KR20090108000A - 컴퓨터 사기를 탐지하는 방법 및 장치 - Google Patents

컴퓨터 사기를 탐지하는 방법 및 장치 Download PDF

Info

Publication number
KR20090108000A
KR20090108000A KR1020097010657A KR20097010657A KR20090108000A KR 20090108000 A KR20090108000 A KR 20090108000A KR 1020097010657 A KR1020097010657 A KR 1020097010657A KR 20097010657 A KR20097010657 A KR 20097010657A KR 20090108000 A KR20090108000 A KR 20090108000A
Authority
KR
South Korea
Prior art keywords
candidate
computer
text version
fraud
stored
Prior art date
Application number
KR1020097010657A
Other languages
English (en)
Inventor
존 레우만
디네시 버마
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20090108000A publication Critical patent/KR20090108000A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Burglar Alarm Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Hardware Redundancy (AREA)
  • Computer And Data Communications (AREA)

Abstract

컴퓨터 사기를 탐지하는 기술이 제공된다. 이 기술은, 후보 대상의 텍스트 버전 및 후보 대상의 그래픽 렌더링을 얻는 단계와, 후보 대상의 텍스트 버전 및 그래픽 렌더링을 저장된 대상의 대응하는 텍스트 버전 및 저장된 대상의 대응하는 그래픽 렌더링과 비교하는 단계와, 후보 대상의 텍스트 버전이 저장된 대상의 대응하는 텍스트 버전과 실질적으로 다른 한편 후보 대상의 그래픽 렌더링이 저장된 대상의 그래픽 렌더링과 실질적으로 유사하면 사기 경고를 발생하는 단계를 포함한다.
컴퓨터 사기 탐지, 후보 대상, 그래픽 렌더링, 사기 경고

Description

컴퓨터 사기를 탐지하는 방법 및 장치{METHOD AND APPARATUS FOR DETECTING COMPUTER FRAUD}
본 발명은 일반적으로 정보 기술에 관한 것으로서, 보다 상세하게는, 컴퓨터 사기를 탐지하는 방법 및 장치에 관한 것이다.
웹 사이트 "A"에 대한 링크를 포함하는 것으로 보이지만 웹 사이트 "A"의 위장 버전으로 방향 재지정된(redirect) 이메일 또는 기타 통신을 사용자가 수신하는 경우, 이 사용자를 웹 사이트 피싱(phishing) 공격 대상자라 칭한다. 사용자는 자신이 방문하고 있는 사이트가 널리 알려져 있는지, 적법한 사이트인지, 또는 적법한 사이트로 보이지만 웹 사이트의 예상되는 적법한 버전과 동일한 위치에 있지 않는 사이트인지를 알고 싶어한다.
사용자는, URL을 타이핑하고, 링크를 따라가며, 이메일 내에 임베딩된 링크나 인스턴트 메시징 세션을 따라가거나, 다른 페이지로부터의 방향 재지정을 통해, 브라우저 내로 웹 페이지의 전달을 개시할 수 있다. 그 결과, 브라우저는 대상 페이지(destination page)를 찾는 데 사용될 프로토콜을 해석하고, 도메인 네임 시스템(DNS)에 컨택하여 대상 호스트를 해석하고, DNS 룩업(look-up)에 의해 명명된 인터넷 프로토콜(IP) 어드레스에 연결하고, 페이지 콘텐트를 다운로드하고, 그 페이 지를 렌더링하며 동시에 적절한 경우 임의의 임베딩된 스크립트를 수행한다. 이 페이지의 콘텐트는 많은 방식으로 불법 복제될 수 있다(forge).
단지 웹 브라우저로부터 자원 위치 표시자(URL)를 추출하고 정규화하여 사용자가 연결되어 있는 효율적인 사이트를 사용자에게 제시하는 브라우저 툴바가 알려져 있다. 이것은, 사이트 네임을 줄임으로써 URL이 브라우저 위치 윈도우를 오버필(overfill)하는 공격을 제거할 수 있지만, 매우 유사하게 보이는 두 개의 도메인 네임이 사용되고 있는 문제점을 해결하지는 못한다. 유효 사이트에 관한 정보가 상당히 대략적이므로, 공격자는 동일한 지역(예를 들어, 미국)에서 매우 유사한 도메인 네임을 얻어 이러한 피싱 탐지기를 혼란시킬 수 있다. 게다가, 글로벌화가 확산됨에 따라, 예를 들어, 미국 기반 은행에 대한 적법한 사이트가 예를 들어 인도나 브라질과 같은 다른 국가에 위치할 가능성이 매우 높으며, 이것은 여러 거짓 경고에 관여하게 된다. 알려져 있는 기술을 이용함으로써, 사용자는 여전히 자신이 정확한 웹 사이트에 컨택하고 있다고 믿게 된다. 이렇게 알려져 있는 기술은 모든 방문 웹 사이트에 대한 도메인 네임을 체크하는 사용자에게 의존한다. 게다가, 알려져 있는 기술은, 실제 URL에서 전달된 정보만을 추출하고, 이에 따라, 사용자가 도메인 네임을 브라우저 위치 바 내에 타이핑했을 때 실제 도메인 네임이 사용자가 의도한 타겟과는 다른 파괴된 IP 어드레스로 강제로 결정되는 DNS 중독 공격(DNS poisoning attack)의 경우에 안전하지 않다.
따라서 종래 방안의 한계 사항을 극복하는 것이 바람직하다.
본 발명의 원리는 컴퓨터 사기를 탐지하는 기술을 제공한다. 본 발명의 일 양태에 따라 컴퓨터 사기를 탐지하는 (컴퓨터로 구현 가능한) 예시적인 방법은, 후보 대상의 텍스트 버전 및 후보 대상의 그래픽 렌더링을 얻는 단계와, 후보 대상의 텍스트 버전 및 그래픽 렌더링을 저장된 대상의 대응하는 텍스트 버전 및 그래픽 렌더링과 비교하는 단계와, 후보 대상의 텍스트 버전이 저장된 대상의 대응하는 텍스트 버전과 실질적으로 다른 한편 후보 대상의 그래픽 렌더링이 저장된 대상의 그래픽 렌더링과 실질적으로 유사하면 사기 경고를 발생하는 단계를 포함할 수 있다.
본 발명의 일 양태에서, 후보 대상 및 저장된 대상은 URL로서 표현된다. 또한, 본 발명의 다른 일 양태에서, 컴퓨터 사기를 탐지하는 기술은 후보 대상에 연관된 웹 페이지가 로딩되면 자동 실행된다. 이 기술은 후보 대상에 연관된 브라우저 윈도우 외부에 있는 윈도우 및 상태 바 중 적어도 하나에서 사용자에게 도시된 버튼을 사용함으로써 실행될 수도 있다. 게다가, 본 발명의 다른 일 양태에서는, 후보 대상에 연관된 브라우저 윈도우 외부에 있는 윈도우 및 상태 바 중 적어도 하나에서 사용자에게 디스플레이되는 비주얼 프롬프트를 통해 사기 경고를 발생할 수 있다. 본 발명의 또 다른 일 양태에서, 후보 대상은 모든 판정된 조직(organization)이 대응하는 저장된 조직과 일치하고 이러한 저장된 조직이 데이터베이스에서 보다 유명한 것으로 순위화된 다른 조직과 실질적으로 유사하지 않으면 클린(clean)으로 식별된다. 후보 대상은 비주얼 큐(visual cue)가 조직과 일치될 수 없다면 미지(unknown)로 식별되며, 그렇지 않다면 후보 대상은 비주얼 URL과 일치하고 대상은 피싱 대상일 가능성이 작다.
본 발명의 일 실시예에서, 컴퓨터 사기로부터 보호받을 대상들의 데이터베이스 또는 화이트 리스트를 생성하는 예시적인 방법은, 보호받을 대상들의 적어도 하나의 카테고리를 생성하는 단계와, 적어도 하나의 카테고리에 속하는 대상들의 적어도 하나의 리스트를 검색하는 단계를 포함할 수 있다. 본 발명의 일 양태에서, 적어도 하나의 카테고리에 속하는 대상들의 적어도 하나의 리스트를 검색(retrieve)하는 단계는, 대상들의 제1 리스트와 대상들의 제2 리스트를 얻는 단계와, 대상들의 제1 리스트와 제2 리스트를 병합하는 단계를 포함한다. 또한, 본 발명의 다른 일 양태에서, 검색하는 단계는 인터넷 탐색(search) 엔진에 액세스하고 그리고/또는 인터넷 인덱싱 서비스에 액세스하는 단계를 포함한다.
본 발명의 적어도 일 실시예는, 기재된 방법의 단계들을 수행하기 위한 컴퓨터 사용 가능 프로그램 코드를 갖는 컴퓨터 사용 가능 매체를 포함하는 컴퓨터 제조품의 형태로 구현될 수 있다. 게다가, 본 발명의 적어도 일 실시예는 메모리와 메모리에 연결되어 예시적인 방법의 단계들을 수행하도록 동작 가능한 적어도 하나의 프로세서를 포함하는 장치의 형태로 구현될 수 있다.
본 발명의 적어도 일 실시예는, 예를 들어, 후보 또는 피싱 엔티티가 의도한 엔티티나 저장된 엔티티의 도메인 네임과 매우 유사한 도메인 네임을 포함할 때 컴퓨터 사기를 탐지하는 등의 하나 이상의 유익한 기술적 효과를 제공한다. 또한, 본 발명의 적어도 일 실시예는, 사용자가 도메인 네임을 브라우저 위치 바 내에 타이핑했을 때 의도한 도메인 네임이 사용자가 의도한 타겟과는 다른 후보 또는 피싱 대상으로 강제로 결정되는 상황에서 컴퓨터 사기를 탐지하는 유익한 효과를 제공할 수 있다.
본 발명의 이러한 목적, 특징, 이점 및 다른 목적, 특징, 이점은 첨부 도면과 함께 다음에 따르는 본 발명의 예시적인 실시예의 상세한 설명을 참조함으로써 명백해 질 것이다.
도 1은 본 발명의 일 양태에 따라 컴퓨터 사기를 탐지하는 예시적인 방법을 도시하는 흐름도이다.
도 2는 본 발명의 다른 일 양태에 따라 컴퓨터 사기를 탐지하는 예시적인 방법을 실행할 수 있는 예시적인 시스템을 도시하는 블록도이다.
도 3은 본 발명의 또 다른 일 양태에 따라 컴퓨터 사기로부터 보호받을 대상들의 데이터베이스를 생성하는 예시적인 방법을 도시하는 흐름도이다.
도 4는 본 발명의 적어도 일 실시예가 구현될 수 있는 예시적인 컴퓨터 시스템의 시스템도이다.
본 발명의 일 실시예는 사용자가 자신의 브라우저 윈도우에서 무엇을 볼 수 있는지에 기초하여 적어도 하나의 사이트 서명을 구축한다. 또한, 이러한 서명을 연산하는 소프트웨어 에이전트는 웹 사이트용으로 잘 알려져 있는 그래픽 서명 및 기타 서명의 데이터베이스 또는 화이트 리스트를 유지한다. 사이트에 대하여 서명들이 연산될 때마다, 이 서명들은 데이터베이스에 있는 서명들과 비교된다. 일부 서명들이 잘 알려져 있는 웹 사이트들의 서명들과 일치하는 한편 다른 서명들은 등 록되어 있지 않거나 피싱 공격의 소스(예를 들어, 소정의 도메인 네임, IP 어드레스 소유권)와 일치하지 않으면, 사이트 피싱 스코어는 증가하고 브라우저 상태 바는 피싱의 위험성을 가리키는 기호(예를 들어, <><)를 제시하게 된다.
피싱 공격의 공통된 형태는, 웹 사이트 "A"로부터의 링크로 보이지만 실제로는 소정의 다른 웹 사이트를 가리키는 링크를 구비하는 것을 포함한다. 이메일의 리치 텍스트 및 하이퍼텍스트 마크업 언어(HTML) 인코딩을 이용함으로써, 링크는 통상적으로 다음에 따르는 구문이나 그 등가 형태를 이용하여 표시될 수 있다.
<a href="target link"> Text Displayed to User </a>
대부분의 독자의 경우, 사용자에게는 "Text Displayed to User"라고 마킹된 스트링만이 표시되고, "target link"는 보이지 않는다. 일부 사용자들은 실제로 그 링크를 검사할 수 있지만, 그 링크를 속여 "Text Displayed to the User"로서 표시되는 실제 사이트에 대한 링크와 "target link"가 다소 유사한 것으로 보이도록 어느 정도의 노력을 들인다. 이러한 유형의 사기의 일부 예를 후술한다.
예를 들어, 이메일은 임베딩된 링크인 <a href=http://www.acmelnvestments.com> Acme Investments </a>를 포함할 수 있으며 따라서 이것은 Acme Investments 웹 사이트인 http://www.acmeinvestments.com에 온 것이라고 할 수 있다. 사용자가 브라우저 내의 이러한 링크에 액세스할 때, 사용자는 www.acme Investments.com 사이트를 방문하게 된다. 사용자가 URL에서의 9번째 글자가 'i'가 아니라 1(숫자)이라는 것에 주목할 정도로 애쓰지 않는 한, 사용자는 자신이 Acme Investments의 사이트에 있다고 잘못 믿게 된다.
함정에 빠지기 매우 쉬운 이러한 위장의 경우는, 다수의 언어로 문자를 인코딩하는 표준으로 인해 가능해진다. 이 표준인 다국어 도메인(Internationalized Domain Names)은, 영어가 아닌 언어로 유니코드 문자를 이용하여 도메인 네임(URL에서의 머신(machine)의 네임)을 표현할 수 있게 한다. 예를 들어, 유니코드 문자 U+430, 키릴 소문자 "a"는 유니코드 문자 U+0061 라틴 소문자 "a"와 동일하게 보일 수 있으며, 여기서 "a"는 영어에서 사용되는 소문자 "a"이다. 따라서, 피싱 이메일은 URL www.<a>cmeinvestments.com을 가리킬 수 있으며 여기서 <a>는 키릴 소문자를 가리키지만 웹 사이트의 사용자는 그 키릴 소문자를 www.acmeinvestments.com의 URL로부터 구별할 수 없다. 여러 브라우저들은 이러한 위장에 의해 쉽게 공격받을 수 있다.
도메인 네임 시스템과 타협하는 기법(scheme)(예를 들어, 호스트 파일이나 브라우저 캐시를 오버라이트하는 데 바이러스를 사용할 수 있음)을 포함하여, 사용자가 의도한 웹 사이트와는 다른 웹 사이트에 가도록 사용자를 속이는 다른 방식이 있다. 그러나, 이러한 공격에서는 머신의 보안과 타협할 필요가 있으며 사용될 가능성이 작다. 완벽을 기하기 위해 이러한 성질의 공격을 서술한다. 통상적으로, 피싱 기술은 다른 URL에 액세스하는 것에 대하여 사용자를 속이는 것에 의존하며, 이것은 운영 체제 보안에 대한 복잡한 공격 없이 이메일을 속임으로써 행해질 수 있기 때문이다.
예를 들어, 페이지가 불법 복제될 수 있는 한 가지 방식은 대상 페이지를 찾는 데 사용되는 프로토콜을 결정하도록 전술한 단계에 대한 공격을 통한 것이다. 브라우저를 "file:/" 참조로 향하게 함으로써 사용자를 사용자 고유의 하드 디스크 상의 페이지로 방향 재지정할 수 있다. 이러한 종류의 방향 재지정은 대부분의 브라우저 보안 메카니즘을 우회하기 때문에 특히 위험하다. 공격자는 알려져 있는 위치에서(예를 들어, 브라우저 캐시에서) 사용자의 파일 시스템에 코드를 설치할 수 있어야 한다.
예를 들어, 페이지를 불법 복제할 수 있는 다른 방식은 대상 호스트를 해석하기 위해 DNS에 컨택하도록 전술한 단계에 대한 공격을 통한 것이다. 공격자는 브라우저를 요청 위치로 향하게 하는 대신에 사용자를 공격자에 의해 제어되는 IP 어드레스로 방향 재지정하도록 DNS 서버를 중독시킬 수 있다. 예를 들어, 사용자는 www.acmeinvestments.com에 대한 IP 어드레스 10.1.1.1 매핑이 판정되었다면 그 IP 어드레스로 방향 재지정될 수 있다.
또 다른 예로, 페이지를 불법 복제할 수 있는 한 방식은 DNS 룩업에 의해 명명된 IP 어드레스에 연결되도록 전술한 단계에 대한 공격을 통한 것이다. IP 어드레스 인계(take-over)는, 공격자가 웹 페이지 다운로드의 실제 타겟으로의 경로 상의 머신을 소유하는 루트 또는 중간자(man-in-the-middle) 공격을 방향 재지정함으로써 개시될 수 있다. 이 경우, 공격자는 프록시로서 기능할 수 있으며 사용자의 브라우저로부터 입력 및/또는 출력(I/O)을 제어 및 인터셉트할 수 있다.
또 다른 예로, 페이지를 불법 복제할 수 있는 한 방식은 페이지를 렌더링하고 동시에 적절한 경우 임의의 임베딩된 스크립트를 실행하도록 전술한 단계에 대한 공격을 통한 것이다. 공격자는, 전술한 공격들 중 어떠한 공격도 실행하지 못 할 수 있으며, 이에 따라 불법 복제된 웹 사이트의 외관을 위장하고, 사용자가 현재 브라우저 윈도우의 콘텐트에 기초하여 사용자 자신이 예상하고 있는 웹 사이트를 브라우징하고 있지 않음을 사용자에게 보여주는 증거를 숨김으로써, 공격자 자신이 사용자를 공격자 고유의 불법 복제된 웹 사이트로 방향 재지정하였다는 사실을 강제로 숨길 수 있다.
도 1은 본 발명의 일 실시예에 따라 컴퓨터 사기를 탐지하는 방법을 예시하 는 흐름도를 도시한다. 단계(102)는 후보 대상의 텍스트 버전 및 후보 대상의 그 래픽 렌더링을 얻는 것을 포함한다. 후보 대상은 메시지의 일부가 향하는 네트워크 어드레스 또는 인터넷 식별자(URI) 또는 URL이다. 후보 대상의 텍스트 버전은 예를 들어 ASCII 또는 Unicode와 같은 텍스트 표현(textual representation) 표준을 이용하는 대상의 렌더링이다. 그래픽 렌더링은, 예를 들어 gif, jpeg, 또는 tiff 포맷과 같은 이미지 포맷으로 된 후보 대상의 표현이다. 단계(104)는 후보 대상의 텍스트 버전 및 후보 대상의 그래픽 렌더링을 저장된 대상의 대응하는 텍스트 버전 및 저장된 대상의 대응하는 그래픽 렌더링과 각각 비교하는 것을 포함한다. 저장된 대상은 사기로부터 보호받아야 하며 컴퓨터의 리포지토리(repository)에서 유지되는 네트워크 어드레스, URI 또는 URL일 수 있다. 이러한 리포지토리는 텍스트 파일, 로컬 데이터베이스, XML 파일 등일 수 있다. 단계(106)는, 후보 대상의 그래픽 렌더링이 저장된 대상의 그래픽 렌더링과 실질적으로 유사한 한편 후보 대상의 텍스트 버전이 저장된 대상의 대응하는 텍스트 버전과 실질적으로 다르다면 사기 경고를 발생하는 것을 포함한다. 선택 사항으로, 도 1에 도시한 방법 은, 판정된 조직 모두가 리포지토리에서 대응하는 저장된 조직 아이덴티티 및 ID(identification)와 일치하고 저장된 조직이 리포지토리 데이터베이스에서 보다 유명한 것으로 순위화되어 있는 다른 조직과 실질적으로 유사하지 않으면 후보 대상 페이지를 클린으로 식별하는 단계(108)를 포함할 수도 있다. 도 1에 도시한 방법은, 선택 사항으로, 비주얼 큐가 조직과 일치할 수 없다면 후보 대상 페이지를 "미지의 기점"(unknown origin)으로 식별하는 단계(110)를 포함할 수도 있으며, 그렇지 않다면 후보 대상이 비주얼 URL과 일치하며 그 대상이 피싱 대상일 가능성이 작다.
도 2는 본 발명의 일 실시예에 따라 컴퓨터 사기를 탐지하는 예시적인 방법을 실행할 수 있는 예시적인 시스템을 나타내는 블록도를 도시한다. 시스템(200)은, 적어도 하나의 잘 알려져 있는 대상, IP 어드레스, URL 프레픽스 또는 패턴, 콘텐트 랜드마크(예를 들어, 로고), IP 어드레스 소유권 레코드를 포함할 수 있는 데이터베이스 또는 리포지토리(202)를 포함하는 컴포넌트들을 포함한다. 또한, 시스템(200)은 안티피싱 플러그인(224)과 브라우저(226)를 포함한다. 또한, 시스템(200)은 적절한 소프트웨어, 하드웨어, 또는 후술하는 방법의 단계들을 실행하도록 혼합된 하드웨어-소프트웨어 모듈을 포함한다.
단계(228)는 비주얼 분석 단계를 포함한다. 단계(228)는 URL 렌더링(204) 단계, URL 대상 추정(206) 단계, 콘텐트 랜드마크 추출(208) 단계, 콘텐트 기점 추정(210) 단계를 포함한다. 단계(230)는 물리적 분석을 포함한다. 단계(230)는 IP 어드레스 기점 테스트(212) 단계, DNS 네임 유사성 스코어링(214) 단계를 포함할 수 있다. 단계(216)는 비주얼-대-물리적 불일치 스코어를 생성하는 것을 포함한다. 단계(218)는 스코어 시각화(visualization)를 생성하는 것을 포함한다. 단계(220)는, 랜덤한 위치에 피싱 경고 팝업(222)을 생성하는 것을 포함할 수 있는 피싱 경고기 프로세스를 포함한다. 랜덤한 위치는 후보 대상에 연관된 브라우저 윈도우 외부에 있는 윈도우 및 상태 바 중 적어도 하나에서 사용자에게 디스플레이되는 비주얼 프롬프트를 통해 사기 경고 또는 피싱 경고 팝업(222)을 생성하는 것을 포함할 수 있고, 여기서 윈도우는 피셔에 의한 오버레이 공격을 방지하도록 브라우저와는 별개로 랜덤하게 배치된 윈도우에서 개방된다.
웹 사이트가 브라우저에서 완전히 렌더링될 때, 소프트웨어 에이전트는 브라우저 윈도우에 디스플레인된 정보의 스냅샷을 찍는다. 이 스냅샷은, 예를 들어, 이미지, 위치 URL, 디스플레이된 텍스트를 포함하는 소스 콘텐트를 포함한다. 소프트웨어 에이전트는 브라우저 내에서 렌더링된 이미지의 스크린샷도 찍는다.
본 발명의 일 양태는, 피싱 공격의 타겟으로 된 현존하는 알려져 있는 URL들의 데이터베이스, 및 소정의 협약을 이용하여 이러한 URL들의 그래픽 렌더링을 유지하는 것이다. 본 발명의 기술은 사용자가 체크를 개시하거나 다운로드되어 있는 각 웹 페이지 상에서 다음에 따르는 단계들을 실행한다. 이 기술은, 후보 대상의 텍스트 버전 및 후보 대상의 그래픽 렌더링을 얻는 단계와, 후보 대상의 텍스트 버전 및 후보 대상의 그래픽 렌더링을 저장된 대상의 대응하는 텍스트 버전 및 저장된 대상의 대응하는 그래픽 렌더링과 각각 비교하는 단계와, 후보 대상의 텍스트 버전이 저장된 대상의 대응하는 텍스트 버전과 실질적으로 다른 한편 후보 대상의 그래픽 렌더링이 저장된 대상의 그래픽 렌더링과 실질적으로 유사하면 사기 경고를 발생하는 단계를 포함한다.
본 발명의 일 실시예에서, 후보 대상 및 저장된 대상은 URL로서 표현된다. 본 발명의 기술은 후보 대상에 연관된 웹 페이지가 로딩되면 자동 실행될 수 있다. 또한, 본 발명의 기술은 피셔에 의한 오버레이 공격을 방지하기 위해 후보 대상에 연관된 브라우저 윈도우 외부에 있는 윈도우 또는 상태 바에서 사용자에게 보이는 테스트 피싱 버튼을 사용함으로써 실행될 수 있다. 본 발명의 다른 양태에서, 후보 대상의 텍스트 버전 및 후보 대상의 그래픽 렌더링을 저장된 대상의 대응하는 텍스트 버전 및 저장된 대상의 대응하는 그래픽 렌더링과 각각 비교하는 단계는, 후보 대상과 저장된 대상의 서브세트에 대하여 수행되고, 여기서 서브세트는 예를 들어 URL의 프레픽스 및/또는 서픽스를 포함할 수 있다.
본 발명의 일 양태에서, 본 발명의 기술은 웹 페이지가 브라우저를 통해 다운로드될 수 있게 한다. 페이지의 onLoad() Java 및 기타 스크립트가 실시되기 전에 그 페이지를 성공적으로 다운로드하게 되면, 안티피싱 플러그인(224)이 브라우저 위치 필드에 저장되어 있는 URL을 추출하게 된다. 플러그인(224)은 페이지가 완전히 렌더링될 수 있게 하며 브라우저 윈도우의 스냅샷 이미지를 찍음으로써 가시적 브라우저 위치를 추출한다. 스냅샷 기능을 이용하는 것이 바람직하며, 그 이유는 피싱 웹 사이트가 브라우저 툴바를 비활성화(disable)하고 자신의 고유한 툴바(예를 들어, Javascript 버전)를 사용자에게 제시하는 공격이 알려져 있기 때문이다.
플러그인(224)은 후보 대상에 연관된 브라우저 툴바의 이미지 맵을 판독하고, 문자 인식을 위한 광학 문자 인식(OCR) 알고리즘을 이용함으로써 이미지 맵의 문자 표현을 판정한다. 본 발명의 일 양태에서, 본 발명의 기술은 문자 표현을 분석(parsing)하는 것을 포함하고, 모든 문자들을 소문자화함으로써 문자 표현을 정규화하는 것도 포함한다. 또한, 본 발명의 기술은, 리포지토리(202) 또는 데이터베이스의 탐색을 통해 잘 알려져 있는 대상 URL을 포함하는 리포지토리(202)에서 알려져 있는 광학적 유사성 및 ID에 기초하여 문자 순열 및 치환을 통해 후보 대상의 다양한 파생 버전(derivative version)을 생성하는 것을 포함할 수 있다. 본 발명의 기술은 잘 알려져 있는 대상과 후보 대상의 버전 사이의 임의의 일치를 기록한다.
플러그인(224)은 후보 대상에 연관된 웹 페이지의 스냅샷을 찍고, 전체 렌더링된 이미지에 대하여 OCR를 실행하며, 인식한 단어들을 어레이 내에 저장한다. 플러그인(224)은 이러한 액션들을 수행하는데, 그 이유는 피셔들이 자동화 테스트에 의한 인식을 피하기 위해 플레인 텍스트에 대한 그래픽 요소들을 대체할 수 있기 때문이다.
본 발명의 다른 양태에서, 본 발명의 기술은 어레이 내부에서 후보 대상에 연관된 웹 페이지의 텍스트만을 판독한다. 또한, 알고리즘은 단어 히스토그램을 추출함으로써 웹 페이지의 단어 분포 서명(word-distribution signature)을 연산한다. 이러한 본 발명의 기술은, 추출된 단어 히스토그램을 데이터베이스 또는 리포지토리에 기록되어 있는 잘 알려져 있는 대상 웹 페이지의 히스토그램과 비교하고, 추출된 단어 히스토그램과 잘 알려져 있는 대상 웹 페이지의 히스토그램 사이의 임의의 일치를 기록하며, 그 일치를 단어 히스토그램에서의 퍼센트 오버랩(percentage overlap)에 의해 정렬한다. 본 발명의 또 다른 양태에서, 본 발명의 기술은 텍스트 분석을 기초로 하는 콘텐트 오버랩에 있어서 가장 근접하는 일치에 기초하여 추정된 소스를 추출하고, 그 소스를 후보 대상에 대한 잠재적 기점으로서 기록한다.
후보 웹 페이지가 이미지를 포함하면, 본 발명의 기술은 그 이미지를 공통 그래픽 포맷(예를 들어, 그래픽 인터체인지 포맷(GIF))으로 변환하고, 이미지에 대한 이미지 핑거프린트를 생성하고, 이미지 핑거프린트를 잘 알려져 있는 로고의 서명과 비교하고, 이미지 핑거프린트와 잘 알려져 있는 로고의 서명 사이의 임의의 일치를 기록할 수 있다. 바람직하게, 데이터베이스 또는 리포지토리에 있는 로고 핑거프린트는, 픽셀화 효과(pixelizatlon effect)가 로고 ID를 방해하지 않도록 서로 다른 다양한 해상도로 렌더링된 동일한 기업 로고의 핑거프린트를 포함한다.
플러그인(224)은 후보 대상에 의해 매핑되는 유효 IP 어드레스를 판정한다. 본 발명의 기술은, 예를 들어 "whois"와 같은 이차 데이터베이스를 이용함으로써 또는 유효 IP 어드레스의 리포지토리(202)로부터 그 어드레스에 대한 이펙트 소유 조직(effecting owning organization)을 판정한다. whois 서비스는, 1985년 Harrenstein 등에 의한 Internet Request for Comments 954에 기재되어 있으며, URL http.//www.rfc-archive.org/getrfc.php?rfc=954에서 이용 가능하며, 인터넷에 널리 배포되어 있다. 본 발명의 또 다른 양태에서, 본 발명의 기술은, 예를 들어, 위치 윈도우를 오버플로우하는 롱 스트링, 피싱 가능성이 높은 위치, 또는 잘 알려져 있는 URL 네임에 대한 작은 변화와 같이 통상적인 피싱 공격 사인에 대하여 후보 대상을 체크한다. 또한, 본 발명의 기술은 후보 대상에서 식별되는 DNS 도메인의 소유권을 판정한다.
본 발명의 또 다른 양태에서, 본 발명의 기술은 후보 대상에 대한 피싱 스코어를 연산한다. 이 기술은, 판정한 조직 모두가 리포지토리(202)에서 대응하는 저장된 조직 아이덴티티 및/또는 ID와 일치하고 저장된 조직이 리포지토리 데이터베이스(202)에서 보다 유명한 것으로 순위화되어 있는 다른 조직과 매우 유사하지 않다면, 후보 대상 페이지를 클린으로 식별한다.
본 발명의 또 다른 양태에서, 후보 대상 페이지가 충돌되는 비주얼 큐(예를 들어, ID = X) 및 물리적 조직(ID = Y)을 갖고 있다면, 본 발명의 기술은 사용자에게 잠재적 피싱을 경고하고 비주얼 큐 체크의 결과와 물리적 역추적(trace back)의 결과를 보여주는 윈도우(222)를 생성한다. 본 발명의 기술은, 후보 대상에 연관된 브라우저 윈도우 외부에 있는 윈도우 및 상태 바 중 적어도 하나에서 사용자에게 디스플레이되는 비주얼 프롬프트를 통해 사기 경고(222)를 발생한다. 윈도우(222)는 피서에 의한 오버레이 공격을 방지하도록 브라우저와는 별도로 랜덤하게 위치하는 윈도우에서 개방된다.
본 발명의 또 다른 양태에서, 본 발명의 기술은 비주얼 큐가 조직과 일치할 수 없다면 후보 대상 페이지를 "미지의 기점"으로 식별하고, 그렇지 않다면 후보 대상이 비주얼 URL과 일치하며 그 대상이 피싱 대상일 가능성이 작다. 또한, 본 발명의 기술은 페이지의 비주얼 큐가 잘 알려져 있는 타겟에 매핑되면 후보 대상 페이지를 안전한 것으로 식별하고, 물리적 조직 판정에서는 동일한 조직 ID를 얻었다.
본 발명의 또 다른 양태에서, 본 발명의 기술은, 브라우저 툴바에 있는 후보 대상 URL의 위치를 판정한다. 사용자는 브라우저 윈도우에 관하여 URL 디스플레이에 대한 위치를 확립하기 위해 소프트웨어 에이전트와 협력할 수 있다. 소프트웨어 에이전트는 ADDRESS 바의 위치를 파악하기 위해 OCR 소프트웨어를 포함할 수 있다. 또한, 소프트웨어 에이전트는 브라우저를 브라우저 툴바에서 전체 위치 윈도우를 채우는 별도의 URL들의 리스트로 방향 재지정하게 하는 테스트 슈트(test suite)를 포함할 수 있다. 이러한 별도의 URL에서 디스플레이되는 콘텐트는 동일하여 URL만이 전체 브라우저 윈도우를 변경하게 된다. 테스트받는 URL들의 세트에 있는 모든 글자들과 지역 문자 코드들의 조합을 이용함으로써, 텍스트의 정확한 높이를 판정할 수 있다. 이 테스트는 브라우저의 재시작 때마다 자동화될 수 있다. 에이전트는, 현재의 브라우저 위치를 캡쳐하고 URL 위치 테스트를 실행하고, 브라우저 윈도우의 크기 조절 때마다 초기 브라우저 위치를 저장하는 브라우저 플러그인으로서 설치될 수 있다.
본 발명의 또 다른 양태에서, 본 발명의 기술은 웹 브라우저 내에서 또는 이메일 클라이언트 내에서 소프트웨어 에이전트에 의해 수행될 수 있다.
도 3은 본 발명의 일 실시예에 따라 컴퓨터 사기로부터 보호받을 대상들의 데이터베이스를 생성하는 방법을 나타내는 흐름도를 도시한다. 단계(302)는 보호 받을 대상들의 적어도 하나의 카테고리를 생성하는 단계를 포함한다. 단계(304)는 적어도 하나의 카테고리에 속하는 대상들의 적어도 하나의 리스트를 검색하는 단계를 포함한다. 본 발명의 일 양태에서, 적어도 하나의 카테고리에 속하는 대상들의 적어도 하나의 리스트를 검색하는 단계는, 대상들의 제1 리스트와 대상들의 제2 리스트를 얻는 단계와, 대상들의 제1 리스트와 대상들의 제2 리스트를 병합하는 단계를 포함할 수 있다. 본 발명의 다른 양태에서, 적어도 하나의 카테고리에 속하는 대상들의 적어도 하나의 리스트를 검색하는 단계는, 인터넷 탐색 엔진과 인터넷 인덱싱 서비스 중 적어도 하나에 액세스하는 단계를 포함할 수 있다.
전용 하드웨어, 범용 프로세서, 펌웨어, 소프트웨어, 또는 이들의 조합을 활용하는 다양한 기술들을 채용하여 본 발명을 구현할 수 있다. 본 발명의 적어도 일 실시예는 기재된 방법의 단계들을 수행하기 위한 컴퓨터 사용 가능 프로그램 코드를 갖는 컴퓨터 사용 가능 매체를 포함하는 컴퓨터 제조품의 형태로 구현될 수 있다. 게다가, 본 발명의 적어도 일 실시예는, 메모리와 메모리에 연결되어 예시적인 방법의 단계들을 수행하도록 동작 가능한 적어도 하나의 프로세서를 포함하는 장치의 형태로 구현될 수 있다.
현재, 바람직한 구현예는 실질적으로 범용 컴퓨터나 워크스테이션에서 실행되는 소프트웨어를 이용한다고 여겨지고 있다. 도 4를 참조해 보면, 예를 들어, 구현예는 프로세서(402), 메모리(404), 디스플레이(406)와 키보드(408)에 의해 형성되는 입력 및/또는 출력 인터페이스를 채용할 수 있다. 본 명세서에서 사용되는 바와 같이 "프로세서"라는 용어는, 예를 들어, CPU(중앙 처리 유닛) 및/또는 다른 형태의 처리 회로를 포함하는 처리 장치와 같은 임의의 처리 장치를 포함하려는 것이다. 게다가, "프로세서"라는 용어는 하나보다 많은 개별적인 프로세서를 가리킬 수 있다. "메모리"라는 용어는, 예를 들어, RAM, ROM, 고정된 메모리 장치(예를 들어, 하드 드라이브), 분리 가능 메모리 장치(예를 들어, 디스켓), 플래시 메모리 등과 같이 프로세서 또는 CPU에 연관된 메모리를 포함하려는 것이다. 또한, 본 명 세서에서 사용되는 바와 같이 "입력 및/또는 출력 인터페이스'라는 구는, 예를 들어, 데이터를 처리 유닛에 입력하기 위한 하나 이상의 메커니즘(예를 들어, 마우스)과, 처리 유닛에 연관된 결과를 제공하기 위한 하나 이상의 메커니즘(예를 들 어, 프린터)을 포함하려는 것이다. 프로세서(402), 메모리(404), 디스플레이(406)와 키보드(408)와 같은 입력 및/또는 출력 인터페이스는, 예를 들어, 데이터 처리 유닛(412)의 일부로서 버스(410)를 통해 상호연결될 수 있다. 예를 들어, 버스(410)를 통한 적절한 상호 연결부는, 컴퓨터 네트워크와 인터페이싱하도록 제공 될 수 있는 네트워크 카드와 같은 네트워크 인터페이스(414)에 제공될 수도 있으 며, 매체(418)와 인터페이싱하도록 제공될 수 있는 디스켓이나 CD-ROM 드라이브와 같은 매체 인터페이스(416)에 제공될 수도 있다.
이에 따라, 본 명세서에서 설명하는 바와 같이 본 발명의 방법론을 수행하기 위한 명령어나 코드를 포함하는 컴퓨터 소프트웨어는, 연관된 메모리 장치들(예를 들어, ROM, 고정된 메모리 또는 분리 가능 메모리) 중 하나 이상에 저장될 수 있으 며, 활용될 준비가 된 경우, (예를 들어 RAM 내로) 부분적으로 또는 모두 로딩되어 CPU에 의해 실행된다. 이러한 소프트웨어는, 펌웨어, 상주 소프트웨어, 마이크로 코드 등을 포함할 수 있지만, 이러한 예로 한정되지는 않는다.
게다가, 본 발명은, 컴퓨터가 사용하거나 컴퓨터 또는 임의의 명령어 실행 시스템과 관련된 프로그램 코드를 제공하는 컴퓨터 사용 가능 매체나 컴퓨터 판독 가능 매체(예를 들어, 매체(418))로부터 액세스 가능한 컴퓨터 프로그램 제조품의 형태를 취할 수 있다. 본 발명의 설명을 위해, 컴퓨터 사용 가능 매체 또는 컴퓨터 판독 가능 매체는 명령어 실행 시스템, 장치, 디바이스에 의해 사용되거나 이들과 관련된 임의의 장치일 수 있다.
매체는, 전자 시스템, 자기 시스템, 광학 시스템, 전자기 시스템, 적외선 시스템, 또는 반도체 시스템(또는 장치 또는 디바이스) 또는 전파 매체일 수 있다. 컴퓨터 판독 가능 매체의 예로는, 반도체나 고상 메모리(예를 들어, 메모리(404)), 자기 테이프, 분리 가능 컴퓨터 디스켓(예를 들어, 매체(418)), RAM, ROM, 강성 자기 디스크, 광 디스크가 있다. 광 디스크의 현재 예로는, CD-ROM, CD-R/W, DVD가 있다.
프로그램 코드를 저장하고 그리고/또는 실행하는 데 적합한 데이터 처리 시스템은, 시스템 버스(410)를 통해 메모리 요소(404)들에 직접 또는 간접적으로 결합된 적어도 하나의 프로세서(402)를 포함한다. 메모리 요소들은, 프로그램 코드의 실제 실행 동안 채용되는 로컬 메모리, 벌크 저장소, 및 실행 동안 벌크 저장소로부터 코드가 검색되어야 하는 횟수를 줄이기 위해 적어도 일부 프로그램 코드의 일시 저장소를 제공하는 캐시 메모리를 포함할 수 있다.
(키보드(408), 디스플레이(406), 포인팅 디바이스 등을 포함하지만, 이러한 예로 한정되지는 않는) 입력 및/또는 출력 즉 I/O 디바이스는, (예를 들어 버 스(410)를 통해) 직접적으로 또는 중재 I/O 컨트롤러(편의상 생략)를 통해 시스템에 결합될 수 있다.
네트워크 인터페이스(414)와 같은 네트워크 아답터도, 데이터 처리 시스템이 중재 사설 네트워크 또는 공중 네트워크를 통해 다른 데이터 처리 시스템 또는 원격 프린터 또는 저장 디바이스에 결합될 수 있도록 시스템에 결합될 수 있다. 모뎀, 케이블 모뎀, 이더넷 카드는 현재 이용 가능한 네트워크 아답터의 유형들 중 일부 예일 뿐이다.
어떠한 경우든, 본 명세서에서 예시한 컴포넌트들은 하드웨어, 소프트웨어, 또는 이들 조합의 다양한 형태로, 예를 들어, 주문형 반도체(ASIC), 기능 회로, 연관된 메모리를 갖춘 적절하게 프로그래밍된 하나 이상의 범용 디지털 컴퓨터 등의 형태로 구현될 수 있다는 점을 이해해야 한다. 본 발명의 교시에 따라, 당업자라면 본 발명의 컴포넌트들의 다른 구현예를 고려할 수 있다.
첨부 도면을 참조하여 본 발명의 예시적인 실시 예들을 설명하였지만, 본 발명이 이러한 실시예로 한정되지 않으며 본 발명의 사상이나 범위로부터 벗어나지 않고서 당업자에 의해 다양한 변경 및 수정을 행할 수 있다는 점을 이해해야 한다.

Claims (10)

  1. 컴퓨터 사기를 탐지하는 방법으로서,
    후보 대상의 텍스트 버전 및 상기 후보 대상의 그래픽 렌더링을 얻는 단계와,
    상기 후보 대상의 상기 텍스트 버전 및 상기 후보 대상의 상기 그래픽 렌더링을 저장된 대상의 대응하는 텍스트 버전 및 상기 저장된 대상의 대응하는 그래픽 렌더링과 각각 비교하는 단계와,
    상기 후보 대상의 상기 텍스트 버전이 상기 저장된 대상의 상기 대응하는 텍스트 버전과 실질적으로 다른 한편 상기 후보 대상의 상기 그래픽 렌더링이 상기 저장된 대상의 상기 그래픽 렌더링과 실질적으로 유사하면 사기 경고를 발생하는 단계를 포함하는 컴퓨터 사기 탐지 방법.
  2. 제 1 항에 있어서,
    상기 후보 대상과 상기 저장된 대상은 URL(uniform resource locator)로서 표현되는 컴퓨터 사기 탐지 방법.
  3. 제 1 항에 있어서,
    상기 단계들은 상기 후보 대상에 연관된 웹 페이지가 로딩되면 자동 실행되는 컴퓨터 사기 탐지 방법.
  4. 제 1 항에 있어서,
    상기 단계들은, 상기 후보 대상에 연관된 브라우저 윈도우 외부에 있는 윈도우 및 상태 바 중 적어도 하나에서 사용자에게 보여지는 버튼을 사용함으로써 실행되는 컴퓨터 사기 탐지 방법.
  5. 제 1 항에 있어서,
    판정된 조직 모두가 대응하는 저장된 조직과 일치하고 상기 저장된 조직이 데이터베이스에서 보다 유명한 것으로 순위화되어 있는 다른 조직과 실질적으로 유사하지 않으면, 상기 후보 대상을 클린(clean)으로 식별하는 단계를 더 포함하는 컴퓨터 사기 탐지 방법.
  6. 제 1 항에 있어서,
    비주얼 큐가 조직과 일치될 수 없다면 상기 후보 대상을 미지의 기점(unknown origin)으로서 식별하는 단계를 더 포함하고, 그렇지 않다면 상기 후보 대상이 비주얼 URL과 일치하며 상기 후보 대상이 피싱 대상일 가능성이 작은 컴퓨터 사기 탐지 방법.
  7. 컴퓨터 사기로부터 보호받을 대상들의 데이터베이스를 자동 생성하는 방법으로서,
    보호받을 대상들의 적어도 하나의 카테고리를 생성하는 단계와,
    상기 적어도 하나의 카테고리에 속하는 대상들의 적어도 하나의 리스트를 검색하는 단계를 포함하는, 대상들의 데이터베이스 자동 생성 방법.
  8. 컴퓨터 사기를 탐지하는 장치로서,
    메모리와,
    상기 메모리에 결합된 적어도 하나의 프로세서를 포함하되,
    상기 프로세서는,
    후보 대상의 텍스트 버전 및 상기 후보 대상의 그래픽 렌더링을 얻는 단계와,
    상기 후보 대상의 상기 텍스트 버전 및 상기 후보 대상의 상기 그래픽 렌더 링을 저장된 대상의 대응하는 텍스트 버전 및 상기 저장된 대상의 대응하는 그래픽 렌더링과 각각 비교하는 단계와,
    상기 후보 대상의 상기 텍스트 버전이 상기 저장된 대상의 상기 대응하는 텍스트 버전과 실질적으로 다른 한편 상기 후보 대상의 상기 그래픽 렌더링이 상기 저장된 대상의 상기 그래픽 렌더링과 실질적으로 유사하면 사기 경고를 발생하는 단계를 수행하도록 동작 가능한, 컴퓨터 사기 탐지 장치.
  9. 컴퓨터 사기를 탐지하기 위한 컴퓨터 사용 가능 프로그램 코드를 갖는 컴퓨터 사용 가능 매체를 포함하는 컴퓨터 프로그램 제조품으로서,
    상기 컴퓨터 프로그램 제조품은,
    후보 대상의 텍스트 버전 및 상기 후보 대상의 그래픽 렌더링을 얻기 위한 컴퓨터 사용 가능 프로그램 코드와,
    상기 후보 대상의 상기 텍스트 버전 및 상기 후보 대상의 상기 그래픽 렌더링을 저장된 대상의 대응하는 텍스트 버전 및 상기 저장된 대상의 대응하는 그래픽 렌더링과 각각 비교하기 위한 컴퓨터 사용 가능 프로그램 코드와,
    상기 후보 대상의 상기 텍스트 버전이 상기 저장된 대상의 상기 대응하는 텍스트 버전과 실질적으로 다른 한편 상기 후보 대상의 상기 그래픽 렌더링이 상기 저장된 대상의 상기 그래픽 렌더링과 실질적으로 유사하면 사기 경고를 발생하기 위한 컴퓨터 사용 가능 프로그램 코드를 포함하는 컴퓨터 프로그램 제조품.
  10. 컴퓨터 사기로부터 보호받을 대상들의 데이터베이스를 자동 생성하기 위한 컴퓨터 사용 가능 프로그램 코드를 갖는 컴퓨터 사용 가능 매체를 포함하는 컴퓨터 프로그램 제조품으로서,
    상기 컴퓨터 프로그램 제조품은,
    보호받을 대상들의 적어도 하나의 카테고리를 생성하기 위한 컴퓨터 사용 가능 프로그램 코드와,
    상기 적어도 하나의 카테고리에 속하는 대상들의 적어도 하나의 리스트를 검색하기 위한 컴퓨터 사용 가능 프로그램 코드를 포함하는 컴퓨터 프로그램 제조품.
KR1020097010657A 2007-01-16 2007-12-12 컴퓨터 사기를 탐지하는 방법 및 장치 KR20090108000A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/623,516 US9521161B2 (en) 2007-01-16 2007-01-16 Method and apparatus for detecting computer fraud
US11/623,516 2007-01-16
PCT/EP2007/063845 WO2008086924A1 (en) 2007-01-16 2007-12-12 Method and apparatus for detecting computer fraud

Publications (1)

Publication Number Publication Date
KR20090108000A true KR20090108000A (ko) 2009-10-14

Family

ID=39345456

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097010657A KR20090108000A (ko) 2007-01-16 2007-12-12 컴퓨터 사기를 탐지하는 방법 및 장치

Country Status (11)

Country Link
US (2) US9521161B2 (ko)
EP (1) EP2104901B1 (ko)
JP (1) JP2010516007A (ko)
KR (1) KR20090108000A (ko)
AT (1) ATE497620T1 (ko)
BR (1) BRPI0720343B1 (ko)
CA (1) CA2673322C (ko)
DE (1) DE602007012369D1 (ko)
ES (1) ES2359466T3 (ko)
IL (1) IL200487A (ko)
WO (1) WO2008086924A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150041089A (ko) * 2012-08-06 2015-04-15 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 브라우저 공격에 대한 방어

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US8220047B1 (en) 2006-08-09 2012-07-10 Google Inc. Anti-phishing system and method
US7725585B2 (en) * 2006-08-31 2010-05-25 Red Hat, Inc. Methods and systems for alerting a user interface with full destination information
US20080162449A1 (en) * 2006-12-28 2008-07-03 Chen Chao-Yu Dynamic page similarity measurement
US7958555B1 (en) * 2007-09-28 2011-06-07 Trend Micro Incorporated Protecting computer users from online frauds
US8315951B2 (en) * 2007-11-01 2012-11-20 Alcatel Lucent Identity verification for secure e-commerce transactions
US9325731B2 (en) * 2008-03-05 2016-04-26 Facebook, Inc. Identification of and countermeasures against forged websites
US8850569B1 (en) * 2008-04-15 2014-09-30 Trend Micro, Inc. Instant messaging malware protection
US8307431B2 (en) * 2008-05-30 2012-11-06 At&T Intellectual Property I, L.P. Method and apparatus for identifying phishing websites in network traffic using generated regular expressions
GB0813668D0 (en) * 2008-07-25 2008-09-03 Ixico Ltd Image data fraud detection systems
GB2462456A (en) * 2008-08-08 2010-02-10 Anastasios Bitsios A method of determining whether a website is a phishing website, and apparatus for the same
US8346754B2 (en) * 2008-08-19 2013-01-01 Yahoo! Inc. Generating succinct titles for web URLs
US8255997B2 (en) * 2008-09-29 2012-08-28 At&T Intellectual Property I, L.P. Contextual alert of an invasion of a computer system
US8904540B1 (en) * 2008-12-17 2014-12-02 Symantec Corporation Method and apparatus for evaluating hygiene of a computer
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US9027100B2 (en) * 2010-01-05 2015-05-05 Yahoo! Inc. Client-side ad caching for lower ad serving latency
US8566950B1 (en) * 2010-02-15 2013-10-22 Symantec Corporation Method and apparatus for detecting potentially misleading visual representation objects to secure a computer
CN102457500B (zh) * 2010-10-22 2015-01-07 北京神州绿盟信息安全科技股份有限公司 一种网站扫描设备和方法
US9122870B2 (en) * 2011-09-21 2015-09-01 SunStone Information Defense Inc. Methods and apparatus for validating communications in an open architecture system
AU2012312319B2 (en) * 2011-09-21 2016-03-31 Sunstone Information Defense, Inc Methods and apparatus for validating communications in an open architecture system
US8700913B1 (en) * 2011-09-23 2014-04-15 Trend Micro Incorporated Detection of fake antivirus in computers
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US9432401B2 (en) 2012-07-06 2016-08-30 Microsoft Technology Licensing, Llc Providing consistent security information
EP2880619A1 (en) 2012-08-02 2015-06-10 The 41st Parameter, Inc. Systems and methods for accessing records via derivative locators
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US9215242B2 (en) * 2012-12-19 2015-12-15 Dropbox, Inc. Methods and systems for preventing unauthorized acquisition of user information
JP5760057B2 (ja) * 2013-03-04 2015-08-05 株式会社オプティム セキュリティサーバ、ユーザ端末、ウェブページ鑑定方法、セキュリティサーバ用プログラム
US11386181B2 (en) * 2013-03-15 2022-07-12 Webroot, Inc. Detecting a change to the content of information displayed to a user of a website
US20150067853A1 (en) * 2013-08-27 2015-03-05 Georgia Tech Research Corporation Systems and methods for detecting malicious mobile webpages
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
WO2015098253A1 (ja) * 2013-12-26 2015-07-02 株式会社ニコン 電子機器
EP3195171B1 (en) * 2014-07-31 2019-11-06 Namogoo Technologies Ltd. Detecting and removing injected elements from content interfaces
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
US9473531B2 (en) * 2014-11-17 2016-10-18 International Business Machines Corporation Endpoint traffic profiling for early detection of malware spread
US11023117B2 (en) * 2015-01-07 2021-06-01 Byron Burpulis System and method for monitoring variations in a target web page
RU2622626C2 (ru) * 2015-09-30 2017-06-16 Акционерное общество "Лаборатория Касперского" Система и способ обнаружения фишинговых сценариев
US9954877B2 (en) * 2015-12-21 2018-04-24 Ebay Inc. Automatic detection of hidden link mismatches with spoofed metadata
GB201605004D0 (en) * 2016-03-24 2016-05-11 Secr Defence A method of protecting a user from messages with links to malicious websites
US10097580B2 (en) 2016-04-12 2018-10-09 Microsoft Technology Licensing, Llc Using web search engines to correct domain names used for social engineering
US10193923B2 (en) * 2016-07-20 2019-01-29 Duo Security, Inc. Methods for preventing cyber intrusions and phishing activity
JP6754971B2 (ja) * 2016-10-07 2020-09-16 国立研究開発法人産業技術総合研究所 偽ウェブページ判別装置、偽ウェブページ判別システム、偽ウェブページ判別方法及び偽ウェブページ判別プログラム
JP6533823B2 (ja) * 2017-05-08 2019-06-19 デジタルア−ツ株式会社 情報処理装置、情報処理システム、プログラム、記録媒体及び情報処理方法
US20190019058A1 (en) * 2017-07-13 2019-01-17 Endgame, Inc. System and method for detecting homoglyph attacks with a siamese convolutional neural network
US10601866B2 (en) 2017-08-23 2020-03-24 International Business Machines Corporation Discovering website phishing attacks
WO2019089418A1 (en) * 2017-10-31 2019-05-09 Wood Michael C Computer security system and method based on user-intended final destination
US10943067B1 (en) * 2018-04-25 2021-03-09 Amazon Technologies, Inc. Defeating homograph attacks using text recognition
US10289836B1 (en) * 2018-05-18 2019-05-14 Securitymetrics, Inc. Webpage integrity monitoring
US11843633B2 (en) 2018-07-25 2023-12-12 Nippon Telegraph And Telephone Corporation Analysis device, analysis method, and analysis program
US10984274B2 (en) * 2018-08-24 2021-04-20 Seagate Technology Llc Detecting hidden encoding using optical character recognition
KR20200034020A (ko) 2018-09-12 2020-03-31 삼성전자주식회사 전자 장치 및 그의 제어 방법
US10885373B2 (en) * 2018-12-28 2021-01-05 Citrix Systems, Inc. Systems and methods for Unicode homograph anti-spoofing using optical character recognition
US11368477B2 (en) * 2019-05-13 2022-06-21 Securitymetrics, Inc. Webpage integrity monitoring
US10755095B1 (en) * 2020-01-02 2020-08-25 Capital One Services, Llc System for scanning solicitations for fraud detection
US11637863B2 (en) * 2020-04-03 2023-04-25 Paypal, Inc. Detection of user interface imitation
US11985133B1 (en) * 2020-04-28 2024-05-14 Equinix, Inc. Gating access to destinations on a network
US20220191177A1 (en) * 2020-12-10 2022-06-16 Kalibro Technologies Ltd. System and method for securing messages
US11882152B2 (en) 2021-07-30 2024-01-23 Bank Of America Corporation Information security system and method for phishing website identification based on image hashing
CN113923011B (zh) * 2021-09-30 2023-10-17 北京恒安嘉新安全技术有限公司 一种网络诈骗的预警方法、装置、计算机设备及存储介质
US20230188563A1 (en) * 2021-12-09 2023-06-15 Blackberry Limited Identifying a phishing attempt

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4468809A (en) 1981-12-23 1984-08-28 Ncr Corporation Multiple font OCR reader
AU2001240844A1 (en) 2000-03-14 2001-09-24 Speed-Trap.Com Ltd. Monitoring operation of and interaction with services provided over a network
US6813645B1 (en) 2000-05-24 2004-11-02 Hewlett-Packard Development Company, L.P. System and method for determining a customer associated with a range of IP addresses by employing a configurable rule engine with IP address range matching
US20020143814A1 (en) 2001-03-27 2002-10-03 The Code Corporation Systems and methods for automatic insertion of machine-readable graphical codes into printable documents
US20040071333A1 (en) 2002-10-15 2004-04-15 Electronic Imaging Systems Corporation System and method for detecting cheque fraud
US7624110B2 (en) 2002-12-13 2009-11-24 Symantec Corporation Method, system, and computer program product for security within a global computer network
WO2006018647A1 (en) 2004-08-20 2006-02-23 Rhoderick John Kennedy Pugh Server authentication
WO2006026921A2 (en) 2004-09-07 2006-03-16 Metaswarm (Hongkong) Ltd. System and method to detect phishing and verify electronic advertising
US20060080735A1 (en) * 2004-09-30 2006-04-13 Usa Revco, Llc Methods and systems for phishing detection and notification
ATE548841T1 (de) 2005-01-14 2012-03-15 Bae Systems Plc Netzwerkbasiertes sicherheitssystem
JP2006221242A (ja) 2005-02-08 2006-08-24 Fujitsu Ltd 認証情報詐取防止システム、プログラム及び方法
US20060282383A1 (en) * 2005-06-09 2006-12-14 Ncr Corporation Payment methods and systems enhanced with image comparison for detecting fraudulent checks
US20070068402A1 (en) 2005-09-26 2007-03-29 Pitney Bowes Incorporated Method and apparatus for printing images having fraud detection features
US8763113B2 (en) 2005-11-28 2014-06-24 Threatmetrix Pty Ltd Method and system for processing a stream of information from a computer network using node based reputation characteristics
US20070136213A1 (en) * 2005-12-08 2007-06-14 Pitney Bowes Incorporated Inline system to detect and show proof of indicia fraud
DE602006014726D1 (de) 2005-12-23 2010-07-15 Ibm Verfahren für netzwerkadressenevaluierung und zugriff
US20080046738A1 (en) * 2006-08-04 2008-02-21 Yahoo! Inc. Anti-phishing agent
US20080162449A1 (en) * 2006-12-28 2008-07-03 Chen Chao-Yu Dynamic page similarity measurement
US7882177B2 (en) * 2007-08-06 2011-02-01 Yahoo! Inc. Employing pixel density to detect a spam image
US8189924B2 (en) * 2008-10-15 2012-05-29 Yahoo! Inc. Phishing abuse recognition in web pages
US8448245B2 (en) * 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150041089A (ko) * 2012-08-06 2015-04-15 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 브라우저 공격에 대한 방어
US9306973B2 (en) 2012-08-06 2016-04-05 Empire Technology Development Llc Defending against browser attacks

Also Published As

Publication number Publication date
JP2010516007A (ja) 2010-05-13
US20120304295A1 (en) 2012-11-29
WO2008086924A1 (en) 2008-07-24
CA2673322C (en) 2017-04-11
EP2104901A1 (en) 2009-09-30
ES2359466T3 (es) 2011-05-23
US20080172741A1 (en) 2008-07-17
CA2673322A1 (en) 2008-07-24
IL200487A0 (en) 2010-04-29
EP2104901B1 (en) 2011-02-02
BRPI0720343B1 (pt) 2019-05-28
BRPI0720343A2 (pt) 2018-12-04
ATE497620T1 (de) 2011-02-15
IL200487A (en) 2013-05-30
US9083735B2 (en) 2015-07-14
DE602007012369D1 (de) 2011-03-17
US9521161B2 (en) 2016-12-13

Similar Documents

Publication Publication Date Title
CA2673322C (en) Method and apparatus for detecting computer fraud
US8943588B1 (en) Detecting unauthorized websites
Jain et al. Two-level authentication approach to protect from phishing attacks in real time
US9614862B2 (en) System and method for webpage analysis
US9602520B2 (en) Preventing URL confusion attacks
Dunlop et al. Goldphish: Using images for content-based phishing analysis
Alkhozae et al. Phishing websites detection based on phishing characteristics in the webpage source code
US11580760B2 (en) Visual domain detection systems and methods
Suzuki et al. ShamFinder: An automated framework for detecting IDN homographs
KR101001132B1 (ko) 웹 어플리케이션의 취약성 판단 방법 및 시스템
US20080172738A1 (en) Method for Detecting and Remediating Misleading Hyperlinks
TW200912682A (en) Method and apparatus for preventing web page attacks
CN103209177B (zh) 网络钓鱼攻击的检测方法和装置
Deshpande et al. Detection of phishing websites using Machine Learning
CN111556036A (zh) 一种网络钓鱼攻击的检测方法、装置及设备
Geng et al. Favicon-a clue to phishing sites detection
Samarasinghe et al. On cloaking behaviors of malicious websites
JP2012088803A (ja) 悪性ウェブコード判別システム、悪性ウェブコード判別方法および悪性ウェブコード判別用プログラム
Piredda et al. Deepsquatting: Learning-based typosquatting detection at deeper domain levels
Liu et al. Knowledge Expansion and Counterfactual Interaction for {Reference-Based} Phishing Detection
CN114006706A (zh) 网络安全检测方法、系统、计算机装置及可读存储介质
JP6860156B1 (ja) 不正検知システム、不正検知方法、及びプログラム
CN110855612B (zh) web后门路径探测方法
EP4174684A1 (en) Domain search program, method of searching domain, and information processing apparatus
US20240171609A1 (en) Generating a content signature of a textual communication using optical character recognition and text processing

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application