KR20090001505A - Phishing prevention method for analyze out domain pattern and media that can record computer program sources for method thereof - Google Patents

Phishing prevention method for analyze out domain pattern and media that can record computer program sources for method thereof Download PDF

Info

Publication number
KR20090001505A
KR20090001505A KR1020070038875A KR20070038875A KR20090001505A KR 20090001505 A KR20090001505 A KR 20090001505A KR 1020070038875 A KR1020070038875 A KR 1020070038875A KR 20070038875 A KR20070038875 A KR 20070038875A KR 20090001505 A KR20090001505 A KR 20090001505A
Authority
KR
South Korea
Prior art keywords
phishing
domain
domain pattern
subdomain
subdirectory
Prior art date
Application number
KR1020070038875A
Other languages
Korean (ko)
Inventor
김진우
레디 라자 레디 뿌띠
Original Assignee
김진우
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김진우 filed Critical 김진우
Priority to KR1020070038875A priority Critical patent/KR20090001505A/en
Publication of KR20090001505A publication Critical patent/KR20090001505A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1886Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with traffic restrictions for efficiency improvement, e.g. involving subnets or subdomains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Abstract

A method and a program for preventing phishing by detecting a domain pattern for blocking leakage of personal information of a user, and a computer-readable recording medium storing a program thereof are provided to prevent leakage of personal information with warning by extracting a sub domain or directory from a website address through an email and a web browser, and checking whether the domain pattern is found from the sub domain or directory. A web request is received from a user(S110). A sub domain and a sub directory are extracted from a website address of a URL(Uniform Resource Locator) window(S120). It is checked whether a domain pattern is found in the sub domain or directory(S130). A previous step is performed again by replacing the domain pattern with '.'(S150). It is checked whether a registered keyword is found in the sub domain or directory(S160).

Description

도메인 패턴 검출을 통한 피싱 방지 방법 및 방지 프로그램이 기록된 컴퓨터 판독 가능 기록 매체{Phishing prevention method for analyze out domain pattern and media that can record computer program sources for method thereof}Phishing prevention method for analyze out domain pattern and media that can record computer program sources for method approximately}

도 1은 본 발명의 일 실시예에 따른 도메인 패턴 검출을 통한 피싱 방지 단계를 나타내는 순서도이다.1 is a flowchart illustrating a phishing prevention step through domain pattern detection according to an embodiment of the present invention.

도 2는 본 발명의 일 실시예에 따른 인터넷주소의 서브도메인과 서브디렉토리 추출을 나타낸 도면이다.2 is a diagram illustrating a subdomain and a subdirectory extraction of an Internet address according to an embodiment of the present invention.

도 3은 도 2의 서브도메인과 서브디렉토리의 도메인 패턴 검출을 나타낸 도면이다.3 is a diagram illustrating domain pattern detection of a subdomain and a subdirectory of FIG. 2.

도 4는 본 발명의 일 실시예에 따른 피싱 웹 사이트일 경우 피싱 경고 문구 표시를 나타낸 도면이다.4 is a view showing a phishing warning phrase display in the case of a phishing web site according to an embodiment of the present invention.

*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

200: 피싱 경고 문구 210 : 강제연결버튼200: Phishing warning text 210: Forced connection button

본 발명은 도메인 패턴 검출을 통한 피싱(phishing)방지 방법 및 방지 프로그램이 기록된 컴퓨터 판독 가능 기록 매체에 관한 것으로, 더욱 상세하게는 사용자가 이메일과 웹 브라우저를 통해 특정 웹 사이트에 접속을 시도할 때 접속하고자 하는 웹 사이트 주소에서 서브도메인 및 서브디렉토리를 추출하여, 서브도메인 또는 서브디렉토리에 도매인 패턴이 존재하는지 확인함으로써 피싱 웹 사이트인지 확인하고, 피싱 웹 사이트이거나 피싱 웹 사이트 가능성이 존재할 경우 사용자에게 사전에 경고하여 사용자의 중요정보 유출을 사전에 차단하는 것이 가능한 도메인 패턴 검출을 통한 피싱방지 방법 및 방지 프로그램이 기록된 컴퓨터 판독 가능 기록 매체에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method for preventing phishing through domain pattern detection and a computer readable recording medium having a prevention program recorded therein. More particularly, when a user attempts to access a specific website through an e-mail or a web browser. Extracts subdomains and subdirectories from the address of the website you want to connect to and checks if there is a wholesaler pattern in the subdomain or subdirectory to determine if it is a phishing website, and if a phishing website or phishing website exists, The present invention relates to a computer-readable recording medium in which a phishing prevention method and a prevention program are recorded by detecting a domain pattern, which can prevent a user from leaking important information in advance.

인터넷을 이용한 상거래를 위해 PC사용자는 웹사이트에서 계정이름과 패스워드, 신용카드번호 등의 정보를 입력하여 제공하게 되는데, 사용자가 정보를 제공하고자 하는 사이트를 세심하게 확인하지 않는 점을 이용하여 악의적 목적을 가진 사람이 금융기관, 공공기관 등 신뢰성 있는 사이트를 가장해서 전자메일을 사용자에게 보낸 사용자가 개인정보를 제공하도록 하는 피싱이 최근 반발하고 있다.For commerce on the Internet, PC users enter and provide information such as account names, passwords, and credit card numbers on the website. The malicious purpose is that the user does not carefully check the site to which the information is provided. Phishing has been repulsed recently, in which a person with an e-mail sent to a user by impersonating a reliable site such as a financial institution or a public institution to provide personal information.

피싱은(Phishing)은 카딩(Carding) 또는 스푸핑(spoofing)으로도 알려져 있는데, 불특정 다수인에게 전자 메일을 보내서 수신인의 개인 정보를 빼내기 위해 많이 쓰이는 불법적인 방법이다. 전자 메일 주소나 메일 메시지의 형식을 널리 알려진 저명한 사이트와 유사하게 구성함으로써 수신인의 착각을 초래하여, 수신인이 링크되어 있는 불법적인 사이트로 이동해서 자신의 개인 정보를 입력하면 이를 이용하여 불법적으로 개인 정보를 획득하는 것이다.Phishing, also known as carding or spoofing, is an illegal method that is commonly used to steal recipients' personal information by sending an e-mail to an unspecified number of people. By organizing an e-mail address or mail message in a similar way to a well-known and prominent site, it creates a mistake for the recipient, and if the recipient goes to an illegal site to which the link is linked, and enters his or her personal information, it is illegally used. To obtain.

지금까지의 피싱은 주로 URL spoofing 중에서도 비슷한 url을 사용하는 경우에 주로 집중이 되어 있었다. 예를 들어 진짜 도메인이 www.kbstar.com인 경우에 또는 www.kbsta.com 또는 www.kbstar-ebanking.com 이런 식으로 그럴 듯하게 만들어서 사용자를 낚는(fishing) 경우다. 그러나 이 경우에는 피싱 발각 후 도메인 등록자가 누구인지 쉽게 알 수 있다는 문제가 있기 때문에 해커들이 최근에는 자주 사용하지 않는 방법이 되고 있다.Until now, phishing has been mainly focused on the use of similar urls among URL spoofings. For example, if the real domain is www.kbstar.com or www.kbsta.com or www.kbstar-ebanking.com, this makes it plausible to fish users. In this case, however, the problem is that it is easy to find out who the domain registrant is after phishing is discovered, and it has become a method that hackers do not use frequently in recent years.

최근에는 제 삼의 서버를 공격하여 그곳에 서브디렉토리를 생성하고 서브디렉토리의 이름을 통해서 사용자를 속이는 방법이 많이 사용되고 있다. 기본적으로 도메인이라고 하는 것은 기관의 종류 또는 소속국가의 분류를 나타내는 최상위 도메인(예를들어, '.com', '.co.kr')과 최상위 도메인 바로 앞에 있는 특정관리주체인 2단계 도메인이 합쳐진 것을 말한다. Recently, many methods have been used to attack third-party servers, create subdirectories there, and trick users through the names of subdirectories. Basically, a domain is a combination of a top-level domain (eg, '.com', '.com') that represents an organization's type or classification of a country and a second-level domain, a specific administrative entity immediately before the top-level domain. Say that.

예를 들어 도메인이 www.naver.com이라고 한다면, '.com'은 최상위 도메인, 'naver'는 2단계 도메인, 'www'는 서브도메인(sub domain)이라고 한다. http://mail.naver.com인 경우에도 마찬가지며 도메인 앞의 서브도메인 명은 얼마든지 만들 수 있다. 실례로 야후의 '거기'서비스에서 지도를 클릭하면 http://kr.gugi.yahoo.com/map/ 이렇게 나온다. Yahoo.com까지가 도메인 즉 외부 DNS(domain name server)에 등록된 이름이고 kr과 gugi는 야후 서버내에서의 DNS에서 답변을 주는 서브도메인이다.For example, if your domain is www.naver.com, '.com' is your top-level domain, 'naver' is your second-level domain, and 'www' is your subdomain. The same is true for http://mail.naver.com. You can create any number of subdomain names before the domain. For example, if you click on a map in Yahoo's 'There' service, you will see http://www.gugi.yahoo.com/map/. Up to Yahoo.com is the name registered in the domain, or an external DNS (domain name server), and kr and gugi are subdomains that answer from DNS within the Yahoo server.

여기서 보안이 상대적으로 취약한 대학 또는 중소기업 사이트 abc.com이 있다고 가정하고, 해커가 이 abc.com의 DNS를 공격했다고 가정한다면, 해커는 DNS 공격 후에 자신이 원하는 서브도메인 또는 서브디렉토리를 만들 수 있다.If we assume that abc.com is a relatively unsecured university or small business site, and that a hacker attacked the abc.com's DNS, the hacker could create the subdomain or subdirectory of his choice after the DNS attack.

예를 들어 해커는 www.kbstar.com.security.ebanking.test.transfer.money라는 서브도메인을 만들었다. 그리고 해당 서브도메인에 대한 IP 주소를 해커의 것으로 세팅했다. 이렇게 되면 www.abc.com 및 abc.com 내의 페이지들은 모두 111.111.111.101이라는 IP로 되어있지만 www.kbstar.com.security.ebanking.test.transfer.money.abc.com은 111.111.111.102라는 해커가 준비해놓은 페이지를 알려주게 된다. For example, a hacker created a subdomain called www.kbstar.com.security.ebanking.test.transfer.money. We then set the IP address for that subdomain to be the hacker's. In this case, the pages in www.abc.com and abc.com all have IP of 111.111.111.101, but www.kbstar.com.security.ebanking.test.transfer.money.abc.com is prepared by hacker 111.111.111.102 You will be informed of the page.

이제 해커는 공격대상들에게 자신의 링크를 메일 또는 게시판을 통해서 알려주고 사용자는 그것을 클릭하게 된다. 그러면 URL 주소 창에는 www.kbstar.com.security.ebanking.test.transfer.money.abc.com 이렇게 보이게 되는데 일반적인 유저는 www.kbstar.com만 보고 실제 국민은행 사이트라고 생각을 하게 된다. 물론 해당 페이지는 국민은행과 동일하게 디자인되어있다는 전제가 있다. 그러나 자세히 보면 kbstar.com/이렇게 되어 있지 않고 kbstar.com. 식으로 '.'인 점문자로 끝이 난다. 즉 서브 도메인이란 뜻이다. 이러한 방식으로 해커는 abc.com을 이용해 피싱을 할 수 있게 된다.The hacker now informs the targets of their link via mail or bulletin board, and the user clicks on it. Then, the URL address window will look like www.kbstar.com.security.ebanking.test.transfer.money.abc.com. A typical user will only see www.kbstar.com and think that it is a real Kookmin bank site. Of course, there is a premise that the page is designed in the same way as Kookmin Bank. However, if you look closely, kbstar.com/ is not like this. It ends with a dot character, such as '.' That means subdomain. In this way, hackers can use abc.com to phish.

본 발명은 상기한 종래 기술에 따른 피싱에 의한 사용자 정보유출의 문제점 을 해결하기 위한 것이다. 즉, 본 발명의 목적은 사용자가 이메일과 웹 브라우저를 통해 특정 웹 사이트에 접속을 시도할 때 접속하고자 하는 웹 사이트 주소에서 서브도메인 및 서브디렉토리를 추출하여, 서브도메인 또는 서브디렉토리에 도매인 패턴이 존재하는지 확인함으로써 피싱 웹 사이트인지 확인하고, 피싱 웹 사이트이거나 피싱 웹 사이트 가능성이 존재할 경우 사용자에게 사전에 경고하여 사용자의 중요정보 유출을 사전에 차단하는 것이 가능한 도메인 패턴 검출을 통한 피싱(phishing)방지 방법 및 방지 프로그램이 기록된 컴퓨터 판독 가능 기록 매체를 제공하는 데에 있다.The present invention is to solve the problem of the user information leakage by the phishing according to the prior art described above. That is, an object of the present invention is to extract subdomains and subdirectories from a web site address to be accessed when a user attempts to access a specific web site through an e-mail and a web browser, and there is a wholesale pattern in the subdomain or subdirectory. How to prevent phishing through domain pattern detection, which checks whether a phishing website is a phishing website, and proactively warns you if there is a phishing website or a possible phishing website. And a computer readable recording medium having recorded thereon a prevention program.

상기의 목적을 달성하기 위한 기술적 사상으로서의 본 발명은, 사용자가 웹 리퀘스트를 하면, URL Address 창에 있는 웹 사이트 주소에서 서브도메인과 서브디렉토리를 각각 추출하는 제 1단계와; 상기 서브도메인 또는 서브디렉토리에 도메인 패턴이 존재하는지 각각 확인하는 제 2단계와; 상기 서브도메인 또는 서브디렉토리에 '-' 또는 '_'와 같은 연결문자가 존재할 경우 '.'인 점문자로 각각 대체하여 상기 제 2단계를 다시 수행하는 제 3단계와; 상기 서브도메인 또는 서브디렉토리에 사전에 등록된 키워드가 존재하는지 각각 확인하는 제 4단계;로 이루어져 제 2단계 내지 제 4단계 중 어느 하나라도 해당되면 피싱 경고 문구를 표시하고 링크 사이트의 연결을 거절하는 것을 특징으로 하는 도메인 패턴 검출을 통한 피싱 방지 방법을 제공한다.As a technical idea for achieving the above object, the present invention includes a first step of extracting a subdomain and a subdirectory from a web site address in a URL address window when a user makes a web request; A second step of respectively checking whether a domain pattern exists in the subdomain or subdirectory; A third step of performing the second step again by replacing the dot character with '.' If there is a connection character such as '-' or '_' in the subdomain or subdirectory; And a fourth step of respectively checking whether there is a keyword registered in advance in the subdomain or subdirectory. If any one of the second to fourth steps is applicable, a phishing warning message is displayed and the link site is rejected. The present invention provides a phishing prevention method through domain pattern detection.

이하, 본 발명의 바람직한 실시예를 첨부 도면에 의거하여 상세하게 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 도메인 패턴 검출을 통한 피싱 방지 단계를 나타내는 순서도이다.1 is a flowchart illustrating a phishing prevention step through domain pattern detection according to an embodiment of the present invention.

먼저, 사용자가 인터넷 웹 사이트에 주소를 입력하거나 전자 메일 메시지에 포함되어 있는 링크를 클릭하여 웹 리케스트(Web Request)를 하면(S110), URL Address 창에 있는 웹 사이트 주소를 체크하여 전체 주소 중 맨 뒤의 최상위 도메인과 2단계 도메인을 제외한 서브도메인과 서브디렉토리를 각각 추출한다(S120).First, when a user enters an address on an Internet web site or clicks a link included in an e-mail message to make a web request (S110), the user checks the web site address in the URL address window and checks the web address. Subdomains and subdirectories except for the topmost domain and the second level domain at the end are extracted (S120).

상기 서브디렉토리는 웹사이트 주소의 앞에서 첫번째 슬래시(slash, '/')를 기준으로 슬래시 뒤에 있는 모든 주소를 말하며, 서브도메인은 웹사이트 주소의 맨 뒤에 있는 최상위 도메인과 2단계 도메인을 기준으로 상기 2단계 도메인 앞의 모든 주소를 말한다. 예를 들어, www.kbstar.com.security.ebanking.test.transfer.money.abc.com/input.id.pw.hacker라는 인터넷 주소가 있다면, '.com'이 최상위 도메인이고, 'abc'가 2단계 도메인이며, 'www.kbstar.com.security.ebanking.test.transfer.money'는 서브도메인, 'input.id.pw.hacker'는 서브디렉토리가 된다.The subdirectory refers to all addresses after the slash based on the first slash '/' in front of the website address, and the subdomain refers to the top-level domain and the second-level domain based on the second slash of the website address. Step All addresses in front of the domain. For example, if you have an internet address of www.kbstar.com.security.ebanking.test.transfer.money.abc.com/input.id.pw.hacker, '.com' is the top-level domain, and 'abc' is It is a two-level domain, 'www.kbstar.com.security.ebanking.test.transfer.money' is a subdomain, and 'input.id.pw.hacker' is a subdirectory.

따라서 상기 www.kbstar.com.security.ebanking.test.transfer.money.abc.com/input.id.pw.hacker의 주소에서 서브도메인과 서브디렉토리를 추출하면 도 2와 같이 www.kbstar.com.security.ebanking.test.transfer.money라는 서브도메인과Accordingly, if the subdomain and the subdirectory are extracted from the address of www.kbstar.com.security.ebanking.test.transfer.money.abc.com/input.id.pw.hacker, the www.kbstar.com. with a subdomain called security.ebanking.test.transfer.money

input.id.pw.hacker라는 서브디렉토리가 추출된다. A subdirectory called input.id.pw.hacker is extracted.

이어서, 상기 서브도메인과 서브디렉토리에 도메인 패턴이 있는지 각각 확인한다(S130). 여기서 도메인 패턴이란, '.com', '.co.kr', '.go.kr', '.net' 등의 기관의 분류 또는 소속국가의 분류를 나타내는 최상위 도메인을 의미한다. 도 3과 같이 서브도메인 또는 서브디렉토리에 도메인 패턴이 존재할 경우 피싱 사이트로 판단되며, 피싱 사이트로 판단될 경우 도 4와 같이 피싱 경고 문구(200)를 표시하고 링크사이트로의 연결을 거절한다(S170). 그러나 이때 피싱 사이트로 판단되었음에도 링크 사이트가 정상적이라고 보는 사용자를 위해 강제연결버튼(210)을 추가로 표시하여, 사용자가 상기 강제연결버튼(210) 클릭 시(S180) 웹브라우저를 호출하여 링크사이트에 연결하고 웹 페이지를 표시할 수 있도록 한다(S190).Subsequently, it is checked whether there is a domain pattern in the subdomain and the subdirectory (S130). Here, the domain pattern refers to a top-level domain representing a classification of an institution such as '.com', '.co.kr', '.go.kr', or '.net' or a classification of a country of affiliation. If a domain pattern exists in the subdomain or subdirectory as shown in FIG. 3, it is determined as a phishing site, and if it is determined as a phishing site, the phishing warning text 200 is displayed as shown in FIG. 4 and the connection to the link site is rejected (S170). ). However, at this time, even though it is determined that the phishing site is a link site for the user to see that the normal link button 210 is additionally displayed, when the user clicks the forced link button 210 (S180) to call the web browser to the link site Connect and display a web page (S190).

이어서 상기 서브도메인 또는 서브디렉토리에 '-' 또는 '_'와 같은 연결문자가 존재하면(S140) '.'인 점문자로 대체한 후(S150)에 다시 도메인 패턴이 있는지 검사한다(S130). 실제 피싱 사례 중에 www-kbstar-com-test-abc.com이런 식으로도 하는 경우가 있다. 일반적인 상식이 있는 경우에는 www-kbstar-com이 도메인이 아님을 쉽게 알 수 있지만 관련지식이 조금도 없는 유저의 경우에는 이런 케이스에도 당하곤 한다. 이 경우에 '-' 또는 '_'와 같은 연결문자를 '.'인 점문자로 대체한다. 그렇게 되면 www-kbstar-com_security일 경우 www.kbstar.com.security 이런 식으로 변환이 되기 때문에 다시 도메인 패턴이 있는지 검사할 수 있다.Subsequently, if there is a connection character such as '-' or '_' in the subdomain or subdirectory (S140), it is replaced with a dot character that is '.' (S150) and then the domain pattern is checked again (S130). Some of the real phishing examples are www.kbstar-com-test-abc.com. If you have common sense, it's easy to see that www-kbstar-com is not a domain, but it's also the case for users with little knowledge. In this case, replace a link character such as '-' or '_' with a dot character that is '.'. In this case, www-kbstar-com_security is converted to www.kbstar.com.security like this, so you can check whether there is a domain pattern again.

이어서 사전에 등록된 키워드가 서브도메인 또는 서브디렉토리 내에 존재하는지 검사한다(S160). 기존의 피싱방지방법들은 도메인명을 등록하여 검사를 하였 으나, 유사 도메인은 모두 차단함으로서 피싱홈페이지가 아님에도 불구하고 차단되는 경우가 많았다. 예를 들어 www.jcb.co.jp라고 하면 해당 고객 페이지가 열려있는 상태에서는 www.e_jcb.co.jp, www.ijcb.co.kr 등의 유사도메인이 열리면 경고가 뜬다. 그러나 Star.com의 고객일 경우 kbstar.com이 열릴 때 그 사이트가 피싱이 아님에도 불구하고 경고가 나온다. 본 발명은 도메인 명이 아니라 서브도메인 또는 서브디렉토리를 분석하여 사전에 등록된 피싱 가능성이 높은 키워드가 있는지 확인하여 피싱을 방지한다.Subsequently, it is checked whether a keyword registered in advance exists in a subdomain or a subdirectory (S160). Existing phishing protection methods were registered by checking domain names, but similar domains were blocked because they were not phishing homepages. For example, if www.jcb.co.jp is opened, a warning message is displayed when similar domains such as www.e_jcb.co.jp and www.ijcb.co.kr are opened. However, if you are a Star.com customer, you will receive a warning when kbstar.com opens, even though the site is not phishing. The present invention analyzes subdomains or subdirectories, not domain names, and checks whether there is a high-phishing keyword registered beforehand to prevent phishing.

실제로 한국정보보호진흥원(Korea Information Security Agency, kisa)에 매달 130건 정도의 피싱 사고가 접수되어지고 있는데 대부분이 온라인 게임을 사칭한 페이지이며, 그 중에 대부분이 카트라이더와 메이플스토리이다. 이런 경우에는 주로 www.maplestrory.com.input.id.pw.hacker.com 이런 식으로 유도한다. In fact, about 130 phishing incidents are filed every month by the Korea Information Security Agency (Kisa), most of which are pages that pretend to be online games, and most of them are cart riders and maple stories. In this case, it's mainly www.maplestrory.com.input.id.pw.hacker.com.

따라서 사전에 피싱 가능성이 높은 키워드를 등록하여, 해당 키워드가 서브 도메인 또는 서브디렉토리에 존재하는지 확인한다. 상기 확인결과 해당 키워드가 서브 도메인 또는 서브디렉토리에 존재하면 해당 키워드를 사용자가 알아볼 수 있도록 하이라이트 시켜주고 사용자에게 피싱 경고 문구를 표시하여 피싱을 방지한다(S170). 상기 키워드는 인터넷에 접속할 때마다 최신의 피싱 키워드 정보를 자동으로 다운로드 받아 업그레이드 함으로써 최신의 정보로 피싱을 방지할 수 있도록 한다.Therefore, register a keyword highly likely to be phished in advance to check whether the keyword exists in a subdomain or subdirectory. As a result of the check, if the keyword exists in the subdomain or subdirectory, the user highlights the keyword so that the user can recognize it, and displays a phishing warning phrase to the user to prevent phishing (S170). The keyword automatically downloads and upgrades the latest phishing keyword information every time the Internet is accessed, thereby preventing phishing with the latest information.

이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백하다 할 것이다.The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and various substitutions, modifications, and changes are possible in the art without departing from the technical spirit of the present invention. It will be clear to those of ordinary knowledge.

이상에서와 같이, 본 발명에 따른 도메인 패턴 검출을 통한 피싱방지 방법 및 방지 프로그램이 기록된 컴퓨터 판독 가능 기록 매체는 사용자가 이메일과 웹 브라우저를 통해 특정 웹 사이트에 접속을 시도할 때 접속하고자 하는 웹 사이트 주소에서 서브도메인 및 서브디렉토리를 추출하여, 서브도메인 또는 서브디렉토리에 도매인 패턴이 존재하는지 확인함으로써 피싱 웹 사이트인지 확인하고, 피싱 웹 사이트이거나 피싱 웹 사이트 가능성이 존재할 경우 사용자에게 사전에 경고하여 피싱 사고를 예방함으로써 사용자의 개인 정보 유출 방지 및 그로 인해 발생할 수 있는 금융사고를 포함하는 각종 인터넷 사고 등을 예방할 수 있는 효과가 있다.As described above, the computer-readable recording medium in which the phishing prevention method and the prevention program through the domain pattern detection according to the present invention is recorded is a web to be accessed when a user attempts to access a specific website through an email and a web browser. Extracts subdomains and subdirectories from site addresses to determine if there is a wholesaler pattern in the subdomain or subdirectory, to determine if it is a phishing website, and to alert users in advance if a phishing website or potential phishing website exists By preventing the accident there is an effect that can prevent various kinds of Internet accidents, including financial accidents that can occur and thereby prevent the leakage of personal information of the user.

Claims (7)

도메인 패턴 검출을 통한 피싱 방지 방법에 있어서,In the anti-phishing method through domain pattern detection, 사용자가 웹 리퀘스트를 하면, URL Address 창에 있는 웹 사이트 주소에서 서브도메인과 서브디렉토리를 각각 추출하는 제 1단계와;A first step of extracting subdomains and subdirectories from a web site address in a URL address window when a user makes a web request; 상기 서브도메인 또는 서브디렉토리에 도메인 패턴이 존재하는지 각각 확인하는 제 2단계와;A second step of respectively checking whether a domain pattern exists in the subdomain or subdirectory; 상기 서브도메인 또는 서브디렉토리에 '-' 또는 '_'와 같은 연결문자가 존재할 경우 '.'인 점문자로 각각 대체하여 상기 제 2단계를 다시 수행하는 제 3단계와;A third step of performing the second step again by replacing the dot character with '.' If there is a connection character such as '-' or '_' in the subdomain or subdirectory; 상기 서브도메인 또는 서브디렉토리에 사전에 등록된 키워드가 존재하는지 각각 확인하는 제 4단계;A fourth step of respectively checking whether a keyword registered in advance in the subdomain or subdirectory exists; 로 이루어져 제 2단계 내지 제 4단계 중 어느 하나라도 해당되면 피싱 경고 문구를 표시하고 링크 사이트의 연결을 거절하는 것을 특징으로 하는 도메인 패턴 검출을 통한 피싱 방지 방법.If any one of the second to fourth step consisting of the phishing warning phrases and phishing prevention method through the domain pattern detection, characterized in that for rejecting the link site link. 제 1항에 있어서,The method of claim 1, 상기 도메인 패턴 검출을 통한 피싱 방지 방법은,The anti-phishing method through the domain pattern detection, 강제연결버튼을 추가로 표시하여 강제연결버튼 클릭시 강제로 링크사이트에 연결하고 웹 페이지를 표시하는 것을 특징으로 하는 도메인 패턴 검출을 통한 피싱 방지 방법.Phishing prevention method through domain pattern detection, characterized in that by additionally displaying a forced link button to force the user to connect to the link site when the forced link button is clicked and display a web page. 제 1항에 있어서,The method of claim 1, 상기 서브도메인과 서브디렉토리를 각각 추출하는 제 1단계는,The first step of extracting the subdomain and the subdirectory, respectively, 상기 서브디렉토리는 웹사이트 주소의 앞에서 첫번째 슬래시('/')를 기준으로 상기 첫번째 슬래시 뒤에 있는 모든 주소가 추출되며,The subdirectory extracts all addresses after the first slash based on the first slash '/' in front of the website address, 상기 서브도메인은 웹사이트 주소의 맨 뒤에 있는 최상위 도메인과 2단계 도메인을 기준으로 상기 2단계 도메인 앞의 모든 주소가 추출되는 것을 특징으로 하는 서브도메인 피싱포인트를 이용한 피싱 방지 방법.The subdomain is a phishing prevention method using a subdomain phishing point, wherein all addresses in front of the second domain are extracted based on the top-level domain and the second-level domain at the back of the website address. 제 1항에 있어서,The method of claim 1, 상기 도메인 패턴이 존재하는지 확인하는 제 2단계는,The second step of checking whether the domain pattern exists, '.com', '.co.kr', 'go.kr', '.net'을 포함한 기관의 분류 또는 소속국가의 분류를 나타내는 최상위 도메인이 존재하는지 확인하는 것을 특징으로 하는 도메인 패턴 검출을 통한 피싱 방지 방법.Through domain pattern detection, characterized by checking whether there is a top-level domain that represents the classification of an organization including '.com', '.com', 'go.kr', or '.net' How to avoid phishing. 제 1항에 있어서,The method of claim 1, 상기 사전에 등록된 키워드가 존재하는지 확인하는 제 3단계는,The third step of checking whether there is a keyword registered in advance, 해당 키워드가 존재할 경우 해당 키워드를 사용자가 알아볼 수 있도록 하이라이트 시켜주는 것을 특징으로 하는 도메인 패턴 검출을 통한 피싱 방지 방법.Method for preventing phishing by domain pattern detection, if the keyword exists, highlight the keyword so that the user can recognize. 제 1항 내지 제 5항에 있어서,The method according to claim 1, wherein 상기 사전에 등록된 키워드는,The keyword registered in the dictionary, 인터넷에 접속할 때마다 피싱 가능성이 높은 키워드를 자동 다운로드 받아 최신의 피싱 가능성이 높은 키워드인 것을 특징으로 하는 도메인 패턴 검출을 통한 피싱 방지 방법.A phishing prevention method through domain pattern detection, characterized in that the latest phishing potential keyword is automatically downloaded by automatically downloading a phishing potential keyword every time the Internet is connected. 제 1항 내지 제 6항 중 어느 한 항에 기재된 도메인 패턴 검출을 통한 피싱 방지 방법에 대한 컴퓨터 프로그램 소스를 저장한 기록매체.A recording medium storing a computer program source for a phishing prevention method by detecting a domain pattern according to any one of claims 1 to 6.
KR1020070038875A 2007-04-20 2007-04-20 Phishing prevention method for analyze out domain pattern and media that can record computer program sources for method thereof KR20090001505A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070038875A KR20090001505A (en) 2007-04-20 2007-04-20 Phishing prevention method for analyze out domain pattern and media that can record computer program sources for method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070038875A KR20090001505A (en) 2007-04-20 2007-04-20 Phishing prevention method for analyze out domain pattern and media that can record computer program sources for method thereof

Publications (1)

Publication Number Publication Date
KR20090001505A true KR20090001505A (en) 2009-01-09

Family

ID=40484576

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070038875A KR20090001505A (en) 2007-04-20 2007-04-20 Phishing prevention method for analyze out domain pattern and media that can record computer program sources for method thereof

Country Status (1)

Country Link
KR (1) KR20090001505A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713676B2 (en) 2010-05-13 2014-04-29 Verisign, Inc. Systems and methods for identifying malicious domains using internet-wide DNS lookup patterns
US8990933B1 (en) * 2012-07-24 2015-03-24 Intuit Inc. Securing networks against spear phishing attacks
US10291646B2 (en) 2016-10-03 2019-05-14 Telepathy Labs, Inc. System and method for audio fingerprinting for attack detection

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713676B2 (en) 2010-05-13 2014-04-29 Verisign, Inc. Systems and methods for identifying malicious domains using internet-wide DNS lookup patterns
US8990933B1 (en) * 2012-07-24 2015-03-24 Intuit Inc. Securing networks against spear phishing attacks
US10291646B2 (en) 2016-10-03 2019-05-14 Telepathy Labs, Inc. System and method for audio fingerprinting for attack detection
US10404740B2 (en) 2016-10-03 2019-09-03 Telepathy Labs, Inc. System and method for deprovisioning
US10419475B2 (en) 2016-10-03 2019-09-17 Telepathy Labs, Inc. System and method for social engineering identification and alerting
US10992700B2 (en) 2016-10-03 2021-04-27 Telepathy Ip Holdings System and method for enterprise authorization for social partitions
US11122074B2 (en) 2016-10-03 2021-09-14 Telepathy Labs, Inc. System and method for omnichannel social engineering attack avoidance
US11165813B2 (en) 2016-10-03 2021-11-02 Telepathy Labs, Inc. System and method for deep learning on attack energy vectors
US11818164B2 (en) 2016-10-03 2023-11-14 Telepathy Labs, Inc. System and method for omnichannel social engineering attack avoidance

Similar Documents

Publication Publication Date Title
US20200042696A1 (en) Dynamic page similarity measurement
Fette et al. Learning to detect phishing emails
KR100935776B1 (en) Method for evaluating and accessing a network address
US20080172738A1 (en) Method for Detecting and Remediating Misleading Hyperlinks
Gastellier-Prevost et al. Decisive heuristics to differentiate legitimate from phishing sites
US20090089859A1 (en) Method and apparatus for detecting phishing attempts solicited by electronic mail
WO2012101623A1 (en) Web element spoofing prevention system and method
US9521157B1 (en) Identifying and assessing malicious resources
Kang et al. Advanced white list approach for preventing access to phishing sites
Deshpande et al. Detection of phishing websites using Machine Learning
Clayton et al. A study of Whois privacy and proxy service abuse
KR100885634B1 (en) Method of verifying web site and mail for phishing prevention, and media that can record computer program for method thereof
KR20090001505A (en) Phishing prevention method for analyze out domain pattern and media that can record computer program sources for method thereof
US20100088513A1 (en) Network security method
Alnajim et al. An evaluation of users’ tips effectiveness for phishing websites detection
KR20070067651A (en) Method on prevention of phishing through analysis of the internet site pattern
KR20070019896A (en) Method and program on prevention of phishing through url and information filtering
Singh et al. Phishing: A computer security threat
Enoch et al. Mitigating Cyber Identity Fraud using Advanced Multi Anti-Phishing Technique
Chuchuen et al. Relationship between phishing techniques and user personality model of Bangkok Internet users
KR20080111310A (en) Phishing prevention method for using input form
KR100693842B1 (en) Fishing-preventing method and computer-readable recording medium where computer program for preventing phishing is recorded
Ross The latest attacks and how to stop them
Harley et al. Phish phodder: is user education helping or hindering?
Montazer et al. Identifying the critical indicators for phishing detection in Iranian e-banking system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application