KR100693842B1 - Fishing-preventing method and computer-readable recording medium where computer program for preventing phishing is recorded - Google Patents
Fishing-preventing method and computer-readable recording medium where computer program for preventing phishing is recorded Download PDFInfo
- Publication number
- KR100693842B1 KR100693842B1 KR1020050115217A KR20050115217A KR100693842B1 KR 100693842 B1 KR100693842 B1 KR 100693842B1 KR 1020050115217 A KR1020050115217 A KR 1020050115217A KR 20050115217 A KR20050115217 A KR 20050115217A KR 100693842 B1 KR100693842 B1 KR 100693842B1
- Authority
- KR
- South Korea
- Prior art keywords
- phishing
- link
- url
- normal
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
Abstract
Description
도 1은 피싱의 개념을 설명하기 위한 도면.1 is a diagram for explaining the concept of phishing;
도 2는 본 발명에 의한 피싱 방지 프로그램이 수행하는 피싱 방지 과정의 흐름도.2 is a flow chart of a phishing prevention process performed by the anti-phishing program according to the present invention.
도 3은 본 발명에 의한 피싱 방지 방법을 수행하는 환경의 개념도.3 is a conceptual diagram of an environment for performing a phishing prevention method according to the present invention.
도 4와 도 5는 본 발명의 다른 실시예에 의한 피싱 방지 방법의 흐름도.4 and 5 are a flow chart of a phishing prevention method according to another embodiment of the present invention.
본 발명은 피싱 방지 방법 및 피싱 방지 프로그램이 기록된 컴퓨터 판독 가능 기록 매체에 관한 것이다.The present invention relates to a computer-readable recording medium having a phishing protection method and a phishing protection program recorded thereon.
피싱(Phishing)은 카딩(Carding) 또는 스푸핑(spoofing)으로도 알려져 있는데, 불특정 다수인에게 전자 메일을 보내서 수신인의 개인 정보를 빼내기 위해 많이 쓰이는 불법적인 방법이다. 전자 메일 주소나 메일 메시지의 형식을 널리 알려진 저명한 사이트의 그것과 유사하게 구성함으로써 수신인의 착각을 초래하여, 수 신인이 링크되어 있는 불법적인 사이트로 이동해서 자신의 개인 정보를 입력하면 이를 이용하여 불법적으로 개인 정보를 획득하는 것이다.Phishing, also known as carding or spoofing, is an illegal method that is commonly used to send e-mail to an unspecified number of people to extract the recipient's personal information. By constructing an e-mail address or the format of a mail message similar to that of a well-known prominent site, it causes the recipient to be mistaken, and if the recipient goes to an illegal site to which the recipient is linked and enters his or her personal information, To obtain personal information.
도 1에는 이러한 피싱을 설명하기 위한 도면이 도시되어 있는데, 전자 메일 메시지(10)에는 보낸 사람 정보(11)와, 전자 메일 본문(12), 그리고 링크(15)가 포함되어 있다. 보낸 사람 정보(11)에는 보통 주지 저명한 사이트의 전자 메일 주소와 유사한 정보가 포함되어 있다. 도 1에 예시된 도면에서는 보낸 사람의 전자 메일 주소 중 아이디를 제외한 부분이 "ebey.com"으로서, 세계적으로 유명한 "ebay.com"과 유사한 주소를 사용하는 것을 예시하였다. 그러나 이러한 도메인 네임은 송신자가 유명한 도메인 즉 위 사례에서는 "ebay.com"으로 변경하여 보낼 수있다. 이 실제 전자 메일 주소는 보낸 사람의 명칭만 "이베이 고객지원부" 등으로 표시되게 함으로써 한눈에 안 보이게 은닉하는 것도 가능하다. 전자 메일 본문(12)에는 보통 수신인이 개인 정보를 입력하도록 만드는 문구가 표시되어 있다. 예를 들어, "새로운 부가 서비스를 받으시기 위해서는 고객님 개인 정보의 업데이트가 필요하오니 아래 링크를 클릭하시어 개인 정보를 입력해 주시기 바랍니다."와 같은 문구가 표시될 수 있다.1 illustrates a diagram for explaining such phishing, and an
링크(15)에는 피싱 사이트가 연결되도록 하는 링크 정보가 포함되어 있다. 이베이가 보낸 전자 메일로 수신인이 오해하고 링크(12)를 클릭하면 곧바로 피싱 사이트의 페이지(12)가 표시되고, 이 피싱 사이트의 페이지(12)에는 개인 정보 입력란(25)이 제공된다. 이미 저명한 사이트인 이베이가 보낸 전자 메일이라고 착각하고 있는 수신인은 아무 의심없이 개인정보입력란(25)에 자신의 개인 정보를 입력 함으로써 이를 고스란히 피싱 사이트에 알려주는 셈이 되고 만다.The
최근에 개인의 금융 정보나 신상 정보가 이러한 피싱 사이트를 통해 유출되어 이 정보가 불법적으로 이용됨으로써 피해를 보는 사례가 속출하고 있으며, 이를 방지하기 위한 다양한 시도가 이루어지고 있다. 그 방법 중의 하나로 웹 브라우저에 툴바(tool-bar)를 설치하고, 전세계 툴바 사용자가 피싱을 신고하면 그 피싱 정보를 툴바 제공업체의 데이터베이스에 기록해 둠으로써 그 이후에는 다른 사용자가 해당 피싱 사이트에 의해서는 피싱 피해를 입지 않도록 하는 방법이 있다. 그러나 이러한 방법은 누군가가 피싱을 신고한 후라야만 피싱이 방지되는 한계가 있었으며, 툴바를 제공하는 툴바 제공업체도 여러 군데가 있어서, 피싱 정보가 공유되지 않으면 자신의 웹 브라우저에 설치된 툴바의 사용자가 신고한 피싱 사이트에 의해서만 피해를 방지할 수 있는 생래적인 한계가 있었다.Recently, financial information and personal information of individuals have been leaked through such phishing sites, and this information is illegally used to cause damages. Various attempts have been made to prevent this. One way to do this is to install a toolbar in a web browser, and when toolbar users around the world report phishing, record the phishing information in a toolbar provider's database so that other users can no longer use the phishing site. There are ways to prevent phishing damage. However, this method was limited to phishing only after someone reported phishing, and there are several toolbar providers that provide toolbars. If the phishing information is not shared, the user of the toolbar installed in his web browser is notified. There was a natural limit to the damage that could be prevented by only one phishing site.
피싱을 저지하기 위한 다른 방법으로 미국특허출원공개 2005/0086161A1에 개시된 방법이 있다. 이 방법에서는 은행이나 금융 기관 등에서 유효하지 않은(invalid) 금융 데이터를 저장한 데이터베이스를 구축하고, 저장된 유효하지 않은 금융 데이터를 공개하는 미끼 웹 사이트를 생성한 다음에, 금융 데이터를 획득하려는 의심스러운 시도를 하는 자에게 이 유효하지 않은 금융 데이터를 공개하고, 이 자가 공개된 금융 데이터를 이용하여 금융 거래를 시도하는 것으로 감지하면 이를 부정행위로 간주하여 추적하는 취지의 방법이 기재되어 있다. 그러나 이러한 피싱 방지 방법은, 전술한 바와 같은 방법을 통해 피싱을 간접적으로 방지할 수는 있을 지언정 피싱 방지의 효율성 측면에서는 여전히 한계를 가지고 있으며, 금융 기관 등에서 시스템을 갖추어야 하는 등 불편한 점이 있다.Another method for preventing phishing is the method disclosed in US Patent Application Publication 2005 / 0086161A1. In this method, a suspicious attempt is made to obtain financial data after building a database that stores invalid financial data in a bank or financial institution, creating a bait website that discloses the stored invalid financial data. It discloses a method of disclosing this invalid financial data to a person who conducts the transaction and if it detects that he or she is attempting a financial transaction using the disclosed financial data. However, although the phishing prevention method can prevent phishing indirectly through the above-described methods, there are still limitations in terms of the efficiency of phishing prevention, and there are inconveniences in that a financial institution must have a system.
또 다른 피싱 방지 기술로서 미국특허 제6,732,157호에 개시된 전자 메일의 안티-스팸 필터링 기술이 공개되어 있다. 그러나 스팸 메일 필터링 기능은 본래 수신해야 하는 전자 메일까지도 부당하게 필터링하는 단점이 있으므로 여전히 사용자에게는 불편함을 동반하기 마련이며, 사용자가 정의한 규칙에 포함되지 않아서 필터링되지 않고 수신한 피싱 메일에 대해서는 사용자가 여전히 혼동에 빠져 피싱 사이트에 개인 정보를 입력할 위험성이 상존하는 문제점이 있다.As another anti-phishing technique, an anti-spam filtering technique of e-mail disclosed in US Pat. No. 6,732,157 is disclosed. However, spam filtering still has the disadvantage of unfairly filtering even the e-mails that should be received. The spam filtering function still has inconvenience for users. Still confused, there is a problem that there is a risk of entering personal information into a phishing site.
현재 상용되고 있는 다른 피싱 방지 방법으로는 메시지의 송신자를 인증하는 방법이 www.microsoft.com/mscorp/twc/privacy/spamsenderid.mspx, http://antispam.yahoo.com/domainkeys, www.wholesecurity.com 등에 개시되어 있는데, 이러한 방법은 메일 서버를 변경해야 하고 피싱 공격자가 가장된 메시지를 위에서 제안된 방법에 따라 송신하는 경우라면 여전히 피싱 공격이 가능하게 되는 한계가 있다.Other anti-phishing methods currently in use include: www.microsoft.com/mscorp/twc/privacy/spamsenderid.mspx, http://antispam.yahoo.com/domainkeys, www.wholesecurity. com, etc., this method has a limitation in that a phishing attack is still possible if the mail server needs to be changed and a phishing attacker sends a disguised message according to the method proposed above.
그리고http://cups.cs.cmu.edu/soups/2005/2005proceedings/p77-dhamija.pdf 에는 사용자에게 웹 서버별로 속이기 어려운 배경 이미지를 선택하게 하고 해당하는 배경 이미지가 보여지는 경우에만 패스워드를 입력하도록 하는 피싱 방지 방법이 개시되어 있다. 그러나 이 방법에 의하더라도 사용자가 효과적으로 구분할 수 있는 배경 이미지의 개수에 한계가 있으므로 수많은 웹사이트에 적용하기에는 부적절하다.And in http://cups.cs.cmu.edu/soups/2005/2005proceedings/p77-dhamija.pdf, the user will be asked to select a background image that is difficult to deceive by web server and only enter a password if the background image is shown. An anti-phishing method is disclosed. However, even with this method, there is a limit on the number of background images that can be effectively distinguished by the user, which is not suitable for many websites.
www.mfn.org/~herzbea/Papers/ecommerce/trusted credential area.pdf에는 웹 브라우저가 SSL 인증서로 웹 서버를 인증하고, SSL 인증서와 결합된 웹 사이트의 로고를 통해 사용자가 웹 서버를 인지하도록 하는 방법이 개시되어 있다. 그러나 이러한 방법은 SSL을 사용하지 않는 경우에 적용할 수 없으며 인증 기관이 특정 로고와 인증서 주체 간의 관계를 다르게 설정하는 경우에 오히려 더 큰 위험에 노출되는 한계가 있다.www.mfn.org/~herzbea/Papers/ecommerce/trusted credential area.pdf includes a web browser that authenticates the web server with an SSL certificate and allows the user to recognize the web server through the logo of the website combined with the SSL certificate. A method is disclosed. However, this method is not applicable when SSL is not used, and there is a limit to the greater risk if the certification authority sets the relationship between the specific logo and the certificate subject differently.
본 발명은 이러한 종래 기술의 문제점을 해결하고 피싱을 효율적이고 안전하게 방지하면서 사용자에게 불편함을 야기하지 않은 피싱 방지 프로그램이 기록된 컴퓨터 판독 가능 기록 매체와 그러한 피싱 방지 방법을 제공하는 것을 목적으로 한다.It is an object of the present invention to solve such problems of the prior art and to provide a computer readable recording medium on which an anti-phishing program is recorded, which effectively and safely prevents phishing, and which does not cause inconvenience to a user, and a method for preventing such phishing.
본 발명에 의한, 전자 메일을 통한 피싱(Phishing) 방지 방법은, (1) 상기 전자 메일에 포함되어 있는 링크 접속 요구가 있으면 상기 전자 메일의 내용에서 인식 단어를 추출하는 단계와, (2) 상기 추출된 인식 단어에 기초하여 오인 가능성이 있는 정상 유알엘(URL)을 추출하는 단계와, (3) 상기 추출된 정상 유알엘의 목록을 표시하도록 하는 단계와, (4) 상기 표시된 정상 유알엘의 목록 중 사용자가 선택한 목록을 입력받는 단계와, (5) 상기 입력받은 선택 유알엘 목록과 상기 전자 메일에 포함된 링크의 유알엘을 비교하는 단계를 포함한다.According to the present invention, a method for preventing phishing through e-mail includes: (1) extracting a recognized word from contents of the e-mail when a link connection request included in the e-mail is present; Extracting a normal URL that is likely to be misleading based on the extracted recognition word, (3) displaying a list of the extracted normal UELs, and (4) a user among the displayed list of normal UELs Receiving a list selected by the user; and (5) comparing the received selection list with the URL of the link included in the e-mail.
이러한 본 발명에 의하면, 전자 메일에 포함되어 있는 인식 단어를 추출하여 이에 바탕을 둔 정상 유알엘을 추출하고 이 목록을 전자 메일 수신자에게 제공함으 로써, 수신자에게 주위를 환기시킬 수 있고, 한번 더 피싱 메일인지 여부를 확인할 수 있게 함으로써 피싱을 방지할 수 있다. 즉 정상 유알엘 목록 중에서 수신자가 선택한 유알엘과 실제 전자 메일에 포함되어 있는 링크의 유알엘을 비교하여 양자가 상이하다면 이를 피싱 의심이 있는 전자 메일로 분류하여 수신자에게 알려 줌으로써 피싱을 효과적으로 방지할 수 있다.According to the present invention, by extracting the recognition word included in the e-mail and extracting the normal UAL based on this and providing this list to the e-mail recipient, it is possible to remind the recipients, once again phishing mail Phishing can be prevented by being able to check whether or not it is. In other words, by comparing the URLs selected by the recipient among the regular URLs and the URLs of the links included in the actual e-mail, if they are different, the phishing can be effectively prevented by classifying them as e-mails with phishing suspicion.
이러한 피싱 방법은 컴퓨터 프로그램에 의하여 수행되며, 본 발명은 이러한 프로그램이 기록된 컴퓨터 판독 가능 기록 매체에 관한 것이기도 하다.Such a phishing method is performed by a computer program, and the present invention also relates to a computer readable recording medium having such a program recorded thereon.
상기 정상 유알엘을 추출하는 단계는, 상기 추출된 인식 단어를 이용하여 웹 검색 응용프로그램 인터페이스(API)를 이용하여 수행되는 것이 바람직하다. 즉 인식 단어를 검색 사이트 예를 들어 www.google.com 이나 www.naver.com에 입력하여 정상 유알엘을 추출한다. 즉 이러한 검색 포털 사이트에 인식 단어를 입력하는 경우 검색 결과로 표시되는 사이트들은 주지 저명한 것들이 상위에 표시되는데 이 주지 저명한 사이트들의 정상 유알엘을 추출할 수 있다.The extracting of the normal URL may be performed using a web search application program interface (API) using the extracted recognition word. In other words, the recognition word is entered into a search site, for example, www.google.com or www.naver.com, to extract a normal URL. In other words, when the recognition word is entered into the search portal site, the sites displayed as the search results are well-known to the top, and the normal UALs of the well-known sites can be extracted.
본 발명의 양호한 실시예에 의하면 상기 피싱 방지 방법은 상기 선택 유알엘 목록과 링크의 유알엘이 동일하면 상기 인식 단어와 선택 유알엘을 데이터 베이스에 기록하는 단계를 더 포함한다. 즉 링크에 포함되어 있는 링크 유알엘이 정상적인 경우 이를 데이터베이스에 기록하여 차후에 다시 링크할 때에는 피싱 방지 과정을 수행하지 않도록 하여 번거롭지 않도록 하기 위함이다.According to a preferred embodiment of the present invention, the anti-phishing method further includes the step of recording the recognition word and the selection URL in the database if the selection URL is identical to the URL of the selection URL. In other words, if the link UAL included in the link is normal, it is recorded in the database so that the phishing prevention process is not performed when linking again in the future, so that it is not troublesome.
본 발명의 양호한 실시예에 의하면, 인식 단어를 추출하는 단계는 전자 메일에 포함되어 있는 하이퍼텍스트(hypertext), 빈도가 높은 문자열, 해당 전자 메일 의 송신자 도메인 중 적어도 어느 하나를 추출하는 단계일 수 있다. 통상 피싱 메일을 보면, 하이퍼텍스트나, 전자 메일 메시지에 자주 등장하는 문자열, 그리고 전자 메일 송신자의 도메인에 수신자의 오인을 유발하는 문자열이 많이 있기 때문에 이러한 정보를 이용해서 인식함수를 추출한다.According to a preferred embodiment of the present invention, the extracting of the recognition word may include extracting at least one of a hypertext included in the e-mail, a high frequency string, and a sender domain of the e-mail. . In general phishing mails, recognition information is extracted using hypertext, a string that frequently appears in an e-mail message, and a string that causes the recipient to be misunderstood in the domain of the e-mail sender.
한편, 상기 데이터베이스는 튜플(tuple)로 구성되는 것이 바람직하다. 이렇게 하면, 인식 단어와 링크 유알엘 또는 선택 유알엘을 튜플로 구성함으로써 동일한 인식 단어를 재차 포함한 전자 메일이 수신되었을 때에 다시 검색 엔진 등을 작동시킬 필요없이 정상 유알엘을 찾을 수 있는 장점이 있다.On the other hand, the database is preferably composed of a tuple (tuple). This makes it possible to find the normal UAL without configuring the recognition word and the link UAL or the selection UAL as a tuple without having to operate the search engine again when an e-mail containing the same recognition word is received again.
본 발명의 다른 실시예에 의하면, 상기 피싱 방지 방법은, (1) 전자 메일을 수신할 때에 링크 유알엘(URL)을 포함하는 전자 메일에 대해서 인식 단어를 추출하는 단계와, (2) 상기 추출된 인식 단어에 기초하여 오인 가능성이 있는 정상 유알엘(URL)을 추출하는 단계와, (3) 상기 추출된 정상 유알엘과 링크 유알엘을 비교하는 단계와, (4) 링크 유알엘과 일치하는 정상 유알엘이 없는 경우에는 해당 전자 메일을 피싱 의심 전자 메일로 분류하는 단계와, (5) 상기 피싱 의심 전자 메일로 분류된 전자 메일에 포함된 링크 접속 요구가 있으면 피싱 의심 전자 메일임을 경고하는 소정의 출력을 발생시키는 단계를 포함할 수도 있다.According to another embodiment of the present invention, the phishing prevention method includes the steps of: (1) extracting a recognition word for an e-mail including a link URL (URL) when receiving the e-mail, and (2) the extracted Extracting a normal URL that is likely to be mistaken based on a recognized word, (3) comparing the extracted normal URL with a link URL, and (4) if there is no normal URL that matches the link URL Classifying the e-mail as suspicious e-mail, and (5) generating a predetermined output to warn that the e-mail is suspicious if there is a link connection request included in the e-mail classified as suspicious e-mail. It may also include.
이 실시예에 의하면, 전자 메일 수신 단계에서 미리 피싱 의심 전자 메일을 분류해 둠으로써 사용자가 링크를 클릭할 때마다 매번 피싱 전자 메일 검출 과정을 거치지 않아도 되므로 사용자의 번거로움을 줄일 수 있다.According to this embodiment, since the phishing e-mail is classified in advance in the e-mail receiving step, the user does not have to go through the phishing e-mail detection process every time the user clicks the link, thereby reducing the user's inconvenience.
이하에서는 첨부 도면을 참조하여 본 발명의 양호한 실시예에 대해서 상세하 게 설명하기로 한다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention.
도 3에는 본 발명에 의한 피싱 방지 방법이 수행되는 환경의 일례가 도시되어 있다. 도시되어 있는 바와 같이 이 환경은 피싱 공격 검출 모듈(100)과, 메일 클라이언트(300)와, 인식 유알엘(URL) 데이터베이스(150)와, 사용자(350)를 포함한다.3 shows an example of an environment in which a phishing prevention method according to the present invention is performed. As shown, this environment includes a phishing
개념적으로 피싱공격 검출모듈(100)은 메일 클라이언트(300)와 링크 사이트(20) 사이에 위치하여 수신자가 전자 메일(10)에 포함되어 있는 링크(15)를 클릭하더라도 곧바로 링크 사이트(20)로 연결되지 않도록 하고 후술하는 소정의 피싱 검출 과정을 거치도록 한다. 피싱공격 검출모듈(100)은 메일 클라이언트(300)에 애드온(add-on) 형태로 포함될 수도 있으며, 메일 클라이언트(300)와 연동되는 별도의 프로그램의 형태를 취할 수도 있다.Conceptually, the phishing
인식 유알엘 데이터베이스(150)에는 후술하는 바와 같이 정상적인 사이트로 판단된 정상 유알엘 정보를 기록해 두는 곳이다. 정상 유알엘로 기록된 정보는, 차후에 전자 메일이 와서 수신자가 링크를 클릭하면 정상적인 링크 사이트로 인식하여 피싱 공격 검출모듈(100)은 사용자(350)에게 오인 가능 유알엘 목록을 제공하고, 사용자(350)는 이 중에서 자신이 인식한 유알엘을 선택하여 피신공격 검출모듈(100)에 제공한다.The
도 2에는 본 발명에 의한 본 발명에 의한 피싱 메일 검출 과정의 흐름도가 도시되어 있다.2 is a flowchart illustrating a phishing mail detection process according to the present invention according to the present invention.
단계(200)에서는 전자 메일을 받은 사용자(350)가 전자 메일 메시지(10)에 포함되어 있는 링크(15)를 클릭하여 링크 사이트 접속 요구가 있는지를 판단한다. 링크 접속 요구가 없으면 본 발명에 의한 피싱 방지 방법은 수행되지 않는다. 링크(15)를 클릭해서 링크 사이트 접속 요구가 있으면 단계(205)로 이행해서 데이터베이스(150)에 기록된 정상 링크 사이트인지를 판단한다. 기존에 본 발명에 의한 피싱 방지 과정을 거치면서 정상 유알엘로 판단된 유알엘은 인식 유알엘 데이터베이스(150)에 기록되는데, 이와 같이 기록된 유알엘이면 본 발명에 의한 피싱 검출 과정을 거칠 필요없이 곧바로 단계(270)로 이행하여 웹 브라우저를 호출하고 링크 사이트(20)의 페이지를 표시한다.In
인식 유알엘 데이터베이스(150)에 기록되어 있지 않은 유알엘이라면 단계(210)로 이행한다. 단계(210)에서는 전자메일 메시지(10)에서 인식 단어를 추출한다. 인식 단어 추출은 인식 단어 추출함수를 이용해서 이루어진다. 인식 단어라 함은 전자 메일 메시지(10)로부터 수신자가 "정상적인" 전자 메일이라고 오인할 만한 단어를 의미한다. 피싱 메일은 유명한 웹사이트로부터 발송된 전자 메일인 것으로 가장하기 때문에, 전자 메일 메시지(10)의 본문(12) 등에 포함되어 있는 하이퍼텍스트나, 본문(12)에 자주 등장하는 단어, 보낸 사람 정보(11) 등을 참조하면 사용자(350)가 오인할 만한 문자열을 추출하는 것이 가능하다. 본 발명의 발명자는 이 중에서 하이퍼텍스트를 바탕으로 인식 단어를 추출하는 것이 유리하다고 생각하고 있지만, 인식 단어를 추출하는 것은 여러 가지 알고리즘을 사용하는 것이 가능하며 그러한 알고리즘 "자체"에 본 발명의 특징이 부여되는 것은 아니다.If the UEL is not recorded in the
설명의 편의성을 위하여 이하에서는 다음과 같은 상황을 가정하여 설명하기 로 한다. 피싱 메일을 보내는 자가 오인시키고자 하는 사이트는 "www.ebay.com"이며, 피싱 전자 메일(10)의 링크(15)를 클릭했을 때에 접속되도록 되어 있는 피싱 사이트는 "www.ebey.com"이라고 가정한다.For convenience of explanation, hereinafter, it will be described assuming the following situation. The site that the phishing e-mailer wants to misunderstand is "www.ebay.com", and the phishing site that is accessed when the user clicks the
전자 메일 메시지(10)에는 하이퍼텍스트로 www.ebay.com이 포함되어 있으며, 본문(12)에도 "ebay"라는 문자열이 여러 개 산재해 있다고 가정한다.It is assumed that the
이러한 상황에서 단계(210)에서 추출되는 인식 단어는 "ebay"가 된다.In this situation, the recognition word extracted in
다음으로 단계(215)로 이행하여 추출된 인식 단어 "ebay"에 기초하여 오인 가능성이 있는 정상 유알엘을 추출한다. 이러한 정상 유알엘을 추출하는 과정은 상기 추출된 인식 단어 "ebay"를 이용하여 웹 검색 응용프로그램 인터페이스(API)를 이용하여 수행될 수 있다. 그러나 이 정상 유알엘 추출 방법은 본 명세서를 보고 본 발명을 이해한 당업자라면 다양하게 구현할 수 있다.Next, the process proceeds to step 215 to extract a normal UAL that is likely to be mistaken based on the extracted recognition word "ebay". The process of extracting the normal UAL may be performed using a web search application program interface (API) using the extracted recognition word “ebay”. However, this normal UEL extraction method can be variously implemented by those skilled in the art after reading the present specification.
단계(210)에서 추출된 인식 단어 "ebay"를 기초로 정상 유알엘을 추출하면 www.ebay.com, www.ebay.co.uk, www.ebay.ca 등이 추출된다. 단계(220)에서는 이러한 정상 유알엘 목록을 표시하여 사용자(350)에게 제공한다. 이러한 정상 유알엘 목록이 표시되면 사용자(350)는 이 중에서 자신이 인식했다고 믿는 정상 유알엘을 선택한다.When the normal UAL is extracted based on the recognition word “ebay” extracted in
사용자(350)가 선택한 인식 유알엘을 전달받은 피싱 공격 검출 모듈(100)은 입력된 인식 유알엘과 전자 메일 메시지(10)의 링크(15)에 포함되어 있는 유알엘을 비교한다. 전자 메일 메시지(10)가 피싱 공격자에 의해 송신된 것이라면 링크(15)에 포함되어 있는 유알엘은 피싱 사이트의 유알엘일 것이다.The phishing
단계(235)에서는 피싱 공격 검출 모듈(100)이 사용자(350)로부터 전달받은 인식 유알엘과 링크 유알엘이 동일한지 여부를 판단해서 양자가 동일하다고 판단되면 링크(15)에 포함되어 있는 링크 유알엘이 피싱 사이트가 아닌 것으로 판단하고 웹 브라우저를 호출해서 링크 사이트(20)로 연결하고 링크 사이트(20) 페이지를 표시한다.(단계(240)) 그 다음에 단계(245)로 이행하여 상기 링크 유알엘 정보와 인식 단어를 인식 유알엘 데이터베이스(150)에 기록하고 피싱 검출 과정을 종료한다. 인식 단어와 링크 유알엘 및/또는 선택 유알엘을 기록하는 데이터베이스는 튜플로 구성하는 것이 바람직하다.In
단계(235)에서 링크 유알엘과 사용자가 선택한 입력 유알엘이 동일하지 않은 것으로 판단되면 단계(250)로 이행하여 피싱 경고 문구를 표시하고 링크 사이트(20)로의 연결을 거절한다. 단계(255)에서는 사용자 강제 연결 옵션 버튼을 표시한다. 이것은 전술한 과정을 거쳤음에도 불구하고 사용자는 링크 사이트가 정상적이라고 보는 경우 사용자(350)가 강제로 링크 사이트에 연결할 수 있도록 하기 위함이다. 단계(260)에서 사용자 강제 연결 명령이 있으면 웹 브라우저를 호출하여 링크 사이트(20)에 연결하고 웹 페이지를 표시한다. 그러나 사용자 강제 연결 과정은 본 발명에 필수적인 과정은 아니다.If it is determined in
도 4와 도 5에는 본 발명의 다른 실시예에 의한 피싱 검출 과정의 순서도가 도시되어 있다. 이 실시예에서는 전자 메일을 수신할 때에 미리 피싱 의심 전자 메일을 분류해 놓고 사용자(350)가 전자 메일 메시지에 포함되어 있는 링크(15)를 클릭할 때마다 피싱 검출 과정을 수행할 필요없이 피싱 전자 메일이라고 의심이 가 는 것에 대해서만 피싱 검출 과정을 수행하는 방법에 관한 것이다.4 and 5 show flowcharts of a phishing detection process according to another embodiment of the present invention. In this embodiment, the phishing e-mail is classified in advance when the e-mail is received, and the phishing e-mail does not need to be performed every time the
전자 메일을 수신하게 되면(단계(400)), 피싱 공격 검출 모듈(100)은 전자 메일 메시지에 링크 유알엘이 포함되어 있는지를 판단한다.(단계(405)) 링크 유알엘이 포함되어 있지 않으면 피싱의 가능성이 거의 없는 것으로 판단하고 종료하며, 링크 유알엘이 포함되어 있는 전자 메일 메시지에 대해서만 피싱 의심 전자 메일 분류 과정을 수행한다. Upon receiving the e-mail (step 400), the phishing
단계(410)에서는 상기 링크 유알엘이 인식 유알엘 데이터베이스(150)에 저장되어 있는 유알엘인지 여부를 판단한다. 기존에 정상 링크 유알엘로 판명되어 데이터베이스(150)에 기록되어 있는 것이라면 수신 절차를 종료한다.In
인식 유알엘 데이터베이스(150)에 기록되어 있지 않은 전자 메일이라면 전자 메일 메시지에서 인식 단어를 추출한다.(단계(415)) 인식 단어를 추출하는 방법은 도 2를 참조하여 설명하여 전술한 바와 대동소이하다. 이렇게 추출된 인식 단어에 기초하여 단계(420)에서 오인 가능성이 있는 정상 유알엘을 추출하며, 추출된 정상 유알엘과 링크 유알엘을 단계(425)에서 비교한다. 단계(430)에서는 정상 유알엘 중에서 링크 유알엘과 일치하는 것이 있는지 여부를 판단한다. 만약 링크 유알엘과 일치하는 정상 유알엘이 없는 것으로 판명되면 단계(445)로 이행하여 정상 유알엘과 링크 유알엘을 저장한다. 이 정상 유알엘과 링크 유알엘은 해당 전자 메일 메시지와 연동되어 기록되는 것이 바람직하다. 한편, 링크 유알엘과 일치하는 정상 유알엘이 있는 것으로 판명되면 해당 링크 유알엘과 인식 단어를 인식 유알엘 데이터베이스(150)에 기록하고 과정을 종료한다.If the e-mail is not recorded in the
전자 메일 메시지 수신 단계에서 이와 같은 방법으로 피싱 의심 전자 메일을 분류해 놓으면 사용자의 번거로움이 저감되는 효과가 있다.In the e-mail message receiving step, the phishing suspicious e-mail is classified in this manner, thereby reducing the user's inconvenience.
도 4의 과정을 거쳐서 피싱 의심 전자 메일이 분류된 이후에 사용자가 실제로 전자 메일 메시지를 열어서 링크 사이트로 이동하고자 하는 경우의 흐름도가 도 5에 도시되어 있다.After the phishing suspicious e-mail is classified through the process of FIG. 4, a flowchart of a case in which the user actually opens the e-mail message and moves to the link site is shown in FIG. 5.
전자 메일 메시지의 링크 접속 요구가 있으면(단계(500)), 단계(505)에서 도 4와 같은 과정을 거쳐서 피싱 의심 전자 메일로 분류된 전자 메일인지 여부를 판단한다. 피싱 의심 전자 메일이 아니면 단계(540)로 이행하여 웹 브라우저를 호출해서 링크 사이트를 연결한다. 이와 같이 곧바로 링크 사이트에 연결할 수도 있고, 단계(540) 이전에 인식 유알엘 데이터베이스(150)에 기록된 링크 유알엘인지를 판단하는 단계를 두어서 인식 유알엘 데이터베이스(150)에 기록된 경우에만 링크 사이트를 연결하도록 하여 혹시 피싱 분류 과정에서 누락되는 경우를 대비하도록 할 수도 있다.If there is a link connection request of the e-mail message (step 500), it is determined in
단계(505)에서 피싱 의심 메일로 분류된 전자 메일로 판단되면 단계(510)에서 피싱 의심 전자 메일임을 경고하는 경고 문구를 표시하고, 해당 링크 사이트로의 연결을 거절한다. 그러나 단계(515)에서 강제 연결 옵션 버튼을 표시하여 사용자가 강제연결할 수 있도록 하는 장치를 두는 것이 바람직하다. 단계(520)에서 강제 연결이 있는 것으로 판단되면 단계(525)로 이행하여 링크 사이트를 강제로 연결하고 웹 페이지를 표시한다.If it is determined in
전술한 본 발명에 의한 피싱 방지 방법은 컴퓨터 프로그램에 의해서 수행되 는 것이 가능하며, 그러한 컴퓨터 프로그램이 기록된 컴퓨터 판독 가능 기록 매체도 본 발명의 권리범위에 포함된다.The antiphishing method according to the present invention described above can be performed by a computer program, and a computer readable recording medium on which such a computer program is recorded is included in the scope of the present invention.
이상 첨부 도면을 참조하여 본 발명의 양호한 실시예에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의하여 정하여지며 첨부 도면 및/또는 전술한 실시예에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및/또는 수정도 본 발명의 권리범위에 포함된다.Although the preferred embodiments of the present invention have been described above with reference to the accompanying drawings, the scope of the present invention is defined by the appended claims and should not be construed as limited to the accompanying drawings and / or the embodiments described above. In addition, improvements, changes, and / or modifications apparent to those skilled in the art of the invention described in the claims are included in the scope of the present invention.
본 발명에 의하면, 전자 메일 메시지에 포함되어 있는 링크를 수신자가 클릭하여 링크 사이트로의 연결을 시도할 때 이 링크 사이트가 불법적인 피싱 사이트인지 여부를 판단할 수 있으므로 피싱을 통한 개인 정보 유출을 편리하게 방지할 수 있는 효과가 제공된다.According to the present invention, when a recipient clicks on a link included in an e-mail message and attempts to connect to the link site, it is possible to determine whether the link site is an illegal phishing site, and thus, it is convenient to leak personal information through phishing. The effect is prevented.
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050115217A KR100693842B1 (en) | 2005-11-30 | 2005-11-30 | Fishing-preventing method and computer-readable recording medium where computer program for preventing phishing is recorded |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020050115217A KR100693842B1 (en) | 2005-11-30 | 2005-11-30 | Fishing-preventing method and computer-readable recording medium where computer program for preventing phishing is recorded |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100693842B1 true KR100693842B1 (en) | 2007-03-12 |
Family
ID=38103356
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020050115217A KR100693842B1 (en) | 2005-11-30 | 2005-11-30 | Fishing-preventing method and computer-readable recording medium where computer program for preventing phishing is recorded |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100693842B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100929693B1 (en) | 2007-10-10 | 2009-12-03 | 김진우 | How to prevent phishing with routing points |
KR101142932B1 (en) | 2008-10-06 | 2012-05-10 | 에스케이텔레콤 주식회사 | System for preventing phising in video-telecommunication and method thereof |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050112508A (en) * | 2005-10-21 | 2005-11-30 | 한재호 | Method and system on internet site authentication using bar code technology |
-
2005
- 2005-11-30 KR KR1020050115217A patent/KR100693842B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20050112508A (en) * | 2005-10-21 | 2005-11-30 | 한재호 | Method and system on internet site authentication using bar code technology |
Non-Patent Citations (1)
Title |
---|
10-2005-112508 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100929693B1 (en) | 2007-10-10 | 2009-12-03 | 김진우 | How to prevent phishing with routing points |
KR101142932B1 (en) | 2008-10-06 | 2012-05-10 | 에스케이텔레콤 주식회사 | System for preventing phising in video-telecommunication and method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8010612B2 (en) | Secure transactional communication | |
RU2744671C2 (en) | System and methods for detecting network fraud | |
US8291065B2 (en) | Phishing detection, prevention, and notification | |
US7634810B2 (en) | Phishing detection, prevention, and notification | |
Fette et al. | Learning to detect phishing emails | |
US20080172738A1 (en) | Method for Detecting and Remediating Misleading Hyperlinks | |
EP1863240B1 (en) | Method and system for phishing detection | |
US8776224B2 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
US8615802B1 (en) | Systems and methods for detecting potential communications fraud | |
US8984289B2 (en) | Classifying a message based on fraud indicators | |
US8074162B1 (en) | Method and system for verifying the appropriateness of shared content | |
US20090089859A1 (en) | Method and apparatus for detecting phishing attempts solicited by electronic mail | |
Gastellier-Prevost et al. | Decisive heuristics to differentiate legitimate from phishing sites | |
US7841003B1 (en) | Phishing solution method | |
US20060070126A1 (en) | A system and methods for blocking submission of online forms. | |
US20070136806A1 (en) | Method and system for blocking phishing scams | |
US20090328208A1 (en) | Method and apparatus for preventing phishing attacks | |
Banerjee et al. | SUT: Quantifying and mitigating url typosquatting | |
CN109039874B (en) | Mail auditing method and device based on behavior analysis | |
CN113630397A (en) | E-mail security control method, client and system | |
WO2017162997A1 (en) | A method of protecting a user from messages with links to malicious websites containing homograph attacks | |
US20210081962A1 (en) | Data analytics tool | |
KR100693842B1 (en) | Fishing-preventing method and computer-readable recording medium where computer program for preventing phishing is recorded | |
US10999322B1 (en) | Anti-phishing system and method using computer vision to match identifiable key information | |
Suriya et al. | An integrated approach to detect phishing mail attacks: a case study |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130306 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140306 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20150306 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20160307 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20170306 Year of fee payment: 11 |
|
FPAY | Annual fee payment |
Payment date: 20180305 Year of fee payment: 12 |
|
FPAY | Annual fee payment |
Payment date: 20190306 Year of fee payment: 13 |