合には)の存在は、ウェブサイトがプロフェッショナルに設計および/または維持されていないこと、それゆえ、詐欺である可能性が比較的に高いことを指示し得る。同様に、方法は任意のHTML形式(および/または該形式のコンテンツ)の存在をテストし得(ブロック584)、これは、ウェブサイトの正当性の指示を提供し得る。形式をテストすることは、図7および図8に関連してさらに詳細に記載され、同様の手順がこのコンテキストにおいて使用され得る。
ダウンロードされたページはまた、ページが他のページ、特にウェブサイトの外のページ(正当なビジネスおよび/または他の詐欺的なサイトに関連するページを含むがこれらに限定はされない)を参照するURLを含むかを決定するためにチェックされ得(ブロック586)、同様に、他のサイト上にホストされる画像を参照するページかどうかを決定するためにチェックされ得る(ブロック588)。これらのタイプの参照のいずれかの存在が、ウェブサイトが不正であることが比較的に高い可能性があることを指示し得る。単なる例として、ウェブサイトが銀行のウェブサイトをスプーフしている場合には、スプーフするサイトは銀行の実際のウェブサイトへの外部URLリンクを有し得、および/または銀行のウェブサイトによってホストされた画像を(より信頼できると思わせるために)備え得る。
しばしば、詐欺師は、複数の詐欺を行うこと、および/または保護/告発を回避することの試行において、様々なサーバの中から詐欺的なウェブサイトを(および/またはそのサイトからページを)移動する。さらに、一部の詐欺師は、詐欺を行うためのサーバ上にホストされ得る、予め構築されたウェブページ/ウェブサイトを備える、「ターンキー(turnkey)」詐欺キットを購入(そうでなければ獲得)する。それゆえ、複数の調査からのURLおよび/またはウェブサイトを比較するための効果的な方法を提供することが有用であり得ることを伴う。単なる例として、一部の場合においては、方法560は、URLによって参照されるURLおよび/またはページ(例えば、URLによって直接参照されるページおよび/またはブロック580においてクロールされるページ)に関連するチェックサムおよび/またはハッシュ値を、生成および/または(例えば、データベース、ファイルシステムなどに)記憶することを含み得る(ブロック590)。単なる例として、URL文字列に対する値および/または参照されるページのコンテンツに対する値を計算するためにハッシングアルゴリズムが用いられ得る。あるいは、チェックサム値はこれらのページのコンテンツに対して計算され得る。これらの手順のいずれか(または双方)が、URL、ウェブページおよび/またはウェブサイトの効果的な「スナップショット」を提供するために使用され得る。(一部の場合には、個々のチェックサム/ハッシュが、URL、サイト全体および/またはそのサイトからの個別のページに対して生成され得る)。チェックサム/ハッシュ値は、次いで、以前に調査されたURL/ウェブサイトに対して計算される他のこのような値(これは上記されるように、データベース、ファイルシステムなどに記憶され得る)と比較され得る(ブロック592)。チェックサム/ハッシュ値が以前に詐欺であると見出されたウェブサイトの値とマッチする場合には、現在のサイトが同様に詐欺であることへの見込みは良好である。
図5Aに戻って、URLが分離されるドメインについての情報が、個別のステップまたはURL解析の一部のいずれかとして解析され得る(ブロック540)。さらに、ドメインが疑わしいかを決定する場合に、ドメインはメッセージの本対に含まれる任意のブランド情報と比較され得る。例えば、メッセージの本体が顧客のブランド名を含む場合には、およびその顧客によって所有されるおよび/またはその顧客に関連するドメインと異なるドメインにURLが分離される場合には、URLは疑わしいと考慮され得る。
(上記されるようにメッセージの任意の部分の、および/またはメッセージ全体の)解析が完了すると、データファイル/メッセージは、一部の実施形態においてスコアを割り当てられ得る(ブロック545)。スコアをデータファイル/メッセージに割り当てることは、メッセージがフィッシュである可能性の定量的な測定を提供し得、このような実施形態においては、スコアが閾値スコアと比較され得ることにより、特定の閾値と合うスコアは、さらなる解析および/または調査を結果として生じ得る一方で、その閾値と合わないスコアは、電子メールがフィッシュである可能性がないという判断を指示し得る。一部の実施形態においては、メッセージの解析の全体が1つのスコアの割り当てという結果を生じ得る。
他の実施形態においては、各々のタイプの解析(例えば、ヘッダの、本体の、URLの、および/または関連するドメインの解析)は、個別のスコアの割り当てという結果を生じ得、かつ/またはこれらの個別のスコアは、メッセージに割り当てられ得る複合のスコア(composite score)を形成するために統合され得る。さらに、各々のタイプの解析に対する個別のスコアは、それ自体が複合のスコアであり得る。単なる例として、図5Bに関連して記載されるテストの各々(同様に可能性としては他のテストの場合にも)は、スコアという結果を生じ得、これらのテストのスコアは、複合のURLスコアを形成するように統合され得る。
さらなる実施形態においては、各々のデータファイルまたは電子メールメッセージの解析は、階層的な様式で行われ得る。ヘッダ情報は、解析およびスコアされ得、そのスコアがある閾値と合う場合に限って、相関エンジンは本体を解析することにとりかかる。そのスコアが閾値と合わない場合には、メッセージはフィッシュではないと考慮され、解析は終了する。同様に、本体解析から生じるスコアのみが、ある閾値に到達する場合には、URLが解析などをされる。
様々な所見に対するスコアの値は任意であり得、それらは解析における様々な要因の相対的な重要性の判定を反映し得る。さらに、本明細書の開示に基づいて、当業者はメッセージの様々な部分に対するスコアのスケーリングは(および/または解析の次の段階へと進むための閾値スコアは)、メッセージが実際に、フィッシュであるか、ならびにフィッシュメッセージの可能性の識別において所望の精度であるかを決定する各々の部分の解析の相対的な信頼性に依存して調節され得ることを認識し得る。さらに、相関エンジンは、上記したように自動フィードバックループを使用し得、例えば、特定の要因がメッセージの分類における信頼性のある指示子であることが判明するような所望される場合には、相関エンジンが自己同調(self−tuning)することを可能にし、相関エンジンはその要因にさらに重みを与えることを自動的に開始し得る。
どのように階層的なスコアリングシステムが一部の実施形態に従ってインプリメントされ得るかを理解するために、以下の単純化された例を考慮する。作り出されたヘッダを有する電子メールメッセージは、150というスコアを与えられ得、100を超えるスコアが本体の解析を進めるために要求される場合には、その解析は行われる。本体における顧客の名前の存在は、1000というスコアの価値があり得、用語「あなたのクレジットカードの確認」の存在は、2000というスコアの価値があり得る。2500を超えるスコアがURL解析に進むために要求され得、メッセージが両方の用語を含む場合には、メッセージは3150というスコアを有し、URL解析に進む。最後に、URLがIPアドレスに分離される場合には、それは10000というスコアの価値があり得る。メッセージがフィッシュの可能性があると考慮されるための閾値の複合のスコアが12000である場合には、メッセージの複合のスコア(13150)は、電子メールがおそらくフィッシュであることを指示する。(図解のために、この例は閾値スコアを超える割り当てられたスコアを要求する一方で、他の実施形態においては、スコアは、閾値に合うように、閾値のスコアよりも低くなる必要があり得ることに注意されるべきである。すなわち、割り当てられるスコアと閾値のスコアとの間に要求される関係は任意に決定される。ホワイトリストに列挙される用語の存在のようなある要因がスコアを減らし得ることにも注意されるべきである)。
メッセージ/データファイルの解析が完了された後に、メッセージはフィッシュとして分類され得る(ブロック550)。一部の実施形態においては、上で議論されたものに類似のスコアリングアルゴリズムが、メッセージを分類するために使用され得る。一部の場合には、分類はメッセージに対する全体のおよび/または複合のスコアに依存し得、一方で他の場合には、分類は特定のセクション(例えば、本体部分、URLなど)に対するスコアにのみ依存し得る。分類の他の方法は、同様に使用され得る。例えば、単なる任意の特定のブラックリストに列挙される用語の存在、疑わしいドメインに分離されるURLなどは、メッセージをフィッシュとして分類させ得る。分類のための判定基準の選択は任意に決定される。
上記したスコアリングの方法論は、広いコンテキストにおいても同様にデータ(電子メールメッセージ、URL、ウェブサイトなどを含む)の分類に適用され得る。単なる例として、一部の実施形態に従って、類似のスコアリングシステムが、ビジネス製品、商標、ビジネスアイデンティティなどが不適切な様式などで使用されているかを決定するために、ダイレクト電子メールマーケティングを(例えば、競争市場の観点から)識別するために使用され得る。本開示の利益によって、当業者は、このロバストなスコアリングの方法論が、広範囲のアプリケーションにおけるこのようなデータの解析のために、種々の異なるスコアリング判定基準を活用し得ることを認識する。
図6は、疑わしい詐欺的な活動の調査のための方法600を図示している。一部の場合においては、詐欺的な活動は、受信される電子メールメッセージおよび/またはデータ供給源から(例えば、上で議論されるような、クロールすること/モニタリングすることの活動を通じて)取得されるデータの解析を介して発見され得る。
一旦、疑わしい詐欺の例が明らかにされると、イベントはイベントマネージャにおいて作成され得る(ブロック605)。上記されたように、本発明の一部の実施形態に従って、イベントマネージャは、疑わしい詐欺的な活動を追跡するように構成され得るコンピュータシステム(および/またはソフトウェアアプリケーション)であり得る。特定の実施形態においては、イベントマネージャがワークフロー能力を有し得ることにより、イベントが疑わしい活動についての全ての利用可能な情報のコンテナとして作成され得る。単なる例として、イベントの作成は当業者に公知の「トラブルチケット(trouble ticket)」の作成に類似し得、それによりイベントは、最終的な分離(例えば、疑わしい活動を詐欺でないと分類すること、疑わしい活動の休止など)が、イベントムート(event moot)と表現されるまで開いたままになり、イベントムートにおいてイベントは閉じられ得る。その間に、様々な調査的なおよび/または応答的な手順(以下に詳細に記載されるものを含むが、これらに限定はされない)は、イベントマネージャにより(自動的におよび/またはユーザの相互作用によって)開始され得、かつ/またはこのような手順の結果の記録は、イベントマネージャによって記憶および/または追跡され得る。この情報の全ては、イベントオブジェクトの中に含まれ得る。上記したように一部の場合には、イベントマネージャがポリシー主導であり得ることにより、顧客ポリシーが特定のイベントが扱われる方法に影響する。それゆえ、イベントは1つ以上の顧客ポリシーにリンクされ得、これらはイベントマネージャおよび/またはイベントを扱う技術者の挙動を通知し得る。
通常は、各々のイベントが調査され得る(ブロック605)。一部の場合に、イベントが開かれている場合には、技術者は(例えば、イベントに関連するウェブサイトを訪問することおよび/または解析することによって)イベントを評価し得る。他の場合には、さらに厳しい調査が、例えば、イベントマネージャによって行われ得る。
図7は、調査の一部として着手され得る様々な手順を詳述する例示的な方法700を図示している。ブロック705において、メッセージに含まれるURLによって参照されるサーバのIPアドレスは、DNS照会(またはURLがホストネームの代わりにIPアドレスを参照する場合には、URL自体)のような任意のいくつかの周知の方法を通じて獲得され得る。
さらに、URLによって参照されるサーバに対する見かけのアドレスが識別され得る。当業者は、URLが「アンカ(anchor)」に関連し得、アンカがテキスト、画像などであり得ることにより、アンカがURLによって参照されるサーバのアドレスであると考えられ、一方で実際のURLは無関心の観察者には隠されたままであることを認識し得る。(言い換えると、ユーザは、URLによって参照されるサーバに、あて先変更されるように、ウェブブラウザ、電子メールクライアントなどにおいてアンカを選択し得る)。このようにして、アンカはURLによって参照されるアドレスとは実際には異なる「見かけのアドレス」を備え得る。見かけのアドレス(例えば、アンカにおけるアドレス)およびURLにおいて参照されるサーバのアドレス(すなわちURLにおける実際のアドレス)の両方が、ホストネーム(通常はドメインを含む)および/またはIPアドレスを備え得る。さらに、アンカは、信頼されている実体の識別子(会社名など)を備え得る。見かけのアドレスがURLによって実際に参照されるアドレスと異なる(および/または見かけのアドレスが信頼されている実体の識別子を備え、一方でURLによって実際に参照されるアドレスはその信頼されている実体に関連しない)場合には、URLが詐欺であること、および/またはURLによって参照されるサーバが詐欺的な活動に従事することの可能性が高くあり得る。
方法700はまた、例えば、ドメインWHOIS照会を介して、URLが分離されるドメインについての情報を調査することを包含し得る(ブロック710)。この情報は、ドメインの所有者、ドメインに対して割り当てられるネームサーバ、ドメインの地理的な位置およびドメインに対する管理上のコンタクト情報を示し得る。さらに、ドメインが割り当てられるべきIPブロックについての情報が調査され得(ブロック715)、ドメインWHOIS照会に対する類似の情報、ならびにドメインが関連すべきIPブロックの指示を引き出し得る。さらに、例えば、DNS照会を介して(または、URLがホストネームの代わりにIPアドレスを含む場合にはURLを通じて)取得されるIPアドレスと、ドメインが所属するべきIPブロックとを比較することによって、URLによって参照されるドメイン情報が認証され得る(ブロック720)。ドメイン情報における任意の矛盾は、ドメインがメッセージにおいてスプーフされていることを指示し得、メッセージがフィッシング試行であるという可能性があるというさらなる証拠を提供する。
ブロック725において、URLが参照するサーバは、ポートスキャナなどのような種々の市販されているツールを使用して問い合わされ得る。一部の実施形態においては、NMAPアプリケーションおよび/またはNessusアプリケーションが、サーバに問い合わせるために使用され得る。実施形態の特定のセットにおいては、これらのツールは、サーバのさらにロバストな問い合わせを提供するように独自のアプリケーション(上で議論したように、他の調査をも行い得る)に組み込まれ得る。サーバの問い合わせは、どのサービスをサーバが実行するか(これはサーバが詐欺的な活動に従事しているかのいくつかの指示を提供し得る)を指示し得る。例えば、サーバが通常のポート上のHTTP要求を受容する場合には、そのサービスは、サーバが詐欺的な活動に従事していることを指示し得る(または指示し得ない)。サーバの問い合わせはまた、セキュリティの脆弱性を示し得、これはサーバが危険にさらされ得、それゆえサーバの操作者が知ることなしに詐欺的な活動に従事し得ることを指示し得る。さらに、サーバへのルートは周知の様式でトレースされ得、サーバ、サーバの位置およびサーバが存在するドメイン/IPブロックについてのさらなる情報を提供する。
サーバに問い合わせすることは、そのサーバによって提供されるウェブページの一部または全て、特に他のサーバ上のページを装っていると思われる任意のページ(スプーフページ)を(例えば、WGETコマンドおよび/または任意の他のHTTP GET機能を使用して)ダウンロードすることを含み得る(ブロック730)。ダウンロードされたページは、ページが任意の個人情報を要求するか、および/またはページが個人情報を提供するためにユーザに対してフィールドを提供するかを決定するために解析され得る(ブロック735)。さらにダウンロードされたページはアーカイブされ得(ブロック740)、これは、ページが実際に詐欺的に個人情報を要求するかの任意の必要な人的評価を助けるために、技術者および/または顧客がページを見ることを可能にし得る。一部の場合には、ページの表現が、本明細書で詳細に記載されるようにセーブされ得る。
最後に、イベント報告が生成され得る(ブロック745)。イベント報告は調査を介して取得される任意のまたは全ての情報を含み得、任意のアーカイブされたページを含む。イベント報告は、技術者により閲覧され得、かつ/または応答戦略を策定することを助けるために顧客に提供され得る。一部の場合には、イベント報告の編集済みのバージョンが顧客に提供され得る。
もう一度、図6に戻って、調査の結果が、例えば、イベント報告のコピーをモニタリングセンタ(または任意の他の位置)の技術者に表示することによって、報告され得る(ブロック615)。オプションとして、技術者が報告を解析し得ることにより、調査において取得される情報への現実直視(reality check)を提供し、かつ/または応答戦略を策定する(ブロック620)。自動化された電子メールメッセージ、技術者からの電話呼び出しなどによって、顧客は、イベントについて、および/または調査結果について通知され得る(ブロック625)。技術者はまた、顧客と相談し得ることにより、試行される詐欺にどのように応答するかについて顧客が決定することを可能にする(ブロック630)。あるいは、顧客プロファイルは、特定の応答戦略が追求されるべきであることにより、顧客が応答戦略を策定する前に相談される必要がないことを指示し得る。
調査および/またはイベント報告が、サーバが詐欺的な活動に従事していることを指示する場合には、方法600は詐欺的な活動へ応答することを含み得る。任意のこのような応答は、自動的におよび/または手動で(すなわち、技術者の指示で)、開始および/または追求され得る。応答は種々の形態をとり得る。単なる例として、顧客、顧客ポリシーおよび/または技術者は、管理上の応答(ブロック635)が適切であることを決定し得る。管理上の応答は、サーバに対する直接の応答を伴わない任意の応答を含み得る。例えば、1つの管理上の応答の可能性は、サーバが詐欺的な活動に従事していることを、サーバをホストするISPおよび/またはサーバのドメインの登録機関に通知することである。別の管理上の応答は、統一ドメインネーム紛争解決ポリシー(Uniform Domain−Name−Dispute Resolution Policy)(UDRP)下の場合として詐欺的な活動についての法的権限を通知すること、および/または証拠を準備することであり得る。調査が、サーバが危険にさらされ得ることを明らかにする場合には、管理上の応答は、サーバが危険にさらされていることを(可能性としては、イベントの調査の間に取得されるコンタクト情報を通じて)サーバ操作者に通知すること、および/または将来の危険性を避けるためにサーバをどのように守るかについての助言を提供することを含み得る。
管理上の応答に加えて(または、管理上の応答の代替案として)、サーバに対する直接の技術応答を追求することが望まれ得る(ブロック640)。図8は、サーバに対する技術応答の追求のための例示的な方法800を図示している。方法800は、スプーフされたウェブページを解析することを含み得ることにより、ユーザが個人情報を提供し得るフィールドを識別する(ブロック805)。当業者は、オンライン形式(例えば、HTML形式など)が1つ以上のフィールドを備えることと、それらのフィールドが通常は入力されるべき情報を指示するラベルを含むことと、を認識する。それゆえ、一部の実施形態に従って、ウェブページから要求されるフィールドのセットが解析され得る(ブロック810)。例えば、各々のフィールドに添付するラベルが解析され得ることにより、フィールドが個人情報を要求するかどうかを決定し、および情報がどのフォーマットが提示されるべきであるかを決定する。この解析は、「ファーストネーム」、「クレジットカード」、「有効期限」などのような一般的な単語の検索、ならびにフィールドによって課される任意の制限(例えば、データタイプ、データの長さなど)の解析を含み得る。「安全な」データのセットが生成され得ることにより、個人情報を要求するフィールド(および/または任意の他の必要なフィールド)を存在させる(ブロック815)。一部の実施形態においては、安全なデータは上で議論したように安全なアカウントに対応し得る。任意のイベントにおいては、安全なデータは、有効であると思われる(および、安全なデータが有効なアカウントに対応するという点では、実際に有効であり得る)が、任意の本当のアカウント名義人または他の人物に関係しないデータを備え得る。安全なデータは、安全なデータのデータベースおよび/または辞書(例えば、偽のファーストネームおよびラストネーム、アドレスなど)から引き出され得、および/またはアルゴリズム的に生成され得(例えば、アカウント番号、クレジットカード番号、有効期限の日付など)、および/または2つのいくつかの組み合わせであり得る。
要求されるフィールドの解析に基づいて、安全なデータが要求されるフィールドに写像され得ることにより、データがユーザに対する実際の個人情報であると考えられるようにフォーマットされる(ブロック820)。単なる例として、フィールドがクレジットカード番号を要求する場合には、明らかに有効なクレジットカード番号(例えば、「4」で始まる16桁の番号、これは有効なVisaTMのクレジットカード番号であると思われる)を表す安全なデータが、そのフィールドに写像され得る。応答メッセージは、スプーフされたウェブページから抜き出された形式に類似するように生成および/またはフォーマットされ得(ブロック825)、次いでサーバに提示され得る。この処理は、必要に応じて繰り返され得、複数の「安全な」応答を作成する。
多くの場合においては、フィッシュメール送信者は、送信者の獲得されたデータの収集上の安全なデータの有害な効果を回避するために、「marked moneyTM」(これは以下でさらに詳細に議論される)の罠を避けるために、および/または他の理由のために、応答にフィルタを掛けることを試行する。フィッシュメール送信者は、受信される応答にフィルタを掛けるために種々のデバイスを使用することを試行し得る。フィルタリングの1つのタイプは、フィッシュ送信容疑者がフィッシング詐欺への本当の応答ではあり得ない特定のIPアドレスおよび/またはドメイン(またはアドレス/ドメインのセット)からの応答の検査および/またはフィルタリングを含む。本発明の方法は、対応策(以下で議論されるものを含むがこれらに限定はされない)をインプリメントし得ることにより、このタイプのフィルタ掛けを回避する。
1つのタイプのフィルタ掛けは、おおまかに「データ認証」と呼ばれ、それは、一貫性のための提示された応答をチェックするための様々な手法の使用を含む。単なる例として、フィッシュメール送信者のウェブサイトが、規格(これは工業規格、公開された規格などであり得る)に従ってフォーマットされるデータを収集する場合には、フィッシュメール送信者が制御(これはフィッシュメール送信者のウェブサイト上、フィッシュ電子メール内などに存在するソフトウェアアプリケーションおよび/またはポータブルソフトウェアであり得る)をインプリメントし得ることにより、このような規格を有する一貫性のための提示された応答をチェックする。それゆえ、安全な応答のフィルタ掛けを回避するために、方法800は、適用可能であり得る任意のこのような規格を識別すること、および/または評価することのような対応策をインプリメントし得る(ブロック830)。例えば、方法800が応答フィールドの各々を評価することを含み得ることにより、任意の規格をそのフィールドに適用するかを決定し、適用する場合には規格がどのようにインプリメントされ得るかを決定する。単なる例として、上で議論したように、クレジットカードネットワークは、一貫性および/またはクレジットカード番号の有効性を確実にするための規格を発展させている。結果として、フィールドがクレジットカード番号を求める場合には、方法800は適切な応答のための適当な規格を識別することを含み得る。同様の規格が、銀行のルーティング(「RTN」)番号などに存在する。別の、可能性としては単純な例として、ウェブサイトが電子メールアドレスの提示を要求する場合には、方法800は有効な電子メールアドレス(例えば、user@domain.tld)の要求を識別することを含み得る。(電子メールアドレスの有効化を含む他の手順は、以下で議論される)。一部の場合には、それゆえ、システムは共通のフィールドタイプを識別するための、および/またはそれらのフィールドタイプをそれらのフィールドタイプに応答して提示されるデータの適切な規格と相関させるための論理構造および/またはデータ構造を備え得る。
フィッシュメール送信者はまた、時折、応答を有効にするために1つ以上の統合されたテストを使用し、方法800は、それゆえ、このような統合されたテストを打ち負かすための対応策を備え得る。このような対応策は、このような統合されたテストを識別することおよび/または解析することを含むが、これらに限定はされない(ブロック835)。単なる例として、ウェブサーバおよび/または電子メールメッセージは、ポータブルコード(例えば、Java(登録商標)アプレット、Java(登録商標)スクリプト、CGIアプリケーションなど)、および/またはフィッシュメールを送ることおよび/または繰り返し送ることの結果として生成されない応答を追跡、識別および/または無視するように設計された他のデバイスを含み得る。このようなデバイスは、再び単なる例として、カウンタ、タイマ、クッキー、ハッシュ値およびそれらと同様のものを含み得る。このようなデバイスを識別することおよび/または解析することは、このようなコードの存在のための電子メールメッセージおよび/またはウェブサイトをスキャンすること/解析すること、サンドボックスにおいてこのようなコードをダウンロードすることおよび/またはコードを実行することにより、コードがどのように働くかを決定すること、および/またはコードを分解して模倣すること(reverse−engineering)により、応答がどのように有効化されるかを決定すること、を含み得る。単純な例として、ウェブサイトが特定のコンピュータを識別するクッキーをセットし得ることにより、特定のコンピュータからの複数の応答がフィッシュメール送信者によって識別および/またはフィルタされ得る。このデバイスを識別および/または解析することは、クッキーのコンテンツを検査することを含み得、ゆえに変更されたクッキー(例えば、これは識別情報を変化および/または除去し得る)は、各々の応答と共に送信され得る。他の場合には、デバイスは、特定のコンピュータからウェブサイトへの各々のアクセスを増加させるカウンタを含み得、そのタイマが識別され得ることにより、適切な対応策がとられ得る。さらに他の場合においては、タイマは、複数の応答が、あるタイムフレーム内で送信されることを防ぐようにインプリメントされ得、および/またはハッシュアルゴリズムは、例えば、応答を識別するために、応答などに適用され得る。
他の場合には、フィッシュメール送信者は、応答をトリガするように設計されるフィッシュ電子メールについての情報、および/またはフィッシュ電子メールに含まれる情報に基づいて、応答を有効にすることを試行し得、しばしば応答する電子メールを用いて、応答が一部の様式に適合することを要求する。このような戦略は、「ラウンドトリップ(round−trip)」情報を含むと言われ得る。すなわち、電子メールアドレスにおいて特定のデータがフィッシュメール送信者によって送信され、対応するデータがウェブサーバの「ラウンドトリップ」中に戻されることが予期される。例えば、このような応答は偽であり、および/または安全なデータを備えるという仮定の下で、フィッシュメール送信者によって送信される任意の電子メールに相関するとは思えない応答にフィルタを掛けるために、これらの手法は使用され得る。従って、方法800は、フィッシュメール送信者による、応答にフィルタを掛けるためのユーザのこのようなラウンドトリップの情報に対する試行を打ち負かすための対応策を備え得る。このような対応策は、例えば、任意のこのような「ラウンドトリップの」情報を識別することおよび/または解析することを含み得る(ブロック840)。ラウンドトリップの情報は、種々の手順を介して識別されおよび/または解析され得る。
単なる例として、フィッシュメール送信者は特定のフィッシュメッセージが送信されたアドレスのリストを維持し得、フィッシュメール送信者はまた、応答が、電子メールアドレスを含むことを要求し得る。フィッシュメール送信者が、次いで電子メールアドレスによって応答にフィルタを掛け得ることにより、フィッシュメール送信者によって維持されるリスト上に含まれない電子メールアドレスが列挙される任意の応答が偽であると考慮される。あるいは、フィッシュメール送信者は、フィッシュメッセージの各々に応答コードを含ませ得、応答コードを提供する応答を要求し、次いで応答コードを含まない全ての応答をフィルタリングする。(特定の場合には、応答コードは、例えば、フィッシュメッセージにおけるポータブルコードを用いることによって、フィッシュメッセージが伝送されたアドレスへのフィッシュの伝送日、および/または任意の他の変数と調和され得、および/またはラウンドトリップの情報を解析することは、このようなポータブルコードを上で議論したものと類似する様式で解析することを包含する)。
このようなラウンドトリップの情報を識別および/または解析することは、フィッシュメッセージおよび/または応答ウェブページを解析することを含み得る。多くの場合には、フィッシュメッセージと応答ウェブページとの比較は、ラウンドトリップの情報の使用を明らかにする。さらに、フィッシュメッセージの収集は(フィッシュメッセージの各々は、可能性としては、上記されるようにハニーポットによって、および/または他の方法によって収集される)、ラウンドトリップの情報の識別および/または解析を可能にする類似性および/またはパターンを明らかにし得る。単なる例として、共通の電子メール「ブラスト(blast)」から発生すると考えられる複数のフィッシュ電子メール上の受信者のアドレスが比較され得ることにより、(受信者のアドレスおよび/またはドメインにおける、応答コードにおける、含まれるポータブルコードにおける、などの)共通性および/または差異を見出す。この比較はフィッシュメール送信者によってフィルタされない応答の策定を助け得る。
特定の場合には、フィッシュメール送信者は、応答にフィルタをかけるために、試行において、上記の手法の1つ以上を用い得る。さらに、フィッシュメール送信者がしばしば、危険にさらされているサーバ(上で議論したように)上のフィッシュメール送信者のウェブサイトを操作するので、フィッシュメール送信者はしばしば、危険にさらされているサーバ(これは例えば、サーバの操作者に危険性を警告し得る)上に有意な負荷を課すことを回避するために、フィルタリング手順を可能な限り「軽く」させるような動機を有する。それゆえ、フィッシュメール送信者がしばしば、それらのフィルタリング手法を一般化することを試行することにより、さらに効果的な検索を可能にする。単なる例として、伝送されたフィッシュ電子メールに対応する特定の電子メールアドレスのフィルタリングの代わりに、フィッシュメール送信者は、「aol.com」のような1つのドメインにおけるアドレス(または複数の選択されたドメイン)に、特定のスパムを制限し得、対応するウェブサイトに提示される応答の一部として電子メールアドレスを要求し得る。電子メールブラストがアドレスされるドメインと異なるドメインを有する電子メールアドレスを列挙する任意の応答は、次いでフィルタされ得る。この手順は、実際に個別の電子メールアドレスを比較することに比べて、(リソースを算出する立場から)かなり効果的であることを証明し得る。ラウンドトリップの情報(および/または任意の他のデバイス)を識別する手順は、このような「ショートカット」を指示するパターンを明らかにし得、および/またはこれらのショートカットは、応答の形成において利用され得る。単なる例として、フィッシュ電子メールの収集の解析が、特定のブラストが特定のドメインにおけるユーザに向けられたことを指示する場合には、そのドメインにおいて電子メールアドレスを提供する(および/またはそのドメインのホストから発生していると考えられる)ことを用いる任意の応答は、フィッシュメール送信者のフィルタリング手順によって受容される場合であり得る。
それゆえ、方法800は、フィッシュメール送信者のウェブサーバに伝送される応答がブロック830〜840において識別および/または解析される判定基準(および/または他の識別された有効判定基準)と合うことを確実にすることを含み得る(ブロック845)。本明細書の開示に基づいて、当業者は、応答が所与の判定基準に合うことは、しばしば、識別される判定基準の本質上で、大いにあることを認識する。単なる例として、判定基準が、特定の戻り値が工業規格(例えば、クレジットカード番号)に一致しなければならないことである場合には、方法800は、全ての応答が有効にフォーマットされたクレジットカード番号に含まれたことを確実にすることを含む可能性がある。別の例として、ラウンドトリップの情報の解析が、フィッシュ電子メールブラストがあるドメインおよび/またはISPにおいてユーザにメッセージを伝送することだけが考えられることを指示する場合には、方法800は、提示される全ての応答がそのドメインに関連するアドレスを含むことを確実にし得る。さらに別の例として、統合されたテストが識別される場合には(例えば、上で議論したように、ポータブルコードを分解して模倣することによって)、方法800は、各々の応答が、そのポータブルコードによって(例えば、コードに従う応答を作成することによって、および/または結果をテストするためにウェブサーバに伝送する前に応答上のコードを実行することによって)評価される場合には有効であると考慮されることを確実にし得る。
それゆえ、方法800は、フィッシュメール送信者によってインプリメントされた任意のフィルタリング手法(および、特に任意のコンテンツベースのフィルタリング手法)を巧みに回避するように設計された対応策を含み得る。ブロック830〜845に関して議論される手順が、応答がフォーマットされた後に発生するとして図示されていることに注意され得る(ブロック825)。しかしながら、一部の実施形態においては、方法800の他の点(例えば、安全なデータの生成(ブロック815)前、および/または応答のフォーマット(ブロック825)前に)において行われることが比較的により効果的であり得る。
安全な応答(および/または他の適切な応答および/または要求、これらは例えば、ジェネリックHTTP要求、他のタイプのIP通信/パケットなどを含み得る)は、応答戦略によって決定された数および頻度でサーバに提示され得る。例えば、「混乱させるための応答(respond to confuse)」戦略が使用され得、この戦略により相対的にわずかな安全な応答がサーバに提示され得る(ブロック850)。この戦略は、無効なデータをサーバのデータベースに導入するという効果を有し、その効果によって、収集されたデータのどちらが利用され得る有効な個人情報を実際に表すかについての、および収集されたデータのどちらが単なる不要情報であるかについての不確定性をフィッシュメール送信者に生じさせる。これだけでフィッシング詐欺の利益に有意に影響し得、これだけで実際の消費者から受信される有効な個人情報をフィッシュメール送信者が利用することを十分に防ぎ得る。加えて、安全なデータが安全なアカウントに関連し、かつフィッシュメール送信者が安全なデータを利用することを試行する場合には、フィッシュメール送信者のそのデータの使用はトレースされ得、フィッシュメール送信者の活動の証拠となる痕跡はコンパイルされ得、フィッシュメール送信者の識別を援助し、可能性としては民事訴訟または刑事告発の証拠を提供する。
所望される場合には「邪魔をするための応答(respond to impede)」戦略が遂行され得る(ブロック855)。この戦略においては、安全な応答は、大量の数で、および/または非常に速い速度で伝送され得る。安全な応答はまた、複数の応答コンピュータから送信され得、複数の応答コンピュータは、異なるドメインおよび/またはIPブロックに存在し得、フィッシュメール送信者による簡単な検出を防ぎ、その応答は安全な情報を備えている(および、結果としてフィッシュメール送信者には無用である)。「混乱させるための応答」戦略(実際にはこの戦略下で拡大される)の利点に加えて、「邪魔をするための応答」戦略は、フィッシュメール送信者に、フィッシュメール送信者の詐欺が発見されているという信号を送り得、可能性としては詐欺を継続することに対して妨害物(deterrent)を提供する。
さらに積極的な応答が所望される場合には、「防ぐための応答(respond to prevent)」戦略が着手され得る(ブロック860)。防ぐための応答戦略は、多数の可能性としては広く分布する応答コンピュータから大量の安全応答を高いレートで伝送することを含み得る。実際には、応答のレートは実際の消費者または他からの任意の相当な量の真の応答を受信することを可能にすることを効果的に防ぐために十分高くあり得、詐欺を効果的に終結させる。この戦略は、サーバが応答を受容することを停止するまで遂行され得、実際はサーバが再び応答を受容し始める場合には継続され得る。
最後に、一部の場合には、「含むための応答(respond to contain)」戦略が使用され得る(ブロック865)。この戦略は、スプーフ詐欺を操作するウェブサービスに十分なHTTP要求を提示することを含むことにより、要求を提供するためのサーバの能力を効果的に無力にする。当業者は、典型的なウェブサーバがしばしば接続テーブルをインプリメントし、接続テーブルが、サーバが任意の所与の時間においてサービスを提供し得るHTTP接続の数を追跡および制限することを認識する。それゆえ、本発明の実施形態に従って、十分な同時発生のHTTP要求が(可能性としては、上記したようなコンピュータの分散システムによって)提示され得ることにより、ウェブサーバの接続を「満たし」、それによりサーバが任意のさらなる要求を受容することを防ぐ。この処理は、詐欺的なウェブサイトが除去されるまで無限に継続され得る。HTTP要求は、安全な応答を備え得(上記したように)るが、この場合には必要ではない。任意のジェネリックHTTP要求(例えば、HTTP GET要求)は通常は、結合を作成するために十分であり、それにより接続テーブルを入力で占める。
この手法が、システム/ネットワーク(ここからオンラインの詐欺が行われる)上の一般化されるアタック(例えば、IPパケットの圧倒的な数の伝送)とは、接続テーブルを満たすために要求されるHTTP要求の数が通常は、ネットワークのインフラストラクチャに有意な衝撃を有するほど高くはないという点で異なるということは何の価値もない。さらに、ウェブサーバを実行するシステムは、通常は、他の場合には利用可能なまま維持される−単に、システムは、ウェブサーバはHTTP要求を提供することに及ばない。この方法においては、詐欺的活動は、ネットワークインフラなどに超過的な付帯的損害を引き起こすことなく損なわれ得、または防がれ得る。当然、(任意の種類の)一般化されたアタックはまた、この目的を達成するために使用され得るが、このようなアタックは一部の場合(例えば、倫理的なおよび/または政治的な考慮によって)には実行不可能であり得る。
所望される場合には、応答の情報の使用が、追跡され得る(ブロック870)。上記したように、安全な応答は、任意の真のユーザに関連しない情報(例えば、明らかに有効なクレジットカード番号)を備え得る。詐欺の実行者がこのような情報を使用することを試行する場合には、その情報の使用がトレースされ得ることにより、実行者を識別する。単なる例として、顧客が銀行またはクレジットカードの発行者である場合には、「安全な」アカウント番号に関連するアカウントは開かれ得(または「安全な」アカウント番号は、そうでない場合にはモニタされ得)、そのアカウントにアクセスする任意の試行(例えば、試行される払い戻しまたはクレジットカード認証)は、さらなる調査のためにフラグが立てられ得る。この「marked money」の使用は、他のコンテキストにおいて権限者により使用され(例えば、銀行強盗にマークされた現金を提供すること)、次いでmarked moneyの痕跡を追いかけることにより銀行強盗をトレースする。同様の概念が本発明の実施形態に従って、本明細書で記載される技術を用いてインプリメントされ得る。
洗練されたフィッシュメール送信者はまた、応答の源に従って応答をフィルタすることを試行し得る。単なる例として、フィッシュメール送信者が、1つのIPアドレス(および/または類似のIPアドレスの範囲)、1つのドメインなどから、複数の応答を検出する場合には、そのフィッシュメール送信者は、1つの位置からの複数の応答が、誰かがフィッシュメール送信者の詐欺を発見していること、およびフィッシュメール送信者を識別しようと試行していること、安全な応答を提示することを試行していることなどを指示するという理論において、IPアドレス/範囲/ドメインからの応答をフィルタし得る。それゆえに、方法800は、フィッシュメール送信者によるこのような試行を打ち負かすように設計される1つ以上の手順を含み得る。単なる例として、上記した1つの戦略は、分散された様式で応答を伝送するために、複数のコンピュータおよび/または複数のIPアドレスの使用を含む。一部の場合には、色々なIPアドレス(これらは異なるアドレスブロックなどからであり得る)を提供することにより、本発明の方法に従って生成された応答を識別するためのフィッシュメール送信者の能力を邪魔することが有利であり得る。
複数の種々のIPアドレスからの伝送のための1つの戦略は、例えば、複数のプロバイダから相対的に「使い捨ての」または一時的なIPアドレスを購入することによって(そうでなければ取得することによって)(例えば、複数の異なるISPにアカウントを開くことによって)、複数の種々のIPアドレスを獲得することを含み得る(ブロック875)。一部の場合には、リテールISP(例えば、MSN、AOLなど)に関連する(に割り当てられる)IPアドレスを取得することが有利であり得る。なぜならば、このようなアドレスからの応答が、しばしばフィッシュメール送信者の主な目標である消費者から発生すると推定され得るからである。(リテールISPは、消費者に対するインターネット接続性を提供する任意のISPと、それらとは対照的に、ビジネスに対してのみ、接続性および/または他のサービスを提供する任意のISPと考慮され得る)。一部の場合には、配置は、単にアドレスを一時的に使用するためにこのようなISPと共になされ得る。方法800は、次いで、例えば、本発明の方法に従って応答を生成するように、および/またはこのような応答をフィッシュメール送信者のウェブサーバに伝送するように(ブロック880)、構成されたコンピュータに複数のIPアドレスの各々を割り当てることをさらに含み得る。一部の実施形態においては、これらのコンピュータの各々が、IPアドレスを使用するために適切なISP(例えば、割り当てられたIPアドレスが関連するISP)にログオンされ得ることにより、コンピュータによって伝送された任意の応答がISPを経由して伝送される。さらに、特定の実施形態においては、これらのコンピュータは、1つ以上の中央コンピュータによって制御され得る。他の実施形態においては、応答は1つ以上の中央コンピュータにおいて生成され得、次いで複数のIPアドレスを割り当てられたコンピュータに送信され得、次いで、応答を(可能性としてはある変更とともに)転送することにより、応答がこれらのコンピュータ/IPアドレスから発生していると考えられる。
本発明の実施形態に従って使用され得る別の戦略は、1つのコンピュータ(またはコンピュータのセット)からの応答を提供するためのメガプロキシ(megaproxy)(または類似の技術)の使用(ブロック885)であるが、ここで応答の各々は、異なるIPアドレス、ドメインおよび/またはネットワークブロックから発生すると考えられる。このような手順の例は、米国仮特許番号第60/610,716号に記載され、既に参考として本明細書に援用されている。これらの手順および類似の手順を使用して、要求のグループが種々の供給源から発生していると考えられるようになされ得、応答にフィルタを掛けることのフィッシュメール送信者の試行を挫折させ、かつ/または本発明の方法に従って生成される安全な応答をブロックすることを試行することにおいて、実際の消費者の応答をフィッシュメール送信者にブロックさせる。
単なる例として、図9Aはフィッシング詐欺に応答を提示するために使用され得るシステム900を図示している。システム900は、1つ以上の実体905に割り当てられる1つ以上のネットワークブロック(例えば、IPアドレスのブロック)を用いることにより働き、実体905は一部の場合には、主要な消費者ISP(例えば、Comcast、America Online(「AOL」)、Microsoft Network(「MSN」)など)を含み得る。ネットワークブロックは、反フィッシングソリューションに使用するためのこれらの実体によって「寄付され」得る。(用語「寄付される」は記載の簡単のために、本明細書で使用されるが、ネットワークブロックに対する所有権はセキュリティプロバイダに必ず移されること、またはブロックが報償なしで提供されることを推量すべきではない。例えば、一部の実施形態においては、セキュリティプロバイダは本発明の実施形態に従う使用のためのブロックを購入し得または借り得、そうでなければブロックはこのような使用のためにセキュリティプロバイダに一時的に貸し付けられ得る。他の実施形態においては、ISPは、ブロックが使用されるべきであるという目的に気付くことさえ必要ではない。当業者は、ビジネスの使用のためにISPから会社までの専用のネットワークブロックの割り当てが珍しくないことを認識する)。
寄付されたブロックは、セキュリティプロバイダなどに相対的に永久的に割り当てられ得、かつ/またはアドホックベースで割り当てられ得る。このようなブロックは、内部ルーティングプロトコルを経由してこれらの実体905によって提供され得、かつ/または寄付されたブロックの記録は、反詐欺システム900による使用のために、データベース910に記憶され得る。反詐欺システム900はまた、ネットワークのミートミー(meet−me)センタ915を含み得、ミートミーセンタ915は、ネットワークブロックとインターネットの他の部分(特に、オンライン詐欺の実行者)との間の不明瞭な接続を提供する任意の設備であり得る。ミートミーセンタ915は、複数の応答/要求930(例えば、HTTP POSTまたはHTTP GET指令)を提示する能力を詐欺師のサーバ250に提供し得る。例によって、応答930は上で議論される応答に類似し得る。
ミートミーセンタ915は、ダイリューションエンジン920を備え得、ダイリューションエンジン920は、上記したダイリューションエンジンと同様の様式で機能し得る。(あるいは、ミートミーセンタ915はセキュリティプロバイダによって維持されるダイリューションエンジンと、可能性としてはシステム(例えば、図1Aのシステム100および/または図2のシステム200)の一部として通信し得る)。単なる例として、ダイリューションエンジン920は、応答/要求930、ならびにメガプロキシ925を作成および/またはフォーマットするように設計される(可能性としては上で議論される様式で)ソフトウェアアプリケーションであり得、これはデータベース910に記憶されるネットワークブロック内に含まれる任意のIPアドレスから発生していると考えられる応答/要求930を作成し得る。それゆえ、操作において、ダイリューションエンジン920は、多くの応答/要求930を備え得る。上記されるように、これらの要求/応答930がフィッシング詐欺への正当な応答であると考えられるようにフォーマットされ得、かつ/または単に、他の要求を提供するためのサーバの能力を占めるように設計されるジェネリックな要求であり得る。メガプロキシ925はそれらの応答/要求930を、任意の適切なアドレス(例えば、上記したようにデータベース910に記憶されるブロック内のIPアドレス)を発生元のアドレスとして用いて、スプーフを行う人のウェブサイト940に転送する。上記したように、応答/要求930は不正確な個人情報をウェブサイト940にフィードするように、および/または単にウェブサイトを占めることにより他者をだますための能力を邪魔するように設計され得る。詐欺師は、応答/要求930をブロックすることを試行するためにフィルタ935(例えば、特定のIPアドレス、ドメインなどからの通信をブロックするように設計されるファイアウォールアプリケーション)を使用し得るが、これは詐欺師にとって、以下の理由の1つ以上のために問題であると判明する。
まず、応答/要求930は、種々の異なるIPアドレスから(および、多くの場合には、種々の異なるドメインおよび/またはISP)発生していると考えられるので、詐欺師にとって、受信する応答/要求のどちらがシステム900からであるか、およびどちらが普通の消費者からであるかを決定することは困難である。一部の場合には、どちらの応答/要求がシステム900からであるかを決定することは技術的に可能であり得るが、このような決定を行うことは、通常は、相対的に高価な設備および有意な処理電力を含み、当業者は、オンライン詐欺スキームがしばしばこのような設備に投資する金融資源を持たない人々によって操作されることを認識する。さらに、多くのオンライン詐欺のサイトが、詐欺師ではなく無実の第三者によって操作される危険にさらされたサーバ上で操作されるので、スプーフされたメール送信者にとって、深い解析を行うために要求される算出リソースを、少なくともサーバの所有者に危険性を警告することなしに結集することは困難である。
さらに、詐欺師がシステム900から要求/応答930を識別することに成功し、これらの要求/応答930の一部を何とかブロックする場合でさえ、これらの要求/応答930はしばしば主要な消費者ISP(例えば、905)から発生していると考えられることは事実で、詐欺師は、詐欺師の主要なターゲット(普通の消費者)に関連するIPアドレスをブロックしなければならない困難な位置にいる。このようにして、システム900は、詐欺師にとって要求/応答930をブロックすることを困難にするおよび/または高価にするだけでなく、詐欺師に対する要求/応答930をブロックする詐欺師の試行を、詐欺師に、普通のユーザに割り当てられるアドレスをも含むネットワークブロックをブロックさせることによって使用すること、という複数の利点を提供し得、これにより詐欺師が引き込みたいと願う多くの人々からの応答をブロックする。
図9Bの950は、ウェブサーバに対する応答を提示する方法を図示している。本発明の方法は任意の特定のハードウェアまたはソフトウェアインプリメンテーションに制限はされないが、方法はシステム(例えば、図9Aのシステム900)を用いてインプリメントされ得る。方法950は、1つ以上のIPブロックを獲得することを含み得る(ブロック955)(すなわち、利用可能なIPアドレスのブロック)。上記したように、一部の場合において、IPブロックにとって、方法900によって生成される応答がこのようなISPから発生していると考えられるように複数のISP(リテールISPを含む)から(特定の場合においては、消費者のようなリテールISPの顧客から)獲得されることは有用であり得る。IPブロックを獲得するための様々な戦略は上で議論され、任意のこれらの戦略は本発明の実施形態に従って使用され得る。一部の実施形態に従って、獲得されたIPアドレスおよび/またはブロックの記録は(例えば、データベース内に)記憶され得る(ブロック960)。
方法950は、メガプロキシ(例えば、図9Aに関連して記載されるメガプロキシ925に類似のメガプロキシ)および/または種々の異なる供給源から発生していると考えられるIPパケット(および、特定の場合にはHTTP要求)を伝送することが可能な任意の他のデバイスまたはソフトウェアアプリケーションをさらに含み得る(ブロック965)。メガプロキシを提供することは、メガプロキシをネットワークミートミーセンタに位置することを包含し得、これは例えば、複数のISPにおいて内部ルーティングプロトコルを用いて通信するための能力を提供するピアリング(peering)設備であり得る。他の実施形態においては、メガプロキシは、メガプロキシが獲得されたIPアドレスを用いてパケットを伝送可能である限りは、他の場所に位置され得る。
例えば、上で議論された方法を用いて、一旦不正なウェブサイトが識別されると(ブロック970)、例えば、上で議論された方法を用いて、応答(例えば、HTTP要求)が作成され得る(ブロック975)。メガプロキシは次いで、IPアドレスを取得し得(例えば、獲得されたIPアドレスのデータベースを検索することによって)(ブロック980)、応答を不正なウェブサーバに伝送することにより、応答がメガプロキシによって取得されたIPアドレスから発生する(ブロック985)。この処理は、複数の応答の間繰り返され得る(図9Bに破線によって指示されるように)。一部の場合には、新しいIPアドレスが伝送されるべき各応答に対して取得され得る。他の場合においては特定のIPアドレスが複数の応答を伝送するために使用され得る。このようにして、複数の応答(これらは一部の場合には上で議論されたように「安全な」データを備え得る)は、不正なウェブサーバに伝送され得る。
図8に戻って、不正なウェブサイトに応答するための別の戦略が「プロキシチェーニング(proxy chaining)」をインプリメントし得る(ブロック885)。プロキシチェーニングは、フィッシュメール送信者のウェブサーバに対する最後のパケット伝送の前に、種々のプロキシサーバを通る応答パケットの伝送を含む。プロキシチェーニングの一実施形態においては、詐欺防止システム(例えば、上記されるシステム100)は、複数の専用の接続、モデム接続などを経由する、種々の異なるISP(および特にリテールISP)への接続を含み得る。応答はこのような接続を介して送信され得、このような接続によってこれらのISPのプロキシサーバを、詐欺防止システムに代わって実際に要求を提示するために利用する。フィッシュメール送信者が応答を受信する場合には、応答はそれらのリテールISPから発生していると考えられ、フィッシュメール送信者が、応答が発生する実際のマシンを決定することを(および、結果としてブロックを簡単に可能にすることを)防ぐ。別の実施形態においては、要求は複数のプロキシサーバを介して、可能性としては連続的な様式で送信され得、フィッシュメール送信者にとって応答の発生源を決定することをさらに困難にする。
図10は、プロキシチェーニング戦略を用いて応答を提示するために使用され得るシステム1000を図示している。システム1000は、詐欺防止システム1005を備え、詐欺防止システム1005は、図1A、図2および/または図11によって図示されるシステムに類似し得(および/またはこれらのシステムに関連して記載されるものに類似する構成要素を含み得る)、かつ/または本発明の様々な方法を行い得る。特に、詐欺防止システム1005は、不正なウェブサーバ250に対する技術応答(例えば、ダイリューション応答)を実行するように構成され得る。詐欺防止システム1005は、1つ以上のプロキシ1010を含み得、1つ以上のプロキシ1010は当業者が認識するように、詐欺防止システム1005からの応答を転送するために使用され得る。プロキシ1010は、SOCKSプロキシ、HTTPプロキシ、CGIプロキシ、および/または任意の他のタイプの当該分野で公知のインターネットプロキシであり得る。
当業者が認識するように、不正なウェブサイト250への伝送に対する応答を作成および/またはフォーマットするコンピュータ(例えば、ダイリューションエンジンおよび/または応答コンピュータ)を識別するために使用され得るヘッダ情報を偽装するために、プロキシは使用され得る。一部の実施形態においては、プロキシ1010は、ウェブサイト250に応答を直接伝送するために使用され得る。しかしながら、このような実施形態においては、プロキシ1010は、詐欺師によって、詐欺防止システム1005の一部として識別され得る。(なぜならば、プロキシ1010は、例えば、サーバ250にダイリューション応答を伝送するからである)。このような識別を防ぐために、応答は、(プロキシ1010を介してまたは直接のいずれかで)詐欺検出システム1005によってサーバ250に対する伝送のために他のプロキシに伝送され得る。
単なる例として、詐欺防止システム1005−および/または詐欺防止システム1005をホストするISP(示されていない)−は、1つ以上のデータセンタ1015(これら自体はISPであり得、および/またはISPによってホストされ得る)とピアリング関係(当該分野で公知)を有し得る。応答は、これらのデータセンタ1015に、直接のピアリング接続を介して、またはインターネット205を経由してのいずれかで、伝送され得、データセンタ1005はこれらの応答をサーバ250に、しばしばそれらが所有するプロキシ1020を介して伝送し得る。
本明細書で議論される全てのプロキシ同様に、プロキシ1020は、匿名プロキシであり得る。さらに、特定の実施形態においては、本明細書で議論されるプロキシは「歪んでいる」プロキシであり得、これは誤ったデータまたは擬似ランダムなデータを、「HTTP_VIA」および「HTTP_X_FORWADRDED_FOR」のようなHTTP要求(これはダイリューション応答を備え得る)における特定のフィールドに省略し得、かつ/または書き換え得、これによってこれらがプロキシとして提供されること、および/またはHTTP要求の実際の供給源として詐欺防止システム1005(および/またはそのシステムの構成要素)を分かりにくくするという事実を偽装する。データセンタプロキシ1020(および本明細書で議論される他のプロキシ)は、結果として詐欺防止システムに相対する応答を「匿名化する」ために提供し得、さらに詐欺防止システム1005をサーバ250(またはサーバ250上の詐欺の操作者)による検出から隔離する。
本発明の一実施形態に従って、詐欺防止システム1005は、構内交換設備(PBX)システム1025(および/または詐欺防止システム1005と通信する利用可能な1本以上の電話(POTS、ISDN、またはその他)線を提供する任意の他の手段)を組み込み得る。PBX1025は、モデムプール1030(または類似のデバイス)と通信し得、結果として、図10上に破線によって示される、1つ以上のISP1035との通信を提供するために使用され得る。(他の実施形態においては、ISP1035との通信を提供するための他の手段が同様に使用され得る)。それゆえ、応答は1つ以上のISP1035を介して発送され得(および、一部の実施形態においては、ISP1035によって操作される1つ以上のプロキシ1040へ伝送され得)、ISP1035は応答をサーバ250に転送する。一部の場合においては、ISP1035の1つ以上はリテールISPであり得、上で議論されるようにISPの消費者顧客から発生すると考えられる応答を作成する追加の利点を提供する。
特定の実施形態においては、詐欺防止システム1005は、プロキシチェーニング手法を用いて、複数のプロキシ(図10に描かれる任意のプロキシ1010、1020、1040を含む)を介して応答を発送するように構成され得る。単なる例として、HTTP要求のような応答は、詐欺防止システム1005からデータセンタ1015aまで(可能性としてはプロキシ1010aを経由して)伝送され得、ここで要求はデータセンタのプロキシサーバ1020aによって、別のデータセンタ1020b(または、代替的に、ISP1035a)に転送され得、ここで別のプロキシサーバ1020bは要求をウェブサーバ250に転送する(プロキシチェーンにおけるリンク間の転送はピアリング接続、モデム接続、インターネットなどを経由してなされ得る)。この手法は、一部の状況下で、応答のより包括的な「匿名化」を提供し得、ウェブサーバ250(および/またはウェブサーバ250を使用する詐欺師)に対して、応答の供給源を識別することを比較的により困難にする。さらに、一部の実施形態においては、詐欺防止システム1005のプロキシサーバ1010(および/または、ダイリューションエンジン、応答コンピュータなどのようなシステム1005の他の構成要素、これらは図10には示されていない)が、複数の応答を様々なプロキシ(例えば、1020、1040)に、ランダムに、順番に、分配するように構成され得ることにより、応答の供給源をさらに偽装する。
それゆえ、本発明の様々な実施形態がいくつかの異なる手順を提供することにより、フィルタリングまたはブロッキング手法を巧みに回避する(応答のコンテンツまたはこれらの応答の発信元に基づくかどうか)。これらの手順は、個別にまたは任意の組み合わせで使用され得、フィッシュメール送信者に、本発明の方法により生成された応答から、実際の騙された消費者により提示される応答を分離することを困難にさせる。このようにして、本明細書で議論される応答および/または「marked money」手法、ならびに他の反詐欺処理は、より効果的にインプリメントされ得る。
本発明の実施形態の別のセットにおいて、モニタリングアプライアンスは、顧客のシステムによって受信されるメッセージを介してフィッシング詐欺(または、顧客のオンラインアイデンティティの他の不正な使用)の通知を提供するために使用され得る。図11は、このようなイベントを識別するために使用され得るシステム1100を図示しており、図12は、このようなイベントを識別するための例示的な方法を図示している。
単なる例として、図11のシステム1100は、特にフィッシングイベントを、一部の場合にはフィッシング詐欺の比較的早い段階(すなわち、フィッシュメッセージが元来フィッシング詐欺における犠牲者および/または参加者になる見込みがある人物に伝送されるとき)において、取り込むように構成され得る。システム1100は、いくつかの点においては、図2に関連して記載されるシステム200と同様に操作するように構成され得る(図解の単純化のために、全ての構成要素は図11に示されていないが、図11のシステム1100は、図2のシステム200の構成要素に類似する構成要素を含み得ることに注意する)。システム1100に類似するシステムは、既に参考として援用されている同一出願人による同時係属の米国仮特許番号第60/610,715号に詳細に記載される。
当業者は、フィッシングおよび/またはスプーフィング詐欺を行う場合には、詐欺師はしばしば大量の電子メール伝送を生成し、(例えば)受信者を詐欺師のウェブサイトにログオンさせるために検索され、詐欺師のウェブサイトは、正当な(しばしば周知の)会社
(例えば、銀行、オンラインの商売のサイトなど)のウェブサイトであると考えられるように工作され得ることを、認識する。詐欺を強化するために、結果として、詐欺師はしばしば正当な会社からの実際の電子メールメッセージに可能な限り近く、複製および/または偽装することを試行する。それゆえ、多くの場合には、メッセージヘッダのあるフィールド(例えば、「FROM:」、「SENDER:」、「RETURN PATH:」および/または「REPLY−TO:」フィールド)は、正当な会社によって送信された実際のメッセージから対応するヘッダからコピーされ、かつ/または対応するヘッダと考えられるように偽造され得る。
このような間違ったヘッダ情報を含むことは、詐欺師がこのようなメッセージの受信者を混乱させることを助けるが、間違ったヘッダ情報はまた、試行される詐欺のようなオンラインの不正使用の可能性の検出を助けるために使用され得る。当業者は、メールサーバがそのメールサーバのアドレスにアドレスされる電子メッセージを受信する場合は、メールサーバはそのメッセージに関連するメールボックスにメッセージを発送することを試行することを認識する。このようなメールボックスがない場合には、メールサーバはしばしば、これらのフィールド(例えば、「RETURN−PATH:」フィールド)の1つ以上を、メッセージの送信者に、メッセージにおいて特定されるアドレスに対してメッセージが届けられ得ないことを通知することの試行において「バウンス(bounce)」メッセージを送信するために使用する。メッセージのヘッダ情報は、正当な会社がメッセージの送信者であることを示す場合には(しかしながら、例えば、詐欺師がメッセージを真正であると考えさせたい場合には)、「バウンス」メッセージは、詐欺師に戻らないように伝送されるが、代わりに正当な会社に伝送される。
さらに、多くの場合には、バウンスメッセージが、詐欺師によって送信された元々のメッセージのコピー(または元々のメッセージの一部)に添付されているので、バウンスメッセージから、例えば、以下に記載される方法および/またはシステムを用いて、有意な情報は収集され得る。詐欺師はしばしば、認証されていない電子メールアドレスの集団に一気に送信するので、任意の所与の一気のメッセージは送達されないメッセージの相当な部分を含む。それゆえ、正当な会社によって受信されるメッセージの解析は、オンラインの不正使用の可能性の早期の検出を円滑にし得る。
図11のシステム1100は、この処理のために使用され得る。図2に関連して記載される構成要素に加えて、システム1100は、モニタリングアプライアンス1105を付加的に特徴とし得、モニタリングアプライアンス1105は、特定の実施形態において顧客225のサイトに位置し得る。しかしながら、他の実施形態においては、モニタリングアプライアンス1105は、他の場所に位置し得る(モニタリングセンタ215などに含まれる)。一部の実施形態に従って、モニタリングアプライアンス1105は、汎用コンピュータ(例えば、上記したコンピュータ)を、可能性としては顧客の電子メールシステムとインターフェースするためのおよび/または以下に記載される他のタスク(本発明の方法を含むがこれらには限定されない)を行うためのソフトウェアと共に備え得る。他の実施形態においては、モニタリングアプライアンス1105は、これらのタスクを行うためのハードウェア、ファームウェアおよび/またはソフトウェア命令を有する、専用マシンであり得る。
モニタリングアプライアンス1105は、顧客の電子メールシステム1110と通信し得る。正当な会社(例えば、顧客)は、フィッシング詐欺に関心がある(そうでなければ、その会社から発生すると称するメールに気付きたい)任意の実体であり得、オンラインの存在を有し、かつ/または消費者、メンバなどと、電子メールを経由して通信することが予期される組織(例えば、銀行、オンラインコマースのウェブサイト、オンラインオークションサイトなど)を含むが、これらには限定はされない。電子メールシステム1110は、SMTPサーバ、POP3サーバ、メール転送エージェント(「MTA」)、および/または任意の他の共通に利用可能な電子メールサーバおよび/またはクライアントソフトウェアを含み得るが、これらに限定はされない。標準の電子メールシステムは、本発明の一部の実施形態に従って使用され得る。他の実施形態においては、電子メールシステム1110は、(例えば、モニタリングアプライアンス1105に統合されるように)特別に構成され得る。
モニタリングアプライアンス1105は、顧客によって操作され得かつ/または第三者(例えば、セキュリティサービスプロバイダなど)によって操作され得る。モニタリングアプライアンス1105は、電子メールシステム1110に近接して位置され得、かつ/またはモニタリングアプライアンス1105が電子メールシステム1110と通信している限りは、電子メールシステム1110から離れ得る。一部の実施形態においては、モニタリングアプライアンスが、電子メールゲートウェイ、MTA、SMTPサーバなどと通信し得、かつ/または統合され得ることにより、モニタリングアプライアンスが電子メールシステム1110に入力する全ての電子メールメッセージに対するアクセスを有する。(特定の場合には、モニタリングアプライアンス1105は、標準のメールシステム構成要素の変更によって具体化され得、モニタリングアプライアンス1105は、実際に、電子メールシステム1110の一部である)。他の場合には、システム1100は構成され得、電子メールシステム1110(および/またはその構成要素)が、特定のメッセージ(例えば、これらのメッセージを「バウンス」メッセージとして識別し得るある判定基準に合うメッセージ)のコピーをモニタリングアプライアンス1105に送信する。
モニタリングアプライアンス1105は受信される電子メールメッセージを解析するように構成される詐欺防止および/または検出システム(例えば、マスタコンピュータ210、モニタリングコンピュータ220、および/または図2に関連して記載される他のシステム構成要素を含む)とさらに通信し得る。それゆえ、モニタリングアプライアンス1105は、相関エンジン(例えば、図1Aに関連して記載される相関エンジン125)、および/またはイベントマネージャ(例えば、図1Aのイベントマネージャ135)と直接的または間接的に通信し得、これらのいずれかまたは双方が、電子メールシステム1110によって受信される特定の「バウンス」メッセージに含まれる電子メールメッセージを、可能性としては以下にさらに詳細に記載される方法を用いて、解析するために使用され得る。相関エンジンは、より大きな詐欺検出および/または防止システムの一部であり得(しかし、必ずしもそうである必要はない)、顧客にローカルに位置され得る。しかしながら、他の場合には、相関エンジンは、サイトの外に配置され得る。そういうものとして、相関エンジンはセキュリティプロバイダによって管理され得、かつ/または種々の供給源(様々な顧客、他のデータ供給源(これらの一部が本明細書に記載される)などを含むがこれらに限定はされない)から受信されるデータに基づいて詐欺の出来事の可能性を解析するために使用され得る。
以下の例は、システム1100の操作の1つのモードを図示している。この例においては、顧客が銀行であることが仮定される。詐欺師は、複数のアドレスにアドレスされる電子メールメッセージを作成し、複数のアドレスの一部は、詐欺師が銀行の顧客であると仮定する。この「元々の」メッセージは、「貴重な顧客」にアドレスされたと考えられ、銀行から発生していると考えられ、実際は、メッセージのリターンパスはメッセージの「RETURN−PATH:」フィールドにおいて、銀行の電子メールシステム1100(または銀行の電子メールシステムに関連するアドレス)を列挙する。詐欺師は、この元々のメッセージを、詐欺師(または別の人)によって維持されるスパムリストから抜粋される多くの(可能性としては数十万の)アドレスに送信するために、メールサーバ1115を使用する。(当業者は、フィッシュメール送信者がしばしばフィッシュ電子メールを送信するために、危険にさらされている電子メールサーバ、開いているリレーなどを使用するが、この例の目的においては、このような区別は重要ではないことを認識する)。これらのアドレスの1つが<joe_user@user.com>であると仮定すると、詐欺師の電子メールサーバ1115は<user.com>ドメインに関連するメールサーバ1130に、ユーザ「joe_user」による受信のためにメッセージを伝送する。「joe_user」が<user.com>のメールサーバ1130に知られていない場合には、そのメールサーバ1130は、返答(上で議論されるように元々のメッセージの送信者に「バウンス」メッセージ)を、送信することを試行する。しかしながら、「RETURN−PATH:」フィールドは銀行の電子メールシステム1110を向いているので、<user.com>メールサーバ1130は実際の送信者(詐欺師の電子メールサーバ1115)の代わりに銀行のシステム1110に「バウンス」メッセージを送信する。
銀行の電子メールシステム1110がこのメッセージを受信する場合には、このメッセージは「バウンス」メッセージとして識別され、モニタリングアプライアンス1105に転送する。(あるいは、例えば、モニタリングアプライアンスが、メールゲートウェイおよび/またはMTAに統合され、および/またはメールゲートウェイおよび/またはMTAとして提供される場合には、モニタリングアプライアンス1105は、電子メールシステム1110による受信の前に、このようなメッセージの全てを遮断し得る。さらに他の実施形態においては、モニタリングアプライアンス1105は、バウンスメッセージを引き出すためにメールシステム1110にアクセスし得る)。モニタリングアプライアンス1105は、選択的に記憶媒体1125(これはRAM、ハードディスク、1つ以上のデータベースなど)を、このようなメッセージ(および/またはこのようなメッセージの特定の部分、このようなメッセージについての情報など)を、記憶するために含み得(例えば、いくつかが受信されるまでメッセージを記憶するため)、メッセージは、伝送の前に、および/または一括フォーマットにおいて伝送される前に、統合され得、要約され得るなどする。単なる例として、複数のバウンスメッセージが受信され、全てが共通の大量メール送信に関連する場合には、元々のメッセージの1つのコピーをバウンスメッセージの収集についての情報の概略(例えば、各々のメッセージの向けられる受信者、メッセージ間の差異の概略など)と共に提供することがより効果的である。モニタリングアプライアンス1105は、次いで、「バウンス」メッセージ(および/または概略情報)をフィッシュ検出/モニタリングシステム(例えば、図1Aに描かれるシステム100)に送信し得、フィッシュ検出/モニタリングシステムは、図2のシステム200および/またはその構成要素(相関エンジン、イベントマネージャなどを含むがこれらに限定はされない)によって具体化され得る。メッセージは、一括フォーマットで、1つ以上の統合されたメッセージなどとして個別に送信され得る。
一部の実施形態に従うと、モニタリングアプライアンス1105は、受信されるメッセージを特定のアイテム(メッセージに含まれるユニフォームリソースロケータ(「URL」)を含むがこれらに限定はされない)において解析するように構成され得、フィッシュ検出/モニタリングシステムに、全体のメッセージの代わりにこれらの解析されたアイテムのみを伝送し得る。さらなる実施形態においては、相関エンジンの一部の局面が、モニタリングアプライアンス1105内に組み込まれ得ることにより、メッセージの解析の一部(または全て)がモニタリングアプライアンス1105において発生する。
特定の実施形態においては、電子メールシステム1110(および/またはモニタリングアプライアンス1105および/または詐欺検出/防止システム)は、メールシステムエラーのログ1120(「バウンス」メッセージの記録および/またはバウンスメッセージについての情報(例えば、メッセージの抽出された部分、元々のメッセージのアドレスなど)を含むがこれらに限定はされない)を維持し得る。このログ1120は、検索され得ることにより、送達できないアドレスにより生じるエラーを決定する。この情報は、多くの方法において使用され得る。単なる例として、フィードバックループは利用され得ることにより、「送達できない」アドレスが他の反詐欺操作のおとりの電子メールアドレスとして使用され得る。例えば、「バウンス」メッセージ(1人以上の顧客から取得される)が、特定のアドレスおよび/またはドメインはしばしば詐欺師によって使用されることを指示する場合には、そのアドレスおよび/またはドメインを登録することを試行し、これによってそのアドレスにアドレスされるメールの直接の受信を確実にすることが望まれ得る。このようなアドレスはまた、上にさらに詳細に記載したように「marked money」操作のためのトレース可能な情報をプラントするために使用され得る。
図11Bは、顧客のオンラインアイデンティティの不正な使用を識別する方法1150を図示している(例えば、顧客から送信されたと考えられる電子メールに基づいたフィッシング詐欺において)。方法1150は、本明細書に記載される他の方法と同様に任意の適切な様式でインプリメントされ得、特定の構造に限定されないことが理解されるべきだが、方法1150は図11Aのシステム1100のようなシステム上でインプリメントされ得る。方法1150は、モニタリングアプライアンス(例えば、上記したモニタリングアプライアンス)を提供することを含み得る(ブロック1155)。モニタリングアプライアンスを提供することは、一部の実施形態においては、顧客の位置にモニタリングアプライアンスを設置することを含み得、かつ/または他の実施形態においては、モニタリングアプライアンスに相関エンジン(上記した)または同様の機能性を提供することを含み得る。(他の実施形態においては、上記したように、モニタリングアプライアンスは他の場所に設置され得、実際には、上記したように、詐欺防止システム、またはこのようなシステムの構成要素(例えば、相関エンジン)内に組み込まれ得る)。モニタリングアプライアンスを提供することはまた、モニタリングアプライアンスと顧客の電子メールシステムとの間の通信を提供することを含み得る。
ブロック1160において、顧客の電子メールシステムは、通例の様式で電子メールメッセージを受信する。一部の実施形態においては、顧客の電子メールシステムは返答メッセージ(例えば、上記した「バウンス」メッセージ)としてメッセージを識別し得る(ブロック1165)。ブロック1170において、メッセージはモニタリングアプライアンスに転送され得る(および/または、他の場合にはメッセージはモニタリングアプライアンスによってアクセスされる)。上記したように、一部の場合には、「バウンス」メッセージとして識別されるメッセージのみがモニタリングアプライアンスに転送される。他の場合には、顧客の電子メールシステムは全てのメッセージ(または、未知の送信者からの全てのメッセージなどのようなメッセージのサブセット)を転送するように構成され得る。さらに他の実施形態においては、モニタリングアプライアンスは顧客の電子メールシステムに(メール記憶装置、特定の電子メールアカウント、電子メールシステムログなどにアクセスすることによって)直接アクセスするように構成され得ることにより、電子メールシステムに対して、モニタリングアプライアンスにメッセージを転送することが必要ではあり得ない。同様に、電子メールシステムは、ログ(例えば、ファイアウォールログ、電子メールシステムログなど)からモニタリングアプライアンスまでの関連する入力を転送するように構成され得(ブロック1175)、または、代替的に全てのログ入力を転送するように構成され得る(この場合においては、モニタリングアプライアンスは、関連する入力に対してログ入力を解析するように構成され得る)。関連する入力は、バウンスのメッセージなどに関連する任意の入力を含み得る。他の実施形態においては、上記したように、モニタリングアプライアンスがこのようなログに直接アクセスするように構成され得ることにより、ログ入力を転送することが不必要である。
一部の場合には、例えば、上記したような様式で、メッセージ(および、特にバウンスメッセージ)の関連する部分を引き出すことがより効果的であり得る(ブロック1180)。関連する部分は(バウンスメッセージが応答する)元々のメッセージをフィッシュメッセージとして識別するために使用され得るメッセージの任意の部分、メッセージの元々の送信者を識別するために使用され得るメッセージの任意の部分、および/またはメッセージの意図された受信者(受信者は実際にはフィッシング詐欺の目標であり得る)を識別するために使用され得るメッセージの任意の部分を含み得る(が限定はされない)。単なる例として、メッセージのヘッダ、任意のURLは、メッセージおよび/またはメッセージの本体からの任意の関連するテキスト(特に、バウンスメッセージの本体において再生成された元々のメッセージの任意の関連する部分を含む)に含まれる。
同様に、一部の場合には、解析のために概略のメッセージをコンパイルすることが好まれ得る(ブロック1185)。概略のメッセージは、メッセージのグループを解析するために必要な情報を含む任意の統合されたメッセージを備え得る。(メッセージおよび/またはメッセージの部分自体とは対照的に)概略のメッセージの使用は、一部の場合には、メッセージ解析などに使用される解析、処理サイクル、および/または時間に対する、メッセージを伝送するために使用されるバンド幅における効率を提供し得る。例えば、1回の大量メール送信に関連する複数のバウンスメッセージを電子メールシステムが受信する場合には、概略のメッセージの使用は、特に有利であり得る(これは複数のバウンスメッセージの各々が、それぞれの元々のメッセージが類似の「RETURN PATH:」または「FROM:」ヘッダを有することを各々指示する事実、および/または複数のバウンスメッセージの各々の、それぞれの本体部分が元々のメッセージの類似部分を再生成する事実によって指示され得る)。このような複数のメッセージを比較するための様々な方法(例えば、メッセージの全ておよび/または一部にチェックサムを行うこと、ハッシングを行うことなど)、およびチェックサム、ハッシュなどを比較するための様々な方法が使用され得る。メッセージを比較する他の手法は、同様に使用され得る。
一部の実施形態に従って、1つ以上の電子メールメッセージ、メッセージの一部、および/または(適切である場合には)概略のメッセージが、解析のために詐欺検出システムおよび/または詐欺防止システムに転送され得る(ブロック1190)。同様に、ログ入力(またはこのような入力の概略)は転送され得る。転送は、任意の適切な方法(例えば、FTP、NFSマウント、データベーストランザクション(例えば、SQL命令文)など)によって行われ得る。一部の場合には、メッセージ、ログ、および/またはログ入力(および/または、これらの一部または概略)は、(例えば、特定のスケジュールで、および/またはある数のメッセージを受信した際などにバッチ転送を可能にするために)転送の前にモニタリングアプライアンスにローカルに記憶され得る。特定の実施形態においては、メッセージを記憶することは(可能性としては、様々なヘッダフィールドおよび/または本体テキストなどに対応するフィールドを用いて)データベースにメッセージを記憶することを包含し得ることにより、メッセージを転送することがデータベースの同期を包含し得る。あるいは、メッセージはテキストファイルなどとして記憶され得、および/または解析のための詐欺防止システムへの転送は、このようなファイルを、詐欺防止システムにおけるデータベースのために適切なインポートトランザクション(またはトランザクションの連続)にインポートすることを包含し得る。別の例として、詐欺防止システムは上記した方法を行うように構成され得、かつ/またはメッセージ(または一部、概略など)を転送することは、上で議論されるこのような方法を用いて解析のために適切なフォーマットでメッセージを転送すること(かつ/またはメッセージを適切なフォーマットに変換すること)を包含し得る。例えば、メッセージはハニーポットに転送され得、結果として、メッセージの処理は上記したように進められ得る。
それゆえ、方法1150は、メッセージ、ログ、ログ入力を解析することをさらに包含し得る(ブロック1194)。記したように、メッセージの解析は、上記した方法を用いる解析を備え得る。(同様に、メッセージ、ログ、ログ入力の解析が、オンライン詐欺の可能性があることを指示する場合には、応答戦略および/または上記した方法はまたインプリメントされ得る)。(例えば、メッセージが詐欺防止システムに転送された場合には)解析は、詐欺防止システム、および/または相関エンジンのような詐欺防止システムの構成要素によって行われ得る。
しかしながら、記されたように、他の実施形態に従って、モニタリングアプライアンスは相関エンジンを備え得、かつ/または(同様の方法を用いる)メッセージの解析などは、モニタリングアプライアンスにおいて行われ得る。このような場合には、解析の結果がイベントマネージャおよび/またはダイリューションエンジン(または類似の構成要素)に転送され得、これは、さらなる行動のために適切に、詐欺防止システム内に組み込まれ得、かつ/または、モニタリングアプライアンス内に組み込まれ得る。
特定の実施形態においては、メッセージなどの解析は、メッセージの意図された受信者を識別することを含み得る(ブロック1198)。この情報は、例えば、意図される受信者に対応する新しい電子メールアドレスを生成するために使用され得る。(加えて、新しい電子メールアドレスは、所望される場合には、上記されるように様々な位置にプラントされ得る)。もちろん、本開示に基づいて、アドレスに関連するドメインネームを取得すること、および/またはそのドメインネームに責任のあるプロバイダにアカウントを作成することが必要であり得ることにより、セキュリティプロバイダがそのアドレスにアドレスされる全てのメールを受信することを、当業者は認識する。フィッシュメッセージの意図された受信者のアドレスの状態によって、アドレスは既に少なくとも1人の詐欺師の目標であることが明らかであるから、これは有利であり得る。おそらく、フィッシュメッセージが送達できなかったという事実は、そのアドレスが現在は有効なアドレスではないということを指示するので、この受信者の電子メールアドレスを取得することは、実際のユーザに争いを作成しない。
図示の目的のために、前述の記載において、様々な方法が特定の順序で記載された。代替的な実施形態において、方法は記載された順序と異なる順序で行われ得ることが認識されるべきである。上記した方法は、ハードウェア構成要素によって行われ得、かつ/またはマシン実行可能な命令のシーケンスで統合され得、マシン実行可能な命令は、マシン(例えば、汎用のまたは専用のプロセッサ、あるいは命令と共にプログラムされる論理回路)に方法を行わせるために使用され得る。これらのマシン実行可能な命令は、1つ以上のマシン読み取り可能な媒体(例えば、CD−ROMまたは他のタイプの光学ディスク、フロッピー(登録商標)ディスケット、ROM、RAM、EPROM、EEPROM、磁気的または光学的カード、フラッシュメモリ、あるいは他のタイプの電子命令を記憶することに適したマシン読み取り可能な媒体)上に記憶され得る。単なる例として、本発明の一部の実施形態はソフトウェアプログラムを提供し、ソフトウェアプログラムは、上記した方法を行うために、1つ以上のコンピュータ上で実行され得る。例えば、特定の実施形態においては、様々なハードウェアデバイス上で実行するように構成されている、複数のソフトウェア構成要素があり得る。あるいは、方法はハードウェアとソフトウェアとの組み合わせによって行われ得る。
結論として、本発明はオンライン詐欺を扱うための新規な解決策を提供する。本発明の1つ以上の実施形態の詳細な記載は上で与えられるが、様々な代替案、変更案、および同等案は、本発明の精神から変更することなしに、当業者にとって明白である。さらに、明らかに不適切な場合、または他に特に記載される場合を除いて、異なる実施形態の特性、デバイスおよび/または構成要素は、代替され得、および/または組合わされ得ることが仮定されるべきである。従って、上の記載は、本発明の範囲を限定するととられるべきではなく、本発明の範囲は添付する特許請求の範囲によって定義される。
図1Aは、本発明の様々な実施形態に従う、オンライン詐欺に対抗するためのシステムを図示する機能図である。 図1Bは、本発明の様々な実施形態に従う、おとりの電子メールアドレスをプラントするためのシステムを図示する機能図である。 図2は、本発明の様々な実施形態に従う、オンライン詐欺に対抗するためのシステムを図示する概略図である。 図3は、本発明の様々な実施形態に従う、オンライン詐欺に対抗するためのシステムにおいてインプリメントされ得るコンピュータの一般化された概略図である。 図4Aは、本発明の様々な実施形態に従う、詐欺の可能性のある活動についての情報を取得するための様々な方法を図示する処理フロー図である。 図4Bは、本発明の様々な実施形態に従う、詐欺の可能性のある活動についての情報を取得するための様々な方法を図示する処理フロー図である。 図4Cは、本発明の様々な実施形態に従う、詐欺の可能性のある活動についての情報を取得するための様々な方法を図示する処理フロー図である。 図5Aは、本発明の様々な実施形態に従う、データを収集および解析する方法を図示する処理フロー図である。 図5Bは、本発明の様々な実施形態に従う、ユニフォームリソースロケータおよび/またはウェブサイトを解析するための手順を図示する処理フロー図である。 図6は、本発明の様々な実施形態に従う、オンライン詐欺に対抗する方法を図示する処理フロー図である。 図7は、本発明の様々な実施形態に従う、疑わしいユニフォームリソースロケータおよび/またはウェブサイトを調査する方法を図示する処理フロー図である。 図8は、本発明の様々な実施形態に従う、試行されるオンライン詐欺に応答する方法を図示する処理フロー図である、 図9Aは、本発明の様々な実施形態に従う、フィッシング詐欺に応答を提示するために使用され得るシステムを図示している。 図9Bは、本発明の様々な実施形態に従う、フィッシング詐欺に応答を提示する方法を図示している。 図10は、本発明の様々な実施形態に従う、フィッシング詐欺に応答を提示するために使用され得るシステムを図示している。 図11Aは、本発明の様々な実施形態に従う、顧客のオンラインアイデンティティの不適切な使用を識別するために使用され得るシステムを図示している。 図11Bは、本発明の様々な実施形態に従う、顧客のオンラインアイデンティティの不適切な使用を識別する方法を図示する処理フロー図である。

Claims (81)

  1. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、該方法は、
    コンピュータが、該ウェブサイトと関連するデータのセットにアクセスすることと、
    該コンピュータが、該データのセットを複数のコンポーネントに分割することと、
    該複数のコンポーネントの少なくとも幾つかを解析することと、
    該解析されたコンポーネントの各々にスコアを割り当てることであって、該スコアは、複数のスコアが割り当てられるように、該解析されたコンポーネントの各々の解析に基づいている、ことと、
    該データのセットに複合スコアを割り当てることであって、該複合スコアは、該複数のスコアに基づいている、ことと、
    該複合スコアに基づいて、詐欺である可能性があるウェブサイトとして該ウェブサイトを分類することと
    を包含する、方法。
  2. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットは、ニュースグループの掲示を含む、請求項1に記載の方法。
  3. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットは、ウェブページを含む、請求項1に記載の方法。
  4. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットは、インターネットチャットセッションからの複写を含む、請求項1に記載の方法。
  5. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットは、電子メールメッセージを含む、請求項1に記載の方法。
  6. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記複数のコンポーネントは、
    前記電子メールメッセージのヘッダ部分と、
    該電子メールメッセージの本体部分と、
    該電子メールメッセージの本体部分内に組み込まれたユニフォームリソースロケータ(「URL」)であって、該URLは、ウェブサイトを参照する、URLと
    を含む、請求項5に記載の方法。
  7. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットにアクセスすることは、前記電子メールメッセージを受信することを含む、請求項5に記載の方法。
  8. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットは、該ウェブサイトと関連するドメインについてのデータを含む、請求項1に記載の方法。
  9. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットにアクセスすることは、ゾーンファイルにおいてドメインレジストレーションにアクセスすることを含む、請求項8に記載の方法。
  10. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記複数のコンポーネントは、該ウェブサイトと関連するインターネットプロトコル(「IP」)アドレスを含み、該複数のコンポーネントの少なくとも幾つかを解析することは、
    該ウェブサイトと関連するドメインを識別することと、
    該ドメインに割り当てられたインターネットプロトコル(「IP」)ブロックを識別することと、
    該IPアドレスと該ドメインに割り当てられた該IPブロックとを比較することと
    を含む、請求項8に記載の方法。
  11. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットは、該ウェブサイトをホストするサーバについてのデータのセットを含む、請求項1に記載の方法。
  12. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットにアクセスすることは、該ウェブサイトに問い合わせることを含む、請求項11に記載の方法。
  13. ウェブサイトを詐欺である可能性があるウェブサイトとして分類する方法であって、前記データのセットは、該ウェブサイトを参照するユニフォームリソースロケータ(「URL」)についてのデータのセットを含む、請求項1に記載の方法。
  14. 電子メールメッセージを分類する方法であって、該方法は、
    コンピュータが、該電子メールメッセージを複数のコンポーネントに分割することと、
    該コンピュータが、該複数のコンポーネントの少なくとも1つを解析することと、
    該複数のコンポーネントの少なくとも1つの解析に基づいて、該複数のコンポーネントの少なくとも1つにスコアを割り当てることと、
    該複数のコンポーネントの少なくとも1つに割り当てられたスコアに基づいて、該電子メールメッセージを分類することと
    を包含する、方法。
  15. 電子メールメッセージを分類する方法であって、該方法は、
    前記コンピュータが、前記複数のコンポーネントの各々を解析することと、
    該複数のコンポーネントの各々に対して、該コンピュータが、該コンポーネントにスコ
    アを割り当て、該スコアは、該コンポーネントの解析に基づいている、ことと、
    該複数のコンポーネントの各々に割り当てられたスコアに基づいて、該電子メールメッ
    セージに複合スコアを割り当てることと
    をさらに含み、
    該電子メールメッセージを分類することは、該複合スコアに基づいて該電子メールメッセージを分類することを含む、請求項14に記載の方法。
  16. 電子メールメッセージを分類する方法であって、該電子メールメッセージは、ヘッダ部分、本体部分およびウェブサイトを参照するユニフォームリソースロケータ(「URL」)を含み、該方法は、
    該ヘッダ部分を解析することと、
    該ヘッダ部分にスコアを割り当てることと
    をさらに含む、請求項14に記載の方法。
  17. 電子メールメッセージを分類する方法であって、該方法は、
    該本体部分を解析することと、
    該本体部分にスコアを割り当てることと
    をさらに含む、請求項16に記載の方法。
  18. 電子メールメッセージを分類する方法であって、
    該本体部分を解析し、該本体部分にスコアを割り当てるステップは、該ヘッダ部分に割り当てられたスコアが特定の閾値スコアを超える場合にだけ実行される、請求項17に記載の方法。
  19. 電子メールメッセージを分類する方法であって、該方法は、
    前記URLを解析することと、
    該URLにスコアを割り当てることと
    をさらに含む、請求項17に記載の方法。
  20. 電子メールメッセージを分類する方法であって、
    該URLを解析し、該URLにスコアを割り当てるステップは、該本体部分に割り当てられたスコアが特定の閾値スコアを超える場合にだけ実行される、請求項19に記載の方法。
  21. 電子メールメッセージを分類する方法であって、
    前記URLを解析することは、該URLにより参照されたウェブサイトをホストするサーバに問い合わせることを含む、請求項19に記載の方法。
  22. 電子メールメッセージを分類する方法であって、該方法は、
    該ヘッダ部分および本体部分に組み合わせスコアを割り当てることであって、該組み合わせスコアは、該ヘッダ部分に割り当てられたスコアおよび該本体部分に割り当てられたスコアに基づいていること
    をさらに含み、
    該URLを解析し、該URLにスコアを割り当てるステップは、該本体部分に割り当てられた組み合わせスコアが特定の閾値スコアを超える場合にだけ実行される、請求項19に記載の方法。
  23. 電子メールメッセージを分類する方法であって、該方法は、
    該電子メールメッセージに複合スコアを割り当てることであって、該複合スコアは、該ヘッダ部分に割り当てられたスコア、該本体部分に割り当てられたスコアおよび該URLに割り当てられたスコアに基づいている、ことと、
    該複合スコアに基づいて該メッセージを分類することと
    をさらに含む、請求項19に記載の方法。
  24. 電子メールメッセージを分類する方法であって、該電子メールメッセージを分類することが、フィシング詐欺に係る電子メールメッセージを分類することを含む、請求項14に記載の方法。
  25. 電子メールメッセージを分類する方法であって、該電子メールメッセージを分類することが、不適切に商標を使用するものとして該電子メールメッセージを分類することを含む、請求項14に記載の方法。
  26. ウェブサイトを分類する方法であって、該方法は、
    コンピュータが該ウェブサイト上の複数のテストを実行することと、
    該コンピュータが該複数のテストの各々に基づいてスコアを割り当てることと、
    該コンピュータが該複数のテストの各々に対するスコアに基づいて該ウェブサイトに複合スコアを割り当てることと、
    該コンピュータが該複合スコアに基づいて該ウェブサイトを分類することと
    を含む、方法。
  27. ウェブサイトを分類する方法であって、前記複数のテストの少なくとも1つが、該ウェブサイトを参照するユニフォームリソースロケータに関する、請求項26に記載の方法。
  28. ウェブサイトを分類する方法であって、前記複数のテストの少なくとも1つが、該ウェブサイトの内容に関する、請求項26に記載の方法。
  29. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    該ウェブサイトと関連するドメインに対するWHOIS情報のセットを解析することを含む、請求項26に記載の方法。
  30. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    該ウェブサイトについての情報に対する反不正使用情報のソースを検索することを含む、請求項26に記載の方法。
  31. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    該ウェブサイトをホストするサーバの地理的な位置を決定することを含む、請求項26に記載の方法。
  32. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    該ウェブサイトをホストするサーバが安全なプロトコルを実装するかどうかを評価することを含む、請求項26に記載の方法。
  33. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    該ウェブサイトをホストするサーバに関するアクティブなポートのセットを検証することを含む、請求項26に記載の方法。
  34. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    該ウェブサイトからのウェブページをダウンロードすることを含む、請求項26に記載の方法。
  35. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    ウェブページがオンライン形態を実施するかどうかを決定するために該ウェブページを解析することを含む、請求項34に記載の方法。
  36. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    ユーザからの個人情報を要求するかどうかを決定するために前記オンライン形態を解析することを含む、請求項35に記載の方法。
  37. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    スペリングまたは文法におけるエラーについて該ウェブサイトを解析することを含む、請求項34に記載の方法。
  38. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    該ウェブサイト上のユニフォームリソースロケータ(「URL」)を識別することと、
    該識別されたURLが該ウェブサイトに外在するリソースを参照するかどうかを決定するために、該識別されたURLを解析することと
    を含む、請求項34に記載の方法。
  39. ウェブサイトを分類する方法であって、該ウェブサイトに外在するリソースが、合法的なウェブサイトによりホストされる画像および合法的なウェブサイトによりホストされるウェブページからなるグループから選ばれたリソースを含む、請求項38に記載の方法。
  40. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    ウェブページの表現を生成することを含む、請求項34に記載の方法。
  41. ウェブサイトを分類する方法であって、複数のテストを実行することが、
    ウェブページの記憶された表現と該ウェブページの表現とを比較することを含む、請求項40に記載の方法。
  42. ウェブサイトを分類する方法であって、該ウェブサイトの表現が、該ウェブページから計算されたハッシュ値を含む、請求項40に記載の方法。
  43. ウェブサイトを分類する方法であって、該ウェブサイトの表現が、該ウェブページから計算されたチェックサムを含む、請求項40に記載の方法。
  44. 非合法である可能性があるドメインとしてドメインを分類する方法であって、該方法は、
    コンピュータが該ドメインと関連するドメインレジストレーション記録にアクセスすることと、
    該ドメインに関する複数のテストを実行することと、
    複数のテストの各々のために、複数のスコアが該ドメインに割り当てられるように、該ドメインにスコアを割り当てることと、
    該ドメインに対して複合スコアを割り当てることであって、該複合スコアは、該複数のスコアに基づいている、ことと、
    該複合スコアに基づいて、該ドメインを非合法である可能性があるドメインとして分類することと
    を含む、方法。
  45. 非合法である可能性があるドメインとしてドメインを分類する方法であって、複数のテストを実行することが、該ドメインと関連するウェブサイトをホストするサーバに関する少なくとも1つのテストを実行することを含む、請求項44に記載の方法。
  46. 非合法である可能性があるドメインとしてドメインを分類する方法であって、複数のテストを実行することが、
    該ドメインと関連するウェブサイトを識別することと、
    該ウェブサイトと関連するインターネットプロトコル(「IP」)アドレスを識別することと、
    該ドメインに割り当てられたIPブロックを識別することと、
    該IPアドレスと該ドメインに割り当てられたIPブロックとを比較することと
    を包含する、請求項44に記載の方法。
  47. 非合法である可能性があるドメインとしてドメインを分類する方法であって、
    該ドメインに関する複数のテストを実行することが、該ドメインの所有者を評価することを含む、請求項44に記載の方法。
  48. 非合法である可能性があるドメインとしてドメインを分類する方法であって、
    該ドメインに関する複数のテストを実行することが、該ドメインの所有者と該ドメイン名と同じ商標の所有者とを比較することとを含む、請求項47に記載の方法。
  49. 非合法である可能性があるドメインとしてドメインを分類する方法であって、
    該ドメインに関する複数のテストを実行することが、該ドメインと関連するWHOIS情報のセットを評価することを含む、請求項44に記載の方法。
  50. 非合法である可能性があるドメインとしてドメインを分類する方法であって、
    該ドメインに関する複数のテストを実行することが、該ドメインと関連するドメイン名システム(「DNS」)情報のセットを評価することを含む、請求項44に記載の方法。
  51. 非合法である可能性があるドメインとしてドメインを分類する方法であって、
    該ドメインに関する複数のテストを実行することが、該ドメインと関連するウェブサイトを解析することを含む、請求項44に記載の方法。
  52. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、該方法は、
    ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を識別することと、
    (a)該コンピュータが該URLにより参照されたウェブサイトが起動中であることを検証することと、
    (b)該コンピュータが該URLにより参照されたドメインについての情報を解析することと、
    (c)該コンピュータが該URLのフォーマットを解析することと、
    (a)、(b)および(c)の各々の結果に基づいて、詐欺である可能性があるウェブサイトとして該URLにより参照されたウェブサイトを分類することと
    を含む、方法。
  53. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、
    該URLにより参照されたドメインについての情報を解析することが、
    該ドメインについてのドメイン名システム(「DNS」)情報のセットを評価することと、
    DNS情報のセットを解析することと
    を含む、請求項52に記載の方法。
  54. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、
    該URLにより参照されたドメインについての情報を解析することが、
    該ドメインについてのWHOIS情報のセットを評価することと、
    該WHOIS情報のセットを解析することと
    を含む、請求項52に記載の方法。
  55. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、前記URLは、ディレクトリパスを含み、該URLのフォーマットを解析することは、該ディレクトリパスを評価することを含む、請求項52に記載の方法。
  56. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、
    該URLのフォーマットを解析することが、該URLのコード化フォーマットを評価することを含む、請求項52に記載の方法。
  57. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、該方法は、
    該URLにより参照されたウェブサイトをホストするサーバの地理的位置を決定することをさらに含む、請求項52に記載の方法。
  58. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、
    詐欺である可能性があるウェブサイトとして該URLにより参照されたウェブサイトを分類することが、
    (a)の結果に基づいて該URLに第一のスコアを割り当てることと、
    (b)の結果に基づいて該URLに第二のスコアを割り当てることと、
    (c)の結果に基づいて該URLに第三のスコアを割り当てることと、
    該第一のスコア、該第二のスコアおよび該第三のスコアに基づいて該URLに複合スコアを割り当てること、
    該複合スコアに基づいて該URLにより参照されたウェブサイトを分類することと
    を含む、請求項52に記載の方法。
  59. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、該ウェブサイトは、ウェブページを含み、該方法は、
    コンピュータが該ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を解析することと、
    コンピュータが該ウェブサイトをホストするサーバを解析することと、
    該ウェブページを解析することと、
    該ウェブサイトを参照するURLの解析、該ウェブサイトをホストするサーバの解析および該ウェブページの解析に基づいて、該ウェブサイトを詐欺である可能性があるドメインとして分類することと
    を含む、方法。
  60. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、
    該ウェブサイトを参照するURLを解析することが、
    該URLにより参照されたウェブサイトが起動中であることを検証することと、
    該URLにより参照されたドメインについての情報を解析することと、
    該URLのフォーマットを解析することと
    を含む、請求項59に記載の方法。
  61. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、
    該ウェブサイトをホストするサーバを分析することが、
    該ウェブサイトと関連するドメインに対するWHOIS情報のセットを解析することと、
    該ウェブサイトをホストするサーバの地理的位置を決定することと、
    該ウェブサイトをホストするサーバが安全なプロトコルを実装するかどうかを評価することと、
    該ウェブサイトをホストするサーバ上の起動中のポートのセットを検証することと
    のうちの少なくとも1つを含む、請求項59に記載の方法。
  62. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、
    該ウェブページを解析することが該ウェブページをダウンロードすることを含む、請求項59に記載の方法。
  63. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類する方法であって、
    該ウェブページを解析することが、
    該ウェブページがオンライン形態を実施するかどうかを決定するために該ウェブページを解析することと、
    該オンライン形態がユーザからの個人情報を要求するかどうかを決定するために、該ウェブページに組み込まれたオンライン形態を解析することと、
    スペリングまたは文法のエラーについて該ウェブページを解析することと、
    前記識別されたURLが該ウェブサイトに外在するリソースを参照するかどうかを決定するために、該ウェブページに組み込まれたユニフォームリソースロケータ(「URL」)を解析することと、
    該ウェブページの表現とウェブページの記憶された表現とを比較することと
    のうちの少なくとも1つをさらに含む、請求項62に記載の方法。
  64. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類するコンピュータシステムであって、該コンピュータシステムは、プロセッサと、以下:
    該ウェブサイトと関連するデータのセットにアクセスすることと、
    該データのセットを複数のコンポーネントに分割することと、
    該複数のコンポーネントの少なくとも幾つかを解析することと、
    該解析されたコンポーネントの各々にスコアを割り当てることであって、該スコアは、複数のスコアが割り当てられるように、該解析されたコンポーネントの各々の解析に基づいている、ことと、
    該データのセットに複合スコアを割り当てることであって、該複合スコアが該複数のスコアに基づいている、ことと、
    該複合スコアに基づいて、該ウェブサイトを詐欺である可能性があるウェブサイトとして分類することと
    を該プロセッサによって実行可能な命令とを含む、コンピュータシステム。
  65. 電子メールメッセージを分類するためのコンピュータシステムであって、該コンピュータシステムは、プロセッサと、以下:
    該電子メールメッセージを複数のコンポーネントに分割することと、
    該複数のコンポーネントの少なくとも1つを解析することと、
    該複数のコンポーネントの少なくとも1つの解析に基づいて、スコアを該複数のコンポーネントの少なくとも1つに割り当てることと、
    該複数のコンポーネントの少なくとも1つに割り当てられたスコアに基づいて該電子メールメッセージを分類することと
    を該プロセッサによって実行可能な命令とを含む、コンピュータシステム。
  66. ウェブサイトを分類するためのコンピュータシステムであって、該コンピュータシステムは、プロセッサと、以下:
    該ウェブサイトに関する複数のテストを実行することと、
    該複数のテストの各々にスコアを割り当てることと、
    複数のテストの各々に対するスコアに基づいて、該ウェブサイトに複合スコアを割り当てることと、
    該複合スコアに基づいて該ウェブサイトを分類することと
    を該プロセッサによって実行可能な命令とを含む、コンピュータシステム。
  67. 非合法である可能性があるドメインとしてドメインを分類するコンピュータシステムであって、該コンピュータシステムは、プロセッサと、以下:
    ドメインレジストレーションにアクセスすることと、
    該ドメインに関する複数のテストを実行することと、
    該複数のテストのために、該ドメインに複数のスコアが割り当てられるように、該ドメインにスコアを割り当てることと、
    該ドメインに複合スコアを割り当てることであって、該複合スコアが複数のスコアに基づいている、ことと、
    該複合スコアに基づいて、該ドメインを非合法である可能性があるドメインとして分類することと
    を該プロセッサによって実行可能な命令とを含む、コンピュータシステム。
  68. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類するコンピュータシステムであって、該コンピュータシステムは、プロセッサと、以下:
    ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を識別することと、
    (a)該URLにより参照されたウェブサイトが起動中であることを検証することと、
    (b)該URLにより参照されたドメインについての情報を解析することと、
    (c)該URLのフォーマットを解析することと、
    (a)、(b)および(c)の各々の結果に基づいて、詐欺である可能性があるウェブサイトとして該URLにより参照されたウェブサイトを分類することと
    を該プロセッサによって実行可能な命令とを含む、コンピュータシステム。
  69. 詐欺である可能性があるウェブサイトとしてウェブサイトを分類するコンピュータシステムであって、該ウェブサイトは、ウェブページを含み、該コンピュータシステムは、プロセッサと、以下:
    該ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を解析することと、
    該ウェブサイトをホストするサーバを解析することと、
    該ウェブページを解析することと、
    該ウェブサイトを参照するURLの解析、該ウェブサイトをホストするサーバの解析および該ウェブページの解析に基づいて、該ウェブサイトを詐欺である可能性があるウェブサイトとして分類することと
    を該プロセッサによって実行可能な命令とを含む、コンピュータシステム。
  70. コンピュータ可読媒体上に組み込まれたソフトウェアプログラムであって、該ソフトウェアプログラムが、以下:
    ウェブサイトと関連するデータのセットにアクセスすることと、
    該データのセットを複数のコンポーネントに分割することと、
    該複数のコンポーネントの少なくとも幾つかを解析することと、
    該解析されたコンポーネントの各々にスコアを割り当てることであって、該スコアは、複数のスコアが割り当てられるように、該解析されたコンポーネントの各々の解析に基づいている、ことと、
    該データのセットに複合スコアを割り当て、該複合スコアが該複数のスコアに基づく、ことと、
    該複合スコアに基づいて、該ウェブサイトを詐欺である可能性があるウェブサイトとして分類することと
    を1つ以上のコンピュータによって実行可能な命令とを含む、ソフトウェアプログラム。
  71. コンピュータ可読媒体上に組み込まれたソフトウェアプログラムであって、該ソフトウェアプログラムが、以下:
    電子メールメッセージを複数のコンポーネントに分割することと、
    該複数のコンポーネントの少なくとも1つを解析することと、
    該複数のコンポーネントの少なくとも1つの解析に基づいて、該複数のコンポーネントの少なくとも1つにスコアを割り当てることと、
    該複数のコンポーネントの少なくとも1つに割り当てられたスコアに基づいて、該電子メールメッセージを分類することと
    を1つ以上のコンピュータによって実行可能な命令とを含む、ソフトウェアプログラム。
  72. コンピュータ可読媒体上に組み込まれたソフトウェアプログラムであって、該ソフトウェアプログラムが、以下:
    該ウェブサイトに関する複数のテストを実行することと、
    複数のテストの各々にスコアを割り当てることと、
    該複数のテストの各々に対するスコアに基づいて該ウェブサイトに複合スコアを割り当てることと、
    該複合スコアに基づいて該ウェブサイトを分類することと
    を1つ以上のコンピュータによって実行可能な命令とを含む、ソフトウェアプログラム。
  73. コンピュータ可読媒体上に組み込まれたソフトウェアプログラムであって、該ソフトウェアプログラムが、以下:
    ドメインレジストレーションにアクセスすることと、
    該ドメインレジストレーションと関連するドメインに関する複数のテストを実行することと、
    複数のテストの各々のために、複数のスコアが該ドメインに割り当てられるように、該ドメインにスコアを割り当てることと、
    該ドメインに対して複合スコアを割り当てることであって、該複合スコアは、該複数のスコアに基づいている、ことと、
    該複合スコアに基づいて、該ドメインを非合法である可能性があるドメインとして分類することと
    を1つ以上のコンピュータによって実行可能な命令とを含む、ソフトウェアプログラム。
  74. コンピュータ可読媒体上に組み込まれたソフトウェアプログラムであって、該ソフトウェアプログラムが、以下:
    ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を識別することと、
    (a)該URLにより参照されたウェブサイトが起動中であることを検証することと、
    (b)該URLにより参照されたドメインについての情報を解析することと、
    (c)該URLのフォーマットを解析することと、
    (a)、(b)および(c)の各々の結果に基づいて、詐欺である可能性があるウェブサイトとして該URLにより参照されたウェブサイトを分類することと
    を1つ以上のコンピュータによって実行可能な命令とを含む、ソフトウェアプログラム。
  75. コンピュータ可読媒体上組み込まれたソフトウェアプログラムであって、該ソフトウェアプログラムが、以下:
    ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を解析することであって、該ウェブサイトは、ウェブページを含む、ことと、
    該ウェブサイトをホストするサーバを解析することと、
    該ウェブページを解析することと、
    該ウェブサイトを参照するURLの解析、該ウェブサイトをホストするサーバの解析および該ウェブページの解析に基づいて、該ウェブサイトを詐欺である可能性があるウェブサイトとして分類すること
    を1つ以上のコンピュータによって実行可能な命令とを含む、ソフトウェアプログラム。
  76. ウェブサイトと関連するデータのセットにアクセスするための手段と、
    該データのセットを複数のコンポーネントに分割するための手段と、
    該複数のコンポーネントのうちの少なくとも幾つかを解析するための手段と、
    該解析されたコンポーネントの各々にスコアを割り当てる手段であって、複数のスコアが割り当てられるように、該スコアが該解析されたコンポーネントの各々の解析に基づいている、手段と、
    該データのセットに複合スコアを割り当てる手段であって、該複合スコアが該複数のスコアに基づいている、手段と、
    該複合スコアに基づいて、該ウェブサイトを詐欺である可能性があるウェブサイトとして分類するための手段と
    を含む、システム。
  77. 電子メールメッセージを複数のコンポーネントに分割するための手段と、
    該複数のコンポーネントの少なくとも1つを解析するための手段と、
    該複数のコンポーネントの少なくとも1つの解析に基づいて、該複数のコンポーネントの少なくとも1つにスコアを割り当てるための手段と、
    該複数のコンポーネントの少なくとも1つに割り当てられたスコアに基づいて、該電子メールメッセージを分類するための手段と
    を含む、システム。
  78. 該ウェブサイトに関する複数のテストを実行するための手段と、
    該複数のテストの各々にスコアを割り当てるための手段と、
    該複数のテストの各々に対するスコアに基づいて該ウェブサイトに複合スコアを割り当てるための手段と、
    該複合スコアに基づいて該ウェブサイトを分類するための手段と
    を含む、システム。
  79. ドメインレジストレーションにアクセスするための手段と、
    該ドメインレジストレーションと関連するドメインに関する複数のテストを実行するための手段と、
    該複数のテストの各々のために、複数のスコアが該ドメインに割り当てられるように、該ドメインにスコアを割り当てるための手段と、
    該ドメインに対して複合スコアを割り当てる手段であって、該複合スコアが該複数のスコアに基づいている、手段と、
    該複合スコアに基づいて、該ドメインを非合法である可能性があるドメインとして分類するための手段と
    を含む、システム。
  80. ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を識別するための手段と、
    (a)該URLにより参照されたウェブサイトが起動中であることを検証するための手段と、
    (b)該URLにより参照されたドメインについての情報を解析するための手段、
    (c)該URLのフォーマットを解析するための手段と、
    (a)、(b)および(c)の各々の結果に基づいて、詐欺である可能性があるウェブサイトとして該URLにより参照されたウェブサイトを分類するための手段と
    を含む、システム。
  81. ウェブサイトを参照するユニフォームリソースロケータ(「URL」)を解析するための手段であって、該ウェブサイトは、ウェブページを含む、手段と、
    該ウェブサイトをホストするサーバを解析するための手段と、
    該ウェブページを解析するための手段と、
    該ウェブサイトを参照するURLの解析、該ウェブサイトをホストするサーバの解析および該ウェブページの解析に基づいて、該ウェブサイトを詐欺である可能性があるウェブサイトとして分類するための手段と
    を含む、システム。
JP2007543525A 2004-11-23 2005-11-23 オンライン詐欺の可能性に関連するデータを解析するための方法およびシステム Withdrawn JP2008521149A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/997,626 US7457823B2 (en) 2004-05-02 2004-11-23 Methods and systems for analyzing data related to possible online fraud
PCT/US2005/042753 WO2006058217A2 (en) 2004-11-23 2005-11-23 Methods and systems for analyzing data related to possible online fraud

Publications (1)

Publication Number Publication Date
JP2008521149A true JP2008521149A (ja) 2008-06-19

Family

ID=36498558

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007543525A Withdrawn JP2008521149A (ja) 2004-11-23 2005-11-23 オンライン詐欺の可能性に関連するデータを解析するための方法およびシステム

Country Status (5)

Country Link
US (3) US7457823B2 (ja)
EP (1) EP1825398A2 (ja)
JP (1) JP2008521149A (ja)
CA (1) CA2588138A1 (ja)
WO (1) WO2006058217A2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010092236A (ja) * 2008-10-07 2010-04-22 Kddi Corp 情報処理装置、プログラム、および記録媒体
JP2012524937A (ja) * 2009-04-21 2012-10-18 ウェブルート ソフトウェア インク. インターネット資源に関するリスクプロファイルを開発するシステムおよび方法
JP5728628B1 (ja) * 2012-04-10 2015-06-03 グーグル・インコーポレーテッド 製品フィード類似性を使用したスパム商人の発見
JP2017228264A (ja) * 2016-06-24 2017-12-28 エーオー カスペルスキー ラボAO Kaspersky Lab 安全なオンライン認証のためのシステム及び方法
WO2020085531A1 (ko) * 2018-10-24 2020-04-30 주식회사 빅스터 블록체인용 정보 판단 서버, 블록체인용 정보 판단 방법 및 블록체인용 정보 판단 프로그램이 기록된 기록매체

Families Citing this family (320)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7268700B1 (en) 1998-01-27 2007-09-11 Hoffberg Steven M Mobile communication device
US7540021B2 (en) * 2000-04-24 2009-05-26 Justin Page System and methods for an identity theft protection bot
US7331062B2 (en) 2002-08-30 2008-02-12 Symantec Corporation Method, computer software, and system for providing end to end security protection of an online transaction
US7832011B2 (en) * 2002-08-30 2010-11-09 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US9384348B2 (en) * 2004-04-29 2016-07-05 James A. Roskind Identity theft countermeasures
US7457823B2 (en) 2004-05-02 2008-11-25 Markmonitor Inc. Methods and systems for analyzing data related to possible online fraud
US8769671B2 (en) 2004-05-02 2014-07-01 Markmonitor Inc. Online fraud solution
US7870608B2 (en) 2004-05-02 2011-01-11 Markmonitor, Inc. Early detection and monitoring of online fraud
US7913302B2 (en) 2004-05-02 2011-03-22 Markmonitor, Inc. Advanced responses to online fraud
US9203648B2 (en) 2004-05-02 2015-12-01 Thomson Reuters Global Resources Online fraud solution
US8041769B2 (en) 2004-05-02 2011-10-18 Markmonitor Inc. Generating phish messages
US7272728B2 (en) 2004-06-14 2007-09-18 Iovation, Inc. Network security and fraud detection system and method
US8412837B1 (en) 2004-07-08 2013-04-02 James A. Roskind Data privacy
EP1779216A1 (en) * 2004-08-20 2007-05-02 Rhoderick John Kennedy Pugh Server authentication
US7590589B2 (en) 2004-09-10 2009-09-15 Hoffberg Steven M Game theoretic prioritization scheme for mobile ad hoc networks permitting hierarchal deference
US20080028443A1 (en) * 2004-10-29 2008-01-31 The Go Daddy Group, Inc. Domain name related reputation and secure certificates
US20080028100A1 (en) * 2004-10-29 2008-01-31 The Go Daddy Group, Inc. Tracking domain name related reputation
US20060095404A1 (en) * 2004-10-29 2006-05-04 The Go Daddy Group, Inc Presenting search engine results based on domain name related reputation
US20060200487A1 (en) * 2004-10-29 2006-09-07 The Go Daddy Group, Inc. Domain name related reputation and secure certificates
US9015263B2 (en) 2004-10-29 2015-04-21 Go Daddy Operating Company, LLC Domain name searching with reputation rating
US20080022013A1 (en) * 2004-10-29 2008-01-24 The Go Daddy Group, Inc. Publishing domain name related reputation in whois records
US8904040B2 (en) * 2004-10-29 2014-12-02 Go Daddy Operating Company, LLC Digital identity validation
US7970858B2 (en) * 2004-10-29 2011-06-28 The Go Daddy Group, Inc. Presenting search engine results based on domain name related reputation
US8117339B2 (en) * 2004-10-29 2012-02-14 Go Daddy Operating Company, LLC Tracking domain name related reputation
US20060095459A1 (en) * 2004-10-29 2006-05-04 Warren Adelman Publishing domain name related reputation in whois records
US7797413B2 (en) * 2004-10-29 2010-09-14 The Go Daddy Group, Inc. Digital identity registration
US9275052B2 (en) 2005-01-19 2016-03-01 Amazon Technologies, Inc. Providing annotations of a digital work
US20060174119A1 (en) * 2005-02-03 2006-08-03 Xin Xu Authenticating destinations of sensitive data in web browsing
JP2006221242A (ja) * 2005-02-08 2006-08-24 Fujitsu Ltd 認証情報詐取防止システム、プログラム及び方法
US7698442B1 (en) * 2005-03-03 2010-04-13 Voltage Security, Inc. Server-based universal resource locator verification service
US8135778B1 (en) * 2005-04-27 2012-03-13 Symantec Corporation Method and apparatus for certifying mass emailings
US8650214B1 (en) * 2005-05-03 2014-02-11 Symantec Corporation Dynamic frame buster injection
US8079087B1 (en) * 2005-05-03 2011-12-13 Voltage Security, Inc. Universal resource locator verification service with cross-branding detection
US7854007B2 (en) * 2005-05-05 2010-12-14 Ironport Systems, Inc. Identifying threats in electronic messages
US8819049B1 (en) 2005-06-01 2014-08-26 Symantec Corporation Frame injection blocking
US7945952B1 (en) * 2005-06-30 2011-05-17 Google Inc. Methods and apparatuses for presenting challenges to tell humans and computers apart
US7822818B2 (en) * 2005-07-01 2010-10-26 Symantec Corporation Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by using automated IM users
US7823200B2 (en) * 2005-07-01 2010-10-26 Symantec Corporation Methods and systems for detecting and preventing the spread of malware on instant messaging (IM) networks by analyzing message traffic patterns
US9015090B2 (en) 2005-09-06 2015-04-21 Daniel Chien Evaluating a questionable network communication
US9674145B2 (en) 2005-09-06 2017-06-06 Daniel Chien Evaluating a questionable network communication
US9912677B2 (en) 2005-09-06 2018-03-06 Daniel Chien Evaluating a questionable network communication
WO2007030764A2 (en) * 2005-09-06 2007-03-15 Daniel Chien Identifying a network address source for authentication
US8621604B2 (en) * 2005-09-06 2013-12-31 Daniel Chien Evaluating a questionable network communication
US20070067278A1 (en) * 2005-09-22 2007-03-22 Gtess Corporation Data file correlation system and method
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US7831915B2 (en) * 2005-11-10 2010-11-09 Microsoft Corporation Dynamically protecting against web resources associated with undesirable activities
US8353029B2 (en) * 2005-11-10 2013-01-08 Microsoft Corporation On demand protection against web resources associated with undesirable activities
US20070129999A1 (en) * 2005-11-18 2007-06-07 Jie Zhou Fraud detection in web-based advertising
US20070118607A1 (en) * 2005-11-22 2007-05-24 Niko Nelissen Method and System for forensic investigation of internet resources
KR100723867B1 (ko) * 2005-11-23 2007-05-31 한국전자통신연구원 피싱웹페이지 차단 장치 및 방법
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8839418B2 (en) * 2006-01-18 2014-09-16 Microsoft Corporation Finding phishing sites
JP4779678B2 (ja) * 2006-02-02 2011-09-28 株式会社日立製作所 コンテキスト情報管理システム
US8640231B2 (en) * 2006-02-23 2014-01-28 Microsoft Corporation Client side attack resistant phishing detection
US20070208730A1 (en) * 2006-03-02 2007-09-06 Microsoft Corporation Mining web search user behavior to enhance web search relevance
US8214899B2 (en) * 2006-03-15 2012-07-03 Daniel Chien Identifying unauthorized access to a network resource
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US7604541B2 (en) * 2006-03-31 2009-10-20 Information Extraction Transport, Inc. System and method for detecting collusion in online gaming via conditional behavior
US7849507B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for filtering server responses
US20080082662A1 (en) * 2006-05-19 2008-04-03 Richard Dandliker Method and apparatus for controlling access to network resources based on reputation
US20080201464A1 (en) * 2006-06-20 2008-08-21 Campbell Steven R Prevention of fraud in computer network
US8245304B1 (en) * 2006-06-26 2012-08-14 Trend Micro Incorporated Autonomous system-based phishing and pharming detection
US20080005108A1 (en) * 2006-06-28 2008-01-03 Microsoft Corporation Message mining to enhance ranking of documents for retrieval
US8020206B2 (en) 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
US8615800B2 (en) * 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US8095967B2 (en) 2006-07-27 2012-01-10 White Sky, Inc. Secure web site authentication using web site characteristics, secure user credentials and private browser
US20080084972A1 (en) * 2006-09-27 2008-04-10 Michael Robert Burke Verifying that a message was authored by a user by utilizing a user profile generated for the user
US9672533B1 (en) 2006-09-29 2017-06-06 Amazon Technologies, Inc. Acquisition of an item based on a catalog presentation of items
US8725565B1 (en) 2006-09-29 2014-05-13 Amazon Technologies, Inc. Expedited acquisition of a digital item following a sample presentation of the item
US8578481B2 (en) * 2006-10-16 2013-11-05 Red Hat, Inc. Method and system for determining a probability of entry of a counterfeit domain in a browser
US20080103798A1 (en) * 2006-10-25 2008-05-01 Domenikos Steven D Identity Protection
US8359278B2 (en) * 2006-10-25 2013-01-22 IndentityTruth, Inc. Identity protection
US20080103800A1 (en) * 2006-10-25 2008-05-01 Domenikos Steven D Identity Protection
US20080104672A1 (en) * 2006-10-25 2008-05-01 Iovation, Inc. Detecting and preventing man-in-the-middle phishing attacks
US8751815B2 (en) * 2006-10-25 2014-06-10 Iovation Inc. Creating and verifying globally unique device-specific identifiers
US7962756B2 (en) * 2006-10-31 2011-06-14 At&T Intellectual Property Ii, L.P. Method and apparatus for providing automatic generation of webpages
US8745151B2 (en) * 2006-11-09 2014-06-03 Red Hat, Inc. Web page protection against phishing
US9654495B2 (en) * 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
US20080162449A1 (en) * 2006-12-28 2008-07-03 Chen Chao-Yu Dynamic page similarity measurement
US8131611B2 (en) * 2006-12-28 2012-03-06 International Business Machines Corporation Statistics based method for neutralizing financial impact of click fraud
US7865817B2 (en) 2006-12-29 2011-01-04 Amazon Technologies, Inc. Invariant referencing in digital works
US20080168453A1 (en) * 2007-01-09 2008-07-10 Caterpillar Inc. Work prioritization system and method
GB2458094A (en) * 2007-01-09 2009-09-09 Surfcontrol On Demand Ltd URL interception and categorization in firewalls
EP2122504B1 (en) * 2007-01-18 2014-10-01 Roke Manor Research Limited A method of extracting sections of a data stream
US8484742B2 (en) * 2007-01-19 2013-07-09 Microsoft Corporation Rendered image collection of potentially malicious web pages
US7693833B2 (en) * 2007-02-01 2010-04-06 John Nagle System and method for improving integrity of internet search
CN101622849B (zh) 2007-02-02 2014-06-11 网圣公司 添加上下文以防止经由计算机网络的数据泄漏的系统和方法
US7904958B2 (en) * 2007-02-27 2011-03-08 Symantec Corporation Spam honeypot domain identification
US9665529B1 (en) 2007-03-29 2017-05-30 Amazon Technologies, Inc. Relative progress and event indicators
US7756987B2 (en) 2007-04-04 2010-07-13 Microsoft Corporation Cybersquatter patrol
US20090248623A1 (en) * 2007-05-09 2009-10-01 The Go Daddy Group, Inc. Accessing digital identity related reputation data
US7827128B1 (en) 2007-05-11 2010-11-02 Aol Advertising Inc. System identification, estimation, and prediction of advertising-related data
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US20080287100A1 (en) * 2007-05-18 2008-11-20 Aol Llc Mobile account access through a data processing system
US8341210B1 (en) 2007-05-21 2012-12-25 Amazon Technologies, Inc. Delivery of items for consumption by a user device
US9430577B2 (en) * 2007-05-31 2016-08-30 Microsoft Technology Licensing, Llc Search ranger system and double-funnel model for search spam analyses and browser protection
US7873635B2 (en) * 2007-05-31 2011-01-18 Microsoft Corporation Search ranger system and double-funnel model for search spam analyses and browser protection
US8667117B2 (en) * 2007-05-31 2014-03-04 Microsoft Corporation Search ranger system and double-funnel model for search spam analyses and browser protection
US8150979B1 (en) * 2007-06-04 2012-04-03 Google Inc. Supporting multiple landing pages
JP5008466B2 (ja) * 2007-06-13 2012-08-22 株式会社日本総合研究所 ウエブサイト誘導システム及びウエブサイト誘導方法
US7870609B2 (en) * 2007-06-29 2011-01-11 Microsoft Corporation Detection and removal of undesirable items in a data processing environment
US20090024735A1 (en) * 2007-07-20 2009-01-22 Peddemors Michael G Method and system of controlling communications delivery to a user
US8086622B2 (en) * 2007-08-29 2011-12-27 Enpulz, Llc Search engine using world map with whois database search restrictions
US9363231B2 (en) * 2007-09-13 2016-06-07 Caterpillar Inc. System and method for monitoring network communications originating in monitored jurisdictions
US8566589B1 (en) * 2007-09-27 2013-10-22 Symantec Corporation Method and apparatus for identifying a web server
US8290982B2 (en) * 2007-09-27 2012-10-16 Yahoo! Inc. Methods for managing content for brand related media
US20090089859A1 (en) * 2007-09-28 2009-04-02 Cook Debra L Method and apparatus for detecting phishing attempts solicited by electronic mail
US20080065406A1 (en) * 2007-11-28 2008-03-13 The Go Daddy Group, Inc. Designating membership in an online business community
US20080071901A1 (en) * 2007-11-28 2008-03-20 The Go Daddy Group, Inc. Online business community
US20080065405A1 (en) * 2007-11-28 2008-03-13 The Go Daddy Group, Inc. Sub-communities within an online business community
US8695100B1 (en) 2007-12-31 2014-04-08 Bitdefender IPR Management Ltd. Systems and methods for electronic fraud prevention
US20100325229A1 (en) * 2008-02-08 2010-12-23 Verbal World, Inc. Methods and Apparatus for Exchange of Electronic Communications
US20110225244A1 (en) * 2008-02-13 2011-09-15 Barracuda Networks Inc. Tracing domains to authoritative servers associated with spam
US7860755B2 (en) * 2008-02-19 2010-12-28 The Go Daddy Group, Inc. Rating e-commerce transactions
US7653577B2 (en) * 2008-02-19 2010-01-26 The Go Daddy Group, Inc. Validating e-commerce transactions
US9015842B2 (en) 2008-03-19 2015-04-21 Websense, Inc. Method and system for protection against information stealing software
US9130986B2 (en) 2008-03-19 2015-09-08 Websense, Inc. Method and system for protection against information stealing software
US8806622B2 (en) 2008-04-21 2014-08-12 Sentrybay Limited Fraudulent page detection
US9123027B2 (en) * 2010-10-19 2015-09-01 QinetiQ North America, Inc. Social engineering protection appliance
US8813050B2 (en) 2008-06-03 2014-08-19 Isight Partners, Inc. Electronic crime detection and tracking
US8856937B1 (en) * 2008-06-27 2014-10-07 Symantec Corporation Methods and systems for identifying fraudulent websites
AU2009267107A1 (en) 2008-06-30 2010-01-07 Websense, Inc. System and method for dynamic and real-time categorization of webpages
CN101626368A (zh) * 2008-07-11 2010-01-13 中联绿盟信息技术(北京)有限公司 一种防止网页被篡改的设备、方法和系统
US8346967B2 (en) * 2008-08-08 2013-01-01 International Business Machines Corporation Management of redirection
US8756664B2 (en) * 2008-08-08 2014-06-17 International Business Machines Corporation Management of user authentication
US8352442B2 (en) * 2008-08-08 2013-01-08 International Business Machines Corporation Determination of an updated data source from disparate data sources
US8122129B2 (en) * 2008-09-09 2012-02-21 Actiance, Inc. Hash-based resource matching
US20100064353A1 (en) * 2008-09-09 2010-03-11 Facetime Communications, Inc. User Mapping Mechanisms
US8484338B2 (en) * 2008-10-02 2013-07-09 Actiance, Inc. Application detection architecture and techniques
US20100088338A1 (en) * 2008-10-03 2010-04-08 Pavoni Jr Donald Gordon Red flag identification verification system and method
US9449195B2 (en) 2009-01-23 2016-09-20 Avow Networks Incorporated Method and apparatus to perform online credential reporting
US9087032B1 (en) 2009-01-26 2015-07-21 Amazon Technologies, Inc. Aggregation of highlights
US9955352B2 (en) 2009-02-17 2018-04-24 Lookout, Inc. Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such
US20100235908A1 (en) * 2009-03-13 2010-09-16 Silver Tail Systems System and Method for Detection of a Change in Behavior in the Use of a Website Through Vector Analysis
US20100235909A1 (en) * 2009-03-13 2010-09-16 Silver Tail Systems System and Method for Detection of a Change in Behavior in the Use of a Website Through Vector Velocity Analysis
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US20100293090A1 (en) * 2009-05-14 2010-11-18 Domenikos Steven D Systems, methods, and apparatus for determining fraud probability scores and identity health scores
US8443447B1 (en) * 2009-08-06 2013-05-14 Trend Micro Incorporated Apparatus and method for detecting malware-infected electronic mail
US8692763B1 (en) 2009-09-28 2014-04-08 John T. Kim Last screen rendering for electronic book reader
US9172712B2 (en) * 2009-10-07 2015-10-27 At&T Intellectual Property I, L.P. Method and system for improving website security
US8321551B2 (en) 2010-02-02 2012-11-27 Symantec Corporation Using aggregated DNS information originating from multiple sources to detect anomalous DNS name resolutions
US8676684B2 (en) 2010-04-12 2014-03-18 Iovation Inc. System and method for evaluating risk in fraud prevention
US8086684B2 (en) * 2010-04-20 2011-12-27 The Go Daddy Group, Inc. Detecting and mitigating undeliverable email
US9098333B1 (en) 2010-05-07 2015-08-04 Ziften Technologies, Inc. Monitoring computer process resource usage
US9002700B2 (en) 2010-05-13 2015-04-07 Grammarly, Inc. Systems and methods for advanced grammar checking
US8826444B1 (en) * 2010-07-09 2014-09-02 Symantec Corporation Systems and methods for using client reputation data to classify web domains
US8407341B2 (en) 2010-07-09 2013-03-26 Bank Of America Corporation Monitoring communications
US8832049B2 (en) 2010-07-09 2014-09-09 Bank Of America Corporation Monitoring communications
US8484740B2 (en) * 2010-09-08 2013-07-09 At&T Intellectual Property I, L.P. Prioritizing malicious website detection
US9495322B1 (en) 2010-09-21 2016-11-15 Amazon Technologies, Inc. Cover display
US8966446B1 (en) * 2010-09-29 2015-02-24 A9.Com, Inc. Systems and methods of live experimentation on content provided by a web site
WO2012054646A2 (en) 2010-10-19 2012-04-26 The 41St Parameter, Inc. Variable risk engine
US9379912B2 (en) * 2010-12-08 2016-06-28 At&T Intellectual Property I, L.P. Mitigating email SPAM attacks
US9558677B2 (en) 2011-04-08 2017-01-31 Wombat Security Technologies, Inc. Mock attack cybersecurity training system and methods
US9373267B2 (en) 2011-04-08 2016-06-21 Wombat Security Technologies, Inc. Method and system for controlling context-aware cybersecurity training
US10749887B2 (en) 2011-04-08 2020-08-18 Proofpoint, Inc. Assessing security risks of users in a computing network
US9824609B2 (en) 2011-04-08 2017-11-21 Wombat Security Technologies, Inc. Mock attack cybersecurity training system and methods
WO2012139127A1 (en) * 2011-04-08 2012-10-11 Wombat Security Technologies, Inc. Context-aware training systems, apparatuses, and methods
US8561185B1 (en) * 2011-05-17 2013-10-15 Google Inc. Personally identifiable information detection
US8726379B1 (en) 2011-07-15 2014-05-13 Norse Corporation Systems and methods for dynamic protection from electronic attacks
KR101328389B1 (ko) 2011-09-30 2013-11-13 고려대학교 산학협력단 메신저 피싱을 탐지하는 장치 및 방법
TWI462523B (zh) * 2011-10-18 2014-11-21 Inst Information Industry 偵測釣魚網站方法以及其網路裝置以及電腦可讀取記錄媒體
US9158741B1 (en) 2011-10-28 2015-10-13 Amazon Technologies, Inc. Indicators for navigating digital works
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US8813239B2 (en) * 2012-01-17 2014-08-19 Bitdefender IPR Management Ltd. Online fraud detection dynamic scoring aggregation systems and methods
US9473437B1 (en) 2012-02-13 2016-10-18 ZapFraud, Inc. Tertiary classification of communications
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US8615439B2 (en) 2012-04-16 2013-12-24 Wal-Mart Stores, Inc. Processing online transactions
US9407443B2 (en) 2012-06-05 2016-08-02 Lookout, Inc. Component analysis of software applications on computing devices
US9589129B2 (en) 2012-06-05 2017-03-07 Lookout, Inc. Determining source of side-loaded software
US9241009B1 (en) * 2012-06-07 2016-01-19 Proofpoint, Inc. Malicious message detection and processing
US9065855B2 (en) * 2012-06-29 2015-06-23 Verisign, Inc. Systems and methods for automatically providing Whois service to top level domains
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
BR112015002319A2 (pt) * 2012-09-10 2017-07-04 Hewlett Packard Development Co processo e dispositivo de rede
CN102957694B (zh) * 2012-10-25 2016-08-31 北京奇虎科技有限公司 一种判断钓鱼网站的方法及装置
US8655307B1 (en) 2012-10-26 2014-02-18 Lookout, Inc. System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US9241259B2 (en) 2012-11-30 2016-01-19 Websense, Inc. Method and apparatus for managing the transfer of sensitive information to mobile devices
US9208215B2 (en) 2012-12-27 2015-12-08 Lookout, Inc. User classification based on data gathered from a computing device
US9374369B2 (en) 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US9191402B2 (en) 2013-01-25 2015-11-17 Opendns, Inc. Domain classification based on client request behavior
US9398038B2 (en) 2013-02-08 2016-07-19 PhishMe, Inc. Collaborative phishing attack detection
US9253207B2 (en) 2013-02-08 2016-02-02 PhishMe, Inc. Collaborative phishing attack detection
US9053326B2 (en) 2013-02-08 2015-06-09 PhishMe, Inc. Simulated phishing attack with sequential messages
US9356948B2 (en) 2013-02-08 2016-05-31 PhishMe, Inc. Collaborative phishing attack detection
US8966637B2 (en) 2013-02-08 2015-02-24 PhishMe, Inc. Performance benchmarking for simulated phishing attacks
US10360139B2 (en) * 2013-03-12 2019-07-23 Entit Software Llc Identifying transport-level encoded payloads
US20200311790A1 (en) * 2013-04-11 2020-10-01 Brandshield Ltd. System, Device, and Method of Protected Electronic Commerce and Electronic Financial Transactions
WO2014167516A1 (en) * 2013-04-11 2014-10-16 Brandshield Ltd. Device, system, and method of protecting brand names and domain names
US9307412B2 (en) 2013-04-24 2016-04-05 Lookout, Inc. Method and system for evaluating security for an interactive service operation by a mobile device
US9258289B2 (en) * 2013-04-29 2016-02-09 Arbor Networks Authentication of IP source addresses
US9521138B2 (en) 2013-06-14 2016-12-13 Go Daddy Operating Company, LLC System for domain control validation
US9178888B2 (en) 2013-06-14 2015-11-03 Go Daddy Operating Company, LLC Method for domain control validation
US9450840B2 (en) 2013-07-10 2016-09-20 Cisco Technology, Inc. Domain classification using domain co-occurrence information
US9141789B1 (en) 2013-07-16 2015-09-22 Go Daddy Operating Company, LLC Mitigating denial of service attacks
US10084791B2 (en) 2013-08-14 2018-09-25 Daniel Chien Evaluating a questionable network communication
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
JP6330277B2 (ja) * 2013-09-10 2018-05-30 日本電気株式会社 送信装置、送信方法、送信プログラム、及び、中継システム
US10277628B1 (en) 2013-09-16 2019-04-30 ZapFraud, Inc. Detecting phishing attempts
US20150142935A1 (en) 2013-10-21 2015-05-21 Nyansa, Inc. System and method for observing and controlling a programmable network via higher layer attributes
US9642008B2 (en) 2013-10-25 2017-05-02 Lookout, Inc. System and method for creating and assigning a policy for a mobile communications device based on personal data
US10694029B1 (en) 2013-11-07 2020-06-23 Rightquestion, Llc Validating automatic number identification data
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US9753796B2 (en) 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US10417380B1 (en) 2013-12-31 2019-09-17 Mckesson Corporation Systems and methods for determining and communicating a prescription benefit coverage denial to a prescriber
US9262629B2 (en) 2014-01-21 2016-02-16 PhishMe, Inc. Methods and systems for preventing malicious use of phishing simulation records
US10489552B2 (en) 2014-02-14 2019-11-26 Mckesson Corporation Systems and methods for determining and communicating patient incentive information to a prescriber
US9596264B2 (en) 2014-02-18 2017-03-14 Proofpoint, Inc. Targeted attack protection using predictive sandboxing
US9749344B2 (en) 2014-04-03 2017-08-29 Fireeye, Inc. System and method of cyber threat intensity determination and application to cyber threat mitigation
US9749343B2 (en) * 2014-04-03 2017-08-29 Fireeye, Inc. System and method of cyber threat structure mapping and application to cyber threat mitigation
PL408501A1 (pl) * 2014-06-10 2015-12-21 Eo Networks Spółka Akcyjna Sposób oceny jakości treści publikowanych danych cyfrowych, zwłaszcza pod kątem nadużyć popełnianych przez użytkowników internetu
WO2015196405A1 (en) 2014-06-26 2015-12-30 Google Inc. Optimized browser rendering process
JP6356273B2 (ja) 2014-06-26 2018-07-11 グーグル エルエルシー バッチ最適化レンダリング及びフェッチアーキテクチャ
EP3161662B1 (en) 2014-06-26 2024-01-31 Google LLC Optimized browser render process
US9565147B2 (en) 2014-06-30 2017-02-07 Go Daddy Operating Company, LLC System and methods for multiple email services having a common domain
US9398029B2 (en) 2014-08-01 2016-07-19 Wombat Security Technologies, Inc. Cybersecurity training system with automated application of branded content
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
US9832219B2 (en) 2014-09-05 2017-11-28 International Business Machines Corporation System for tracking data security threats and method for same
US10867003B2 (en) 2014-09-15 2020-12-15 Hubspot, Inc. Method of enhancing customer relationship management content and workflow
EP3195140B1 (en) * 2014-09-15 2020-11-04 Proofpoint, Inc. Malicious message detection and processing
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
WO2016068904A1 (en) * 2014-10-29 2016-05-06 Hewlett Packard Enterprise Development Lp Detection of potential grey market activities
US11023117B2 (en) * 2015-01-07 2021-06-01 Byron Burpulis System and method for monitoring variations in a target web page
USD814494S1 (en) 2015-03-02 2018-04-03 Norse Networks, Inc. Computer display panel with an icon image of a live electronic threat intelligence visualization interface
US9906539B2 (en) 2015-04-10 2018-02-27 PhishMe, Inc. Suspicious message processing and incident response
USD810775S1 (en) 2015-04-21 2018-02-20 Norse Networks, Inc. Computer display panel with a graphical live electronic threat intelligence visualization interface
CN106209488B (zh) * 2015-04-28 2021-01-29 北京瀚思安信科技有限公司 用于检测网站攻击的方法和设备
US9892261B2 (en) 2015-04-28 2018-02-13 Fireeye, Inc. Computer imposed countermeasures driven by malware lineage
EP3289510B1 (en) 2015-05-01 2020-06-17 Lookout Inc. Determining source of side-loaded software
US9979748B2 (en) 2015-05-27 2018-05-22 Cisco Technology, Inc. Domain classification and routing using lexical and semantic processing
US9553885B2 (en) 2015-06-08 2017-01-24 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
US10382484B2 (en) 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
US9923914B2 (en) * 2015-06-30 2018-03-20 Norse Networks, Inc. Systems and platforms for intelligently monitoring risky network activities
US9740858B1 (en) * 2015-07-14 2017-08-22 Trend Micro Incorporated System and method for identifying forged emails
US10425447B2 (en) * 2015-08-28 2019-09-24 International Business Machines Corporation Incident response bus for data security incidents
US10212175B2 (en) * 2015-11-30 2019-02-19 International Business Machines Corporation Attracting and analyzing spam postings
US10721195B2 (en) 2016-01-26 2020-07-21 ZapFraud, Inc. Detection of business email compromise
WO2017139709A1 (en) * 2016-02-12 2017-08-17 Shape Security, Inc. Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer
US11514137B1 (en) 2016-03-30 2022-11-29 Mckesson Corporation Alternative therapy identification system
US10230609B2 (en) 2016-04-18 2019-03-12 Nyansa, Inc. System and method for using real-time packet data to detect and manage network issues
CN107357790B (zh) * 2016-05-09 2021-06-04 阿里巴巴集团控股有限公司 一种异常消息检测方法、装置及系统
US10165393B2 (en) * 2016-05-27 2018-12-25 Bank Of America Corporation System for monitoring resource utilization and resource optimization
US10440053B2 (en) 2016-05-31 2019-10-08 Lookout, Inc. Methods and systems for detecting and preventing network connection compromise
US11392579B2 (en) 2016-06-22 2022-07-19 UKCI Holdings Limited Domain name registry database
US10805263B2 (en) * 2016-06-22 2020-10-13 UKCI Holdings Limited Domain name registry database
US10171497B2 (en) * 2016-07-11 2019-01-01 Bitdefender IPR Management Ltd. Systems and methods for detecting online fraud
US10244109B2 (en) * 2016-07-13 2019-03-26 International Business Machines Corporation Detection of a spear-phishing phone call
US11044269B2 (en) * 2016-08-15 2021-06-22 RiskIQ, Inc. Techniques for determining threat intelligence for network infrastructure analysis
US20180075233A1 (en) * 2016-09-13 2018-03-15 Veracode, Inc. Systems and methods for agent-based detection of hacking attempts
US10805270B2 (en) 2016-09-26 2020-10-13 Agari Data, Inc. Mitigating communication risk by verifying a sender of a message
US10805314B2 (en) 2017-05-19 2020-10-13 Agari Data, Inc. Using message context to evaluate security of requested data
US10880322B1 (en) 2016-09-26 2020-12-29 Agari Data, Inc. Automated tracking of interaction with a resource of a message
US11936604B2 (en) 2016-09-26 2024-03-19 Agari Data, Inc. Multi-level security analysis and intermediate delivery of an electronic message
US10419475B2 (en) * 2016-10-03 2019-09-17 Telepathy Labs, Inc. System and method for social engineering identification and alerting
US10855714B2 (en) 2016-10-31 2020-12-01 KnowBe4, Inc. Systems and methods for an artificial intelligence driven agent
US20180137203A1 (en) 2016-11-09 2018-05-17 HubSpot Inc. Methods and systems for a content development and management platform
US10542006B2 (en) 2016-11-22 2020-01-21 Daniel Chien Network security based on redirection of questionable network access
US10382436B2 (en) 2016-11-22 2019-08-13 Daniel Chien Network security based on device identifiers and network addresses
US11044267B2 (en) 2016-11-30 2021-06-22 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US11722513B2 (en) 2016-11-30 2023-08-08 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US10715543B2 (en) 2016-11-30 2020-07-14 Agari Data, Inc. Detecting computer security risk based on previously observed communications
US10931623B2 (en) 2017-01-30 2021-02-23 Hubspot, Inc. Introducing a new message source into an electronic message delivery environment
US10999224B1 (en) 2017-02-01 2021-05-04 Mckesson Corporation Method and apparatus for parsing an electronic message and constructing multiple differently prioritized messages therefrom
US10474836B1 (en) 2017-04-26 2019-11-12 Wells Fargo Bank, N.A. Systems and methods for a generated fraud sandbox
US11019076B1 (en) 2017-04-26 2021-05-25 Agari Data, Inc. Message security assessment using sender identity profiles
US10699295B1 (en) 2017-05-05 2020-06-30 Wells Fargo Bank, N.A. Fraudulent content detector using augmented reality platforms
WO2018209254A1 (en) 2017-05-11 2018-11-15 Hubspot, Inc. Methods and systems for automated generation of personalized messages
WO2018212815A1 (en) * 2017-05-17 2018-11-22 Google Llc Automatic image sharing with designated users over a communication network
US10672048B2 (en) * 2017-06-07 2020-06-02 The Penn State Research Foundation System and method for determining the legitimacy of online pharmacies
US11102244B1 (en) 2017-06-07 2021-08-24 Agari Data, Inc. Automated intelligence gathering
US11757914B1 (en) 2017-06-07 2023-09-12 Agari Data, Inc. Automated responsive message to determine a security risk of a message sender
US10218697B2 (en) 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
US10412032B2 (en) 2017-07-06 2019-09-10 Facebook, Inc. Techniques for scam detection and prevention
US10795996B2 (en) 2017-07-17 2020-10-06 AO Kaspersky Lab System and method of machine learning of malware detection model
US10333974B2 (en) * 2017-08-03 2019-06-25 Bank Of America Corporation Automated processing of suspicious emails submitted for review
US10601866B2 (en) 2017-08-23 2020-03-24 International Business Machines Corporation Discovering website phishing attacks
US11494721B1 (en) * 2017-08-28 2022-11-08 Thomas Lah Artificial intelligence system for electronically monitoring and analyzing data transmitted through multiple electronic channels to suggest actions for increasing the effectiveness of data transmitted through the channels
US10666494B2 (en) 2017-11-10 2020-05-26 Nyansa, Inc. System and method for network incident remediation recommendations
JP2021504861A (ja) * 2017-11-28 2021-02-15 ブランドシールド リミテッド 保護された電子商取引および電子金融取引のシステム、デバイス、および方法
US11200581B2 (en) 2018-05-10 2021-12-14 Hubspot, Inc. Multi-client service system platform
GB2575052B (en) * 2018-06-26 2023-04-26 Wandera Ltd Phishing detection
US11075930B1 (en) * 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US10805342B2 (en) 2018-07-12 2020-10-13 Bank Of America Corporation System for automated malfeasance remediation
US10333976B1 (en) 2018-07-23 2019-06-25 Illusive Networks Ltd. Open source intelligence deceptions
US10404747B1 (en) 2018-07-24 2019-09-03 Illusive Networks Ltd. Detecting malicious activity by using endemic network hosts as decoys
US10862832B1 (en) 2018-07-24 2020-12-08 Mckesson Corporation Computing system and method for automatically reversing an action indicated by an electronic message
US10382483B1 (en) 2018-08-02 2019-08-13 Illusive Networks Ltd. User-customized deceptions and their deployment in networks
US10333977B1 (en) 2018-08-23 2019-06-25 Illusive Networks Ltd. Deceiving an attacker who is harvesting credentials
US10432665B1 (en) 2018-09-03 2019-10-01 Illusive Networks Ltd. Creating, managing and deploying deceptions on mobile devices
US10673894B2 (en) 2018-09-26 2020-06-02 KnowBe4, Inc. System and methods for spoofed domain identification and user training
US11089048B2 (en) * 2018-09-27 2021-08-10 Microsoft Technology Licensing, Llc Identifying spammer profiles
US11188622B2 (en) 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
EP3637739B1 (en) * 2018-10-12 2023-12-06 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Method for validating ownership of a domain name, coordinating agent and validation agent
CN109510815B (zh) * 2018-10-19 2022-01-25 杭州安恒信息技术股份有限公司 一种基于有监督学习的多级钓鱼网站检测方法及检测系统
US11164206B2 (en) * 2018-11-16 2021-11-02 Comenity Llc Automatically aggregating, evaluating, and providing a contextually relevant offer
US10826912B2 (en) 2018-12-14 2020-11-03 Daniel Chien Timestamp-based authentication
US10848489B2 (en) 2018-12-14 2020-11-24 Daniel Chien Timestamp-based authentication with redirection
US11449775B2 (en) 2018-12-27 2022-09-20 Hubspot, Inc. Multi-client service system platform
US10990762B2 (en) * 2019-03-21 2021-04-27 Verizon Patent And Licensing Inc. Chat analysis using machine learning
US11562437B1 (en) 2019-06-26 2023-01-24 Mckesson Corporation Method, apparatus, and computer program product for providing estimated prescription costs
US11636548B1 (en) 2019-06-26 2023-04-25 Mckesson Corporation Method, apparatus, and computer program product for providing estimated prescription costs
US11257088B2 (en) 2019-09-30 2022-02-22 Microsoft Technology Licensing, Llc Knowledge neighbourhoods for evaluating business events
US11677754B2 (en) 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
US11610240B1 (en) 2020-02-17 2023-03-21 Mckesson Corporation Method, apparatus, and computer program product for partitioning prescription transaction costs in an electronic prescription transaction
CN113468589A (zh) * 2020-03-30 2021-10-01 微软技术许可有限责任公司 检测数据收集正当性
US11847106B2 (en) 2020-05-12 2023-12-19 Hubspot, Inc. Multi-service business platform system having entity resolution systems and methods
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
US11438145B2 (en) 2020-05-31 2022-09-06 Daniel Chien Shared key generation based on dual clocks
US11587657B2 (en) 2020-09-04 2023-02-21 Mckesson Corporation Method, apparatus, and computer program product for performing an alternative evaluation procedure in response to an electronic message
US11050698B1 (en) * 2020-09-18 2021-06-29 Area 1 Security, Inc. Message processing system with business email compromise detection
US11436372B1 (en) * 2020-10-23 2022-09-06 NortonLifeLock Inc. Systems and methods for protecting user privacy
US20220198394A1 (en) * 2020-12-23 2022-06-23 Capital One Services, Llc Secured data workflow integration and methods thereof
US11882152B2 (en) 2021-07-30 2024-01-23 Bank Of America Corporation Information security system and method for phishing website identification based on image hashing
NL2031256B1 (en) 2022-02-14 2023-08-18 Group Ib Global Private Ltd Method and computing device for detection of target malicious web resource
US11750371B1 (en) 2023-04-14 2023-09-05 Morgan Stanley Services Group Inc. Web domain correlation hashing method

Family Cites Families (175)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6366933B1 (en) 1995-10-27 2002-04-02 At&T Corp. Method and apparatus for tracking and viewing changes on the web
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US5930479A (en) 1996-10-21 1999-07-27 At&T Corp Communications addressing system
US6167520A (en) 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US5978842A (en) 1997-01-14 1999-11-02 Netmind Technologies, Inc. Distributed-client change-detection tool with change-detection augmented by multiple clients
US5898836A (en) * 1997-01-14 1999-04-27 Netmind Services, Inc. Change-detection tool indicating degree and location of change of internet documents by comparison of cyclic-redundancy-check(CRC) signatures
US6119103A (en) 1997-05-27 2000-09-12 Visa International Service Association Financial risk prediction systems and methods therefor
US6516416B2 (en) 1997-06-11 2003-02-04 Prism Resources Subscription access system for use with an untrusted network
US6266664B1 (en) 1997-10-01 2001-07-24 Rulespace, Inc. Method for scanning, analyzing and rating digital information content
US6032260A (en) 1997-11-13 2000-02-29 Ncr Corporation Method for issuing a new authenticated electronic ticket based on an expired authenticated ticket and distributed server architecture for using same
US6052709A (en) * 1997-12-23 2000-04-18 Bright Light Technologies, Inc. Apparatus and method for controlling delivery of unsolicited electronic mail
US5999932A (en) * 1998-01-13 1999-12-07 Bright Light Technologies, Inc. System and method for filtering unsolicited electronic mail messages using data matching and heuristic processing
US6055508A (en) 1998-06-05 2000-04-25 Yeda Research And Development Co. Ltd. Method for secure accounting and auditing on a communications network
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6654787B1 (en) 1998-12-31 2003-11-25 Brightmail, Incorporated Method and apparatus for filtering e-mail
US8037168B2 (en) 1999-07-15 2011-10-11 Esdr Network Solutions Llc Method, product, and apparatus for enhancing resolution services, registration services, and search services
US6077277A (en) 1999-04-05 2000-06-20 Starion Instruments, Inc. Suture welding device
US7685311B2 (en) * 1999-05-03 2010-03-23 Digital Envoy, Inc. Geo-intelligent traffic reporter
US20060224752A1 (en) * 1999-05-03 2006-10-05 Parekh Sanjay M Determining geographic locations of private network Internet users
US6757740B1 (en) * 1999-05-03 2004-06-29 Digital Envoy, Inc. Systems and methods for determining collecting and using geographic locations of internet users
US6421768B1 (en) 1999-05-04 2002-07-16 First Data Corporation Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
JP3764016B2 (ja) 1999-05-10 2006-04-05 財団法人流通システム開発センタ− 統合ip転送網
US7747592B2 (en) * 1999-09-07 2010-06-29 Thomas C Douglass Method and system for monitoring domain name registrations
US7249175B1 (en) 1999-11-23 2007-07-24 Escom Corporation Method and system for blocking e-mail having a nonexistent sender address
CN100511329C (zh) 2000-01-21 2009-07-08 索尼公司 数据处理设备和数据处理方法
US6606659B1 (en) * 2000-01-28 2003-08-12 Websense, Inc. System and method for controlling access to internet sites
WO2001069384A2 (en) 2000-03-14 2001-09-20 Buzzpad, Inc. Method and apparatus for forming linked multi-user groups of shared software applications
WO2001071460A2 (en) 2000-03-20 2001-09-27 Comodo Technology Development Limited Web site authentication using a digital hallmark
US7263506B2 (en) 2000-04-06 2007-08-28 Fair Isaac Corporation Identification and management of fraudulent credit/debit card purchases at merchant ecommerce sites
AU2001253176A1 (en) 2000-04-06 2001-10-23 Predictive Systems, Inc. Method and system for website content integrity
US7540021B2 (en) * 2000-04-24 2009-05-26 Justin Page System and methods for an identity theft protection bot
US7152047B1 (en) 2000-05-24 2006-12-19 Esecure.Biz, Inc. System and method for production and authentication of original documents
US20080306835A1 (en) 2000-06-15 2008-12-11 American Express Travel Related Services Company, Inc. System and method for customizing an email message
US7076463B1 (en) 2000-07-28 2006-07-11 International Business Machines Corporation System and method for providing decentralized E-commerce
US6745248B1 (en) * 2000-08-02 2004-06-01 Register.Com, Inc. Method and apparatus for analyzing domain name registrations
US6842773B1 (en) 2000-08-24 2005-01-11 Yahoo ! Inc. Processing of textual electronic communication distributed in bulk
US7149778B1 (en) 2000-08-24 2006-12-12 Yahoo! Inc. Unsolicited electronic mail reduction
US6772334B1 (en) 2000-08-31 2004-08-03 Networks Associates, Inc. System and method for preventing a spoofed denial of service attack in a networked computing environment
US6650890B1 (en) 2000-09-29 2003-11-18 Postini, Inc. Value-added electronic messaging services and transparent implementation thereof using intermediate server
US7233942B2 (en) 2000-10-10 2007-06-19 Truelocal Inc. Method and apparatus for providing geographically authenticated electronic documents
US7499889B2 (en) * 2000-10-23 2009-03-03 Cyota Inc. Transaction system
GB0027280D0 (en) 2000-11-08 2000-12-27 Malcolm Peter An information management system
US7627897B2 (en) * 2001-01-03 2009-12-01 Portauthority Technologies Inc. Method and apparatus for a reactive defense against illegal distribution of multimedia content in file sharing networks
US7849207B2 (en) 2001-01-18 2010-12-07 Yahoo! Inc. Method and system for managing digital content, including streaming media
US7092992B1 (en) 2001-02-01 2006-08-15 Mailshell.Com, Inc. Web page filtering including substitution of user-entered email address
US6732278B2 (en) 2001-02-12 2004-05-04 Baird, Iii Leemon C. Apparatus and method for authenticating access to a network resource
US20020124172A1 (en) * 2001-03-05 2002-09-05 Brian Manahan Method and apparatus for signing and validating web pages
US7089592B2 (en) 2001-03-15 2006-08-08 Brighterion, Inc. Systems and methods for dynamic detection and prevention of electronic fraud
US6993588B2 (en) * 2001-03-26 2006-01-31 Sumisho Computer Systems Corporation System and methods for securely permitting mobile code to access resources over a network
US7114177B2 (en) * 2001-03-28 2006-09-26 Geotrust, Inc. Web site identity assurance
US7028040B1 (en) 2001-05-17 2006-04-11 Microsoft Corporation Method and system for incrementally maintaining digital content using events
US20030056116A1 (en) * 2001-05-18 2003-03-20 Bunker Nelson Waldo Reporter
US7076801B2 (en) 2001-06-11 2006-07-11 Research Triangle Institute Intrusion tolerant server system
US20050015447A1 (en) 2001-07-10 2005-01-20 Michael Kocheisen System and method for providing enhanced service activation for auxiliary services
US7231659B2 (en) 2001-07-31 2007-06-12 Verisign, Inc. Entity authentication in a shared hosting computer network environment
US7486958B2 (en) * 2001-09-05 2009-02-03 Networks In Motion, Inc. System and method for maintaining an online point-of-interest directory
US20030050964A1 (en) 2001-09-07 2003-03-13 Philippe Debaty Method and system for context manager proxy
US20030097409A1 (en) 2001-10-05 2003-05-22 Hungchou Tsai Systems and methods for securing computers
JP2003146437A (ja) 2001-11-07 2003-05-21 Hitachi Ltd 流通管理方法及びシステム
US7142651B2 (en) 2001-11-29 2006-11-28 Ectel Ltd. Fraud detection in a distributed telecommunications networks
US20030105973A1 (en) 2001-12-04 2003-06-05 Trend Micro Incorporated Virus epidemic outbreak command system and method using early warning monitors in a network environment
US7155608B1 (en) 2001-12-05 2006-12-26 Bellsouth Intellectual Property Corp. Foreign network SPAM blocker
US7096500B2 (en) 2001-12-21 2006-08-22 Mcafee, Inc. Predictive malware scanning of internet data
US20030126119A1 (en) 2001-12-31 2003-07-03 Lin Chung Yu Method of searching a specific website by means of a numerical code combined from a plurality of specific phone numbers
US7843923B2 (en) * 2002-01-08 2010-11-30 Verizon Services Corp. Methods and apparatus for determining the port and/or physical location of an IP device and for using that information
US6990590B2 (en) 2002-01-10 2006-01-24 International Business Machines Corporation Strategic internet persona assumption
US8578480B2 (en) * 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US7191210B2 (en) 2002-05-01 2007-03-13 James Grossman Computer implemented system and method for registering websites and for displaying registration indicia in a search results list
US20030225850A1 (en) 2002-05-28 2003-12-04 Teague Alan H. Message processing based on address patterns
KR100460322B1 (ko) 2002-05-31 2004-12-08 (주) 시큐컴 스팸메일 방지 시스템 및 방법
US7310660B1 (en) 2002-06-25 2007-12-18 Engate Technology Corporation Method for removing unsolicited e-mail messages
US20040003248A1 (en) * 2002-06-26 2004-01-01 Microsoft Corporation Protection of web pages using digital signatures
US20040143670A1 (en) 2002-07-02 2004-07-22 Pratik Roychowdhury System, method and computer program product to avoid server overload by controlling HTTP denial of service (DOS) attacks
US7653746B2 (en) * 2002-08-02 2010-01-26 University Of Southern California Routable network subnet relocation systems and methods
GB2391964B (en) 2002-08-14 2006-05-03 Messagelabs Ltd Method of and system for scanning electronic documents which contain links to external objects
EP1535164B1 (en) 2002-08-26 2012-01-04 International Business Machines Corporation Determining threat level associated with network activity
US7832011B2 (en) * 2002-08-30 2010-11-09 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US7748039B2 (en) * 2002-08-30 2010-06-29 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US7509679B2 (en) * 2002-08-30 2009-03-24 Symantec Corporation Method, system and computer program product for security in a global computer network transaction
US7331062B2 (en) * 2002-08-30 2008-02-12 Symantec Corporation Method, computer software, and system for providing end to end security protection of an online transaction
US7249380B2 (en) * 2002-09-05 2007-07-24 Yinan Yang Method and apparatus for evaluating trust and transitivity of trust of online services
US7716351B1 (en) * 2002-09-09 2010-05-11 Engate Technology Corporation Unsolicited message diverting communications processor
US7363490B2 (en) 2002-09-12 2008-04-22 International Business Machines Corporation Method and system for selective email acceptance via encoded email identifiers
US7072944B2 (en) * 2002-10-07 2006-07-04 Ebay Inc. Method and apparatus for authenticating electronic mail
US8438238B2 (en) 2002-10-16 2013-05-07 Sap Ag Master data access
US20040078422A1 (en) 2002-10-17 2004-04-22 Toomey Christopher Newell Detecting and blocking spoofed Web login pages
US7343626B1 (en) 2002-11-12 2008-03-11 Microsoft Corporation Automated detection of cross site scripting vulnerabilities
US7360025B1 (en) 2002-12-13 2008-04-15 O'connell Conleth Method and system for automatic cache management
AU2003293501A1 (en) * 2002-12-13 2004-07-09 Wholesecurity, Inc. Method, system, and computer program product for security within a global computer network
US20040122939A1 (en) * 2002-12-19 2004-06-24 Russell Perkins Method of obtaining economic data based on web site visitor data
US20070128899A1 (en) * 2003-01-12 2007-06-07 Yaron Mayer System and method for improving the efficiency, comfort, and/or reliability in Operating Systems, such as for example Windows
US7461263B2 (en) 2003-01-23 2008-12-02 Unspam, Llc. Method and apparatus for a non-revealing do-not-contact list system
US20050149507A1 (en) 2003-02-05 2005-07-07 Nye Timothy G. Systems and methods for identifying an internet resource address
US7219148B2 (en) 2003-03-03 2007-05-15 Microsoft Corporation Feedback loop for spam prevention
US7802450B2 (en) 2003-03-14 2010-09-28 Central Glass Company, Limited Organic-inorganic hybrid glassy materials and their production processes
US20060168006A1 (en) * 2003-03-24 2006-07-27 Mr. Marvin Shannon System and method for the classification of electronic communication
US7320020B2 (en) 2003-04-17 2008-01-15 The Go Daddy Group, Inc. Mail server probability spam filter
GB2400931B (en) 2003-04-25 2006-09-27 Messagelabs Ltd A method of, and system for, replacing external links in electronic documents
US7272853B2 (en) * 2003-06-04 2007-09-18 Microsoft Corporation Origination/destination features and lists for spam prevention
US20060190718A1 (en) 2003-06-06 2006-08-24 Ravneet Singh Method and system of providing political campaign material
US7526730B1 (en) 2003-07-01 2009-04-28 Aol Llc Identifying URL target hostnames
US20050015626A1 (en) 2003-07-15 2005-01-20 Chasin C. Scott System and method for identifying and filtering junk e-mail messages or spam based on URL content
US7383306B2 (en) 2003-07-31 2008-06-03 Hewlett-Packard Development Company, L.P. System and method for selectively increasing message transaction costs
US7359947B2 (en) 2003-07-31 2008-04-15 International Business Machines Corporation Autonomic e-mail processing system and method
US7334254B1 (en) 2003-07-31 2008-02-19 Sprint Communications Company L.P. Business-to-business security integration
US20050027983A1 (en) 2003-08-01 2005-02-03 Klawon Kevin T. Integrated verification system
US20050060643A1 (en) * 2003-08-25 2005-03-17 Miavia, Inc. Document similarity detection and classification system
US7835294B2 (en) * 2003-09-03 2010-11-16 Gary Stephen Shuster Message filtering method
US7451487B2 (en) * 2003-09-08 2008-11-11 Sonicwall, Inc. Fraudulent message detection
AU2004272083B2 (en) * 2003-09-12 2009-11-26 Emc Corporation System and method for risk based authentication
WO2005029227A2 (en) * 2003-09-12 2005-03-31 Cyota Inc. System and method for authentication
US7457958B2 (en) * 2003-09-22 2008-11-25 Proofprint, Inc. System for detecting authentic e-mail messages
US7685296B2 (en) * 2003-09-25 2010-03-23 Microsoft Corporation Systems and methods for client-based web crawling
JP2005107840A (ja) 2003-09-30 2005-04-21 Toshiba Corp 電子機器
US7103874B2 (en) 2003-10-23 2006-09-05 Microsoft Corporation Model-based management of computer systems and distributed applications
US9076132B2 (en) 2003-11-07 2015-07-07 Emc Corporation System and method of addressing email and electronic communication fraud
WO2005048522A1 (en) * 2003-11-07 2005-05-26 Rsa Security Inc. System and method of addressing email and electronic communication fraud
WO2005048544A1 (en) 2003-11-17 2005-05-26 Hardt Dick C Method and system for pseudonymous email address
US7313691B2 (en) 2003-11-18 2007-12-25 International Business Machines Corporation Internet site authentication service
US8966579B2 (en) 2003-12-30 2015-02-24 Entrust, Inc. Method and apparatus for providing authentication between a sending unit and a recipient based on challenge usage data
US20050154601A1 (en) 2004-01-09 2005-07-14 Halpern Joshua I. Information security threat identification, analysis, and management
US20050188080A1 (en) 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user access for a server application
US20050198099A1 (en) 2004-02-24 2005-09-08 Covelight Systems, Inc. Methods, systems and computer program products for monitoring protocol responses for a server application
US20050188079A1 (en) 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring usage of a server application
US20050188221A1 (en) 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring a server application
US20050188222A1 (en) 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user login activity for a server application
US20050198160A1 (en) * 2004-03-03 2005-09-08 Marvin Shannon System and Method for Finding and Using Styles in Electronic Communications
US8918466B2 (en) * 2004-03-09 2014-12-23 Tonny Yu System for email processing and analysis
US7237010B2 (en) 2004-03-18 2007-06-26 International Business Machines Corporation Method, system and computer program product for generating and processing a disposable email address
US20050222900A1 (en) * 2004-03-30 2005-10-06 Prashant Fuloria Selectively delivering advertisements based at least in part on trademark issues
AU2004100268B9 (en) * 2004-04-09 2004-07-15 Lockstep Consulting Pty Ltd Means and method of using cryptographic devices to combat online institution identity theft
US20060020812A1 (en) 2004-04-27 2006-01-26 Shira Steinberg System and method of using human friendly representations of mathematical function results and transaction analysis to prevent fraud
US7870608B2 (en) * 2004-05-02 2011-01-11 Markmonitor, Inc. Early detection and monitoring of online fraud
US8769671B2 (en) * 2004-05-02 2014-07-01 Markmonitor Inc. Online fraud solution
US7457823B2 (en) 2004-05-02 2008-11-25 Markmonitor Inc. Methods and systems for analyzing data related to possible online fraud
US20070107053A1 (en) * 2004-05-02 2007-05-10 Markmonitor, Inc. Enhanced responses to online fraud
US7992204B2 (en) * 2004-05-02 2011-08-02 Markmonitor, Inc. Enhanced responses to online fraud
US20060041621A1 (en) 2004-05-21 2006-02-23 Yahoo! Inc. Method and system for providing a disposable email address
WO2005114886A2 (en) 2004-05-21 2005-12-01 Rsa Security Inc. System and method of fraud reduction
US7437558B2 (en) * 2004-06-01 2008-10-14 Cisco Technology, Inc. Method and system for verifying identification of an electronic mail message
US20050289148A1 (en) 2004-06-10 2005-12-29 Steven Dorner Method and apparatus for detecting suspicious, deceptive, and dangerous links in electronic messages
US7606821B2 (en) * 2004-06-30 2009-10-20 Ebay Inc. Method and system for preventing fraudulent activities
US8914309B2 (en) * 2004-08-20 2014-12-16 Ebay Inc. Method and system for tracking fraudulent activity
US20060047766A1 (en) * 2004-08-30 2006-03-02 Squareanswer, Inc. Controlling transmission of email
US8312085B2 (en) * 2004-09-16 2012-11-13 Red Hat, Inc. Self-tuning statistical method and system for blocking spam
US7543740B2 (en) 2004-09-17 2009-06-09 Digital Envoy, Inc. Fraud analyst smart cookie
US7497374B2 (en) * 2004-09-17 2009-03-03 Digital Envoy, Inc. Fraud risk advisor
US20060064374A1 (en) 2004-09-17 2006-03-23 David Helsper Fraud risk advisor
EP1637957A1 (en) 2004-09-21 2006-03-22 Deutsche Thomson-Brandt Gmbh Method and apparatus for accessing protected data
US20060070126A1 (en) 2004-09-26 2006-03-30 Amiram Grynberg A system and methods for blocking submission of online forms.
US20060080735A1 (en) * 2004-09-30 2006-04-13 Usa Revco, Llc Methods and systems for phishing detection and notification
US7461339B2 (en) * 2004-10-21 2008-12-02 Trend Micro, Inc. Controlling hostile electronic mail content
US8321269B2 (en) 2004-10-26 2012-11-27 Validclick, Inc Method for performing real-time click fraud detection, prevention and reporting for online advertising
US8117339B2 (en) 2004-10-29 2012-02-14 Go Daddy Operating Company, LLC Tracking domain name related reputation
US8683031B2 (en) 2004-10-29 2014-03-25 Trustwave Holdings, Inc. Methods and systems for scanning and monitoring content on a network
US20060168066A1 (en) * 2004-11-10 2006-07-27 David Helsper Email anti-phishing inspector
US8032594B2 (en) * 2004-11-10 2011-10-04 Digital Envoy, Inc. Email anti-phishing inspector
US20060123478A1 (en) * 2004-12-02 2006-06-08 Microsoft Corporation Phishing detection, prevention, and notification
US7634810B2 (en) * 2004-12-02 2009-12-15 Microsoft Corporation Phishing detection, prevention, and notification
US7580982B2 (en) * 2004-12-14 2009-08-25 The Go Daddy Group, Inc. Email filtering system and method
US7689652B2 (en) * 2005-01-07 2010-03-30 Microsoft Corporation Using IP address and domain for email spam filtering
ATE548841T1 (de) 2005-01-14 2012-03-15 Bae Systems Plc Netzwerkbasiertes sicherheitssystem
TW200629114A (en) 2005-02-04 2006-08-16 Farstone Tech Inc Network security system and method thereof
EP1866783B1 (en) * 2005-02-24 2020-11-18 EMC Corporation System and method for detecting and mitigating dns spoofing trojans
US7698442B1 (en) 2005-03-03 2010-04-13 Voltage Security, Inc. Server-based universal resource locator verification service
US7725930B2 (en) * 2005-03-30 2010-05-25 Microsoft Corporation Validating the origin of web content
US20060230279A1 (en) 2005-03-30 2006-10-12 Morris Robert P Methods, systems, and computer program products for establishing trusted access to a communication network
US7822620B2 (en) 2005-05-03 2010-10-26 Mcafee, Inc. Determining website reputations using automatic testing
US20060253584A1 (en) 2005-05-03 2006-11-09 Dixon Christopher J Reputation of an entity associated with a content item
JP2009507268A (ja) * 2005-07-01 2009-02-19 マークモニター インコーポレイテッド 改良された不正行為監視システム
US20070083670A1 (en) * 2005-10-11 2007-04-12 International Business Machines Corporation Method and system for protecting an internet user from fraudulent ip addresses on a dns server
US20070162349A1 (en) 2005-10-17 2007-07-12 Markmonitor Inc. Client Side Brand Protection
US20070255821A1 (en) 2006-05-01 2007-11-01 Li Ge Real-time click fraud detecting and blocking system

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010092236A (ja) * 2008-10-07 2010-04-22 Kddi Corp 情報処理装置、プログラム、および記録媒体
JP2012524937A (ja) * 2009-04-21 2012-10-18 ウェブルート ソフトウェア インク. インターネット資源に関するリスクプロファイルを開発するシステムおよび方法
JP5728628B1 (ja) * 2012-04-10 2015-06-03 グーグル・インコーポレーテッド 製品フィード類似性を使用したスパム商人の発見
JP2017228264A (ja) * 2016-06-24 2017-12-28 エーオー カスペルスキー ラボAO Kaspersky Lab 安全なオンライン認証のためのシステム及び方法
US10284543B2 (en) 2016-06-24 2019-05-07 AO Kaspersky Lab System and method for secure online authentication
WO2020085531A1 (ko) * 2018-10-24 2020-04-30 주식회사 빅스터 블록체인용 정보 판단 서버, 블록체인용 정보 판단 방법 및 블록체인용 정보 판단 프로그램이 기록된 기록매체

Also Published As

Publication number Publication date
US20060069697A1 (en) 2006-03-30
US7457823B2 (en) 2008-11-25
WO2006058217A2 (en) 2006-06-01
CA2588138A1 (en) 2006-06-01
US20150237061A1 (en) 2015-08-20
EP1825398A2 (en) 2007-08-29
US20090064330A1 (en) 2009-03-05
US9026507B2 (en) 2015-05-05
WO2006058217A3 (en) 2007-11-29
US9356947B2 (en) 2016-05-31

Similar Documents

Publication Publication Date Title
US10628797B2 (en) Online fraud solution
US9356947B2 (en) Methods and systems for analyzing data related to possible online fraud
US7870608B2 (en) Early detection and monitoring of online fraud
US7913302B2 (en) Advanced responses to online fraud
US7992204B2 (en) Enhanced responses to online fraud
US8041769B2 (en) Generating phish messages
US20070107053A1 (en) Enhanced responses to online fraud
US20070299915A1 (en) Customer-based detection of online fraud
US7493403B2 (en) Domain name ownership validation
US8769671B2 (en) Online fraud solution
Jakobsson et al. Designing ethical phishing experiments: a study of (ROT13) rOnl query features
US20070250919A1 (en) B2C Authentication System And Methods
US20080086638A1 (en) Browser reputation indicators with two-way authentication
US20070250916A1 (en) B2C Authentication
US20070028301A1 (en) Enhanced fraud monitoring systems
Kigerl An empirical assessment of the CAN SPAM Act

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20090203