JP5128848B2 - フィッシング検知方法及びシステム - Google Patents

フィッシング検知方法及びシステム Download PDF

Info

Publication number
JP5128848B2
JP5128848B2 JP2007136136A JP2007136136A JP5128848B2 JP 5128848 B2 JP5128848 B2 JP 5128848B2 JP 2007136136 A JP2007136136 A JP 2007136136A JP 2007136136 A JP2007136136 A JP 2007136136A JP 5128848 B2 JP5128848 B2 JP 5128848B2
Authority
JP
Japan
Prior art keywords
address
list
email
addresses
character
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007136136A
Other languages
English (en)
Other versions
JP2007323640A (ja
Inventor
プロックス デニーズ
ケミノット エリック
ゲリン ニコラス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xerox Corp
Original Assignee
Xerox Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xerox Corp filed Critical Xerox Corp
Publication of JP2007323640A publication Critical patent/JP2007323640A/ja
Application granted granted Critical
Publication of JP5128848B2 publication Critical patent/JP5128848B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、概略、フィッシングを狙った電子メッセージ例えば電子メールを検知する方法及びシステムに関する。本発明は、より具体的には、正規化技術及び比較技術を駆使してフィッシングメッセージ又はそれと疑わしい電子メッセージを検知し、その電子メッセージの受信者に通知するシステム及び方法に関する。
インターネットを使用した詐欺の一種であるフィッシングは、通常、その送信元が合法且つ正当な組織乃至機関、例えば銀行その他の金融機関であるかのように装って電子メール(email message)を大量送信することによって行われる。フィッシング詐欺には、例えば、そうした電子メールによって受信者を偽物のウェブサイト乃至フォームに誘導し、その受信者を騙して個人情報乃至金融情報を窃取する、という手口がある。また、そうした情報を直に要求したりはしないが、そのメール中のあるURL(Uniform Resource Locator:インターネット上の資源乃至文書に割り当てられておりウェブブラウザ上でこれを指定するとその資源乃至文書にアクセスできるアドレス)を入力乃至指定するとキーロガープログラムが受信者のマシンにダウンロードされるようにしておき、そのキーロガーによって受信者のマシンから情報を送信させ、この情報を獲得したフィッシング犯がその情報を用いて個人認証をパスし受信者等になりすます、という手口もある。
フィッシングにて多用されるアドレス詐称の手口としては、詐称したいアドレス中のある文字をその文字に対する類態文字(homographic character)、即ちその文字に外観がよく似た別の文字に置き換える、という手口がある。例えば、メール本文中には真正なメールアドレス「ZZZ@amazone.com」を記載しておき、その記載をそのアドレスとは別のよく似た外観のアドレス、例えば真正アドレス「ZZZ@amazone.com」中の文字「o」(オー)を文字「0」(ゼロ)に置き換えた偽アドレス「ZZZ@amaz0ne.com」に関連付けておく、という手口である。このように可能な限りアドレス外観を似せる手口の他、URLの場合には、そのURLをグラフィカルなウェブページに隠しておくという手口も使用できる。即ち、画面上に表示されるURLをそのURLとは異なるURLに関連付けておく手口である。例えば、真正なURL「http://www.amazone.com/profiles.asp」が記されている画像に、「プロフィール更新用リンクを辿って貴方のAmazoneプロフィールを更新して下さい」との指示を併記乃至付記しておき、更に、実際にその画像からのリンクを辿ると偽のURL「http://www.amaz0ne.com/profiles.asp」、即ち真正なURL「http://www.amazone.com/profiles.asp」中の文字「o」を文字「0」に置き換えた別のURLに係るサイトに行き着くようにする、といった具合である。
アドレス詐称の別の手口としては、アドレス中のASCII(American Standard Code for Informational Interchange)文字を、非ローマ字ベース言語で使用されるUnicodeによる類態文字に置き換える、という手口がある。その例としては先般生じたPaypal(登録商標;以下省略)ウェブサイトの事件がある。この事件においては、インターネットブラウザのアドレスバー上に偽URL「http://www.p&1072:ypal.com」をあたかもPaypalウェブサイトの正当且つ公式なURLであるかのように表示させていた。インターネットブラウザにはUnicode読取能力があるので、この偽URLをインターネットブラウザによりそのアドレスバー乃至アドレスフィールド上に表示させると「http://www.pаypal.com」になる。その外観は公式URL「http://www.paypal.com」とよく似ているが、表示される偽URL中の「pаy」の「а」はローマ字の「a」即ち英語の「a」ではなく、キリル文字即ち他言語の「а」である。
また、フィッシングには企業攻撃という側面もある。即ち、フィッシングが行われると狙われた企業の資源が浪費され流出する。それは、送信元企業を詐称したフィッシングメッセージの大量送信が何回も繰り返して行われるため、億万ものフィッシングメッセージがフィルタリングシステムを通過して電子メール配信をスローダウンさせ、貴重なサーバ処理時間を消費し、そして重要な金融データを漏出させる可能性があるからである。こうした問題に対する従来の対処策としては、送信者認証又は受信者認証を利用する手法が幾つか知られている。その中には、真正な送信元コンピュータアドレスのディレクトリを利用する策、ディジタル署名認証を行う策、個人画像を利用して送信者のアイデンティティを認証する策、個人識別カードを使用する策等がある。しかしながら、こうした対処策では、フィッシングメールを自動検知することも、また電子メール受信者に対するフィッシング攻撃を認識することもできない。
米国特許出願公開第2005/0144451号明細書 米国特許出願公開第2006/0015722号明細書 米国特許出願公開第2006/0031319号明細書 米国特許出願公開第2006/0053202号明細書 米国特許出願公開第2006/0059111号明細書 米国特許出願公開第2006/0075028号明細書 米国特許出願公開第2006/0080735号明細書
本発明は、上述した課題を解決し上掲の従来技術における問題点を克服することをその目的とする。
本発明の一実施形態は、フィッシングを狙った電子メールを受信時に検知する方法である。本方法においては、受信した電子メールからソースコード、表示テキスト、並びにそのソースコードに含まれる全メール記載アドレスのリストを取得し、各メール記載アドレスに視覚的な文字正規化処理を施して変形アドレス候補を網羅的に求め正規化アドレスリストを生成し、生成した正規化アドレスリストからメール記載アドレスを除外して変形アドレスのリストを生成し、それに基づき比較試験を実施することにより受信した電子メールが出所を偽っているか否かを判別し、出所を偽っていると判明した電子メールについてはその電子メールの受信者に対しその旨通知する。
本発明の他の実施形態は、電子メールサーバ及び複数台のパーソナルコンピュータを含むネットワーク接続環境にてフィッシングを狙った電子メールを受信時に検知するシステムである。本システムにおいては、電子メールを受信したらその電子メールからソースコード、表示テキスト、並びにそのソースコードに含まれる全メール記載アドレスのリストを取得し、各メール記載アドレスに視覚的な文字正規化処理を施して変形アドレス候補を網羅的に求めメール記載アドレスに関連した正規化アドレスリストを生成し、生成した正規化アドレスリストからメール記載アドレスを除外して変形アドレスのリストを生成し、それに基づき比較試験を実施することにより受信した電子メールの不正性を判別し、出所贋造ありと判明した電子メールについてはその電子メールの受信者に対しその旨通知する。
本発明の更に他の実施形態は、コンピュータ可読媒体又はそれに格納されるコンピュータ可読なプログラムコードである。そのプログラムコードをコンピュータにより実行すると、フィッシングを狙った電子メールを受信時に検知するための一連のステップが実行される。それらのステップにおいては、受信した電子メールからソースコード、表示テキスト、並びにそのソースコードに含まれる全メール記載アドレスのリストを取得し、各メール記載アドレスに視覚的な文字正規化処理を施して変形アドレス候補を網羅的に求め正規化アドレスリストを生成し、生成した正規化アドレスリストからメール記載アドレスを除外して変形アドレスのリストを生成し、それに基づき比較試験を実施することにより受信した電子メールが出所を偽っているか否かを判別し、出所を偽っていると判明した電子メールについてはその電子メールの受信者に対しその旨通知する。
以下、本発明の好適な実施形態に関し、それらを示す別紙図面を参照しつつ詳細に説明する。これから行う実施形態説明を参照することによって、本件技術分野における習熟者(いわゆる当業者)であれば、本発明を詳しく理解し実施することができよう。また、ご理解頂けるように、本発明の技術的範囲から逸脱することなく論理上、機構的及び電気的な変形を施すことや、本発明を別の形態で実施することも可能である。従って、これらか説明する実施形態を以て本発明を限定解釈してはならない。
本発明に係るフィッシング検知及び通知方法及びシステムは、新規なフィッシング目的メッセージ識別手法を提供するものである。本方法及びシステムにおいては、まず、全ての受信電子メールをスキャンし、各電子メールのソースコード中に現れるアドレスを全て洗い出す。次いで、単純なブラックリスト比較やベイジアンモデルを用いたフィッシング目的メッセージ検知ではなく、企業の正当公式アドレスに非常に似通ったアドレスを識別する類似度比較を実行する。真正なアドレスに似ているだけで完全に一致していないアドレスは、その電子メールの受信者を詐欺に遭わせる危険性が高いものであるので、そのような危険が判明したらその電子メールの受信者に対しその旨通知する。
電子メール網をサポートする能力があり且つ本発明に係るフィッシング検知方法及びシステムを組み込むことができるディジタル環境は数多くある。本方法及びシステムの実施にどのようなディジタル環境が適しているかについては、以下の説明では簡潔且つ概略的な説明を示すにとどめる。また、以下の説明では、全体として、単独のコンピュータで実行可能な一群の命令例えばプログラムモジュールを想定した文脈で、本方法及びシステムを説明することとする(但しこの環境は必須ではない)。なお、プログラムモジュールとは、一般に特定のタスクを実行でき又は特定の抽象データタイプを実現できる種々のルーチン、プログラム、オブジェクト、コンポーネント、データ構造等々のことである。更に、いわゆる当業者であれば理解できるように、本方法及びシステムは、本願に明示していない様々な構成のコンピュータシステムにて実施することができる。本方法及びシステムを実施できる構成には、例えば各種携帯型装置、マルチプロセッサシステム、マイクロプロセッサベースの又はプログラマブルな民生用電子機器、ネットワークに接続されたパーソナルコンピュータ(PC)、ミニコンピュータ、メインフレームコンピュータ等がある。
本発明に係る方法及びシステムは、また、通信網を介し相互接続された複数台のリモート処理装置により一群のタスクを実行する分散型ディジタル環境においても、実施することができる。また、そうした分散型ディジタル環境においては、ローカルな記憶/記録装置上にあるプログラムモジュールでもまたリモートな記憶/記録装置上にあるプログラムモジュールでも、本発明に係る方法及びシステムを実施できる。
図1に、電子メールアドレス群を格納しそれをユーザインタフェース上に呼び出すことができるシステムの一例構成を模式的に示す。この図に示すコンピュータネットワークは複数台のコンピュータ110を有しており、各コンピュータ110には電子メールソフトウェアが搭載されている。電子メールソフトウェアを搭載してあるため、各コンピュータ110が相互にまたネットワーク間ゲートウェイを有する通信網130を介して電子メールを送受信することができる。本発明の実施形態に係るフィッシング検知方法及びシステムは、こうしたコンピュータネットワークにて実施される。また、図中の電子メールサーバ120は、通信網130を介し一群のユーザから電子メールを受信しまた一群のユーザに電子メールをルーティングする典型的な電子メールサーバであり、標準的な電子メールプロトコル及びネットワーク接続(例えばSMTPoverTCP/IP(Simple Mail Transfer Protocol over Transmission Control Protocol/Internet Protocol))を用いてサービスを提供する。また、LDAP(Lightweight Directory Access Protocol)サーバ140は、企業規模電子メールアドレス帳や付加機能を利用できるようにするサーバである。本発明の実施形態に係るフィッシング検知方法及びシステムは、コンピュータ110、電子メールサーバ120又はその双方にて実施する。
大抵のコンピュータ110はプロセッサ、RAM(random access memory)、ROM(read only memory)、何個かの記憶/格納装置及び電子メール機能を備えており、そのプロセッサは入力装置、出力装置及び通信回路と接続されている。ここで記憶/格納装置と称しているのは、例えばハードディスクドライブ、CD(compact disk)−ROMドライブ、DVD(digital versatile disk;登録商標)ドライブ、フロッピー(登録商標)ディスクドライブ等のことである。また、出力装置の一例は表示装置、例えばコンピュータ110のユーザが見ることができるよう情報を表示するモニタである。入力装置の一例はキーボードやマウス等のポインティングデバイスであり、そのコンピュータ110のOS(operating system)が提供するGUI(graphical user interface)に従い画面上でポインタを制御すること等に使用される。
図1に示すコンピュータ110は相互に接続されており、相互にまた通信網130を介し通信することができる。例えば、コンピュータ110にモデム及び対応する通信ドライバを搭載しておき、いわゆるダイアルアップ接続によってインターネットに接続する形態を採ることができる。また、これらのコンピュータ110をLAN(local area network)によって相互接続することもできる。更に、LANをいわゆる直接接続によってインターネットに接続しておき、Ethernet(登録商標)カード又はそれに類するハードウェアが搭載されているコンピュータ110をそのLANに接続する形態も採ることができる。そして、ケーブルモデムや衛星経由インターネット接続によって、コンピュータ110をインターネットに接続することも可能である。
このように、コンピュータ110を通信網130に接続しまたコンピュータ110同士を接続するネットワーク形態は多々あり、本発明に係る方法及びシステムの実施環境は特定のネットワーク形態に限定されるものではない。通信網130への接続に使用できる代表的なインタフェースにも、汎用システム例えばPOTS(Plain-Old Telephone Systems)及びISDN(Integrated Services Digital Network)や、専用システム例えばLAN及びWAN(wide area network)があり、またそうしたネットワーク接続環境を単一のオフィス内、企業規模コンピュータ網内、イントラネット内及びインターネット内で併存させ併用することができる。いわゆる当業者であれば理解できるように、本発明に係る方法及びシステムの概念は、本発明の技術的範囲及び特許請求の範囲から逸脱することなく原理的にはどのようなネットワーク形態にも適用することができる。
電子メールサーバ120は、通信網130からネットワーク間ゲートウェイを介して送られてくる電子メールを受信し、その電子メールをその電子メールで指定されている受信者へとルーティングする。
次に、本発明の一実施形態に係るシステムにより実行されるフィッシング目的メッセージ検知方法を構成する一連の手順について、一群のフローチャートを参照して説明する。それらのフローチャートに示されている手順は、コンピュータに対する一群の命令からなるコンピュータプログラムによって、実施することができる。いわゆる当業者であれば、フローチャートを参照しつつ行う以下の説明に基づき、本方法をコンピュータシステム上で実行するための一群の命令からなるソフトウェアプログラムを、開発することができる。そのプログラムの記述には、例えばフォートランのようなプロセス記述言語やC++のようなオブジェクト指向言語等の言語を使用することができる。いわゆる当業者であれば理解できるように、本発明の技術的範囲から逸脱することなく、それらのステップを変形し又は組み合わせることが可能である。
図2に、本発明の一実施形態に係りネットワーク接続環境にて実施されるフィッシング目的メッセージ検知方法を示す。本方法においては、電子メールを受信したら(210)そのソースコードを取得し(215)、その電子メールのユーザ向け表示テキスト即ちその電子メールのコンテンツのうちテキストの部分を取得し(220)、更にその電子メールのソースコードから全メール記載アドレスのリストを取得する(225)。メール記載アドレスは、例えば電子メール中の「Return-Path:...」等の部分や、「<A href=...>」等のHTMLタグ中のURL参照部分や、或いは単純にその電子メールのプレーンテキスト部分中の「<...>」内の部分から、取得することができる。本方法においては、このリストに含まれる各メール記載アドレスに対し(230)、図3を参照してより詳細に後述する視覚的な文字正規化(visual character normalization)処理を施すことによって、メール記載アドレス毎にそのメール記載アドレスから派生しうる全てのアドレス構成即ち全ての変形アドレス候補を求め、それらに基づき正規化アドレスリストを生成する(235)。本方法においては、更に、正規化アドレスリストからメール記載アドレスを除外することによって変形アドレスのリストを生成する(240)。
本方法においては、リスト中の各変形アドレスに基づき(245)、図4〜図7を参照してより詳細に後述する比較試験(comparison test)を実行することにより、その変形アドレスが受信電子メールの不正性を示しているか否かを判別し(250)、もし不正性が判明すればユーザにメッセージを送って、その電子メールに詐欺の疑いがあるので応答すべきでないと警告する(270)。逆に、その変形アドレスに基づく比較試験で不正性が発見されなければ、リスト中の次の変形アドレスを比較試験に供する(255)。全ての変形アドレスについて比較試験により不正性が発見されなかったら、ソースコードから取得した次のメール記載アドレスについて(260)ステップ230以降の正規化及び比較試験を実行する。この手順を通じ不正なメール記載アドレスが発見されなかった電子メールについては、その電子メールが真正であり受け入れうることをユーザに通知する(265)。
図3に、本実施形態に係るフィッシング目的メッセージ識別方法にて実行される正規化手順をフローチャートにより示す。本手順においては、まず、受信した電子メール中の各メール記載アドレスから(310)アドレスコアを抽出する(315)。通常の電子メールアドレスは「受信者名」@「ドメイン名」形式を採っており、例えばドメイン「xyz.com」に属するX氏の電子メールアドレスは「MrX@xyz.com」になる。また、本願では電子メールアドレスやURLの末尾に位置する拡張子のことをサフィックス、URL等の冒頭に位置する「www」等の部分をプレフィクスと呼んでいる。本願でいうところのアドレスコアとは、電子メールアドレスであればドメイン名のうちサフィックスより左側にある部分のことであり、URLであればプレフィクスとサフィックスとの間にある部分のことである。従って、受信した電子メールに電子メールアドレス「MrX@xyz.com」が記載されている場合、そのメール記載アドレスから抽出されるアドレスコアは「xyz」になり、また受信した電子メールにURL「http://www.xyz.com」が記載されている場合、そのメール記載アドレスから抽出されるアドレスコアも「xyz」になる。本手順においては、次いで、視覚的な文字正規化処理を施すことによって、各アドレスコアから派生しうるあらゆる構成のアドレスコア即ち類似アドレスコアのリストを生成する(320)。このリストの生成は、例えば単純な視覚的文字正規化処理、即ちASCII文字かUnicode文字かを問わずあらゆる文字をその文字に対する類態語(visual homonym)に置換することよって行うことができる。類態語とは、その文字と外見的によく似ている別の文字即ち類態文字を含む語のことである。こうした単純な視覚的文字正規化処理を実施するには、予め変換則乃至書換則を定めておいて、それをその文字に適用すればよい。ASCII文字に対する変換則は、例えば次の式
[数1]
「1」(ASCIIコード49) 対 「l」(ASCIIコード108)の相互変換
「|」(ASCIIコード124)対 「l」(ASCIIコード108)の相互変換
「0」(ASCIIコード48) 対 「o」(ASCIIコード111)の相互変換
……
で表される変換則となる。
また、Unicode文字に対しては、そのうちASCII文字に似たものを対応するASCII文字に変換して類態語を導出する変換則乃至書換則を適用すればよい。Unicode文字に対する変換則は、例えば次の式
[数2]
Unicodeキリル文字「а」(U0430)及びラテン文字「a」(U0061)をASCII文字「a」に変換
Unicodeキリル文字「е」(U0435)及びラテン文字「e」(U0065)をASCII文字「e」に変換
Unicodeギリシャ文字「α」(U03B1)及びラテン文字「a」(U0061)をASCII文字「a」に変換
……
で表される変換則となる。
本手順においては、リスト中の各類似アドレスコアに対し(325)各種手法を適用して更に別の構成のアドレスコアを導出する。例えば、各文字を重複させる文字重複型再正規化処理を(335)1文字ずつ(330)アドレスコアに施し、文字重複版アドレスコアリストを生成することができる(335)。即ち、例えば元の類似アドレスコア中の「1」を「11」に、「a」を「aa」に、という具合に置き換えて新たなアドレスコアを生成し、その新たなアドレスコアを文字重複版アドレスコアリストに加えていく。この文字重複型再正規化処理は、1文字分が終わったら次の文字を選択して再度実行する(360)、というようにその類似アドレスコア内の全ての文字を対象に繰り返し実行し、またリスト中のある類似アドレスコアについて実行し終えたら次の類似アドレスコアを選択して再度実行する(330)、というようにリスト中の全ての類似アドレスコアを対象に繰り返し実行する。同様に、類似アドレスコアに含まれる複数個の文字の連鎖を単発の文字に置き換えることによって新たなアドレスコアを生成し、その新たなアドレスコアを文字数削減版アドレスコアリストに加えていく文字数削減型正規化処理を実行することもできる(340)。即ち、例えば元の類似アドレスコア中の「11」を「1」に、「aa」を「a」に、という具合に置き換えて新たなアドレスコアを生成し、その新たなアドレスコアを文字数削減版アドレスコアリストに加えていく。この文字数削減型再正規化処理は、類似アドレスコア又はそれに基づき生成した新たなアドレスコア内に別の文字連鎖の存在が認められる限り繰り返し実行し(360)、また類似アドレスコアリスト内の全ての類似アドレスコアを対象に文字連鎖がなくなるまで繰り返し実行する(330)。
本手順では、複数形その他の語頭・語幹・語尾変化を表す文字乃至文字群が類似アドレスコアの末尾等についていない場合にその文字乃至文字群を同類似アドレスコアの末尾等に追加し、ついている場合に削除する単複変換型正規化処理を実行して新たなアドレスコアを生成し、その新たなアドレスコアにより単複変換版アドレスコアリストを生成する処理を(345)、リスト中の各類似アドレスコアについて、実行することができる(325)。例えば、類似アドレスコア「xyz」にこの処理を施すことによって新たなアドレスコア「xyzs」が生成される。本手順では、更に、区切り文字を除去し、それによって生成した新たなアドレスコアにより区切り文字削除版アドレスコアリストを生成する区切り文字正規化処理を(355)、類似アドレスコアリスト中の各類似アドレスコアの全ての区切り文字(ピリオド、カンマ、疑問符、感嘆符、アンド、コロン、セミコロン等)について実行することができる(350)。例えば、類似アドレスコア「xy.z」にこの処理を施すことによって新たなアドレスコア「xyz」が生成される。本手順では、新たなアドレスコアによるリストを生成した後、生成したリスト、例えば文字重複版アドレスコアリスト、文字数削減版アドレスコアリスト、単複変換版アドレスコアリスト及び区切り文字削除版アドレスコアリストを類似アドレスコアのリストと結合させ、重複するものを除外することによって合成版アドレスコアリストを生成し(365)、生成した合成版アドレスコアリスト中の各アドレスコアを従前のプレフィクス及びサフィックスと再結合させることにより再結合アドレスのリストを生成する(370)。例えばアドレスコア「xyzs」に従前のプレフィクス「MrX」及び従前のサフィックス「com」を再結合させると再結合アドレス「MrX@xyzs.com」になる。本手順では、更に、こうした再結合アドレス中のサフィックスを他種サフィックスに置き換えたサフィックス置換版アドレスの網羅的なリストを生成する(375)。例えば、サフィックス「com」をサフィックス「net」に、サフィックス「com」をサフィックス「org」に、といった具合に可能な限り全てのサフィックスに置き換えて、多くのサフィックス置換版アドレスを生成する。そして、生成したサフィックス置換版アドレスのリストを再結合アドレスのリストと統合して正規化アドレスリストを生成する(380)。
図4に、本実施形態に係るフィッシング検知方法にて実行される比較試験手順の概略を示す。本手順においては、電子メールのソースコード中のメール記載アドレスに基づき生成された変形アドレス及び正規化アドレス並びに電子メール内表示テキストを入力し(410)、図5を参照してより詳細に後述するテキスト比較試験を実行することによりメール記載アドレスの不正性を識別する(420)。メール記載アドレスの不正性が判明した電子メールについては、ユーザに警告メッセージを返送してその電子メール及びメール記載アドレスに詐欺の疑いがあることを通知する(450)。テキスト比較試験ではメール記載アドレスに不正性が認められなかった電子メールについては、図6を参照してより詳細に後述するホワイトリスト比較試験を実行することによりメール記載アドレスの不正性を識別し(430)、該当する場合は上記と同じくユーザに対して詐欺の疑いを通知する(450)。テキスト比較試験及びホワイトリスト比較試験にてメール記載アドレスの不正性が認められなかった電子メールについては、図7を参照してより詳細に後述する検索エンジン試験を実行することによりメール記載アドレスの不正性を識別し(440)、該当する場合は上記と同じくユーザに対しその電子メール及びメール記載アドレスについての詐欺の疑いを通知する(450)。これらの試験にて一貫してメール記載アドレスが真正であると認められた電子メールについては、真正であり受け入れられると通知する(460)。なお、説明の都合上、図示の種類の比較試験を図示の順序でシーケンシャルに実行するように図示したが、ご理解頂けるように、どのような種類の比較試験を併用するか、どのように併用するか、どのような順序乃至論理で実行するか等は、様々に設定することができる。
図5に、テキスト比較試験手順をフローチャートにより示す。本手順においては、リスト中の変形アドレス及び受信者向け表示テキストを入力し(510)、その変形アドレスのアドレスコアを抽出する一方(520)、その受信者向け表示テキストをトークン化即ち断片化して一群のトークンを生成する(530)。更に、それらトークンそれぞれについて(540)、そのトークンが抽出済のアドレスコアとマッチするか否かを判別する(550)。マッチしている場合、そのトークン中に含まれるアドレスは不正なアドレスであるので、ユーザに対しその電子メールに詐欺の疑いがある旨を通知する(580)。マッチしていない場合、そのトークン中に含まれるアドレスが真正である可能性が残っているので一群のトークンのうち別のトークンを試験に供する(560)。
ここに、変形アドレスリストに含まれるアドレスは、電子メールのソースコードから抽出されたメール記載アドレスを正規化することによって生成したアドレスである。例えばソースコードに「Account.Security@XY0Z.com」「http://www.XY0Z.com」といったアドレスが含まれている場合、それらに正規化を適用することによって得られる変形アドレスの中には、そのメール記載アドレス中の「0」(ASCIIコード48の文字即ちゼロ)が「O」(ASCIIコード79の文字即ちオー)に置き換わったアドレス「Account.Security@XYOZ.com」「http://www.XYOZ.com」が含まれることになる。他方で、受信者向け表示テキスト中に「For security reasons, please change your login parameters for your XYOZ account:http://www.XYOZ.com」(セキュリティに問題がありますので、XYOZサイト(http://www.XYOZ.com)の貴アカウントにログインするためのログインパラメタを変更して下さい)なるテキストが含まれている場合、それをトークン化すると一群のトークン「For」、「security」、「reasons」、「please」、「change」、「your」、「login」、「parameters」、「for」、「your」、「XYOZ」、「account」及び「http://www.XYOZ.com」のリストが得られる。次いで、このトークンのリストを、リスト中の変形アドレスから抽出済のアドレスコアと比較すると、受信者向け表示テキストから得られたトークンのうち「XYOZ」と、リスト中の変形アドレスのうち「Account.Security@XYOZ.com」又は「http://www.XYOZ.com」から抽出されたアドレスコア「XYOZ」とが、マッチすることになる。これは、ユーザに対して表示されるアドレス「http://www.XYOZ.com」と異なるアドレス「http://www.XY0Z.com」を用いてソースコードが記述されているということであるので、その電子メールは、真正な「http://www.XYOZ.com」を詐称して偽アドレス「http://www.XY0Z.com」にユーザを誘導する詐欺メールである可能性がある。そこで、ユーザに対しその旨警告する(580)。逆に、不正な可能性ありと識別されたメール記載アドレスを含まない電子メールはホワイトリスト比較試験に供される(570)。
図6に、ホワイトリスト比較試験手順をフローチャートにより示す。まず、フィッシングを狙って送信される電子メールのソースコードには、偽ウェブサイトに誘導するアドレスが含まれている可能性がある。従って、電子メールのソースコードに含まれているアドレス即ちメール記載アドレスに対して所定の変形即ち正規化を施すことによって、ある企業の公式ウェブサイトのアドレスが得られるのであれば、その電子メールがフィッシング狙いのメールである可能性がある。そこで、本手順においては、受信した電子メール中のアドレスに基づき生成されリスト化された変形アドレスと、フィッシングメールが詐称するであろう企業名乃至ウェブサイトアドレス(例えば銀行、電子商店等の名称乃至ウェブサイトアドレス)についてのホワイトリストとを入力し(610)、ホワイトリスト内項目(アドレス乃至企業名)毎に(620)比較を行いその変形アドレスがホワイトリストに含まれているか否かを判別する(630)。含まれていればその変形アドレスに対応するメール記載アドレスは正当でないと見なせるので、ユーザに対しメッセージを返送しその電子メールに詐欺メールの疑いがあると警告する(660)。逆に、そのホワイトリスト内項目がどの変形アドレスともマッチしていない場合、その変形アドレスに対応するメール記載アドレスには正当なアドレスである可能性があるので、次のホワイトリスト内項目を試験に供する(640)。不正なアドレスと識別されたアドレスを含まない電子メールは、その後、検索エンジン試験の対象とされる(650)。
図7に、検索エンジン試験(キーワード検索比較試験)手順をフローチャートにより示す。本手順においては、リスト化されている変形アドレス及び正規化アドレスリスト内アドレスを用いる(710)。即ち、まず正規化アドレスリスト内アドレスをキーワードとして用いてインターネット検索エンジンによるキーワード検索を実行し(720)、そのキーワード検索によりその正規化アドレスリスト内アドレスに該当する項目が発見された場合は、ユーザに対しメッセージを送り、その電子メールがフィッシング狙いである可能性があると警告し(780)、発見されなかった場合は、変形アドレスのアドレスコア及び正規化アドレスリスト内アドレスのアドレスコアを取得する(730)。その場合は更に、その変形アドレスのアドレスコアをキーワードとして用い検索エンジン例えばGoogle(登録商標)によるインターネット検索を実行して発見項目数を求め(740)、また正規化アドレスリスト内アドレスのアドレスコアをキーワードとして用いて同様のインターネット検索を実行し発見項目数を求める(750)。そして、発見項目数同士を比較することによって、正規化アドレスリスト内アドレスのアドレスコアについての発見項目総数が変形アドレスのアドレスコアについての発見項目総数を上回ったか否かを判別する(760)。上回っている場合、そのアドレスに不正性があると判断してユーザにメッセージを回付し、その電子メールに詐欺の疑いがある旨警告する(780)。上回っていない場合、そのアドレスに不正性がないと判断してユーザにメッセージを回付し、その電子メールは真正であるので受け入れうると通知する(770)。
フィッシング目的電子メール検知を実施可能なシステムを示すブロック図である。 本発明の一実施形態に係るフィッシング検知方法を示すフローチャートである。 図2に示した方法における正規化手順を示すフローチャートである。 図2に示した方法における比較試験概略手順を示すフローチャートである。 図4に示した比較試験におけるテキスト比較試験手順を示すフローチャートである。 図4に示した比較試験におけるホワイトリスト比較試験手順を示すフローチャートである。 図4に示した比較試験における検索エンジン試験(キーワード検索比較試験)手順を示すフローチャートである。
符号の説明
110 コンピュータ、120 電子メールサーバ、210 電子メール受信、215 ソースコード取得、220 受信者向けテキスト取得、225 メール記載アドレスリスト生成、235 正規化アドレスリスト生成、240 変形アドレスリスト生成、250 比較試験、265,460 真正判定及び通知、270,450 対ユーザ詐欺警告、315 アドレスコア抽出、320 類似アドレスコアリスト生成、335 文字重複版アドレスコアリスト生成、340 文字数削減版アドレスコアリスト生成、345 単複変換版アドレスコアリスト生成、355 区切り文字削除版アドレスコアリスト生成、365 合成版アドレスコアリスト生成、370 再結合アドレスリスト生成、375 サフィックス置換版アドレスリスト生成、380 サフィックス置換版アドレスリスト再結合アドレスリスト統合、420 テキスト比較試験、430 ホワイトリスト比較試験、440 検索エンジン試験。

Claims (4)

  1. 電子メールサーバ及び複数台のパーソナルコンピュータを含むネットワーク接続環境にてフィッシングを狙った電子メールを受信時に検知する方法であって、
    アドレスが記載されている電子メールを受信するステップと、
    受信した電子メールのソースコードを取得するステップと、
    その電子メールの受信者向け表示テキストを取得するステップと、
    取得したソースコードから全てのメール記載アドレスを取得しリスト化するステップと、
    各メール記載アドレスに視覚的な文字正規化処理を施すことにより網羅的に変形アドレス候補を求め正規化アドレスリストを生成するステップと、
    生成した正規化アドレスリストからメール記載アドレスを除外して変形アドレスからなるリストを生成するステップと、
    受信した電子メールの不正性を判別するため変形アドレスに基づく比較試験を実行するステップと、
    その比較試験により不正性が判明したときに、受信した電子メールに詐欺メールの疑いがあることを知らせるメッセージを受信者に送るステップと、
    ある変形アドレスに基づく比較試験により不正性が判明しなかったときに、他の変形アドレスについてもその比較試験を実施するステップと、
    全変形アドレスについて比較試験を行っても不正性が判明しなかったときに、受信した電子メールが真正であり受け入れうることを受信者に知らせるステップと、
    を有し、
    上記比較試験は、少なくともテキスト比較試験を含み、上記テキスト比較試験では、
    上記受信者向け表示テキストと、上記変形アドレスからなるリスト内の変形アドレスのうちの少なくとも1つと、を受け取り、
    受け取った上記少なくとも1つの変形アドレスからアドレスコアを抽出し、
    上記受信者向け表示テキストを一組のトークンへと断片化し、
    上記各トークンが上記抽出されたアドレスコアに一致するかどうかを判定し、
    上記トークンのうちのいずれか1つでも上記抽出されたアドレスコアに一致した場合には、上記受信した電子メールに不正性があると判定する、
    ことを特徴とする方法。
  2. 電子メールサーバ及び複数台のパーソナルコンピュータを含むネットワーク接続環境にてフィッシングを狙った電子メールを受信時に検知する方法であって、
    アドレスが記載されている電子メールを受信するステップと、
    受信した電子メールのソースコードを取得するステップと、
    その電子メールの受信者向け表示テキストを取得するステップと、
    取得したソースコードから全てのメール記載アドレスを取得しリスト化するステップと、
    各メール記載アドレスに視覚的な文字正規化処理を施すことにより網羅的に変形アドレス候補を求め正規化アドレスリストを生成するステップと、
    生成した正規化アドレスリストからメール記載アドレスを除外して変形アドレスからなるリストを生成するステップと、
    受信した電子メールの不正性を判別するため変形アドレスに基づく比較試験を実行するステップと、
    その比較試験により不正性が判明したときに、受信した電子メールに詐欺メールの疑いがあることを知らせるメッセージを受信者に送るステップと、
    ある変形アドレスに基づく比較試験により不正性が判明しなかったときに、他の変形アドレスについてもその比較試験を実施するステップと、
    全変形アドレスについて比較試験を行っても不正性が判明しなかったときに、受信した電子メールが真正であり受け入れうることを受信者に知らせるステップと、
    を有し、
    記正規化アドレスリスト生成ステップが、
    メール記載アドレスからアドレスコアを抽出するステップと、
    抽出したアドレスコア内の各文字をその文字によく似た外観を有する類態文字を含む類態語に置換して類似アドレスコアのリストを生成するステップと、
    文字重複型正規化、文字数削減型正規化、単複変換型正規化及び区切り文字正規化のうちの少なくとも一種類の処理を含む文字再正規化処理を各類似アドレスコアに施すステップと、
    文字再正規化処理種類毎に新規アドレスコアのリストを生成するステップと、
    類似アドレスコアのリストと新規アドレスコアのリストを統合し重複するものを除外することにより合成アドレスコアリストを生成するステップと、
    メール記載アドレス中のプレフィクス及びサフィックスを合成アドレスコアリスト内のアドレスコアと再結合させることにより再結合アドレスを生成しリスト化するステップと、
    各再結合アドレスのサフィックスをサフィックス候補と置き換えてサフィックス置換版アドレスの網羅的なリストを生成するステップと、
    サフィックス置換版アドレスのリストと再結合アドレスのリストを統合して正規化アドレスリストを生成するステップと、
    を含む方法。
  3. 電子メールサーバ及び複数台のパーソナルコンピュータを含むネットワーク接続環境にてフィッシングを狙った電子メールを受信時に検知するシステムであって、
    アドレスが記載されている電子メールを受信する手段と、
    受信した電子メールのソースコードを取得する手段と、
    その電子メールの受信者向け表示テキストを取得する手段と、
    取得したソースコードから全てのメール記載アドレスを取得しリスト化する手段と、
    各メール記載アドレスに視覚的な文字正規化処理を施すことにより網羅的に変形アドレス候補を求め正規化アドレスリストを生成する手段と、
    生成した正規化アドレスリストからメール記載アドレスを除外して変形アドレスからなるリストを生成する手段と、
    受信した電子メールの不正性を判別するため変形アドレスに基づく比較試験を実行する手段と、
    その比較試験により不正性が判明したときに、受信した電子メールに詐欺メールの疑いがあることを知らせるメッセージを受信者に送る手段と、
    ある変形アドレスに基づく比較試験により不正性が判明しなかったときに、他の変形アドレスについてもその比較試験を実施する手段と、
    全変形アドレスについて比較試験を行っても不正性が判明しなかったときに、受信した電子メールが真正であり受け入れうることを受信者に知らせる手段と、
    を有し、
    上記比較試験を実行する手段が、少なくともテキスト比較試験を実行し、上記テキスト比較試験では、
    上記受信者向け表示テキストと、上記変形アドレスからなるリスト内の変形アドレスのうちの少なくとも1つと、を受け取り、
    受け取った上記少なくとも1つの変形アドレスからアドレスコアを抽出し、
    上記受信者向け表示テキストを一組のトークンへと断片化し、
    上記各トークンが上記抽出されたアドレスコアに一致するかどうかを判定し、
    上記トークンのうちのいずれか1つでも上記抽出されたアドレスコアに一致した場合には、上記受信した電子メールに不正性があると判定する、
    ことを特徴とするシステム
  4. 電子メールサーバ及び複数台のパーソナルコンピュータを含むネットワーク接続環境にてフィッシングを狙った電子メールを受信時に検知するシステムであって、
    アドレスが記載されている電子メールを受信する手段と、
    受信した電子メールのソースコードを取得する手段と、
    その電子メールの受信者向け表示テキストを取得する手段と、
    取得したソースコードから全てのメール記載アドレスを取得しリスト化する手段と、
    各メール記載アドレスに視覚的な文字正規化処理を施すことにより網羅的に変形アドレス候補を求め正規化アドレスリストを生成する手段と、
    生成した正規化アドレスリストからメール記載アドレスを除外して変形アドレスからなるリストを生成する手段と、
    受信した電子メールの不正性を判別するため変形アドレスに基づく比較試験を実行する手段と、
    その比較試験により不正性が判明したときに、受信した電子メールに詐欺メールの疑いがあることを知らせるメッセージを受信者に送る手段と、
    ある変形アドレスに基づく比較試験により不正性が判明しなかったときに、他の変形アドレスについてもその比較試験を実施する手段と、
    全変形アドレスについて比較試験を行っても不正性が判明しなかったときに、受信した電子メールが真正であり受け入れうることを受信者に知らせる手段と、
    を有し、
    上記正規化アドレスリストを生成する手段が、
    メール記載アドレスからアドレスコアを抽出するステップと、
    抽出したアドレスコア内の各文字をその文字によく似た外観を有する類態文字を含む類態語に置換して類似アドレスコアのリストを生成するステップと、
    文字重複型正規化、文字数削減型正規化、単複変換型正規化及び区切り文字正規化のうちの少なくとも一種類の処理を含む文字再正規化処理を各類似アドレスコアに施すステップと、
    文字再正規化処理種類毎に新規アドレスコアのリストを生成するステップと、
    類似アドレスコアのリストと新規アドレスコアのリストを統合し重複するものを除外することにより合成アドレスコアリストを生成するステップと、
    メール記載アドレス中のプレフィクス及びサフィックスを合成アドレスコアリスト内のアドレスコアと再結合させることにより再結合アドレスを生成しリスト化するステップと、
    各再結合アドレスのサフィックスをサフィックス候補と置き換えてサフィックス置換版アドレスの網羅的なリストを生成するステップと、
    サフィックス置換版アドレスのリストと再結合アドレスのリストを統合して正規化アドレスリストを生成するステップと、
    を実行する、
    ことを特徴とするシステム。
JP2007136136A 2006-05-30 2007-05-23 フィッシング検知方法及びシステム Expired - Fee Related JP5128848B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/443,240 2006-05-30
US11/443,240 US7668921B2 (en) 2006-05-30 2006-05-30 Method and system for phishing detection

Publications (2)

Publication Number Publication Date
JP2007323640A JP2007323640A (ja) 2007-12-13
JP5128848B2 true JP5128848B2 (ja) 2013-01-23

Family

ID=38421462

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007136136A Expired - Fee Related JP5128848B2 (ja) 2006-05-30 2007-05-23 フィッシング検知方法及びシステム

Country Status (4)

Country Link
US (1) US7668921B2 (ja)
EP (1) EP1863240B1 (ja)
JP (1) JP5128848B2 (ja)
DE (1) DE602007008174D1 (ja)

Families Citing this family (63)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US20080000970A1 (en) * 2006-06-30 2008-01-03 Savage Kent A System and method for network-based talent contest
US8220047B1 (en) * 2006-08-09 2012-07-10 Google Inc. Anti-phishing system and method
US20080060062A1 (en) * 2006-08-31 2008-03-06 Robert B Lord Methods and systems for preventing information theft
US7676547B2 (en) * 2006-09-22 2010-03-09 Zyxel Communications Corp. System for processing information including a mail subject of an e-mail not including all contents of the e-mail for controlling delivery of the mail subject requested by a host and method thereof
US8578481B2 (en) * 2006-10-16 2013-11-05 Red Hat, Inc. Method and system for determining a probability of entry of a counterfeit domain in a browser
US8745151B2 (en) * 2006-11-09 2014-06-03 Red Hat, Inc. Web page protection against phishing
US20090006532A1 (en) * 2007-06-28 2009-01-01 Yahoo! Inc. Dynamic phishing protection in instant messaging
US8438610B2 (en) * 2007-09-28 2013-05-07 Emc Corporation Identity-based address normalization
US8091118B2 (en) * 2007-12-21 2012-01-03 At & T Intellectual Property I, Lp Method and system to optimize efficiency when managing lists of untrusted network sites
US8856937B1 (en) 2008-06-27 2014-10-07 Symantec Corporation Methods and systems for identifying fraudulent websites
US20090328208A1 (en) * 2008-06-30 2009-12-31 International Business Machines Method and apparatus for preventing phishing attacks
US20100042687A1 (en) * 2008-08-12 2010-02-18 Yahoo! Inc. System and method for combating phishing
US20100057895A1 (en) * 2008-08-29 2010-03-04 At& T Intellectual Property I, L.P. Methods of Providing Reputation Information with an Address and Related Devices and Computer Program Products
US20100154055A1 (en) * 2008-12-12 2010-06-17 At&T Intellectual Property I, L.P. Prefix Domain Matching for Anti-Phishing Pattern Matching
US8225401B2 (en) * 2008-12-18 2012-07-17 Symantec Corporation Methods and systems for detecting man-in-the-browser attacks
CN101504673B (zh) 2009-03-24 2011-09-07 阿里巴巴集团控股有限公司 一种识别疑似仿冒网站的方法与系统
US8438642B2 (en) 2009-06-05 2013-05-07 At&T Intellectual Property I, L.P. Method of detecting potential phishing by analyzing universal resource locators
US9652802B1 (en) 2010-03-24 2017-05-16 Consumerinfo.Com, Inc. Indirect monitoring and reporting of a user's credit data
US8793799B2 (en) 2010-11-16 2014-07-29 Booz, Allen & Hamilton Systems and methods for identifying and mitigating information security risks
US9065850B1 (en) 2011-02-07 2015-06-23 Zscaler, Inc. Phishing detection systems and methods
EP2676197B1 (en) 2011-02-18 2018-11-28 CSidentity Corporation System and methods for identifying compromised personally identifiable information on the internet
CN102902917A (zh) * 2011-07-29 2013-01-30 国际商业机器公司 用于预防钓鱼式攻击的方法和系统
US8819793B2 (en) 2011-09-20 2014-08-26 Csidentity Corporation Systems and methods for secure and efficient enrollment into a federation which utilizes a biometric repository
US8700913B1 (en) 2011-09-23 2014-04-15 Trend Micro Incorporated Detection of fake antivirus in computers
US11030562B1 (en) 2011-10-31 2021-06-08 Consumerinfo.Com, Inc. Pre-data breach monitoring
US9432401B2 (en) 2012-07-06 2016-08-30 Microsoft Technology Licensing, Llc Providing consistent security information
US8966637B2 (en) 2013-02-08 2015-02-24 PhishMe, Inc. Performance benchmarking for simulated phishing attacks
US9356948B2 (en) 2013-02-08 2016-05-31 PhishMe, Inc. Collaborative phishing attack detection
US9053326B2 (en) 2013-02-08 2015-06-09 PhishMe, Inc. Simulated phishing attack with sequential messages
US9253207B2 (en) 2013-02-08 2016-02-02 PhishMe, Inc. Collaborative phishing attack detection
US9398038B2 (en) 2013-02-08 2016-07-19 PhishMe, Inc. Collaborative phishing attack detection
US9344449B2 (en) 2013-03-11 2016-05-17 Bank Of America Corporation Risk ranking referential links in electronic messages
US8812387B1 (en) 2013-03-14 2014-08-19 Csidentity Corporation System and method for identifying related credit inquiries
US9621566B2 (en) 2013-05-31 2017-04-11 Adi Labs Incorporated System and method for detecting phishing webpages
US9203849B2 (en) 2013-12-04 2015-12-01 Apple Inc. Preventing URL confusion attacks
US9262629B2 (en) 2014-01-21 2016-02-16 PhishMe, Inc. Methods and systems for preventing malicious use of phishing simulation records
WO2016049644A1 (en) * 2014-09-26 2016-03-31 Sanjay Parekh Method and system for email privacy, security and information theft detection
RU2682038C2 (ru) * 2014-09-30 2019-03-14 Общество С Ограниченной Ответственностью "Яндекс" Способ обработки сообщений электронной почты, содержащих цитируемый текст, и компьютер, используемый в нем
US10339527B1 (en) 2014-10-31 2019-07-02 Experian Information Solutions, Inc. System and architecture for electronic fraud detection
US9398047B2 (en) 2014-11-17 2016-07-19 Vade Retro Technology, Inc. Methods and systems for phishing detection
US9253208B1 (en) 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution
US9906539B2 (en) 2015-04-10 2018-02-27 PhishMe, Inc. Suspicious message processing and incident response
US11151468B1 (en) 2015-07-02 2021-10-19 Experian Information Solutions, Inc. Behavior analysis using distributed representations of event data
US9781132B2 (en) * 2015-10-13 2017-10-03 Yahoo Holdings, Inc. Fraud prevention
US10140273B2 (en) * 2016-01-19 2018-11-27 International Business Machines Corporation List manipulation in natural language processing
US10142366B2 (en) * 2016-03-15 2018-11-27 Vade Secure, Inc. Methods, systems and devices to mitigate the effects of side effect URLs in legitimate and phishing electronic messages
GB201605004D0 (en) * 2016-03-24 2016-05-11 Secr Defence A method of protecting a user from messages with links to malicious websites
US10193923B2 (en) * 2016-07-20 2019-01-29 Duo Security, Inc. Methods for preventing cyber intrusions and phishing activity
CN107526967B (zh) * 2017-07-05 2020-06-02 阿里巴巴集团控股有限公司 一种风险地址识别方法、装置以及电子设备
US10699028B1 (en) 2017-09-28 2020-06-30 Csidentity Corporation Identity security architecture systems and methods
US10896472B1 (en) 2017-11-14 2021-01-19 Csidentity Corporation Security and identity verification system and architecture
US10834111B2 (en) 2018-01-29 2020-11-10 International Business Machines Corporation Method and system for email phishing attempts identification and notification through organizational cognitive solutions
US20190319905A1 (en) * 2018-04-13 2019-10-17 Inky Technology Corporation Mail protection system
US11108821B2 (en) * 2019-05-01 2021-08-31 KnowBe4, Inc. Systems and methods for use of address fields in a simulated phishing attack
US11792224B2 (en) 2021-05-26 2023-10-17 Bank Of America Corporation Information security system and method for phishing threat detection using tokens
US11882112B2 (en) 2021-05-26 2024-01-23 Bank Of America Corporation Information security system and method for phishing threat prevention using tokens
CN113556347B (zh) * 2021-07-22 2023-04-07 深信服科技股份有限公司 一种钓鱼邮件的检测方法、装置、设备及存储介质
US11882152B2 (en) 2021-07-30 2024-01-23 Bank Of America Corporation Information security system and method for phishing website identification based on image hashing
WO2023044060A1 (en) * 2021-09-16 2023-03-23 Centripetal Networks Malicious homoglyphic domain name detection, generation, and associated cyber security applications
CN114095278B (zh) * 2022-01-19 2022-05-24 南京明博互联网安全创新研究院有限公司 一种基于混合特征选择框架的钓鱼网站检测方法
WO2023187352A1 (en) * 2022-03-30 2023-10-05 Egress Software Technologies Ip Limited Method and system for processing data packages
WO2023196376A1 (en) * 2022-04-07 2023-10-12 Cisco Technology, Inc. Algorithm to detect malicious emails impersonating brands

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7219298B2 (en) * 2001-03-15 2007-05-15 International Business Machines Corporation Method, system, and program for verifying network addresses included in a file
US8145710B2 (en) * 2003-06-18 2012-03-27 Symantec Corporation System and method for filtering spam messages utilizing URL filtering module
US7421498B2 (en) * 2003-08-25 2008-09-02 Microsoft Corporation Method and system for URL based filtering of electronic communications and web pages
US7664812B2 (en) * 2003-10-14 2010-02-16 At&T Intellectual Property I, L.P. Phonetic filtering of undesired email messages
JP2005135328A (ja) * 2003-10-31 2005-05-26 Nec Corp メールサーバ、電子メール管理方法及び電子メール管理プログラム
US8060915B2 (en) 2003-12-30 2011-11-15 Entrust, Inc. Method and apparatus for providing electronic message authentication
US20050216564A1 (en) * 2004-03-11 2005-09-29 Myers Gregory K Method and apparatus for analysis of electronic communications containing imagery
US7529802B2 (en) 2004-06-16 2009-05-05 International Business Machines Corporation Method for performing multiple hierarchically tests to verify identity of sender of an email message and assigning the highest confidence value
US7694135B2 (en) 2004-07-16 2010-04-06 Geotrust, Inc. Security systems and services to provide identity and uniform resource identifier verification
US7422115B2 (en) 2004-09-07 2008-09-09 Iconix, Inc. Techniques for to defeat phishing
US20060053202A1 (en) 2004-09-09 2006-03-09 Chris Foo Method and system implementing secure email
US20060059111A1 (en) 2004-09-10 2006-03-16 Tucker David M Authentication method for securely disclosing confidential information over the internet
US20060080735A1 (en) 2004-09-30 2006-04-13 Usa Revco, Llc Methods and systems for phishing detection and notification
US7461339B2 (en) * 2004-10-21 2008-12-02 Trend Micro, Inc. Controlling hostile electronic mail content
US8032594B2 (en) * 2004-11-10 2011-10-04 Digital Envoy, Inc. Email anti-phishing inspector
US7634810B2 (en) * 2004-12-02 2009-12-15 Microsoft Corporation Phishing detection, prevention, and notification
US7366762B2 (en) * 2005-10-04 2008-04-29 International Business Machines Corporation Method for monitoring and reporting usage of non-hypertext markup language e-mail campaigns
US20070136806A1 (en) * 2005-12-14 2007-06-14 Aladdin Knowledge Systems Ltd. Method and system for blocking phishing scams

Also Published As

Publication number Publication date
US20070283000A1 (en) 2007-12-06
EP1863240A2 (en) 2007-12-05
EP1863240B1 (en) 2010-08-04
JP2007323640A (ja) 2007-12-13
DE602007008174D1 (de) 2010-09-16
US7668921B2 (en) 2010-02-23
EP1863240A3 (en) 2009-03-25

Similar Documents

Publication Publication Date Title
JP5128848B2 (ja) フィッシング検知方法及びシステム
US11546375B2 (en) Detection of external messaging attacks using trust relationships
Fette et al. Learning to detect phishing emails
US20190319905A1 (en) Mail protection system
US20130263263A1 (en) Web element spoofing prevention system and method
JP4950606B2 (ja) 通信システム、セキュリティ管理装置およびアクセス制御方法
US11677783B2 (en) Analysis of potentially malicious emails
US20090089859A1 (en) Method and apparatus for detecting phishing attempts solicited by electronic mail
US20070094500A1 (en) System and Method for Investigating Phishing Web Sites
KR20050000309A (ko) 개선된 스팸 검출 기술
JP2010516007A (ja) コンピュータ不正行為を検出するための方法及び装置
CN102902917A (zh) 用于预防钓鱼式攻击的方法和系统
US10984274B2 (en) Detecting hidden encoding using optical character recognition
JP4781922B2 (ja) リンク情報検証方法、システム、装置、およびプログラム
US11978020B2 (en) Email security analysis
Sankhwar et al. Email phishing: An enhanced classification model to detect malicious urls
Hajiali et al. Preventing phishing attacks using text and image watermarking
JP2006338494A (ja) 正当サイト検証方法、装置、およびプログラム
US10999322B1 (en) Anti-phishing system and method using computer vision to match identifiable key information
CN101656707A (zh) 网站的防伪标识系统及其实现方法
US8443192B2 (en) Network security method
US20220321518A1 (en) Email Sender and Reply-To Authentication to Prevent Interception of Email Replies
US11757816B1 (en) Systems and methods for detecting scam emails
Mansfield-Devine Bad behaviour: exploiting human weaknesses
WO2006042480A2 (en) System and method for investigating phishing web sites

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100519

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120131

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120426

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121009

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121101

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151109

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees