KR102521677B1 - System and method for monitoring phising damage - Google Patents

System and method for monitoring phising damage Download PDF

Info

Publication number
KR102521677B1
KR102521677B1 KR1020220169657A KR20220169657A KR102521677B1 KR 102521677 B1 KR102521677 B1 KR 102521677B1 KR 1020220169657 A KR1020220169657 A KR 1020220169657A KR 20220169657 A KR20220169657 A KR 20220169657A KR 102521677 B1 KR102521677 B1 KR 102521677B1
Authority
KR
South Korea
Prior art keywords
phishing
information
application
victim
dummy data
Prior art date
Application number
KR1020220169657A
Other languages
Korean (ko)
Inventor
김준엽
Original Assignee
(주)라바웨이브
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)라바웨이브 filed Critical (주)라바웨이브
Priority to KR1020220169657A priority Critical patent/KR102521677B1/en
Application granted granted Critical
Publication of KR102521677B1 publication Critical patent/KR102521677B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures

Abstract

According to an embodiment disclosed in the present document, a phishing damage monitoring system comprises: an extraction unit that extracts phishing server information corresponding to a phishing application; a dummy data generation unit that generates dummy data including virtual information and target information corresponding to a target device; a processing unit that executes the phishing application based on a user input and transmits the dummy data to a phishing server corresponding to the phishing server information through the phishing application; and a monitoring unit that monitors malicious information that the target device receives from an operating subject of the phishing server.

Description

피싱 피해 모니터링 시스템 및 그 방법{SYSTEM AND METHOD FOR MONITORING PHISING DAMAGE}Phishing damage monitoring system and method {SYSTEM AND METHOD FOR MONITORING PHISING DAMAGE}

본 문서에 개시된 실시예들은 피싱 피해 모니터링 시스템 및 그 방법에 관한 것이다.Embodiments disclosed in this document relate to a phishing damage monitoring system and method.

최근에 윈도우 모바일(windows mobile), i-OS(Operating System), 안드로이드(Android) 등의 모바일 운영체제를 적용하여 스마트폰 기능을 수행하는 통신단말장치의 보급이 활성화되었다. Recently, communication terminal devices that perform smartphone functions by applying mobile operating systems such as Windows Mobile, i-OS (Operating System), and Android have become popular.

이와 같은 모바일 운영체제를 적용한 통신 단말 장치에서는 해당 모바일 운영체제를 기반으로 다양한 어플리케이션(application) 프로그램을 실행하여 사용자에게 다양한 정보 처리 서비스를 제공한다. 그리고, 모바일 운영체제를 적용한 통신단말장치는 어플리케이션 프로그램으로서 브라우저(browser)를 구비하고, 해당 브라우저를 실행하여 인터넷 웹 사이트에 통신 접속함으로써, 다양한 웹 사이트의 정보를 사용 자에게 제공한다. 이러한 모바일 운영체제를 적용한 통신 단말 장치는 어플리케이션 프로그램을 실행하여 문자메시지 수신, 멀티 미디어메시지 수신, 이메일 수신, 콘텐츠 거래 등의 수행 시에 유입된 URL에 의거하여 통신 접속을 시도하는 일이 빈번하다. In a communication terminal device to which such a mobile operating system is applied, various information processing services are provided to users by executing various application programs based on the corresponding mobile operating system. Further, a communication terminal device to which a mobile operating system is applied has a browser as an application program, and provides information on various web sites to users by executing the corresponding browser and accessing Internet web sites through communication. Communication terminal devices to which such a mobile operating system is applied frequently attempt to establish a communication connection based on a URL entered when receiving a text message, receiving a multi-media message, receiving an e-mail, or transacting content by executing an application program.

하지만, 이처럼 수신된 URL에 의거한 통신 접속은 접속 대상 사이트의 유해 여부를 확인하지 않고 있기 때문에 피싱 사이트, 국내외 음란 사이트, 사행성 사이트 등과 같은 유해 사이트에 그대로 통신 접속하게 되는 경우가 발생할 수 있다. 이 중에서도 특히 피싱 사이트의 접속은 금융 범죄로 이어지는 경우가 다반사이기 때문에 사회 문제화되고 있다. 예컨대, 문자메시지에 금융기관으로 위장한 피싱 사이트로의 접속을 유도하는 URL 정보가 포함된 경우에 통신 단말 장치가 URL 정보에 따라 피싱 사이트에 쉽게 접속될 수 있으며, 이러한 피싱 사이트에 의해 개인정보가 유출되는 경우가 빈번하게 발생되고 있다.However, since the communication connection based on the URL received in this way does not check whether or not the site to be accessed is harmful, there may be cases in which communication access is made to harmful sites such as phishing sites, domestic and foreign obscene sites, and speculative sites. Among them, access to phishing sites is becoming a social problem because it often leads to financial crimes. For example, if the text message contains URL information that induces access to a phishing site disguised as a financial institution, the communication terminal device can easily access the phishing site according to the URL information, and personal information is leaked by this phishing site. It happens frequently.

일반적으로 피싱 피해를 방지하기 위한 기술은 통신 단말 장치에 수신되는 유해 단문메시지 등을 차단하는 기술들이나, 유해 단문메시지에 포함된 URL 정보에 의한 피싱 사이트의 접속을 차단하는 기술이 있으나, 피싱 어플리케이션에 의해 이미 개인정보가 유출된 경우에 대처할 수 있는 방법이 없다는 문제점이 있었다.In general, technologies for preventing phishing damage include technologies for blocking harmful short messages received by communication terminal devices or technologies for blocking access to phishing sites by URL information included in harmful short messages, but phishing applications There was a problem that there was no way to deal with the case where personal information was already leaked by

또한, 피해자의 추가 피해를 방지하기 위해 개인정보가 유출된 후 가해자의 가해 시도를 실시간으로 모니터링하여 피해자를 가해자의 협박으로부터 사전에 차단하여 보호할 수 없다는 문제점이 있었다. In addition, in order to prevent further damage to the victim, after personal information is leaked, the perpetrator's attempt to harm is monitored in real time, so that the victim cannot be prevented from being threatened by the perpetrator in advance and cannot be protected.

본 문서에 개시되는 실시예에 따르면, 피싱 피해 모니터링 시스템은, 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 추출부; 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 더미데이터 생성부; 사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 처리부; 및 상기 타겟 디바이스가 상기 피싱 서버의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 모니터링부를 포함할 수 있다.According to an embodiment disclosed in this document, a phishing victim monitoring system includes an extractor for extracting phishing server information corresponding to a phishing application; a dummy data generating unit generating dummy data including virtual information and target information corresponding to a target device; a processing unit that executes the phishing application based on a user input and transmits the dummy data to a phishing server corresponding to the phishing server information through the phishing application; and a monitoring unit that monitors the offense information received by the target device from an operating entity of the phishing server.

실시예에 따르면, 상기 모니터링부는, 상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행할 수 있다.According to an embodiment, the monitoring unit may issue a warning to the victim when the target device receives the abuse information.

실시예에 따르면, 상기 모니터링부는, 상기 피해자에게 상기 가해 정보를 전달하여 상기 가해 정보를 차단하여 상기 운영 주체를 차단하도록 상기 경고를 수행할 수 있다.According to an embodiment, the monitoring unit may perform the warning to block the operating entity by transmitting the offending information to the victim and blocking the offending information.

실시예에 따르면, 상기 타겟 정보는 관계 호칭 정보를 포함할 수 있다. According to an embodiment, the target information may include relationship name information.

실시예에 따르면, 상기 가해 정보는 상기 운영 주체의 전화번호, 프로필, 이메일, 계좌 번호, IP 주소 중 적어도 하나를 포함할 수 있다.According to an embodiment, the perpetrator information may include at least one of a phone number, a profile, an email, an account number, and an IP address of the operating entity.

실시예에 따르면, 상기 더미데이터 생성부는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 상기 더미데이터를 생성할 수 있다.According to an embodiment, the dummy data generator may generate the dummy data based on at least one of software, a programming language script, and a user input.

실시예에 따르면, 상기 더미데이터 생성부는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함할 수 있다.According to an embodiment, the dummy data generating unit may include at least one of a phone book generating module, a text message generating module, and a unique identification number generating module.

실시예에 따르면, 상기 처리부는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함할 수 있다.According to an embodiment, the processing unit may include at least one of a mobile device, a virtual machine, and an emulator.

실시예에 따르면, 상기 처리부는 상기 추출부, 상기 더미데이터 생성부 및 상기 모니터링부와 물리적으로 분리되어 구성될 수 있다.According to an embodiment, the processing unit may be configured to be physically separated from the extraction unit, the dummy data generation unit, and the monitoring unit.

실시예에 따르면, 피싱 피해 모니터링 시스템은, 기존의 피해 정보를 저장하고 관리하는 데이터베이스를 더 포함할 수 있다.According to an embodiment, the phishing damage monitoring system may further include a database for storing and managing existing damage information.

실시예에 따르면, 피싱 피해 모니터링 시스템은, 상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보에 기초하여 상기 피싱 어플리케이션을 피해자 단말 또는 상기 데이터베이스로부터 획득하는 어플리케이션 획득부를 더 포함할 수 있다.According to an embodiment, the phishing victim monitoring system may further include an application acquisition unit that obtains the phishing application from the victim terminal or the database based on phishing application information corresponding to the phishing application.

실시예에 따르면, 상기 어플리케이션 획득부는, 상기 피싱 어플리케이션 정보를 상기 데이터베이스의 데이터와 비교한 결과에 기초하여 상기 피싱 어플리케이션을 상기 데이터베이스로부터 획득According to an embodiment, the application acquisition unit obtains the phishing application from the database based on a result of comparing the phishing application information with data of the database.

실시예에 따르면, 상기 모니터링부는 상기 가해 정보에 기초하여 상기 데이터베이스의 데이터를 최신화할 수 있다.According to the embodiment, the monitoring unit may update the data of the database based on the offense information.

본 문서에 개시되는 실시예에 따르면, 피싱 피해 모니터링 방법은, 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 단계; 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 단계; 사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 단계; 및 상기 타겟 디바이스가 상기 피싱 서버 정보의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 단계를 포함할 수 있다.According to an embodiment disclosed in this document, a method for monitoring phishing damage includes extracting phishing server information corresponding to a phishing application; generating dummy data including virtual information and target information corresponding to a target device; executing the phishing application based on a user input and transmitting the dummy data to a phishing server corresponding to the phishing server information through the phishing application; and monitoring abuse information received by the target device from an operator of the phishing server information.

실시예에 따르면, 상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 단계를 더 포함할 수 있다.According to an embodiment, when the target device receives the abuse information, it may further include performing a warning to the victim.

본 문서에 개시되는 실시예들에 따른 피싱 피해 모니터링 시스템 및 방법은, 피해자들이 피싱 어플리케이션을 삭제한 경우에도 데이터베이스를 통해 피싱 어플리케이션을 획득할 수 있어 피해자로부터 피싱 어플리케이션을 획득할 수 없는 경우에도 유출 정보를 보호하고 피싱 피해를 모니터링할 수 있다.The phishing victim monitoring system and method according to the embodiments disclosed in this document can obtain the phishing application through the database even if the victims delete the phishing application, and thus leaked information even when the phishing application cannot be obtained from the victim. and monitor phishing damage.

또한, 본 문서에 개시되는 실시예들에 따른 피싱 피해 모니터링 시스템 및 방법은, 가상 머신 등을 사용하여 피싱 어플리케이션 실행 중에 발생할 수 있는 추가적인 개인 정보 유출을 방지할 수 있다.In addition, the phishing damage monitoring system and method according to the embodiments disclosed in this document can prevent additional leakage of personal information that may occur during execution of a phishing application using a virtual machine or the like.

또한, 본 문서에 개시되는 실시예들에 따른 피싱 피해 모니터링 시스템 및 방법은, 더미데이터가 피싱 어플리케이션에 의해 피싱 서버로 전송되도록 하여 가해자의 의심을 피할 수 있어 작업이 발각될 위험이 적다.In addition, the phishing damage monitoring system and method according to the embodiments disclosed in this document have dummy data transmitted to the phishing server by the phishing application, thereby avoiding the perpetrator's suspicion and reducing the risk of the work being discovered.

이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.In addition to this, various effects identified directly or indirectly through this document may be provided.

도 1은 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 시스템의 동작 구조를 보여주는 도면이다.
도 2a 및 도 2b는 본 문서에 개시된 일 실시예들에 따른 피싱 피해 모니터링 시스템의 블록도이다.
도 3은 본 문서에 개시된 일 실시예에 따른 더미데이터가 피싱 서버로 전송되는 과정을 보여주는 도면이다.
도 4는 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 방법을 설명하기 위한 흐름도이다.1 is a diagram showing an operating structure of a phishing victim monitoring system according to an embodiment disclosed in this document.
2a and 2b are block diagrams of a phishing victim monitoring system according to one embodiment disclosed in this document.
3 is a diagram illustrating a process of transmitting dummy data to a phishing server according to an embodiment disclosed in this document.
4 is a flowchart illustrating a method for monitoring phishing damage according to an embodiment disclosed in this document.

이하, 본 발명의 다양한 실시 예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시 예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다.Hereinafter, various embodiments of the present invention will be described with reference to the accompanying drawings. However, it should be understood that this is not intended to limit the present invention to the specific embodiments, and includes various modifications, equivalents, and/or alternatives of the embodiments of the present invention.

본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나",“A 또는 B 중 적어도 하나”, "A, B 또는 C", "A, B 및 C 중 적어도 하나” 및 “A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, “기능적으로” 또는 “통신적으로”라는 용어와 함께 또는 이런 용어 없이, “커플드” 또는 “커넥티드”라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.In this document, the singular form of a noun corresponding to an item may include one item or a plurality of items, unless the context clearly dictates otherwise. In this document, "A or B", "at least one of A and B", "at least one of A or B", "A, B or C", "at least one of A, B and C" and "A, Each of the phrases such as "at least one of B or C" may include any one of the items listed together in the corresponding one of the phrases, or all possible combinations thereof. Terms such as "first", "second", or "first" or "secondary" may simply be used to distinguish a given component from other corresponding components, and may be used to refer to a given component in another aspect (eg, importance or order) is not limited. A (e.g. first) component is said to be “coupled” or “connected” to another (e.g. second) component, with or without the terms “functionally” or “communicatively”. When mentioned, it means that the certain component may be connected to the other component directly (eg by wire), wirelessly, or through a third component.

본 문서에서 설명되는 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시 예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.Each component (eg, module or program) of the components described in this document may include singular or plural entities. According to various embodiments, one or more components or operations among corresponding components may be omitted, or one or more other components or operations may be added. Alternatively or additionally, a plurality of components (eg modules or programs) may be integrated into a single component. In this case, the integrated component may perform one or more functions of each of the plurality of components identically or similarly to those performed by a corresponding component of the plurality of components prior to the integration. . According to various embodiments, operations performed by modules, programs, or other components are executed sequentially, in parallel, iteratively, or heuristically, or one or more of the operations are executed in a different order, omitted, or , or one or more other operations may be added.

본 문서에서 사용되는 용어 "모듈", 또는 “...부”는 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시 예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다. As used in this document, the term "module" or "...unit" may include a unit implemented in hardware, software, or firmware, and may include, for example, logic, logic block, component, or circuit. can be used interchangeably. A module may be an integrally constructed component or a minimal unit of components or a portion thereof that performs one or more functions. For example, according to one embodiment, the module may be implemented in the form of an application-specific integrated circuit (ASIC).

본 문서의 다양한 실시 예들은 기기(machine) 의해 읽을 수 있는 저장 매체(storage medium)(예: 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서,‘비일시적’은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다. Various embodiments of the present document may be implemented as software (eg, a program or application) including one or more instructions stored in a storage medium (eg, memory) readable by a machine. For example, the processor of the device may call at least one command among one or more commands stored from a storage medium and execute it. This enables the device to be operated to perform at least one function according to the at least one command invoked. The one or more instructions may include code generated by a compiler or code executable by an interpreter. The device-readable storage medium may be provided in the form of a non-transitory storage medium. Here, 'non-temporary' only means that the storage medium is a tangible device and does not contain a signal (e.g. electromagnetic wave), and this term refers to the case where data is stored semi-permanently in the storage medium. It does not discriminate when it is temporarily stored.

도 1은 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 시스템의 동작 구조를 보여주는 도면이다. 1 is a diagram showing an operating structure of a phishing victim monitoring system according to an embodiment disclosed in this document.

도 1을 참조하면, 피싱 피해 모니터링 시스템(100)은 피싱 어플리케이션에 의해 유출된 피해자의 유출 정보를 보호하고, 가해자로부터 수신되는 가해 정보를 모니터링하여 피해자를 가해자의 추가적인 협박과 같은 가해로부터 보호할 수 있다.Referring to FIG. 1, the phishing damage monitoring system 100 protects the victim's leaked information leaked by the phishing application and monitors the victim's information received from the perpetrator to protect the victim from harm such as additional threats from the perpetrator. there is.

피싱 피해 모니터링 시스템(100)은 고객의 사진, SNS 정보, 문자메시지, 메신저내용, 연락처 정보 등의 개인정보가 피싱 어플리케이션을 통해 유출된 경우, 가상 정보 및 타겟 정보를 포함하는 더미데이터를 피싱 서버(10)로 전송하여, 기 유출된 개인정보를 무력화시켜 더 이상의 유출을 방지함으로써 유출 정보를 보호할 수 있다.The phishing damage monitoring system 100 transmits dummy data including virtual information and target information to a phishing server ( 10), the leaked information can be protected by neutralizing the previously leaked personal information to prevent further leakage.

예를 들어, 피싱 피해 모니터링 시스템(100)은 피싱 서버(10)로 더미데이터를 전송하여 피싱 서버(10)의 데이터를 밀어내는 방법, 덮어쓰기 하는 방법, 데이터를 인식하지 못하도록 하는 방법 등 다양한 방법을 통해 유출 정보를 보호할 수 있다. For example, the phishing damage monitoring system 100 transmits dummy data to the phishing server 10 and uses various methods such as pushing data from the phishing server 10, overwriting the data, and preventing data from being recognized. Through this, leaked information can be protected.

또한, 피싱 피해 모니터링 시스템(100)은 피싱 서버(10)로 가상 정보 및 타겟 정보를 포함하는 더미데이터를 전송하고, 피싱 서버(10)의 운영 주체(20)로부터 타겟 디바이스(30)가 수신하는 가해 정보를 모니터링하여 피해자를 가해자의 추가적인 협박과 같은 가해로부터 보호할 수 있다.In addition, the phishing victim monitoring system 100 transmits dummy data including virtual information and target information to the phishing server 10, and the target device 30 receives from the operating entity 20 of the phishing server 10 By monitoring perpetrator information, the victim can be protected from further harm by the perpetrator.

피싱 서버(10)는 피싱 범죄에 사용된 피싱 어플리케이션과 송수신하여 유출 데이터를 전송 받거나 저장하는 서버를 포함할 수 있다. 또한, 피싱 서버(10)의 운영 주체(20)는 피싱 어플리케이션 및/또는 피싱 서버(10)를 이용하여 피해자의 개인 정보 등을 유출하고 유출된 정보를 기초로 피해자를 협박하는 가해자를 포함할 수 있다. 이하에서 피싱 서버(10)의 운영 주체(20)는 가해자로 참조될 수 있다.The phishing server 10 may include a server that receives or stores leaked data by transmitting and receiving data to and from a phishing application used in a phishing crime. In addition, the operator 20 of the phishing server 10 may include an assailant who leaks personal information of the victim using the phishing application and/or the phishing server 10 and threatens the victim based on the leaked information. there is. Hereinafter, the operating entity 20 of the phishing server 10 may be referred to as the perpetrator.

타겟 디바이스(30)는 피싱 피해 모니터링 시스템(100)의 운영자(예를 들어, 사용자, 법인 등)이 소유 또는 관리하고 있는 통신 단말(예를 들어, 모바일 디바이스, PC, 태블릿 등), 서버 등일 수 있다. 타겟 디바이스(30)는 피싱 서버(10)의 운영 주체(20)로부터 가해 정보를 수신할 수 있다.The target device 30 may be a communication terminal (eg, mobile device, PC, tablet, etc.), server, etc. owned or managed by an operator (eg, user, corporation, etc.) of the phishing damage monitoring system 100. there is. The target device 30 may receive offense information from the operating entity 20 of the phishing server 10 .

예를 들어, 타겟 디바이스(30)는 모바일 디바이스일 수 있고 PC 등에서 구동되는 가상 머신 또는 에뮬레이터일 수 있다. 타겟 디바이스(30)는 가해자로부터 문자메시지, 전화를 수신할 수 있고, PC에서 SNS 서비스(예를 들어, 트위터, 메타 등), 메신저 서비스(예를 들어, 카카오톡, 라인 등), 이메일 서비스(예를 들어, 구글, 네이버 등) 등의 계정으로 로그인하여 해당 계정으로 가해자가 전송하는 메시지, 메일 등을 수신할 수 있다. For example, the target device 30 may be a mobile device and may be a virtual machine or emulator running on a PC or the like. The target device 30 may receive a text message or phone call from the perpetrator, SNS service (eg, Twitter, Meta, etc.), messenger service (eg, KakaoTalk, Line, etc.), email service (eg, KakaoTalk, Line, etc.) For example, by logging in with an account such as Google, Naver, etc.), the perpetrator may receive a message, e-mail, etc. from the perpetrator.

도 2a 및 도 2b는 본 문서에 개시된 일 실시예들에 따른 피싱 피해 모니터링 시스템의 블록도이다.2a and 2b are block diagrams of a phishing victim monitoring system according to one embodiment disclosed in this document.

도 2a 및 도 2b를 참조하면, 피싱 피해 모니터링 시스템(100)은 추출부(110), 더미데이터 생성부(120), 처리부(130) 및 모니터링부(140)를 포함할 수 있다. 실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 프로세서(processor)나 CPU(central processing unit)와 같은 하드웨어 장치이거나, 또는 하드웨어 장치에 의하여 구현되는 소프트웨어나 프로그램일 수 있다.Referring to FIGS. 2A and 2B , the phishing damage monitoring system 100 may include an extraction unit 110 , a dummy data generator 120 , a processing unit 130 and a monitoring unit 140 . According to an embodiment, the phishing damage monitoring system 100 may be a hardware device such as a processor or a central processing unit (CPU), or may be software or a program implemented by a hardware device.

실시예에 따르면, 추출부(110)는 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출할 수 있다. 이 때, 피싱 어플리케이션은 피해자의 피싱 피해에 이용된 어플리케이션을 포함할 수 있다. 피싱 어플리케이션은 피해자의 개인 정보 등을 피싱 서버(10)로 유출하도록 설정되어 있을 수 있고, 추출부(110)는 피싱 어플리케이션으로부터 전송되는 데이터를 통해 피싱 서버 정보를 추출할 수 있다. 피싱 서버 정보는 예를 들어, 통신에 사용된 IP 대역이나 사이트 주소(URL) 등을 포함할 수 있다. 일 예로, 피싱 서버 정보는 VPS(Virtual Private Server) 정보, C&C(Command & Control) 정보, IP주소, 접근 경로, 로그 전송 내역 등을 포함할 수 있다. According to an embodiment, the extractor 110 may extract phishing server information corresponding to a phishing application. In this case, the phishing application may include an application used to damage the victim by phishing. The phishing application may be set to leak personal information of the victim to the phishing server 10, and the extractor 110 may extract the phishing server information through data transmitted from the phishing application. The phishing server information may include, for example, an IP band used for communication or a site address (URL). For example, the phishing server information may include virtual private server (VPS) information, command & control (C&C) information, an IP address, an access route, log transmission details, and the like.

실시예에 따르면, 추출부(110)는 피싱 어플리케이션에 의해 피싱 서버(10)로 전송되는 유출 데이터를 분석할 수도 있다. 유출 데이터는 예를 들어, 피해자의 전화번호 데이터, 문자메시지 데이터, 사진 데이터, 영상 데이터, 메신저 데이터 등을 포함할 수 있다. 추출부(110)는 유출 데이터를 분석하여 피싱 서버(10)로 전송되는 데이터의 파일 형식, 파일 용량 등을 확인할 수 있다.According to an embodiment, the extractor 110 may analyze leaked data transmitted to the phishing server 10 by a phishing application. Leaked data may include, for example, the victim's phone number data, text message data, photo data, video data, messenger data, and the like. The extraction unit 110 may analyze the leaked data and check the file format and file capacity of the data transmitted to the phishing server 10 .

예를 들어, 추출부(110)는 피싱 어플리케이션을 디컴파일링한 결과에 기초하여 피싱 어플리케이션의 피싱 서버 정보 및/또는 유출 데이터를 추출하여 분석할 수 있다. 디컴파일링은 프로그램 파일(예를 들어, APK 파일 또는 IPA 파일)을 컴퓨터 프로그래밍 언어(예를 들어, 자바, C++, C 등)로 구현된 코드로 변환하는 과정을 의미할 수 있다. 프로그램 파일을 디컴파일링하는 경우, 프로그래밍 언어로 구현된 코드를 확인할 수 있고, 해당 코드를 분석하여 프로그램 파일의 구동 방식, 사용하는 서버 주소, 프로그램 파일을 통해 전송되는 정보 등을 확인할 수 있다. 따라서, 추출부(110)는 피싱 어플리케이션을 디컴파일링한 코드를 분석함으로써 해당 피싱 어플리케이션에 의해 전송되는 유출 데이터 및/또는 피싱에 사용되는 피싱 서버 정보를 추출할 수 있다. For example, the extractor 110 may extract and analyze phishing server information and/or leaked data of the phishing application based on a result of decompiling the phishing application. Decompilation may refer to a process of converting a program file (eg, an APK file or an IPA file) into a code implemented in a computer programming language (eg, Java, C++, C, etc.). In the case of decompiling a program file, codes implemented in a programming language can be checked, and by analyzing the code, a driving method of the program file, a server address used, and information transmitted through the program file can be checked. Accordingly, the extractor 110 may extract leaked data transmitted by the phishing application and/or phishing server information used for phishing by analyzing the decompiled code of the phishing application.

또한, 추출부(110)는 더미데이터가 피싱 어플리케이션을 통해 피싱 서버(10)로 정상적으로 전송되었는지 확인할 수 있다. 일 예로, 추출부(110)는 피싱 서버 정보 및/또는 유출 데이터를 분석하는 과정과 마찬가지로, 피싱 어플리케이션을 디컴파일링하여 통신 패킷을 분석함으로써 전송하고자 하는 데이터(예를 들어, 더미데이터)가 피싱 서버(10)로 정상적으로 전송되었는지 확인할 수 있다. 이를 통해, 피싱 피해 모니터링 시스템(100)은 기 유출된 개인 정보를 피싱 서버(10)에서 무력화시키는 과정이 정상적으로 이루어지고 있는지를 확인할 수 있다.Also, the extractor 110 may check whether the dummy data is normally transmitted to the phishing server 10 through the phishing application. For example, the extraction unit 110 decompiles the phishing application and analyzes the communication packet, similar to the process of analyzing the phishing server information and/or leaked data, so that the data to be transmitted (eg, dummy data) is phishing. It can be checked whether the data is normally transmitted to the server 10 . Through this, the phishing damage monitoring system 100 can check whether the process of neutralizing the previously leaked personal information in the phishing server 10 is normally performed.

실시예에 따르면, 더미데이터 생성부(120)는 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성할 수 있다. 가상 정보는 예를 들어 누구인지 특정 불가능하거나 식별 불가능한 사진, 사용되지 않는 전화번호 형식의 연락처, 무의미한 내용이 저장된 문서, 식별 불가능한 SMS 데이터, 사용되지 않는 형식의 고유식별번호 등을 포함할 수 있다. 이러한 데이터는 주로 피싱 어플리케이션이 피싱 서버(10)로 전송하는 유출 데이터에 대응되는 데이터일 수 있다. According to an embodiment, the dummy data generator 120 may generate dummy data including virtual information and target information corresponding to a target device. Virtual information may include, for example, a photo that cannot be identified or cannot be identified, a contact in the form of an unused phone number, a document with meaningless content, unidentifiable SMS data, and a unique identification number in an unused form. Such data may be data corresponding to leaked data mainly transmitted from the phishing application to the phishing server 10 .

일 실시예에서, 더미데이터 생성부(120)는 피싱 어플리케이션에 의해 유출되었을 것으로 예상되는 데이터 형식(예를 들어, 전화번호 형식)을 가지는 가상 정보를 생성할 수 있다. 더미데이터 생성부(120)는 추출부(110)에서 분석한 유출 데이터에 기초하지 않고 후술할 소프트웨어, 프로그래밍 언어 스크립트 등을 통해 랜덤으로 데이터를 생성할 수 있다.In an embodiment, the dummy data generator 120 may generate virtual information having a data format (eg, phone number format) expected to have been leaked by a phishing application. The dummy data generator 120 may randomly generate data through software, a programming language script, etc., which will be described later, instead of based on the leaked data analyzed by the extractor 110 .

다른 실시예에서, 더미데이터 생성부(120)는 추출부(110)에서 분석한 피싱 어플리케이션에 의해 유출되는 데이터 형식에 대응되도록 가상 정보를 생성할 수 있다. 예를 들어, 추출부(100)에서 분석한 유출 데이터가 .txt 확장자를 가진다면, 더미데이터 생성부(10)는 .txt 확장자를 가지는 파일을 생성할 수 있다.In another embodiment, the dummy data generator 120 may generate virtual information to correspond to the format of data leaked by the phishing application analyzed by the extractor 110 . For example, if leaked data analyzed by the extraction unit 100 has a .txt extension, the dummy data generator 10 may create a file having a .txt extension.

실시예에 따르면, 타겟 정보는 타겟 디바이스(30)에 대응되는 정보일 수 있다. 타겟 정보는 실제로는 존재하지 않는 정보인 가상 정보(예를 들어, 실제로는 존재하지 않는 전화번호)와 달리, 실제로 존재하는 정보를 포함할 수 있다. 예를 들어, 타겟 정보는 타겟 디바이스(30)의 실제 전화번호, 프로필 등을 포함할 수 있다. According to an embodiment, the target information may be information corresponding to the target device 30 . Unlike virtual information (eg, a phone number that does not actually exist), which is information that does not actually exist, the target information may include information that actually exists. For example, the target information may include an actual phone number and profile of the target device 30 .

실시예에 따르면, 타겟 정보는 관계 호칭 정보를 포함할 수 있다. 관계 호칭 정보는 가족 관계를 지칭하는 호칭(예를 들어, 엄마, 아빠, 동생 등), 교우 관계를 지칭하는 호칭(예를 들어, 여자친구, 남자친구, 베스트 프렌드 등) 등을 포함할 수 있다. 더미데이터 생성부(120)는 실제로 존재하는 정보(예를 들어, 전화 번호)와 관계 호칭 정보를 매칭(예를 들어, 엄마-010.xxxx.xxxx)시켜 타겟 정보를 생성할 수 있다. 이 때, 관계 호칭 정보는 피해자와의 관계를 가상으로 나타내기 위한 것으로 피해자와의 실제 관계와는 무관하다. 일반적으로 가해자는 피해자와 가까운 관계에 있는 사람에게 협박을 할 가능성이 높으므로, 더미데이터 생성부(120)는 타겟 정보를 생성할 때, 피해자와 가까운 관계를 지칭하는 호칭(예를 들어, 엄마, 여자친구 등)을 사용할 수 있다.According to an embodiment, the target information may include relationship name information. Relationship title information may include titles indicating family relationships (eg, mom, dad, younger brother, etc.), titles indicating friendships (eg, girlfriend, boyfriend, best friend, etc.) . The dummy data generator 120 may generate target information by matching actually existing information (eg, phone number) with relationship name information (eg, mom-010.xxxx.xxxx). At this time, the relationship title information is intended to virtually represent the relationship with the victim and is irrelevant to the actual relationship with the victim. In general, since the perpetrator is highly likely to threaten someone who has a close relationship with the victim, when generating target information, the dummy data generator 120 uses a name that indicates a close relationship with the victim (eg, mother, girlfriend, etc.)

실시예에 따르면, 더미데이터 생성부(120)는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 더미데이터를 생성할 수 있다. 소프트웨어는 다양한 데이터 형식을 가지는 가상 정보를 자동으로 생성하는 프로그램을 포함할 수 있다. 프로그래밍 언어 스크립트는 프로그래밍 언어로 구현된 코드를 포함할 수 있으며, 프로그래밍 언어는 예를 들어, 자바(Java), 파이썬(Python), 루비(Ruby), C, C++ 등을 포함할 수 있다. 프로그래밍 언어 스크립트는 예를 들어, 코드에 데이터 형식을 입력하면 해당 데이터 형식을 가지는 가상 정보를 자동으로 생성할 수 있다. 또한, 더미데이터 생성부(120)는 사용자가 입력하는 데이터를 엑셀 등에 저장함으로써 더미데이터를 생성할 수 있다. According to an embodiment, the dummy data generator 120 may generate dummy data based on at least one of software, a programming language script, and a user input. The software may include programs that automatically generate virtual information having various data formats. The programming language script may include code implemented in a programming language, and the programming language may include, for example, Java, Python, Ruby, C, C++, and the like. A programming language script can automatically generate virtual information having a corresponding data type, for example, when a data type is entered into a code. Also, the dummy data generating unit 120 may generate dummy data by storing data input by the user in Excel or the like.

더미데이터 생성부(120)는 추출부(110)에서 분석된 유출 데이터와 무관하게 소프트웨어, 프로그래밍 언어 스크립트 등을 이용하여 랜덤으로 더미데이터를 생성할 수 있다. 또한, 더미데이터 생성부(120)는 추출부(110)에서 분석된 유출 데이터에 대응되도록(예를 들어, 동일한 확장자를 가지도록) 가상 정보를 생성하는 것도 가능하다. The dummy data generator 120 may randomly generate dummy data using software, a programming language script, or the like, regardless of the leaked data analyzed by the extractor 110 . Also, the dummy data generator 120 may generate virtual information to correspond to the leaked data analyzed by the extractor 110 (eg, to have the same extension).

실시예에 따르면, 더미데이터 생성부(120)는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함할 수 있다. 전화번호부 생성 모듈은 실제로는 사용되지 않는 전화번호 형식을 가지는 가상의 전화번호를 생성할 수 있다. 문자메시지 생성 모듈은 임의의 문자메시지를 생성할 수 있다. 이 때, 임의의 문자메시지는 아무 의미 없는 문자열을 나열하는 등의 텍스트를 포함할 수 있다. 고유식별번호 생성 모듈은 사용되지 않는 형식의 고유식별번호를 생성할 수 있다. 이 때, 고유식별번호(International Mobile Equipment Identity, IMEI)는 모바일 디바이스가 가지는 고유의 일련번호를 포함할 수 있다. According to an embodiment, the dummy data generating unit 120 may include at least one of a phone book generating module, a text message generating module, and a unique identification number generating module. The phone book generation module may generate a virtual phone number having a phone number format that is not actually used. The text message generation module may generate an arbitrary text message. At this time, an arbitrary text message may include text such as a list of meaningless strings. The unique identification number generation module may generate a unique identification number in an unused format. At this time, the unique identification number (International Mobile Equipment Identity, IMEI) may include a unique serial number of the mobile device.

실시예에 따르면, 전화번호부 생성 모듈, 문자메시지 생성 모듈, 고유식별번호 생성 모듈 각각은 소프트웨어, 프로그래밍 언어 스크립트 등을 통해 자동으로 더미데이터를 생성할 수 있고, 사용자 입력에 기초하여 수동으로 더미데이터를 생성할 수도 있다.According to the embodiment, each of the phone book generating module, text message generating module, and unique identification number generating module may automatically generate dummy data through software, programming language scripts, etc., and manually generate dummy data based on a user input. can also create

실시예에 따르면, 처리부(130)는 사용자 입력에 기초하여 피싱 어플리케이션을 실행하여 더미데이터가 피싱 어플리케이션에 의해 피싱 서버(10)로 전송되도록 할 수 있다.According to an embodiment, the processing unit 130 may execute a phishing application based on a user input so that dummy data is transmitted to the phishing server 10 by the phishing application.

실시예에 따르면, 처리부(130)는 도 2a와 같이, 추출부(110), 더미데이터 생성부(120) 및 모니터링부(140)와 하나의 물리적 구성(예를 들어, PC)에 포함될 수 있다. 다른 실시예에서, 처리부(130)는 도 2b와 같이 추출부(110), 더미데이터 생성부(120) 및 모니터링부(140)와 물리적으로 분리되어 구성될 수 있다. 예를 들어, 추출부(110), 더미데이터 생성부(120) 및 모니터링부(140)는 A PC에 구성될 수 있고, 처리부(130)는 B PC에 구성될 수 있다. According to an embodiment, the processing unit 130 may include the extraction unit 110, the dummy data generation unit 120, and the monitoring unit 140 in one physical configuration (eg, PC), as shown in FIG. 2A. . In another embodiment, the processing unit 130 may be configured to be physically separated from the extraction unit 110, the dummy data generation unit 120, and the monitoring unit 140, as shown in FIG. 2B. For example, the extraction unit 110, the dummy data generation unit 120, and the monitoring unit 140 may be configured in A PC, and the processing unit 130 may be configured in B PC.

실시예에 따르면, 처리부(130)는 피싱 어플리케이션을 실행함으로써 피싱 어플리케이션이 더미데이터를 스스로 피싱 서버(10)로 전송하게 할 수 있다. 가해자는 피싱 어플리케이션으로부터 피싱 서버(10)로 데이터가 전송되므로, 피싱 피해 모니터링 시스템(100)의 동작에 의한 것이라고 예상할 수 없을 것이고, 그에 따라 가해자에게 작업이 발각되지 않고 안정적으로 유출 정보 보호 및 피싱 피해 모니터링이 가능하다. According to an embodiment, the processing unit 130 may cause the phishing application to transmit dummy data to the phishing server 10 by itself by executing the phishing application. Since the data is transmitted from the phishing application to the phishing server 10, the perpetrator will not be able to predict that it is due to the operation of the phishing damage monitoring system 100, and accordingly, the perpetrator will not be discovered and the leaked information is stably protected and phishing Damage monitoring is possible.

실시예에 따르면, 처리부(130)는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함할 수 있다. 이 때, 모바일 디바이스는 피해자 디바이스가 아닌, 개인정보가 저장되어 있지 않은 디바이스일 수 있다. 다만 경우에 따라서 피싱 피해 모니터링 시스템(100)은 피해자 디바이스에서 피싱 피해 모니터링 작업을 진행할 수 있고, 이 경우 처리부(130)와 피해자 디바이스는 실질적으로 동일할 수도 있을 것이다. According to an embodiment, the processing unit 130 may include at least one of a mobile device, a virtual machine, and an emulator. In this case, the mobile device may be a device in which personal information is not stored, rather than a victim device. However, depending on the case, the phishing damage monitoring system 100 may perform a phishing damage monitoring task in the victim device, and in this case, the processing unit 130 and the victim device may be substantially the same.

실시예에 따르면, 가상 머신 및/또는 에뮬레이터는 PC에서 모바일 어플리케이션의 구동을 가능케 하는 프로그램을 포함할 수 있다. 일반적으로 피싱 어플리케이션은 모바일 어플리케이션일 수 있고, 모바일 어플리케이션은 호환성 문제 등으로 PC에서 실행되지 않을 수 있다. 따라서, 피싱 피해 모니터링 시스템(100)은 모바일 어플리케이션의 구동을 가능케 하는 가상 머신, 에뮬레이터 등을 사용하여, 가상 머신 내에서 피싱 어플리케이션을 실행하여 피싱 피해 모니터링 작업을 가능하게 할 수 있다. According to an embodiment, the virtual machine and/or the emulator may include a program enabling driving of a mobile application on a PC. In general, a phishing application may be a mobile application, and the mobile application may not be executed on a PC due to a compatibility problem or the like. Accordingly, the phishing damage monitoring system 100 may enable the phishing damage monitoring task by executing the phishing application in the virtual machine using a virtual machine, an emulator, or the like that enables the driving of the mobile application.

피싱 피해 모니터링 시스템(100)이 피해자 디바이스에서 유출 정보 보호 및 피싱 피해 모니터링 작업을 하는 경우, 피해자 디바이스에는 여전히 피싱 어플리케이션이 설치되어 있고 피해자 개인 정보가 남아 있을 수 있으므로, 의도치 않은 추가 개인정보 유출이 발생할 가능성이 있다. 이에 비해, 처리부(130)로 에뮬레이터나 가상 머신을 사용하는 경우, 피해자 개인 정보 데이터가 저장되어 있지 않아 만일의 추가 유출 사태를 방지할 수 있다. 그에 따라, 피싱 피해 모니터링 시스템(100)은 보안을 강화하기 위한 별도의 프록시 서버를 구비할 필요가 없어 시간적, 비용적 면에서 효율적인 작업이 가능하다. 또한, 피싱 피해 모니터링 시스템(100)은 경우에 따라서 추출부(110), 모니터링부(140)등의 동작이 이루어지는 디바이스(예를 들어, PC)와 같은 디바이스에서 처리부(130)의 작업이 가능할 수 있어 효율적으로 작업을 수행할 수 있다. When the phishing damage monitoring system 100 protects leaked information and monitors phishing damage on the victim device, the victim device may still have the phishing application installed and the victim's personal information may remain, so additional unintended personal information leakage may occur. There is a possibility. On the other hand, when an emulator or a virtual machine is used as the processing unit 130, the victim's personal information data is not stored, so additional leakage can be prevented. Accordingly, the phishing victim monitoring system 100 does not need to have a separate proxy server to enhance security, and thus, efficient work is possible in terms of time and cost. In addition, in the phishing victim monitoring system 100, the operation of the processing unit 130 may be possible in a device such as a device (eg, a PC) in which operations of the extraction unit 110 and the monitoring unit 140 are performed depending on the case. You can do your work efficiently.

실시예에 따르면, 모니터링부(140)는 타겟 디바이스(30)가 피싱 서버(10)의 운영 주체(20)로부터 수신하는 가해 정보를 모니터링할 수 있다. 가해자는 피싱 서버(10)에 전송된 더미데이터를 피해자의 유출 데이터로 오인하여 더미데이터에 포함된 데이터(예를 들어, 타겟 정보)에 기초하여 피해자에게 협박 등의 가해를 가할 것이므로, 모니터링부(140)는 타겟 디바이스(30)를 통해 가해 정보를 모니터링 할 수 있다. According to the embodiment, the monitoring unit 140 may monitor offense information received by the target device 30 from the operating entity 20 of the phishing server 10 . Since the perpetrator misunderstands the dummy data transmitted to the phishing server 10 as the victim's leaked data and inflicts harm such as intimidation on the victim based on the data (eg, target information) included in the dummy data, the monitoring unit ( 140) may monitor offense information through the target device 30.

피싱 서버(10)로 유입된 더미데이터는 기 유출된 데이터를 다양한 방식으로 무력화하고, 더미데이터를 타겟 정보를 제외한 데이터는 가상 정보로 구성하여 가해자가 피싱 서버(10)에 존재하는 데이터를 이용하여 가해를 하더라도 실질적으로는 타겟 디바이스(30)로만 가해 정보가 전달될 것이다. 이와 같이, 피싱 피해 모니터링 서비스(100)는 가해자의 가해가 타겟 디바이스(30)로 수행되도록 유도하여 피싱 피해를 모니터링할 수 있다.The dummy data flowed into the phishing server 10 neutralizes the previously leaked data in various ways, and the dummy data excluding the target information is composed of virtual information so that the perpetrator uses the data existing in the phishing server 10 Even if the harm is done, the information will be transmitted only to the target device 30 in practice. In this way, the phishing victim monitoring service 100 may monitor the phishing damage by inducing the attacker to perform the attack on the target device 30 .

실시예에 따르면, 가해 정보는 가해자의 전화번호, 프로필, 이메일, 계좌 번호 중 적어도 하나를 포함할 수 있다. 이는 예시일 뿐, 가해자를 특정할 수 있는 수단이라면 이에 제한되지 않는다.According to the embodiment, the perpetrator information may include at least one of the perpetrator's phone number, profile, e-mail, and account number. This is only an example, and is not limited thereto as long as it is a means for specifying the perpetrator.

실시예에 따르면, 모니터링부(140)는 타겟 디바이스(30)가 가해 정보를 수신한 경우 피해자에게 경고를 수행할 수 있다. 모니터링부(140)는 피해자에게 경고를 수행하여 피해자가 가해자의 가해를 미리 준비하고 방지할 수 있게 할 수 있다.According to the embodiment, the monitoring unit 140 may issue a warning to the victim when the target device 30 receives abuse information. The monitoring unit 140 may warn the victim so that the victim can prepare in advance and prevent the perpetrator from harming the victim.

실시예에 따르면, 모니터링부(140)는 피해자에게 가해 정보를 전달하여 가해 정보를 차단함으로써 운영 주체(20)를 차단하도록 경고할 수 있다. 예를 들어, 타겟 디바이스(30)가 010-xxxx-xxxx 번호로부터 협박 메시지를 받은 경우, 모니터링부(140)는 010-xxxx-xxxx 번호를 피해자에게 전달할 수 있다. 피해자는 본인뿐 아니라 주변 지인들에게 해당 번호를 전달하여 해당 번호를 차단하게 함으로써 가해자를 차단할 수 있다.According to the embodiment, the monitoring unit 140 may warn the operating entity 20 to be blocked by blocking the offending information by transmitting the offending information to the victim. For example, when the target device 30 receives a threat message from the number 010-xxxx-xxxx, the monitoring unit 140 may deliver the number 010-xxxx-xxxx to the victim. The victim can block the perpetrator by forwarding the number to the victim as well as to nearby acquaintances to block the number.

피싱 피해 모니터링 시스템(100)은 이와 같이 가해 정보에 기초하여 가해자의 전화번호, 이메일, IP 주소 등을 차단하도록 하여 가해자가 피해자 및/또는 피해자의 지인에게 가해를 가할 수 있는 경로를 차단하여 협박 등을 수행할 수 없도록 할 수 있다. 예를 들어, 가해자가 피해자의 전화번호로 협박 메시지를 전송하더라도, 피해자는 가해자를 차단했기 때문에 가해자가 보낸 협박 메시지를 확인할 수 없도록 할 수 있다.The phishing damage monitoring system 100 blocks the perpetrator's phone number, e-mail address, IP address, etc. based on the perpetrator information, thereby blocking the path through which the perpetrator may harm the victim and/or the victim's acquaintances, thereby threatening, etc. can make it impossible to do. For example, even if the perpetrator sends a threatening message to the victim's phone number, the victim can block the perpetrator, so that the perpetrator cannot check the threatening message sent by the perpetrator.

또한, 피싱 피해 모니터링 시스템(100)은 타겟 디바이스(30)가 가해 정보를 수신한 경우, 가해 정보에 기초하여 상술한 더미데이터의 전송을 통한 유출 정보 보호 과정을 더 진행할 수 있다. 이를 통해, 피싱 피해 모니터링 시스템(100)은 유출 정보 보호의 효과를 더 높일 수 있다.In addition, when the target device 30 receives offence information, the phishing damage monitoring system 100 may further proceed with the leakage information protection process through transmission of the above-described dummy data based on the offence information. Through this, the phishing damage monitoring system 100 can further increase the effectiveness of leaked information protection.

실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 데이터베이스(150)를 더 포함할 수 있다. 데이터베이스(150)는 추출부(110) 등의 구성과 별도로 구성될 수도 있다.According to the embodiment, the phishing damage monitoring system 100 may further include a database 150 . The database 150 may be configured separately from components such as the extractor 110 .

실시예에 따르면, 데이터베이스(150)는 기존의 피해 정보를 저장하고 관리할 수 있다. 피싱 피해 모니터링 시스템(100)은 다양한 피해자 및 다양한 가해자의 피싱 피해와 관련된 정보를 수집하고 데이터베이스(150)에 저장하여 관리할 수 있다. 이 때, 피해 정보는 해당 피싱 피해에 사용된 피싱 어플리케이션, 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자 프로필 등의 정보를 포함할 수 있고, 데이터베이스(150)는 예를 들어, 피싱 어플리케이션과 해당 피싱 어플리케이션에 대응되는 피싱 서버 주소, 가해자의 계좌번호, 프로필 등의 정보를 매칭하여 저장할 수 있다.According to an embodiment, the database 150 may store and manage existing damage information. The phishing damage monitoring system 100 may collect and manage information related to phishing damage of various victims and various perpetrators and store it in the database 150 . At this time, the damage information may include information such as the phishing application used for the phishing damage, account number, phone number, threatening message, website, perpetrator profile, etc. Information such as a phishing server address corresponding to the phishing application, an account number of the perpetrator, and a profile may be matched and stored.

실시예에 따르면, 모니터링부(140)는 가해 정보에 기초하여 데이터베이스(150)의 데이터를 최신화할 수 있다. 또한, 모니터링부(140)는 피해자의 피싱 피해에 사용된 정보들도 함께 반영하여 데이터베이스(150)의 데이터를 최신화할 수 있다. 예를 들어, 피해자의 피싱 피해에 A 어플리케이션이 사용되었고 타겟 디바이스(30)가 수신한 가해자의 계좌 번호가 B이며, 기존 데이터베이스(150)의 데이터에는 A 어플리케이션에 매칭된 계좌 번호가 C인 경우, 모니터링부(140)는 A 어플리케이션에 B 및 C의 계좌 번호를 추가하여 매칭할 수 있다.According to the embodiment, the monitoring unit 140 may update the data of the database 150 based on the offense information. In addition, the monitoring unit 140 may update the data of the database 150 by also reflecting information used for the victim's phishing damage. For example, if application A was used for the victim's phishing damage, the account number of the perpetrator received by the target device 30 is B, and the account number matched to application A is C in the data of the existing database 150, The monitoring unit 140 may add the account numbers of B and C to application A and match them.

실시예에 따르면, 모니터링부(140)는 데이터베이스(150)의 데이터를 최신 정보로 유지하기 위해, 기존의 데이터베이스(150)의 데이터에 기초하여 지속적으로 가해자 및/또는 피싱 서버(10)에 접근하여 정보의 변동을 확인하고 변동이 있을 경우 이를 반영하여 데이터를 최신화 할 수 있다. According to the embodiment, the monitoring unit 140 continuously accesses the perpetrator and/or the phishing server 10 based on the data of the existing database 150 in order to keep the data of the database 150 updated. Changes in information can be checked and, if any, changes can be reflected to update the data.

피싱 피해 모니터링 시스템(100)은 피싱 피해가 발생될 때 이와 같이 데이터베이스(150)의 데이터를 최신화함으로써 피싱 피해 모니터링의 효과를 높일 수 있다. 또한, 피싱 피해 모니터링 시스템(100)은 새로운 피싱 피해가 발생될 때 데이터베이스(150)의 데이터에 기초하여 보다 즉각적인 대응이 가능하다.The phishing damage monitoring system 100 can improve the effectiveness of phishing damage monitoring by updating data in the database 150 when phishing damage occurs. In addition, the phishing damage monitoring system 100 can respond more immediately based on the data of the database 150 when a new phishing damage occurs.

실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 어플리케이션 획득부(160)를 더 포함할 수 있다.According to an embodiment, the phishing damage monitoring system 100 may further include an application obtaining unit 160 .

실시예에 따르면, 어플리케이션 획득부(160)는 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보에 기초하여 피싱 어플리케이션을 피해자 단말 또는 데이터베이스(150)로부터 획득할 수 있다. 어플리케이션 획득부(160)는 획득한 피싱 어플리케이션을 추출부(110) 및/또는 처리부(130)로 전송할 수 있다. 피싱 어플리케이션 정보는 예를 들어, 피싱 어플리케이션과 관련된 파일 정보(예를 들어, HASH값, 어플리케이션 이름 등) 또는 피싱 피해에 사용된 계좌번호, 전화번호, 가해자 프로필 등의 정보를 포함할 수 있다. According to an embodiment, the application acquisition unit 160 may obtain a phishing application from the victim terminal or the database 150 based on phishing application information corresponding to the phishing application. The application acquisition unit 160 may transmit the acquired phishing application to the extraction unit 110 and/or the processing unit 130 . The phishing application information may include, for example, file information related to the phishing application (eg, HASH value, application name, etc.) or information such as an account number used for phishing damage, a phone number, a perpetrator's profile, and the like.

예를 들어, 피해자가 피싱 어플리케이션을 피해자 디바이스에서 삭제하지 않은 경우, 어플리케이션 획득부(160)는 피해자 디바이스로부터 피싱 어플리케이션을 전송 받을 수 있다. 어플리케이션 획득부(160)와 피해자 디바이스는 유선 또는 무선으로 통신할 수 있으며, 블루투스 통신, Wi-Fi 통신, USB 통신 등 일반적으로 사용되는 통신 방법을 통해 피싱 어플리케이션을 전송 받을 수 있다. For example, if the victim does not delete the phishing application from the victim device, the application acquirer 160 may receive the phishing application from the victim device. The application acquirer 160 and the victim device may communicate by wire or wirelessly, and the phishing application may be received through commonly used communication methods such as Bluetooth communication, Wi-Fi communication, and USB communication.

실시예에 따르면, 어플리케이션 획득부(160)는 피싱 어플리케이션 정보를 데이터베이스(150)의 데이터와 비교한 결과에 기초하여 피싱 어플리케이션을 데이터베이스(150)로부터 획득할 수 있다. According to an embodiment, the application obtaining unit 160 may obtain a phishing application from the database 150 based on a result of comparing information of the phishing application with data of the database 150 .

예를 들어, 피해자가 피해자 디바이스에서 피싱 어플리케이션을 삭제한 경우, 어플리케이션 획득부(160)는 피싱 어플리케이션을 피해자 디바이스로부터 직접 전송 받을 수 없다. 이 경우, 어플리케이션 획득부(160)는 데이터베이스(150)의 데이터와 피싱 피해 정보를 비교함으로써 피싱 피해에 사용된 피싱 어플리케이션을 추정하고, 이를 데이터베이스(150)로부터 전송 받을 수 있다. 이를 통해, 피싱 피해 모니터링 시스템(100)은 피해자가 피싱 어플리케이션을 삭제한 경우에도, 피싱 어플리케이션을 획득하여 유출 정보를 보호하고 피싱 피해 모니터링을 수행할 수 있다. For example, if the victim deletes the phishing application from the victim device, the application acquirer 160 cannot directly receive the phishing application from the victim device. In this case, the application acquisition unit 160 may estimate the phishing application used for the phishing damage by comparing the data of the database 150 with the phishing victim information, and receive the phishing application from the database 150 . Through this, the phishing victim monitoring system 100 may acquire the phishing application to protect leaked information and perform phishing damage monitoring even when the victim deletes the phishing application.

일 예로, 어플리케이션 획득부(160)는 데이터베이스(150)의 데이터와 피싱 피해에 사용된 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자의 프로필, APK 파일의 HASH 값 중 적어도 하나를 비교한 결과에 기초하여 상기 피싱 어플리케이션을 획득할 수 있다. 이러한 피싱 피해 정보는 피해자로부터 획득할 수 있을 것이며, 이외에도 피싱 피해와 관련된 각종 정보를 포함할 수 있다. 예를 들어, 피해자로부터 획득한 계좌번호 정보와 일치하는 데이터가 데이터베이스(150)에 존재하는 경우, 해당 데이터에 매칭된 어플리케이션을 피싱 피해에 사용된 피싱 어플리케이션이라고 추정할 수 있다. As an example, the application acquisition unit 160 compares the data of the database 150 with at least one of the account number, phone number, threat message, website, perpetrator's profile, and HASH value of the APK file used for the phishing damage. The phishing application may be acquired based on. Such phishing damage information may be obtained from the victim, and may include various types of information related to phishing damage. For example, if data matching the account number information obtained from the victim exists in the database 150, it can be estimated that the application matching the data is a phishing application used for the phishing damage.

도 3은 본 문서에 개시된 일 실시예에 따른 더미데이터가 피싱 서버로 전송되는 과정을 보여주는 도면이다.3 is a diagram illustrating a process of transmitting dummy data to a phishing server according to an embodiment disclosed in this document.

도 3을 참조하면, 더미데이터 생성부(120)는 소프트웨어, 프로그래밍 언어 스크립트, 사용자 입력을 통해 더미데이터를 생성할 수 있다. 더미데이터 생성부(120)는 생성된 더미데이터를 처리부(130)로 전송할 수 있다. Referring to FIG. 3 , the dummy data generator 120 may generate dummy data through software, programming language scripts, and user input. The dummy data generator 120 may transmit the generated dummy data to the processor 130 .

처리부(130)는 더미데이터를 수신한 경우, 사용자 입력에 기초하여 피싱 어플리케이션을 실행하고, 더미데이터를 피싱 어플리케이션을 통해 피싱 서버(10)로 전송할 수 있다. Upon receiving the dummy data, the processing unit 130 may execute a phishing application based on a user input and transmit the dummy data to the phishing server 10 through the phishing application.

도 4는 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a method for monitoring phishing damage according to an embodiment disclosed in this document.

도 4를 참조하면, 피싱 피해 모니터링 방법은, 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 단계(S100), 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 단계(S200), 사용자 입력에 기초하여 피싱 어플리케이션을 실행하고, 피싱 어플리케이션을 통해 더미데이터를 피싱 서버로 전송하는 단계(S300) 및 타겟 디바이스가 피싱 서버의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 단계(S400)를 포함할 수 있다.Referring to FIG. 4 , the phishing damage monitoring method includes extracting phishing server information corresponding to a phishing application (S100), generating dummy data including virtual information and target information corresponding to a target device (S200). , Running the phishing application based on the user input, transmitting dummy data to the phishing server through the phishing application (S300), and monitoring the abuse information received by the target device from the operating entity of the phishing server (S400) can include

S100 단계에서, 추출부(110)는 피해자의 피싱 피해에 사용된 피싱 어플리케이션의 피싱 서버 정보를 추출할 수 있다. In step S100, the extractor 110 may extract phishing server information of a phishing application used to damage the victim by phishing.

S200 단계에서, 더미데이터 생성부(120)는 가상 정보 및 타겟 디바이스(30)에 대응되는 타겟 정보를 포함하는 더미데이터를 생성할 수 있다.In step S200 , the dummy data generator 120 may generate dummy data including virtual information and target information corresponding to the target device 30 .

S300 단계에서, 처리부(130)는 사용자 입력에 기초하여 피싱 어플리케이션을 실행하고, 피싱 어플리케이션을 통해 더미데이터를 피싱 서버(10)로 전송할 수 있다.In step S300 , the processing unit 130 may execute the phishing application based on the user input and transmit dummy data to the phishing server 10 through the phishing application.

S400 단계에서, 모니터링부(140)는 타겟 디바이스(30)가 피싱 서버(10)의 운영 주체(20)로부터 수신하는 가해 정보를 모니터링할 수 있다.In step S400 , the monitoring unit 140 may monitor abuse information received by the target device 30 from the operating entity 20 of the phishing server 10 .

실시예에 따르면, 피싱 피해 모니터링 방법은, 타겟 디바이스가 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 단계(S500)를 더 포함할 수 있다.According to an embodiment, the phishing victim monitoring method may further include, when the target device receives the victim information, performing a warning to the victim (S500).

S500 단계에서, 모니터링부(140)는 타겟 디바이스(30)가 가해 정보를 수신한 경우, 피해자에게 경고를 수행할 수 있다. 실시예에 따르면, 모니터링부(140)는 피해자에게 가해 정보를 전달하여 가해 정보를 차단하여 운영 주체를 차단하도록 경고를 수행할 수 있다.In step S500, the monitoring unit 140 may warn the victim when the target device 30 receives the abuse information. According to the embodiment, the monitoring unit 140 may deliver the victim information to the victim to block the victim information and issue a warning to block the operating entity.

이상에서, 본 문서에 개시된 실시예를 구성하는 모든 구성 요소들이 하나로 결합하거나 결합하여 동작하는 것으로 설명되었다고 해서, 본 문서에 개시된 실시예들이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 문서에 개시된 실시예들의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. In the above, even though all the components constituting the embodiments disclosed in this document have been described as being combined or operated as one, the embodiments disclosed in this document are not necessarily limited to these embodiments. That is, within the scope of the objectives of the embodiments disclosed in this document, all of the components may be selectively combined with one or more to operate.

또한, 이상에서 기재된 "포함하다", "구성하다", 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소를 내재할 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미와 일치하는 것으로 해석되어야 하며, 본 문서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. In addition, terms such as "comprise", "comprise", or "having" described above mean that the corresponding component may be inherent unless otherwise stated, excluding other components. It should be construed as being able to further include other components. All terms, including technical or scientific terms, have the same meaning as commonly understood by a person of ordinary skill in the art to which the embodiments disclosed in this document belong, unless defined otherwise. Commonly used terms, such as terms defined in a dictionary, should be interpreted as consistent with the contextual meaning of the related art, and unless explicitly defined in this document, they are not interpreted in an ideal or excessively formal meaning.

이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 실시예들의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 문서의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.The above description is only an illustrative example of the technical idea disclosed in this document, and those skilled in the art to which the embodiments disclosed in this document belong will be within the scope of the essential characteristics of the embodiments disclosed in this document. Many modifications and variations will be possible. Therefore, the embodiments disclosed in this document are not intended to limit the technical spirit of the embodiments disclosed in this document, but to explain, and the scope of the technical spirit disclosed in this document is not limited by these embodiments. The protection scope of the technical ideas disclosed in this document should be interpreted according to the claims below, and all technical ideas within the equivalent range should be construed as being included in the scope of rights of this document.

10 : 피싱 서버
20 : 운영 주체
30 : 타겟 디바이스
100 : 피싱 피해 모니터링 시스템
110 : 추출부
120 : 더미데이터 생성부
130 : 처리부
140 : 모니터링부
150 : 데이터베이스
160 : 어플리케이션 획득부10 : Phishing Server
20: operating entity
30: target device
100: phishing damage monitoring system
110: extraction unit
120: dummy data generator
130: processing unit
140: monitoring unit
150: database
160: application acquisition unit

Claims (15)

피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 추출부;
가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 더미데이터 생성부;
사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 처리부; 및
상기 타겟 디바이스가 상기 피싱 서버의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 모니터링부를 포함하고,
상기 타겟 디바이스는 피해자 단말과는 구분되고,
상기 타겟 정보는 관계 호칭 정보를 포함하고,
상기 더미데이터 생성부는 상기 가해 정보를 수신한 경우, 상기 가해 정보에 기초하여 상기 가상 정보를 더 생성하는 피싱 피해 모니터링 시스템.an extractor for extracting phishing server information corresponding to a phishing application;
a dummy data generating unit generating dummy data including virtual information and target information corresponding to a target device;
a processing unit that executes the phishing application based on a user input and transmits the dummy data to a phishing server corresponding to the phishing server information through the phishing application; and
A monitoring unit configured to monitor offending information received by the target device from an operating entity of the phishing server;
The target device is distinguished from the victim terminal,
The target information includes relationship name information,
The phishing victim monitoring system of claim 1 , wherein the dummy data generation unit further generates the virtual information based on the offender information when the offender information is received. 제1항에 있어서,
상기 모니터링부는, 상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 피싱 피해 모니터링 시스템.According to claim 1,
The monitoring unit, the phishing damage monitoring system for performing a warning to the victim when the target device receives the offending information. 제2항에 있어서,
상기 모니터링부는, 상기 피해자에게 상기 가해 정보를 전달하여 상기 가해 정보를 차단하여 상기 운영 주체를 차단하도록 상기 경고를 수행하는 피싱 피해 모니터링 시스템. According to claim 2,
The monitoring unit performs the warning to block the operating entity by transmitting the offending information to the victim to block the offending information. 삭제delete 제1항에 있어서,
상기 가해 정보는 상기 운영 주체의 전화번호, 프로필, 이메일, 계좌 번호, IP 주소 중 적어도 하나를 포함하는 피싱 피해 모니터링 시스템.According to claim 1,
The perpetrator information includes at least one of a phone number, a profile, an email, an account number, and an IP address of the operating entity. 제1항에 있어서,
상기 더미데이터 생성부는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 상기 더미데이터를 생성하는 피싱 피해 모니터링 시스템.According to claim 1,
The dummy data generating unit generates the dummy data based on at least one of software, a programming language script, and a user input. 제1항에 있어서,
상기 더미데이터 생성부는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함하는 피싱 피해 모니터링 시스템.According to claim 1,
The dummy data generating unit includes at least one of a phone book generating module, a text message generating module, and a unique identification number generating module. 제1항에 있어서,
상기 처리부는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함하는 피싱 피해 모니터링 시스템.According to claim 1,
The processing unit includes at least one of a mobile device, a virtual machine, and an emulator. 제1항에 있어서,
상기 처리부는 상기 추출부, 상기 더미데이터 생성부 및 상기 모니터링부와 물리적으로 분리되어 구성되는 피싱 피해 모니터링 시스템.According to claim 1,
The phishing victim monitoring system of claim 1, wherein the processing unit is configured to be physically separated from the extraction unit, the dummy data generation unit, and the monitoring unit. 제1항에 있어서,
기존의 피해 정보를 저장하고 관리하는 데이터베이스를 더 포함하는 피싱 피해 모니터링 시스템.According to claim 1,
A phishing damage monitoring system that further includes a database for storing and managing existing damage information. 제10항에 있어서,
상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보에 기초하여 상기 피싱 어플리케이션을 상기 피해자 단말 또는 상기 데이터베이스로부터 획득하는 어플리케이션 획득부를 더 포함하는 피싱 피해 모니터링 시스템.According to claim 10,
The phishing victim monitoring system further comprises an application acquiring unit acquiring the phishing application from the victim terminal or the database based on phishing application information corresponding to the phishing application. 제11항에 있어서,
상기 어플리케이션 획득부는 상기 피싱 어플리케이션 정보를 상기 데이터베이스의 데이터와 비교한 결과에 기초하여 상기 피싱 어플리케이션을 상기 데이터베이스로부터 획득하는 피싱 피해 모니터링 시스템.According to claim 11,
The phishing victim monitoring system of claim 1 , wherein the application obtaining unit acquires the phishing application from the database based on a result of comparing the phishing application information with data of the database. 제10항에 있어서,
상기 모니터링부는 상기 가해 정보에 기초하여 상기 데이터베이스의 데이터를 최신화하는 피싱 피해 모니터링 시스템.According to claim 10,
The monitoring unit phishing damage monitoring system for updating the data of the database based on the offender information. 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 단계;
가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 단계;
사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 단계;
상기 타겟 디바이스가 상기 피싱 서버 정보의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 단계; 및
상기 가해 정보를 수신한 경우, 상기 가해 정보에 기초하여 상기 가상 정보를 더 생성하는 단계를 포함하고,
상기 타겟 디바이스는 피해자 단말과는 구분되고,
상기 타겟 정보는 관계 호칭 정보를 포함하는 피싱 피해 모니터링 방법.extracting phishing server information corresponding to the phishing application;
generating dummy data including virtual information and target information corresponding to a target device;
executing the phishing application based on a user input and transmitting the dummy data to a phishing server corresponding to the phishing server information through the phishing application;
monitoring abuse information received by the target device from an operator of the phishing server information; and
Further generating the virtual information based on the offense information when the offense information is received;
The target device is distinguished from the victim terminal,
The target information includes relationship name information. 제14항에 있어서,
상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 단계를 더 포함하는 피싱 피해 모니터링 방법.According to claim 14,
The method of monitoring phishing damage further comprising the step of performing a warning to the victim when the target device receives the abuse information.
KR1020220169657A 2022-12-07 2022-12-07 System and method for monitoring phising damage KR102521677B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220169657A KR102521677B1 (en) 2022-12-07 2022-12-07 System and method for monitoring phising damage

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220169657A KR102521677B1 (en) 2022-12-07 2022-12-07 System and method for monitoring phising damage

Publications (1)

Publication Number Publication Date
KR102521677B1 true KR102521677B1 (en) 2023-04-18

Family

ID=86100842

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220169657A KR102521677B1 (en) 2022-12-07 2022-12-07 System and method for monitoring phising damage

Country Status (1)

Country Link
KR (1) KR102521677B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101733633B1 (en) * 2016-01-12 2017-05-08 계명대학교 산학협력단 Detecting and tracing method for leaked phone number data in mobile phone through application
KR20170099064A (en) * 2016-02-23 2017-08-31 주식회사 에스원 Service Method and System for preventing voice phishing
KR102473312B1 (en) * 2022-02-10 2022-12-05 (주)라바웨이브 System and method for protecting leaked information

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101733633B1 (en) * 2016-01-12 2017-05-08 계명대학교 산학협력단 Detecting and tracing method for leaked phone number data in mobile phone through application
KR20170099064A (en) * 2016-02-23 2017-08-31 주식회사 에스원 Service Method and System for preventing voice phishing
KR102473312B1 (en) * 2022-02-10 2022-12-05 (주)라바웨이브 System and method for protecting leaked information

Similar Documents

Publication Publication Date Title
KR101574652B1 (en) Sytem and method for mobile incident analysis
US9892261B2 (en) Computer imposed countermeasures driven by malware lineage
US10523609B1 (en) Multi-vector malware detection and analysis
US10102372B2 (en) Behavior profiling for malware detection
KR101543237B1 (en) Apparatus, system and method for detecting and preventing a malicious script by static analysis using code pattern and dynamic analysis using API flow
US9055097B1 (en) Social network scanning
US11824878B2 (en) Malware detection at endpoint devices
US20180137401A1 (en) Security systems and methods using an automated bot with a natural language interface for improving response times for security alert response and mediation
KR102093274B1 (en) Content scanning agent, content scanning method, and storage media on which the program is recorded
CN111786966A (en) Method and device for browsing webpage
US20090113548A1 (en) Executable Download Tracking System
CN103368957A (en) Method, system, client and server for processing webpage access behavior
US11856011B1 (en) Multi-vector malware detection data sharing system for improved detection
KR102473312B1 (en) System and method for protecting leaked information
US11777961B2 (en) Asset remediation trend map generation and utilization for threat mitigation
Kim et al. Attack detection application with attack tree for mobile system using log analysis
KR101490442B1 (en) Method and system for cutting malicious message in mobile phone, and mobile phone implementing the same
KR101372906B1 (en) Method and system to prevent malware code
KR102521677B1 (en) System and method for monitoring phising damage
Lee et al. A study on realtime detecting smishing on cloud computing environments
CN105791221B (en) Rule issuing method and device
Mun et al. Secure short url generation method that recognizes risk of target url
CN115174192A (en) Application security protection method and device, electronic equipment and storage medium
US20220060502A1 (en) Network Environment Control Scanning Engine
KR101667117B1 (en) Method and device to defend against the phishing of short message service based on operating system

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant