RU2637477C1 - Система и способ обнаружения фишинговых веб-страниц - Google Patents

Система и способ обнаружения фишинговых веб-страниц Download PDF

Info

Publication number
RU2637477C1
RU2637477C1 RU2016152427A RU2016152427A RU2637477C1 RU 2637477 C1 RU2637477 C1 RU 2637477C1 RU 2016152427 A RU2016152427 A RU 2016152427A RU 2016152427 A RU2016152427 A RU 2016152427A RU 2637477 C1 RU2637477 C1 RU 2637477C1
Authority
RU
Russia
Prior art keywords
phishing
web page
code
data
loaded
Prior art date
Application number
RU2016152427A
Other languages
English (en)
Inventor
Дмитрий Александрович Волков
Original Assignee
Общество с ограниченной ответственностью "Траст"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "Траст" filed Critical Общество с ограниченной ответственностью "Траст"
Priority to RU2016152427A priority Critical patent/RU2637477C1/ru
Application granted granted Critical
Publication of RU2637477C1 publication Critical patent/RU2637477C1/ru
Priority to EP17210904.3A priority patent/EP3343870A1/en
Priority to US15/858,013 priority patent/US10721271B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

Изобретение относится к способам для обнаружения фишинговой веб-страницы. Техническим результатом является обнаружение фишинговых веб-страниц посредством создания правил обнаружения фишинговых веб-страниц с использованием по крайней мере одного уникального признака, идентифицирующего веб-страницу как фишинговую. Способ обнаружения фишинговой веб-страницы включает следующие шаги: загрузку на сервер фишинговой веб-страницы; выявление по крайней мере одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую; создание по крайней мере одного правила обнаружения фишинга с использованием по крайней мере одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую; формирование привязки дополнительных данных, включающих идентификацию цели фишинга, к по крайней мере одному правилу обнаружения фишинга; сохранение по крайней мере одного правила обнаружения фишинга вместе с привязкой дополнительных данных, идентифицирующих цель фишинга в хранилище данных; загрузку на сервер по крайней мере одной веб-страницы для проверки наличия фишинга; загрузку по крайней мере одного правила из хранилища данных; проверку в коде загруженной веб-страницы признаков фишинга по крайней мере одним загруженным правилом обнаружения фишинга; и идентификацию загруженной веб-страницы, как фишинговой веб-страницы, в случае обнаружения признаков фишинга в коде загруженной веб-страницы. 14 з.п. ф-лы, 7 ил.

Description

ОБЛАСТЬ ТЕХНИКИ
[0001] Настоящее изобретение относится к вычислительной технике и, более конкретно, к обнаружению веб-страниц посредством создания правил обнаружения фишинга с последующей идентификацией фишинговых веб-страниц и предназначено для обнаружения фишинга.
УРОВЕНЬ ТЕХНИКИ
[0002] В связи с бурным развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема выявления/обнаружения фишинговых сервисов и ресурсов (веб-сайтов, веб-страниц, приложений, включая приложения для мобильных платформ, например, Android-приложения, iOS-приложения и другие) с целью обеспечения защиты от интернет-мошенничества. Фишинг (от англ. phishing, произошедшего от и созвучного с английским словом fishing, которое, в свою очередь, переводится как лов рыбы, рыбалка, выуживание) представляет собой особый вид интернет-мошенничества, направленного на получение личных и конфиденциальных данных пользователей, в частности, логинам, паролям, ПИН-кодам банковских карт, срокам действия банковских карт, кодам проверки подлинности банковских карт (например, CVV2 или CVC2), номерам банковских карт, именам и фамилиям держателей банковских карт, телефонным номерам, кодовым, словам, кодам подтверждения операций (например, банковских переводов, оплаты услуг) и т.д.
[0003] Фишинговые ресурсы (веб-ресурсы, в частности, веб-сайты, веб-страницы и др.), представляют собой поддельный ресурс (поддельную веб-страницу, поддельный веб-сайт и т.д.), копирующий внешний вид известного/оригинального ресурса, так, например, фишинговые (поддельные) веб-страницы могут копировать внешний вид оригинальной интернет-страницы (веб-страницы) банка, системы электронных платежей, веб-страницы авторизации пользователя ресурса и т.д., на которых требуется ввести конфиденциальные данные, личную/персональную или приватную информацию и другую информацию, которая может представлять ценность для пользователя (его клиентов, знакомых, родственников и т.д.) и/или злоумышленников. Такие фишинговые веб-страницы (фишинговые ресурсы) создаются злоумышленниками (мошенниками) с целью получить важные для посетителя сайта/пользователя данные, а также конфиденциальную информацию пользователя/посетителя ресурса.
[0004] Собранные в результате фишинга (фишинг-атак) данные могут быть использованы мошенниками, например, для кражи денежных средств держателя банковской карты (например, путем вывода денежных средств с банковского счета), а также с целью получения прибыли за возврат украденных логина и пароля (пароль пользователя изменяется мошенниками, что делает невозможным пользователю использовать связку логин-пароль, например, для авторизации на ресурсе/входа на веб-сайт), с целью получения денежных средств у жертвы фишинга за неразглашение какой-либо информации и так далее.
[0005] Ссылки на фишинговые ресурсы могут рассылаться через CMC-сообщения, так называемый, SMS-фишинг, также известный как смишинг/SMiShing - от английских "SMS" (Short Message Service - «служба коротких сообщений») и "Phishing". Ссылки на фишинговые ресурсы могут также содержаться в рассылаемых письмах электронной почты (e-mail), размещаться на различных сайтах, включая веб-страницы социальных сетей, а также содержаться в компьютерных программах (например, офисных приложениях), включая компьютерные программы/приложения для мобильных платформ, например, Android, iOS и др.
[0006] На текущий момент существуют различные технологии и способы обнаружения фишинговых ресурсов (например, веб-страниц) путем анализа URL-адресов по URL-маскам (от англ. URL - Uniform Resource Locator/Universal Resource Locator - Единый Указатель Ресурса), доменных имен по вхождению ключевых слов, а также путем проверки наличия загружаемого содержимого с официальных веб-сайтов, наличия на веб-сайтах изображений, характерных для определенного бренда (например, названия банка, платежной системы, ресурса/веб-ресурса, веб-страницы, сервиса, услуге, типу услуг и т.д.), и, включая, репутацию ресурса. Такие способы и технологии борьбы с фишингом, интернет мошенничеством и получением неправомерного доступа к конфиденциальной информации пользователя (посетителя интернет-страниц, веб-страниц, пользователя приложений, включая мобильные приложения, например, для Android, iOS и т.д.) и, в частности, способы и технологии обнаружения фишинговых веб-страниц также могут включать определение даты регистрации доменного имени (включая срок окончания регистрации доменного имени), способы вычисления хэш-сумм(ы) веб-страниц с последующим сравнением полученной хэш-суммы (полученными хэш-суммами) с ранее полученными и сохраненными хэш-суммами веб-страниц. Хэш-сумма (хэш, хэш-код) является результатом обработки данных хэш-функцией. Функция, выполняющая преобразование массива входных данных в битовую строку определенной длины посредством выполнения заданного алгоритма, называется хэш-функцией.
[0007] Для обхода обнаружения попыток фишинга, описанными выше способами, интернет-мошенники используют различные способы, например:
[0008] - размещают фишинговые веб-страницы на скомпрометированных веб-сайтах, с хорошей репутацией и историей существования домена, что позволяет интернет-мошенникам эффективно бороться со способами обнаружения фишинга, основанными на репутации и истории веб-ресурса;
[0009] - создают URI-пути (от англ. URI - Uniform Resource Identifier/Universal Resource Identifier - Унифицированный Идентификатор Ресурса) до фишинговой веб-страницы без упоминания бренда, названия компании, названия системы, что позволяет эффективно бороться со способами обнаружения фишинговых веб-страниц путем анализа URL-адресов по маскам;
[0010] - создают фишинговые веб-страницы с динамическим контентом, что не позволяет обнаруживать фишинговые веб-страницы путем создания хэш-сумм таких фишинговых веб-страниц и сравнения полученных и сохраненных хеш-сумм веб-страниц;
[0011] - создают автономные фитиновые веб-страницы, которые не загружают элементы веб-страниц с официальных веб-сайтов (например, с сайтов компаний, платежных систем и т.д.), а загружают для таких фишинговых веб-страниц элементы, хранящиеся локально (либо элементы таких фишинговых веб-страниц могут быть загружены с файловых хостингов, включая фото-хостинги, и т.д.), т.е. не с официальных ресурсов, что позволяет избежать обнаружения таких фишинговых веб-страниц и не позволяет установить факт фишинга по источникам загрузки контента (содержания) на фишинговой веб-странице.
[0012] Для упрощения создания фишинговых веб-страниц интернет-мошенниками используются, так называемые, фишинговые наборы или фишинг киты (от английского - phishing kits), которые представляют собой готовый набор веб-страниц, скриптов, конфигурационных файлов и т.д., в которых указывается то, как необходимо обрабатывать собираемую с помощью фишинга информацию. Подобные фишинговые наборы, как и фишинговые веб-страницы, имеют уникальные характеристики (уникальные признаки, сигнатуры/фишинговые сигнатуры), по которым имеется возможность создавать специальные правила, по которым существует возможность идентифицировать такие фишинговые наборы, фишинговые ресурсы, фишинговые веб-страницы и т.д.
[0013] Соответственно, основываясь на анализе существующего уровня техники и возможностей, существует потребность в данной области техники в обнаружении фишинговых веб-страниц. Результат заключается в обнаружении фишинговой веб-страницы посредством создания, по крайней мере, одного правила обнаружения фишинговой веб-страницы с использованием, по крайней мере, одного уникального признака, идентифицирующего веб-страницу как фишинговую.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[0014] Технический результат настоящего изобретения заключается в обнаружении фишинговых веб-страниц посредством создания правил обнаружения фишинговых веб-страниц с использованием, по крайней мере, одного уникального признака, идентифицирующего веб-страницу как фишинговую.
[0015] Согласно одному из вариантов реализации предлагается способ для обнаружения фишинговой веб-страницы, включающий следующие шаги: загрузку на сервер фишинговой веб-страницы; выявление, по крайней мере, одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую; создание, по крайней мере, одного правила обнаружения фишинга с использованием, по крайней мере, одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую;; формирование привязки дополнительных данных, включающих идентификацию цели фишинга, к, по крайней мере, одному правилу обнаружения фишинга; сохранение, по крайней мере, одного правила обнаружения фишинга вместе с привязкой дополнительных данных, идентифицирующих цель фишинга в хранилище данных; загрузку на сервер, по крайней мере, одной веб-страницы для проверки наличия фишинга; загрузку, по крайней мере, одного правила из хранилища данных; проверку в коде загруженной веб-страницы признаков фишинга, по крайней мере, одним загруженным правилом обнаружения фишинга и идентификацию загруженной веб-страницы, как фишинговой веб-страницы, в случае обнаружения признаков фишинга в коде загруженной веб-страницы.
[0016] В одном из частных вариантов реализации загрузка веб-страницы включает загрузку кода веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.
[0017] В одном из частных вариантов реализации код загруженной веб-страницы включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код Java-апплетов.
[0018] В одном из частных вариантов реализации код, содержащийся в файлах, связанных с загруженной веб-страницей, включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код Java-апплетов.
[0019] В одном из частных вариантов реализации выявление уникального признака осуществляется в коде загруженной веб-страницы и коде, содержащемся в файлах, связанных с загруженной веб-страницей.
[0020] В одном из частных вариантов реализации уникальные признаки представляют собой последовательность байтов и/или части кода загруженной веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.
[0021] В одном из частных вариантов реализации в коде загруженной веб-страницы уникальные признаки определяются частотой содержания последовательности байтов и/или частей кода, соответствующих уникальным признакам, в, по крайней мере, двух фишинговых наборах, и/или на, по крайней мере, двух веб-страницах, содержащих фишинг или связанных с фишингом.
[0022] В одном из частных вариантов реализации правило обнаружения фишинга описывается регулярным выражением.
[0023] В одном из частных вариантов реализации идентифицированные фишинговые веб-страницы сохраняются в базу данных фишинговых веб-страниц.
[0024] В одном из частных вариантов реализации дополнительные признаки включают бренд, на который направлен фишинг и/или официальный домен бренда, и/или направление фишинга, и/или объект фишинга, и/или вектор фишинга.
[0025] В одном из частных вариантов реализации выявляются два и более уникальных признака, идентифицирующих загруженную страницу как фишинговую при невозможности формирования правила обнаружения фишинга на основе одного уникального признака.
[0026] В одном из частных вариантов реализации хранилище данных представляет собой оперативное запоминающее устройство (ОЗУ) и/или жесткий диск, и/или сетевая система хранения данных и/или онлайн хранилище.
[0027] В одном из частных вариантов реализации загрузка веб-страницы включает загрузку содержимого, определяемого плавающим фреймом "iframe" веб-страницы.
[0028] В одном из частных вариантов реализации уникальные признаки определяются вручную оператором, ответственным за создание правила обнаружения фишинга.
[0029] В одном из частных вариантов реализации фишинговая веб-страница может быть загружена из базы данных фишинговых веб-страниц и/или из базы данных ссылок на фишинговые веб-страницы, и/или с фишинговых веб-сайтов, и/или с веб-сайтов, связанных с фишингом, и/или с компьютерного устройства пользователя, и/или из сетевых сенсоров, и/или из журналов-событий приложений, и/или из систем оповещений, электронных писем, приложений и веб-сервисов для обмена сообщениями, и/или посредством формы обратной связи.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0030] Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
[0031] ФИГ. 1 иллюстрирует пример веб-страницы, которая может являться фишинговой веб-страницей или является эталонной фишинговой веб-страницей;
[0032] ФИГ. 2 иллюстрирует пример поиска уникальных признаков в HTML-коде фишинговой веб-страницы с использованием специального правила;
[0100] ФИГ. 3 иллюстрирует пример визуального отображения сохраненного правила;
[0101] ФИГ. 4 иллюстрирует блок-схему создания специального правила для идентификации фишинговых ресурсов, в частности, фишинговой веб-страницы, касательно настоящего изобретения;
[0102] ФИГ. 5 иллюстрирует блок-схему идентификации фишинговых ресурсов на примере анализа HTML-кода фишинговой веб-страницы касательно настоящего изобретения;
[0103] ФИГ. 6 иллюстрирует вариант системы, реализующей настоящее изобретение;
[0104] ФИГ. 7 иллюстрирует пример компьютерной системы общего назначения.
ОПИСАНИЕ ВАРИАНТОВ ОСУЩЕСТВЛЕНИЯ ИЗОБРЕТЕНИЯ
[0033] Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
[0034] Процесс обнаружения/выявления фишинговых веб-страниц условно можно разделить на два этапа:
[0035] - создание специального правила для идентификации фишинговой веб-страницы;
[0036] - идентификация фишинговой веб-страницы.
[0037] Создание специального правила для идентификации фишинговой веб-страницы включает в себя получение для анализа на фишинг фишинговой веб-страницы (эталонной фишинговой веб-страницы или ссылки на подобные фишинговые веб-страницы), на основе которой создаются специальные правила, при помощи которых имеется возможность распознавать полученную веб-страницу как фишинговую, или другие фишинговые веб-страницы. Фишинговая веб-страница может быть загружена в, например, систему для создания, по крайней мере, одного специального правила (правило обнаружения фишинга) для загруженной веб-страницы. Стоит отметить, что загрузка веб-страницы может включать загрузку файлов, связанных с веб-страницей, так, например, для загруженной веб-страницы «index.html» могут быть загружены файлы таблиц стилей «css» (например, «style.css»), а также файлы типа «html» и/или «php», и/или java-скрипты, и/или код Java-апплетов. Стоит также отметить, что загрузка кода загруженной веб-страницы может включать загрузку кода, связанных с загруженной веб-страницей файлов, описанных выше. Также фишинговая веб-страница может быть получена на рабочее место (в компьютерную системы, например, сервер, персональный компьютер, терминал и т.д.) оператора, который занимается написанием специальных правил. Стоит также отметить, что фишинговая веб-страница может быть загружена в компьютерную систему, которая способна отображать полученную веб-страницу оператору для создания специальных правил, в том числе в удобочитаемом для оператора виде, например, в виде HTML-кода. В качестве эталонной фишинговой веб-страницы может быть использовала любая веб-страница, потенциально содержащая в себе следы фишинга или связанная с фишинг атакой, фишинговыми ресурсами и т.д. либо ранее распознанная как фишинговая. Эталонная фишинговая веб-страница (или ссылка на фишинговый ресурс, веб-страницу) может быть получена, например, из существующих баз данных фишинговых веб-страниц и/или баз данных ссылок на фишинговые веб-страницы, с фишинговых веб-сайтов, а также фишинговые веб-страницы или ссылки на них могут быть получены с устройства пользователя, сервера, персонального компьютера, например, от клиентов или сотрудников банка, администраторов ресурса или сервиса, посредством известных технологий и способов, включая упомянутые в описании настоящего изобретения. Также источниками ссылок на фишинговые ресурсы могут быть получены от сетевых сенсоров, из журналов-событий приложений, алертов (от англ. - alerts - сигналы, оповещения) от различных систем, из электронных писем, из мессенджеров (он англ. Messenger - программа, мобильное приложение или веб-сервис для обмена сообщениями) либо могут быть получены путем формы обратной связи, например, в виде ссылки на такую фишинговую веб-страницу, а также любые другие источники ссылок, указателей на фишинговые ресурсы. Ссылки на фишинговые ресурсы также могут быть определены в данных, переданных на анализ на предмет наличия возможного фишинга.
[0038] Как было сказано ранее, фишинговые веб-страницы могут копировать любые оригинальные веб-страницы или выдавать себя за них. В качестве примера здесь будет рассмотрена фишинговая веб-страница перевода денежных средств с банковской карты или на банковскую карту.
[0039] На ФИГ. 1 показан пример фишинговой веб-страницы (эталонной фишинговой веб-страницы) 100. Эталонная фишинговая веб-страница, как правило, внешним видом не отличается или мало отличается от оригинальной веб-страницы. Стоит отметить, что фишинговые веб-страницы могут отличаться (частично или полностью) от оригинальных веб-страниц и других ресурсов, как визуально, так и программным кодом.
[0040] Процесс получения эталонной фишинговой веб-страницы включает загрузку HTML-кода в программное обеспечение, способное отображать загруженный код, в том числе в удобочитаемом для оператора виде. Таким программным обеспечением может являться веб-браузер и встроенные в него инструменты разработчика (позволяющие просматривать загруженный код), консольные приложения, текстовый редактор (например, Notepad++), в специальное программное обеспечение, способное визуализировать HTML-код и/или анализировать его, HTML-редактор и т.д., а также стандартными приложениями, поставляющимися вместе с операционными системами, например, как Блокнот (Notepad) в операционной системе Windows.
[0041] После загрузки HTML-кода осуществляется анализ загруженного HTML-кода веб-страницы для выявления в нем уникальных признаков фишинговой веб-страницы, по которым можно однозначно идентифицировать подобные фишинговые веб-страницы. Уникальные признаки могут быть представлены набором (последовательностью) байтов в коде HTML-страницы. Стоит отметить, что уникальные признаки могут содержать последовательность байтов, относящихся к бренду, к цели фишинга или направлению фишинга. Анализ загруженного HTML-кода эталонной фишинговой веб-страницы может выполняться вручную, например, программистом/разработчиком программного обеспечения, системным администратором, оператором компьютерного устройства и т.д., на который была передана эталонная фишинговая веб-страница и HTML-код которой был загружен. Также анализ загруженного HTML-кода эталонной фишинговой веб-страницы может выполняться автоматически, например, специально написанным для этого программным обеспечением, способным выявлять уникальные признаки фишинговой веб-страницы.
[0042] Подобные уникальные признаки, содержащиеся в HTML-коде фишинговой веб-страницы, могут включать идентификаторы различных операций (например, с банковскими картами, системами электронных платежей и т.д.), различные зарезервированные или часто использующиеся слова и словосочетания (например, название организации/компании, название операции с денежными средствами, название сервиса или продукта, включая программные продукты и приложения), код или части кода, использующиеся для идентификации пользователя или действий, совершаемых им. К идентификаторам различных операций (по перечислению денежных средств, оплаты услуг и т.д.) можно отнести "Номер карты получателя" денежного перевода, "Подписать платежное поручение", "Принять перевод" и т.д.
[0043] Ниже приведен пример HTML-кода примерной фишинговой веб-страницы (примерной эталонной фишинговой веб-страницы):
[0044]
Figure 00000001
[0045]
Figure 00000002
[0046]
Figure 00000003
[0047]
Figure 00000004
[0048]
Figure 00000005
[0049]
Figure 00000006
[0050]
Figure 00000007
[0051]
Figure 00000008
[0052]
Figure 00000009
[0053]
Figure 00000010
[0054]
Figure 00000011
[0055]
Figure 00000012
[0056]
Figure 00000013
[0057]
Figure 00000014
[0058]
Figure 00000015
[0059]
Figure 00000016
[0060]
Figure 00000017
[0061]
Figure 00000018
[0062]
Figure 00000019
[0063]
Figure 00000020
[0064]
Figure 00000021
[0065]
Figure 00000022
[0066]
Figure 00000023
[0067]
Figure 00000024
[0068]
Figure 00000025
[0069]
Figure 00000026
[0070]
Figure 00000027
[0071]
Figure 00000028
[0072]
Figure 00000029
[0073]
Figure 00000030
[0074]
Figure 00000031
[0075]
Figure 00000032
[0076]
Figure 00000033
[0077]
Figure 00000034
[0078]
Figure 00000035
[0079]
Figure 00000036
[0080]
Figure 00000037
[0081]
Figure 00000038
[0082]
Figure 00000039
[0083]
Figure 00000040
[0084]
Figure 00000041
[0085]
Figure 00000042
[0086]
Figure 00000043
[0087]
Figure 00000044
[0088]
Figure 00000045
[0089]
Figure 00000046
[0090]
Figure 00000047
[0091]
Figure 00000048
[0092]
Figure 00000049
[0093]
Figure 00000050
[0094]
Figure 00000051
[0095]
Figure 00000052
[0096]
Figure 00000053
[0097]
Figure 00000054
[0098]
Figure 00000055
[0099]
Figure 00000056
[00100]
Figure 00000057
[00101]
Figure 00000058
[00102]
Figure 00000059
[00103]
Figure 00000060
[00104]
Figure 00000061
[00105]
Figure 00000062
[00106]
Figure 00000063
[00107]
Figure 00000064
[00108] Строки, подстроки, другие составные части приведенного выше кода могут отличаться, например, в зависимости от ресурса, с которых они получены или распространяются, типа фишинговых-атак, использования дополнительных скриптов загрузки данных, связанных или возможно относящихся к фишинговым ресурсам и т.д. Хотя выше приведенный код является HTML-кодом, стоит отметить, что вместо HTML-кода могут использоваться скрипты (например, php-скрипты, Java-код, ява-скрипты/js.java-скрипты), код разметки веб-страниц, подгружаемый код, а также поток данных/ потоковые данные, которые могут быть использованы с различными преобразованиями и/или без них, и т.д..
[00109] Для примерного варианта фишинговой веб-страницы (или потенциально фишинговой веб-страницы), приведенной на на ФИГ. 1, в ходе анализа приведенного выше примерного варианта HTML-кода могут быть выявлены уникальные признаки, например:
[00110] - заголовок «Перевод с карты» (<title>Перевод с карты) или просто набор слов/символов и т.д., например, «Перевод с карты», который соответствует данным 110, отображенным на полученной веб-странице на ФИГ. 1;
[0105] - блок с меткой «b-card-payment-creditcard» (в частности, часть кода, например, HTML-кода, который может включать сочетание слов/набор символов, ссылок, тегов и т.д.);
[0106] - наличие слова «bank-name», например, между упомянутым заголовком и блоком с меткой «b-card-payment-creditcard», причем такое слово может относиться, например, к бренду (названию банка, сервиса, сайта, типу услуги и т.д.). Названия официальных имен/названий брендов (названий брендов, принадлежащих соответствующим владельцам: компаниям, веб-ресурсам, приложениям и т.д.), которые могут быть использованы для установления факта их использования на веб-страницах, в частности, фишинговых веб-страницах (а также в HTML-коде таких веб-страниц), могут храниться в памяти оператора, отвечающего за идентификацию веб-страниц, а также могут храниться в словарях (хранящихся на цифровых или бумажных носителях информации), таблицах, базах данных брендов и в любых других форматах и формах, позволяющих использовать их для установления факта их наличия на анализируемых веб-страницах на предмет их отношения к фишингу.
[0107] Уникальность описываемых в рамках настоящего изобретения признаков фишинга (уникальных признаков фишинга) может быть установлена/выявлена оператором (отвечающим за анализ HTML-кода) либо с использованием программного обеспечения, способного самостоятельно или при некоторой помощи оператора выявлять подобные уникальные признаки. Уникальность таких признаков может определяться (как оператором, так и программным обеспечением с или без помощи оператора или пользователя, например, пользователя, владельца веб-ресурса и т.д., на которого направлена фишинг-атака или который подозревает какой-то ресурс, веб-страницу в вовлеченности в фишинг) частотой использования некоторых слов, словосочетаний, частей HTML-кода и т.д., которые, например, могут быть связаны с брендом, названием официального или фишингового ресурсов и т.д. Так, например, название банка «bank-name» может встречаться несколько раз на одной HTML-странице или других веб-страницах, в фишинговых китах и т.д. Также такие уникальные признаки или их части могут быть связаны с фишинговыми наборами, например, встречаться в нескольких фишинговых наборах, на нескольких фишинговых веб-страницах или любых других веб-страницах, потенциально связанных с фишинг-атаками. Уникальность таких признаков может устанавливаться эмпирическим способом либо путем использования правил обнаружения подобных уникальных признаков, реализованных различными алгоритмами, учитывающими, например, наличие уникальных признаков в фишинговых наборах, базах данных фишинговых веб-страниц, и позволяющих находить такие уникальные признаки в коде HTML-страницы без участия оператора, отвечающего за выявление таких уникальных признаков. Такие правила обнаружения уникальных признаков могут храниться вместе с фишинговыми веб-страницами (например, эталонными фишинговыми веб-страницами) и/или с результатами анализа запросов на проверку ресурса на фишинг и/или с сохраненными уникальными признаками либо могут храниться в отдельной базе данных.
[0108] Уникальность выбранных признаков определяется набором установленных (оператором/пользователем устройства или с использованием компьютерных систем, включая установленное на нем программное обеспечение) признаков, поскольку каждый упомянутый признак в отдельности или в совокупности с остальными признаками и правилами, определяющими их, не обязательно является уникальным. Стоит также отметить, что если фишинговый ресурс копирует содержимое официального ресурса, то в качестве уникальных признаков могут выступать и использоваться элементы (например, скрипты, текст, изображения, теги и т.д.), отсутствующие на официальном ресурсе.
[0109] Такие найденные уникальные признаки, в данном случае, три уникальных признака, могут быть описаны специальным правилом (регулярным выражением), например:
Figure 00000065
[0110] Стоит отметить, что специальные правила могут включать теги, спецсимволы, код, относящийся к разметке страницы, а также ссылки и части скриптов и ресурсов, на которые ссылается код анализируемого ресурса. При построении специального правила могут быть использованы дополнительные специальные символы и/или коды или их сочетание, специальная комбинация символов, например, для обозначения пробелов между словами или частями кода, коды начала новой строки, табуляции и т.д. В данном случае, примером такой комбинации символов может служить «/s», которая здесь используется для обозначения пробела между словами и буквами, так «Перевод\sc\sкарты» есть ни что иное, как запись «Перевод с карты» в формате определенного специального правила. «*?» в приведенном выше правиле обозначает ленивую квантификацию. Ленивая квантификация позволяет искать наиболее короткие строки, т.е. представляет собой стремление захватить максимально короткую строку, которая соответствует шаблону. Ленивый квантификатор является противоположностью жадного квантификатора и означает «повторять минимальное количество раз». Жадный квантификатор представляет собой стремление (интерпретатором) захватить максимально длинную строку, которая соответствует шаблону. Регулярное выражение представляет собой средство для обработки строк или последовательность символов/байтов определяющее шаблон текста. Примером ленивого квантификатора в регулярных выражениях могу выступать следующие квантификаторы вида «*?», «+?», «{n,}?» и т.д..
[0111] Стоит отметить, что приведенный пример записи специального правила является иллюстративным, поскольку подобные специальные правила могут быть построены и записаны любым способом и в любом виде, в частности, в том виде, который может быть «понят», обработан, распознан программным обеспечением, позволяющим производить поиск по данным (записанным, например, в виде HTML-кода) с использованием подобных специальных правил/регулярных выражений. Специальные правила/правило поиска/регулярные выражения (англ. regular expressions) представляют собой формальный язык поиска и осуществления манипуляций со строками и их составляющими в наборе данных, который, как правило, использует метасимволы, символы подстановки.
[0112] Специальное правило использует строку-шаблон/строку-маску (в приведенном здесь примере -
Figure 00000066
, которая состоит из символов и метасимволов и определяет особенности поиска в наборе данных.
[0113] Таким образом, в одном из вариантов изобретения составление специального правила представляет собой объединение уникальных признаков в специальное правило.
[0114] После создания подобного специального правила оно может быть использовано для проверки наличия подобных уникальных признаков в фишинговых наборах, в HTML-коде веб-страниц, например, полученных для анализа на предмет фишинга.
[0115] Результат применения специального правила к исходному коду той же самой веб-страницы, на которой были найдены уникальные признаки наличия фишинга и по которым создавалось специальное правило, показан на ФИГ. 2.
[0116] На ФИГ. 2 показан пример поиска уникальных признаков в HTML-коде фишинговой веб-страницы с использованием специального правила. Также на ФИГ. 2 показан пример найденных уникальных признаков (в данном случае, 240, 250 и 260), определенных специальным правилом 220 в строке поиска 225 по специальному правилу.
[0117] Блок 230 представляет собой блок найденной информации, характеризующий однозначно или тем или иным способом (например, частично) фишинг, при применении упомянутого выше специального правила
Figure 00000067
220 на исходном HTML-коде эталонной фишинговой веб-страницы, приведенной на ФИГ. 1. В каждом отдельном случае, в зависимости от специального правила, размер блока найденных данных, частей данных и так далее может отличаться от, в зависимости от признаков фишинга, показанных на ФИГ. 2, т.е. блок данных зависит от специального правила, т.е. при использовании разных специальных правил будут найдены различные блоки данных.
[0118] В ходе составления/написания специального правила и/или его проверки и/или использования на известных (или не известных) фишинговых ресурсах может возникнуть ситуация ложного «срабатывания» специального правила, например, веб-страница, которая не имеет отношения к фишингу может быть расценена написанным специальным правилом как фишинговая. Так, например, если использовать специальное правило
Figure 00000068
(т.е. с отсутствием, например, одного из уникальных признаков) вместо
Figure 00000067
, то, скорее всего, будет найдена, как минимум, одна веб-страница, которая не имеет отношения к фишинг-атакам.
[0119] Фон, иконки, источники загружаемых элементов веб-страниц, и другие параметры, например, стили веб-страницы, шрифты и т.д. могут меняться от ресурса к ресурсу, но наличие упомянутых специальных признаков позволяет идентифицировать аналогичные фишинговые ресурсы (в частности, веб-страницы).
[0120] Таким образом, использование созданного специального правила с определенными уникальными признаками позволяет определить тот факт, что ресурс является фишинговым ("поддельным", "фейковым", потенциально опасным для пользователя и/или компании, сайта и т.д.) ресурсом. В случае неоднозначности в идентификации фишинговых ресурсов, используемое специальное правило может быть изменено, например, дополнено дополнительными уникальными признаками. Так, специальное правило позволяет определить, является ли запрошенная для анализа на фишинг веб-страница фишинговой, т.е. тем или иным способом связанной с фишинг-атаками, либо любым другим видом мошеннической деятельности, охватываемой данным изобретением или придуманной в будущем.
[0121] Описанные выше специальные правила могут быть использованы для идентификации фишинговых страниц в качестве правил идентификации фишинговых веб-страниц.
[0122] Такие правила идентификации, как правило, создаются под совокупность фишинговых наборов (или один фишинговый набор, который в свою очередь может быть связан тем или иным способом с другими подобными фишинговыми наборами и/или веб-страницами, веб-ресурсами и т.д.), фишинговый ресурс (например, веб-ресурс, мобильный ресурс и т.д.), фишинговую веб-страницу, в том числе, конкретный фишинговый набор, конкретную веб-страницу, конкретный ресурс/веб-ресурс. Такие "поддельные" ресурсы (фишинговые наборы, веб-страницы, веб-ресурсы, приложения и т.д.), как правило, соответствуют используемым мошенниками целям проведения фишинговых атак (фишинга, включая косвенный фишинг, где используются сторонние ресурсы или средства для возможного фишинга, а также связи с фишинговыми ресурсами, возможностью их запуска, включая веб-ссылки, использование различных скриптов, в том числе написанных на различных языках программирования, включая С#, Java, JavaScript и т.д.), названиям организаций, доменным именам, названиям сайтов, брендов, ключевым признакам сайта или приложениям, отличительным знакам, изображениям, слоганам, фразам, касающимся регистрации пользователя или касающимся совершению той или иной операции, включая финансовые операции, операции по передаче данных, получение информации о банковских картах и т.п.
[0123] Используя описанный выше подход и связанный с ними возможные подходы реализации настоящего изобретения все последующие фишинговые ресурсы, веб-страницы и т.д., выявленные с использованием такого специального правила могут быть использованы не только для выявления фишинга, но и для выявления цели фишинга, например, используемого/эксплуатируемого злоумышленниками известного бренда, названия веб-ресурса, доменного имени, названия организации, который подвергается или может использован в процессе фишинговой атаки. Также стоит отметить, что описанный выше подход позволяет идентифицировать назначение фишинговой веб-страницы/ресурса, например, как было описано выше, получение информации об идентификационных, регистрационных данных пользователя, посетителя ресурса (логине и пароле), сбор персональных данных, получение информации о банковских картах и счетах и т.д.
[0124] После определения эксплуатируемого (с целью фишинга) ресурса, бренда, связанных с ним электронных устройств и/или размещенных посредством цифровых технологий, официальные (легитимные) домены (доменные имена) эксплуатируемого бренда могут быть привязаны к созданным специальным правилам (специальному правилу), включая сохранение таких привязанных/связанных ресурсов, доменных имен, бренда и т.д. в базе данных, что позволяет минимизировать вероятность ложного срабатывания при анализе официальных ресурсов, веб-сайтов. Стоит отметить, что привязка доменного имени, бренда, официальных доменов и т.д. может представлять собой добавление в конец созданного и опционально сохраненного в файл, базу данных и т.д. либо хранимого в ОЗУ регулярного выражения, например,
Figure 00000069
Figure 00000070
либо представлять собой связанные между собой ячейки таблицы, в которой могут быть сохранены регулярные выражения и связанная с ней упомянутая информация, включающая, например, название бренда, доменное имя бренда и т.д. Специальные правила могут храниться, как минимум в одной базе данных в одной таблице базы данных или в нескоьких таблицах базы данных. Так, например, при хранении правил и связанных с ним связанных ресурсов, доменных имен, брендов и т.д. в одной таблице, правило может храниться в одной ячейке таблицы базы данных, а в, как минимум одной ячейке, связанной или соответствующей ячейке таблицы с сохраненным специальным правилом, может храниться как минимум одно значение, соответствующее бренду, доменному имени, цели фишинга и т.д. При хранении специальных правил в одной таблице, а привязанных к ним брендов, доменных имен и т.д. - в той же или другой, как минимум одной, таблице той же базы данных или, как минимум одной, другой базе данных, то между таблицами и ячейками таблиц соответствующих специальному правилу и связанным с ним брендов, доменных имен и т.д., может быть установлена связь, например, в виде ссылок или при помощи любых других механизмов баз данных. Так, одна ячейка с сохраненным правилом первой таблицы базы данных может ссылаться на, как минимум, одну ячейку второй таблицы с, как минимум одним, сохраненным брендом, доменным именем, целью фишинга и т.д. Также одна ячейка с сохраненным специальным правилом в таблице первой базы данных специальных ссылок может ссылаться на, как минимум одну ячейку с, как минимум одним, значением для бренда, доменного имени и т.д., как минимум одной таблицы базы данных брендов, доменных имен и т.д. Также возможен вариант, когда ячейка таблицы из базы/баз данных брендов, доменных имен и т.д. ссылается на, как минимум одну ячейку с сохраненным специальным правилом таблицы базы данных специальных правил. Подобным образом устанавливается соответствие между специальными правилами и брендами, доменными именами и т.д., а также устанавливается связь между брендами, доменными именами и т.д. и специальными правилами. Стоит также отметить, что поскольку фишинговые веб-страницы дублируют (в той или иной степени) содержание/контент или часть официальных ресурсов, то может возникнуть ситуация, когда при анализе на фишинг специальное правило может дать положительный результат на официальный сайт (когда анализ на фишинг идентифицирует официальную страницу бренда, оригинальный ресурс как фишинговый или связанный с фишинг-атаками). В связи с этим с целью исключения возникновения подобных ситуаций специальные правила могут быть связаны с легитимными доменами, которые не будут участвовать или будут участвовать частично при анализе с использованием специальных правил (при анализе специальными правилами) или набором специальных правил.
[0125] После создания специального правила для обнаружения фишинговой веб-страницы оно может быть сохранено, например, в базу данных или оперативную память устройства, на котором выполняется идентификация фишинговых ресурсов. Специальное правило может быть сохранено в ту же базу данных, где хранятся эталонные фишинговые веб-страницы и/или в отдельную базу данных, а также могут храниться в ОЗУ или на жестком диске устройства, на котором проводилась и/или проводится проверка на возможные фишинг-атаки, например, на сервере, где установлено программное обеспечение или сервис для создания специальных правил, или на устройстве пользователя/сервере, сетевом оборудовании, с которого отправлен запрос на проверку факта фишинга.
[0126] Такие специальные правила могут храниться в любых известных форматах, например, в виде текстового файла, набора текстовых файлов, захешированных данных, таблиц, SQL-таблиц, набором данных, в том числе, в виде хеш-кодов для правил, которые в дальнейшем могут быть с высокой скоростью запрошены по запросу, например, в базу данных, включая реляционные базы данных, куда они были сохранены, в частности, по ключевому значению/ключевому слову/ключу, позволяющему определить нахождение сохраненного специального правила. Подобные специальные правила могут храниться в отдельной базе данных или могут храниться с другими данными, например, эталонными фишинговыми веб-страницами, ресурсами и т.д., в частности, но не ограничиваясь, описанными в данном изобретениями способами хранения данных, специальных правил, дополнительной информации, касающейся специальных правил и/или фишинговых ресурсов и т.д.
[0127] Также стоит отметить, что специальные правила могут сохраняться, как минимум, как одно регулярное выражение, а также, связанные с этим правилом/правилами признаки, например: бренд, цель и/или направление фишинга/фишинг атаки, официальные домены бренда и т.д. Так, например, целью фишинга может быть получение доступа к конфиденциальной информации/данным пользователей, например, паролям и регистрационным данным пользователей. К направлениям фишинга можно отнести направления, использующие такие способы как атака посредника «Маn-in-the-middle»; нападения подмены URL-адресов/веб-адресов; нападения, использующие межсайтовый скриптинг «Cross-site Scripting»; направления, использующие предварительно установленные сессии атак, подмену клиентских данных, использование уязвимостей на стороне клиента и так далее.
[0128] На ФИГ. 3 показан пример визуального отображения сохраненного правила. Как было описано выше, специальное правило может включать название бренда, либо имя ресурса и т.д., которое или которые связаны с составляемым/составленным/созданным специальным правилом, или скомпрометированным ресурсом. Также специальное правило может включать цель фишинга, объект фишинг-атаки, вектор мошеннических действий (определяемыми, например, направленностью и типами распространения вредоносного кода или намерений, а также целевыми объектами и технологиями, используемыми средствами и т.д.). Домен (доменное имя) может быть представлено, как минимум, одним легитимным доменом или списком легитимных доменов, ассоциированных с атакуемым брендом.
[0129] Название специального правила на ФИГ. 3 используется для возможности его поиска, например, в базах данных, включая базы данных сохраненных правил, эталонных фишинговых страниц и т.д. (как описано в рамках данного изобретения, но не ограничиваясь ими).
[0130] Созданное специальное правило может быть проверено, как описано в рамках данного изобретения, например, посредством нажатия кнопки (выбора манипулятором "Мышь") "Проверить".
[0131] Оператор также может отменить создание специального правила, или подтвердить сохранение специального правила посредством выбора кнопки "Сохранить".
[0132] На ФИГ. 4 показана блок-схема создания специального правила для идентификации фишинговых ресурсов, в частности, фишинговой веб-страницы.
[0133] Процесс начинается в шаге 410. В шаге 420 происходит получение эталонной фишинговой веб-страницы. В качестве эталонной фишинговой веб-страницы может быть получена любая веб-страница, указанными выше способами. Такая полученная веб-страница может считаться эталонной фишинговой веб-страницей после ее анализа и создания для нее специального правила с возможностью последующей идентификации фишинговых веб-страниц, а также с возможностью сохранения такой фишинговой веб-страницы в базу данных (эталонных) фишинговых страниц. Созданное правило также может быть сохранено для такой проанализированной веб-страницы, вне зависимости от того, была она в данный момент признана фишинговой веб-страницей или только может быть признана фишинговой веб-страницей в дальнейшем.
[0134] После получения фишинговой веб-страницы процесс переходит к шагу 430, в котором происходит загрузка HTML-кода эталонной фишинговой веб-страницы, как было описано выше. После загрузки HTML-кода фишинговой веб-страницы в шаге 440 выполняется поиск уникальных признаков, которые могут использоваться для определения фишинга, в том числе, фишинговых ресурсов, веб-страниц и т.д.
[0135] Далее процесс переходит к шагу 450, в котором выполняется процесс создания специального правила обнаружения фишинга по уникальным признакам. Например, оператор может создать/написать регулярные выражения согласно правилам построения регулярных выражения, используя в качестве параметров регулярных выражения, Такие уникальные признаки могут быть установлены, например, оператором (отвечающим за выявление уникальных признаков, создание специальных правил, выявление фишинга) посредством ручного анализа HTML-кода (или любого другого набора данных, структурированных, частично структурированных, неструктурированных, включая компилированные, зашифрованные, закэшированные, захэшированные, обфусцированные данные и т.д. с возможностью предварительного дополнительного преобразования данных в "читаемый" формат, например, которые могут быть проанализированы упомянутым выше программным обеспечением для анализа таких данных с целью выявления уникальных признаков и подобных им) с целью выявления последовательности байтов/символов, частей кода, например, HTML кода, характеризующих, как минимум, одну фишинговую атаку. Упомянутые выше данные могут быть получены в виде потока данных (включая получаемые онлайн данные веб-страниц) от упомянутых в данном изобретении источников данных, включая внешние (например, в виде программных или аппаратных средств, в том числе упомянутых выше, но не ограничиваясь ими) и внутренние источники данных, например, источники данных, которые входят в состав устройства (и/или подключенные к ним посредством интерфейса для передачи данных), на котором производится анализ данных для выявления уникальных признаков и/или для создания специальных правил.
[0136] После шага 450 процесс переходит к шагу 460, в котором происходит привязка дополнительных данных, например, бренда, цели фишинга, официальных доменов и т.д., описанных в рамках данного изобретения, но не ограниченных данным описанием. Данная привязка дополнительной информации позволяет установить, что при использовании правила устанавливается не только факт наличия фишинг-атаки, но и определить и предоставить (например, оператору, пользователю, бренду и т.д.) дополнительную информацию, например, факт того, что данный бренд, веб-сайт, ресурс и т.д. эксплуатируется мошенниками для получения информации, как описано выше и далее по тексту описания изобретения.
[0137] После шага 460 процесс переходит к шагу 470, в котором происходит сохранение специального правила, в частности, для каждой веб-страницы создается отдельное специальное правило.
[0138] После шага 470 процесс создания специального правила для идентификации ресурса, в частности, фишингового ресурса, включая фишинговую веб-страницу завершается в шаге 480.
[0139] Как было сказано выше, после создания специального правила оно может быть использовано для идентификации фишингового ресурса (в частности, веб-ресурса, веб-страницы и т.д.). Примерный вариант идентификации фишингового ресурса показан на ФИГ. 5.
[0140] Процесс идентификации фишингового ресурса начинается в шаге 510. В шаге 520 происходит получение на анализ данных, потенциально содержащих данные, относящиеся к мошеннической деятельности, в том числе, фишингу, фишинг-атакам и т.д. Стоит отметить, что данные на проведение анализа/проверки на фишинг могут поступать из любых источников, например, указанных выше, а также журнала прокси-сервера, базы данных обмена вредоносными ссылками и т.д.
[0141] После шага 520 процесс переходит к шагу 530, в котором производится загрузка содержимого ресурса (веб-страницы и т.д.) с целью проведения анализа полученных данных, в частности, проводится анализ ссылок на веб-сайты, а именно, HTML-кода полученных данных, ссылок на мошеннические ресурсы и т.д.).
[0142] Далее процесс переходит к шагу 540, в котором осуществляется проверка факта загрузки контента/содержимого (например, содержимого веб-страницы) посредством "iframe" (плавающим фреймом), поскольку некоторые (атакующие) фишинговые ресурсы, сервисы, программы, скрипты и т.д. используют загрузку фишингового содержимого через "iframe", задействуя алгоритмы и механизмы включения, дополнения основного содержания веб-страницы другим подгружаемым или загружаемым содержимым (веб-страницы, подгружаемых скриптов, исполняемых вычислительными устройствами кодов и т.д.). Также, в процессе загрузки веб-страницы могут быть использованы средства и способы перенаправления на другой ресурс, в частности, веб-страницу, включая, так называемые, «короткие ссылки» (короткие URL-адреса, альтернативные URL, полученные путем сокращения URL с использованием различных сервисов/служб), и т.д. Таким образом, контент ресурса, в частности, содержание веб-страницы, не обязательно собирается из различных источников (например, с различных веб-сайтов, или папок/подпапок веб-сайта), в частности, клиент, оператор, например, из описанного в данном изобретении источника данных, может получить короткую ссылку (включая веб-ссылку или ссылку между базами данных, таблицами баз данных и т.д.), которая, в свою очередь, способна перенаправлять на другой, сторонний, вторичный или другой возможный ресурс с использованием и/или подключением/загрузкой дополнительных ресурсов, скриптов и т.д., а также активировать различные скрытые компьютерными системами и сервисами программные коды, в частности, связанные со злоумышленниками тем или иным способом. В этом случае, при посещении ссылки (например, URL) перенаправляется средствами браузера, скиптов, фишинговых программ, программ, которые установлены на устройстве пользователя и т.д., на фишинговый ресурс и/или ресурс, связанный с таким ресурсом.
[0143]. Тег <iframe> в HTML-документах используется для создания "плавающего" фрейма, расположенного внутри HTML-документа, который позволяет загружать содержимое (например, HTML-код) в область заданных размеров (включая полноразмерное окно в веб-браузере) другие документы, в частности, HTML-документы. Стоит отметить, что загрузка и/или дополнительная загрузка дополнительного фишингового контента (или связанного с ним контента, скриптов, ссылок и т.д.) возможно не только посредством "ifame", но и с использованием подобных или отличных от «iframe» способов загрузки/"скачивания" контента ресурсов и т.д..
[0144] Если в шаге 540 был установлен факт загрузки фишингового контента посредством iframe, то процесс переходит к шагу 550, в котором происходит загрузка содержимого, определяемого/указанного в iframe-теге или подобном инструменте, позволяющем загружать и/или подгружать дополнительные данные (контент веб-страницы, скрипты, исполняемый код и т.д.). В данном случае могут быть проанализированы, как загруженные в шаге 530 данные с ресурса, так и код (например, HTML-код), указанный/определенный в iframe. Наличие контента, дополнительно загружаемого, например, посредством тега «iframe» может быть установлено оператором путем обнаружения в коде HTML-страницы такого тега, либо посредством использования программного обеспечения, способного обнаружить тег «iframe» в коде HTML-страницы. В том случае когда HTML-код страницы содержит данные, загружаемые с использованием iframe-тега, может быть использован дополнительный обработчик наличия в коде веб-страницы тега <iframe>. Такой дополнительный обработчик способен идентифицировать наличие тега <iframe> (а также других элементов веб-страницы или связанных элементов с веб-страницей/ресурсом) и который способен определять необходимость загрузки таких данных совместно или отдельно от кода HTML-страницы, в которых он был обнаружен. Стоит также отметить, что загруженная страница (в частности, ее HTML-код) может содержать лишь данные, загружаемые при помощи тега <iframe> (или подобными и другими способами загрузки, дозагрузки данных/контента), т.е. веб-страница не содержит контента, кроме контента, загружаемого посредством тега «iframe», так что может потребоваться загрузить данные, определенные таким iframe-тегом отдельно. В этом случае будет проанализирован HTML-код, загружаемый посредством «iframe», а страница, содержащая тег «iframe» может быть идентифицирована как фишинговая, как и веб-страница, которая загружается посредством тега «iframe».
[0145] Как было сказано выше, для загрузки веб-страницы и, в частности, ее HTML-кода, (а также ее частей и связанных с ней других ресурсов, например, посредством скриптов, исполняемого кода либо других технологий) могут быть использованы веб-браузер, консольные утилиты или инструменты собственной реализации.
[0146] После шага 550 процесс переходит к шагу 560. Если в шаге 540 не был установлен факт загрузки фишингового контента посредством iframe-тега (и/или кода, способного обеспечивать дозагрузку и/или замену существующего контента веб-страниц, а также способного изменять ссылки на изображения, веб-ресурсы, веб-страницы и т.д., включая подмену реальных ссылок на фишинговые ссылки), то процесс также переходит к шагу 560.
[0147] В шаге 560 выполняется анализ загруженного кода (HTML-кода, кода скриптов, исполняемого кода и т.д.) с применением созданных и описанных выше специальных правил, причем загрузка HTML-кода выполняется одним из ранее описанных способов. Анализ HTML-кода загруженной веб-страницы по ранее созданным правилам заключается в проверке загруженного кода (HTML-кода загруженной веб-страницы, подгружаемого контента и т.д.) проверяемого ресурса (в частности, веб-страницы) на наличие характерных признаков. Для осуществления проверки может быть использован исполняемый вычислительными устройствами код, написанный на компилируемых, в том числе, промежуточных языках программирования, например, С++, С#, Phyton, а также различные прикладные и вспомогательные компьютерные программы для выполнения определенных задач, поддерживающие обработку и работу со специальными регулярными выражениями.
[0148] В том случае, если в анализируемом коде будет установлен факт наличия участков кода, подходящих под одно из специальных правил, то ресурс, которому принадлежит данных код (или код связан с данным ресурсом тем или иным способом, например, описанным выше), то такой ресурс может быть идентифицирован как фишинговый.
[0149] После анализа в шаге 560 процесс переходит к шагу 570, в котором устанавливается факт того, является ли ресурс фишинговым. В том случае, если анализируемый ресурс (веб-страница, часть полученных и анализируемых данных и т.д.) в шаге 570 не идентифицирован как фишинговый ресурс, то процесс переходит к шагу 590, в котором процесс идентификации фишингового ресурса завершается.
[0150] Если в шаге 570 было установлено, что анализируемый ресурс/данные имеют отношению к фишингу/фишинг-атакам, то процесс переходит к шагу 580, в котором осуществляется сохранение результатов анализа данных и ресурсов (в частности, веб-ресурсов) и факта того, что проверяемый ресурс имеет отношение к фишингу.
[0151] Сохранение результатов анализа данных, идентифицированных как имеющих отношение к фишингу, включает, но не ограничивается такими данными, как дата обнаружения фишинга, адрес фишингового ресурса, фишинговой веб-страницы, бренд, назначение/цель фишинга, HTML-код фишинговой страницы, снимок экрана (скриншот).
[0152] После шага 580 процесс идентификации завершается в шаге 590.
[0153] На ФИГ. 6 показан вариант системы, реализующей настоящее изобретение.
[0154] Как видно на ФИГ. 6, примерная система для реализации настоящего изобретения включает, процесс обнаружения фишинговых ресурсов 610. Процесс 610 включает, как минимум, один процесс, отвечающий за создание специальных правил для идентификации фешинговых ресурсов 400, и, как минимум, один процесс, отвечающий за идентификацию фишинговых ресурсов 500.
[0155] В частном случае, процессы 400 и 500 не зависят друг от друга, например, специальные правила (результат работы процесса 400) уже могут быть известны для фишингового ресурса (ссылка на который поступила, например, в виде ссылки, из источника данных для анализа 650), в таком случае продемонстрированный на ФИГ. 6 пример системы, может относиться к варианту идентификации фишинговых ресурсов, продемонстрированном на ФИГ. 5. Стоит также отметить, что пример представленной на ФИГ. 6 системы может быть реализован без идентификации фишингового ресурса, например, для создания специальных правил для идентификации фишингового ресурса, например, с целью пополнения, обновления базы данных 680 (или нескольких баз данных, в частности, связанных между собой) фишинговых ресурсов. В этом случае, продемонстрированный на ФИГ. 6 пример системы может являться примером осуществления варианта создания специального правила для идентификации фишинговых ресурсов, показанного на ФИГ. 4. Специальные правила могут быть сохранены, например, в ОЗУ, на устройстве хранения источника "запроса на фишинг" (запроса на проверку наличия фишинга, вредоносного кода и т.д.), в ПЗУ, ППЗУ, на устройстве, на котором происходит обработка запроса на фишинг, либо на подключаемых к таким устройствам и/или компьютерным системам хранилищам данных (жестким дискам, сетевым хранилищам, картам памяти и т.д.), например в базу данных 690 и/или 680. Созданные специальные правила могут быть использованы в дальнейшем при поступлении данных (например, представленных веб-страницей или ссылкой на веб-страницу и т.д.) на анализ на возможную причастность к фишингу, что означает совокупность использования совокупности операций, изображенных на ФИГ. 4 и ФИГ. 5.
[0156] Каждый из процессов (400, 500) может быть представлен независимым модулем, т.е. могут представлять собой два и более модулей, а не объединены в один модуль 610. Так, например, наличие нескольких модулей обнаружения фишинговых ресурсов 610 может быть задействован для обработки определенных типов фишинга, целей фишинга, различных брендов и т.д.
[0157] Примерами источников данных для создания специальных правил и/или для идентификации фишинговых ресурсов на могут служить серверы (652), мобильные устройства (654), персональный компьютер, ноутбук (656). Также в качестве источников данных, как было описано выше, могут выступать формы обратной связи на веб-сайтах, в приложениях (включая мобильные приложения на базе Android, iOS и других мобильных операционных систем), различные оповещения от различных устройств и программного обеспечения, включая, но не ограничиваясь ими, сетевые фильтры, сетевые сенсоры, сетевые экраны, антивирусные приложения, смс-сообщения, электронные письма (e-mail) и сообщения, потоковые данные, различные сервисы, включая веб-сервисы, блокировщики рекламной информации (659) и другие источники данных, ссылок и прочей информации, возможно связанной (или не связанной) с фишинговыми ресурсами 658.
[0158] Источник данных способен своими средствами или дополнительными средствами, например, с использованием интерфейсов, систем обмена данными, потоками данных, информацией, сообщениями, ссылками (например, URL-ссылками) в любых известных формах, форматах (включая текстовые форматы или их интерпретацию) и любыми известными способами отправлять данные (650) на анализ в 610.
[0159] Стоит отметить, что процесс 610 может быть выполнен как оператором и/или пользователем и т.д. (в том числе, с использованием программного обеспечения и/или сервисов, позволяющих проводить анализ полученных данных с целью обнаружения фишинговых ресурсов), так и быть автоматизированным, например, посредством обработки полученных на анализ данных компьютерными системами без вмешательства оператора и/или с его минимальным участием (к таким компьютерным системам можно отнести самообучающиеся системы, способные обрабатывать полученные данные на базе первоначально загруженных оператором системы данных, например, в виде исходных данных и алгоритмов обработки данных, создания специальных правил, сохранения специальных правил, результатов проведения анализа, например, на причастность к фишингу и другим фактам возможных мошеннических действий или наличия в полученных данных вредоносного кода).
[0160] Как было отмечено выше, результаты обработки данных на анализ могут быть сохранены, например, в базу данных (690 и/или 680), в ОЗУ (например, компьютерной системы, на которой выполняется проверка данных на предмет фишинга, либо на устройстве, с которого отправлен запрос на анализ данных, либо в пределах сервиса, который запросил анализ данных на предмет наличия фишинга, вредоносного кода, а также на устройствах, сервисах, в программном обеспечении, связанных с устройством, задействованном тем или иным способом с отправке запроса на анализ данных на предмет фишинга/фишинг-атаки). Стоит также отметить, что база данных 680 и база данных 690 могут быть представлены набором баз данных, расположенных на одном или нескольких компьютерных устройствах, устройствах для хранения данных и т.д. Формат, в котором могут храниться данных включает, но не ограничивается, таблицы, текстовые документы, наборы данных, хеш-таблицы, Б-деревья и т.д.
[0161] Также стоит отметить, что между упомянутыми базами данных может быть установлен обмен информацией, включая синхронизацию данных, дополнение одной базы данных данными из другой базы данных (баз данных), например, посредством дополнительного программного обеспечения, вычислительного устройства и/или посредством общего интерфейса.
[0162] После процесса идентификации фишингового ресурса (500) источнику ссылок может быть отправлен ответ, уведомление, смс-сообщение, инструкции (в виде исполняемого кода, инструкций для компьютерных систем и устройств), программный код и т.д. о том, что проанализированный ресурс является фишинговым или не является фишинговым, содержащим вредоносный код и т.д., включая наличие или отсутствие его связи с подобными мошенническими ресурсами.
[0163] Стоит отметить, что подобное уведомление может быть отправлено владельцу ресурса, на котором был замечен вредоносный код, например, посредством адреса электронной почты, который может быть найден вручную или с использованием автоматических средств поиска информации, например, на веб-страницах.
[0164] Также может быть подана команда (например, установленному программному обеспечению или встроенному программному обеспечению на источнике данных, отправленных на проверку) на блокировку загрузки контента с подозрительного ресурса, открытия идентифицированной фишинговой веб-страницы и т.д. Так, например, после установления фишинга, такой фишинговый ресурс может быть добавлен в базу данных антивирусных программ, сетевых фильтров, сетевых экранов и другого программного обеспечения, способного заблокировать доступ к ресурсам, определенным как фишинговым на основе предоставленной информации, а также подобный ответ, уведомление, смс-сообщение, инструкции, программный код от Z10 может использовать средства компьютерного устройства или сервисы, посредством которых возможно ограничение и/или блокирование пользователю/сервису/устройству доступа к определенному фишинговому ресурсу.
[0165] На ФИГ. 7 показан пример компьютерной системы общего назначения, которая включает в себя многоцелевое вычислительное устройство в виде компьютера 20 или сервера, включающего в себя процессор 21, системную память 22 и системную шину 23, которая связывает различные системные компоненты, включая системную память с процессором 21.
[0166] Системная шина 23 может быть любого из различных типов структур шин, включающих шину памяти или контроллер памяти, периферийную шину и локальную шину, использующую любую из множества архитектур шин. Системная память включает постоянное запоминающее устройство (ПЗУ) 24 и оперативное запоминающее устройство (ОЗУ) 25. В ПЗУ 24 хранится базовая система ввода/вывода 26 (БИОС), состоящая из основных подпрограмм, которые помогают обмениваться информацией между элементами внутри компьютера 20, например, в момент запуска.
[0167] Компьютер 20 также может включать в себя накопитель 27 на жестком диске для чтения с и записи на жесткий диск, не показан, накопитель 28 на магнитных дисках для чтения с или записи на съемный магнитный диск 29, и накопитель 30 на оптическом диске для чтения с или записи на съемный оптический диск 31 такой, как компакт-диск, цифровой видеодиск и другие оптические средства. Накопитель на 27 жестком диске, накопитель 28 на магнитных дисках и накопитель 30 на оптических дисках соединены с системной шиной 23 посредством, соответственно, интерфейса 32 накопителя на жестком диске, интерфейса 33 накопителя на магнитных дисках и интерфейса 34 оптического накопителя. Накопители и их соответствующие читаемые компьютером средства обеспечивают энергонезависимое хранение читаемых компьютером инструкций, структур данных, программных модулей и других данных для компьютера 20.
[0168] Хотя описанная здесь типичная конфигурация использует жесткий диск, съемный магнитный диск 29 и съемный оптический диск 31, специалист примет во внимание, что в типичной операционной среде могут также быть использованы другие типы читаемых компьютером средств, которые могут хранить данные, которые доступны с помощью компьютера, такие как магнитные кассеты, карты флеш-памяти, цифровые видеодиски, картриджи Бернулли, оперативные запоминающие устройства (ОЗУ), постоянные запоминающие устройства (ПЗУ) и т.п.
[0169] Различные программные модули, включая операционную систему 35, могут быть сохранены на жестком диске, магнитном диске 29, оптическом диске 31, ПЗУ 24 или ОЗУ 25. Компьютер 20 включает в себя файловую систему 36, связанную с операционной системой 35 или включенную в нее, одно или более программное приложение 37, другие программные модули 38 и программные данные 39. Пользователь может вводить команды и информацию в компьютер 20 при помощи устройств ввода, таких как клавиатура 40 и указательное устройство 42. Другие устройства ввода (не показаны) могут включать в себя микрофон, джойстик, геймпад, спутниковую антенну, сканер или любое другое.
[0170] Эти и другие устройства ввода соединены с процессором 21 часто посредством интерфейса 46 последовательного порта, который связан с системной шиной, но могут быть соединены посредством других интерфейсов, таких как параллельный порт, игровой порт или универсальная последовательная шина (УПШ). Монитор 47 или другой тип устройства визуального отображения также соединен с системной шиной 23 посредством интерфейса, например, видеоадаптера 48. В дополнение к монитору 47, персональные компьютеры обычно включают в себя другие периферийные устройства вывода (не показано), такие как динамики и принтеры.
[0171] Компьютер 20 может работать в сетевом окружении посредством логических соединений к одному или нескольким удаленным компьютерам 49. Удаленный компьютер (или компьютеры) 49 может представлять собой другой компьютер, сервер, роутер, сетевой ПК, пиринговое устройство или другой узел единой сети, а также обычно включает в себя большинство или все элементы, описанные выше, в отношении компьютера 20, хотя показано только устройство хранения информации 50. Логические соединения включают в себя локальную сеть (ЛВС) 51 и глобальную компьютерную сеть (ГКС) 52. Такие сетевые окружения обычно распространены в учреждениях, корпоративных компьютерных сетях, Интранете и Интернете.
[0172] Компьютер 20, используемый в сетевом окружении ЛВС, соединяется с локальной сетью 51 посредством сетевого интерфейса или адаптера 53. Компьютер 20, используемый в сетевом окружении ГКС, обычно использует модем 54 или другие средства для установления связи с глобальной компьютерной сетью 52, такой как Интернет.
[0173] Модем 54, который может быть внутренним или внешним, соединен с системной шиной 23 посредством интерфейса 46 последовательного порта. В сетевом окружении программные модули или их части, описанные применительно к компьютеру 20, могут храниться на удаленном устройстве хранения информации. Надо принять во внимание, что показанные сетевые соединения являются типичными, и для установления коммуникационной связи между компьютерами могут быть использованы другие средства.
[0174] В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (24)

1. Способ обнаружения фишинговой веб-страницы, включающий следующие шаги:
- загрузку на сервер фишинговой веб-страницы;
- выявление по крайней мере одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую;
- создание по крайней мере одного правила обнаружения фишинга с использованием по крайней мере одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую;
- формирование привязки дополнительных данных, включающих идентификацию цели фишинга, к по крайней мере одному правилу обнаружения фишинга;
- сохранение по крайней мере одного правила обнаружения фишинга вместе с привязкой дополнительных данных, идентифицирующих цель фишинга в хранилище данных;
- загрузку на сервер по крайней мере одной веб-страницы для проверки наличия фишинга;
- загрузку по крайней мере одного правила из хранилища данных;
- проверку в коде загруженной веб-страницы признаков фишинга по крайней мере одним загруженным правилом обнаружения фишинга; и
- идентификацию загруженной веб-страницы как фишинговой веб-страницы в случае обнаружения признаков фишинга в коде загруженной веб-страницы.
2. Способ по п. 1, характеризующийся тем, что загрузка веб-страницы включает загрузку кода веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.
3. Способ по п. 2, характеризующийся тем, что, код загруженной веб-страницы включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код Java-апплетов.
4. Способ по п. 2, характеризующийся тем, что код, содержащийся в файлах, связанных с загруженной веб-страницей, включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код java-апплетов.
5. Способ по п. 2, характеризующийся тем, что выявление уникального признака осуществляется в коде загруженной веб-страницы и коде, содержащемся в файлах, связанных с загруженной веб-страницей.
6. Способ по п. 5, характеризующийся тем, что уникальные признаки представляют собой последовательность байтов и/или части кода загруженной веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.
7. Способ по п. 6, характеризующийся тем, что в коде загруженной веб-страницы уникальные признаки определяются частотой содержания последовательности байтов и/или частей кода, соответствующих уникальным признакам, в по крайней мере двух фишинговых наборах, и/или на по крайней мере двух веб-страницах, содержащих фишинг или связанных с фишингом.
8. Способ по п. 1, характеризующийся тем, что правило обнаружения фишинга описывается регулярным выражением.
9. Способ по п. 1, характеризующийся тем, что идентифицированные фишинговые веб-страницы сохраняются в базу данных фишинговых веб-страниц.
10. Способ по п. 1, характеризующийся тем, что дополнительные признаки включают бренд, на который направлен фишинг и/или официальный домен бренда, и/или направление фишинга, и/или объект фишинга, и/или вектор фишинга.
11. Способ по п. 1, характеризующийся тем, что выявляются два и более уникальных признака, идентифицирующих загруженную страницу как фишинговую при невозможности формирования правила обнаружения фишинга на основе одного уникального признака.
12. Способ по п. 1, характеризующийся тем, что хранилище данных представляет собой оперативное запоминающее устройство (ОЗУ) и/или жесткий диск, и/или сетевая система хранения данных и/или онлайн хранилище.
13. Способ по п. 1, характеризующийся тем, что загрузка веб-страницы включает загрузку содержимого, определяемого плавающим фреймом "iframe" веб-страницы.
14. Способ по п. 1, характеризующийся тем, что уникальные признаки определяются вручную оператором, ответственным за создание правила обнаружения фишинга.
15. Способ по п. 1, характеризующийся тем, что фишинговая веб-страница может быть загружена из базы данных фишинговых веб-страниц и/или из базы данных ссылок на фишинговые веб-страницы, и/или с фишинговых веб-сайтов, и/или с веб-сайтов, связанных с фишингом, и/или с компьютерного устройства пользователя, и/или из сетевых сенсоров, и/или из журналов-событий приложений, и/или из систем оповещений, электронных писем, приложений и веб-сервисов для обмена сообщениями, и/или посредством формы обратной связи.
RU2016152427A 2016-12-29 2016-12-29 Система и способ обнаружения фишинговых веб-страниц RU2637477C1 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2016152427A RU2637477C1 (ru) 2016-12-29 2016-12-29 Система и способ обнаружения фишинговых веб-страниц
EP17210904.3A EP3343870A1 (en) 2016-12-29 2017-12-28 System and method for detecting phishing web pages field of technology
US15/858,013 US10721271B2 (en) 2016-12-29 2017-12-29 System and method for detecting phishing web pages

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016152427A RU2637477C1 (ru) 2016-12-29 2016-12-29 Система и способ обнаружения фишинговых веб-страниц

Publications (1)

Publication Number Publication Date
RU2637477C1 true RU2637477C1 (ru) 2017-12-04

Family

ID=60581596

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016152427A RU2637477C1 (ru) 2016-12-29 2016-12-29 Система и способ обнаружения фишинговых веб-страниц

Country Status (3)

Country Link
US (1) US10721271B2 (ru)
EP (1) EP3343870A1 (ru)
RU (1) RU2637477C1 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2758359C1 (ru) * 2020-06-19 2021-10-28 Акционерное общество "Лаборатория Касперского" Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами
RU2778460C1 (ru) * 2021-05-20 2022-08-19 Общество С Ограниченной Ответственностью "Группа Айби" Способ и устройство для кластеризации фишинговых веб-ресурсов на основе изображения визуального контента

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10122720B2 (en) * 2017-02-07 2018-11-06 Plesk International Gmbh System and method for automated web site content analysis
RU2638001C1 (ru) * 2017-02-08 2017-12-08 Акционерное общество "Лаборатория Касперского" Система и способ выделения части резерва производительности антивирусного сервера для выполнения антивирусной проверки веб-страницы
US11539716B2 (en) * 2018-07-31 2022-12-27 DataVisor, Inc. Online user behavior analysis service backed by deep learning models trained on shared digital information
US11411991B2 (en) * 2019-07-09 2022-08-09 Mcafee, Llc User activity-triggered URL scan
US11233820B2 (en) 2019-09-10 2022-01-25 Paypal, Inc. Systems and methods for detecting phishing websites
US11528297B1 (en) 2019-12-12 2022-12-13 Zimperium, Inc. Mobile device security application for malicious website detection based on representative image
CN111209459A (zh) * 2019-12-27 2020-05-29 中移(杭州)信息技术有限公司 信息处理方法、装置、电子设备及存储介质
US11641375B2 (en) 2020-04-29 2023-05-02 KnowBe4, Inc. Systems and methods for reporting based simulated phishing campaign
US20210365866A1 (en) * 2020-05-21 2021-11-25 KnowBe4, Inc. Systems and methods for use of employee message exchanges for a simulated phishing campaign
CN112269607A (zh) * 2020-11-17 2021-01-26 北京百度网讯科技有限公司 小程序的控制方法、系统、服务器以及终端设备
CN113657453B (zh) * 2021-07-22 2023-08-01 珠海高凌信息科技股份有限公司 基于生成对抗网络和深度学习的有害网站的检测方法
US20230067897A1 (en) * 2021-08-25 2023-03-02 Paypal, Inc. Automatic detection of proxy-based phishing sites

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130086677A1 (en) * 2010-12-31 2013-04-04 Huawei Technologies Co., Ltd. Method and device for detecting phishing web page
US20130263264A1 (en) * 2012-04-02 2013-10-03 Trusteer Ltd. Detection of phishing attempts
US20150200963A1 (en) * 2012-09-07 2015-07-16 Computer Network Information Center, Chinese Academy Of Sciences Method for detecting phishing website without depending on samples
US20150381654A1 (en) * 2013-07-05 2015-12-31 Tencent Technology (Shenzhen) Company Limited Method, device and system for detecting potential phishing websites
RU2589310C2 (ru) * 2014-09-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ расчета интервала повторного определения категорий сетевого ресурса

Family Cites Families (172)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7389351B2 (en) 2001-03-15 2008-06-17 Microsoft Corporation System and method for identifying and establishing preferred modalities or channels for communications based on participants' preferences and contexts
US7565692B1 (en) 2000-05-30 2009-07-21 At&T Wireless Services, Inc. Floating intrusion detection platforms
AU2002230541B2 (en) 2000-11-30 2007-08-23 Cisco Technology, Inc. Flow-based detection of network intrusions
US7325252B2 (en) 2001-05-18 2008-01-29 Achilles Guard Inc. Network security testing
US20090138342A1 (en) 2001-11-14 2009-05-28 Retaildna, Llc Method and system for providing an employee award using artificial intelligence
US7225343B1 (en) * 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
EP1349081A1 (en) 2002-03-28 2003-10-01 LION Bioscience AG Method and apparatus for querying relational databases
US7496628B2 (en) 2003-02-25 2009-02-24 Susquehanna International Group, Llp Electronic message filter
US20040221171A1 (en) 2003-05-02 2004-11-04 Ahmed Ahmed Awad E. Intrusion detector based on mouse dynamics analysis
US8984640B1 (en) 2003-12-11 2015-03-17 Radix Holdings, Llc Anti-phishing
US7392278B2 (en) 2004-01-23 2008-06-24 Microsoft Corporation Building and using subwebs for focused search
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
WO2006032028A2 (en) 2004-09-13 2006-03-23 Reactivity, Inc. Metric-based monitoring and control of a limited resource
US7540025B2 (en) 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US20060253582A1 (en) 2005-05-03 2006-11-09 Dixon Christopher J Indicating website reputations within search results
WO2006119509A2 (en) 2005-05-05 2006-11-09 Ironport Systems, Inc. Identifying threats in electronic messages
US7609625B2 (en) * 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US7730040B2 (en) 2005-07-27 2010-06-01 Microsoft Corporation Feedback-driven malware detector
US7707284B2 (en) 2005-08-03 2010-04-27 Novell, Inc. System and method of searching for classifying user activity performed on a computer system
KR20070049514A (ko) 2005-11-08 2007-05-11 한국정보보호진흥원 악성 코드 감시 시스템 및 이를 이용한 감시 방법
US8650080B2 (en) 2006-04-10 2014-02-11 International Business Machines Corporation User-browser interaction-based fraud detection system
ATE540515T1 (de) 2006-04-13 2012-01-15 Art Of Defence Gmbh Verfahren zur bereitstellung von webanwendungssicherheit
US7984500B1 (en) 2006-10-05 2011-07-19 Amazon Technologies, Inc. Detecting fraudulent activity by analysis of information requests
US7865953B1 (en) 2007-05-31 2011-01-04 Trend Micro Inc. Methods and arrangement for active malicious web pages discovery
US8238669B2 (en) 2007-08-22 2012-08-07 Google Inc. Detection and classification of matches between time-based media
US7958555B1 (en) 2007-09-28 2011-06-07 Trend Micro Incorporated Protecting computer users from online frauds
US9779403B2 (en) 2007-12-07 2017-10-03 Jpmorgan Chase Bank, N.A. Mobile fraud prevention system and method
EP2266057A1 (en) 2008-02-28 2010-12-29 Ipharro Media, Gmbh Frame sequence comparison in multimedia streams
US8082187B2 (en) 2008-05-07 2011-12-20 AcademixDirect, Inc. Method of generating a referral website URL using website listings in a cookie
US8856937B1 (en) * 2008-06-27 2014-10-07 Symantec Corporation Methods and systems for identifying fraudulent websites
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US8086480B2 (en) 2008-09-25 2011-12-27 Ebay Inc. Methods and systems for activity-based recommendations
US9177144B2 (en) * 2008-10-30 2015-11-03 Mcafee, Inc. Structural recognition of malicious code patterns
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8285830B1 (en) 2009-01-06 2012-10-09 Citizenhawk, Inc. System and method for combating cybersquatting
US8448245B2 (en) 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites
US8695091B2 (en) * 2009-02-11 2014-04-08 Sophos Limited Systems and methods for enforcing policies for proxy website detection using advertising account ID
US8429751B2 (en) 2009-03-13 2013-04-23 Trustwave Holdings, Inc. Method and apparatus for phishing and leeching vulnerability detection
US8229219B1 (en) 2009-08-06 2012-07-24 Google Inc. Full-length video fingerprinting
US8600993B1 (en) 2009-08-26 2013-12-03 Google Inc. Determining resource attributes from site address attributes
US8396857B2 (en) 2009-08-31 2013-03-12 Accenture Global Services Limited System to modify websites for organic search optimization
EP2323046A1 (en) 2009-10-16 2011-05-18 Telefónica, S.A. Method for detecting audio and video copy in multimedia streams
US8625033B1 (en) 2010-02-01 2014-01-07 Google Inc. Large-scale matching of audio and video
US9501644B2 (en) 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US8612463B2 (en) 2010-06-03 2013-12-17 Palo Alto Research Center Incorporated Identifying activities using a hybrid user-activity model
US8260914B1 (en) 2010-06-22 2012-09-04 Narus, Inc. Detecting DNS fast-flux anomalies
RU2446459C1 (ru) 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
US20130074187A1 (en) 2010-07-26 2013-03-21 Ki Yong Kim Hacker virus security-integrated control device
US8924488B2 (en) 2010-07-27 2014-12-30 At&T Intellectual Property I, L.P. Employing report ratios for intelligent mobile messaging classification and anti-spam defense
EP2609538B1 (en) 2010-08-25 2016-10-19 Lookout Inc. System and method for server-coupled malware prevention
AU2011293160B2 (en) 2010-08-26 2015-04-09 Verisign, Inc. Method and system for automatic detection and analysis of malware
US8837769B2 (en) 2010-10-06 2014-09-16 Futurewei Technologies, Inc. Video signature based on image hashing and shot detection
US9626677B2 (en) 2010-11-29 2017-04-18 Biocatch Ltd. Identification of computerized bots, and identification of automated cyber-attack modules
US8521667B2 (en) 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
US8972412B1 (en) 2011-01-31 2015-03-03 Go Daddy Operating Company, LLC Predicting improvement in website search engine rankings based upon website linking relationships
US8726376B2 (en) 2011-03-11 2014-05-13 Openet Telecom Ltd. Methods, systems and devices for the detection and prevention of malware within a network
US8402543B1 (en) 2011-03-25 2013-03-19 Narus, Inc. Machine learning based botnet detection with dynamic adaptation
RU107616U1 (ru) 2011-03-28 2011-08-20 Закрытое акционерное общество "Лаборатория Касперского" Система быстрого анализа потока данных на наличие вредоносных объектов
US9363278B2 (en) 2011-05-11 2016-06-07 At&T Mobility Ii Llc Dynamic and selective response to cyber attack for telecommunications carrier networks
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
WO2013009713A2 (en) 2011-07-08 2013-01-17 Uab Research Foundation Syntactical fingerprinting
WO2013008778A1 (ja) 2011-07-11 2013-01-17 Mizunuma Takeshi 識別名管理方法およびシステム
GB2493514B (en) 2011-08-02 2015-04-08 Qatar Foundation Copy detection
US8677472B1 (en) * 2011-09-27 2014-03-18 Emc Corporation Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server
US8645355B2 (en) 2011-10-21 2014-02-04 Google Inc. Mapping Uniform Resource Locators of different indexes
US8584235B2 (en) 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
US9519781B2 (en) 2011-11-03 2016-12-13 Cyphort Inc. Systems and methods for virtualization and emulation assisted malware detection
RU2487406C1 (ru) 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
US8660296B1 (en) 2012-01-10 2014-02-25 Google Inc. Systems and methods for facilitating video fingerprinting using local descriptors
RU2523114C2 (ru) 2012-04-06 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников
US10304036B2 (en) 2012-05-07 2019-05-28 Nasdaq, Inc. Social media profiling for one or more authors using one or more social media platforms
RU2488880C1 (ru) 2012-05-11 2013-07-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз
US9154517B2 (en) 2012-06-19 2015-10-06 AO Kaspersky Lab System and method for preventing spread of malware in peer-to-peer network
WO2014018630A1 (en) * 2012-07-24 2014-01-30 Webroot Inc. System and method to provide automatic classification of phishing sites
RU2495486C1 (ru) 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
US9386030B2 (en) 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US10965775B2 (en) 2012-11-20 2021-03-30 Airbnb, Inc. Discovering signature of electronic social networks
RU2536664C2 (ru) 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматической модификации антивирусной базы данных
RU2530210C2 (ru) 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
RU2522019C1 (ru) 2012-12-25 2014-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной
RU129279U1 (ru) 2013-01-09 2013-06-20 ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" Устройство обнаружения и защиты от аномальной активности на сети передачи данных
US20160127402A1 (en) * 2014-11-04 2016-05-05 Patternex, Inc. Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system
US10425429B2 (en) * 2013-04-10 2019-09-24 Gabriel Bassett System and method for cyber security analysis and human behavior prediction
GB201306628D0 (en) 2013-04-11 2013-05-29 F Secure Oyj Detecting and marking client devices
JP6491638B2 (ja) 2013-04-11 2019-03-27 ブランドシールド リミテッド コンピュータ化された方法
EP2901665A4 (en) 2013-05-13 2015-10-21 Yandex Europe Ag METHOD AND SYSTEM FOR PROVIDING A CLIENT DEVICE WITH AUTOMATICALLY UPDATING AN IP ADDRESS RELATED TO A DOMAIN NAME
US9357469B2 (en) 2013-05-29 2016-05-31 Rivada Networks, Llc Methods and system for dynamic spectrum arbitrage with mobility management
US9443075B2 (en) 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
RU2538292C1 (ru) 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обнаружения компьютерных атак на сетевую компьютерную систему
KR102120823B1 (ko) 2013-08-14 2020-06-09 삼성전자주식회사 비휘발성 메모리 장치의 독출 시퀀스 제어 방법 및 이를 수행하는 메모리 시스템
US9330258B1 (en) 2013-09-30 2016-05-03 Symantec Corporation Systems and methods for identifying uniform resource locators that link to potentially malicious resources
CN103491205B (zh) 2013-09-30 2016-08-17 北京奇虎科技有限公司 一种基于视频搜索的关联资源地址的推送方法和装置
CN105917359B (zh) 2013-10-21 2021-01-26 微软技术许可有限责任公司 移动视频搜索
GB2520987B (en) 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat
IN2013CH05744A (ru) 2013-12-12 2015-06-19 Infosys Ltd
US20150363791A1 (en) 2014-01-10 2015-12-17 Hybrid Application Security Ltd. Business action based fraud detection system and method
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9060018B1 (en) 2014-02-05 2015-06-16 Pivotal Software, Inc. Finding command and control center computers by communication link tracking
KR101514984B1 (ko) 2014-03-03 2015-04-24 (주)엠씨알시스템 홈페이지 악성코드 유포 탐지 시스템 및 방법
US9338181B1 (en) * 2014-03-05 2016-05-10 Netflix, Inc. Network security system with remediation based on value of attacked assets
RU2543564C1 (ru) 2014-03-20 2015-03-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам
US9853997B2 (en) 2014-04-14 2017-12-26 Drexel University Multi-channel change-point malware detection
US9332022B1 (en) 2014-07-07 2016-05-03 Symantec Corporation Systems and methods for detecting suspicious internet addresses
US20160036837A1 (en) 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US9800592B2 (en) 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
KR101587161B1 (ko) 2014-09-03 2016-01-20 한국전자통신연구원 실시간 네트워크 안티바이러스 수행 장치 및 방법
US9026841B1 (en) * 2014-09-09 2015-05-05 Belkin International, Inc. Coordinated and device-distributed detection of abnormal network device operation
US20160110819A1 (en) * 2014-10-21 2016-04-21 Marc Lauren Abramowitz Dynamic security rating for cyber insurance products
US10338191B2 (en) * 2014-10-30 2019-07-02 Bastille Networks, Inc. Sensor mesh and signal transmission architectures for electromagnetic signature analysis
JP6916112B2 (ja) 2014-11-21 2021-08-11 ブルヴェクター, インコーポレーテッドBluvector, Inc. ネットワークデータ特性評価のシステムと方法
US10574675B2 (en) * 2014-12-05 2020-02-25 T-Mobile Usa, Inc. Similarity search for discovering multiple vector attacks
US9367872B1 (en) * 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US10230526B2 (en) 2014-12-31 2019-03-12 William Manning Out-of-band validation of domain name system records
CN104504307B (zh) 2015-01-08 2017-09-29 北京大学 基于拷贝单元的音视频拷贝检测方法和装置
US9712549B2 (en) 2015-01-08 2017-07-18 Imam Abdulrahman Bin Faisal University System, apparatus, and method for detecting home anomalies
KR20160095856A (ko) * 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법
US11328307B2 (en) 2015-02-24 2022-05-10 OpSec Online, Ltd. Brand abuse monitoring system with infringement detection engine and graphical user interface
EP3065076A1 (en) 2015-03-04 2016-09-07 Secure-Nok AS System and method for responding to a cyber-attack-related incident against an industrial control system
US9253208B1 (en) * 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution
US9769201B2 (en) 2015-03-06 2017-09-19 Radware, Ltd. System and method thereof for multi-tiered mitigation of cyber-attacks
US9712553B2 (en) 2015-03-27 2017-07-18 The Boeing Company System and method for developing a cyber-attack scenario
US10536357B2 (en) * 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10382484B2 (en) * 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
US9917852B1 (en) 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
RU164629U1 (ru) 2015-06-30 2016-09-10 Акционерное общество "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5
EP3125147B1 (en) * 2015-07-27 2020-06-03 Swisscom AG System and method for identifying a phishing website
US9456000B1 (en) * 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
CN106506435B (zh) 2015-09-08 2019-08-06 中国电信股份有限公司 用于检测网络攻击的方法和防火墙系统
WO2017049045A1 (en) * 2015-09-16 2017-03-23 RiskIQ, Inc. Using hash signatures of dom objects to identify website similarity
KR101703446B1 (ko) * 2015-10-15 2017-02-06 숭실대학교산학협력단 DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버
CN105429956B (zh) 2015-11-02 2018-09-25 重庆大学 基于p2p动态云的恶意软件检测系统及方法
US10200382B2 (en) * 2015-11-05 2019-02-05 Radware, Ltd. System and method for detecting abnormal traffic behavior using infinite decaying clusters
RU2622870C2 (ru) 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов
US9894036B2 (en) 2015-11-17 2018-02-13 Cyber Adapt, Inc. Cyber threat attenuation using multi-source threat data analysis
CN106709777A (zh) * 2015-11-18 2017-05-24 阿里巴巴集团控股有限公司 一种订单聚类方法及装置,以及反恶意信息的方法及装置
RU2613535C1 (ru) 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
WO2017087840A1 (en) * 2015-11-20 2017-05-26 Webroot Inc. Binocular fusion analytics security
JP6239215B2 (ja) * 2015-12-14 2017-11-29 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム
US9723344B1 (en) 2015-12-29 2017-08-01 Google Inc. Early detection of policy violating media
US11069370B2 (en) 2016-01-11 2021-07-20 University Of Tennessee Research Foundation Tampering detection and location identification of digital audio recordings
RU2628192C2 (ru) 2016-01-27 2017-08-15 Акционерное общество "Творческо-производственное объединение "Центральная киностудия детских и юношеских фильмов им. М. Горького" Устройство для семантической классификации и поиска в архивах оцифрованных киноматериалов
US9900338B2 (en) 2016-02-09 2018-02-20 International Business Machines Corporation Forecasting and classifying cyber-attacks using neural embeddings based on pattern of life data
US10237259B2 (en) * 2016-02-29 2019-03-19 Securekey Technologies Inc. Systems and methods for distributed identity verification
US10063572B2 (en) 2016-03-28 2018-08-28 Accenture Global Solutions Limited Antivirus signature distribution with distributed ledger
US10313382B2 (en) 2016-03-29 2019-06-04 The Mitre Corporation System and method for visualizing and analyzing cyber-attacks using a graph model
US10212145B2 (en) 2016-04-06 2019-02-19 Avaya Inc. Methods and systems for creating and exchanging a device specific blockchain for device authentication
US10178107B2 (en) 2016-04-06 2019-01-08 Cisco Technology, Inc. Detection of malicious domains using recurring patterns in domain names
CN105897714B (zh) 2016-04-11 2018-11-09 天津大学 基于dns流量特征的僵尸网络检测方法
RU2625050C1 (ru) 2016-04-25 2017-07-11 Акционерное общество "Лаборатория Касперского" Система и способ признания транзакций доверенными
US11223598B2 (en) 2016-05-03 2022-01-11 Nokia Of America Corporation Internet security
RU2634211C1 (ru) 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
RU2636702C1 (ru) 2016-07-07 2017-11-27 Общество С Ограниченной Ответственностью "Яндекс" Способ и устройство для выбора сетевого ресурса в качестве источника содержимого для системы рекомендаций
US20180012144A1 (en) * 2016-07-11 2018-01-11 Qualcomm Innovation Center, Inc. Incremental and speculative analysis of javascripts based on a multi-instance model for web security
CN106131016B (zh) 2016-07-13 2019-05-03 北京知道创宇信息技术有限公司 恶意url检测干预方法、系统及装置
US10212133B2 (en) * 2016-07-29 2019-02-19 ShieldX Networks, Inc. Accelerated pattern matching using pattern functions
WO2018025157A1 (en) * 2016-07-31 2018-02-08 Cymmetria, Inc. Deploying deception campaigns using communication breadcrumbs
US10498761B2 (en) * 2016-08-23 2019-12-03 Duo Security, Inc. Method for identifying phishing websites and hindering associated activity
US10313352B2 (en) * 2016-10-26 2019-06-04 International Business Machines Corporation Phishing detection with machine learning
WO2018095192A1 (zh) 2016-11-23 2018-05-31 腾讯科技(深圳)有限公司 网站攻击的检测和防护方法及系统
CN106713312A (zh) 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
WO2019010182A1 (en) 2017-07-06 2019-01-10 Pixm METHOD AND SYSTEM FOR DETECTING HOOKING
CN107392456A (zh) 2017-07-14 2017-11-24 武汉理工大学 一种融合互联网信息的多角度企业信用评估建模方法
RU2670906C9 (ru) 2017-12-28 2018-12-12 Общество С Ограниченной Ответственностью "Центр Разработки И Внедрения Инновационных Технологий" Самонастраивающаяся интерактивная система, способ обмена сообщениями и/или звонками между пользователями различных веб-сайтов с использованием технологии клиент-сервер и считываемый компьютером носитель
RU2681699C1 (ru) 2018-02-13 2019-03-12 Общество с ограниченной ответственностью "Траст" Способ и сервер для поиска связанных сетевых ресурсов

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130086677A1 (en) * 2010-12-31 2013-04-04 Huawei Technologies Co., Ltd. Method and device for detecting phishing web page
US20130263264A1 (en) * 2012-04-02 2013-10-03 Trusteer Ltd. Detection of phishing attempts
US20150200963A1 (en) * 2012-09-07 2015-07-16 Computer Network Information Center, Chinese Academy Of Sciences Method for detecting phishing website without depending on samples
US20150381654A1 (en) * 2013-07-05 2015-12-31 Tencent Technology (Shenzhen) Company Limited Method, device and system for detecting potential phishing websites
RU2589310C2 (ru) * 2014-09-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ расчета интервала повторного определения категорий сетевого ресурса

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2758359C1 (ru) * 2020-06-19 2021-10-28 Акционерное общество "Лаборатория Касперского" Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами
RU2778460C1 (ru) * 2021-05-20 2022-08-19 Общество С Ограниченной Ответственностью "Группа Айби" Способ и устройство для кластеризации фишинговых веб-ресурсов на основе изображения визуального контента
RU2789629C1 (ru) * 2021-08-27 2023-02-06 Общество с ограниченной ответственностью "Траст" Система и способ выявления информационной атаки
RU2780166C1 (ru) * 2021-12-15 2022-09-20 Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обнаружения фишинговых доменных имен
RU2791824C1 (ru) * 2022-02-14 2023-03-13 Групп-Ай Би Глобал Прайвет Лимитед Способ и вычислительное устройство для выявления целевого вредоносного веб-ресурса
RU2813242C1 (ru) * 2023-05-12 2024-02-08 Акционерное общество "Лаборатория Касперского" Способ обнаружения фишинговых сайтов и система его реализующая

Also Published As

Publication number Publication date
US20180191777A1 (en) 2018-07-05
EP3343870A1 (en) 2018-07-04
US10721271B2 (en) 2020-07-21

Similar Documents

Publication Publication Date Title
RU2637477C1 (ru) Система и способ обнаружения фишинговых веб-страниц
CN107918733B (zh) 检测网页的恶意元素的系统和方法
US9860270B2 (en) System and method for determining web pages modified with malicious code
US10515212B1 (en) Tracking sensitive data in a distributed computing environment
US9398047B2 (en) Methods and systems for phishing detection
WO2022071961A1 (en) Automated collection of branded training data for security awareness training
US11196746B2 (en) Whitelisting of trusted accessors to restricted web pages
US11671448B2 (en) Phishing detection using uniform resource locators
RU2671991C2 (ru) Система и способ сбора информации для обнаружения фишинга
US8966621B1 (en) Out-of-band authentication of e-mail messages
US11381598B2 (en) Phishing detection using certificates associated with uniform resource locators
US10015191B2 (en) Detection of man in the browser style malware using namespace inspection
US9973525B1 (en) Systems and methods for determining the risk of information leaks from cloud-based services
CN107808095B (zh) 用于检测网页的异常元素的系统和方法
US20210203693A1 (en) Phishing detection based on modeling of web page content
US20210176274A1 (en) System and method for blocking phishing attempts in computer networks
US11082437B2 (en) Network resources attack detection
Hai et al. Detection of malicious URLs based on word vector representation and ngram
Hoffman et al. Ajax security
US20140283080A1 (en) Identifying stored vulnerabilities in a web service
RU2762241C2 (ru) Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами
US11470114B2 (en) Malware and phishing detection and mediation platform
CN111368231B (zh) 一种异构冗余架构网站的测试方法及装置
US11144636B2 (en) Systems and methods for identifying unknown attributes of web data fragments when launching a web page in a browser
WO2021133592A1 (en) Malware and phishing detection and mediation platform

Legal Events

Date Code Title Description
RH4A Copy of patent granted that was duplicated for the russian federation

Effective date: 20200827