RU2637477C1 - Система и способ обнаружения фишинговых веб-страниц - Google Patents
Система и способ обнаружения фишинговых веб-страниц Download PDFInfo
- Publication number
- RU2637477C1 RU2637477C1 RU2016152427A RU2016152427A RU2637477C1 RU 2637477 C1 RU2637477 C1 RU 2637477C1 RU 2016152427 A RU2016152427 A RU 2016152427A RU 2016152427 A RU2016152427 A RU 2016152427A RU 2637477 C1 RU2637477 C1 RU 2637477C1
- Authority
- RU
- Russia
- Prior art keywords
- phishing
- web page
- code
- data
- loaded
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
Изобретение относится к способам для обнаружения фишинговой веб-страницы. Техническим результатом является обнаружение фишинговых веб-страниц посредством создания правил обнаружения фишинговых веб-страниц с использованием по крайней мере одного уникального признака, идентифицирующего веб-страницу как фишинговую. Способ обнаружения фишинговой веб-страницы включает следующие шаги: загрузку на сервер фишинговой веб-страницы; выявление по крайней мере одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую; создание по крайней мере одного правила обнаружения фишинга с использованием по крайней мере одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую; формирование привязки дополнительных данных, включающих идентификацию цели фишинга, к по крайней мере одному правилу обнаружения фишинга; сохранение по крайней мере одного правила обнаружения фишинга вместе с привязкой дополнительных данных, идентифицирующих цель фишинга в хранилище данных; загрузку на сервер по крайней мере одной веб-страницы для проверки наличия фишинга; загрузку по крайней мере одного правила из хранилища данных; проверку в коде загруженной веб-страницы признаков фишинга по крайней мере одним загруженным правилом обнаружения фишинга; и идентификацию загруженной веб-страницы, как фишинговой веб-страницы, в случае обнаружения признаков фишинга в коде загруженной веб-страницы. 14 з.п. ф-лы, 7 ил.
Description
ОБЛАСТЬ ТЕХНИКИ
[0001] Настоящее изобретение относится к вычислительной технике и, более конкретно, к обнаружению веб-страниц посредством создания правил обнаружения фишинга с последующей идентификацией фишинговых веб-страниц и предназначено для обнаружения фишинга.
УРОВЕНЬ ТЕХНИКИ
[0002] В связи с бурным развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема выявления/обнаружения фишинговых сервисов и ресурсов (веб-сайтов, веб-страниц, приложений, включая приложения для мобильных платформ, например, Android-приложения, iOS-приложения и другие) с целью обеспечения защиты от интернет-мошенничества. Фишинг (от англ. phishing, произошедшего от и созвучного с английским словом fishing, которое, в свою очередь, переводится как лов рыбы, рыбалка, выуживание) представляет собой особый вид интернет-мошенничества, направленного на получение личных и конфиденциальных данных пользователей, в частности, логинам, паролям, ПИН-кодам банковских карт, срокам действия банковских карт, кодам проверки подлинности банковских карт (например, CVV2 или CVC2), номерам банковских карт, именам и фамилиям держателей банковских карт, телефонным номерам, кодовым, словам, кодам подтверждения операций (например, банковских переводов, оплаты услуг) и т.д.
[0003] Фишинговые ресурсы (веб-ресурсы, в частности, веб-сайты, веб-страницы и др.), представляют собой поддельный ресурс (поддельную веб-страницу, поддельный веб-сайт и т.д.), копирующий внешний вид известного/оригинального ресурса, так, например, фишинговые (поддельные) веб-страницы могут копировать внешний вид оригинальной интернет-страницы (веб-страницы) банка, системы электронных платежей, веб-страницы авторизации пользователя ресурса и т.д., на которых требуется ввести конфиденциальные данные, личную/персональную или приватную информацию и другую информацию, которая может представлять ценность для пользователя (его клиентов, знакомых, родственников и т.д.) и/или злоумышленников. Такие фишинговые веб-страницы (фишинговые ресурсы) создаются злоумышленниками (мошенниками) с целью получить важные для посетителя сайта/пользователя данные, а также конфиденциальную информацию пользователя/посетителя ресурса.
[0004] Собранные в результате фишинга (фишинг-атак) данные могут быть использованы мошенниками, например, для кражи денежных средств держателя банковской карты (например, путем вывода денежных средств с банковского счета), а также с целью получения прибыли за возврат украденных логина и пароля (пароль пользователя изменяется мошенниками, что делает невозможным пользователю использовать связку логин-пароль, например, для авторизации на ресурсе/входа на веб-сайт), с целью получения денежных средств у жертвы фишинга за неразглашение какой-либо информации и так далее.
[0005] Ссылки на фишинговые ресурсы могут рассылаться через CMC-сообщения, так называемый, SMS-фишинг, также известный как смишинг/SMiShing - от английских "SMS" (Short Message Service - «служба коротких сообщений») и "Phishing". Ссылки на фишинговые ресурсы могут также содержаться в рассылаемых письмах электронной почты (e-mail), размещаться на различных сайтах, включая веб-страницы социальных сетей, а также содержаться в компьютерных программах (например, офисных приложениях), включая компьютерные программы/приложения для мобильных платформ, например, Android, iOS и др.
[0006] На текущий момент существуют различные технологии и способы обнаружения фишинговых ресурсов (например, веб-страниц) путем анализа URL-адресов по URL-маскам (от англ. URL - Uniform Resource Locator/Universal Resource Locator - Единый Указатель Ресурса), доменных имен по вхождению ключевых слов, а также путем проверки наличия загружаемого содержимого с официальных веб-сайтов, наличия на веб-сайтах изображений, характерных для определенного бренда (например, названия банка, платежной системы, ресурса/веб-ресурса, веб-страницы, сервиса, услуге, типу услуг и т.д.), и, включая, репутацию ресурса. Такие способы и технологии борьбы с фишингом, интернет мошенничеством и получением неправомерного доступа к конфиденциальной информации пользователя (посетителя интернет-страниц, веб-страниц, пользователя приложений, включая мобильные приложения, например, для Android, iOS и т.д.) и, в частности, способы и технологии обнаружения фишинговых веб-страниц также могут включать определение даты регистрации доменного имени (включая срок окончания регистрации доменного имени), способы вычисления хэш-сумм(ы) веб-страниц с последующим сравнением полученной хэш-суммы (полученными хэш-суммами) с ранее полученными и сохраненными хэш-суммами веб-страниц. Хэш-сумма (хэш, хэш-код) является результатом обработки данных хэш-функцией. Функция, выполняющая преобразование массива входных данных в битовую строку определенной длины посредством выполнения заданного алгоритма, называется хэш-функцией.
[0007] Для обхода обнаружения попыток фишинга, описанными выше способами, интернет-мошенники используют различные способы, например:
[0008] - размещают фишинговые веб-страницы на скомпрометированных веб-сайтах, с хорошей репутацией и историей существования домена, что позволяет интернет-мошенникам эффективно бороться со способами обнаружения фишинга, основанными на репутации и истории веб-ресурса;
[0009] - создают URI-пути (от англ. URI - Uniform Resource Identifier/Universal Resource Identifier - Унифицированный Идентификатор Ресурса) до фишинговой веб-страницы без упоминания бренда, названия компании, названия системы, что позволяет эффективно бороться со способами обнаружения фишинговых веб-страниц путем анализа URL-адресов по маскам;
[0010] - создают фишинговые веб-страницы с динамическим контентом, что не позволяет обнаруживать фишинговые веб-страницы путем создания хэш-сумм таких фишинговых веб-страниц и сравнения полученных и сохраненных хеш-сумм веб-страниц;
[0011] - создают автономные фитиновые веб-страницы, которые не загружают элементы веб-страниц с официальных веб-сайтов (например, с сайтов компаний, платежных систем и т.д.), а загружают для таких фишинговых веб-страниц элементы, хранящиеся локально (либо элементы таких фишинговых веб-страниц могут быть загружены с файловых хостингов, включая фото-хостинги, и т.д.), т.е. не с официальных ресурсов, что позволяет избежать обнаружения таких фишинговых веб-страниц и не позволяет установить факт фишинга по источникам загрузки контента (содержания) на фишинговой веб-странице.
[0012] Для упрощения создания фишинговых веб-страниц интернет-мошенниками используются, так называемые, фишинговые наборы или фишинг киты (от английского - phishing kits), которые представляют собой готовый набор веб-страниц, скриптов, конфигурационных файлов и т.д., в которых указывается то, как необходимо обрабатывать собираемую с помощью фишинга информацию. Подобные фишинговые наборы, как и фишинговые веб-страницы, имеют уникальные характеристики (уникальные признаки, сигнатуры/фишинговые сигнатуры), по которым имеется возможность создавать специальные правила, по которым существует возможность идентифицировать такие фишинговые наборы, фишинговые ресурсы, фишинговые веб-страницы и т.д.
[0013] Соответственно, основываясь на анализе существующего уровня техники и возможностей, существует потребность в данной области техники в обнаружении фишинговых веб-страниц. Результат заключается в обнаружении фишинговой веб-страницы посредством создания, по крайней мере, одного правила обнаружения фишинговой веб-страницы с использованием, по крайней мере, одного уникального признака, идентифицирующего веб-страницу как фишинговую.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[0014] Технический результат настоящего изобретения заключается в обнаружении фишинговых веб-страниц посредством создания правил обнаружения фишинговых веб-страниц с использованием, по крайней мере, одного уникального признака, идентифицирующего веб-страницу как фишинговую.
[0015] Согласно одному из вариантов реализации предлагается способ для обнаружения фишинговой веб-страницы, включающий следующие шаги: загрузку на сервер фишинговой веб-страницы; выявление, по крайней мере, одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую; создание, по крайней мере, одного правила обнаружения фишинга с использованием, по крайней мере, одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую;; формирование привязки дополнительных данных, включающих идентификацию цели фишинга, к, по крайней мере, одному правилу обнаружения фишинга; сохранение, по крайней мере, одного правила обнаружения фишинга вместе с привязкой дополнительных данных, идентифицирующих цель фишинга в хранилище данных; загрузку на сервер, по крайней мере, одной веб-страницы для проверки наличия фишинга; загрузку, по крайней мере, одного правила из хранилища данных; проверку в коде загруженной веб-страницы признаков фишинга, по крайней мере, одним загруженным правилом обнаружения фишинга и идентификацию загруженной веб-страницы, как фишинговой веб-страницы, в случае обнаружения признаков фишинга в коде загруженной веб-страницы.
[0016] В одном из частных вариантов реализации загрузка веб-страницы включает загрузку кода веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.
[0017] В одном из частных вариантов реализации код загруженной веб-страницы включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код Java-апплетов.
[0018] В одном из частных вариантов реализации код, содержащийся в файлах, связанных с загруженной веб-страницей, включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код Java-апплетов.
[0019] В одном из частных вариантов реализации выявление уникального признака осуществляется в коде загруженной веб-страницы и коде, содержащемся в файлах, связанных с загруженной веб-страницей.
[0020] В одном из частных вариантов реализации уникальные признаки представляют собой последовательность байтов и/или части кода загруженной веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.
[0021] В одном из частных вариантов реализации в коде загруженной веб-страницы уникальные признаки определяются частотой содержания последовательности байтов и/или частей кода, соответствующих уникальным признакам, в, по крайней мере, двух фишинговых наборах, и/или на, по крайней мере, двух веб-страницах, содержащих фишинг или связанных с фишингом.
[0022] В одном из частных вариантов реализации правило обнаружения фишинга описывается регулярным выражением.
[0023] В одном из частных вариантов реализации идентифицированные фишинговые веб-страницы сохраняются в базу данных фишинговых веб-страниц.
[0024] В одном из частных вариантов реализации дополнительные признаки включают бренд, на который направлен фишинг и/или официальный домен бренда, и/или направление фишинга, и/или объект фишинга, и/или вектор фишинга.
[0025] В одном из частных вариантов реализации выявляются два и более уникальных признака, идентифицирующих загруженную страницу как фишинговую при невозможности формирования правила обнаружения фишинга на основе одного уникального признака.
[0026] В одном из частных вариантов реализации хранилище данных представляет собой оперативное запоминающее устройство (ОЗУ) и/или жесткий диск, и/или сетевая система хранения данных и/или онлайн хранилище.
[0027] В одном из частных вариантов реализации загрузка веб-страницы включает загрузку содержимого, определяемого плавающим фреймом "iframe" веб-страницы.
[0028] В одном из частных вариантов реализации уникальные признаки определяются вручную оператором, ответственным за создание правила обнаружения фишинга.
[0029] В одном из частных вариантов реализации фишинговая веб-страница может быть загружена из базы данных фишинговых веб-страниц и/или из базы данных ссылок на фишинговые веб-страницы, и/или с фишинговых веб-сайтов, и/или с веб-сайтов, связанных с фишингом, и/или с компьютерного устройства пользователя, и/или из сетевых сенсоров, и/или из журналов-событий приложений, и/или из систем оповещений, электронных писем, приложений и веб-сервисов для обмена сообщениями, и/или посредством формы обратной связи.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0030] Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
[0031] ФИГ. 1 иллюстрирует пример веб-страницы, которая может являться фишинговой веб-страницей или является эталонной фишинговой веб-страницей;
[0032] ФИГ. 2 иллюстрирует пример поиска уникальных признаков в HTML-коде фишинговой веб-страницы с использованием специального правила;
[0100] ФИГ. 3 иллюстрирует пример визуального отображения сохраненного правила;
[0101] ФИГ. 4 иллюстрирует блок-схему создания специального правила для идентификации фишинговых ресурсов, в частности, фишинговой веб-страницы, касательно настоящего изобретения;
[0102] ФИГ. 5 иллюстрирует блок-схему идентификации фишинговых ресурсов на примере анализа HTML-кода фишинговой веб-страницы касательно настоящего изобретения;
[0103] ФИГ. 6 иллюстрирует вариант системы, реализующей настоящее изобретение;
[0104] ФИГ. 7 иллюстрирует пример компьютерной системы общего назначения.
ОПИСАНИЕ ВАРИАНТОВ ОСУЩЕСТВЛЕНИЯ ИЗОБРЕТЕНИЯ
[0033] Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
[0034] Процесс обнаружения/выявления фишинговых веб-страниц условно можно разделить на два этапа:
[0035] - создание специального правила для идентификации фишинговой веб-страницы;
[0036] - идентификация фишинговой веб-страницы.
[0037] Создание специального правила для идентификации фишинговой веб-страницы включает в себя получение для анализа на фишинг фишинговой веб-страницы (эталонной фишинговой веб-страницы или ссылки на подобные фишинговые веб-страницы), на основе которой создаются специальные правила, при помощи которых имеется возможность распознавать полученную веб-страницу как фишинговую, или другие фишинговые веб-страницы. Фишинговая веб-страница может быть загружена в, например, систему для создания, по крайней мере, одного специального правила (правило обнаружения фишинга) для загруженной веб-страницы. Стоит отметить, что загрузка веб-страницы может включать загрузку файлов, связанных с веб-страницей, так, например, для загруженной веб-страницы «index.html» могут быть загружены файлы таблиц стилей «css» (например, «style.css»), а также файлы типа «html» и/или «php», и/или java-скрипты, и/или код Java-апплетов. Стоит также отметить, что загрузка кода загруженной веб-страницы может включать загрузку кода, связанных с загруженной веб-страницей файлов, описанных выше. Также фишинговая веб-страница может быть получена на рабочее место (в компьютерную системы, например, сервер, персональный компьютер, терминал и т.д.) оператора, который занимается написанием специальных правил. Стоит также отметить, что фишинговая веб-страница может быть загружена в компьютерную систему, которая способна отображать полученную веб-страницу оператору для создания специальных правил, в том числе в удобочитаемом для оператора виде, например, в виде HTML-кода. В качестве эталонной фишинговой веб-страницы может быть использовала любая веб-страница, потенциально содержащая в себе следы фишинга или связанная с фишинг атакой, фишинговыми ресурсами и т.д. либо ранее распознанная как фишинговая. Эталонная фишинговая веб-страница (или ссылка на фишинговый ресурс, веб-страницу) может быть получена, например, из существующих баз данных фишинговых веб-страниц и/или баз данных ссылок на фишинговые веб-страницы, с фишинговых веб-сайтов, а также фишинговые веб-страницы или ссылки на них могут быть получены с устройства пользователя, сервера, персонального компьютера, например, от клиентов или сотрудников банка, администраторов ресурса или сервиса, посредством известных технологий и способов, включая упомянутые в описании настоящего изобретения. Также источниками ссылок на фишинговые ресурсы могут быть получены от сетевых сенсоров, из журналов-событий приложений, алертов (от англ. - alerts - сигналы, оповещения) от различных систем, из электронных писем, из мессенджеров (он англ. Messenger - программа, мобильное приложение или веб-сервис для обмена сообщениями) либо могут быть получены путем формы обратной связи, например, в виде ссылки на такую фишинговую веб-страницу, а также любые другие источники ссылок, указателей на фишинговые ресурсы. Ссылки на фишинговые ресурсы также могут быть определены в данных, переданных на анализ на предмет наличия возможного фишинга.
[0038] Как было сказано ранее, фишинговые веб-страницы могут копировать любые оригинальные веб-страницы или выдавать себя за них. В качестве примера здесь будет рассмотрена фишинговая веб-страница перевода денежных средств с банковской карты или на банковскую карту.
[0039] На ФИГ. 1 показан пример фишинговой веб-страницы (эталонной фишинговой веб-страницы) 100. Эталонная фишинговая веб-страница, как правило, внешним видом не отличается или мало отличается от оригинальной веб-страницы. Стоит отметить, что фишинговые веб-страницы могут отличаться (частично или полностью) от оригинальных веб-страниц и других ресурсов, как визуально, так и программным кодом.
[0040] Процесс получения эталонной фишинговой веб-страницы включает загрузку HTML-кода в программное обеспечение, способное отображать загруженный код, в том числе в удобочитаемом для оператора виде. Таким программным обеспечением может являться веб-браузер и встроенные в него инструменты разработчика (позволяющие просматривать загруженный код), консольные приложения, текстовый редактор (например, Notepad++), в специальное программное обеспечение, способное визуализировать HTML-код и/или анализировать его, HTML-редактор и т.д., а также стандартными приложениями, поставляющимися вместе с операционными системами, например, как Блокнот (Notepad) в операционной системе Windows.
[0041] После загрузки HTML-кода осуществляется анализ загруженного HTML-кода веб-страницы для выявления в нем уникальных признаков фишинговой веб-страницы, по которым можно однозначно идентифицировать подобные фишинговые веб-страницы. Уникальные признаки могут быть представлены набором (последовательностью) байтов в коде HTML-страницы. Стоит отметить, что уникальные признаки могут содержать последовательность байтов, относящихся к бренду, к цели фишинга или направлению фишинга. Анализ загруженного HTML-кода эталонной фишинговой веб-страницы может выполняться вручную, например, программистом/разработчиком программного обеспечения, системным администратором, оператором компьютерного устройства и т.д., на который была передана эталонная фишинговая веб-страница и HTML-код которой был загружен. Также анализ загруженного HTML-кода эталонной фишинговой веб-страницы может выполняться автоматически, например, специально написанным для этого программным обеспечением, способным выявлять уникальные признаки фишинговой веб-страницы.
[0042] Подобные уникальные признаки, содержащиеся в HTML-коде фишинговой веб-страницы, могут включать идентификаторы различных операций (например, с банковскими картами, системами электронных платежей и т.д.), различные зарезервированные или часто использующиеся слова и словосочетания (например, название организации/компании, название операции с денежными средствами, название сервиса или продукта, включая программные продукты и приложения), код или части кода, использующиеся для идентификации пользователя или действий, совершаемых им. К идентификаторам различных операций (по перечислению денежных средств, оплаты услуг и т.д.) можно отнести "Номер карты получателя" денежного перевода, "Подписать платежное поручение", "Принять перевод" и т.д.
[0043] Ниже приведен пример HTML-кода примерной фишинговой веб-страницы (примерной эталонной фишинговой веб-страницы):
[00108] Строки, подстроки, другие составные части приведенного выше кода могут отличаться, например, в зависимости от ресурса, с которых они получены или распространяются, типа фишинговых-атак, использования дополнительных скриптов загрузки данных, связанных или возможно относящихся к фишинговым ресурсам и т.д. Хотя выше приведенный код является HTML-кодом, стоит отметить, что вместо HTML-кода могут использоваться скрипты (например, php-скрипты, Java-код, ява-скрипты/js.java-скрипты), код разметки веб-страниц, подгружаемый код, а также поток данных/ потоковые данные, которые могут быть использованы с различными преобразованиями и/или без них, и т.д..
[00109] Для примерного варианта фишинговой веб-страницы (или потенциально фишинговой веб-страницы), приведенной на на ФИГ. 1, в ходе анализа приведенного выше примерного варианта HTML-кода могут быть выявлены уникальные признаки, например:
[00110] - заголовок «Перевод с карты» (<title>Перевод с карты) или просто набор слов/символов и т.д., например, «Перевод с карты», который соответствует данным 110, отображенным на полученной веб-странице на ФИГ. 1;
[0105] - блок с меткой «b-card-payment-creditcard» (в частности, часть кода, например, HTML-кода, который может включать сочетание слов/набор символов, ссылок, тегов и т.д.);
[0106] - наличие слова «bank-name», например, между упомянутым заголовком и блоком с меткой «b-card-payment-creditcard», причем такое слово может относиться, например, к бренду (названию банка, сервиса, сайта, типу услуги и т.д.). Названия официальных имен/названий брендов (названий брендов, принадлежащих соответствующим владельцам: компаниям, веб-ресурсам, приложениям и т.д.), которые могут быть использованы для установления факта их использования на веб-страницах, в частности, фишинговых веб-страницах (а также в HTML-коде таких веб-страниц), могут храниться в памяти оператора, отвечающего за идентификацию веб-страниц, а также могут храниться в словарях (хранящихся на цифровых или бумажных носителях информации), таблицах, базах данных брендов и в любых других форматах и формах, позволяющих использовать их для установления факта их наличия на анализируемых веб-страницах на предмет их отношения к фишингу.
[0107] Уникальность описываемых в рамках настоящего изобретения признаков фишинга (уникальных признаков фишинга) может быть установлена/выявлена оператором (отвечающим за анализ HTML-кода) либо с использованием программного обеспечения, способного самостоятельно или при некоторой помощи оператора выявлять подобные уникальные признаки. Уникальность таких признаков может определяться (как оператором, так и программным обеспечением с или без помощи оператора или пользователя, например, пользователя, владельца веб-ресурса и т.д., на которого направлена фишинг-атака или который подозревает какой-то ресурс, веб-страницу в вовлеченности в фишинг) частотой использования некоторых слов, словосочетаний, частей HTML-кода и т.д., которые, например, могут быть связаны с брендом, названием официального или фишингового ресурсов и т.д. Так, например, название банка «bank-name» может встречаться несколько раз на одной HTML-странице или других веб-страницах, в фишинговых китах и т.д. Также такие уникальные признаки или их части могут быть связаны с фишинговыми наборами, например, встречаться в нескольких фишинговых наборах, на нескольких фишинговых веб-страницах или любых других веб-страницах, потенциально связанных с фишинг-атаками. Уникальность таких признаков может устанавливаться эмпирическим способом либо путем использования правил обнаружения подобных уникальных признаков, реализованных различными алгоритмами, учитывающими, например, наличие уникальных признаков в фишинговых наборах, базах данных фишинговых веб-страниц, и позволяющих находить такие уникальные признаки в коде HTML-страницы без участия оператора, отвечающего за выявление таких уникальных признаков. Такие правила обнаружения уникальных признаков могут храниться вместе с фишинговыми веб-страницами (например, эталонными фишинговыми веб-страницами) и/или с результатами анализа запросов на проверку ресурса на фишинг и/или с сохраненными уникальными признаками либо могут храниться в отдельной базе данных.
[0108] Уникальность выбранных признаков определяется набором установленных (оператором/пользователем устройства или с использованием компьютерных систем, включая установленное на нем программное обеспечение) признаков, поскольку каждый упомянутый признак в отдельности или в совокупности с остальными признаками и правилами, определяющими их, не обязательно является уникальным. Стоит также отметить, что если фишинговый ресурс копирует содержимое официального ресурса, то в качестве уникальных признаков могут выступать и использоваться элементы (например, скрипты, текст, изображения, теги и т.д.), отсутствующие на официальном ресурсе.
[0109] Такие найденные уникальные признаки, в данном случае, три уникальных признака, могут быть описаны специальным правилом (регулярным выражением), например:
[0110] Стоит отметить, что специальные правила могут включать теги, спецсимволы, код, относящийся к разметке страницы, а также ссылки и части скриптов и ресурсов, на которые ссылается код анализируемого ресурса. При построении специального правила могут быть использованы дополнительные специальные символы и/или коды или их сочетание, специальная комбинация символов, например, для обозначения пробелов между словами или частями кода, коды начала новой строки, табуляции и т.д. В данном случае, примером такой комбинации символов может служить «/s», которая здесь используется для обозначения пробела между словами и буквами, так «Перевод\sc\sкарты» есть ни что иное, как запись «Перевод с карты» в формате определенного специального правила. «*?» в приведенном выше правиле обозначает ленивую квантификацию. Ленивая квантификация позволяет искать наиболее короткие строки, т.е. представляет собой стремление захватить максимально короткую строку, которая соответствует шаблону. Ленивый квантификатор является противоположностью жадного квантификатора и означает «повторять минимальное количество раз». Жадный квантификатор представляет собой стремление (интерпретатором) захватить максимально длинную строку, которая соответствует шаблону. Регулярное выражение представляет собой средство для обработки строк или последовательность символов/байтов определяющее шаблон текста. Примером ленивого квантификатора в регулярных выражениях могу выступать следующие квантификаторы вида «*?», «+?», «{n,}?» и т.д..
[0111] Стоит отметить, что приведенный пример записи специального правила является иллюстративным, поскольку подобные специальные правила могут быть построены и записаны любым способом и в любом виде, в частности, в том виде, который может быть «понят», обработан, распознан программным обеспечением, позволяющим производить поиск по данным (записанным, например, в виде HTML-кода) с использованием подобных специальных правил/регулярных выражений. Специальные правила/правило поиска/регулярные выражения (англ. regular expressions) представляют собой формальный язык поиска и осуществления манипуляций со строками и их составляющими в наборе данных, который, как правило, использует метасимволы, символы подстановки.
[0112] Специальное правило использует строку-шаблон/строку-маску (в приведенном здесь примере - , которая состоит из символов и метасимволов и определяет особенности поиска в наборе данных.
[0113] Таким образом, в одном из вариантов изобретения составление специального правила представляет собой объединение уникальных признаков в специальное правило.
[0114] После создания подобного специального правила оно может быть использовано для проверки наличия подобных уникальных признаков в фишинговых наборах, в HTML-коде веб-страниц, например, полученных для анализа на предмет фишинга.
[0115] Результат применения специального правила к исходному коду той же самой веб-страницы, на которой были найдены уникальные признаки наличия фишинга и по которым создавалось специальное правило, показан на ФИГ. 2.
[0116] На ФИГ. 2 показан пример поиска уникальных признаков в HTML-коде фишинговой веб-страницы с использованием специального правила. Также на ФИГ. 2 показан пример найденных уникальных признаков (в данном случае, 240, 250 и 260), определенных специальным правилом 220 в строке поиска 225 по специальному правилу.
[0117] Блок 230 представляет собой блок найденной информации, характеризующий однозначно или тем или иным способом (например, частично) фишинг, при применении упомянутого выше специального правила 220 на исходном HTML-коде эталонной фишинговой веб-страницы, приведенной на ФИГ. 1. В каждом отдельном случае, в зависимости от специального правила, размер блока найденных данных, частей данных и так далее может отличаться от, в зависимости от признаков фишинга, показанных на ФИГ. 2, т.е. блок данных зависит от специального правила, т.е. при использовании разных специальных правил будут найдены различные блоки данных.
[0118] В ходе составления/написания специального правила и/или его проверки и/или использования на известных (или не известных) фишинговых ресурсах может возникнуть ситуация ложного «срабатывания» специального правила, например, веб-страница, которая не имеет отношения к фишингу может быть расценена написанным специальным правилом как фишинговая. Так, например, если использовать специальное правило (т.е. с отсутствием, например, одного из уникальных признаков) вместо , то, скорее всего, будет найдена, как минимум, одна веб-страница, которая не имеет отношения к фишинг-атакам.
[0119] Фон, иконки, источники загружаемых элементов веб-страниц, и другие параметры, например, стили веб-страницы, шрифты и т.д. могут меняться от ресурса к ресурсу, но наличие упомянутых специальных признаков позволяет идентифицировать аналогичные фишинговые ресурсы (в частности, веб-страницы).
[0120] Таким образом, использование созданного специального правила с определенными уникальными признаками позволяет определить тот факт, что ресурс является фишинговым ("поддельным", "фейковым", потенциально опасным для пользователя и/или компании, сайта и т.д.) ресурсом. В случае неоднозначности в идентификации фишинговых ресурсов, используемое специальное правило может быть изменено, например, дополнено дополнительными уникальными признаками. Так, специальное правило позволяет определить, является ли запрошенная для анализа на фишинг веб-страница фишинговой, т.е. тем или иным способом связанной с фишинг-атаками, либо любым другим видом мошеннической деятельности, охватываемой данным изобретением или придуманной в будущем.
[0121] Описанные выше специальные правила могут быть использованы для идентификации фишинговых страниц в качестве правил идентификации фишинговых веб-страниц.
[0122] Такие правила идентификации, как правило, создаются под совокупность фишинговых наборов (или один фишинговый набор, который в свою очередь может быть связан тем или иным способом с другими подобными фишинговыми наборами и/или веб-страницами, веб-ресурсами и т.д.), фишинговый ресурс (например, веб-ресурс, мобильный ресурс и т.д.), фишинговую веб-страницу, в том числе, конкретный фишинговый набор, конкретную веб-страницу, конкретный ресурс/веб-ресурс. Такие "поддельные" ресурсы (фишинговые наборы, веб-страницы, веб-ресурсы, приложения и т.д.), как правило, соответствуют используемым мошенниками целям проведения фишинговых атак (фишинга, включая косвенный фишинг, где используются сторонние ресурсы или средства для возможного фишинга, а также связи с фишинговыми ресурсами, возможностью их запуска, включая веб-ссылки, использование различных скриптов, в том числе написанных на различных языках программирования, включая С#, Java, JavaScript и т.д.), названиям организаций, доменным именам, названиям сайтов, брендов, ключевым признакам сайта или приложениям, отличительным знакам, изображениям, слоганам, фразам, касающимся регистрации пользователя или касающимся совершению той или иной операции, включая финансовые операции, операции по передаче данных, получение информации о банковских картах и т.п.
[0123] Используя описанный выше подход и связанный с ними возможные подходы реализации настоящего изобретения все последующие фишинговые ресурсы, веб-страницы и т.д., выявленные с использованием такого специального правила могут быть использованы не только для выявления фишинга, но и для выявления цели фишинга, например, используемого/эксплуатируемого злоумышленниками известного бренда, названия веб-ресурса, доменного имени, названия организации, который подвергается или может использован в процессе фишинговой атаки. Также стоит отметить, что описанный выше подход позволяет идентифицировать назначение фишинговой веб-страницы/ресурса, например, как было описано выше, получение информации об идентификационных, регистрационных данных пользователя, посетителя ресурса (логине и пароле), сбор персональных данных, получение информации о банковских картах и счетах и т.д.
[0124] После определения эксплуатируемого (с целью фишинга) ресурса, бренда, связанных с ним электронных устройств и/или размещенных посредством цифровых технологий, официальные (легитимные) домены (доменные имена) эксплуатируемого бренда могут быть привязаны к созданным специальным правилам (специальному правилу), включая сохранение таких привязанных/связанных ресурсов, доменных имен, бренда и т.д. в базе данных, что позволяет минимизировать вероятность ложного срабатывания при анализе официальных ресурсов, веб-сайтов. Стоит отметить, что привязка доменного имени, бренда, официальных доменов и т.д. может представлять собой добавление в конец созданного и опционально сохраненного в файл, базу данных и т.д. либо хранимого в ОЗУ регулярного выражения, например, либо представлять собой связанные между собой ячейки таблицы, в которой могут быть сохранены регулярные выражения и связанная с ней упомянутая информация, включающая, например, название бренда, доменное имя бренда и т.д. Специальные правила могут храниться, как минимум в одной базе данных в одной таблице базы данных или в нескоьких таблицах базы данных. Так, например, при хранении правил и связанных с ним связанных ресурсов, доменных имен, брендов и т.д. в одной таблице, правило может храниться в одной ячейке таблицы базы данных, а в, как минимум одной ячейке, связанной или соответствующей ячейке таблицы с сохраненным специальным правилом, может храниться как минимум одно значение, соответствующее бренду, доменному имени, цели фишинга и т.д. При хранении специальных правил в одной таблице, а привязанных к ним брендов, доменных имен и т.д. - в той же или другой, как минимум одной, таблице той же базы данных или, как минимум одной, другой базе данных, то между таблицами и ячейками таблиц соответствующих специальному правилу и связанным с ним брендов, доменных имен и т.д., может быть установлена связь, например, в виде ссылок или при помощи любых других механизмов баз данных. Так, одна ячейка с сохраненным правилом первой таблицы базы данных может ссылаться на, как минимум, одну ячейку второй таблицы с, как минимум одним, сохраненным брендом, доменным именем, целью фишинга и т.д. Также одна ячейка с сохраненным специальным правилом в таблице первой базы данных специальных ссылок может ссылаться на, как минимум одну ячейку с, как минимум одним, значением для бренда, доменного имени и т.д., как минимум одной таблицы базы данных брендов, доменных имен и т.д. Также возможен вариант, когда ячейка таблицы из базы/баз данных брендов, доменных имен и т.д. ссылается на, как минимум одну ячейку с сохраненным специальным правилом таблицы базы данных специальных правил. Подобным образом устанавливается соответствие между специальными правилами и брендами, доменными именами и т.д., а также устанавливается связь между брендами, доменными именами и т.д. и специальными правилами. Стоит также отметить, что поскольку фишинговые веб-страницы дублируют (в той или иной степени) содержание/контент или часть официальных ресурсов, то может возникнуть ситуация, когда при анализе на фишинг специальное правило может дать положительный результат на официальный сайт (когда анализ на фишинг идентифицирует официальную страницу бренда, оригинальный ресурс как фишинговый или связанный с фишинг-атаками). В связи с этим с целью исключения возникновения подобных ситуаций специальные правила могут быть связаны с легитимными доменами, которые не будут участвовать или будут участвовать частично при анализе с использованием специальных правил (при анализе специальными правилами) или набором специальных правил.
[0125] После создания специального правила для обнаружения фишинговой веб-страницы оно может быть сохранено, например, в базу данных или оперативную память устройства, на котором выполняется идентификация фишинговых ресурсов. Специальное правило может быть сохранено в ту же базу данных, где хранятся эталонные фишинговые веб-страницы и/или в отдельную базу данных, а также могут храниться в ОЗУ или на жестком диске устройства, на котором проводилась и/или проводится проверка на возможные фишинг-атаки, например, на сервере, где установлено программное обеспечение или сервис для создания специальных правил, или на устройстве пользователя/сервере, сетевом оборудовании, с которого отправлен запрос на проверку факта фишинга.
[0126] Такие специальные правила могут храниться в любых известных форматах, например, в виде текстового файла, набора текстовых файлов, захешированных данных, таблиц, SQL-таблиц, набором данных, в том числе, в виде хеш-кодов для правил, которые в дальнейшем могут быть с высокой скоростью запрошены по запросу, например, в базу данных, включая реляционные базы данных, куда они были сохранены, в частности, по ключевому значению/ключевому слову/ключу, позволяющему определить нахождение сохраненного специального правила. Подобные специальные правила могут храниться в отдельной базе данных или могут храниться с другими данными, например, эталонными фишинговыми веб-страницами, ресурсами и т.д., в частности, но не ограничиваясь, описанными в данном изобретениями способами хранения данных, специальных правил, дополнительной информации, касающейся специальных правил и/или фишинговых ресурсов и т.д.
[0127] Также стоит отметить, что специальные правила могут сохраняться, как минимум, как одно регулярное выражение, а также, связанные с этим правилом/правилами признаки, например: бренд, цель и/или направление фишинга/фишинг атаки, официальные домены бренда и т.д. Так, например, целью фишинга может быть получение доступа к конфиденциальной информации/данным пользователей, например, паролям и регистрационным данным пользователей. К направлениям фишинга можно отнести направления, использующие такие способы как атака посредника «Маn-in-the-middle»; нападения подмены URL-адресов/веб-адресов; нападения, использующие межсайтовый скриптинг «Cross-site Scripting»; направления, использующие предварительно установленные сессии атак, подмену клиентских данных, использование уязвимостей на стороне клиента и так далее.
[0128] На ФИГ. 3 показан пример визуального отображения сохраненного правила. Как было описано выше, специальное правило может включать название бренда, либо имя ресурса и т.д., которое или которые связаны с составляемым/составленным/созданным специальным правилом, или скомпрометированным ресурсом. Также специальное правило может включать цель фишинга, объект фишинг-атаки, вектор мошеннических действий (определяемыми, например, направленностью и типами распространения вредоносного кода или намерений, а также целевыми объектами и технологиями, используемыми средствами и т.д.). Домен (доменное имя) может быть представлено, как минимум, одним легитимным доменом или списком легитимных доменов, ассоциированных с атакуемым брендом.
[0129] Название специального правила на ФИГ. 3 используется для возможности его поиска, например, в базах данных, включая базы данных сохраненных правил, эталонных фишинговых страниц и т.д. (как описано в рамках данного изобретения, но не ограничиваясь ими).
[0130] Созданное специальное правило может быть проверено, как описано в рамках данного изобретения, например, посредством нажатия кнопки (выбора манипулятором "Мышь") "Проверить".
[0131] Оператор также может отменить создание специального правила, или подтвердить сохранение специального правила посредством выбора кнопки "Сохранить".
[0132] На ФИГ. 4 показана блок-схема создания специального правила для идентификации фишинговых ресурсов, в частности, фишинговой веб-страницы.
[0133] Процесс начинается в шаге 410. В шаге 420 происходит получение эталонной фишинговой веб-страницы. В качестве эталонной фишинговой веб-страницы может быть получена любая веб-страница, указанными выше способами. Такая полученная веб-страница может считаться эталонной фишинговой веб-страницей после ее анализа и создания для нее специального правила с возможностью последующей идентификации фишинговых веб-страниц, а также с возможностью сохранения такой фишинговой веб-страницы в базу данных (эталонных) фишинговых страниц. Созданное правило также может быть сохранено для такой проанализированной веб-страницы, вне зависимости от того, была она в данный момент признана фишинговой веб-страницей или только может быть признана фишинговой веб-страницей в дальнейшем.
[0134] После получения фишинговой веб-страницы процесс переходит к шагу 430, в котором происходит загрузка HTML-кода эталонной фишинговой веб-страницы, как было описано выше. После загрузки HTML-кода фишинговой веб-страницы в шаге 440 выполняется поиск уникальных признаков, которые могут использоваться для определения фишинга, в том числе, фишинговых ресурсов, веб-страниц и т.д.
[0135] Далее процесс переходит к шагу 450, в котором выполняется процесс создания специального правила обнаружения фишинга по уникальным признакам. Например, оператор может создать/написать регулярные выражения согласно правилам построения регулярных выражения, используя в качестве параметров регулярных выражения, Такие уникальные признаки могут быть установлены, например, оператором (отвечающим за выявление уникальных признаков, создание специальных правил, выявление фишинга) посредством ручного анализа HTML-кода (или любого другого набора данных, структурированных, частично структурированных, неструктурированных, включая компилированные, зашифрованные, закэшированные, захэшированные, обфусцированные данные и т.д. с возможностью предварительного дополнительного преобразования данных в "читаемый" формат, например, которые могут быть проанализированы упомянутым выше программным обеспечением для анализа таких данных с целью выявления уникальных признаков и подобных им) с целью выявления последовательности байтов/символов, частей кода, например, HTML кода, характеризующих, как минимум, одну фишинговую атаку. Упомянутые выше данные могут быть получены в виде потока данных (включая получаемые онлайн данные веб-страниц) от упомянутых в данном изобретении источников данных, включая внешние (например, в виде программных или аппаратных средств, в том числе упомянутых выше, но не ограничиваясь ими) и внутренние источники данных, например, источники данных, которые входят в состав устройства (и/или подключенные к ним посредством интерфейса для передачи данных), на котором производится анализ данных для выявления уникальных признаков и/или для создания специальных правил.
[0136] После шага 450 процесс переходит к шагу 460, в котором происходит привязка дополнительных данных, например, бренда, цели фишинга, официальных доменов и т.д., описанных в рамках данного изобретения, но не ограниченных данным описанием. Данная привязка дополнительной информации позволяет установить, что при использовании правила устанавливается не только факт наличия фишинг-атаки, но и определить и предоставить (например, оператору, пользователю, бренду и т.д.) дополнительную информацию, например, факт того, что данный бренд, веб-сайт, ресурс и т.д. эксплуатируется мошенниками для получения информации, как описано выше и далее по тексту описания изобретения.
[0137] После шага 460 процесс переходит к шагу 470, в котором происходит сохранение специального правила, в частности, для каждой веб-страницы создается отдельное специальное правило.
[0138] После шага 470 процесс создания специального правила для идентификации ресурса, в частности, фишингового ресурса, включая фишинговую веб-страницу завершается в шаге 480.
[0139] Как было сказано выше, после создания специального правила оно может быть использовано для идентификации фишингового ресурса (в частности, веб-ресурса, веб-страницы и т.д.). Примерный вариант идентификации фишингового ресурса показан на ФИГ. 5.
[0140] Процесс идентификации фишингового ресурса начинается в шаге 510. В шаге 520 происходит получение на анализ данных, потенциально содержащих данные, относящиеся к мошеннической деятельности, в том числе, фишингу, фишинг-атакам и т.д. Стоит отметить, что данные на проведение анализа/проверки на фишинг могут поступать из любых источников, например, указанных выше, а также журнала прокси-сервера, базы данных обмена вредоносными ссылками и т.д.
[0141] После шага 520 процесс переходит к шагу 530, в котором производится загрузка содержимого ресурса (веб-страницы и т.д.) с целью проведения анализа полученных данных, в частности, проводится анализ ссылок на веб-сайты, а именно, HTML-кода полученных данных, ссылок на мошеннические ресурсы и т.д.).
[0142] Далее процесс переходит к шагу 540, в котором осуществляется проверка факта загрузки контента/содержимого (например, содержимого веб-страницы) посредством "iframe" (плавающим фреймом), поскольку некоторые (атакующие) фишинговые ресурсы, сервисы, программы, скрипты и т.д. используют загрузку фишингового содержимого через "iframe", задействуя алгоритмы и механизмы включения, дополнения основного содержания веб-страницы другим подгружаемым или загружаемым содержимым (веб-страницы, подгружаемых скриптов, исполняемых вычислительными устройствами кодов и т.д.). Также, в процессе загрузки веб-страницы могут быть использованы средства и способы перенаправления на другой ресурс, в частности, веб-страницу, включая, так называемые, «короткие ссылки» (короткие URL-адреса, альтернативные URL, полученные путем сокращения URL с использованием различных сервисов/служб), и т.д. Таким образом, контент ресурса, в частности, содержание веб-страницы, не обязательно собирается из различных источников (например, с различных веб-сайтов, или папок/подпапок веб-сайта), в частности, клиент, оператор, например, из описанного в данном изобретении источника данных, может получить короткую ссылку (включая веб-ссылку или ссылку между базами данных, таблицами баз данных и т.д.), которая, в свою очередь, способна перенаправлять на другой, сторонний, вторичный или другой возможный ресурс с использованием и/или подключением/загрузкой дополнительных ресурсов, скриптов и т.д., а также активировать различные скрытые компьютерными системами и сервисами программные коды, в частности, связанные со злоумышленниками тем или иным способом. В этом случае, при посещении ссылки (например, URL) перенаправляется средствами браузера, скиптов, фишинговых программ, программ, которые установлены на устройстве пользователя и т.д., на фишинговый ресурс и/или ресурс, связанный с таким ресурсом.
[0143]. Тег <iframe> в HTML-документах используется для создания "плавающего" фрейма, расположенного внутри HTML-документа, который позволяет загружать содержимое (например, HTML-код) в область заданных размеров (включая полноразмерное окно в веб-браузере) другие документы, в частности, HTML-документы. Стоит отметить, что загрузка и/или дополнительная загрузка дополнительного фишингового контента (или связанного с ним контента, скриптов, ссылок и т.д.) возможно не только посредством "ifame", но и с использованием подобных или отличных от «iframe» способов загрузки/"скачивания" контента ресурсов и т.д..
[0144] Если в шаге 540 был установлен факт загрузки фишингового контента посредством iframe, то процесс переходит к шагу 550, в котором происходит загрузка содержимого, определяемого/указанного в iframe-теге или подобном инструменте, позволяющем загружать и/или подгружать дополнительные данные (контент веб-страницы, скрипты, исполняемый код и т.д.). В данном случае могут быть проанализированы, как загруженные в шаге 530 данные с ресурса, так и код (например, HTML-код), указанный/определенный в iframe. Наличие контента, дополнительно загружаемого, например, посредством тега «iframe» может быть установлено оператором путем обнаружения в коде HTML-страницы такого тега, либо посредством использования программного обеспечения, способного обнаружить тег «iframe» в коде HTML-страницы. В том случае когда HTML-код страницы содержит данные, загружаемые с использованием iframe-тега, может быть использован дополнительный обработчик наличия в коде веб-страницы тега <iframe>. Такой дополнительный обработчик способен идентифицировать наличие тега <iframe> (а также других элементов веб-страницы или связанных элементов с веб-страницей/ресурсом) и который способен определять необходимость загрузки таких данных совместно или отдельно от кода HTML-страницы, в которых он был обнаружен. Стоит также отметить, что загруженная страница (в частности, ее HTML-код) может содержать лишь данные, загружаемые при помощи тега <iframe> (или подобными и другими способами загрузки, дозагрузки данных/контента), т.е. веб-страница не содержит контента, кроме контента, загружаемого посредством тега «iframe», так что может потребоваться загрузить данные, определенные таким iframe-тегом отдельно. В этом случае будет проанализирован HTML-код, загружаемый посредством «iframe», а страница, содержащая тег «iframe» может быть идентифицирована как фишинговая, как и веб-страница, которая загружается посредством тега «iframe».
[0145] Как было сказано выше, для загрузки веб-страницы и, в частности, ее HTML-кода, (а также ее частей и связанных с ней других ресурсов, например, посредством скриптов, исполняемого кода либо других технологий) могут быть использованы веб-браузер, консольные утилиты или инструменты собственной реализации.
[0146] После шага 550 процесс переходит к шагу 560. Если в шаге 540 не был установлен факт загрузки фишингового контента посредством iframe-тега (и/или кода, способного обеспечивать дозагрузку и/или замену существующего контента веб-страниц, а также способного изменять ссылки на изображения, веб-ресурсы, веб-страницы и т.д., включая подмену реальных ссылок на фишинговые ссылки), то процесс также переходит к шагу 560.
[0147] В шаге 560 выполняется анализ загруженного кода (HTML-кода, кода скриптов, исполняемого кода и т.д.) с применением созданных и описанных выше специальных правил, причем загрузка HTML-кода выполняется одним из ранее описанных способов. Анализ HTML-кода загруженной веб-страницы по ранее созданным правилам заключается в проверке загруженного кода (HTML-кода загруженной веб-страницы, подгружаемого контента и т.д.) проверяемого ресурса (в частности, веб-страницы) на наличие характерных признаков. Для осуществления проверки может быть использован исполняемый вычислительными устройствами код, написанный на компилируемых, в том числе, промежуточных языках программирования, например, С++, С#, Phyton, а также различные прикладные и вспомогательные компьютерные программы для выполнения определенных задач, поддерживающие обработку и работу со специальными регулярными выражениями.
[0148] В том случае, если в анализируемом коде будет установлен факт наличия участков кода, подходящих под одно из специальных правил, то ресурс, которому принадлежит данных код (или код связан с данным ресурсом тем или иным способом, например, описанным выше), то такой ресурс может быть идентифицирован как фишинговый.
[0149] После анализа в шаге 560 процесс переходит к шагу 570, в котором устанавливается факт того, является ли ресурс фишинговым. В том случае, если анализируемый ресурс (веб-страница, часть полученных и анализируемых данных и т.д.) в шаге 570 не идентифицирован как фишинговый ресурс, то процесс переходит к шагу 590, в котором процесс идентификации фишингового ресурса завершается.
[0150] Если в шаге 570 было установлено, что анализируемый ресурс/данные имеют отношению к фишингу/фишинг-атакам, то процесс переходит к шагу 580, в котором осуществляется сохранение результатов анализа данных и ресурсов (в частности, веб-ресурсов) и факта того, что проверяемый ресурс имеет отношение к фишингу.
[0151] Сохранение результатов анализа данных, идентифицированных как имеющих отношение к фишингу, включает, но не ограничивается такими данными, как дата обнаружения фишинга, адрес фишингового ресурса, фишинговой веб-страницы, бренд, назначение/цель фишинга, HTML-код фишинговой страницы, снимок экрана (скриншот).
[0152] После шага 580 процесс идентификации завершается в шаге 590.
[0153] На ФИГ. 6 показан вариант системы, реализующей настоящее изобретение.
[0154] Как видно на ФИГ. 6, примерная система для реализации настоящего изобретения включает, процесс обнаружения фишинговых ресурсов 610. Процесс 610 включает, как минимум, один процесс, отвечающий за создание специальных правил для идентификации фешинговых ресурсов 400, и, как минимум, один процесс, отвечающий за идентификацию фишинговых ресурсов 500.
[0155] В частном случае, процессы 400 и 500 не зависят друг от друга, например, специальные правила (результат работы процесса 400) уже могут быть известны для фишингового ресурса (ссылка на который поступила, например, в виде ссылки, из источника данных для анализа 650), в таком случае продемонстрированный на ФИГ. 6 пример системы, может относиться к варианту идентификации фишинговых ресурсов, продемонстрированном на ФИГ. 5. Стоит также отметить, что пример представленной на ФИГ. 6 системы может быть реализован без идентификации фишингового ресурса, например, для создания специальных правил для идентификации фишингового ресурса, например, с целью пополнения, обновления базы данных 680 (или нескольких баз данных, в частности, связанных между собой) фишинговых ресурсов. В этом случае, продемонстрированный на ФИГ. 6 пример системы может являться примером осуществления варианта создания специального правила для идентификации фишинговых ресурсов, показанного на ФИГ. 4. Специальные правила могут быть сохранены, например, в ОЗУ, на устройстве хранения источника "запроса на фишинг" (запроса на проверку наличия фишинга, вредоносного кода и т.д.), в ПЗУ, ППЗУ, на устройстве, на котором происходит обработка запроса на фишинг, либо на подключаемых к таким устройствам и/или компьютерным системам хранилищам данных (жестким дискам, сетевым хранилищам, картам памяти и т.д.), например в базу данных 690 и/или 680. Созданные специальные правила могут быть использованы в дальнейшем при поступлении данных (например, представленных веб-страницей или ссылкой на веб-страницу и т.д.) на анализ на возможную причастность к фишингу, что означает совокупность использования совокупности операций, изображенных на ФИГ. 4 и ФИГ. 5.
[0156] Каждый из процессов (400, 500) может быть представлен независимым модулем, т.е. могут представлять собой два и более модулей, а не объединены в один модуль 610. Так, например, наличие нескольких модулей обнаружения фишинговых ресурсов 610 может быть задействован для обработки определенных типов фишинга, целей фишинга, различных брендов и т.д.
[0157] Примерами источников данных для создания специальных правил и/или для идентификации фишинговых ресурсов на могут служить серверы (652), мобильные устройства (654), персональный компьютер, ноутбук (656). Также в качестве источников данных, как было описано выше, могут выступать формы обратной связи на веб-сайтах, в приложениях (включая мобильные приложения на базе Android, iOS и других мобильных операционных систем), различные оповещения от различных устройств и программного обеспечения, включая, но не ограничиваясь ими, сетевые фильтры, сетевые сенсоры, сетевые экраны, антивирусные приложения, смс-сообщения, электронные письма (e-mail) и сообщения, потоковые данные, различные сервисы, включая веб-сервисы, блокировщики рекламной информации (659) и другие источники данных, ссылок и прочей информации, возможно связанной (или не связанной) с фишинговыми ресурсами 658.
[0158] Источник данных способен своими средствами или дополнительными средствами, например, с использованием интерфейсов, систем обмена данными, потоками данных, информацией, сообщениями, ссылками (например, URL-ссылками) в любых известных формах, форматах (включая текстовые форматы или их интерпретацию) и любыми известными способами отправлять данные (650) на анализ в 610.
[0159] Стоит отметить, что процесс 610 может быть выполнен как оператором и/или пользователем и т.д. (в том числе, с использованием программного обеспечения и/или сервисов, позволяющих проводить анализ полученных данных с целью обнаружения фишинговых ресурсов), так и быть автоматизированным, например, посредством обработки полученных на анализ данных компьютерными системами без вмешательства оператора и/или с его минимальным участием (к таким компьютерным системам можно отнести самообучающиеся системы, способные обрабатывать полученные данные на базе первоначально загруженных оператором системы данных, например, в виде исходных данных и алгоритмов обработки данных, создания специальных правил, сохранения специальных правил, результатов проведения анализа, например, на причастность к фишингу и другим фактам возможных мошеннических действий или наличия в полученных данных вредоносного кода).
[0160] Как было отмечено выше, результаты обработки данных на анализ могут быть сохранены, например, в базу данных (690 и/или 680), в ОЗУ (например, компьютерной системы, на которой выполняется проверка данных на предмет фишинга, либо на устройстве, с которого отправлен запрос на анализ данных, либо в пределах сервиса, который запросил анализ данных на предмет наличия фишинга, вредоносного кода, а также на устройствах, сервисах, в программном обеспечении, связанных с устройством, задействованном тем или иным способом с отправке запроса на анализ данных на предмет фишинга/фишинг-атаки). Стоит также отметить, что база данных 680 и база данных 690 могут быть представлены набором баз данных, расположенных на одном или нескольких компьютерных устройствах, устройствах для хранения данных и т.д. Формат, в котором могут храниться данных включает, но не ограничивается, таблицы, текстовые документы, наборы данных, хеш-таблицы, Б-деревья и т.д.
[0161] Также стоит отметить, что между упомянутыми базами данных может быть установлен обмен информацией, включая синхронизацию данных, дополнение одной базы данных данными из другой базы данных (баз данных), например, посредством дополнительного программного обеспечения, вычислительного устройства и/или посредством общего интерфейса.
[0162] После процесса идентификации фишингового ресурса (500) источнику ссылок может быть отправлен ответ, уведомление, смс-сообщение, инструкции (в виде исполняемого кода, инструкций для компьютерных систем и устройств), программный код и т.д. о том, что проанализированный ресурс является фишинговым или не является фишинговым, содержащим вредоносный код и т.д., включая наличие или отсутствие его связи с подобными мошенническими ресурсами.
[0163] Стоит отметить, что подобное уведомление может быть отправлено владельцу ресурса, на котором был замечен вредоносный код, например, посредством адреса электронной почты, который может быть найден вручную или с использованием автоматических средств поиска информации, например, на веб-страницах.
[0164] Также может быть подана команда (например, установленному программному обеспечению или встроенному программному обеспечению на источнике данных, отправленных на проверку) на блокировку загрузки контента с подозрительного ресурса, открытия идентифицированной фишинговой веб-страницы и т.д. Так, например, после установления фишинга, такой фишинговый ресурс может быть добавлен в базу данных антивирусных программ, сетевых фильтров, сетевых экранов и другого программного обеспечения, способного заблокировать доступ к ресурсам, определенным как фишинговым на основе предоставленной информации, а также подобный ответ, уведомление, смс-сообщение, инструкции, программный код от Z10 может использовать средства компьютерного устройства или сервисы, посредством которых возможно ограничение и/или блокирование пользователю/сервису/устройству доступа к определенному фишинговому ресурсу.
[0165] На ФИГ. 7 показан пример компьютерной системы общего назначения, которая включает в себя многоцелевое вычислительное устройство в виде компьютера 20 или сервера, включающего в себя процессор 21, системную память 22 и системную шину 23, которая связывает различные системные компоненты, включая системную память с процессором 21.
[0166] Системная шина 23 может быть любого из различных типов структур шин, включающих шину памяти или контроллер памяти, периферийную шину и локальную шину, использующую любую из множества архитектур шин. Системная память включает постоянное запоминающее устройство (ПЗУ) 24 и оперативное запоминающее устройство (ОЗУ) 25. В ПЗУ 24 хранится базовая система ввода/вывода 26 (БИОС), состоящая из основных подпрограмм, которые помогают обмениваться информацией между элементами внутри компьютера 20, например, в момент запуска.
[0167] Компьютер 20 также может включать в себя накопитель 27 на жестком диске для чтения с и записи на жесткий диск, не показан, накопитель 28 на магнитных дисках для чтения с или записи на съемный магнитный диск 29, и накопитель 30 на оптическом диске для чтения с или записи на съемный оптический диск 31 такой, как компакт-диск, цифровой видеодиск и другие оптические средства. Накопитель на 27 жестком диске, накопитель 28 на магнитных дисках и накопитель 30 на оптических дисках соединены с системной шиной 23 посредством, соответственно, интерфейса 32 накопителя на жестком диске, интерфейса 33 накопителя на магнитных дисках и интерфейса 34 оптического накопителя. Накопители и их соответствующие читаемые компьютером средства обеспечивают энергонезависимое хранение читаемых компьютером инструкций, структур данных, программных модулей и других данных для компьютера 20.
[0168] Хотя описанная здесь типичная конфигурация использует жесткий диск, съемный магнитный диск 29 и съемный оптический диск 31, специалист примет во внимание, что в типичной операционной среде могут также быть использованы другие типы читаемых компьютером средств, которые могут хранить данные, которые доступны с помощью компьютера, такие как магнитные кассеты, карты флеш-памяти, цифровые видеодиски, картриджи Бернулли, оперативные запоминающие устройства (ОЗУ), постоянные запоминающие устройства (ПЗУ) и т.п.
[0169] Различные программные модули, включая операционную систему 35, могут быть сохранены на жестком диске, магнитном диске 29, оптическом диске 31, ПЗУ 24 или ОЗУ 25. Компьютер 20 включает в себя файловую систему 36, связанную с операционной системой 35 или включенную в нее, одно или более программное приложение 37, другие программные модули 38 и программные данные 39. Пользователь может вводить команды и информацию в компьютер 20 при помощи устройств ввода, таких как клавиатура 40 и указательное устройство 42. Другие устройства ввода (не показаны) могут включать в себя микрофон, джойстик, геймпад, спутниковую антенну, сканер или любое другое.
[0170] Эти и другие устройства ввода соединены с процессором 21 часто посредством интерфейса 46 последовательного порта, который связан с системной шиной, но могут быть соединены посредством других интерфейсов, таких как параллельный порт, игровой порт или универсальная последовательная шина (УПШ). Монитор 47 или другой тип устройства визуального отображения также соединен с системной шиной 23 посредством интерфейса, например, видеоадаптера 48. В дополнение к монитору 47, персональные компьютеры обычно включают в себя другие периферийные устройства вывода (не показано), такие как динамики и принтеры.
[0171] Компьютер 20 может работать в сетевом окружении посредством логических соединений к одному или нескольким удаленным компьютерам 49. Удаленный компьютер (или компьютеры) 49 может представлять собой другой компьютер, сервер, роутер, сетевой ПК, пиринговое устройство или другой узел единой сети, а также обычно включает в себя большинство или все элементы, описанные выше, в отношении компьютера 20, хотя показано только устройство хранения информации 50. Логические соединения включают в себя локальную сеть (ЛВС) 51 и глобальную компьютерную сеть (ГКС) 52. Такие сетевые окружения обычно распространены в учреждениях, корпоративных компьютерных сетях, Интранете и Интернете.
[0172] Компьютер 20, используемый в сетевом окружении ЛВС, соединяется с локальной сетью 51 посредством сетевого интерфейса или адаптера 53. Компьютер 20, используемый в сетевом окружении ГКС, обычно использует модем 54 или другие средства для установления связи с глобальной компьютерной сетью 52, такой как Интернет.
[0173] Модем 54, который может быть внутренним или внешним, соединен с системной шиной 23 посредством интерфейса 46 последовательного порта. В сетевом окружении программные модули или их части, описанные применительно к компьютеру 20, могут храниться на удаленном устройстве хранения информации. Надо принять во внимание, что показанные сетевые соединения являются типичными, и для установления коммуникационной связи между компьютерами могут быть использованы другие средства.
[0174] В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
Claims (24)
1. Способ обнаружения фишинговой веб-страницы, включающий следующие шаги:
- загрузку на сервер фишинговой веб-страницы;
- выявление по крайней мере одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую;
- создание по крайней мере одного правила обнаружения фишинга с использованием по крайней мере одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую;
- формирование привязки дополнительных данных, включающих идентификацию цели фишинга, к по крайней мере одному правилу обнаружения фишинга;
- сохранение по крайней мере одного правила обнаружения фишинга вместе с привязкой дополнительных данных, идентифицирующих цель фишинга в хранилище данных;
- загрузку на сервер по крайней мере одной веб-страницы для проверки наличия фишинга;
- загрузку по крайней мере одного правила из хранилища данных;
- проверку в коде загруженной веб-страницы признаков фишинга по крайней мере одним загруженным правилом обнаружения фишинга; и
- идентификацию загруженной веб-страницы как фишинговой веб-страницы в случае обнаружения признаков фишинга в коде загруженной веб-страницы.
2. Способ по п. 1, характеризующийся тем, что загрузка веб-страницы включает загрузку кода веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.
3. Способ по п. 2, характеризующийся тем, что, код загруженной веб-страницы включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код Java-апплетов.
4. Способ по п. 2, характеризующийся тем, что код, содержащийся в файлах, связанных с загруженной веб-страницей, включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код java-апплетов.
5. Способ по п. 2, характеризующийся тем, что выявление уникального признака осуществляется в коде загруженной веб-страницы и коде, содержащемся в файлах, связанных с загруженной веб-страницей.
6. Способ по п. 5, характеризующийся тем, что уникальные признаки представляют собой последовательность байтов и/или части кода загруженной веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.
7. Способ по п. 6, характеризующийся тем, что в коде загруженной веб-страницы уникальные признаки определяются частотой содержания последовательности байтов и/или частей кода, соответствующих уникальным признакам, в по крайней мере двух фишинговых наборах, и/или на по крайней мере двух веб-страницах, содержащих фишинг или связанных с фишингом.
8. Способ по п. 1, характеризующийся тем, что правило обнаружения фишинга описывается регулярным выражением.
9. Способ по п. 1, характеризующийся тем, что идентифицированные фишинговые веб-страницы сохраняются в базу данных фишинговых веб-страниц.
10. Способ по п. 1, характеризующийся тем, что дополнительные признаки включают бренд, на который направлен фишинг и/или официальный домен бренда, и/или направление фишинга, и/или объект фишинга, и/или вектор фишинга.
11. Способ по п. 1, характеризующийся тем, что выявляются два и более уникальных признака, идентифицирующих загруженную страницу как фишинговую при невозможности формирования правила обнаружения фишинга на основе одного уникального признака.
12. Способ по п. 1, характеризующийся тем, что хранилище данных представляет собой оперативное запоминающее устройство (ОЗУ) и/или жесткий диск, и/или сетевая система хранения данных и/или онлайн хранилище.
13. Способ по п. 1, характеризующийся тем, что загрузка веб-страницы включает загрузку содержимого, определяемого плавающим фреймом "iframe" веб-страницы.
14. Способ по п. 1, характеризующийся тем, что уникальные признаки определяются вручную оператором, ответственным за создание правила обнаружения фишинга.
15. Способ по п. 1, характеризующийся тем, что фишинговая веб-страница может быть загружена из базы данных фишинговых веб-страниц и/или из базы данных ссылок на фишинговые веб-страницы, и/или с фишинговых веб-сайтов, и/или с веб-сайтов, связанных с фишингом, и/или с компьютерного устройства пользователя, и/или из сетевых сенсоров, и/или из журналов-событий приложений, и/или из систем оповещений, электронных писем, приложений и веб-сервисов для обмена сообщениями, и/или посредством формы обратной связи.
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016152427A RU2637477C1 (ru) | 2016-12-29 | 2016-12-29 | Система и способ обнаружения фишинговых веб-страниц |
EP17210904.3A EP3343870A1 (en) | 2016-12-29 | 2017-12-28 | System and method for detecting phishing web pages field of technology |
US15/858,013 US10721271B2 (en) | 2016-12-29 | 2017-12-29 | System and method for detecting phishing web pages |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016152427A RU2637477C1 (ru) | 2016-12-29 | 2016-12-29 | Система и способ обнаружения фишинговых веб-страниц |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2637477C1 true RU2637477C1 (ru) | 2017-12-04 |
Family
ID=60581596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2016152427A RU2637477C1 (ru) | 2016-12-29 | 2016-12-29 | Система и способ обнаружения фишинговых веб-страниц |
Country Status (3)
Country | Link |
---|---|
US (1) | US10721271B2 (ru) |
EP (1) | EP3343870A1 (ru) |
RU (1) | RU2637477C1 (ru) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2758359C1 (ru) * | 2020-06-19 | 2021-10-28 | Акционерное общество "Лаборатория Касперского" | Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами |
RU2778460C1 (ru) * | 2021-05-20 | 2022-08-19 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и устройство для кластеризации фишинговых веб-ресурсов на основе изображения визуального контента |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10122720B2 (en) * | 2017-02-07 | 2018-11-06 | Plesk International Gmbh | System and method for automated web site content analysis |
RU2638001C1 (ru) * | 2017-02-08 | 2017-12-08 | Акционерное общество "Лаборатория Касперского" | Система и способ выделения части резерва производительности антивирусного сервера для выполнения антивирусной проверки веб-страницы |
US11539716B2 (en) * | 2018-07-31 | 2022-12-27 | DataVisor, Inc. | Online user behavior analysis service backed by deep learning models trained on shared digital information |
US11411991B2 (en) * | 2019-07-09 | 2022-08-09 | Mcafee, Llc | User activity-triggered URL scan |
US11233820B2 (en) | 2019-09-10 | 2022-01-25 | Paypal, Inc. | Systems and methods for detecting phishing websites |
US11528297B1 (en) | 2019-12-12 | 2022-12-13 | Zimperium, Inc. | Mobile device security application for malicious website detection based on representative image |
CN111209459A (zh) * | 2019-12-27 | 2020-05-29 | 中移(杭州)信息技术有限公司 | 信息处理方法、装置、电子设备及存储介质 |
US11641375B2 (en) | 2020-04-29 | 2023-05-02 | KnowBe4, Inc. | Systems and methods for reporting based simulated phishing campaign |
US20210365866A1 (en) * | 2020-05-21 | 2021-11-25 | KnowBe4, Inc. | Systems and methods for use of employee message exchanges for a simulated phishing campaign |
CN112269607A (zh) * | 2020-11-17 | 2021-01-26 | 北京百度网讯科技有限公司 | 小程序的控制方法、系统、服务器以及终端设备 |
CN113657453B (zh) * | 2021-07-22 | 2023-08-01 | 珠海高凌信息科技股份有限公司 | 基于生成对抗网络和深度学习的有害网站的检测方法 |
US20230067897A1 (en) * | 2021-08-25 | 2023-03-02 | Paypal, Inc. | Automatic detection of proxy-based phishing sites |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130086677A1 (en) * | 2010-12-31 | 2013-04-04 | Huawei Technologies Co., Ltd. | Method and device for detecting phishing web page |
US20130263264A1 (en) * | 2012-04-02 | 2013-10-03 | Trusteer Ltd. | Detection of phishing attempts |
US20150200963A1 (en) * | 2012-09-07 | 2015-07-16 | Computer Network Information Center, Chinese Academy Of Sciences | Method for detecting phishing website without depending on samples |
US20150381654A1 (en) * | 2013-07-05 | 2015-12-31 | Tencent Technology (Shenzhen) Company Limited | Method, device and system for detecting potential phishing websites |
RU2589310C2 (ru) * | 2014-09-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ расчета интервала повторного определения категорий сетевого ресурса |
Family Cites Families (172)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7389351B2 (en) | 2001-03-15 | 2008-06-17 | Microsoft Corporation | System and method for identifying and establishing preferred modalities or channels for communications based on participants' preferences and contexts |
US7565692B1 (en) | 2000-05-30 | 2009-07-21 | At&T Wireless Services, Inc. | Floating intrusion detection platforms |
AU2002230541B2 (en) | 2000-11-30 | 2007-08-23 | Cisco Technology, Inc. | Flow-based detection of network intrusions |
US7325252B2 (en) | 2001-05-18 | 2008-01-29 | Achilles Guard Inc. | Network security testing |
US20090138342A1 (en) | 2001-11-14 | 2009-05-28 | Retaildna, Llc | Method and system for providing an employee award using artificial intelligence |
US7225343B1 (en) * | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
US8132250B2 (en) | 2002-03-08 | 2012-03-06 | Mcafee, Inc. | Message profiling systems and methods |
EP1349081A1 (en) | 2002-03-28 | 2003-10-01 | LION Bioscience AG | Method and apparatus for querying relational databases |
US7496628B2 (en) | 2003-02-25 | 2009-02-24 | Susquehanna International Group, Llp | Electronic message filter |
US20040221171A1 (en) | 2003-05-02 | 2004-11-04 | Ahmed Ahmed Awad E. | Intrusion detector based on mouse dynamics analysis |
US8984640B1 (en) | 2003-12-11 | 2015-03-17 | Radix Holdings, Llc | Anti-phishing |
US7392278B2 (en) | 2004-01-23 | 2008-06-24 | Microsoft Corporation | Building and using subwebs for focused search |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
US7953814B1 (en) | 2005-02-28 | 2011-05-31 | Mcafee, Inc. | Stopping and remediating outbound messaging abuse |
WO2006032028A2 (en) | 2004-09-13 | 2006-03-23 | Reactivity, Inc. | Metric-based monitoring and control of a limited resource |
US7540025B2 (en) | 2004-11-18 | 2009-05-26 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
US20060253582A1 (en) | 2005-05-03 | 2006-11-09 | Dixon Christopher J | Indicating website reputations within search results |
WO2006119509A2 (en) | 2005-05-05 | 2006-11-09 | Ironport Systems, Inc. | Identifying threats in electronic messages |
US7609625B2 (en) * | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
US7730040B2 (en) | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
US7707284B2 (en) | 2005-08-03 | 2010-04-27 | Novell, Inc. | System and method of searching for classifying user activity performed on a computer system |
KR20070049514A (ko) | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | 악성 코드 감시 시스템 및 이를 이용한 감시 방법 |
US8650080B2 (en) | 2006-04-10 | 2014-02-11 | International Business Machines Corporation | User-browser interaction-based fraud detection system |
ATE540515T1 (de) | 2006-04-13 | 2012-01-15 | Art Of Defence Gmbh | Verfahren zur bereitstellung von webanwendungssicherheit |
US7984500B1 (en) | 2006-10-05 | 2011-07-19 | Amazon Technologies, Inc. | Detecting fraudulent activity by analysis of information requests |
US7865953B1 (en) | 2007-05-31 | 2011-01-04 | Trend Micro Inc. | Methods and arrangement for active malicious web pages discovery |
US8238669B2 (en) | 2007-08-22 | 2012-08-07 | Google Inc. | Detection and classification of matches between time-based media |
US7958555B1 (en) | 2007-09-28 | 2011-06-07 | Trend Micro Incorporated | Protecting computer users from online frauds |
US9779403B2 (en) | 2007-12-07 | 2017-10-03 | Jpmorgan Chase Bank, N.A. | Mobile fraud prevention system and method |
EP2266057A1 (en) | 2008-02-28 | 2010-12-29 | Ipharro Media, Gmbh | Frame sequence comparison in multimedia streams |
US8082187B2 (en) | 2008-05-07 | 2011-12-20 | AcademixDirect, Inc. | Method of generating a referral website URL using website listings in a cookie |
US8856937B1 (en) * | 2008-06-27 | 2014-10-07 | Symantec Corporation | Methods and systems for identifying fraudulent websites |
US10027688B2 (en) | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
US8086480B2 (en) | 2008-09-25 | 2011-12-27 | Ebay Inc. | Methods and systems for activity-based recommendations |
US9177144B2 (en) * | 2008-10-30 | 2015-11-03 | Mcafee, Inc. | Structural recognition of malicious code patterns |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8285830B1 (en) | 2009-01-06 | 2012-10-09 | Citizenhawk, Inc. | System and method for combating cybersquatting |
US8448245B2 (en) | 2009-01-17 | 2013-05-21 | Stopthehacker.com, Jaal LLC | Automated identification of phishing, phony and malicious web sites |
US8695091B2 (en) * | 2009-02-11 | 2014-04-08 | Sophos Limited | Systems and methods for enforcing policies for proxy website detection using advertising account ID |
US8429751B2 (en) | 2009-03-13 | 2013-04-23 | Trustwave Holdings, Inc. | Method and apparatus for phishing and leeching vulnerability detection |
US8229219B1 (en) | 2009-08-06 | 2012-07-24 | Google Inc. | Full-length video fingerprinting |
US8600993B1 (en) | 2009-08-26 | 2013-12-03 | Google Inc. | Determining resource attributes from site address attributes |
US8396857B2 (en) | 2009-08-31 | 2013-03-12 | Accenture Global Services Limited | System to modify websites for organic search optimization |
EP2323046A1 (en) | 2009-10-16 | 2011-05-18 | Telefónica, S.A. | Method for detecting audio and video copy in multimedia streams |
US8625033B1 (en) | 2010-02-01 | 2014-01-07 | Google Inc. | Large-scale matching of audio and video |
US9501644B2 (en) | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
US8612463B2 (en) | 2010-06-03 | 2013-12-17 | Palo Alto Research Center Incorporated | Identifying activities using a hybrid user-activity model |
US8260914B1 (en) | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
RU2446459C1 (ru) | 2010-07-23 | 2012-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
US20130074187A1 (en) | 2010-07-26 | 2013-03-21 | Ki Yong Kim | Hacker virus security-integrated control device |
US8924488B2 (en) | 2010-07-27 | 2014-12-30 | At&T Intellectual Property I, L.P. | Employing report ratios for intelligent mobile messaging classification and anti-spam defense |
EP2609538B1 (en) | 2010-08-25 | 2016-10-19 | Lookout Inc. | System and method for server-coupled malware prevention |
AU2011293160B2 (en) | 2010-08-26 | 2015-04-09 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
US8837769B2 (en) | 2010-10-06 | 2014-09-16 | Futurewei Technologies, Inc. | Video signature based on image hashing and shot detection |
US9626677B2 (en) | 2010-11-29 | 2017-04-18 | Biocatch Ltd. | Identification of computerized bots, and identification of automated cyber-attack modules |
US8521667B2 (en) | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
US8972412B1 (en) | 2011-01-31 | 2015-03-03 | Go Daddy Operating Company, LLC | Predicting improvement in website search engine rankings based upon website linking relationships |
US8726376B2 (en) | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
US8402543B1 (en) | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
RU107616U1 (ru) | 2011-03-28 | 2011-08-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система быстрого анализа потока данных на наличие вредоносных объектов |
US9363278B2 (en) | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
US8151341B1 (en) | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
WO2013009713A2 (en) | 2011-07-08 | 2013-01-17 | Uab Research Foundation | Syntactical fingerprinting |
WO2013008778A1 (ja) | 2011-07-11 | 2013-01-17 | Mizunuma Takeshi | 識別名管理方法およびシステム |
GB2493514B (en) | 2011-08-02 | 2015-04-08 | Qatar Foundation | Copy detection |
US8677472B1 (en) * | 2011-09-27 | 2014-03-18 | Emc Corporation | Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server |
US8645355B2 (en) | 2011-10-21 | 2014-02-04 | Google Inc. | Mapping Uniform Resource Locators of different indexes |
US8584235B2 (en) | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
US9519781B2 (en) | 2011-11-03 | 2016-12-13 | Cyphort Inc. | Systems and methods for virtualization and emulation assisted malware detection |
RU2487406C1 (ru) | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети |
US8660296B1 (en) | 2012-01-10 | 2014-02-25 | Google Inc. | Systems and methods for facilitating video fingerprinting using local descriptors |
RU2523114C2 (ru) | 2012-04-06 | 2014-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников |
US10304036B2 (en) | 2012-05-07 | 2019-05-28 | Nasdaq, Inc. | Social media profiling for one or more authors using one or more social media platforms |
RU2488880C1 (ru) | 2012-05-11 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
US9154517B2 (en) | 2012-06-19 | 2015-10-06 | AO Kaspersky Lab | System and method for preventing spread of malware in peer-to-peer network |
WO2014018630A1 (en) * | 2012-07-24 | 2014-01-30 | Webroot Inc. | System and method to provide automatic classification of phishing sites |
RU2495486C1 (ru) | 2012-08-10 | 2013-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа и выявления вредоносных промежуточных узлов в сети |
US9386030B2 (en) | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
US9215239B1 (en) | 2012-09-28 | 2015-12-15 | Palo Alto Networks, Inc. | Malware detection based on traffic analysis |
US10965775B2 (en) | 2012-11-20 | 2021-03-30 | Airbnb, Inc. | Discovering signature of electronic social networks |
RU2536664C2 (ru) | 2012-12-25 | 2014-12-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматической модификации антивирусной базы данных |
RU2530210C2 (ru) | 2012-12-25 | 2014-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы |
RU2522019C1 (ru) | 2012-12-25 | 2014-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной |
RU129279U1 (ru) | 2013-01-09 | 2013-06-20 | ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" | Устройство обнаружения и защиты от аномальной активности на сети передачи данных |
US20160127402A1 (en) * | 2014-11-04 | 2016-05-05 | Patternex, Inc. | Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system |
US10425429B2 (en) * | 2013-04-10 | 2019-09-24 | Gabriel Bassett | System and method for cyber security analysis and human behavior prediction |
GB201306628D0 (en) | 2013-04-11 | 2013-05-29 | F Secure Oyj | Detecting and marking client devices |
JP6491638B2 (ja) | 2013-04-11 | 2019-03-27 | ブランドシールド リミテッド | コンピュータ化された方法 |
EP2901665A4 (en) | 2013-05-13 | 2015-10-21 | Yandex Europe Ag | METHOD AND SYSTEM FOR PROVIDING A CLIENT DEVICE WITH AUTOMATICALLY UPDATING AN IP ADDRESS RELATED TO A DOMAIN NAME |
US9357469B2 (en) | 2013-05-29 | 2016-05-31 | Rivada Networks, Llc | Methods and system for dynamic spectrum arbitrage with mobility management |
US9443075B2 (en) | 2013-06-27 | 2016-09-13 | The Mitre Corporation | Interception and policy application for malicious communications |
RU2538292C1 (ru) | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
KR102120823B1 (ko) | 2013-08-14 | 2020-06-09 | 삼성전자주식회사 | 비휘발성 메모리 장치의 독출 시퀀스 제어 방법 및 이를 수행하는 메모리 시스템 |
US9330258B1 (en) | 2013-09-30 | 2016-05-03 | Symantec Corporation | Systems and methods for identifying uniform resource locators that link to potentially malicious resources |
CN103491205B (zh) | 2013-09-30 | 2016-08-17 | 北京奇虎科技有限公司 | 一种基于视频搜索的关联资源地址的推送方法和装置 |
CN105917359B (zh) | 2013-10-21 | 2021-01-26 | 微软技术许可有限责任公司 | 移动视频搜索 |
GB2520987B (en) | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
IN2013CH05744A (ru) | 2013-12-12 | 2015-06-19 | Infosys Ltd | |
US20150363791A1 (en) | 2014-01-10 | 2015-12-17 | Hybrid Application Security Ltd. | Business action based fraud detection system and method |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9060018B1 (en) | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
KR101514984B1 (ko) | 2014-03-03 | 2015-04-24 | (주)엠씨알시스템 | 홈페이지 악성코드 유포 탐지 시스템 및 방법 |
US9338181B1 (en) * | 2014-03-05 | 2016-05-10 | Netflix, Inc. | Network security system with remediation based on value of attacked assets |
RU2543564C1 (ru) | 2014-03-20 | 2015-03-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам |
US9853997B2 (en) | 2014-04-14 | 2017-12-26 | Drexel University | Multi-channel change-point malware detection |
US9332022B1 (en) | 2014-07-07 | 2016-05-03 | Symantec Corporation | Systems and methods for detecting suspicious internet addresses |
US20160036837A1 (en) | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
US9800592B2 (en) | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
US9942250B2 (en) | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
KR101587161B1 (ko) | 2014-09-03 | 2016-01-20 | 한국전자통신연구원 | 실시간 네트워크 안티바이러스 수행 장치 및 방법 |
US9026841B1 (en) * | 2014-09-09 | 2015-05-05 | Belkin International, Inc. | Coordinated and device-distributed detection of abnormal network device operation |
US20160110819A1 (en) * | 2014-10-21 | 2016-04-21 | Marc Lauren Abramowitz | Dynamic security rating for cyber insurance products |
US10338191B2 (en) * | 2014-10-30 | 2019-07-02 | Bastille Networks, Inc. | Sensor mesh and signal transmission architectures for electromagnetic signature analysis |
JP6916112B2 (ja) | 2014-11-21 | 2021-08-11 | ブルヴェクター, インコーポレーテッドBluvector, Inc. | ネットワークデータ特性評価のシステムと方法 |
US10574675B2 (en) * | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
US9367872B1 (en) * | 2014-12-22 | 2016-06-14 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US10230526B2 (en) | 2014-12-31 | 2019-03-12 | William Manning | Out-of-band validation of domain name system records |
CN104504307B (zh) | 2015-01-08 | 2017-09-29 | 北京大学 | 基于拷贝单元的音视频拷贝检测方法和装置 |
US9712549B2 (en) | 2015-01-08 | 2017-07-18 | Imam Abdulrahman Bin Faisal University | System, apparatus, and method for detecting home anomalies |
KR20160095856A (ko) * | 2015-02-04 | 2016-08-12 | 한국전자통신연구원 | 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법 |
US11328307B2 (en) | 2015-02-24 | 2022-05-10 | OpSec Online, Ltd. | Brand abuse monitoring system with infringement detection engine and graphical user interface |
EP3065076A1 (en) | 2015-03-04 | 2016-09-07 | Secure-Nok AS | System and method for responding to a cyber-attack-related incident against an industrial control system |
US9253208B1 (en) * | 2015-03-05 | 2016-02-02 | AO Kaspersky Lab | System and method for automated phishing detection rule evolution |
US9769201B2 (en) | 2015-03-06 | 2017-09-19 | Radware, Ltd. | System and method thereof for multi-tiered mitigation of cyber-attacks |
US9712553B2 (en) | 2015-03-27 | 2017-07-18 | The Boeing Company | System and method for developing a cyber-attack scenario |
US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US10382484B2 (en) * | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
US9917852B1 (en) | 2015-06-29 | 2018-03-13 | Palo Alto Networks, Inc. | DGA behavior detection |
RU164629U1 (ru) | 2015-06-30 | 2016-09-10 | Акционерное общество "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" | Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5 |
EP3125147B1 (en) * | 2015-07-27 | 2020-06-03 | Swisscom AG | System and method for identifying a phishing website |
US9456000B1 (en) * | 2015-08-06 | 2016-09-27 | Palantir Technologies Inc. | Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications |
CN106506435B (zh) | 2015-09-08 | 2019-08-06 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
WO2017049045A1 (en) * | 2015-09-16 | 2017-03-23 | RiskIQ, Inc. | Using hash signatures of dom objects to identify website similarity |
KR101703446B1 (ko) * | 2015-10-15 | 2017-02-06 | 숭실대학교산학협력단 | DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버 |
CN105429956B (zh) | 2015-11-02 | 2018-09-25 | 重庆大学 | 基于p2p动态云的恶意软件检测系统及方法 |
US10200382B2 (en) * | 2015-11-05 | 2019-02-05 | Radware, Ltd. | System and method for detecting abnormal traffic behavior using infinite decaying clusters |
RU2622870C2 (ru) | 2015-11-17 | 2017-06-20 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | Система и способ оценки опасности веб-сайтов |
US9894036B2 (en) | 2015-11-17 | 2018-02-13 | Cyber Adapt, Inc. | Cyber threat attenuation using multi-source threat data analysis |
CN106709777A (zh) * | 2015-11-18 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 一种订单聚类方法及装置,以及反恶意信息的方法及装置 |
RU2613535C1 (ru) | 2015-11-20 | 2017-03-16 | Илья Самуилович Рабинович | Способ обнаружения вредоносных программ и элементов |
WO2017087840A1 (en) * | 2015-11-20 | 2017-05-26 | Webroot Inc. | Binocular fusion analytics security |
JP6239215B2 (ja) * | 2015-12-14 | 2017-11-29 | 三菱電機株式会社 | 情報処理装置、情報処理方法及び情報処理プログラム |
US9723344B1 (en) | 2015-12-29 | 2017-08-01 | Google Inc. | Early detection of policy violating media |
US11069370B2 (en) | 2016-01-11 | 2021-07-20 | University Of Tennessee Research Foundation | Tampering detection and location identification of digital audio recordings |
RU2628192C2 (ru) | 2016-01-27 | 2017-08-15 | Акционерное общество "Творческо-производственное объединение "Центральная киностудия детских и юношеских фильмов им. М. Горького" | Устройство для семантической классификации и поиска в архивах оцифрованных киноматериалов |
US9900338B2 (en) | 2016-02-09 | 2018-02-20 | International Business Machines Corporation | Forecasting and classifying cyber-attacks using neural embeddings based on pattern of life data |
US10237259B2 (en) * | 2016-02-29 | 2019-03-19 | Securekey Technologies Inc. | Systems and methods for distributed identity verification |
US10063572B2 (en) | 2016-03-28 | 2018-08-28 | Accenture Global Solutions Limited | Antivirus signature distribution with distributed ledger |
US10313382B2 (en) | 2016-03-29 | 2019-06-04 | The Mitre Corporation | System and method for visualizing and analyzing cyber-attacks using a graph model |
US10212145B2 (en) | 2016-04-06 | 2019-02-19 | Avaya Inc. | Methods and systems for creating and exchanging a device specific blockchain for device authentication |
US10178107B2 (en) | 2016-04-06 | 2019-01-08 | Cisco Technology, Inc. | Detection of malicious domains using recurring patterns in domain names |
CN105897714B (zh) | 2016-04-11 | 2018-11-09 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
RU2625050C1 (ru) | 2016-04-25 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Система и способ признания транзакций доверенными |
US11223598B2 (en) | 2016-05-03 | 2022-01-11 | Nokia Of America Corporation | Internet security |
RU2634211C1 (ru) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
RU2636702C1 (ru) | 2016-07-07 | 2017-11-27 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и устройство для выбора сетевого ресурса в качестве источника содержимого для системы рекомендаций |
US20180012144A1 (en) * | 2016-07-11 | 2018-01-11 | Qualcomm Innovation Center, Inc. | Incremental and speculative analysis of javascripts based on a multi-instance model for web security |
CN106131016B (zh) | 2016-07-13 | 2019-05-03 | 北京知道创宇信息技术有限公司 | 恶意url检测干预方法、系统及装置 |
US10212133B2 (en) * | 2016-07-29 | 2019-02-19 | ShieldX Networks, Inc. | Accelerated pattern matching using pattern functions |
WO2018025157A1 (en) * | 2016-07-31 | 2018-02-08 | Cymmetria, Inc. | Deploying deception campaigns using communication breadcrumbs |
US10498761B2 (en) * | 2016-08-23 | 2019-12-03 | Duo Security, Inc. | Method for identifying phishing websites and hindering associated activity |
US10313352B2 (en) * | 2016-10-26 | 2019-06-04 | International Business Machines Corporation | Phishing detection with machine learning |
WO2018095192A1 (zh) | 2016-11-23 | 2018-05-31 | 腾讯科技(深圳)有限公司 | 网站攻击的检测和防护方法及系统 |
CN106713312A (zh) | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
WO2019010182A1 (en) | 2017-07-06 | 2019-01-10 | Pixm | METHOD AND SYSTEM FOR DETECTING HOOKING |
CN107392456A (zh) | 2017-07-14 | 2017-11-24 | 武汉理工大学 | 一种融合互联网信息的多角度企业信用评估建模方法 |
RU2670906C9 (ru) | 2017-12-28 | 2018-12-12 | Общество С Ограниченной Ответственностью "Центр Разработки И Внедрения Инновационных Технологий" | Самонастраивающаяся интерактивная система, способ обмена сообщениями и/или звонками между пользователями различных веб-сайтов с использованием технологии клиент-сервер и считываемый компьютером носитель |
RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
-
2016
- 2016-12-29 RU RU2016152427A patent/RU2637477C1/ru active
-
2017
- 2017-12-28 EP EP17210904.3A patent/EP3343870A1/en active Pending
- 2017-12-29 US US15/858,013 patent/US10721271B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130086677A1 (en) * | 2010-12-31 | 2013-04-04 | Huawei Technologies Co., Ltd. | Method and device for detecting phishing web page |
US20130263264A1 (en) * | 2012-04-02 | 2013-10-03 | Trusteer Ltd. | Detection of phishing attempts |
US20150200963A1 (en) * | 2012-09-07 | 2015-07-16 | Computer Network Information Center, Chinese Academy Of Sciences | Method for detecting phishing website without depending on samples |
US20150381654A1 (en) * | 2013-07-05 | 2015-12-31 | Tencent Technology (Shenzhen) Company Limited | Method, device and system for detecting potential phishing websites |
RU2589310C2 (ru) * | 2014-09-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ расчета интервала повторного определения категорий сетевого ресурса |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2758359C1 (ru) * | 2020-06-19 | 2021-10-28 | Акционерное общество "Лаборатория Касперского" | Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами |
RU2778460C1 (ru) * | 2021-05-20 | 2022-08-19 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и устройство для кластеризации фишинговых веб-ресурсов на основе изображения визуального контента |
RU2789629C1 (ru) * | 2021-08-27 | 2023-02-06 | Общество с ограниченной ответственностью "Траст" | Система и способ выявления информационной атаки |
RU2780166C1 (ru) * | 2021-12-15 | 2022-09-20 | Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения фишинговых доменных имен |
RU2791824C1 (ru) * | 2022-02-14 | 2023-03-13 | Групп-Ай Би Глобал Прайвет Лимитед | Способ и вычислительное устройство для выявления целевого вредоносного веб-ресурса |
RU2813242C1 (ru) * | 2023-05-12 | 2024-02-08 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения фишинговых сайтов и система его реализующая |
Also Published As
Publication number | Publication date |
---|---|
US20180191777A1 (en) | 2018-07-05 |
EP3343870A1 (en) | 2018-07-04 |
US10721271B2 (en) | 2020-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2637477C1 (ru) | Система и способ обнаружения фишинговых веб-страниц | |
CN107918733B (zh) | 检测网页的恶意元素的系统和方法 | |
US9860270B2 (en) | System and method for determining web pages modified with malicious code | |
US10515212B1 (en) | Tracking sensitive data in a distributed computing environment | |
US9398047B2 (en) | Methods and systems for phishing detection | |
WO2022071961A1 (en) | Automated collection of branded training data for security awareness training | |
US11196746B2 (en) | Whitelisting of trusted accessors to restricted web pages | |
US11671448B2 (en) | Phishing detection using uniform resource locators | |
RU2671991C2 (ru) | Система и способ сбора информации для обнаружения фишинга | |
US8966621B1 (en) | Out-of-band authentication of e-mail messages | |
US11381598B2 (en) | Phishing detection using certificates associated with uniform resource locators | |
US10015191B2 (en) | Detection of man in the browser style malware using namespace inspection | |
US9973525B1 (en) | Systems and methods for determining the risk of information leaks from cloud-based services | |
CN107808095B (zh) | 用于检测网页的异常元素的系统和方法 | |
US20210203693A1 (en) | Phishing detection based on modeling of web page content | |
US20210176274A1 (en) | System and method for blocking phishing attempts in computer networks | |
US11082437B2 (en) | Network resources attack detection | |
Hai et al. | Detection of malicious URLs based on word vector representation and ngram | |
Hoffman et al. | Ajax security | |
US20140283080A1 (en) | Identifying stored vulnerabilities in a web service | |
RU2762241C2 (ru) | Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами | |
US11470114B2 (en) | Malware and phishing detection and mediation platform | |
CN111368231B (zh) | 一种异构冗余架构网站的测试方法及装置 | |
US11144636B2 (en) | Systems and methods for identifying unknown attributes of web data fragments when launching a web page in a browser | |
WO2021133592A1 (en) | Malware and phishing detection and mediation platform |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RH4A | Copy of patent granted that was duplicated for the russian federation |
Effective date: 20200827 |