RU2744671C2 - Система и способы для обнаружения сетевого мошенничества - Google Patents

Система и способы для обнаружения сетевого мошенничества Download PDF

Info

Publication number
RU2744671C2
RU2744671C2 RU2019103228A RU2019103228A RU2744671C2 RU 2744671 C2 RU2744671 C2 RU 2744671C2 RU 2019103228 A RU2019103228 A RU 2019103228A RU 2019103228 A RU2019103228 A RU 2019103228A RU 2744671 C2 RU2744671 C2 RU 2744671C2
Authority
RU
Russia
Prior art keywords
domain
fraudulent
domains
internet
group
Prior art date
Application number
RU2019103228A
Other languages
English (en)
Other versions
RU2019103228A (ru
RU2019103228A3 (ru
Inventor
Алин-Октавиан ДАМЬЯН
Original Assignee
БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД filed Critical БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД
Publication of RU2019103228A publication Critical patent/RU2019103228A/ru
Publication of RU2019103228A3 publication Critical patent/RU2019103228A3/ru
Application granted granted Critical
Publication of RU2744671C2 publication Critical patent/RU2744671C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9535Search customisation based on user profiles and personalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

Заявленное изобретение относится к области компьютерной безопасности, в частности к системам и способам для обнаружения сетевого мошенничества, например мошеннических веб-страниц. Системы и способы обеспечивают возможность быстрого и эффективного обнаружения мошеннических интернет-доменов, то есть доменов, используемых для размещения или распространения мошеннических электронных документов, таких как мошеннические веб-страницы и электронные сообщения. В некоторых вариантах осуществления используют обратный IP-анализ для отбора группы кандидатов в мошенники из группы доменов, размещенных по тому же IP-адресу, что и известный мошеннический домен. Группу кандидатов дополнительно фильтруют в соответствии с регистрационными данными домена. Доступный в сети контент, размещенный на каждом отфильтрованном домене-кандидате, дополнительно анализируют для идентификации действительно мошеннических доменов. После этого модуль безопасности может запретить пользователям доступ к контенту таких доменов. 3 н. и 12 з.п. ф–лы, 8 ил.

Description

Уровень техники
[0001] Настоящее изобретение относится к системам и способам компьютерной безопасности, в частности, к системам и способам для обнаружения сетевого мошенничества, например мошеннических веб-страниц,
[0002] Быстрое развитие электронных коммуникаций, онлайн-торговли и услуг, таких как банковские услуги онлайн, сопровождалось ростом электронной преступности. Интернет-мошенничество, особенно в форме фишинга и кражи персональных данных, создает все возрастающую угрозу для пользователей Интернета во всем мире. Конфиденциальные персональные данные и реквизиты кредитных карт, полученные обманным путем действующими в Интернете международными преступными организациями используют для различных онлайн-транзакций и/или продают дальше третьим лицам. Помимо прямого финансового ущерба для частных лиц, интернет-мошенничество вызывает также ряд нежелательных побочных эффектов, таких как повышение расходов компаний на безопасность, более высокие розничные цены и банковские комиссионные, снижение курса акций, снижение заработной платы и доходов от налогов.
[0003] При попытке фишинга поддельный веб-сайт в Интернете, например, маскируется под подлинную веб-страницу, принадлежащую интернет-магазину или финансовому учреждению, и предлагает пользователю ввести некоторую личную информацию (например, имя пользователя, пароль) и/или финансовую информацию (например, номер кредитной карты, номер счета, код безопасности). Как только информация будет введена ничего не подозревающим пользователем, она может быть собрана поддельным веб-сайтом. Кроме того, пользователь может быть направлен на другую веб-страницу, которая может установить вредоносное программное обеспечение на компьютере пользователя. Вредоносное программное обеспечение (например, вирусы, трояны) может продолжать похищать личную информацию, записывая клавиши, нажимаемые пользователем при посещении определенных веб-страниц, или может превратить компьютер пользователя в платформу для других вредоносных атак.
[0004] Для идентификации мошеннических веб-документов и для выдачи предупреждения и/или блокирования доступа к таким документам может использоваться программное обеспечение, работающее в компьютерной системе пользователя Интернета. Для идентификации мошеннических веб-страниц было предложено несколько методов, например сопоставление адреса веб-страницы со списком известных мошеннических и/или доверенных адресов (методы, называемые, соответственно, «ведение черного списка» и «ведение белого списка»). Чтобы избежать обнаружения такими методами, мошенники часто меняют адреса своих сайтов.
[0005] Существует постоянный интерес к разработке способов обнаружения и предотвращения сетевого мошенничества и особенно способов, обеспечивающих упреждающее обнаружение.
Раскрытие сущности изобретения
[0006] В соответствии с одним аспектом, настоящее изобретение относится к компьютерной системе, содержащей по меньшей мере один аппаратный процессор, сконфигурированный для обеспечения работы обратного преобразователя адресов, фильтра регистрационных данных, соединенного с упомянутым обратным преобразователем адресов, и анализатора контента, соединенного с упомянутым фильтром регистрационных данных. Обратный преобразователь адресов сконфигурирован для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, расположенным по целевому адресу Интернет-протокола (IP-адресу), причем идентификация группы совместно размещенных интернет-доменов включает отбор группы совместно размещенных интернет-доменов таким образом, что все члены упомянутой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу. Фильтр регистрационных данных сконфигурирован для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены. Фильтрация группы совместно размещенных интернет-доменов включает определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, и, в ответ, отбор домена в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено. Анализатор контента сконфигурирован для анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли упомянутый электронный документ мошенническим, и в ответ, если электронный документ является мошенническим, определения того, что домен-кандидат является мошенническим.
[0007] В соответствии с другим аспектом, настоящее изобретение относится к способу идентификации мошеннических интернет-доменов, в котором используют по меньшей мере один аппаратный процессор для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, расположенным по целевому адресу интернет-протокола (IP-адресу), и при идентификации группы совместно размещенных интернет-доменов отбирают упомянутую группу совместно размещенных интернет-доменов таким образом, что все члены этой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу. В упомянутом способе дополнительно используют упомянутый по меньшей мере один аппаратный процессор для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены. В процессе фильтрации группы совместно размещенных интернет-доменов определяют выполнение условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, и в ответ отбирают домен в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено. В упомянутом способе дополнительно используют упомянутый по меньшей мере один аппаратный процессор для анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли электронный документ мошенническим. Затем в упомянутом способе, в ответ на анализ электронного документа, если электронный документ является мошенническим, дополнительно определяют, что домен-кандидат является мошенническим.
[0008] В соответствии с другим аспектом, настоящее изобретение относится к долговременному машиночитаемому носителю, хранящему инструкции, выполнение которых по меньшей мере одним аппаратным процессором обеспечивает формирование упомянутым аппаратным процессором обратного преобразователя адресов, фильтра регистрационных данных, соединенного с упомянутым обратным преобразователем адресов, и анализатора контента, соединенного с упомянутым фильтром регистрационных данных. Обратный преобразователь адресов сконфигурирован для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, расположенным по целевому адресу интернет-протокола (IP-адресу), при этом идентификация группы совместно размещенных интернет-доменов включает отбор упомянутой группы совместно размещенных интернет-доменов таким образом, что все члены этой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу. Фильтр регистрационных данных сконфигурирован для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены. Фильтрация группы совместно размещенных интернет-доменов включает определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, и в ответ - отбор домена в подгруппу кандидатов в мошеннические домены. Анализатор контента сконфигурирован для анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли этот электронный документ мошенническим, и в ответ, если электронный документ является мошенническим, определения того, что домен-кандидат является мошенническим.
Краткое описание чертежей
[0009] Вышеупомянутые аспекты и преимущества настоящего изобретения более понятны после изучения нижеследующего подробного описания, ссылающегося на чертежи, где:
[0010] на фиг. 1 показана примерная группа клиентских систем, защищенных от сетевого мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения;
[0011] на фиг. 2-А показана примерная аппаратная конфигурация клиентской системы в соответствии с некоторыми вариантами осуществления настоящего изобретения;
[0012] на фиг. 2-В показана примерная аппаратная конфигурация серверной компьютерной системы в соответствии с некоторыми вариантами осуществления настоящего изобретения;
[0013] на фиг. 3 показаны примерные программные компоненты, исполняемые в клиентской системе, в соответствии с некоторыми вариантами осуществления настоящего изобретения;
[0014] на фиг. 4 показан примерный обмен данными между клиентской системой и сервером безопасности в соответствии с некоторыми вариантами осуществления настоящего изобретения;
[0015] на фиг. 5 показана примерная последовательность этапов, выполняемых модулем защиты от мошенничества и сервером безопасности для защиты клиентской системы от электронного мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения;
[0016] на фиг. 6 показаны примерные компоненты сервера идентификации мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения; и
[0017] на фиг. 7 показана примерная последовательность этапов, выполняемых сервером идентификации мошенничества, в соответствии с некоторыми вариантами осуществления настоящего изобретения.
Осуществление изобретения
[0018] В последующем описании подразумевается, что все перечисленные связи между структурами могут быть непосредственными функциональными связями или функциональными связями посредством промежуточных структур. Группа элементов включает в себя по меньшей мере один элемент. Любое упоминание элемента понимается как ссылка на по меньшей мере один элемент. Множество элементов включает в себя по меньшей мере два элемента. Если не указано иное, любые описанные этапы способа не обязательно должны выполняться в раскрытом конкретном порядке. Первый элемент (например, данные), полученный из второго элемента, включает первый элемент, равный второму элементу, а также первый элемент, сгенерированный путем обработки второго элемента и, опционально, других данных. Выполнение определения или принятие решения в соответствии с параметром включает выполнение определения или принятие решения в соответствии с этим параметром и, опционально, в соответствии с другими данными. Если не указано иное, индикатором некоторого количества или данных могут быть само количество или сами данные, или индикатор, отличный от количества или данных как таковых. Компьютерная программа представляет собой последовательность инструкций для процессора, обеспечивающих выполнение некоторой задачи. Компьютерные программы, описанные в некоторых вариантах осуществления настоящего изобретения, могут быть автономными программными объектами или подобъектами (например, подпрограммами, библиотеками) других компьютерных программ. Если не указано иное, компьютерная безопасность включает защиту оборудования и данных от неправомерного доступа, модификации и/или уничтожения. Если не указано иное, термин «сетевое мошенничество» не ограничивается мошенническими веб-сайтами, но также включает другие незаконную или нежелательную коммерческую электронную коммуникацию, например сообщения по электронной почте, мгновенные сообщения, а также, помимо прочего, текстовые и мультимедийные сообщения по телефону. Интернет-домен (или просто домен) представляет собой подгруппу вычислительных ресурсов (физических или виртуальных компьютерных систем, сетевых адресов), которыми владеет, управляет, или с помощью которых осуществляет деятельность конкретное лицо или организация. Мошеннический интернет-домен - это домен, на котором размещают и/или распространяют мошеннические электронные документы. Доменное имя представляет собой буквенно-цифровой псевдоним, представляющий соответствующий интернет-домен. Мошенническое доменное имя - это доменное имя мошеннического домена. Машиночитаемые носители включают в себя долговременные носители, такие как магнитные, оптические и полупроводниковые носители данных (например, жесткие диски, оптические диски, флэш-память, динамическую память с произвольной отборкой (DRAM)), а также линии связи, такие как проводящие кабели и оптоволоконные линии. В соответствии с некоторыми вариантами осуществления в настоящем изобретении предложены, помимо прочего, компьютерные системы, содержащие аппаратные средства (например, один или более процессоров), запрограммированные для выполнения способов, рассмотренных в данном описании, а также инструкции для кодирования машиночитаемого носителя для выполнения способов, рассмотренных в данном описании.
[0019] В последующем описании проиллюстрированы примерные варианты осуществления настоящего изобретения, которые не следует рассматривать как имеющие ограничительный характер.
[0020] На фиг. 1 показана примерная система защиты от мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения. Множество клиентских систем 10а-d защищено от сетевого мошенничества с помощью сервера 14 безопасности и сервера 12 идентификации мошенничества. Клиентские системы 10а-d обычно представляют любое электронное устройство, имеющее процессор и память и выполненное с возможностью подключения к сети передачи данных. Примерные клиентские устройства включают, помимо прочего, персональные компьютеры, ноутбуки, мобильные вычислительные устройства (например, планшетные компьютеры), мобильные телефоны, носимые устройства (например, часы, фитнес-мониторы), игровые приставки, телевизоры и бытовые приборы (например, холодильники, мультимедийные проигрыватели). Клиентские системы 10а-d связаны друг с другом посредством сети 13 передачи данных, такой как корпоративная сеть или Интернет. Части сети 13 могут включать в себя локальную сеть (малую вычислительную сеть, LAN) и/или телекоммуникационную сеть (например, 30-сеть).
[0021] Каждый сервер 12, 14 в общем случае представляет собой группу соединенных с возможностью связи компьютерных систем, которые не обязательно находятся в физической близости друг к другу. В некоторых вариантах осуществления сервер 14 безопасности сконфигурирован для приема запроса от клиентской системы, причем запрос указывает на электронный документ, такой как веб-страница или электронное сообщение, и для ответной выдачи индикатора оценки, указывающего, может ли соответствующий документ быть мошенническим. В некоторых вариантах осуществления вероятность мошенничества определяют в соответствии с индикатором местонахождения соответствующего документа. Примерные индикаторы местонахождения включают в себя доменное имя, имя хоста и адрес интернет-протокола (IP-адрес) компьютерной системы, на которой размещают или распространяют соответствующий электронный документ. Термин «доменное имя» обычно используют в данной области техники для обозначения уникальной последовательности символов, идентифицирующих конкретную область Интернета, которая принадлежит отдельному лицу или организации и/или контролируется им(ею). Доменное имя является абстракцией (например, псевдонимом) группы сетевых адресов (например, ЕР-адресов) компьютеров, на которых размещают и/или распространяют электронные документы. Доменные имена обычно содержат объединенную последовательность меток, разделенных точками, например, www.bitdefender.com.
[0022] Сервер 12 идентификации мошенничества сконфигурирован для сбора информации о сетевом мошенничестве, включая, например, список индикаторов местонахождения (доменных имен, IP-адресов и т.п.) мошеннических документов. В некоторых вариантах осуществления сервер 12 идентификации мошенничества хранит информацию о мошенничестве в базе 15 данных мошеннических доменов, которая может быть дополнительно использована сервером 14 безопасности при определении вероятности того, что электронный документ является мошенническим. Подробное описание такой функциональности приведено ниже.
[0023] На фиг. 2-А показана примерная аппаратная конфигурация клиентской системы 10, такой как системы 10а-d, показанные на фиг. 1. Для простоты описания, проиллюстрированная клиентская система является компьютерной системой, при этом аппаратная конфигурация других клиентских систем, таких как мобильные телефоны, умные часы и т.п., может несколько отличаться от проиллюстрированная конфигурации. Клиентская система 10 содержит группу физических устройств, включая аппаратный процессор 20 и блок памяти 22. Процессор 20 содержит физическое устройство (например, микропроцессор, многоядерную интегральную схему, сформированную на полупроводниковой подложке и т.п.), сконфигурированное для выполнения вычислительных и/или логических операций с набором сигналов и/или данных. В некоторых вариантах осуществления процессор 20 получает указания на такие операции в форме последовательности инструкций процессора (например, машинного кода или другого типа кодирования). Блок памяти 22 может содержать энергозависимый машиночитаемый носитель (например, динамическую память с произвольной отборкой (DRAM), статическую память с произвольной отборкой (SRAM)), хранящую инструкции и/или данные, к которым обращается или которые генерирует процессор 20.
[0024] Устройства 24 ввода могут содержать компьютерные клавиатуры, мыши и микрофоны, включая, помимо прочего, соответствующие аппаратные интерфейсы и/или адаптеры, обеспечивающие возможность ввода пользователем данных и/или инструкций в клиентскую систему 10. Устройства 26 вывода могут включать в себя устройства отображения (например, монитор, жидкокристаллический дисплей) и акустические колонки, а также аппаратные интерфейсы/адаптеры, такие как графические адаптеры, обеспечивающие возможность передачи данных клиентской системой 10 пользователю. В некоторых вариантах осуществления устройства 24 ввода и устройства 26 вывода могут совместно использовать общую часть аппаратного обеспечения, например устройство с сенсорным экраном. Блок 28 хранения включает машиночитаемый носитель, обеспечивающий энергонезависимое хранение, чтение и запись программных инструкций и/или данных. Примерные запоминающие устройства 28 включают магнитные и оптические диски, устройства флэш-памяти, а также съемные носители, такие как CD-и/или DVD-диски и приводы. Группа сетевых адаптеров 32 обеспечивает возможность подключения клиентской системы 10 к компьютерной сети и/или к другим электронным устройствам. Контроллер-концентратор 30 представляет множество системных, периферийных шин, и/или шин микропроцессорных схем и/или всех других схем, обеспечивающих связь между процессором 20 и устройствами 22, 24, 26, 28 и 32. Например, контроллер-концентратор 30 может включать, помимо прочего, контроллер памяти, контроллер ввода-вывода (I/O) и контроллер прерываний. В другом примере контроллер-концентратор 30 может содержать контроллер «северный мост», обеспечивающий подключение процессора 20 к памяти 22, и/или контроллер «южный мост», обеспечивающий подключение процессора 20 к устройствам 24, 26, 28 и 32.
[0025] На фиг. 2-В показана примерная аппаратная конфигурация сервера 12 идентификации мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения. Сервер 14 безопасности может иметь аналогичную конфигурацию. Сервер 12 идентификации мошенничества содержит по меньшей мере один аппаратный процессор 120 (например, микропроцессор, многоядерную интегральную схему), физическую память 122, серверные запоминающие устройства 128 и группу серверных сетевых адаптеров 132. Адаптеры 132 могут включать сетевые карты и другие интерфейсы передачи данных, обеспечивающие возможность подключения сервера 12 идентификации мошенничества к сети 13 передачи данных. Серверные запоминающие устройства 128 могут хранить по меньшей мере подгруппу записей из базы 15 данных мошеннических доменов. В альтернативном варианте осуществления сервер 12 может осуществлять доступ к записям базы 15 данных, соответствующим мошенническим доменам, через сеть 13. В некоторых вариантах осуществления сервер 12 дополнительно содержит устройства ввода и вывода, которые по функционалу могут быть аналогичны соответствующим устройствам 24, 26 ввода/вывода клиентской системы 10.
[0026] На фиг. 3 показано примерное программное обеспечение, исполняемое в клиентской системе 10, в соответствии с некоторыми вариантами осуществления настоящего изобретения. Операционная система (ОС) 34 обеспечивает интерфейс между аппаратным обеспечением клиентской системы 10 и набором программных приложений. Примерные ОС включают, помимо прочего, Windows, MacOS®, iOS® и Android®. Приложение 36 в общем виде представляет собой любое пользовательское приложение, такое как, помимо прочего, приложение для обработки текста, приложение для обработки изображений, электронную таблицу, календарь, онлайн-игры, социальные сети, веб-браузер и приложения для электронной коммуникации.
[0027] Модуль 38 защиты от мошенничества защищает клиентскую систему 10 от электронного мошенничества, например, путем предотвращения доступа клиентской системы 10 к мошенническому электронному документу (например, мошенническому веб-сайту, сообщению электронной почты и т.п.). В некоторых вариантах осуществления модуль 38 защиты от мошенничества может быть включен и/или выключен пользователем клиентской системы 10. Модуль 38 защиты от мошенничества может быть автономным приложением или может являться частью набора компьютерных программ для защиты клиентской системы 10 от угроз компьютерной безопасности, таких как вредоносное программное обеспечение (вредоносное ПО), шпионское программное обеспечение и несанкционированный доступ.Модуль 38 может работать на различных уровнях привилегий процессора (например, в режиме пользователя, в режиме ядра). В некоторых вариантах осуществления модуль 38 интегрирован в приложение 36, например, в виде плагина, надстройки или панели инструментов.
[0028] В некоторых вариантах осуществления модуль 38 защиты от мошенничества может содержать сетевой фильтр 39, сконфигурированный для перехвата запроса клиентской системы 10 на доступ к удаленному документу и отборочной блокировки соответствующего запроса. Примерный запрос доступа, обнаруживаемый модулем 38, содержит запрос по протоколу передачи гипертекста (HTTP), выдаваемый клиентской системой 10. Сетевой фильтр 39 может работать, например, в качестве драйвера, зарегистрированного в ОС 34. В варианте осуществления, в котором ОС 34 и приложение 36 выполняются в виртуальной машине, модуль 38 защиты от мошенничества (или по меньшей мере сетевой фильтр 39) может выполняться вне соответствующей виртуальной машины, например, на уровне «гипервизор» привилегий процессора. Такие конфигурации могут эффективно защищать модуль 38 и/или сетевой фильтр 39 от вредоносных программ, которые могут заражать виртуальную машину. В еще одном варианте осуществления модуль 38 защиты от мошенничества может работать, по меньшей мере частично, на электронном устройстве, отличном от клиентской системы 10, например, на маршрутизаторе, прокси-сервере или шлюзе, используемом для подключения клиентской системы 10 к расширенной сети, такой как Интернет.
[0029] На фиг. 4 проиллюстрирована работа модуля 38 защиты от мошенничества на примере обмена данными между клиентской системой 10 и сервером 14 безопасности. На фиг. 5 дополнительно показана примерная последовательность этапов, выполняемых модулем 38 защиты от мошенничества, и/или сервером 14 безопасности для защиты клиентской системы 10 от электронного мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения. В иллюстративном примере, в котором приложение 36 содержит веб-браузер, при попытке получения пользователем доступа к удаленному документу (например, веб-сайту), приложение 36 может отправить запрос на доступ к соответствующему документу по сети 13 передачи данных на сервер поставщика услуг. Типичный запрос может включать кодирование местонахождения соответствующего ресурса. Примерные кодировки местонахождения включают, среди прочего, имя домена, имя хоста, унифицированный идентификатор ресурса (URI), унифицированный указатель ресурса (URL) и адрес интернет-протокола (IP-адрес).
[0030] После обнаружения запроса на доступ (например, HTTP-запроса, выданного веб-браузером), в некоторых вариантах осуществления модуль 38 защиты от мошенничества по меньшей мере временно приостанавливает передачу соответствующего запроса к его предполагаемому получателю и вместо этого передает серверу 14 безопасности индикатор 42 документа. В некоторых вариантах осуществления индикатор 42 документа включает кодирование местонахождения запрашиваемого документа (например, доменного имени, URL, IP-адреса) и может дополнительно включать другую информацию, полученную модулем 38 защиты от мошенничества путем анализа перехваченного запроса на доступ. Такая информация может включать, помимо прочего, указатель типа запрашиваемого документа, указатель запрашивающего приложения и идентификатор запрашивающего пользователя. В ответ на получение индикатора 42 документа, в последовательности этапов 208-210 (фиг. 5), в некоторых вариантах осуществления сервер 14 безопасности формирует индикатор 44 оценки, указывающий, может ли запрошенный документ быть мошенническим, и передает упомянутый индикатор 44 клиентской системе 10. В некоторых вариантах осуществления вероятность мошенничества определяют количественно в виде логического значения (например, 0/1, ДА/НЕТ) или в виде числа, находящегося в диапазоне между нижней и верхней границами (например, между 0 и 100).
[0031] В некоторых вариантах осуществления на этапе 212 модуль 38 защиты от мошенничества определяет, в соответствии с индикатором 44 оценки, может ли запрошенный документ быть мошенническим. Если нет, этап 214 позволяет клиентской системе 10 (например, приложению 36) получить доступ к соответствующему документу, например, путем передачи первоначального запроса на доступ его намеченному получателю. Если да, этап 216 может заблокировать доступ к соответствующему документу. В некоторых вариантах осуществления может дополнительно отображаться уведомление для пользователя (например, экран предупреждения, значок, пояснение и т.п.) и/или может выдаваться уведомление системному администратору клиентской системы 10.
[0032] В альтернативном варианте осуществления модуль 38 защиты от мошенничества, выполняющийся в клиентской системе 10 или на маршрутизаторе, соединяющем клиентскую систему 10 с Интернетом, может перенаправлять все запросы на доступ к удаленным документам серверу 14 безопасности для анализа. Таким образом, сервер 14 безопасности может быть расположен на месте прокси-сервера между клиентской системой 10 и удаленными серверами, обеспечивающими доступ к соответствующим ресурсам. В таких вариантах осуществления этапы 212, 214, 216 может выполнять сервер 14 безопасности.
[0033] В примерном варианте осуществления защиты пользователя клиентской системы 10 от мошеннических электронных сообщений (например, электронной почты) модуль 3 8 защиты от мошенничества может быть установлен как плагин или дополнение в приложении для чтения сообщений. После получения сообщения модуль 38 может проанализировать заголовок соответствующего сообщения, чтобы извлечь индикатор документа, содержащий, например, электронный адрес отправителя соответствующего сообщения и/или доменное имя сервера электронной почты, доставившего соответствующее сообщение. Затем модуль 38 может передать индикатор 42 документа серверу 14 безопасности и, в ответ на это, получить индикатор 44 оценки от сервера 14. На основании индикатора 44 модуль 38 защиты от мошенничества может определить, может ли соответствующее сообщение быть мошенническим, и, если может, предотвратить отображение содержимого соответствующего сообщения для пользователя. В некоторых вариантах осуществления модуль 38 может помещать сообщение, признанное мошенническим, в отдельную папку сообщений.
[0034] В альтернативном варианте осуществления модуль 38 защиты от мошенничества может исполняться на серверной компьютерной системе (например, на сервере электронной почты), управляющей обменом электронными сообщениями от имени множества клиентских систем, например, клиентских систем 10а-d, показанных на фиг. 1. В ответ на определение того, что сообщение, вероятно, является мошенническим, модуль 38 может заблокировать распределение соответствующего сообщения его предполагаемому получателю.
[0035] При определении вероятности мошенничества сервер 14 безопасности может запрашивать базу 15 данных мошеннических доменов (этап 208 на фиг. 5). В некоторых вариантах осуществления база 15 данных содержит группу записей, каждая из которых соответствует мошенническому доменному имени, такие группы записей, известные в данной области техники, иногда называют черными списками. В некоторых вариантах осуществления на этапе 208 определяют, соответствует ли доменное имя, на которое указывает индикатор 42 документа, какой-либо записи в черном списке базы 15 данных. Если да, то сервер 14 безопасности может определить, что запрошенный документ, вероятно, является мошенническим.
[0036] Базу 15 данных мошеннических доменов может пополнять и обслуживать сервер 12 идентификации мошенничества. В некоторых вариантах осуществления сервер 12 выявляет группу ранее неизвестных мошеннических доменов на основе знаний, получаемых в результате анализа известного мошеннического интернет-домена, называемого в данном описании «начальным доменом». После этого доменные имена вновь обнаруженных мошеннических доменов могут быть добавлены в базу 15 данных. На фиг. 6 показаны примерные компоненты сервера 12 идентификации мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения. Сервер 12 может содержать обратный преобразователь 52 адресов, фильтр 54 регистрационных данных, связанный с обратным преобразователем 52 адресов, и анализатор 56 контента, связанный с фильтром 54. На фиг. 7 показана примерная последовательность этапов, выполняемых сервером 12 идентификации мошенничества для обнаружения мошеннических интернет-доменов в соответствии с некоторыми вариантами осуществления настоящего изобретения.
[0037] Некоторые варианты осуществления настоящего изобретения основаны на наблюдении, что физический вычислительный ресурс, принадлежащий одному мошенническому домену, зачастую принадлежит и другим мошенническим доменам. Например, на одном и том же сервере и/или IP-адресе может быть размещено множество мошеннических веб-сайтов. Такие серверы или сетевые адреса могут принадлежать мошенникам или могут быть взломаны без ведома их законного владельца/оператора, например, с использованием искусно выполненного вредоносного программного обеспечения. Далее в описании раскрыто, как сведения об одном мошенническом домене могут быть использованы для обнаружения других, не известных ранее, мошеннических доменов.
[0038] В некоторых вариантах осуществления обратный преобразователь 52 адресов сконфигурирован для получения индикатора начального домена (например, имени 62 начального домена, как показано на фиг. 6) и для выдачи информации о группе совместно размещенных доменов 64 (этап 234 на фиг. 7). Начальный домен представляет собой известный мошеннический домен, то есть домен, в котором размещают или распространяют мошеннические документы. Примеры таких доменов включают домены, на которых размещают поддельные веб-сайты банков, поддельные сайты для осуществления онлайн-ставок, поддельные сайты для выдачи займов и т.п. Имена начальных доменов могут быть обнаружены, например, исследователями из штата компании, занимающейся компьютерной безопасностью, или могут быть сообщены пользователями Интернета или официальными организациями, исследующими сетевое мошенничество. Кроме того, имена начальных доменов могут быть обнаружены автоматически с помощью комплекса средств и методов, известных в данной области, например, с помощью незащищенных сетей для изучения приемов хакеров (honeypots).
[0039] В некоторых вариантах осуществления совместно размещенные домены 64 включают группу доменов, использующих совместно с начальным доменом общий сетевой адрес (например, общий IP-адрес). Примерная группа совместно размещенных доменов 64 использует один и тот же физический сервер для распространения электронных документов. Поскольку один сетевой/ТР-адрес может соответствовать множеству различных компьютерных систем, совместно размещенные домены 64 необязательно включают ту же физическую машину, что и начальный домен. Тем не менее, сервер доменных имен будет сопоставлять имя 62 начального домена и доменные имена всех совместно размещенных доменов 64 с одним и тем же сетевым адресом. Для идентификации совместно размещенных доменов 64 сервер 12 идентификации мошенничества может использовать любой метод, известный в области компьютерных сетей. Такие операции обычно известны как обратный анализ IP-адресов, обратный просмотр доменных имен (DNS) или обратное разрешение DNS. В одном примерном методе сервер 12 обеспечивает работу сервера имен, используемого для выполнения прямых просмотров DNS (то есть определения IP-адреса в соответствии с доменным именем), и использует сервер имен для построения обратной карты DNS. При другом методе можно искать ресурсную запись DNS типа «указатель» (PTR-запись) определенного домена, например, in-addr.arpa или ip6.arpa.
[0040] Не все совместно размещенные домены 64 обязательно будут мошенническими. Как описано выше, иногда компьютерную систему, принадлежащую легитимному домену, захватывают мошенники, которые затем используют соответствующую машину для размещения группы мошеннических доменов. Иногда такие мошеннические домены размещают на соответствующей машине только в течение короткого периода времени, а затем перемещают на другой сервер, чтобы избежать обнаружения или мер противодействия. В некоторых вариантах осуществления фильтр 54 регистрационных данных сервера 12 идентификации мошенничества сконфигурирован для фильтрации группы совместно размещенных доменов 64 для отбора группы кандидатов 66 в мошеннические домены (этап 236 на фиг. 7), представляющих собой домены, подозреваемые в мошенничестве. Кандидаты 66 в мошеннические домены могут быть подвергнуты дальнейшей проверке, как описано ниже.
[0041] Этап 236 может рассматриваться в качестве оптимизации, поскольку анализ мошенничества, как показано ниже, может быть затратным в вычислительном отношении. Предварительная фильтрация группы совместно размещенных доменов 64 может снизить вычислительную нагрузку благодаря использованию относительно менее требовательных правил отбора подгруппы доменов-кандидатов для анализа мошенничества. В некоторых вариантах осуществления фильтр 54 регистрационных данных отбирает кандидатов 66 в мошеннические домены в соответствии с регистрационной записью доменного имени каждого совместно размещенного домена. Регистрационные записи генерирует и/или поддерживает орган регистрации домена (например, интернет-регистратор). Для каждого зарегистрированного доменного имени примерная регистрационная запись может содержать контактные данные объекта, выполнившего регистрацию соответствующего доменного имени, владельца или администратора (например, имя, адрес, телефонный номер, адрес электронной почты и т.п.), а также автоматически сгенерированные данные, такие как идентификатор регистратора и различные метки времени, указывающие момент времени, когда было зарегистрировано соответствующее доменное имя, когда в последний раз была изменена соответствующая регистрационная запись, когда истекает срок действия соответствующей регистрационной записи и т.д.
[0042] Некоторые регистрационные данные доменного имени являются общедоступными и их можно запросить с помощью специальных компьютерных инструкций и/или протоколов, таких как WHOIS. В некоторых вариантах осуществления фильтр 54 регистрационных данных получает регистрационные данные доменного имени, относящиеся к совместно размещенным доменам 64, из базы 17 данных регистрации доменов, например, с использованием протокола WHOIS. Затем фильтр 54 может выполнять поиск группы шаблонов, характерных для мошенничества, в регистрационных данных доменного имени для каждого совместно размещенного домена, чтобы определить, может домен быть мошенническим или нет. Некоторые варианты осуществления основаны на наблюдении, что регистрация мошеннических доменных имен часто неравномерна во времени (всплески регистрации доменных имен). В таких вариантах осуществления можно сравнивать отметку времени регистрации имени 62 начального домена с отметкой времени регистрации совместно размещенного домена 64 и отбирать соответствующий совместно размещенный домен в группе кандидатов 66 в мошеннические домены в соответствии с результатом сравнения (например, если две регистрации отделены друг от друга очень небольшим промежутком времени).
[0043] Другим примерным признаком мошенничества является объект, выполнивший регистрацию доменного имени (например, владелец, администратор и т.п.). В некоторых вариантах осуществления фильтр 54 может пытаться сопоставить учетные данные объекта, выполнившего регистрацию, со списком известных имен, телефонных номеров, адресов, электронных писем и т.п., полученных из регистрационных данных доменных имен известных мошеннических доменов, таких как имя 62 начального домена. Совпадение может указывать на то, что соответствующий совместно размещенный домен может быть мошенническим, что оправдывает включение соответствующего совместно размещенного домена в группу кандидатов 66 в мошенники.
[0044] В некоторых вариантах осуществления фильтр 54 может искать определенные признаки мошенничества по телефонному номеру объекта, выполнившего регистрацию. В одном примерном варианте могут считаться мошенническими некоторые коды регионов или стран. В другом примерном варианте определенные комбинации цифр в телефонных номерах соответствуют услугам автоматического перенаправления вызовов, так что соответствующий телефонный номер может показаться легитимным, но при его наборе соответствующий вызов будет перенаправлен на другой номер, возможно, в другую страну. Такие шаблоны перенаправления вызовов могут считаться мошенническими. В некоторых вариантах осуществления фильтр 54 регистрационных данных может выполнять обратный просмотр номера телефона и сравнивать результат просмотра с другими регистрационными данными домена, такими как адрес или имя. Любое несоответствие может считаться мошенническим и может приводить к включению соответствующего совместно размещенного домена в группу кандидатов на мошенничество.
[0045] Еще одним примерным критерия для отбора домена из группы кандидатов 66 в мошеннические домены является адрес электронной почты объекта, выполнившего регистрацию. В некоторых вариантах осуществления фильтр 54 может пытаться сопоставить соответствующий адрес электронной почты с черным списком адресов электронной почты, полученных из известных мошеннических документов (например, веб-страниц, сообщений электронной почты). Черный список может дополнительно содержать адреса электронной почты, полученные из регистрационных данных известных мошеннических доменов, В некоторых вариантах осуществления фильтр 54 может искать определенные шаблоны в электронной почте объекта, выполнившего регистрацию, такие как явно случайные последовательности символов, необычно длинные адреса электронной почты и т.п.Такие шаблоны могут указывать на то, что соответствующий адрес сгенерирован автоматически, что может являться мошенничеством. В некоторых вариантах осуществления фильтр 54 может определять, следует ли включать совместно размещенный домен в группу кандидатов на мошенничество в соответствии с провайдером адреса электронной почты, например, в соответствии с тем, разрешены ли провайдером адреса электронной почты анонимные учетные записи электронной почты, являются ли соответствующие адреса электронной почты адресами, предоставляемыми бесплатно, и т.п. В некоторых вариантах осуществления можно идентифицировать сервер электронной почты, обрабатывающий электронную почту, которая предназначена соответствующему адресу электронной почты и/или исходит от соответствующего адреса электронной почты, и определять, следует ли включать совместно размещенный домен в группу кандидатов на мошенничество в соответствии с идентификационной информацией такого сервера.
[0046] В ответ на отбор кандидатов 66 в мошеннические домены в некоторых вариантах осуществления анализатор 56 контента выполняет анализ содержимого, чтобы определить, является ли какой-либо домен из группы кандидатов в мошеннические домены действительно мошенническим (этап 238 на фиг. 7). Анализ содержимого может включать доступ к кандидату в мошеннический домен и анализ содержимого электронного документа, размещенного или распространяемого в соответствующем домене. Если при анализе содержимого определяют, что электронный документ является мошенническим, на этапе 240 может быть определено, что соответствующий кандидат в мошеннический домен является действительно мошенническим, и вновь идентифицированное мошенническое доменное имя может быть сохранено в базе 15 данных мошеннических доменов.
[0047] Примерный анализ содержимого документа на языке разметки гипертекста (HTML) включает, помимо прочего, определение того, содержит ли соответствующий документ страницу аутентификации (регистрации) пользователя. Такие процедуры определения могут включать определение того, содержит ли соответствующая веб-страница поле формы и/или какое-либо ключевое слово из множества ключевых слов для аутентификации пользователя (например, «имя пользователя», «пароль», имена и/или аббревиатуры финансовых учреждений).
[0048] Анализ содержимого может дополнительно включать в себя сравнение соответствующего HTML-документа с группой известных мошеннических документов и/или с группой легитимных документов. В некоторых вариантах осуществления определяют, что документ является мошенническим, если соответствующий документ в достаточной степени похож на известный мошеннический документ. Такие методы основаны на наблюдении, что мошенники зачастую повторно используют удачный шаблон документа, поэтому обычно существует несколько мошеннических документов, использующих примерно одинаковый дизайн и/или форматирование.
[0049] Однако документ может быть мошенническим и в том случае, если он достаточно похож на конкретный легитимный документ. В одном таком примерном варианте веб-страница может пытаться обмануть пользователей, маскируясь под легитимную веб-страницу финансового учреждения (например, банка, страховой компании и т.п.). Поэтому в некоторых вариантах осуществления используют анализатор 56 контента для анализа содержимого, чтобы определить, является ли документ HTML, расположенный в кандидате в мошеннические домены, нелегитимным клоном легитимной веб-страницы. Такие процедуры определения могут включать анализ группы графических элементов (например, изображений, логотипов, цветовых схем, шрифтов, стилей шрифта, размера шрифта и т.п.) анализируемого документа и сравнение таких элементов с графическими элементами, полученными из группы легитимных веб-страниц.
[0050] Анализ содержимого может дополнительно включать анализ текстовой части соответствующего электронного документа. Такой анализ текста может включать поиск определенных ключевых слов, вычисление частоты появления определенных слов и/или последовательностей слов, определение относительного положения определенных слов относительно других слов и т.п. В некоторые вариантах осуществления определяют меру различия документов, указывающее на степень схожести между целевым документом и эталонным документом (мошенническим или легитимным), и определяют, является ли целевой документ легитимным в соответствии с вычисленным различием.
[0051] В другом примерном варианте анализа содержимого на основе текста выявляют и извлекают контактную информацию (например, адрес, контактный телефонный номер, адрес электронной почты для контакта и т.п.) из электронного документа, такого как HTML-документ или сообщение электронной почты. Затем анализатор 56 контента может попытаться сопоставить соответствующие контактные данные с черным списком аналогичных данных, извлеченных из известных мошеннических документов. Например, когда на веб-странице указан контактный телефонный номер, который появляется на мошенническом веб-сайте, в некоторых вариантах осуществления может быть сделано заключение о том, что такая веб-страница также является мошеннической. В других вариантах осуществления находят шаблоны, характерные для мошенничества, в контактных данных, например, для телефонных номеров с определенными кодами страны и/или зоны, шаблоны цифр в телефонных номерах, указывающих на услуги перенаправления вызовов, и т.п. (см. выше часть описания в отношении анализа регистрационных данных домена).
[0052] В другой примерной группе методов анализа содержимого выявляют фрагменты кода, содержащегося в электронном документе, например код отслеживания трафика. Например, такой код используют службы веб-аналитики (например, Google® Analytics®) для расчета и составления отчетов о различных данных, связанных с использованием веб-страницы: количество посещений, источники ссылок, страна, из которой происходят посещения и т.п. Такой код обычно содержит уникальный идентификатор (ID) клиента (например, идентификатор отслеживания), позволяющий соответствующей аналитической службе связывать соответствующий электронный документ с конкретным клиентом. В некоторых вариантах осуществления анализатор 56 контента может выявлять упомянутый идентификатор отслеживания и пытаться сопоставить соответствующий идентификатор с черным списком таких идентификаторов, полученных из известных мошеннических документов. Совпадение может указывать на то, что анализируемый в настоящее время документ также является мошенническим.
[0053] Вышеописанные примерные системы и способы обеспечивают возможность автоматически обнаруживать интернет-мошенничество, например, мошеннические веб-страницы и электронные сообщения. В некоторых вариантах осуществления происходит автоматическое выявление имени мошеннического интернет-домена, то есть имя домена, в котором размещают или распространяют мошеннические документы, и предотвращение доступа пользователя к соответствующему мошенническому доменному имени. В альтернативных вариантах осуществления происходит отображение предупреждения и/или уведомление для системного администратора при попытке получения доступа к известному мошенническому доменному имени.
[0054] В некоторых вариантах осуществления происходит автоматическое обнаружение группы не известных ранее мошеннических доменных имен на основе знаний, полученных в результате анализа известного мошеннического доменного имени. Такое автоматическое обнаружение позволяет быстро реагировать на возникающие попытки мошенничества и даже может обеспечивать возможность принятия упреждающих мер по предотвращения мошенничества благодаря обнаружению доменных имен, которые были зарегистрированы, но еще не использовались для осуществления мошеннических действий.
[0055] В некоторых вариантах осуществления отбирают кандидатов в мошеннические домены из группы доменов, размещенных на той же машине (машинах), на которой размещен известный мошеннический домен. Группа кандидатов может быть дополнительно отфильтрована в соответствии с регистрационными данными домена. Затем может быть проведен анализ содержимого для идентификации действительно мошеннических доменов в упомянутой группе кандидатов.
[0056] Специалисту в данной области техники понятно, что в вышеописанные варианты осуществления могут быть внесены многочисленные изменения без выхода за границы объема правовой охраны настоящего изобретения. Соответственно, объем правовой охраны настоящего изобретения определяется нижеследующей формулой изобретения и ее законными эквивалентами.

Claims (15)

1. Компьютерная система для идентификации мошеннических интернет-доменов, содержащая по меньшей мере один аппаратный процессор, сконфигурированный для управления работой обратного преобразователя адресов, фильтра регистрационных данных, соединенного с упомянутым обратным преобразователем адресов, и анализатора контента, соединенного с упомянутым фильтром регистрационных данных, причем обратный преобразователь адресов сконфигурирован для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, причем известный мошеннический интернет-домен расположен по целевому адресу интернет-протокола (IP-адрес), причем идентификация группы совместно размещенных интернет-доменов включает отбор группы совместно размещенных интернет-доменов таким образом, что все члены упомянутой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу; причем фильтр регистрационных данных сконфигурирован для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены, причем фильтрация группы совместно размещенных интернет-доменов включает: определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, причем регистрационные данные доменного имени, характеризующие домен, содержат адрес электронной почты, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с по меньшей мере одним из длины адреса электронной почты и случайности адреса электронной почты, и в ответ отбор домена в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено; причем анализатор контента сконфигурирован для: анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли упомянутый электронный документ мошенническим, и в ответ, если электронный документ является мошенническим, определения, что домен-кандидат является мошенническим, при этом компьютерная система сконфигурирована передавать индикатор оценки мошенничества, сгенерированный в соответствии с определением того, что домен-кандидат является мошенническим, для блокировки доступа к ресурсу, размещенному в домене-кандидате.
2. Компьютерная система по п.1, в которой определение выполнения условия отбора включает сравнение регистрационных данных доменного имени, характеризующих домен, с регистрационными данными доменного имени, характеризующими известный мошеннический интернет-домен.
3. Компьютерная система по п.2, в которой определение выполнения условия отбора включает сравнение метки времени регистрации домена с меткой времени регистрации известного мошеннического интернет-домена.
4. Компьютерная система по п.1, в которой фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с идентификационной информацией почтового сервера, обрабатывающего электронную почту, отправленную на упомянутый адрес электронной почты.
5. Компьютерная система по п.1, в которой фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с тем, разрешены ли провайдером адреса электронной почты анонимные учетные записи электронной почты.
6. Компьютерная система по п.1, в которой регистрационные данные доменного имени, характеризующие домен, включают телефонный номер, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с упомянутым телефонным номером.
7. Компьютерная система по п.6, в которой определение выполнения условия отбора включает выполнение обратного просмотра телефонного номера для определения объекта, которому принадлежит этот телефонный номер, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с результатом упомянутого обратного просмотра телефонного номера.
8. Способ идентификации мошеннических интернет-доменов, в котором используют по меньшей мере один аппаратный процессор для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, причем известный мошеннический интернет-домен расположен по целевому адресу интернет-протокола (IP-адрес), причем идентификация группы совместно размещенных интернет-доменов включает отбор упомянутой группы совместно размещенных интернет-доменов таким образом, что все члены этой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу, используют упомянутый по меньшей мере один аппаратный процессор для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены, причем фильтрация группы совместно размещенных интернет-доменов включает: определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, причем регистрационные данные доменного имени, характеризующие домен, содержат адрес электронной почты, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с по меньшей мере одним из длины адреса электронной почты и случайности адреса электронной почты, и в ответ отбор домена в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено; используют упомянутый по меньшей мере один аппаратный процессор для анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли электронный документ мошенническим, и в ответ на анализ электронного документа, если электронный документ является мошенническим, определяют, что домен-кандидат является мошенническим; и передают индикатор оценки мошенничества, сгенерированный в соответствии с определением того, что домен-кандидат является мошенническим, для блокировки доступа к ресурсу, размещенному в домене-кандидате.
9. Способ по п.8, в котором определение выполнения условия отбора включает сравнение регистрационных данных доменного имени, характеризующих домен, с регистрационными данными доменного имени, характеризующими известный мошеннический интернет-домен.
10. Способ по п.9, в котором определение выполнения условия отбора включает сравнение метки времени регистрации домена с меткой времени регистрации известного мошеннического интернет-домена.
11. Способ по п.8, в котором определяют выполнение условия отбора в соответствии с идентификационной информацией почтового сервера, обрабатывающего электронную почту, отправленную на упомянутый адрес электронной почты.
12. Способ по п.8, в котором определяют выполнение условия отбора в соответствии с тем, разрешены ли провайдером адреса электронной почты анонимные учетные записи электронной почты.
13. Способ по п.8, в котором регистрационные данные доменного имени, характеризующие домен, содержат телефонный номер, при этом выполнение условия отбора определяют в соответствии с упомянутым телефонным номером.
14. Способ по п.13, в котором определение выполнения условия отбора включает выполнение обратного просмотра телефонного номера для определения объекта, которому принадлежит этот телефонный номер, и в котором определяют выполнение условие отбора в соответствии с результатом упомянутого обратного просмотра телефонного номера.
15. Долговременный машиночитаемый носитель, хранящий инструкции, выполнение которых по меньшей мере одним аппаратным процессором обеспечивает формирование упомянутым по меньшей мере одним аппаратным процессором обратного преобразователя адресов, фильтра регистрационных данных, соединенного с упомянутым обратным преобразователем адресов, и анализатора контента, соединенного с упомянутым фильтром регистрационных данных, причем обратный преобразователь адресов сконфигурирован для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, расположенным по целевому адресу интернет-протокола (IP-адрес), при этом идентификация группы совместно размещенных интернет-доменов включает отбор упомянутой группы совместно размещенных интернет-доменов таким образом, что все члены этой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу, причем фильтр регистрационных данных сконфигурирован для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены, при этом фильтрация группы совместно размещенных интернет-доменов включает: определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, причем регистрационные данные доменного имени, характеризующие домен, содержат адрес электронной почты, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с по меньшей мере одним из длины адреса электронной почты и случайности адреса электронной почты, и в ответ отбор домена в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено, причем анализатор контента сконфигурирован для: анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли этот электронный документ мошенническим, и в ответ, если электронный документ является мошенническим, определение, что домен-кандидат является мошенническим; причем инструкции дополнительно обеспечивают передачу по меньшей мере одним аппаратным процессором индикатора оценки мошенничества, сгенерированного в соответствии с определением того, что домен-кандидат является мошенническим, для блокировки доступа к ресурсу, размещенному в домене-кандидате.
RU2019103228A 2016-07-11 2017-07-10 Система и способы для обнаружения сетевого мошенничества RU2744671C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/206,761 2016-07-11
US15/206,761 US10171497B2 (en) 2016-07-11 2016-07-11 Systems and methods for detecting online fraud
PCT/EP2017/067192 WO2018011104A1 (en) 2016-07-11 2017-07-10 System and methods for detecting online fraud

Publications (3)

Publication Number Publication Date
RU2019103228A RU2019103228A (ru) 2020-08-11
RU2019103228A3 RU2019103228A3 (ru) 2020-11-03
RU2744671C2 true RU2744671C2 (ru) 2021-03-12

Family

ID=59384138

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019103228A RU2744671C2 (ru) 2016-07-11 2017-07-10 Система и способы для обнаружения сетевого мошенничества

Country Status (12)

Country Link
US (2) US10171497B2 (ru)
EP (1) EP3482334B1 (ru)
JP (1) JP6871357B2 (ru)
KR (1) KR102130122B1 (ru)
CN (1) CN109690547B (ru)
AU (1) AU2017295738B2 (ru)
CA (1) CA3027470C (ru)
ES (1) ES2874148T3 (ru)
IL (1) IL265307B (ru)
RU (1) RU2744671C2 (ru)
SG (1) SG11201811343SA (ru)
WO (1) WO2018011104A1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2791824C1 (ru) * 2022-02-14 2023-03-13 Групп-Ай Би Глобал Прайвет Лимитед Способ и вычислительное устройство для выявления целевого вредоносного веб-ресурса

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016154419A1 (en) * 2015-03-25 2016-09-29 Equifax, Inc. Detecting synthetic online entities
US10860715B2 (en) * 2016-05-26 2020-12-08 Barracuda Networks, Inc. Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets
US20180077227A1 (en) * 2016-08-24 2018-03-15 Oleg Yeshaya RYABOY High Volume Traffic Handling for Ordering High Demand Products
US10498753B1 (en) * 2016-12-08 2019-12-03 Jpmorgan Chase Bank, N.A. System and method for identifying potentially fraudulent domain name and identifiers
US11036767B2 (en) * 2017-06-26 2021-06-15 Jpmorgan Chase Bank, N.A. System and method for providing database abstraction and data linkage
EP3528459B1 (en) * 2018-02-20 2020-11-04 Darktrace Limited A cyber security appliance for an operational technology network
JP7182764B2 (ja) * 2018-08-29 2022-12-05 Bbソフトサービス株式会社 不正Webページ検出装置、不正Webページ検出装置の制御方法及び制御プログラム
US11252127B2 (en) * 2018-12-11 2022-02-15 Level 3 Communications, Llc Systems and methods for processing requests for content of a content distribution network
JP6998294B2 (ja) * 2018-12-12 2022-01-18 Kddi株式会社 検知装置、検知方法及び検知プログラム
US10887278B2 (en) * 2019-01-10 2021-01-05 Proofpoint, Inc. Systems and methods for discovery of brand-registered domain names
US11411991B2 (en) * 2019-07-09 2022-08-09 Mcafee, Llc User activity-triggered URL scan
JP7069090B2 (ja) * 2019-08-19 2022-05-17 Kddi株式会社 解析装置、検出装置、システム及びプログラム
KR102051350B1 (ko) * 2019-09-05 2019-12-03 (주)에스투더블유랩 암호화폐 거래를 분석하기 위한 데이터 획득 방법 및 장치
US10755095B1 (en) * 2020-01-02 2020-08-25 Capital One Services, Llc System for scanning solicitations for fraud detection
EP4111669A2 (en) * 2020-05-21 2023-01-04 Huawei Technologies Co., Ltd. Domain name system (dns) services for variable-length address (vla) networks
US11699156B2 (en) * 2020-09-15 2023-07-11 Capital One Services, Llc Advanced data collection using browser extension application for internet security
CN112818278B (zh) * 2021-02-07 2022-06-03 国网湖南省电力有限公司 互联网托管网站的排查方法及排查系统
CN113115311B (zh) * 2021-04-12 2022-12-06 江苏通付盾科技有限公司 一种基于支持向量机模型的欺诈行为的识别方法及系统
CN112995357B (zh) * 2021-04-21 2021-07-23 腾讯科技(深圳)有限公司 基于云托管服务的域名管理方法、装置、介质及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110112931A1 (en) * 2007-03-08 2011-05-12 Tie Hu Method of processing online payments with fraud analysis and management system
US20150278817A1 (en) * 2014-03-28 2015-10-01 Transaction Wireless, Inc. Mitigation of fraudulent transactions conducted over a network
US20150350229A1 (en) * 2014-05-29 2015-12-03 Singularity Networks, Inc. Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data
US20160012223A1 (en) * 2010-10-19 2016-01-14 Cyveillance, Inc. Social engineering protection appliance

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8661539B2 (en) * 2000-07-10 2014-02-25 Oracle International Corporation Intrusion threat detection
US8984640B1 (en) * 2003-12-11 2015-03-17 Radix Holdings, Llc Anti-phishing
US7457823B2 (en) * 2004-05-02 2008-11-25 Markmonitor Inc. Methods and systems for analyzing data related to possible online fraud
US8769671B2 (en) 2004-05-02 2014-07-01 Markmonitor Inc. Online fraud solution
US8056128B1 (en) * 2004-09-30 2011-11-08 Google Inc. Systems and methods for detecting potential communications fraud
US9985978B2 (en) 2008-05-07 2018-05-29 Lookingglass Cyber Solutions Method and system for misuse detection
US8381292B1 (en) 2008-12-30 2013-02-19 The Uab Research Foundation System and method for branding a phishing website using advanced pattern matching
JP2011193343A (ja) * 2010-03-16 2011-09-29 Kddi Corp 通信ネットワーク監視システム
JP2011237979A (ja) * 2010-05-10 2011-11-24 Kddi Corp ウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラム
CN102291268B (zh) * 2011-09-23 2014-11-26 杜跃进 一种基于安全域名服务器系统的恶意域名监控方法
US9189746B2 (en) * 2012-01-12 2015-11-17 Microsoft Technology Licensing, Llc Machine-learning based classification of user accounts based on email addresses and other account information
US8813239B2 (en) * 2012-01-17 2014-08-19 Bitdefender IPR Management Ltd. Online fraud detection dynamic scoring aggregation systems and methods
EP2973282A4 (en) * 2013-03-13 2016-11-16 Guardian Analytics Inc DETECTION AND ANALYSIS OF FRAUD
US20150067853A1 (en) * 2013-08-27 2015-03-05 Georgia Tech Research Corporation Systems and methods for detecting malicious mobile webpages
JP5813810B2 (ja) * 2014-03-19 2015-11-17 日本電信電話株式会社 ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム
US20170041332A1 (en) * 2015-08-07 2017-02-09 Cisco Technology, Inc. Domain classification based on domain name system (dns) traffic
US9654492B2 (en) * 2015-09-15 2017-05-16 Mimecast North America, Inc. Malware detection system based on stored data
US10178121B2 (en) * 2015-10-01 2019-01-08 Michael Klatt Domain reputation evaluation process and method
US10178107B2 (en) * 2016-04-06 2019-01-08 Cisco Technology, Inc. Detection of malicious domains using recurring patterns in domain names

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110112931A1 (en) * 2007-03-08 2011-05-12 Tie Hu Method of processing online payments with fraud analysis and management system
US20160012223A1 (en) * 2010-10-19 2016-01-14 Cyveillance, Inc. Social engineering protection appliance
US20150278817A1 (en) * 2014-03-28 2015-10-01 Transaction Wireless, Inc. Mitigation of fraudulent transactions conducted over a network
US20150350229A1 (en) * 2014-05-29 2015-12-03 Singularity Networks, Inc. Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2791824C1 (ru) * 2022-02-14 2023-03-13 Групп-Ай Би Глобал Прайвет Лимитед Способ и вычислительное устройство для выявления целевого вредоносного веб-ресурса

Also Published As

Publication number Publication date
WO2018011104A1 (en) 2018-01-18
AU2017295738A1 (en) 2019-01-03
US20180013789A1 (en) 2018-01-11
CA3027470C (en) 2021-11-30
RU2019103228A (ru) 2020-08-11
AU2017295738B2 (en) 2021-07-01
US20190132357A1 (en) 2019-05-02
CA3027470A1 (en) 2018-01-18
RU2019103228A3 (ru) 2020-11-03
IL265307A (en) 2019-05-30
ES2874148T3 (es) 2021-11-04
KR102130122B1 (ko) 2020-07-06
JP6871357B2 (ja) 2021-05-12
EP3482334B1 (en) 2021-03-17
JP2019528509A (ja) 2019-10-10
US10171497B2 (en) 2019-01-01
KR20190026691A (ko) 2019-03-13
CN109690547B (zh) 2023-05-05
IL265307B (en) 2021-12-01
EP3482334A1 (en) 2019-05-15
US11388193B2 (en) 2022-07-12
SG11201811343SA (en) 2019-01-30
CN109690547A (zh) 2019-04-26

Similar Documents

Publication Publication Date Title
RU2744671C2 (ru) Система и способы для обнаружения сетевого мошенничества
US20210234837A1 (en) System and method to detect and prevent Phishing attacks
Wu et al. Effective defense schemes for phishing attacks on mobile computing platforms
KR100935776B1 (ko) 네트워크 어드레스 평가 방법, 컴퓨터 판독 가능한 기록 매체, 컴퓨터 시스템, 네트워크 어드레스 액세스 방법, 컴퓨터 인프라를 활용하는 방법 및 기업의 네트워크 통신 트래픽의 분석을 수행하는 방법
US8813239B2 (en) Online fraud detection dynamic scoring aggregation systems and methods
EP2673708B1 (en) DISTINGUISH VALID USERS FROM BOTS, OCRs AND THIRD PARTY SOLVERS WHEN PRESENTING CAPTCHA
US8775524B2 (en) Obtaining and assessing objective data ralating to network resources
US20060070126A1 (en) A system and methods for blocking submission of online forms.
US20130263263A1 (en) Web element spoofing prevention system and method
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
WO2019123665A1 (ja) 照合サーバ、照合方法及びコンピュータプログラム
Sanchez-Rola et al. Dirty clicks: A study of the usability and security implications of click-related behaviors on the web
Durey et al. FP-Redemption: Studying browser fingerprinting adoption for the sake of web security
Fietkau et al. The elephant in the background: A quantitative approachto empower users against web browser fingerprinting
Abiodun et al. Linkcalculator–an efficient link-based phishing detection tool
KR20070019896A (ko) 유알엘과 중요정보 필터링을 통한 피싱방지 기법 및프로그램
Varshney et al. Detecting spying and fraud browser extensions: Short paper
Sujatha et al. URL Analysis and cross site scripting with secured authentication protocol system in financial services
BAIHAN AN ANTI-SPOOFING TOOL: SPOOFGUARD+

Legal Events

Date Code Title Description
PD4A Correction of name of patent owner