KR102521677B1 - System and method for monitoring phising damage - Google Patents
System and method for monitoring phising damage Download PDFInfo
- Publication number
- KR102521677B1 KR102521677B1 KR1020220169657A KR20220169657A KR102521677B1 KR 102521677 B1 KR102521677 B1 KR 102521677B1 KR 1020220169657 A KR1020220169657 A KR 1020220169657A KR 20220169657 A KR20220169657 A KR 20220169657A KR 102521677 B1 KR102521677 B1 KR 102521677B1
- Authority
- KR
- South Korea
- Prior art keywords
- phishing
- information
- application
- victim
- dummy data
- Prior art date
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 90
- 238000000034 method Methods 0.000 title claims description 20
- 238000012545 processing Methods 0.000 claims abstract description 22
- 238000000605 extraction Methods 0.000 claims abstract description 13
- 238000013515 script Methods 0.000 claims description 9
- 239000000284 extract Substances 0.000 abstract description 6
- 238000004891 communication Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003472 neutralizing effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/901—Indexing; Data structures therefor; Storage structures
Abstract
Description
본 문서에 개시된 실시예들은 피싱 피해 모니터링 시스템 및 그 방법에 관한 것이다.Embodiments disclosed in this document relate to a phishing damage monitoring system and method.
최근에 윈도우 모바일(windows mobile), i-OS(Operating System), 안드로이드(Android) 등의 모바일 운영체제를 적용하여 스마트폰 기능을 수행하는 통신단말장치의 보급이 활성화되었다. Recently, communication terminal devices that perform smartphone functions by applying mobile operating systems such as Windows Mobile, i-OS (Operating System), and Android have become popular.
이와 같은 모바일 운영체제를 적용한 통신 단말 장치에서는 해당 모바일 운영체제를 기반으로 다양한 어플리케이션(application) 프로그램을 실행하여 사용자에게 다양한 정보 처리 서비스를 제공한다. 그리고, 모바일 운영체제를 적용한 통신단말장치는 어플리케이션 프로그램으로서 브라우저(browser)를 구비하고, 해당 브라우저를 실행하여 인터넷 웹 사이트에 통신 접속함으로써, 다양한 웹 사이트의 정보를 사용 자에게 제공한다. 이러한 모바일 운영체제를 적용한 통신 단말 장치는 어플리케이션 프로그램을 실행하여 문자메시지 수신, 멀티 미디어메시지 수신, 이메일 수신, 콘텐츠 거래 등의 수행 시에 유입된 URL에 의거하여 통신 접속을 시도하는 일이 빈번하다. In a communication terminal device to which such a mobile operating system is applied, various information processing services are provided to users by executing various application programs based on the corresponding mobile operating system. Further, a communication terminal device to which a mobile operating system is applied has a browser as an application program, and provides information on various web sites to users by executing the corresponding browser and accessing Internet web sites through communication. Communication terminal devices to which such a mobile operating system is applied frequently attempt to establish a communication connection based on a URL entered when receiving a text message, receiving a multi-media message, receiving an e-mail, or transacting content by executing an application program.
하지만, 이처럼 수신된 URL에 의거한 통신 접속은 접속 대상 사이트의 유해 여부를 확인하지 않고 있기 때문에 피싱 사이트, 국내외 음란 사이트, 사행성 사이트 등과 같은 유해 사이트에 그대로 통신 접속하게 되는 경우가 발생할 수 있다. 이 중에서도 특히 피싱 사이트의 접속은 금융 범죄로 이어지는 경우가 다반사이기 때문에 사회 문제화되고 있다. 예컨대, 문자메시지에 금융기관으로 위장한 피싱 사이트로의 접속을 유도하는 URL 정보가 포함된 경우에 통신 단말 장치가 URL 정보에 따라 피싱 사이트에 쉽게 접속될 수 있으며, 이러한 피싱 사이트에 의해 개인정보가 유출되는 경우가 빈번하게 발생되고 있다.However, since the communication connection based on the URL received in this way does not check whether or not the site to be accessed is harmful, there may be cases in which communication access is made to harmful sites such as phishing sites, domestic and foreign obscene sites, and speculative sites. Among them, access to phishing sites is becoming a social problem because it often leads to financial crimes. For example, if the text message contains URL information that induces access to a phishing site disguised as a financial institution, the communication terminal device can easily access the phishing site according to the URL information, and personal information is leaked by this phishing site. It happens frequently.
일반적으로 피싱 피해를 방지하기 위한 기술은 통신 단말 장치에 수신되는 유해 단문메시지 등을 차단하는 기술들이나, 유해 단문메시지에 포함된 URL 정보에 의한 피싱 사이트의 접속을 차단하는 기술이 있으나, 피싱 어플리케이션에 의해 이미 개인정보가 유출된 경우에 대처할 수 있는 방법이 없다는 문제점이 있었다.In general, technologies for preventing phishing damage include technologies for blocking harmful short messages received by communication terminal devices or technologies for blocking access to phishing sites by URL information included in harmful short messages, but phishing applications There was a problem that there was no way to deal with the case where personal information was already leaked by
또한, 피해자의 추가 피해를 방지하기 위해 개인정보가 유출된 후 가해자의 가해 시도를 실시간으로 모니터링하여 피해자를 가해자의 협박으로부터 사전에 차단하여 보호할 수 없다는 문제점이 있었다. In addition, in order to prevent further damage to the victim, after personal information is leaked, the perpetrator's attempt to harm is monitored in real time, so that the victim cannot be prevented from being threatened by the perpetrator in advance and cannot be protected.
본 문서에 개시되는 실시예에 따르면, 피싱 피해 모니터링 시스템은, 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 추출부; 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 더미데이터 생성부; 사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 처리부; 및 상기 타겟 디바이스가 상기 피싱 서버의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 모니터링부를 포함할 수 있다.According to an embodiment disclosed in this document, a phishing victim monitoring system includes an extractor for extracting phishing server information corresponding to a phishing application; a dummy data generating unit generating dummy data including virtual information and target information corresponding to a target device; a processing unit that executes the phishing application based on a user input and transmits the dummy data to a phishing server corresponding to the phishing server information through the phishing application; and a monitoring unit that monitors the offense information received by the target device from an operating entity of the phishing server.
실시예에 따르면, 상기 모니터링부는, 상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행할 수 있다.According to an embodiment, the monitoring unit may issue a warning to the victim when the target device receives the abuse information.
실시예에 따르면, 상기 모니터링부는, 상기 피해자에게 상기 가해 정보를 전달하여 상기 가해 정보를 차단하여 상기 운영 주체를 차단하도록 상기 경고를 수행할 수 있다.According to an embodiment, the monitoring unit may perform the warning to block the operating entity by transmitting the offending information to the victim and blocking the offending information.
실시예에 따르면, 상기 타겟 정보는 관계 호칭 정보를 포함할 수 있다. According to an embodiment, the target information may include relationship name information.
실시예에 따르면, 상기 가해 정보는 상기 운영 주체의 전화번호, 프로필, 이메일, 계좌 번호, IP 주소 중 적어도 하나를 포함할 수 있다.According to an embodiment, the perpetrator information may include at least one of a phone number, a profile, an email, an account number, and an IP address of the operating entity.
실시예에 따르면, 상기 더미데이터 생성부는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 상기 더미데이터를 생성할 수 있다.According to an embodiment, the dummy data generator may generate the dummy data based on at least one of software, a programming language script, and a user input.
실시예에 따르면, 상기 더미데이터 생성부는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함할 수 있다.According to an embodiment, the dummy data generating unit may include at least one of a phone book generating module, a text message generating module, and a unique identification number generating module.
실시예에 따르면, 상기 처리부는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함할 수 있다.According to an embodiment, the processing unit may include at least one of a mobile device, a virtual machine, and an emulator.
실시예에 따르면, 상기 처리부는 상기 추출부, 상기 더미데이터 생성부 및 상기 모니터링부와 물리적으로 분리되어 구성될 수 있다.According to an embodiment, the processing unit may be configured to be physically separated from the extraction unit, the dummy data generation unit, and the monitoring unit.
실시예에 따르면, 피싱 피해 모니터링 시스템은, 기존의 피해 정보를 저장하고 관리하는 데이터베이스를 더 포함할 수 있다.According to an embodiment, the phishing damage monitoring system may further include a database for storing and managing existing damage information.
실시예에 따르면, 피싱 피해 모니터링 시스템은, 상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보에 기초하여 상기 피싱 어플리케이션을 피해자 단말 또는 상기 데이터베이스로부터 획득하는 어플리케이션 획득부를 더 포함할 수 있다.According to an embodiment, the phishing victim monitoring system may further include an application acquisition unit that obtains the phishing application from the victim terminal or the database based on phishing application information corresponding to the phishing application.
실시예에 따르면, 상기 어플리케이션 획득부는, 상기 피싱 어플리케이션 정보를 상기 데이터베이스의 데이터와 비교한 결과에 기초하여 상기 피싱 어플리케이션을 상기 데이터베이스로부터 획득According to an embodiment, the application acquisition unit obtains the phishing application from the database based on a result of comparing the phishing application information with data of the database.
실시예에 따르면, 상기 모니터링부는 상기 가해 정보에 기초하여 상기 데이터베이스의 데이터를 최신화할 수 있다.According to the embodiment, the monitoring unit may update the data of the database based on the offense information.
본 문서에 개시되는 실시예에 따르면, 피싱 피해 모니터링 방법은, 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 단계; 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 단계; 사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 단계; 및 상기 타겟 디바이스가 상기 피싱 서버 정보의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 단계를 포함할 수 있다.According to an embodiment disclosed in this document, a method for monitoring phishing damage includes extracting phishing server information corresponding to a phishing application; generating dummy data including virtual information and target information corresponding to a target device; executing the phishing application based on a user input and transmitting the dummy data to a phishing server corresponding to the phishing server information through the phishing application; and monitoring abuse information received by the target device from an operator of the phishing server information.
실시예에 따르면, 상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 단계를 더 포함할 수 있다.According to an embodiment, when the target device receives the abuse information, it may further include performing a warning to the victim.
본 문서에 개시되는 실시예들에 따른 피싱 피해 모니터링 시스템 및 방법은, 피해자들이 피싱 어플리케이션을 삭제한 경우에도 데이터베이스를 통해 피싱 어플리케이션을 획득할 수 있어 피해자로부터 피싱 어플리케이션을 획득할 수 없는 경우에도 유출 정보를 보호하고 피싱 피해를 모니터링할 수 있다.The phishing victim monitoring system and method according to the embodiments disclosed in this document can obtain the phishing application through the database even if the victims delete the phishing application, and thus leaked information even when the phishing application cannot be obtained from the victim. and monitor phishing damage.
또한, 본 문서에 개시되는 실시예들에 따른 피싱 피해 모니터링 시스템 및 방법은, 가상 머신 등을 사용하여 피싱 어플리케이션 실행 중에 발생할 수 있는 추가적인 개인 정보 유출을 방지할 수 있다.In addition, the phishing damage monitoring system and method according to the embodiments disclosed in this document can prevent additional leakage of personal information that may occur during execution of a phishing application using a virtual machine or the like.
또한, 본 문서에 개시되는 실시예들에 따른 피싱 피해 모니터링 시스템 및 방법은, 더미데이터가 피싱 어플리케이션에 의해 피싱 서버로 전송되도록 하여 가해자의 의심을 피할 수 있어 작업이 발각될 위험이 적다.In addition, the phishing damage monitoring system and method according to the embodiments disclosed in this document have dummy data transmitted to the phishing server by the phishing application, thereby avoiding the perpetrator's suspicion and reducing the risk of the work being discovered.
이 외에, 본 문서를 통해 직접적 또는 간접적으로 파악되는 다양한 효과들이 제공될 수 있다.In addition to this, various effects identified directly or indirectly through this document may be provided.
도 1은 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 시스템의 동작 구조를 보여주는 도면이다.
도 2a 및 도 2b는 본 문서에 개시된 일 실시예들에 따른 피싱 피해 모니터링 시스템의 블록도이다.
도 3은 본 문서에 개시된 일 실시예에 따른 더미데이터가 피싱 서버로 전송되는 과정을 보여주는 도면이다.
도 4는 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 방법을 설명하기 위한 흐름도이다.1 is a diagram showing an operating structure of a phishing victim monitoring system according to an embodiment disclosed in this document.
2a and 2b are block diagrams of a phishing victim monitoring system according to one embodiment disclosed in this document.
3 is a diagram illustrating a process of transmitting dummy data to a phishing server according to an embodiment disclosed in this document.
4 is a flowchart illustrating a method for monitoring phishing damage according to an embodiment disclosed in this document.
이하, 본 발명의 다양한 실시 예가 첨부된 도면을 참조하여 기재된다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 실시 예의 다양한 변경(modification), 균등물(equivalent), 및/또는 대체물(alternative)을 포함하는 것으로 이해되어야 한다.Hereinafter, various embodiments of the present invention will be described with reference to the accompanying drawings. However, it should be understood that this is not intended to limit the present invention to the specific embodiments, and includes various modifications, equivalents, and/or alternatives of the embodiments of the present invention.
본 문서에서 아이템에 대응하는 명사의 단수 형은 관련된 문맥상 명백하게 다르게 지시하지 않는 한, 상기 아이템 한 개 또는 복수 개를 포함할 수 있다. 본 문서에서, "A 또는 B", "A 및 B 중 적어도 하나",“A 또는 B 중 적어도 하나”, "A, B 또는 C", "A, B 및 C 중 적어도 하나” 및 “A, B, 또는 C 중 적어도 하나"와 같은 문구들 각각은 그 문구들 중 해당하는 문구에 함께 나열된 항목들 중 어느 하나, 또는 그들의 모든 가능한 조합을 포함할 수 있다. "제 1", "제 2", 또는 "첫째" 또는 "둘째"와 같은 용어들은 단순히 해당 구성요소를 다른 해당 구성요소와 구분하기 위해 사용될 수 있으며, 해당 구성요소들을 다른 측면(예: 중요성 또는 순서)에서 한정하지 않는다. 어떤(예: 제 1) 구성요소가 다른(예: 제 2) 구성요소에, “기능적으로” 또는 “통신적으로”라는 용어와 함께 또는 이런 용어 없이, “커플드” 또는 “커넥티드”라고 언급된 경우, 그것은 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로(예: 유선으로), 무선으로, 또는 제 3 구성요소를 통하여 연결될 수 있다는 것을 의미한다.In this document, the singular form of a noun corresponding to an item may include one item or a plurality of items, unless the context clearly dictates otherwise. In this document, "A or B", "at least one of A and B", "at least one of A or B", "A, B or C", "at least one of A, B and C" and "A, Each of the phrases such as "at least one of B or C" may include any one of the items listed together in the corresponding one of the phrases, or all possible combinations thereof. Terms such as "first", "second", or "first" or "secondary" may simply be used to distinguish a given component from other corresponding components, and may be used to refer to a given component in another aspect (eg, importance or order) is not limited. A (e.g. first) component is said to be “coupled” or “connected” to another (e.g. second) component, with or without the terms “functionally” or “communicatively”. When mentioned, it means that the certain component may be connected to the other component directly (eg by wire), wirelessly, or through a third component.
본 문서에서 설명되는 구성요소들의 각각의 구성요소(예: 모듈 또는 프로그램)는 단수 또는 복수의 개체를 포함할 수 있다. 다양한 실시 예들에 따르면, 해당 구성요소들 중 하나 이상의 구성요소들 또는 동작들이 생략되거나, 또는 하나 이상의 다른 구성요소들 또는 동작들이 추가될 수 있다. 대체적으로 또는 추가적으로, 복수의 구성요소들(예: 모듈 또는 프로그램)은 하나의 구성요소로 통합될 수 있다. 이런 경우, 통합된 구성요소는 상기 복수의 구성요소들 각각의 구성요소의 하나 이상의 기능들을 상기 통합 이전에 상기 복수의 구성요소들 중 해당 구성요소에 의해 수행되는 것과 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따르면, 모듈, 프로그램 또는 다른 구성요소에 의해 수행되는 동작들은 순차적으로, 병렬적으로, 반복적으로, 또는 휴리스틱하게 실행되거나, 상기 동작들 중 하나 이상이 다른 순서로 실행되거나, 생략되거나, 또는 하나 이상의 다른 동작들이 추가될 수 있다.Each component (eg, module or program) of the components described in this document may include singular or plural entities. According to various embodiments, one or more components or operations among corresponding components may be omitted, or one or more other components or operations may be added. Alternatively or additionally, a plurality of components (eg modules or programs) may be integrated into a single component. In this case, the integrated component may perform one or more functions of each of the plurality of components identically or similarly to those performed by a corresponding component of the plurality of components prior to the integration. . According to various embodiments, operations performed by modules, programs, or other components are executed sequentially, in parallel, iteratively, or heuristically, or one or more of the operations are executed in a different order, omitted, or , or one or more other operations may be added.
본 문서에서 사용되는 용어 "모듈", 또는 “...부”는 하드웨어, 소프트웨어 또는 펌웨어로 구현된 유닛을 포함할 수 있으며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로와 같은 용어와 상호 호환적으로 사용될 수 있다. 모듈은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는, 상기 부품의 최소 단위 또는 그 일부가 될 수 있다. 예를 들면, 일 실시 예에 따르면, 모듈은 ASIC(application-specific integrated circuit)의 형태로 구현될 수 있다. As used in this document, the term "module" or "...unit" may include a unit implemented in hardware, software, or firmware, and may include, for example, logic, logic block, component, or circuit. can be used interchangeably. A module may be an integrally constructed component or a minimal unit of components or a portion thereof that performs one or more functions. For example, according to one embodiment, the module may be implemented in the form of an application-specific integrated circuit (ASIC).
본 문서의 다양한 실시 예들은 기기(machine) 의해 읽을 수 있는 저장 매체(storage medium)(예: 메모리)에 저장된 하나 이상의 명령어들을 포함하는 소프트웨어(예: 프로그램 또는 애플리케이션)로서 구현될 수 있다. 예를 들면, 기기의 프로세서는, 저장 매체로부터 저장된 하나 이상의 명령어들 중 적어도 하나의 명령을 호출하고, 그것을 실행할 수 있다. 이것은 기기가 상기 호출된 적어도 하나의 명령어에 따라 적어도 하나의 기능을 수행하도록 운영되는 것을 가능하게 한다. 상기 하나 이상의 명령어들은 컴파일러에 의해 생성된 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장 매체는, 비일시적(non-transitory) 저장 매체의 형태로 제공될 수 있다. 여기서,‘비일시적’은 저장 매체가 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장 매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다. Various embodiments of the present document may be implemented as software (eg, a program or application) including one or more instructions stored in a storage medium (eg, memory) readable by a machine. For example, the processor of the device may call at least one command among one or more commands stored from a storage medium and execute it. This enables the device to be operated to perform at least one function according to the at least one command invoked. The one or more instructions may include code generated by a compiler or code executable by an interpreter. The device-readable storage medium may be provided in the form of a non-transitory storage medium. Here, 'non-temporary' only means that the storage medium is a tangible device and does not contain a signal (e.g. electromagnetic wave), and this term refers to the case where data is stored semi-permanently in the storage medium. It does not discriminate when it is temporarily stored.
도 1은 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 시스템의 동작 구조를 보여주는 도면이다. 1 is a diagram showing an operating structure of a phishing victim monitoring system according to an embodiment disclosed in this document.
도 1을 참조하면, 피싱 피해 모니터링 시스템(100)은 피싱 어플리케이션에 의해 유출된 피해자의 유출 정보를 보호하고, 가해자로부터 수신되는 가해 정보를 모니터링하여 피해자를 가해자의 추가적인 협박과 같은 가해로부터 보호할 수 있다.Referring to FIG. 1, the phishing
피싱 피해 모니터링 시스템(100)은 고객의 사진, SNS 정보, 문자메시지, 메신저내용, 연락처 정보 등의 개인정보가 피싱 어플리케이션을 통해 유출된 경우, 가상 정보 및 타겟 정보를 포함하는 더미데이터를 피싱 서버(10)로 전송하여, 기 유출된 개인정보를 무력화시켜 더 이상의 유출을 방지함으로써 유출 정보를 보호할 수 있다.The phishing
예를 들어, 피싱 피해 모니터링 시스템(100)은 피싱 서버(10)로 더미데이터를 전송하여 피싱 서버(10)의 데이터를 밀어내는 방법, 덮어쓰기 하는 방법, 데이터를 인식하지 못하도록 하는 방법 등 다양한 방법을 통해 유출 정보를 보호할 수 있다. For example, the phishing
또한, 피싱 피해 모니터링 시스템(100)은 피싱 서버(10)로 가상 정보 및 타겟 정보를 포함하는 더미데이터를 전송하고, 피싱 서버(10)의 운영 주체(20)로부터 타겟 디바이스(30)가 수신하는 가해 정보를 모니터링하여 피해자를 가해자의 추가적인 협박과 같은 가해로부터 보호할 수 있다.In addition, the phishing
피싱 서버(10)는 피싱 범죄에 사용된 피싱 어플리케이션과 송수신하여 유출 데이터를 전송 받거나 저장하는 서버를 포함할 수 있다. 또한, 피싱 서버(10)의 운영 주체(20)는 피싱 어플리케이션 및/또는 피싱 서버(10)를 이용하여 피해자의 개인 정보 등을 유출하고 유출된 정보를 기초로 피해자를 협박하는 가해자를 포함할 수 있다. 이하에서 피싱 서버(10)의 운영 주체(20)는 가해자로 참조될 수 있다.The
타겟 디바이스(30)는 피싱 피해 모니터링 시스템(100)의 운영자(예를 들어, 사용자, 법인 등)이 소유 또는 관리하고 있는 통신 단말(예를 들어, 모바일 디바이스, PC, 태블릿 등), 서버 등일 수 있다. 타겟 디바이스(30)는 피싱 서버(10)의 운영 주체(20)로부터 가해 정보를 수신할 수 있다.The target device 30 may be a communication terminal (eg, mobile device, PC, tablet, etc.), server, etc. owned or managed by an operator (eg, user, corporation, etc.) of the phishing
예를 들어, 타겟 디바이스(30)는 모바일 디바이스일 수 있고 PC 등에서 구동되는 가상 머신 또는 에뮬레이터일 수 있다. 타겟 디바이스(30)는 가해자로부터 문자메시지, 전화를 수신할 수 있고, PC에서 SNS 서비스(예를 들어, 트위터, 메타 등), 메신저 서비스(예를 들어, 카카오톡, 라인 등), 이메일 서비스(예를 들어, 구글, 네이버 등) 등의 계정으로 로그인하여 해당 계정으로 가해자가 전송하는 메시지, 메일 등을 수신할 수 있다. For example, the target device 30 may be a mobile device and may be a virtual machine or emulator running on a PC or the like. The target device 30 may receive a text message or phone call from the perpetrator, SNS service (eg, Twitter, Meta, etc.), messenger service (eg, KakaoTalk, Line, etc.), email service (eg, KakaoTalk, Line, etc.) For example, by logging in with an account such as Google, Naver, etc.), the perpetrator may receive a message, e-mail, etc. from the perpetrator.
도 2a 및 도 2b는 본 문서에 개시된 일 실시예들에 따른 피싱 피해 모니터링 시스템의 블록도이다.2a and 2b are block diagrams of a phishing victim monitoring system according to one embodiment disclosed in this document.
도 2a 및 도 2b를 참조하면, 피싱 피해 모니터링 시스템(100)은 추출부(110), 더미데이터 생성부(120), 처리부(130) 및 모니터링부(140)를 포함할 수 있다. 실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 프로세서(processor)나 CPU(central processing unit)와 같은 하드웨어 장치이거나, 또는 하드웨어 장치에 의하여 구현되는 소프트웨어나 프로그램일 수 있다.Referring to FIGS. 2A and 2B , the phishing
실시예에 따르면, 추출부(110)는 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출할 수 있다. 이 때, 피싱 어플리케이션은 피해자의 피싱 피해에 이용된 어플리케이션을 포함할 수 있다. 피싱 어플리케이션은 피해자의 개인 정보 등을 피싱 서버(10)로 유출하도록 설정되어 있을 수 있고, 추출부(110)는 피싱 어플리케이션으로부터 전송되는 데이터를 통해 피싱 서버 정보를 추출할 수 있다. 피싱 서버 정보는 예를 들어, 통신에 사용된 IP 대역이나 사이트 주소(URL) 등을 포함할 수 있다. 일 예로, 피싱 서버 정보는 VPS(Virtual Private Server) 정보, C&C(Command & Control) 정보, IP주소, 접근 경로, 로그 전송 내역 등을 포함할 수 있다. According to an embodiment, the extractor 110 may extract phishing server information corresponding to a phishing application. In this case, the phishing application may include an application used to damage the victim by phishing. The phishing application may be set to leak personal information of the victim to the
실시예에 따르면, 추출부(110)는 피싱 어플리케이션에 의해 피싱 서버(10)로 전송되는 유출 데이터를 분석할 수도 있다. 유출 데이터는 예를 들어, 피해자의 전화번호 데이터, 문자메시지 데이터, 사진 데이터, 영상 데이터, 메신저 데이터 등을 포함할 수 있다. 추출부(110)는 유출 데이터를 분석하여 피싱 서버(10)로 전송되는 데이터의 파일 형식, 파일 용량 등을 확인할 수 있다.According to an embodiment, the extractor 110 may analyze leaked data transmitted to the
예를 들어, 추출부(110)는 피싱 어플리케이션을 디컴파일링한 결과에 기초하여 피싱 어플리케이션의 피싱 서버 정보 및/또는 유출 데이터를 추출하여 분석할 수 있다. 디컴파일링은 프로그램 파일(예를 들어, APK 파일 또는 IPA 파일)을 컴퓨터 프로그래밍 언어(예를 들어, 자바, C++, C 등)로 구현된 코드로 변환하는 과정을 의미할 수 있다. 프로그램 파일을 디컴파일링하는 경우, 프로그래밍 언어로 구현된 코드를 확인할 수 있고, 해당 코드를 분석하여 프로그램 파일의 구동 방식, 사용하는 서버 주소, 프로그램 파일을 통해 전송되는 정보 등을 확인할 수 있다. 따라서, 추출부(110)는 피싱 어플리케이션을 디컴파일링한 코드를 분석함으로써 해당 피싱 어플리케이션에 의해 전송되는 유출 데이터 및/또는 피싱에 사용되는 피싱 서버 정보를 추출할 수 있다. For example, the extractor 110 may extract and analyze phishing server information and/or leaked data of the phishing application based on a result of decompiling the phishing application. Decompilation may refer to a process of converting a program file (eg, an APK file or an IPA file) into a code implemented in a computer programming language (eg, Java, C++, C, etc.). In the case of decompiling a program file, codes implemented in a programming language can be checked, and by analyzing the code, a driving method of the program file, a server address used, and information transmitted through the program file can be checked. Accordingly, the extractor 110 may extract leaked data transmitted by the phishing application and/or phishing server information used for phishing by analyzing the decompiled code of the phishing application.
또한, 추출부(110)는 더미데이터가 피싱 어플리케이션을 통해 피싱 서버(10)로 정상적으로 전송되었는지 확인할 수 있다. 일 예로, 추출부(110)는 피싱 서버 정보 및/또는 유출 데이터를 분석하는 과정과 마찬가지로, 피싱 어플리케이션을 디컴파일링하여 통신 패킷을 분석함으로써 전송하고자 하는 데이터(예를 들어, 더미데이터)가 피싱 서버(10)로 정상적으로 전송되었는지 확인할 수 있다. 이를 통해, 피싱 피해 모니터링 시스템(100)은 기 유출된 개인 정보를 피싱 서버(10)에서 무력화시키는 과정이 정상적으로 이루어지고 있는지를 확인할 수 있다.Also, the extractor 110 may check whether the dummy data is normally transmitted to the
실시예에 따르면, 더미데이터 생성부(120)는 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성할 수 있다. 가상 정보는 예를 들어 누구인지 특정 불가능하거나 식별 불가능한 사진, 사용되지 않는 전화번호 형식의 연락처, 무의미한 내용이 저장된 문서, 식별 불가능한 SMS 데이터, 사용되지 않는 형식의 고유식별번호 등을 포함할 수 있다. 이러한 데이터는 주로 피싱 어플리케이션이 피싱 서버(10)로 전송하는 유출 데이터에 대응되는 데이터일 수 있다. According to an embodiment, the
일 실시예에서, 더미데이터 생성부(120)는 피싱 어플리케이션에 의해 유출되었을 것으로 예상되는 데이터 형식(예를 들어, 전화번호 형식)을 가지는 가상 정보를 생성할 수 있다. 더미데이터 생성부(120)는 추출부(110)에서 분석한 유출 데이터에 기초하지 않고 후술할 소프트웨어, 프로그래밍 언어 스크립트 등을 통해 랜덤으로 데이터를 생성할 수 있다.In an embodiment, the
다른 실시예에서, 더미데이터 생성부(120)는 추출부(110)에서 분석한 피싱 어플리케이션에 의해 유출되는 데이터 형식에 대응되도록 가상 정보를 생성할 수 있다. 예를 들어, 추출부(100)에서 분석한 유출 데이터가 .txt 확장자를 가진다면, 더미데이터 생성부(10)는 .txt 확장자를 가지는 파일을 생성할 수 있다.In another embodiment, the
실시예에 따르면, 타겟 정보는 타겟 디바이스(30)에 대응되는 정보일 수 있다. 타겟 정보는 실제로는 존재하지 않는 정보인 가상 정보(예를 들어, 실제로는 존재하지 않는 전화번호)와 달리, 실제로 존재하는 정보를 포함할 수 있다. 예를 들어, 타겟 정보는 타겟 디바이스(30)의 실제 전화번호, 프로필 등을 포함할 수 있다. According to an embodiment, the target information may be information corresponding to the target device 30 . Unlike virtual information (eg, a phone number that does not actually exist), which is information that does not actually exist, the target information may include information that actually exists. For example, the target information may include an actual phone number and profile of the target device 30 .
실시예에 따르면, 타겟 정보는 관계 호칭 정보를 포함할 수 있다. 관계 호칭 정보는 가족 관계를 지칭하는 호칭(예를 들어, 엄마, 아빠, 동생 등), 교우 관계를 지칭하는 호칭(예를 들어, 여자친구, 남자친구, 베스트 프렌드 등) 등을 포함할 수 있다. 더미데이터 생성부(120)는 실제로 존재하는 정보(예를 들어, 전화 번호)와 관계 호칭 정보를 매칭(예를 들어, 엄마-010.xxxx.xxxx)시켜 타겟 정보를 생성할 수 있다. 이 때, 관계 호칭 정보는 피해자와의 관계를 가상으로 나타내기 위한 것으로 피해자와의 실제 관계와는 무관하다. 일반적으로 가해자는 피해자와 가까운 관계에 있는 사람에게 협박을 할 가능성이 높으므로, 더미데이터 생성부(120)는 타겟 정보를 생성할 때, 피해자와 가까운 관계를 지칭하는 호칭(예를 들어, 엄마, 여자친구 등)을 사용할 수 있다.According to an embodiment, the target information may include relationship name information. Relationship title information may include titles indicating family relationships (eg, mom, dad, younger brother, etc.), titles indicating friendships (eg, girlfriend, boyfriend, best friend, etc.) . The
실시예에 따르면, 더미데이터 생성부(120)는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 더미데이터를 생성할 수 있다. 소프트웨어는 다양한 데이터 형식을 가지는 가상 정보를 자동으로 생성하는 프로그램을 포함할 수 있다. 프로그래밍 언어 스크립트는 프로그래밍 언어로 구현된 코드를 포함할 수 있으며, 프로그래밍 언어는 예를 들어, 자바(Java), 파이썬(Python), 루비(Ruby), C, C++ 등을 포함할 수 있다. 프로그래밍 언어 스크립트는 예를 들어, 코드에 데이터 형식을 입력하면 해당 데이터 형식을 가지는 가상 정보를 자동으로 생성할 수 있다. 또한, 더미데이터 생성부(120)는 사용자가 입력하는 데이터를 엑셀 등에 저장함으로써 더미데이터를 생성할 수 있다. According to an embodiment, the
더미데이터 생성부(120)는 추출부(110)에서 분석된 유출 데이터와 무관하게 소프트웨어, 프로그래밍 언어 스크립트 등을 이용하여 랜덤으로 더미데이터를 생성할 수 있다. 또한, 더미데이터 생성부(120)는 추출부(110)에서 분석된 유출 데이터에 대응되도록(예를 들어, 동일한 확장자를 가지도록) 가상 정보를 생성하는 것도 가능하다. The
실시예에 따르면, 더미데이터 생성부(120)는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함할 수 있다. 전화번호부 생성 모듈은 실제로는 사용되지 않는 전화번호 형식을 가지는 가상의 전화번호를 생성할 수 있다. 문자메시지 생성 모듈은 임의의 문자메시지를 생성할 수 있다. 이 때, 임의의 문자메시지는 아무 의미 없는 문자열을 나열하는 등의 텍스트를 포함할 수 있다. 고유식별번호 생성 모듈은 사용되지 않는 형식의 고유식별번호를 생성할 수 있다. 이 때, 고유식별번호(International Mobile Equipment Identity, IMEI)는 모바일 디바이스가 가지는 고유의 일련번호를 포함할 수 있다. According to an embodiment, the dummy
실시예에 따르면, 전화번호부 생성 모듈, 문자메시지 생성 모듈, 고유식별번호 생성 모듈 각각은 소프트웨어, 프로그래밍 언어 스크립트 등을 통해 자동으로 더미데이터를 생성할 수 있고, 사용자 입력에 기초하여 수동으로 더미데이터를 생성할 수도 있다.According to the embodiment, each of the phone book generating module, text message generating module, and unique identification number generating module may automatically generate dummy data through software, programming language scripts, etc., and manually generate dummy data based on a user input. can also create
실시예에 따르면, 처리부(130)는 사용자 입력에 기초하여 피싱 어플리케이션을 실행하여 더미데이터가 피싱 어플리케이션에 의해 피싱 서버(10)로 전송되도록 할 수 있다.According to an embodiment, the
실시예에 따르면, 처리부(130)는 도 2a와 같이, 추출부(110), 더미데이터 생성부(120) 및 모니터링부(140)와 하나의 물리적 구성(예를 들어, PC)에 포함될 수 있다. 다른 실시예에서, 처리부(130)는 도 2b와 같이 추출부(110), 더미데이터 생성부(120) 및 모니터링부(140)와 물리적으로 분리되어 구성될 수 있다. 예를 들어, 추출부(110), 더미데이터 생성부(120) 및 모니터링부(140)는 A PC에 구성될 수 있고, 처리부(130)는 B PC에 구성될 수 있다. According to an embodiment, the
실시예에 따르면, 처리부(130)는 피싱 어플리케이션을 실행함으로써 피싱 어플리케이션이 더미데이터를 스스로 피싱 서버(10)로 전송하게 할 수 있다. 가해자는 피싱 어플리케이션으로부터 피싱 서버(10)로 데이터가 전송되므로, 피싱 피해 모니터링 시스템(100)의 동작에 의한 것이라고 예상할 수 없을 것이고, 그에 따라 가해자에게 작업이 발각되지 않고 안정적으로 유출 정보 보호 및 피싱 피해 모니터링이 가능하다. According to an embodiment, the
실시예에 따르면, 처리부(130)는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함할 수 있다. 이 때, 모바일 디바이스는 피해자 디바이스가 아닌, 개인정보가 저장되어 있지 않은 디바이스일 수 있다. 다만 경우에 따라서 피싱 피해 모니터링 시스템(100)은 피해자 디바이스에서 피싱 피해 모니터링 작업을 진행할 수 있고, 이 경우 처리부(130)와 피해자 디바이스는 실질적으로 동일할 수도 있을 것이다. According to an embodiment, the
실시예에 따르면, 가상 머신 및/또는 에뮬레이터는 PC에서 모바일 어플리케이션의 구동을 가능케 하는 프로그램을 포함할 수 있다. 일반적으로 피싱 어플리케이션은 모바일 어플리케이션일 수 있고, 모바일 어플리케이션은 호환성 문제 등으로 PC에서 실행되지 않을 수 있다. 따라서, 피싱 피해 모니터링 시스템(100)은 모바일 어플리케이션의 구동을 가능케 하는 가상 머신, 에뮬레이터 등을 사용하여, 가상 머신 내에서 피싱 어플리케이션을 실행하여 피싱 피해 모니터링 작업을 가능하게 할 수 있다. According to an embodiment, the virtual machine and/or the emulator may include a program enabling driving of a mobile application on a PC. In general, a phishing application may be a mobile application, and the mobile application may not be executed on a PC due to a compatibility problem or the like. Accordingly, the phishing
피싱 피해 모니터링 시스템(100)이 피해자 디바이스에서 유출 정보 보호 및 피싱 피해 모니터링 작업을 하는 경우, 피해자 디바이스에는 여전히 피싱 어플리케이션이 설치되어 있고 피해자 개인 정보가 남아 있을 수 있으므로, 의도치 않은 추가 개인정보 유출이 발생할 가능성이 있다. 이에 비해, 처리부(130)로 에뮬레이터나 가상 머신을 사용하는 경우, 피해자 개인 정보 데이터가 저장되어 있지 않아 만일의 추가 유출 사태를 방지할 수 있다. 그에 따라, 피싱 피해 모니터링 시스템(100)은 보안을 강화하기 위한 별도의 프록시 서버를 구비할 필요가 없어 시간적, 비용적 면에서 효율적인 작업이 가능하다. 또한, 피싱 피해 모니터링 시스템(100)은 경우에 따라서 추출부(110), 모니터링부(140)등의 동작이 이루어지는 디바이스(예를 들어, PC)와 같은 디바이스에서 처리부(130)의 작업이 가능할 수 있어 효율적으로 작업을 수행할 수 있다. When the phishing
실시예에 따르면, 모니터링부(140)는 타겟 디바이스(30)가 피싱 서버(10)의 운영 주체(20)로부터 수신하는 가해 정보를 모니터링할 수 있다. 가해자는 피싱 서버(10)에 전송된 더미데이터를 피해자의 유출 데이터로 오인하여 더미데이터에 포함된 데이터(예를 들어, 타겟 정보)에 기초하여 피해자에게 협박 등의 가해를 가할 것이므로, 모니터링부(140)는 타겟 디바이스(30)를 통해 가해 정보를 모니터링 할 수 있다. According to the embodiment, the monitoring unit 140 may monitor offense information received by the target device 30 from the operating
피싱 서버(10)로 유입된 더미데이터는 기 유출된 데이터를 다양한 방식으로 무력화하고, 더미데이터를 타겟 정보를 제외한 데이터는 가상 정보로 구성하여 가해자가 피싱 서버(10)에 존재하는 데이터를 이용하여 가해를 하더라도 실질적으로는 타겟 디바이스(30)로만 가해 정보가 전달될 것이다. 이와 같이, 피싱 피해 모니터링 서비스(100)는 가해자의 가해가 타겟 디바이스(30)로 수행되도록 유도하여 피싱 피해를 모니터링할 수 있다.The dummy data flowed into the
실시예에 따르면, 가해 정보는 가해자의 전화번호, 프로필, 이메일, 계좌 번호 중 적어도 하나를 포함할 수 있다. 이는 예시일 뿐, 가해자를 특정할 수 있는 수단이라면 이에 제한되지 않는다.According to the embodiment, the perpetrator information may include at least one of the perpetrator's phone number, profile, e-mail, and account number. This is only an example, and is not limited thereto as long as it is a means for specifying the perpetrator.
실시예에 따르면, 모니터링부(140)는 타겟 디바이스(30)가 가해 정보를 수신한 경우 피해자에게 경고를 수행할 수 있다. 모니터링부(140)는 피해자에게 경고를 수행하여 피해자가 가해자의 가해를 미리 준비하고 방지할 수 있게 할 수 있다.According to the embodiment, the monitoring unit 140 may issue a warning to the victim when the target device 30 receives abuse information. The monitoring unit 140 may warn the victim so that the victim can prepare in advance and prevent the perpetrator from harming the victim.
실시예에 따르면, 모니터링부(140)는 피해자에게 가해 정보를 전달하여 가해 정보를 차단함으로써 운영 주체(20)를 차단하도록 경고할 수 있다. 예를 들어, 타겟 디바이스(30)가 010-xxxx-xxxx 번호로부터 협박 메시지를 받은 경우, 모니터링부(140)는 010-xxxx-xxxx 번호를 피해자에게 전달할 수 있다. 피해자는 본인뿐 아니라 주변 지인들에게 해당 번호를 전달하여 해당 번호를 차단하게 함으로써 가해자를 차단할 수 있다.According to the embodiment, the monitoring unit 140 may warn the
피싱 피해 모니터링 시스템(100)은 이와 같이 가해 정보에 기초하여 가해자의 전화번호, 이메일, IP 주소 등을 차단하도록 하여 가해자가 피해자 및/또는 피해자의 지인에게 가해를 가할 수 있는 경로를 차단하여 협박 등을 수행할 수 없도록 할 수 있다. 예를 들어, 가해자가 피해자의 전화번호로 협박 메시지를 전송하더라도, 피해자는 가해자를 차단했기 때문에 가해자가 보낸 협박 메시지를 확인할 수 없도록 할 수 있다.The phishing
또한, 피싱 피해 모니터링 시스템(100)은 타겟 디바이스(30)가 가해 정보를 수신한 경우, 가해 정보에 기초하여 상술한 더미데이터의 전송을 통한 유출 정보 보호 과정을 더 진행할 수 있다. 이를 통해, 피싱 피해 모니터링 시스템(100)은 유출 정보 보호의 효과를 더 높일 수 있다.In addition, when the target device 30 receives offence information, the phishing
실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 데이터베이스(150)를 더 포함할 수 있다. 데이터베이스(150)는 추출부(110) 등의 구성과 별도로 구성될 수도 있다.According to the embodiment, the phishing
실시예에 따르면, 데이터베이스(150)는 기존의 피해 정보를 저장하고 관리할 수 있다. 피싱 피해 모니터링 시스템(100)은 다양한 피해자 및 다양한 가해자의 피싱 피해와 관련된 정보를 수집하고 데이터베이스(150)에 저장하여 관리할 수 있다. 이 때, 피해 정보는 해당 피싱 피해에 사용된 피싱 어플리케이션, 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자 프로필 등의 정보를 포함할 수 있고, 데이터베이스(150)는 예를 들어, 피싱 어플리케이션과 해당 피싱 어플리케이션에 대응되는 피싱 서버 주소, 가해자의 계좌번호, 프로필 등의 정보를 매칭하여 저장할 수 있다.According to an embodiment, the database 150 may store and manage existing damage information. The phishing
실시예에 따르면, 모니터링부(140)는 가해 정보에 기초하여 데이터베이스(150)의 데이터를 최신화할 수 있다. 또한, 모니터링부(140)는 피해자의 피싱 피해에 사용된 정보들도 함께 반영하여 데이터베이스(150)의 데이터를 최신화할 수 있다. 예를 들어, 피해자의 피싱 피해에 A 어플리케이션이 사용되었고 타겟 디바이스(30)가 수신한 가해자의 계좌 번호가 B이며, 기존 데이터베이스(150)의 데이터에는 A 어플리케이션에 매칭된 계좌 번호가 C인 경우, 모니터링부(140)는 A 어플리케이션에 B 및 C의 계좌 번호를 추가하여 매칭할 수 있다.According to the embodiment, the monitoring unit 140 may update the data of the database 150 based on the offense information. In addition, the monitoring unit 140 may update the data of the database 150 by also reflecting information used for the victim's phishing damage. For example, if application A was used for the victim's phishing damage, the account number of the perpetrator received by the target device 30 is B, and the account number matched to application A is C in the data of the existing database 150, The monitoring unit 140 may add the account numbers of B and C to application A and match them.
실시예에 따르면, 모니터링부(140)는 데이터베이스(150)의 데이터를 최신 정보로 유지하기 위해, 기존의 데이터베이스(150)의 데이터에 기초하여 지속적으로 가해자 및/또는 피싱 서버(10)에 접근하여 정보의 변동을 확인하고 변동이 있을 경우 이를 반영하여 데이터를 최신화 할 수 있다. According to the embodiment, the monitoring unit 140 continuously accesses the perpetrator and/or the
피싱 피해 모니터링 시스템(100)은 피싱 피해가 발생될 때 이와 같이 데이터베이스(150)의 데이터를 최신화함으로써 피싱 피해 모니터링의 효과를 높일 수 있다. 또한, 피싱 피해 모니터링 시스템(100)은 새로운 피싱 피해가 발생될 때 데이터베이스(150)의 데이터에 기초하여 보다 즉각적인 대응이 가능하다.The phishing
실시예에 따르면, 피싱 피해 모니터링 시스템(100)은 어플리케이션 획득부(160)를 더 포함할 수 있다.According to an embodiment, the phishing
실시예에 따르면, 어플리케이션 획득부(160)는 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보에 기초하여 피싱 어플리케이션을 피해자 단말 또는 데이터베이스(150)로부터 획득할 수 있다. 어플리케이션 획득부(160)는 획득한 피싱 어플리케이션을 추출부(110) 및/또는 처리부(130)로 전송할 수 있다. 피싱 어플리케이션 정보는 예를 들어, 피싱 어플리케이션과 관련된 파일 정보(예를 들어, HASH값, 어플리케이션 이름 등) 또는 피싱 피해에 사용된 계좌번호, 전화번호, 가해자 프로필 등의 정보를 포함할 수 있다. According to an embodiment, the application acquisition unit 160 may obtain a phishing application from the victim terminal or the database 150 based on phishing application information corresponding to the phishing application. The application acquisition unit 160 may transmit the acquired phishing application to the extraction unit 110 and/or the
예를 들어, 피해자가 피싱 어플리케이션을 피해자 디바이스에서 삭제하지 않은 경우, 어플리케이션 획득부(160)는 피해자 디바이스로부터 피싱 어플리케이션을 전송 받을 수 있다. 어플리케이션 획득부(160)와 피해자 디바이스는 유선 또는 무선으로 통신할 수 있으며, 블루투스 통신, Wi-Fi 통신, USB 통신 등 일반적으로 사용되는 통신 방법을 통해 피싱 어플리케이션을 전송 받을 수 있다. For example, if the victim does not delete the phishing application from the victim device, the application acquirer 160 may receive the phishing application from the victim device. The application acquirer 160 and the victim device may communicate by wire or wirelessly, and the phishing application may be received through commonly used communication methods such as Bluetooth communication, Wi-Fi communication, and USB communication.
실시예에 따르면, 어플리케이션 획득부(160)는 피싱 어플리케이션 정보를 데이터베이스(150)의 데이터와 비교한 결과에 기초하여 피싱 어플리케이션을 데이터베이스(150)로부터 획득할 수 있다. According to an embodiment, the application obtaining unit 160 may obtain a phishing application from the database 150 based on a result of comparing information of the phishing application with data of the database 150 .
예를 들어, 피해자가 피해자 디바이스에서 피싱 어플리케이션을 삭제한 경우, 어플리케이션 획득부(160)는 피싱 어플리케이션을 피해자 디바이스로부터 직접 전송 받을 수 없다. 이 경우, 어플리케이션 획득부(160)는 데이터베이스(150)의 데이터와 피싱 피해 정보를 비교함으로써 피싱 피해에 사용된 피싱 어플리케이션을 추정하고, 이를 데이터베이스(150)로부터 전송 받을 수 있다. 이를 통해, 피싱 피해 모니터링 시스템(100)은 피해자가 피싱 어플리케이션을 삭제한 경우에도, 피싱 어플리케이션을 획득하여 유출 정보를 보호하고 피싱 피해 모니터링을 수행할 수 있다. For example, if the victim deletes the phishing application from the victim device, the application acquirer 160 cannot directly receive the phishing application from the victim device. In this case, the application acquisition unit 160 may estimate the phishing application used for the phishing damage by comparing the data of the database 150 with the phishing victim information, and receive the phishing application from the database 150 . Through this, the phishing
일 예로, 어플리케이션 획득부(160)는 데이터베이스(150)의 데이터와 피싱 피해에 사용된 계좌번호, 전화번호, 협박 메시지, 웹사이트, 가해자의 프로필, APK 파일의 HASH 값 중 적어도 하나를 비교한 결과에 기초하여 상기 피싱 어플리케이션을 획득할 수 있다. 이러한 피싱 피해 정보는 피해자로부터 획득할 수 있을 것이며, 이외에도 피싱 피해와 관련된 각종 정보를 포함할 수 있다. 예를 들어, 피해자로부터 획득한 계좌번호 정보와 일치하는 데이터가 데이터베이스(150)에 존재하는 경우, 해당 데이터에 매칭된 어플리케이션을 피싱 피해에 사용된 피싱 어플리케이션이라고 추정할 수 있다. As an example, the application acquisition unit 160 compares the data of the database 150 with at least one of the account number, phone number, threat message, website, perpetrator's profile, and HASH value of the APK file used for the phishing damage. The phishing application may be acquired based on. Such phishing damage information may be obtained from the victim, and may include various types of information related to phishing damage. For example, if data matching the account number information obtained from the victim exists in the database 150, it can be estimated that the application matching the data is a phishing application used for the phishing damage.
도 3은 본 문서에 개시된 일 실시예에 따른 더미데이터가 피싱 서버로 전송되는 과정을 보여주는 도면이다.3 is a diagram illustrating a process of transmitting dummy data to a phishing server according to an embodiment disclosed in this document.
도 3을 참조하면, 더미데이터 생성부(120)는 소프트웨어, 프로그래밍 언어 스크립트, 사용자 입력을 통해 더미데이터를 생성할 수 있다. 더미데이터 생성부(120)는 생성된 더미데이터를 처리부(130)로 전송할 수 있다. Referring to FIG. 3 , the
처리부(130)는 더미데이터를 수신한 경우, 사용자 입력에 기초하여 피싱 어플리케이션을 실행하고, 더미데이터를 피싱 어플리케이션을 통해 피싱 서버(10)로 전송할 수 있다. Upon receiving the dummy data, the
도 4는 본 문서에 개시된 일 실시예에 따른 피싱 피해 모니터링 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a method for monitoring phishing damage according to an embodiment disclosed in this document.
도 4를 참조하면, 피싱 피해 모니터링 방법은, 피싱 어플리케이션에 대응되는 피싱 서버 정보를 추출하는 단계(S100), 가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 단계(S200), 사용자 입력에 기초하여 피싱 어플리케이션을 실행하고, 피싱 어플리케이션을 통해 더미데이터를 피싱 서버로 전송하는 단계(S300) 및 타겟 디바이스가 피싱 서버의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 단계(S400)를 포함할 수 있다.Referring to FIG. 4 , the phishing damage monitoring method includes extracting phishing server information corresponding to a phishing application (S100), generating dummy data including virtual information and target information corresponding to a target device (S200). , Running the phishing application based on the user input, transmitting dummy data to the phishing server through the phishing application (S300), and monitoring the abuse information received by the target device from the operating entity of the phishing server (S400) can include
S100 단계에서, 추출부(110)는 피해자의 피싱 피해에 사용된 피싱 어플리케이션의 피싱 서버 정보를 추출할 수 있다. In step S100, the extractor 110 may extract phishing server information of a phishing application used to damage the victim by phishing.
S200 단계에서, 더미데이터 생성부(120)는 가상 정보 및 타겟 디바이스(30)에 대응되는 타겟 정보를 포함하는 더미데이터를 생성할 수 있다.In step S200 , the
S300 단계에서, 처리부(130)는 사용자 입력에 기초하여 피싱 어플리케이션을 실행하고, 피싱 어플리케이션을 통해 더미데이터를 피싱 서버(10)로 전송할 수 있다.In step S300 , the
S400 단계에서, 모니터링부(140)는 타겟 디바이스(30)가 피싱 서버(10)의 운영 주체(20)로부터 수신하는 가해 정보를 모니터링할 수 있다.In step S400 , the monitoring unit 140 may monitor abuse information received by the target device 30 from the operating
실시예에 따르면, 피싱 피해 모니터링 방법은, 타겟 디바이스가 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 단계(S500)를 더 포함할 수 있다.According to an embodiment, the phishing victim monitoring method may further include, when the target device receives the victim information, performing a warning to the victim (S500).
S500 단계에서, 모니터링부(140)는 타겟 디바이스(30)가 가해 정보를 수신한 경우, 피해자에게 경고를 수행할 수 있다. 실시예에 따르면, 모니터링부(140)는 피해자에게 가해 정보를 전달하여 가해 정보를 차단하여 운영 주체를 차단하도록 경고를 수행할 수 있다.In step S500, the monitoring unit 140 may warn the victim when the target device 30 receives the abuse information. According to the embodiment, the monitoring unit 140 may deliver the victim information to the victim to block the victim information and issue a warning to block the operating entity.
이상에서, 본 문서에 개시된 실시예를 구성하는 모든 구성 요소들이 하나로 결합하거나 결합하여 동작하는 것으로 설명되었다고 해서, 본 문서에 개시된 실시예들이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 문서에 개시된 실시예들의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. In the above, even though all the components constituting the embodiments disclosed in this document have been described as being combined or operated as one, the embodiments disclosed in this document are not necessarily limited to these embodiments. That is, within the scope of the objectives of the embodiments disclosed in this document, all of the components may be selectively combined with one or more to operate.
또한, 이상에서 기재된 "포함하다", "구성하다", 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소를 내재할 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다. 기술적이거나 과학적인 용어를 포함한 모든 용어들은, 다르게 정의되지 않는 한, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다. 사전에 정의된 용어와 같이 일반적으로 사용되는 용어들은 관련 기술의 문맥상의 의미와 일치하는 것으로 해석되어야 하며, 본 문서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다. In addition, terms such as "comprise", "comprise", or "having" described above mean that the corresponding component may be inherent unless otherwise stated, excluding other components. It should be construed as being able to further include other components. All terms, including technical or scientific terms, have the same meaning as commonly understood by a person of ordinary skill in the art to which the embodiments disclosed in this document belong, unless defined otherwise. Commonly used terms, such as terms defined in a dictionary, should be interpreted as consistent with the contextual meaning of the related art, and unless explicitly defined in this document, they are not interpreted in an ideal or excessively formal meaning.
이상의 설명은 본 문서에 개시된 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 문서에 개시된 실시예들이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 문서에 개시된 실시예들의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 문서에 개시된 실시예들은 본 문서에 개시된 실시예들의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 문서에 개시된 기술 사상의 범위가 한정되는 것은 아니다. 본 문서에 개시된 기술사상의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 문서의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.The above description is only an illustrative example of the technical idea disclosed in this document, and those skilled in the art to which the embodiments disclosed in this document belong will be within the scope of the essential characteristics of the embodiments disclosed in this document. Many modifications and variations will be possible. Therefore, the embodiments disclosed in this document are not intended to limit the technical spirit of the embodiments disclosed in this document, but to explain, and the scope of the technical spirit disclosed in this document is not limited by these embodiments. The protection scope of the technical ideas disclosed in this document should be interpreted according to the claims below, and all technical ideas within the equivalent range should be construed as being included in the scope of rights of this document.
10 : 피싱 서버
20 : 운영 주체
30 : 타겟 디바이스
100 : 피싱 피해 모니터링 시스템
110 : 추출부
120 : 더미데이터 생성부
130 : 처리부
140 : 모니터링부
150 : 데이터베이스
160 : 어플리케이션 획득부10 : Phishing Server
20: operating entity
30: target device
100: phishing damage monitoring system
110: extraction unit
120: dummy data generator
130: processing unit
140: monitoring unit
150: database
160: application acquisition unit
Claims (15)
가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 더미데이터 생성부;
사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 처리부; 및
상기 타겟 디바이스가 상기 피싱 서버의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 모니터링부를 포함하고,
상기 타겟 디바이스는 피해자 단말과는 구분되고,
상기 타겟 정보는 관계 호칭 정보를 포함하고,
상기 더미데이터 생성부는 상기 가해 정보를 수신한 경우, 상기 가해 정보에 기초하여 상기 가상 정보를 더 생성하는 피싱 피해 모니터링 시스템.an extractor for extracting phishing server information corresponding to a phishing application;
a dummy data generating unit generating dummy data including virtual information and target information corresponding to a target device;
a processing unit that executes the phishing application based on a user input and transmits the dummy data to a phishing server corresponding to the phishing server information through the phishing application; and
A monitoring unit configured to monitor offending information received by the target device from an operating entity of the phishing server;
The target device is distinguished from the victim terminal,
The target information includes relationship name information,
The phishing victim monitoring system of claim 1 , wherein the dummy data generation unit further generates the virtual information based on the offender information when the offender information is received.
상기 모니터링부는, 상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 피싱 피해 모니터링 시스템.According to claim 1,
The monitoring unit, the phishing damage monitoring system for performing a warning to the victim when the target device receives the offending information.
상기 모니터링부는, 상기 피해자에게 상기 가해 정보를 전달하여 상기 가해 정보를 차단하여 상기 운영 주체를 차단하도록 상기 경고를 수행하는 피싱 피해 모니터링 시스템. According to claim 2,
The monitoring unit performs the warning to block the operating entity by transmitting the offending information to the victim to block the offending information.
상기 가해 정보는 상기 운영 주체의 전화번호, 프로필, 이메일, 계좌 번호, IP 주소 중 적어도 하나를 포함하는 피싱 피해 모니터링 시스템.According to claim 1,
The perpetrator information includes at least one of a phone number, a profile, an email, an account number, and an IP address of the operating entity.
상기 더미데이터 생성부는 소프트웨어, 프로그래밍 언어 스크립트 및 사용자 입력 중 적어도 하나에 기초하여 상기 더미데이터를 생성하는 피싱 피해 모니터링 시스템.According to claim 1,
The dummy data generating unit generates the dummy data based on at least one of software, a programming language script, and a user input.
상기 더미데이터 생성부는 전화번호부 생성 모듈, 문자메시지 생성 모듈 및 고유식별번호 생성 모듈 중 적어도 하나를 포함하는 피싱 피해 모니터링 시스템.According to claim 1,
The dummy data generating unit includes at least one of a phone book generating module, a text message generating module, and a unique identification number generating module.
상기 처리부는 모바일 디바이스, 가상 머신 및 에뮬레이터 중 적어도 하나를 포함하는 피싱 피해 모니터링 시스템.According to claim 1,
The processing unit includes at least one of a mobile device, a virtual machine, and an emulator.
상기 처리부는 상기 추출부, 상기 더미데이터 생성부 및 상기 모니터링부와 물리적으로 분리되어 구성되는 피싱 피해 모니터링 시스템.According to claim 1,
The phishing victim monitoring system of claim 1, wherein the processing unit is configured to be physically separated from the extraction unit, the dummy data generation unit, and the monitoring unit.
기존의 피해 정보를 저장하고 관리하는 데이터베이스를 더 포함하는 피싱 피해 모니터링 시스템.According to claim 1,
A phishing damage monitoring system that further includes a database for storing and managing existing damage information.
상기 피싱 어플리케이션에 대응되는 피싱 어플리케이션 정보에 기초하여 상기 피싱 어플리케이션을 상기 피해자 단말 또는 상기 데이터베이스로부터 획득하는 어플리케이션 획득부를 더 포함하는 피싱 피해 모니터링 시스템.According to claim 10,
The phishing victim monitoring system further comprises an application acquiring unit acquiring the phishing application from the victim terminal or the database based on phishing application information corresponding to the phishing application.
상기 어플리케이션 획득부는 상기 피싱 어플리케이션 정보를 상기 데이터베이스의 데이터와 비교한 결과에 기초하여 상기 피싱 어플리케이션을 상기 데이터베이스로부터 획득하는 피싱 피해 모니터링 시스템.According to claim 11,
The phishing victim monitoring system of claim 1 , wherein the application obtaining unit acquires the phishing application from the database based on a result of comparing the phishing application information with data of the database.
상기 모니터링부는 상기 가해 정보에 기초하여 상기 데이터베이스의 데이터를 최신화하는 피싱 피해 모니터링 시스템.According to claim 10,
The monitoring unit phishing damage monitoring system for updating the data of the database based on the offender information.
가상 정보 및 타겟 디바이스에 대응되는 타겟 정보를 포함하는 더미데이터를 생성하는 단계;
사용자 입력에 기초하여 상기 피싱 어플리케이션을 실행하고, 상기 피싱 어플리케이션을 통해 상기 더미데이터를 상기 피싱 서버 정보에 대응되는 피싱 서버로 전송하는 단계;
상기 타겟 디바이스가 상기 피싱 서버 정보의 운영 주체로부터 수신하는 가해 정보를 모니터링하는 단계; 및
상기 가해 정보를 수신한 경우, 상기 가해 정보에 기초하여 상기 가상 정보를 더 생성하는 단계를 포함하고,
상기 타겟 디바이스는 피해자 단말과는 구분되고,
상기 타겟 정보는 관계 호칭 정보를 포함하는 피싱 피해 모니터링 방법.extracting phishing server information corresponding to the phishing application;
generating dummy data including virtual information and target information corresponding to a target device;
executing the phishing application based on a user input and transmitting the dummy data to a phishing server corresponding to the phishing server information through the phishing application;
monitoring abuse information received by the target device from an operator of the phishing server information; and
Further generating the virtual information based on the offense information when the offense information is received;
The target device is distinguished from the victim terminal,
The target information includes relationship name information.
상기 타겟 디바이스가 상기 가해 정보를 수신한 경우 피해자에게 경고를 수행하는 단계를 더 포함하는 피싱 피해 모니터링 방법.According to claim 14,
The method of monitoring phishing damage further comprising the step of performing a warning to the victim when the target device receives the abuse information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220169657A KR102521677B1 (en) | 2022-12-07 | 2022-12-07 | System and method for monitoring phising damage |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220169657A KR102521677B1 (en) | 2022-12-07 | 2022-12-07 | System and method for monitoring phising damage |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102521677B1 true KR102521677B1 (en) | 2023-04-18 |
Family
ID=86100842
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220169657A KR102521677B1 (en) | 2022-12-07 | 2022-12-07 | System and method for monitoring phising damage |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102521677B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101733633B1 (en) * | 2016-01-12 | 2017-05-08 | 계명대학교 산학협력단 | Detecting and tracing method for leaked phone number data in mobile phone through application |
KR20170099064A (en) * | 2016-02-23 | 2017-08-31 | 주식회사 에스원 | Service Method and System for preventing voice phishing |
KR102473312B1 (en) * | 2022-02-10 | 2022-12-05 | (주)라바웨이브 | System and method for protecting leaked information |
-
2022
- 2022-12-07 KR KR1020220169657A patent/KR102521677B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101733633B1 (en) * | 2016-01-12 | 2017-05-08 | 계명대학교 산학협력단 | Detecting and tracing method for leaked phone number data in mobile phone through application |
KR20170099064A (en) * | 2016-02-23 | 2017-08-31 | 주식회사 에스원 | Service Method and System for preventing voice phishing |
KR102473312B1 (en) * | 2022-02-10 | 2022-12-05 | (주)라바웨이브 | System and method for protecting leaked information |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101574652B1 (en) | Sytem and method for mobile incident analysis | |
US9892261B2 (en) | Computer imposed countermeasures driven by malware lineage | |
US10523609B1 (en) | Multi-vector malware detection and analysis | |
US10102372B2 (en) | Behavior profiling for malware detection | |
KR101543237B1 (en) | Apparatus, system and method for detecting and preventing a malicious script by static analysis using code pattern and dynamic analysis using API flow | |
US9055097B1 (en) | Social network scanning | |
US11824878B2 (en) | Malware detection at endpoint devices | |
US20180137401A1 (en) | Security systems and methods using an automated bot with a natural language interface for improving response times for security alert response and mediation | |
KR102093274B1 (en) | Content scanning agent, content scanning method, and storage media on which the program is recorded | |
CN111786966A (en) | Method and device for browsing webpage | |
US20090113548A1 (en) | Executable Download Tracking System | |
CN103368957A (en) | Method, system, client and server for processing webpage access behavior | |
US11856011B1 (en) | Multi-vector malware detection data sharing system for improved detection | |
KR102473312B1 (en) | System and method for protecting leaked information | |
US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
Kim et al. | Attack detection application with attack tree for mobile system using log analysis | |
KR101490442B1 (en) | Method and system for cutting malicious message in mobile phone, and mobile phone implementing the same | |
KR101372906B1 (en) | Method and system to prevent malware code | |
KR102521677B1 (en) | System and method for monitoring phising damage | |
Lee et al. | A study on realtime detecting smishing on cloud computing environments | |
CN105791221B (en) | Rule issuing method and device | |
Mun et al. | Secure short url generation method that recognizes risk of target url | |
CN115174192A (en) | Application security protection method and device, electronic equipment and storage medium | |
US20220060502A1 (en) | Network Environment Control Scanning Engine | |
KR101667117B1 (en) | Method and device to defend against the phishing of short message service based on operating system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |