KR102531661B1 - 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템 - Google Patents

내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템 Download PDF

Info

Publication number
KR102531661B1
KR102531661B1 KR1020210167671A KR20210167671A KR102531661B1 KR 102531661 B1 KR102531661 B1 KR 102531661B1 KR 1020210167671 A KR1020210167671 A KR 1020210167671A KR 20210167671 A KR20210167671 A KR 20210167671A KR 102531661 B1 KR102531661 B1 KR 102531661B1
Authority
KR
South Korea
Prior art keywords
message
content
user terminal
phishing
institution
Prior art date
Application number
KR1020210167671A
Other languages
English (en)
Inventor
전주호
Original Assignee
전주호
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 전주호 filed Critical 전주호
Priority to KR1020210167671A priority Critical patent/KR102531661B1/ko
Application granted granted Critical
Publication of KR102531661B1 publication Critical patent/KR102531661B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/36Creation of semantic tools, e.g. ontology or thesauri
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/237Lexical tools
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/279Recognition of textual entities
    • G06F40/284Lexical analysis, e.g. tokenisation or collocates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/80Arrangements enabling lawful interception [LI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices

Abstract

내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템이 제공되며, 수신 메시지 내 전화번호가 기 설정된 기관의 전화번호인 경우, 각 기관에서 발송되는 인증 메시지와 수신 메시지를 내용 기반으로 비교한 결과에 따라 위험 경고 안내를 출력하는 사용자 단말 및 적어도 하나의 기관 서버로부터 발송되는 메시지를 수집하여 인증 메시지로 적어도 하나의 기관의 전화번호와 매핑하여 저장하는 데이터베이스화부, 사용자 단말에서 수신한 수신 메시지 내 전화번호가 적어도 하나의 기관의 전화번호인 경우 수신 메시지와, 인증 메시지를 내용 기반으로 비교하여 동일 여부를 확인하는 내용확인부, 수신 메시지와 인증 메시지가 동일하지 않은 경우 기 저장된 위험 경고 안내를 사용자 단말로 전송하는 위험경고부를 포함하는 경고 서비스 제공 서버를 포함한다.

Description

내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템{SYSTEM FOR PROVIDING PHISHING WARNING SERVICE USING CONTENTS BASED BLOCKING}
본 발명은 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템에 관한 것으로, 각 기관에서 전송하는 인증 메시지와 사용자 단말에 수신된 수신 메시지의 동일성 여부를 내용 기반으로 판단하여 위험을 경고하는 시스템을 제공한다.
스미싱(SMiShing)은 문자메시지 서비스(SMS)와 피싱(Phishing)의 합성어로, 피싱 중에서도 SMS를 이용한 피싱 공격을 특정한 말이다. 피싱이란 전자우편이나 SMS, 메신저 등을 통해 신뢰할 만한 사람 또는 기업을 사칭하여 피해자의 비밀번호나 금융정보와 같은 개인정보를 불법적으로 습득하는 행위를 말한다. 또한 가짜 인터넷 사이트를 만들어 피해자에게 개인정보를 입력하도록 유도하는 행위도 피싱이라고 할 수 있다. 이러한 개인정보 유출은 곧 현금인출, 소액결제 등의 경제적 피해로 이어진다. 피싱 중에서도 스미싱의 대표적인 공격 유형으로는, 공공기관이나 은행 등을 사칭하여 피해자의 계좌번호나 비밀번호와 같은 개인정보를 요구하는 유형이 있다. 또한 피해자의 관심을 끄는 문구와 함께 URL을 전송하고 클릭하도록 유도하여 해당 URL을 클릭할 경우 피해자 몰래 악성 애플리케이션을 설치하는 수법을 사용한다. 설치된 악성 애플리케이션은 스마트폰 소액결제 기능을 해킹하여 돈을 탈취하거나, 모바일 뱅킹에 사용되는 은행 애플리케이션들을 삭제한 뒤 가짜 은행 애플리케이션으로 바꿔치기하여 피해자의 모바일 뱅킹 정보를 탈취하는 등의 공격을 수행한다.
이때, 피싱을 판별하기 위하여 문자 메시지를 분석하거나 전화번호로 검증하는 방법이 연구 및 개발되었는데, 이와 관련하여, 선행기술인 한국공개특허 제2017-0024777호(2017년03월08일 공개) 및 한국등록특허 제10-1098532(2011년12월26일 공고)에는, 스미싱 메시지 판별장치가 수신 단말로 전송요청된 문자메시지를 메시지서버로부터 수신하고, 문자메시지에서 콘텐츠영역과 링크영역을 추출하고, 콘텐츠영역과 링크영역을 딥러닝 방식으로 학습된 데이터베이스와 비교하여 문자메시지가 스미싱 메시지에 해당할 스미싱 확률을 계산한 후 위험도를 안내하는 구성과, 보이스피싱을 방지하기 위하여 보이스피싱 전화번호 데이터베이스를 구비한 후 호(Call)가 수신되는 발신전화번호와 데이터베이스 내 전화번호를 비교하여 동일한 전화번호로 판별되는 경우 호 처리를 거부하여 차단하는 구성이 각각 개시되어 있다.
다만, 전자의 경우 스미싱 차단을 텍스트 기반으로 스크리닝하지만, 용어를 유의어로만 변경해도 바로 차단망이 뚫리는 등 무용지물이라는 비판이 끊이지 않고 있다. 후자의 경우에도 피싱 범죄조직은 수 천 내지 수 만 개의 전화번호를 계속 돌려쓰거나 바꿔쓰는 수법으로 한 개의 전화번호를 블랙리스트에 올렸다고 할지라도 또 다른 전화번호로 보이스피싱 전화가 오기 때문에 이 또한 소용이 없다. 대부분의 보이스피싱이나 스미싱은 형사사법기관이나 행정안전부와 같이 국가 기관을 사칭하게 되므로 형사사법기관이나 행정안전부에서 정보를 확인해주는 것이 가장 안전한 방법이지만 이 방법도 스미싱 문자 내 링크를 클릭한 경우 전화 가로채기 악성 애플리케이션이 깔리기 때문에 피해자는 정부 기관으로 전화가 연결되었다고 생각하지만 실제로는 피싱범에게 연결되는 사태가 빈번하다. 이에, 전화번호 기반으로 필터링을 하지 않으면서 메시지 내용을 기반으로 피싱 여부를 안내해줄 수 있는 플랫폼의 연구 및 개발이 요구된다.
본 발명의 일 실시예는, 전화번호 데이터베이스를 기반으로 필터링을 하는 송신자 기반 차단이 아닌, 메시지 내용을 기반으로 필터링이나 차단을 하는 내용 기반 차단 방법을 이용함으로써 전화번호를 바꾸어가며 전화 또는 문자를 전송하는 경우를 막을 수 있고, 빅데이터 및 대용량 말뭉치(Corpus)를 이용하여 유의어로 변경되는 경우에 필터링이 되지 않는 경우를 제로화할 수 있으며, 블록체인 기반으로 정부 기관에서 직접 호 발신 여부 또는 문자 발신 여부를 확인해줌으로써 사칭 기관에서 연락을 한 것인지 또는 실제 정부 기관에서 연락을 한 것인지를 확인할 수 있고, 악성 가로채기 애플리케이션이 감지된 경우 호 발신을 차단하거나 다른 전화기를 이용하라는 문구를 출력하며, 신종 스미싱 키워드의 단어 중요도를 산출한 후 시계열 패턴으로 군집화를 진행하여 신종 단어군(Cluster)을 선택하고 필터링할 수 있도록 하는, 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템을 제공할 수 있다. 다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.
상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 일 실시예는, 수신 메시지 내 전화번호가 기 설정된 기관의 전화번호인 경우, 각 기관에서 발송되는 인증 메시지와 수신 메시지를 내용 기반으로 비교한 결과에 따라 위험 경고 안내를 출력하는 사용자 단말 및 적어도 하나의 기관 서버로부터 발송되는 메시지를 수집하여 인증 메시지로 적어도 하나의 기관의 전화번호와 매핑하여 저장하는 데이터베이스화부, 사용자 단말에서 수신한 수신 메시지 내 전화번호가 적어도 하나의 기관의 전화번호인 경우 수신 메시지와, 인증 메시지를 내용 기반으로 비교하여 동일 여부를 확인하는 내용확인부, 수신 메시지와 인증 메시지가 동일하지 않은 경우 기 저장된 위험 경고 안내를 사용자 단말로 전송하는 위험경고부를 포함하는 경고 서비스 제공 서버를 포함한다.
전술한 본 발명의 과제 해결 수단 중 어느 하나에 의하면, 전화번호 데이터베이스를 기반으로 필터링을 하는 송신자 기반 차단이 아닌, 메시지 내용을 기반으로 필터링이나 차단을 하는 내용 기반 차단 방법을 이용함으로써 전화번호를 바꾸어가며 전화 또는 문자를 전송하는 경우를 막을 수 있고, 빅데이터 및 대용량 말뭉치(Corpus)를 이용하여 유의어로 변경되는 경우에 필터링이 되지 않는 경우를 제로화할 수 있으며, 블록체인 기반으로 정부 기관에서 직접 호 발신 여부 또는 문자 발신 여부를 확인해줌으로써 사칭 기관에서 연락을 한 것인지 또는 실제 정부 기관에서 연락을 한 것인지를 확인할 수 있고, 악성 가로채기 애플리케이션이 감지된 경우 호 발신을 차단하거나 다른 전화기를 이용하라는 문구를 출력하며, 신종 스미싱 키워드의 단어 중요도를 산출한 후 시계열 패턴으로 군집화를 진행하여 신종 단어군(Cluster)을 선택하고 필터링할 수 있도록 함으로써, 단어가 변경, 변형 또 사회적 이슈에 따라 시계열적으로 변하는 경우에도 빠르게 탐지 및 차단을 할 수 있어 피해를 최소화할 수 있다.
도 1은 본 발명의 일 실시예에 따른 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템을 설명하기 위한 도면이다.
도 2는 도 1의 시스템에 포함된 경고 서비스 제공 서버를 설명하기 위한 블록 구성도이다.
도 3 및 도 4는 본 발명의 일 실시예에 따른 내용 기반 차단을 이용한 피싱 위험 경고 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 방법을 설명하기 위한 동작 흐름도이다.
아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미하며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
명세서 전체에서 사용되는 정도의 용어 "약", "실질적으로" 등은 언급된 의미에 고유한 제조 및 물질 허용오차가 제시될 때 그 수치에서 또는 그 수치에 근접한 의미로 사용되고, 본 발명의 이해를 돕기 위해 정확하거나 절대적인 수치가 언급된 개시 내용을 비양심적인 침해자가 부당하게 이용하는 것을 방지하기 위해 사용된다. 본 발명의 명세서 전체에서 사용되는 정도의 용어 "~(하는) 단계" 또는 "~의 단계"는 "~ 를 위한 단계"를 의미하지 않는다.
본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체 지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 명세서에 있어서 단말, 장치 또는 디바이스가 수행하는 것으로 기술된 동작이나 기능 중 일부는 해당 단말, 장치 또는 디바이스와 연결된 서버에서 대신 수행될 수도 있다. 이와 마찬가지로, 서버가 수행하는 것으로 기술된 동작이나 기능 중 일부도 해당 서버와 연결된 단말, 장치 또는 디바이스에서 수행될 수도 있다.
본 명세서에서 있어서, 단말과 매핑(Mapping) 또는 매칭(Matching)으로 기술된 동작이나 기능 중 일부는, 단말의 식별 정보(Identifying Data)인 단말기의 고유번호나 개인의 식별정보를 매핑 또는 매칭한다는 의미로 해석될 수 있다.
이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템(1)은, 적어도 하나의 사용자 단말(100), 경고 서비스 제공 서버(300), 적어도 하나의 기관 서버(400)를 포함할 수 있다. 다만, 이러한 도 1의 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템(1)은, 본 발명의 일 실시예에 불과하므로, 도 1을 통하여 본 발명이 한정 해석되는 것은 아니다.
이때, 도 1의 각 구성요소들은 일반적으로 네트워크(Network, 200)를 통해 연결된다. 예를 들어, 도 1에 도시된 바와 같이, 적어도 하나의 사용자 단말(100)은 네트워크(200)를 통하여 경고 서비스 제공 서버(300)와 연결될 수 있다. 그리고, 경고 서비스 제공 서버(300)는, 네트워크(200)를 통하여 적어도 하나의 사용자 단말(100), 적어도 하나의 기관 서버(400)와 연결될 수 있다. 또한, 적어도 하나의 기관 서버(400)는, 네트워크(200)를 통하여 경고 서비스 제공 서버(300)와 연결될 수 있다.
여기서, 네트워크는, 복수의 단말 및 서버들과 같은 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 이러한 네트워크의 일 예에는 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷(WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함한다. 무선 데이터 통신망의 일례에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), 5GPP(5th Generation Partnership Project), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi), 인터넷(Internet), LAN(Local Area Network), Wireless LAN(Wireless Local Area Network), WAN(Wide Area Network), PAN(Personal Area Network), RF(Radio Frequency), 블루투스(Bluetooth) 네트워크, NFC(Near-Field Communication) 네트워크, 위성 방송 네트워크, 아날로그 방송 네트워크, DMB(Digital Multimedia Broadcasting) 네트워크 등이 포함되나 이에 한정되지는 않는다.
하기에서, 적어도 하나의 라는 용어는 단수 및 복수를 포함하는 용어로 정의되고, 적어도 하나의 라는 용어가 존재하지 않더라도 각 구성요소가 단수 또는 복수로 존재할 수 있고, 단수 또는 복수를 의미할 수 있음은 자명하다 할 것이다. 또한, 각 구성요소가 단수 또는 복수로 구비되는 것은, 실시예에 따라 변경가능하다 할 것이다.
적어도 하나의 사용자 단말(100)은, 내용 기반 차단을 이용한 피싱 위험 경고 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하여 기관에서 발송한 인증 메시지와 동일한 수신 메시지만을 출력하거나 링크를 클릭할 수 있도록 설정된 사용자의 단말일 수 있다. 이때, 사용자 단말(100)은, 인증 메시지와 동일하지 않은 수신 메시지를 출력하는 경우 위험 경고를 출력하고 즉시 신고 또는 전화 가로채기 애플리케이션 스크리닝을 한 후 호 발신이 허용되는 단말일 수 있다. 또 사용자 단말(100)은, 각 기관 서버(400)에서 블록체인을 이용하여 발신내역을 블록에 저장하는 경우, 경고 서비스 제공 서버(300)를 통하여 사용자에게 전송된 문자 내역이 존재하는지의 여부를 확인받고 수신 메시지를 활성화 또는 비활성화하는 단말일 수 있다.
여기서, 적어도 하나의 사용자 단말(100)은, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 사용자 단말(100)은, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 사용자 단말(100)은, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
경고 서비스 제공 서버(300)는, 내용 기반 차단을 이용한 피싱 위험 경고 서비스 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 제공하는 서버일 수 있다. 그리고, 경고 서비스 제공 서버(300)는, 적어도 하나의 기관 서버(400)로부터 각 기관에서 발송하는 메시지를 기관의 전화번호, 메시지 텍스트, 메시지 형식을 매핑하여 저장하여 인증 메시지로 데이터베이스화하는 서버일 수 있다. 또한, 경고 서비스 제공 서버(300)는, 사용자 단말(100)에서 메시지를 수신한 경우 수신 메시지의 전화번호가 기관의 전화번호이면, 수신 메시지가 인증 메시지와 텍스트가 동일한지 확인한 후 동일하지 않다면 경고 알람을 출력하도록 하는 서버일 수 있다.
여기서, 경고 서비스 제공 서버(300)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다.
적어도 하나의 기관 서버(400)는, 내용 기반 차단을 이용한 피싱 위험 경고 서비스 관련 웹 페이지, 앱 페이지, 프로그램 또는 애플리케이션을 이용하거나 이용하지 않고 경고 서비스 제공 서버(300)로 각 기관에서 개인에게 발송하는 메시지 텍스트, 메시지 형식 등을 제공하는 서버일 수 있다.
여기서, 적어도 하나의 기관 서버(400)는, 네트워크를 통하여 원격지의 서버나 단말에 접속할 수 있는 컴퓨터로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 네비게이션, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(Desktop), 랩톱(Laptop) 등을 포함할 수 있다. 이때, 적어도 하나의 기관 서버(400)는, 네트워크를 통해 원격지의 서버나 단말에 접속할 수 있는 단말로 구현될 수 있다. 적어도 하나의 기관 서버(400)는, 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, 네비게이션, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smartphone), 스마트 패드(Smartpad), 타블렛 PC(Tablet PC) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다.
도 2는 도 1의 시스템에 포함된 경고 서비스 제공 서버를 설명하기 위한 블록 구성도이고, 도 3 및 도 4는 본 발명의 일 실시예에 따른 내용 기반 차단을 이용한 피싱 위험 경고 서비스가 구현된 일 실시예를 설명하기 위한 도면이다.
도 2를 참조하면, 경고 서비스 제공 서버(300)는, 데이터베이스화부(310), 내용확인부(320), 위험경고부(330), 안내부(340), 블록체인부(350), 원격삭제부(360), 피싱단어파악부(370), 형식확인부(380), 링크원천차단부(390), 자동신고부(391), 신종스미싱탐지부(393)를 포함할 수 있다.
본 발명의 일 실시예에 따른 경고 서비스 제공 서버(300)나 연동되어 동작하는 다른 서버(미도시)가 적어도 하나의 사용자 단말(100) 및 적어도 하나의 기관 서버(400)로 내용 기반 차단을 이용한 피싱 위험 경고 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 전송하는 경우, 적어도 하나의 사용자 단말(100) 및 적어도 하나의 기관 서버(400)는, 내용 기반 차단을 이용한 피싱 위험 경고 서비스 애플리케이션, 프로그램, 앱 페이지, 웹 페이지 등을 설치하거나 열 수 있다. 또한, 웹 브라우저에서 실행되는 스크립트를 이용하여 서비스 프로그램이 적어도 하나의 사용자 단말(100) 및 적어도 하나의 기관 서버(400)에서 구동될 수도 있다. 여기서, 웹 브라우저는 웹(WWW: World Wide Web) 서비스를 이용할 수 있게 하는 프로그램으로 HTML(Hyper Text Mark-up Language)로 서술된 하이퍼 텍스트를 받아서 보여주는 프로그램을 의미하며, 예를 들어 넷스케이프(Netscape), 익스플로러(Explorer), 크롬(Chrome) 등을 포함한다. 또한, 애플리케이션은 단말 상의 응용 프로그램(Application)을 의미하며, 예를 들어, 모바일 단말(스마트폰)에서 실행되는 앱(App)을 포함한다.
도 2를 참조하여 설명하기 이전에 내용 기반 차단 및 송신자 기반 차단에 대한 기본개념을 설명한다.
<내용 기반 차단>
내용 기반 차단 방식은 SMS의 내용을 기반으로 스팸·스미싱을 식별하고 차단하는 방법들로, 기본적인 방법으로는 금칙어를 지정하고 내용에 해당 금칙어가 포함되어 있는 경우 차단하는 금칙어 필터를 사용하는 방법이 있다. 더 발전된 방식으로, 기계학습을 통해 스팸 데이터베이스를 학습하고 SMS의 내용을 분석하여 스팸·스미싱 SMS의 가능성이 높은 내용이라고 판단되는 SMS을 차단하는 방법이 있다. 그러나 이러한 방법들은 스팸 데이터베이스의 지속적인 업데이트가 필요하며, 업데이트를 하더라도 희생양이 필요하고, 학습 데이터가 필요하며, 학습 기간이 필요하다는 이유들로 인하여 완벽한 차단이 불가능하다. 스패머들은 스팸 데이터베이스에 걸리지 않도록 지속적으로 내용을 바꿔 발송하기 때문에, 학습에 필요한 데이터를 제공할 피해자가 필연적으로 발생한다. 또, 기계학습을 위해서는 유사한 패턴의 스팸·스미싱 데이터가 일정량 필요하다. 높은 스팸·스미싱 식별율을 갖기 위해서는 어느 정도 학습기간이 필요하다.
<스팸·스미싱 신고 송신자 기반 차단>
사용자들의 스팸·스미싱 신고와 상호 명 제보 등의 정보를 수집하고, 이를 분석하여 해당 송신자가 스패머인지 혹은 신뢰할만한 송신자인지를 판단하는 방법을 말한다. SMS의 내용에 상관없이 송신자를 차단하는 방법이기 때문에 확인 된 스패머에 대해서는 확실한 차단이 가능하다. 그러나 신고 정보가 부족한 스팸·스미싱 송신자에 대해서는 차단이 불가능하며, 스패머들은 보통 타인의 명의로 가입된 휴대전화를 사용하여 불법 스팸 SMS를 전송하고, 적발 시 전화번호를 계속 바꿔가며 범행을 계속하기 때문에 차단에 한계가 있다.
이에 본 발명의 일 실시예에서는, 각 기관들로부터 직접 발송 메시지의 텍스트, 내용 및 형식을 수신하여 인증 메시지로 저장하고, 사용자가 수신한 수신 메시지가 기관의 전화번호와 동일한 경우에는 수신 메시지를 인증 메시지와 텍스트, 내용 및 형식을 모두 비교함으로써 수신 메시지가 인증 메시지와 동일하지 않을 경우 모두 위험 경고를 발생하고 메시지의 클릭링크를 비활성화시키며 메시지 자체를 관계 기관에 자동으로 신고함으로써 원천적으로 스미싱을 차단할 수 있다. 또, 사용자가 링크를 실수로 클릭하여 전화 가로채기 애플리케이션과 같은 악성 프로그램이 깔린 경우를 대비하여, 호 발신이 발생할 때 전화 가로채기 애플리케이션이 구동되는지의 여부를 스크리닝함으로써 사칭 전화번호로 전화가 연결되지 않도록 사전에 차단할 수 있는 시스템을 제공한다.
도 2를 참조하면, 데이터베이스화부(310)는, 적어도 하나의 기관 서버(400)로부터 발송되는 메시지를 수집하여 인증 메시지로 적어도 하나의 기관의 전화번호와 매핑하여 저장할 수 있다. 이때, 인증 메시지는 각 상황별, 시기별, 주체별로 각 기관이나 기업에서 전송하는 메시지를 직접 받아 저장한 메시지를 인증 메시지로 정의한다. 최근, 행정안전부를 사칭하여 국민지원금 신청대상자에 해당한다는 메시지나, 택배주소가 잘못 기입되었으므로 다시 기입하라는 메시지, 질병관리청에서 백신예약본인인증을 하라는 메시지, 검찰청에서 대포통장사기사건 피의자로 조사를 받으라는 메시지, 쇼핑몰에서 결제가 되었으므로 확인하라는 메시지 등 다양한 기관, 기업 등을 사칭하여 메시지를 보내서 클릭을 유도하고 악성 앱을 내려주는 링크로 이동시키거나 피싱 페이지로 유도하는 메시지가 대부분이다.
각 기관과 기업은 문자 메시지를 전송하는 포맷(형식)과 내용을 표준화하고 있고, 이에 따라 포맷과 내용(텍스트) 또 띄어쓰기나 맞춤법, 단어 사이에 마침표나 쉼표가 찍혀있는 위치, 사용한 특수기호와 그 위치 등을 데이터베이스화하고, 이와 다른 수신 메시지가 있다면 위험 경고를 제공하기 위해 기본 데이터인 인증 메시지를 데이터베이스화하는 것이다. [기관-전화번호-인증 메시지]를 저장해두고, [인증 메시지-수신 메시지]를 비교한 후 동일하지 않다면 위험 경고를 제공할 수 있다. 스미싱 문자 등에서는 키워드 스팸 차단을 피하기 위해 단어 사이에 마침표나 쉼표를 찍거나 * 문자를 넣는 등으로 필터링을 회피하고 있고, 또 맞춤법을 틀리게 쓰거나 일부러 다르게 쓰는 등의 수법을 사용하고 있으므로 정확하게 형식, 내용 및 텍스트 등이 일치하지 않는 것들을 걸러낸다면 스미싱의 피해를 사전에 예방할 수 있게 된다.
내용확인부(320)는, 사용자 단말(100)에서 수신한 수신 메시지 내 전화번호가 적어도 하나의 기관의 전화번호인 경우 수신 메시지와, 인증 메시지를 내용 기반으로 비교하여 동일 여부를 확인할 수 있다. 이때 내용은 텍스트 자체를 의미하고 후술한 포맷은 텍스트 사이사이의 스페이스바(띄어쓰기), 특수문자의 위치나 문자 형식 등을 의미한다. 내용이 일치하면 후술하는 형식확인부(380)에서 형식까지 다시 한 번 확인하게 된다.
위험경고부(330)는, 수신 메시지와 인증 메시지가 동일하지 않은 경우 기 저장된 위험 경고 안내를 사용자 단말(100)로 전송할 수 있다. 사용자 단말(100)은, 수신 메시지 내 전화번호가 기 설정된 기관의 전화번호인 경우, 각 기관에서 발송되는 인증 메시지와 수신 메시지를 내용 기반으로 비교한 결과에 따라 위험 경고 안내를 출력할 수 있다.
안내부(340)는, 수신 메시지와 인증 메시지가 동일한 경우, 적어도 하나의 기관 서버(400)로 사용자 단말(100)의 전화번호로 문자를 전송한 기록이 있는지의 여부에 대해 확인을 요청하고, 적어도 하나의 기관 서버(400)로부터 수신된 응답이 부정(Negatvie)인 경우 사용자 단말(100)로 수신 메시지가 스미싱 메시지 또는 피싱 메시지라는 것을 안내할 수 있다.
블록체인부(350)는, 적어도 하나의 기관 서버(400)에서 사용자 단말(100)에 문자 메시지를 전송한 경우, 적어도 하나의 기관 서버(400)는 블록체인 내 블록을 생성하여 문자 메시지 내용, 발신번호, 수신번호 및 전송시각을 포함하는 데이터를 저장하면, 사용자 단말(100)에서 수신 메시지가 수신되었을 때 블록에 저장된 데이터와 비교함으로써 적어도 하나의 기관에서 사용자 단말(100)로 문자 메시지를 전송했는지의 여부를 확인할 수 있다. 대부분의 기관 및 기업에서는 사용자가 관계자인 경우, 예를 들어, 국세청에서는 사용자가 납세자인 경우, 은행에서는 사용자가 고객인 경우, 경찰청 또는 검찰청에서는 사용자가 고소인, 피고소인, 참고인 등인 경우, 택배사에서는 사용자가 택배를 요청한 고객인 경우 등에만 문자 메시지를 보낸다. 이에, 가장 정확한 방법은 문자를 발송한 기관이나 회사에서 확인을 받는 방법이다. 예를 들어, A 학생이 학력위조를 했는지를 파악하기 위한 방법은 A 학생이 다닌다고 주장하는 학교에 문의를 해보는 것이 가장 빠르다. 하지만 최근 전화 가로채기 애플리케이션이 깔린 스마트폰의 경우 학교에 전화를 건다고 해도 학교에 전화를 거는 호를 사칭범들이 가로채 학교의 직원인 것과 같은 행동을 하게 된다.
이에 각 기관이나 기업에서 사용자에게 문자를 보내는 경우, 메시지 내용, 수신자 번호, 기관 번호 등을 함께 블록에 저장하고 공유원장에 분산저장함으로써 51%의 공격이 있지 않는 한 해당 기록을 위조할 수 없도록 저장하고, 이후 블록체인부(350)에서 확인을 요청하는 경우, 해당 블록의 내용과 사용자 단말(100)에서 수신한 수신 메시지의 내용이 동일한지만을 확인해주고 응답을 해줌으로써 실제로 그 기관이나 기업에서 보낸 문자인지를 확인할 수 있다. 상술한 구성에 사용된 기술은 블록체인, 체인코드 및 하이퍼레저 합의 알고리즘인데, 우선, 블록체인은 블록체인을 활용하여 복잡한 시스템을 단순화 하거나 혼동을 방지하기 위해 데이터를 동기화 하는데 사용된다. 기존의 보안 방식과 블록체인의 차이점은 네트워크와 관련된 모든 사람들에게 동일한 정보를 제공함으로써 특정인이 데이터를 위조해도 전체 구성원이 알고 있는 정보와 다르기 때문에 인정받지 못한다는 것이다. 즉, 기존의 데이터 은닉과 다르게 공개를 통한 위조 방지를 수행하는 기술이다.
블록체인의 트랜잭션은 해시함수를 사용하여 허가된 경우에만 블록에 등록될 수 있다. 해당 과정에서 전자서명을 사용하는데, 이를 사용하여 부인방지 기능을 제공하게 된다. 트랜잭션 처리를 위한 방식으로 주로 사용되는 방식은 체인코드를 사용하는 방식이다. 체인코드는 블록 생성뿐만 아니라 블록체인을 활용하여 다양한 서비스를 제공할 수 있는 기능을 제공하는데 사용된다. 체인코드는 시스템 체인코드와 사용자 체인코드로 분류될 수 있다.
하이퍼레저 패브릭은 다른 블록체인 플랫폼들과 다른 트랜잭션 처리 방식을 사용하고 있다. 다른 블록체인 플랫폼의 경우 거래내용을 검증하여 체인과 연동하는 방식을 사용한다. 이와 대조적으로 하이퍼레저 패브릭은 Execute, Order, Validate, and Update state의 절차로 동작한다. 기존의 하이퍼레저 패브릭의 경우는 PBFT(Practical Byzantine Fault Tolerance)방식을 합의 방식으로 사용하였지만 초당 트랜잭션(tps) 성능의 하락이 문제점으로 발생하게 되어 현재 Kafka 알고리즘을 사용하여 합의 절차를 진행하고 있다. 이때 SBFT(Simple BFT)를 사용하여 적용할 수도 있다. 물론, 상술한 방법 이외에도 다양한 방법으로 문자를 보냈는지를 검증하거나 공유할 수도 있으므로 이에 한정되는 것은 아니다.
원격삭제부(360)는, 사용자 단말(100)에서 위험 경고 안내를 받은 후, 사용자 단말(100)에서 수신 메시지 내 URL을 클릭한 이벤트가 존재하고, 수신 메시지의 전화번호로 호(Call) 발신을 시도하는 경우, 사용자 단말(100) 내 전화 가로채기 애플리케이션의 설치 여부를 확인하고, 전화 가로채기 애플리케이션의 삭제를 원격에서 제어할 수 있다. 갤럭시를 기준으로 스마트폰에서 안전모드를 사용하면 기기와 함께 제공된 애플리케이션만 이용할 수 있는데, [내파일-다운로드] 경로로 가면 xxxxx.apk 파일들이 존재하는데, 기 저장된 파일명을 이용하여 악성 apk 파일을 식별하고 이를 삭제하면 된다. 이때, 플래시메모리는, 하드디스크와 대조적으로 크기가 작고 가벼우면서도 충격에 강하고, 빠른 읽기, 쓰기 속도를 가지고 있는 특징이 있지만, 삭제를 하여도 데이터가 잔존하는 특성이 있기 때문에 apk 파일이 복구될 가능성이 있다. 이때, 일반적으로 하드디스크상의 데이터는 삭제가 되어도 실제 데이터 영역에는 원본 데이터가 존재한다는 것은 많이 알려져 있는 사실이고 그 이유로 데이터를 완전하게 삭제하기 위해 파일 와이핑(File wiping) 기술을 사용할 수 있다. 이를 통하면 삭제된 데이터 영역에 0 또는 1의 난수 데이터를 여러 번 덮어씌워서 원본 데이터를 손상하여 완전히 삭제시킬 수 있다.
다만, 플래시 메모리는 하드웨어적으로 덮어쓰기가 불가능한 특성을 가지고 있고, 플래시 메모리에 파일 와이핑을 수행하더라도 삭제된 파일이 잔존하기 때문에 데이터를 복구할 수 있고, 악성 애플리케이션이 복구될 가능성이 있기 때문에 플래시 메모리에서 데이터 복구를 방지해야 한다. 따라서, 플래시 메모리에서 블록치환 기법을 적용하여 파일 와이핑이 수행된 후에도 파일 복구가 불가능한 방법을 이용할 수 있다. 블록치환 기법은 플래시 메모리에 저장되는 데이터의 순서를 치환 테이블을 사용하여 저장하는 것을 의미한다. 치환 테이블은 순차적인 순서로 된 페이지를 무작위의 순서로 치환하는 정보를 지닌다. 이때 치환 테이블이 중복이 되면 치환된 결과도 중복이 되기 때문에 치환 테이블 생성이 중요하다. 여기서 씨드(Seed)를 사용할 수 있으며, 이때 논리블록번호(LBN), 물리블록번호(PBN), 삭제횟수(EC), BANK 등의 메타데이터를 이용할 수 있다.
피싱단어파악부(370)는, 적어도 하나의 기관 서버(400)로부터 피싱 문자 메시지를 수집하여 빅데이터를 구축하고, 피싱 문자 메시지 내 적어도 하나의 단어를 추출한 후, 기 공개된 대용량 말뭉치(Corpus)를 이용하여 적어도 하나의 단어와 유사한 단어까지 피싱 문자 메시지와 매핑하여 저장하며, 사용자 단말(100)에서 수신된 수신 데이터 내 피싱 문자 메시지와 매핑된 단어가 존재하는 경우 위험 경고 안내를 사용자 단말(100)로 전송할 수 있다. 피싱단어파악부(370)는 내용확인부(320)와는 다르게 피싱이나 스미싱 문자와 동일하거나 유사한 것까지 함께 필터링을 한다. 내용확인부(320)에서는 진정한 발송인(기업 및 기관)의 메시지가 수신 메시지와 동일하다는 것을 확인했다면, 피싱단어파악부(370)는 스미싱 문자와 수신 메시지가 동일 또는 유사한지를 이중으로 확인한다.
최근, 소포를 택배로만 바꾸어도 스미싱 문자가 필터링이 되지 않아 무용지물이라는 뉴스가 나왔는데, 이러한 문제점을 해결하기 위하여 사전학습된 벡터를 이용한 LSTM 모델을 이용하기로 한다. 분류 모델에서 라벨링된 데이터의 구축은 시간적 소비가 크기 때문에 기 공개된 대용량 말뭉치를 이용하여 데이터 부족 문제를 해결할 수 있다. 다만 대용량 말뭉치는 학습 데이터와 도메인 정보가 다르다는 한계가 있지만, 말뭉치의 수가 크기(대용량) 때문에 높은 정확도를 보일 수 있다.
<사전 학습된 벡터모델을 이용한 LSTM>
순환 신경망은 n번째 정보 in이 n 번 이전의 순차 정보(i1,i2,...,in-1)를 요약하여 표현하는 과정에서 시간의 격차로 인해 초기의 정보를 기억하지 못하는 장기의존성 문제가 발생한다. 이러한 문제를 해결하기 위해 Cell State와 게이트 메커니즘을 추가하여 정보 손실을 최소화하는 LSTM(Long-Short Term Memory)을 이용할 수 있다. LSTM을 이용하여 보이스피싱이나 스미싱의 상황 인식 모델을 다음과 같이 설계할 수 있다. 입력 문장(t1, t2,...,tn)은 특정 도메인 데이터로 사전학습한 벡터에 인코딩되어 연속된 토큰 벡터(v1, v2,...,vn)를 표현하며 도메인의 문맥 정보와 매핑된 토큰 벡터는 LSTM에 입력되어 모델을 학습할 수 있다. 각 순차의 출력 벡터(o1,o2,...,on)를 1차원 배열로 변환한 후 아핀 변환(Affine Transformation)으로 축소시킨 2차원 벡터는 Softmax의 함수를 통해 확률 분포를 출력할 수 있다.
사전학습된 벡터를 분류 모델에 적용하는 방법은 정적(Static) 방법과 동적(Dynamic) 방법이 있다. 정적 방법은 사전학습된 벡터를 갱신하지 않고 모델에 입력되어 학습하는 반면, 동적 방법은 모델에서 벡터를 갱신하여 해당 벡터가 분류 문제에 적합하도록 한다. 본 발명의 일 실시예에서는 사전학습된 벡터를 정적과 동적 방법에 따라 적용하여 차이를 비교할 수 있다. 보이스피싱이나 스미싱의 상황 인식 모델의 사전학습된 벡터를 데이터의 도메인과 크기에 따라 세 가지의 경우로 나누어 평가할 수 있다. 벡터는 Skip-Gram을 이용하여 각 토큰을 N 차원의 연속된 벡터로 사전학습할 수 있다.
형식확인부(380)는, 적어도 하나의 기관 서버(400)로부터 발송되는 메시지를 수집하여 인증 메시지로 인증 메시지 내 띄어쓰기, 쉼표, 마침표 및 특수기호가 기재된 포맷을 저장하고, 수신 메시지와 인증 메시지가 내용 기반으로 동일한 경우, 수신 메시지와 인증 메시지의 포맷이 동일한지의 여부를 확인할 수 있다. 예를 들어, 대출이라는 단어를 스팸 처리를 방지하기 위해 [대.출]이라고 표현하거나 [대 출]과 같이 띄어쓰기를 넣는 등에는 [대출]과 [대.출]의 형식이나 포맷이 동일하지 않으므로 위험 경고를 출력할 수 있다.
링크원천차단부(390)는, 수신 메시지 내 링크가 존재하는 경우, 다크웹 크롤러(DarkWeb Crawler)를 이용하여 수집된 링크와 동일한지의 여부를 확인한 후 결과에 따라 사용자 단말(100)에서 링크를 클릭이 불가능하도록 비활성화시킬 수 있다. 스미싱 링크나 피싱 사이트는 실제로 이를 확인하기 위하여 접속하는 경우 랜섬웨어나 멀웨어에 감염될 가능성이 있으므로 다크웹 크롤러를 이용하기로 한다.
① 다크웹 크롤러가 초기 URL로부터 외부 링크를 수집한다. ② 수집된 외부 링크는 AWS DB에 저장된다. 이때 Persister, API, Scheduler와 같은 함수를 통해 URL 내용을 검증하고 URL 내내용을 DB에 삽입한다. ③ 저장된 URL을 바탕으로 다크웹 크롤러는 URL 내의 href 속성 내용을 가져온다. ④ 속성 내용이 exe, zip, apk 형식으로 끝나거나, 다운로드 링크가 첨부되어 있다면 해당 내용을 가져온다. ⑤ 해당 내용을 절대 링크화 시켜 다운로드를 수행한 후 AWS DB에 저장한다. ⑥ 다운로드가 수행될 동안 URL 내 속성 검색은 계속 되는데, 만일 페이지 내 관련 내용이 없다면 DB 내 다음 URL로 넘어간다. URL만 수집해 오는 Trandoshan 크롤러와 달리 다크웹 크롤러는 웹과 연결된 의심되는 모든 URL을 검색하고 exe, zip, apk 파일을 수집하고 탐지가 가능해 스미싱이나 피싱으로 인한 피해를 초기에 대응할 수 있는 가능성을 높여준다. 이 외에도 Tor 네트워크, 엔티티 지향 딥웹 사이트 크롤링 등을 이용할 수도 있는데 이는 이하와 같다.
<Tor 네트워크>
Mandeep Pannu의 다크웹 크롤러에서 시스템 내 TOR 네트워크 웹페이지에 포함될 수 있는 관련 링크 속성을 스크랩해서 의심스러운 악성 웹사이트의 DB를 생성한다. 이 데이터베이스는 자동으로 업데이트되며, 사용 가능한 작업 링크를 저장하면서 이전 버전의 Tor 사이트를 보관한다. 이를 통해, 사법기관은 이전, 현재 데이터베이스를 모두 검색하여 의심스럽고 악의적인 웹사이트를 탐지할 수 있다.
<엔티티 지향 딥웹 사이트 크롤링>
많은 딥웹 사이트들이 전통적으로 문서 지향적인 텍스트 콘텐츠(e.g., 위키피디아, 트위터 등)를 유지하고 있지만, 딥웹 사이트의 상당 부분이 기존과 반대로 구조화된 실체를 큐레이션하고 있다. 실체 중심의 심층 웹 사이트에 관해 구축한 프로토타입 시스템은, 엔티티 지향 딥 웹 사이트의 특정 맥락에서의 쿼리 생성, 빈 페이지 필터링이나 URL 중복제거를 포함한 중요한 하위 문제에 대처하고 있다.
<다크웹 크롤러>
Trandoshan 크롤러는 스노우볼 샘플링을 이용하여 주어진 Onion URL과 연결되는 외부 URL을 수집한다. 수집 이후 Scheduler, Persister, API와 같은 여러 프로세스들을 사용하여 URL의 완전무결성을 검증한다. Dashboard를 통해 데이터베이스에 저장된 URL 및 URL 제목을 검색할 수 있다. 이때 프로세스 간 통신 기법은 NATS로 알려진 메시징 프로토콜을 사용한다. 크롤러 내부 프로세스들은 크롤링 할 고유 URL을 받아서 프로세스 동시성이 가능하므로 성능이 향상된다. 다만, Trandoshan 크롤러는 페이지 내에서의 특정 형식 파일 탐색 및 다운로드가 불가능하다. 악성코드 탐색 및 탐지를 해야 하는 본 발명의 일 실시예에서 다크웹 URL 탐색만 가능한 해당 크롤러만 사용하여 진행할 수 없다.
이에 상술한 바와 같이 Scrapy를 사용하여 다크웹 크롤러를 다운로더의 기능을 포함하여 생성한다. 크롤링 된 페이지 상에서 href 속성 텍스트를 추출했을 때 텍스트의 끝이 exe, zip, apk로 끝나거나, 해당 클래스 이름에 download라는 텍스트가 포함되어 있으면 해당 링크를 사용하여 다운로드를 시도한다. 다운로드를 위해서는 절대 링크가 필요하므로 현재 사이트와 링크를 합쳐 절대 링크를 파일 URL로 연결한다. 파일을 다운로드할 때는 SHA1 해시값으로 이름이 저장되므로 이름은 파일 경로로 설정하여 저장한다. 상술한 Trandoshan 크롤러와 본 발명의 다크웹 크롤러를 비교하면 이하 표 1과 같다.
구분 Trandoshan 다크웹 크롤러
개발 언어 Go Python
검색 엔진 모든 URL을 검색하고 크롤링한 URL은 DB에 추가 모든 URL을 검색하고 exe, zip, apk 파일이 존재하는 URL은 DB에 추가
장단점 파일 수집 불가
URL분석 불가
확장 불가
URL 및 URL 내 header 수집		 exe, zip, apk 파일 수집 가능
URL 분석 가능
확장성 뛰어남
멀티 프로세스 사용으로 속도
향상
파일 다운로드 시 관련 링크 및 내용 수집
향후 악성코드 관련 통계 산출 가능
자동신고부(391)는, 위험경고부(330)에서 위험 경고 안내를 전송한 경우, 사용자 단말(100)의 수신 메시지의 선택을 비활성화시키고, 수신 메시지를 관계 기관 서버(400)로 업로드하여 신고할 수 있다.신종스미싱탐지부(393)는, 스미싱 담당 기관의 기관 서버(400)로부터 수집한 스미싱 문자를 주(Week) 단위로 수집하고, 스미싱 문자의 키워드를 추출하여 단어의 중요도를 산출한 후, 시계열 패턴 군집화를 수행하며, 신종 단어군(Cluster)을 생성하여 신종 스미싱 키워드를 저장할 수 있다. KISA 탐지팀에서 발표한 신종 스미싱 유형에 따르면 2017년에는 요금미납, 쿠폰, 대통령, 탄핵 등이 주요 키워드엿고, 2019년에는 버닝썬, 동영상, 2020년에는 N번방, 마스크, 코로나, 재난지원금 등이었다. 공통유형으로는 청첩장 및 택배 등이었는데 단어규칙 시스템의 문제점이 여기에서 드러난다. 즉 신종 스미싱 키워드에 대한 유형변화 대응에 한계점이 있다는 것이다. 이에, [데이터수집&전처리-단어 중요도 산출-시계열 패턴 군집화-신종 단어 군 선택 및 검증]의 과정으로 신종 스미싱 키워드를 [빈도수+신종 스미싱 키워드] 기반으로 추출하여 필터링해낼 수 있다.
이때, 스미싱 문자는 한국인터넷진흥원(KISA)에서 얻을 수 있고, 이를 토큰화한 후 주(Week) 단위로 분할(Split)한다. 물론 주 단위가 아닐 수도 있고 단위는 2 주 단위, 한 달 단위 등도 가능하다. 단어 중요도를 산출할 때에는 주별 도시 출현 행렬(Co-Occurence Matrix)을 생성한 후 단어 네트워크(동시 출현 행렬과 가중치 행렬을 요소별로 곱함)를 생성하여 근접 중심도를 계산한다. 그 다음 생성하고 단어 간 상관계수를 그래프로 표현하고, K-Means Clustering을 군집별로 수행하며, 상승, 빈출, 신규 단어군을 선택하고 나이브-베이즈 정리(Naive-Bayes)로 BoW(Bag of Word)를 검증한다. 이때, 근접 중심성은 이하 수학식 1과 같이 산출될 수 있고, d이때 dij는 노드 i에서 노드 j 간 최단 거리이다.
Figure 112021138233108-pat00001
정리하면, 신종스미싱탐지부(393)는, 스미싱 문자를 토큰화(Tokenization)한 후 주 단위로 분할하고, 주 별 동시에 출현한 단어의 행렬을 생성하며, 단어 네트워크를 생성하여 근접 중심도(Closeness Centrality)에 기반하여 시계열 데이터를 생성하고, 시계열 데이터 간 상관(Correlation)값에 기반하여 군집화(Clustering)를 통하여 빈출 키워드, 신규 키워드 및 상승 키워드를 분류할 수 있다.
이하, 상술한 도 2의 경고 서비스 제공 서버의 구성에 따른 동작 과정을 도 3 및 도 4를 예로 들어 상세히 설명하기로 한다. 다만, 실시예는 본 발명의 다양한 실시예 중 어느 하나일 뿐, 이에 한정되지 않음은 자명하다 할 것이다.
도 3을 참조하면, (a) 경고 서비스 제공 서버(300)는 적어도 하나의 기관 서버(400)로부터 기관명, 전화번호, 인증 메시지, 내용, 형식, 키워드 등을 매핑하여 저장하여 데이터베이스를 구축한다. (b) 그리고 경고 서비스 제공 서버(300)는 사용자 단말(100)에서 수신된 수신 메시지의 전화번호가 기관 전화번호인 경우, 수신 메시지가 인증 메시지가 내용, 키워드 및 포맷이 일치하는지를 확인한다. 이 단계에서 하나라도 일치하지 않는다면 메시지를 클릭하는 것을 비활성화시키고 메시지를 삭제하고 바로 관계 기관에 신고한다. 만약 전화번호도 같고 메시지 내용, 포맷 등도 같다면 그 다음 전화 가로채기 애플리케이션의 설치 여부를 확인하고, 이 것도 없다면 수신 메시지 내에 포함된 링크를 클릭할 수 있도록 허용한다. 만약, 전화 가로채기 애플리케이션이 설치되어 있다면 해당 애플리케이션을 원격삭제하기 까지 전화 발신을 불가하도록 설정한다. 이 상태에서 전화를 발신하게 되면 사칭범의 전화로 연결되기 때문이다.
도 4의 (a)와 같이 경고 서비스 제공 서버(300)는 사용자 단말(100)에 수신된 수신 메시지가 실제 그 기관에서 전송했는지를 블록체인을 통하여 확인할 수 있고, (b) 피싱 링크나 스미싱 링크를 수집한 후 해당 피싱 링크가 포함된 수신 메시지는 완전 차단시켜 사용자가 볼 수 없도록 할 수도 있다. 물론 이 경우에는 경고 서비스 제공 서버(300)에서 신고도 함께 진행된다. 또, 경고 서비스 제공 서버(300)는 (c)와 같이 신종 단어를 추출하고 분류함으로써 수신 메시지가 피싱이나 스미싱 메시지는 아닌지를 파악하고 필터링할 수도 있다.
이와 같은 도 2 내지 도 4의 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1을 통해 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5는 본 발명의 일 실시예에 따른 도 1의 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템에 포함된 각 구성들 상호 간에 데이터가 송수신되는 과정을 나타낸 도면이다. 이하, 도 5를 통해 각 구성들 상호간에 데이터가 송수신되는 과정의 일 예를 설명할 것이나, 이와 같은 실시예로 본원이 한정 해석되는 것은 아니며, 앞서 설명한 다양한 실시예들에 따라 도 5에 도시된 데이터가 송수신되는 과정이 변경될 수 있음은 기술분야에 속하는 당업자에게 자명하다.
도 5를 참조하면, 경고 서비스 제공 서버는, 적어도 하나의 기관 서버로부터 발송되는 메시지를 수집하여 인증 메시지로 적어도 하나의 기관의 전화번호와 매핑하여 저장한다(S5100).
경고 서비스 제공 서버는, 사용자 단말에서 수신한 수신 메시지 내 전화번호가 적어도 하나의 기관의 전화번호인 경우 수신 메시지와, 인증 메시지를 내용 기반으로 비교하여 동일 여부를 확인하고(S5200), 수신 메시지와 인증 메시지가 동일하지 않은 경우 기 저장된 위험 경고 안내를 사용자 단말로 전송한다(S5300).
상술한 단계들(S5100~S5300)간의 순서는 예시일 뿐, 이에 한정되지 않는다. 즉, 상술한 단계들(S5100~S5300)간의 순서는 상호 변동될 수 있으며, 이중 일부 단계들은 동시에 실행되거나 삭제될 수도 있다.
이와 같은 도 5의 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 방법에 대해서 설명되지 아니한 사항은 앞서 도 1 내지 도 4를 통해 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 방법에 대하여 설명된 내용과 동일하거나 설명된 내용으로부터 용이하게 유추 가능하므로 이하 설명을 생략하도록 한다.
도 5를 통해 설명된 일 실시예에 따른 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 방법은, 컴퓨터에 의해 실행되는 애플리케이션이나 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.
전술한 본 발명의 일 실시예에 따른 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 방법은, 단말기에 기본적으로 설치된 애플리케이션(이는 단말기에 기본적으로 탑재된 플랫폼이나 운영체제 등에 포함된 프로그램을 포함할 수 있음)에 의해 실행될 수 있고, 사용자가 애플리케이션 스토어 서버, 애플리케이션 또는 해당 서비스와 관련된 웹 서버 등의 애플리케이션 제공 서버를 통해 마스터 단말기에 직접 설치한 애플리케이션(즉, 프로그램)에 의해 실행될 수도 있다. 이러한 의미에서, 전술한 본 발명의 일 실시예에 따른 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 방법은 단말기에 기본적으로 설치되거나 사용자에 의해 직접 설치된 애플리케이션(즉, 프로그램)으로 구현되고 단말기에 등의 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (10)

  1. 수신 메시지 내 전화번호가 기 설정된 기관의 전화번호인 경우, 각 기관에서 발송되는 인증 메시지와 상기 수신 메시지를 내용 기반으로 비교한 결과에 따라 위험 경고 안내를 출력하는 사용자 단말; 및
    적어도 하나의 기관 서버로부터 발송되는 메시지를 수집하여 인증 메시지로 적어도 하나의 기관의 전화번호와 매핑하여 저장하는 데이터베이스화부, 상기 사용자 단말에서 수신한 수신 메시지 내 전화번호가 상기 적어도 하나의 기관의 전화번호인 경우 상기 수신 메시지와, 상기 인증 메시지를 내용 기반으로 비교하여 동일 여부를 확인하는 내용확인부, 상기 수신 메시지와 상기 인증 메시지가 동일하지 않은 경우 기 저장된 위험 경고 안내를 상기 사용자 단말로 전송하는 위험경고부, 상기 수신 메시지와 상기 인증 메시지가 동일한 경우, 상기 적어도 하나의 기관 서버로 상기 사용자 단말의 전화번호로 문자를 전송한 기록이 있는지의 여부에 대해 확인을 요청하고, 상기 적어도 하나의 기관 서버로부터 수신된 응답이 부정(Negatvie)인 경우 상기 사용자 단말로 상기 수신 메시지가 스미싱 메시지 또는 피싱 메시지라는 것을 안내하는 안내부를 포함하는 경고 서비스 제공 서버;
    를 포함하는 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 경고 서비스 제공 서버는,
    상기 적어도 하나의 기관 서버에서 상기 사용자 단말에 문자 메시지를 전송한 경우, 상기 적어도 하나의 기관 서버는 블록체인 내 블록을 생성하여 문자 메시지 내용, 발신번호, 수신번호 및 전송시각을 포함하는 데이터를 저장하면, 상기 사용자 단말에서 수신 메시지가 수신되었을 때 상기 블록에 저장된 데이터와 비교함으로써 상기 적어도 하나의 기관에서 상기 사용자 단말로 문자 메시지를 전송했는지의 여부를 확인하는 블록체인부;
    를 더 포함하는 것을 특징으로 하는 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템.
  4. 제 1 항에 있어서,
    상기 경고 서비스 제공 서버는,
    상기 사용자 단말에서 위험 경고 안내를 받은 후, 상기 사용자 단말에서 상기 수신 메시지 내 URL을 클릭한 이벤트가 존재하고, 상기 수신 메시지의 전화번호로 호(Call) 발신을 시도하는 경우, 상기 사용자 단말 내 전화 가로채기 애플리케이션의 설치 여부를 확인하고, 상기 전화 가로채기 애플리케이션의 삭제를 원격에서 제어하는 원격삭제부;
    를 더 포함하는 것을 특징으로 하는 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템.
  5. 제 1 항에 있어서,
    상기 경고 서비스 제공 서버는,
    상기 적어도 하나의 기관 서버로부터 피싱 문자 메시지를 수집하여 빅데이터를 구축하고, 상기 피싱 문자 메시지 내 적어도 하나의 단어를 추출한 후, 기 공개된 대용량 말뭉치(Corpus)를 이용하여 상기 적어도 하나의 단어와 유사한 단어까지 상기 피싱 문자 메시지와 매핑하여 저장하며, 상기 사용자 단말에서 수신된 수신 데이터 내 상기 피싱 문자 메시지와 매핑된 단어가 존재하는 경우 위험 경고 안내를 상기 사용자 단말로 전송하는 피싱단어파악부;
    를 더 포함하는 것을 특징으로 하는 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템.
  6. 제 1 항에 있어서,
    상기 경고 서비스 제공 서버는,
    상기 적어도 하나의 기관 서버로부터 발송되는 메시지를 수집하여 인증 메시지로 상기 인증 메시지 내 띄어쓰기, 쉼표, 마침표 및 특수기호가 기재된 포맷을 저장하고, 상기 수신 메시지와 인증 메시지가 내용 기반으로 동일한 경우, 상기 수신 메시지와 인증 메시지의 포맷이 동일한지의 여부를 확인하는 형식확인부;
    를 더 포함하는 것을 특징으로 하는 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템.
  7. 제 1 항에 있어서,
    상기 경고 서비스 제공 서버는,
    상기 수신 메시지 내 링크가 존재하는 경우, 다크웹 크롤러(DarkWeb Crawler)를 이용하여 수집된 링크와 동일한지의 여부를 확인한 후 결과에 따라 상기 사용자 단말에서 링크를 클릭이 불가능하도록 비활성화시키는 링크원천차단부;
    를 더 포함하는 것을 특징으로 하는 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템.
  8. 제 1 항에 있어서,
    상기 경고 서비스 제공 서버는,
    상기 위험경고부에서 위험 경고 안내를 전송한 경우, 상기 사용자 단말의 수신 메시지의 선택을 비활성화시키고, 상기 수신 메시지를 관계 기관 서버로 업로드하여 신고하는 자동신고부;
    를 더 포함하는 것을 특징으로 하는 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템.
  9. 제 1 항에 있어서,
    상기 경고 서비스 제공 서버는,
    스미싱 담당 기관의 기관 서버로부터 수집한 스미싱 문자를 주(Week) 단위로 수집하고, 상기 스미싱 문자의 키워드를 추출하여 단어의 중요도를 산출한 후, 시계열 패턴 군집화를 수행하며, 신종 단어군(Cluster)을 생성하여 신종 스미싱 키워드를 저장하는 신종스미싱탐지부;
    를 더 포함하는 것을 특징으로 하는 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템.
  10. 제 9 항에 있어서,
    상기 신종스미싱탐지부는,
    상기 스미싱 문자를 토큰화(Tokenization)한 후 주 단위로 분할하고, 주 별 동시에 출현한 단어의 행렬을 생성하며, 단어 네트워크를 생성하여 근접 중심도(Closeness Centrality)에 기반하여 시계열 데이터를 생성하고, 상기 시계열 데이터 간 상관(Correlation)값에 기반하여 군집화(Clustering)를 통하여 빈출 키워드, 신규 키워드 및 상승 키워드를 분류하는 것을 특징으로 하는 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템.
KR1020210167671A 2021-11-29 2021-11-29 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템 KR102531661B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210167671A KR102531661B1 (ko) 2021-11-29 2021-11-29 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210167671A KR102531661B1 (ko) 2021-11-29 2021-11-29 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템

Publications (1)

Publication Number Publication Date
KR102531661B1 true KR102531661B1 (ko) 2023-05-10

Family

ID=86385972

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210167671A KR102531661B1 (ko) 2021-11-29 2021-11-29 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템

Country Status (1)

Country Link
KR (1) KR102531661B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102642586B1 (ko) * 2023-11-13 2024-02-29 (주)아톤 메시지 검증 방법 및 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140099389A (ko) * 2013-02-01 2014-08-12 한문정 금융 피싱 사기 문자 탐지 및 차단 시스템 및 그 금융 피싱 사기 문자 탐지 및 차단 방법
KR20200109995A (ko) * 2019-03-15 2020-09-23 현대자동차주식회사 피싱 분석 장치 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140099389A (ko) * 2013-02-01 2014-08-12 한문정 금융 피싱 사기 문자 탐지 및 차단 시스템 및 그 금융 피싱 사기 문자 탐지 및 차단 방법
KR20200109995A (ko) * 2019-03-15 2020-09-23 현대자동차주식회사 피싱 분석 장치 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102642586B1 (ko) * 2023-11-13 2024-02-29 (주)아톤 메시지 검증 방법 및 시스템

Similar Documents

Publication Publication Date Title
US20200067861A1 (en) Scam evaluation system
Arshad et al. Evidence collection and forensics on social networks: Research challenges and directions
Aljofey et al. An effective detection approach for phishing websites using URL and HTML features
US11580259B1 (en) Identity security architecture systems and methods
US7917655B1 (en) Method and system for employing phone number analysis to detect and prevent spam and e-mail scams
US20150067839A1 (en) Syntactical Fingerprinting
CN106933991A (zh) 一种面向智能终端的深度分析与用户画像系统及方法
CN109284631A (zh) 一种基于大数据的文档脱敏系统及方法
US20080115214A1 (en) Web page protection against phishing
US10958684B2 (en) Method and computer device for identifying malicious web resources
Apte et al. Frauds in online social networks: A review
CN103716394B (zh) 下载文件的管理方法及装置
Amarullah et al. Analyzing cyber crimes during Covid-19 time in Indonesia
Chen et al. Ai@ ntiphish—machine learning mechanisms for cyber-phishing attack
RU2701040C1 (ru) Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах
US10944749B1 (en) Data scrubbing via template generation and matching
CN102938785A (zh) 用于搜索引擎的不良信息举报和处理办法
Tang et al. Clues in tweets: Twitter-guided discovery and analysis of SMS spam
KR102531661B1 (ko) 내용 기반 차단을 이용한 피싱 위험 경고 서비스 제공 시스템
Liu et al. Phishledger: a decentralized phishing data sharing mechanism
US11936686B2 (en) System, device and method for detecting social engineering attacks in digital communications
CN114363839B (zh) 一种诈骗数据的预警方法、装置、设备及存储介质
David et al. A two-stage model for social network investigations in digital forensics
US11681966B2 (en) Systems and methods for enhanced risk identification based on textual analysis
Ali et al. An approach for deceptive phishing detection and prevention in social networking sites using data mining and wordnet ontology

Legal Events

Date Code Title Description
GRNT Written decision to grant