RU2757535C2 - Method for identifying potentially dangerous devices using which the user interacts with banking services, by open ports - Google Patents

Method for identifying potentially dangerous devices using which the user interacts with banking services, by open ports Download PDF

Info

Publication number
RU2757535C2
RU2757535C2 RU2019138365A RU2019138365A RU2757535C2 RU 2757535 C2 RU2757535 C2 RU 2757535C2 RU 2019138365 A RU2019138365 A RU 2019138365A RU 2019138365 A RU2019138365 A RU 2019138365A RU 2757535 C2 RU2757535 C2 RU 2757535C2
Authority
RU
Russia
Prior art keywords
user
potentially dangerous
devices
open ports
security service
Prior art date
Application number
RU2019138365A
Other languages
Russian (ru)
Other versions
RU2019138365A3 (en
RU2019138365A (en
Inventor
Сергей Николаевич Иванов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2019138365A priority Critical patent/RU2757535C2/en
Publication of RU2019138365A3 publication Critical patent/RU2019138365A3/ru
Publication of RU2019138365A publication Critical patent/RU2019138365A/en
Application granted granted Critical
Publication of RU2757535C2 publication Critical patent/RU2757535C2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Abstract

FIELD: computer technology.
SUBSTANCE: invention relates to computer technology. A method for identifying a device through which a user interacts with remote services as potentially dangerous, contains steps at which: using a script executed in the browser on the user’s device, open ports on the user’s device, the IP address of the user’s device, available information about the browser on the user’s device are detected; with the help of a cloud security service, the identified data about the user’s device is analyzed, applying the rules for identifying potentially dangerous devices; with the help of a cloud security service, a potentially dangerous user device is identified in case of a positive result of applying the rules for identifying potentially dangerous devices.
EFFECT: ensuring that the device through which the user interacts with remote services is identified as potentially dangerous.
1 cl, 3 dwg

Description

Область техникиTechnology area

Изобретение относится к решениям для обеспечения безопасного взаимодействия пользователя с банковскими сервисами, а более конкретно к системам и способам выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами.The invention relates to solutions for ensuring secure user interaction with banking services, and more specifically to systems and methods for identifying potentially dangerous devices when a user interacts with banking services.

Уровень техникиState of the art

В настоящее время сфера банковских услуг существенно расширилась. Пользователю (клиенту банка) предоставляются новые возможности взаимодействия с банком, способы оплаты и перевода денежных средств. Многообразие платежных систем, поставщиков пластиковых карт и банковских сервисов (сервисы банка зачастую называются сервисами дистанционного банковского обслуживания) позволяет пользователю выполнять разнообразные транзакции посредством вычислительных устройств. Онлайн-банкинг и мобильный банкинг делают возможным проведение денежных операций без участия пластиковой карты или реквизитов банковского счета.Currently, the banking sector has expanded significantly. The user (client of the bank) is provided with new opportunities for interacting with the bank, methods of payment and transfer of funds. The variety of payment systems, plastic card providers and banking services (bank services are often referred to as remote banking services) allows the user to perform a variety of transactions through computing devices. Online banking and mobile banking make it possible to carry out monetary transactions without the participation of a plastic card or bank account details.

Кроме того, существуют различные механизмы защиты средств пользователя от доступа к ним третьих лиц. При работе пользователя с онлайн-банкингом зачастую используется такой метод, как двухэтапная аутентификация. После ввода в браузере на сайте банка аутентификационных данных (например, логина и пароля, которые могли стать доступны третьим лицам) пользователю на мобильный телефон банком направляется сообщение, содержащее, например, дополнительный проверочный код, который нужно ввести в специальное поле.In addition, there are various mechanisms to protect user funds from access to them by third parties. When a user is working with online banking, a method such as two-step authentication is often used. After entering authentication data in the browser on the bank's website (for example, a login and password that could become available to third parties), the bank sends a message to the user on his mobile phone, containing, for example, an additional verification code that must be entered in a special field.

Однако, стоит отметить, что существует множество атак, использующих уязвимые стороны при взаимодействии пользователя с банковскими сервисами, которые проводятся злоумышленниками с целью получения доступа к денежным средствам пользователя. Часто такие атаки называются мошенническими (англ. fraud). Так, например, с помощью фишинговых сайтов могут быть получены логин и пароль для доступа к онлайн-банкингу. Вредоносное программное обеспечение (например, инструменты удаленного администрирования) также позволяет злоумышленникам красть данные учетных записей (и прочие конфиденциальные данные) пользователей и проводить транзакции с подтверждением без ведома пользователя.However, it is worth noting that there are many attacks that exploit vulnerabilities when a user interacts with banking services, which are carried out by cybercriminals in order to gain access to the user's funds. These attacks are often referred to as fraudulent attacks. For example, using phishing sites, a login and password can be obtained to access online banking. Malicious software (such as remote administration tools) also allows attackers to steal user account data (and other sensitive data) and conduct verified transactions without the user's knowledge.

Известны системы и способы, использующие для защиты пользователей от мошеннической активности так называемый цифровой отпечаток устройства пользователя (англ. device fingerprint). Пользователь в общем случае использует одни и те же устройства, каждое устройство содержит определенный набор программного обеспечения и признаков, которые известны банку. В случае, если на устройстве изменяется набор программного обеспечения, или меняется само устройство, высока вероятность того, что наблюдается мошенническая активность. При совершении мошеннической активности на устройстве, последнее считается опасным.There are known systems and methods that use the so-called device fingerprint to protect users from fraudulent activity. The user generally uses the same devices, each device contains a certain set of software and features that are known to the bank. In the event that a set of software changes on a device, or the device itself changes, there is a high probability that fraudulent activity is observed. When committing fraudulent activity on a device, the latter is considered dangerous.

Так, публикация US 20150324802 описывает технологию аутентификации транзакций пользователя. При аутентификации используются отпечатки браузеров, а также векторы различных комбинаций параметров (характеристики устройства, геолокация, информация о самой транзакции).Thus, US publication 20150324802 describes a technology for authenticating user transactions. Authentication uses browser fingerprints, as well as vectors of various combinations of parameters (device characteristics, geolocation, information about the transaction itself).

Однако зачастую на устройстве пользователя не установлено никаких средств противодействия мошеннической активности (например, антивирусных приложений). Также зачастую пользователи совершают взаимодействие с банковскими сервисами не посредством приложений, которые могут содержать дополнительные инструменты выявления мошеннической активности (например, функции SDK от производителей антивирусных приложений) и сообщать банку дополнительные сведения об устройстве пользователя и транзакции, что затрудняет или делает невозможным выявление мошеннической активности.However, often, no anti-fraudulent activity (such as anti-virus applications) is installed on the user's device. Also, users often interact with banking services other than through applications that may contain additional tools for detecting fraudulent activity (for example, SDK functions from antivirus application manufacturers) and provide the bank with additional information about the user's device and transactions, which makes it difficult or impossible to identify fraudulent activity.

Настоящее изобретение позволяет выявлять потенциально опасные устройства, (устройства, с которых может совершаться мошенническая активность), при взаимодействии пользователя с банковскими сервисами посредством браузера.The present invention makes it possible to detect potentially dangerous devices (devices from which fraudulent activity can be performed) when a user interacts with banking services through a browser.

Сущность изобретенияThe essence of the invention

Настоящее изобретение предназначено для выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами.The present invention is intended to identify potentially dangerous devices through which the user interacts with banking services.

Технический результат настоящего изобретения заключается в реализации заявленного назначения.The technical result of the present invention is to implement the declared purpose.

Согласно одному из вариантов реализации предоставляется способ выявления устройства, посредством которого пользователь взаимодействует с удаленными сервисами, как потенциально опасного, содержащий этапы, на которых: с помощью скрипта, используя протоколы коммуникации, выявляют данные об устройстве пользователя; с помощью облачного сервиса безопасности анализируют выявленные данные об устройстве пользователя, применяя правила выявления потенциально опасных устройств; с помощью облачного сервиса безопасности выявляют потенциально опасное устройство пользователя в случае положительного результата применения правила выявления потенциально опасных устройств.According to one of the implementation options, a method is provided for identifying a device through which a user interacts with remote services as potentially dangerous, comprising the stages at which: using a script, using communication protocols, identify data about the user's device; using a cloud-based security service, they analyze the identified data about the user's device, applying the rules for identifying potentially dangerous devices; using a cloud-based security service, they identify a potentially dangerous device of the user in case of a positive result of the application of the rule for identifying potentially dangerous devices.

Согласно другому варианту реализации предоставляется способ, в котором данными об устройстве являются данные об открытых портах устройства.According to another embodiment, a method is provided in which the device data is open port data of the device.

Согласно одному из частных вариантов реализации предоставляется способ, в котором выявляют открытый порт на основании сравнения времени ответа на запрос к порту.According to one particular implementation, a method is provided in which an open port is detected based on a comparison of the response time to a request to the port.

Согласно одному из частных вариантов реализации предоставляется способ, в котором сравнение времени ответа на запрос к порту происходит со временем ответа на запрос к заведомо закрытому порту.According to one of the private embodiments, a method is provided in which a comparison of the response time to a request to a port occurs with the response time to a request to a known closed port.

Согласно одному из частных вариантов реализации предоставляется способ, в котором протоколы коммуникации являются протоколами коммуникации в реальном времени.According to one particular implementation, a method is provided in which the communication protocols are real-time communication protocols.

Согласно одному из частных вариантов реализации предоставляется способ, в котором данными об устройстве является IP-адрес устройства в локальной сети.According to one of the private embodiments, a method is provided in which the device data is the IP address of the device in the local network.

Согласно одному из частных вариантов реализации предоставляется способ, в котором данными об устройстве является название браузера.According to one particular implementation, a method is provided in which the device data is the name of the browser.

Согласно одному из частных вариантов реализации предоставляется способ, в котором данными об устройстве является операционная система устройства.According to one particular implementation, a method is provided in which the device data is the operating system of the device.

Согласно одному из частных вариантов реализации предоставляется способ, в котором условием правила выявления потенциально опасных устройств является наличие на устройстве RAT-инструмента.According to one of the private embodiments, a method is provided in which the condition of the rule for detecting potentially dangerous devices is the presence of a RAT tool on the device.

Согласно одному из частных вариантов реализации предоставляется способ, в котором условием правила выявления потенциально опасных устройств является несоответствие открытых портов на устройстве характерным портам для операционной системы на устройстве.According to one of the private embodiments, a method is provided in which the condition of the rule for detecting potentially dangerous devices is that the open ports on the device do not correspond to the typical ports for the operating system on the device.

Согласно одному из частных вариантов реализации предоставляется способ, в котором условием правила выявления потенциально опасных устройств является наличие на устройстве средства удаленного администрирования, которое не должно присутствовать на устройстве.According to one of the private embodiments, a method is provided in which the condition of the rule for detecting potentially dangerous devices is the presence of a remote administration tool on the device, which should not be present on the device.

Согласно одному из частных вариантов реализации предоставляется способ, в котором условием правила выявления потенциально опасных устройств является наличие на устройстве открытых портов, характерных для использования в сетях, предназначенных для анонимизации.According to one of the private embodiments, a method is provided in which the condition of the rule for detecting potentially dangerous devices is the presence on the device of open ports typical for use in networks intended for anonymization.

Согласно одному из частных вариантов реализации предоставляется способ, в котором условием правила выявления потенциально опасных устройств является наличие на устройстве открытых портов, характерных для известных устройств, используемых для мошеннической активности.According to one of the private embodiments, a method is provided in which the condition of the rule for detecting potentially dangerous devices is the presence on the device of open ports characteristic of known devices used for fraudulent activity.

Согласно одному из частных вариантов реализации предоставляется способ, в котором условием правила выявления потенциально опасных устройств является изменение на устройстве набора открытых портов.According to one of the private embodiments, a method is provided in which the condition of the rule for detecting potentially dangerous devices is to change the set of open ports on the device.

Краткое описание чертежейBrief Description of Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objects, features and advantages of the present invention will become apparent from a reading of the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

Фиг. 1 отображает структуру системы выявления потенциально опасных устройств по открытым портам.FIG. 1 shows the structure of the system for detecting potentially dangerous devices by open ports.

Фиг. 2 отображает схему способа выявления потенциально опасных устройств по открытым портам.FIG. 2 shows a diagram of a method for identifying potentially dangerous devices by open ports.

Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.FIG. 3 is an example of a general purpose computer system on which the present invention may be implemented.

Описание вариантов осуществления изобретенияDescription of embodiments of the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The essence recited in the description is nothing more than specific details provided to assist a person skilled in the art in a comprehensive understanding of the invention, and the present invention is defined only within the scope of the appended claims.

Фиг. 1 отображает структуру системы выявления потенциально опасных устройств по открытым портам.FIG. 1 shows the structure of the system for detecting potentially dangerous devices by open ports.

Система выявления потенциально опасных устройств по открытым портам состоит из браузера 110, выполняющегося на вычислительном устройстве пользователя 100, скрипта 120, выполняющегося в браузере 110, удаленного сервера 130, который предоставляет сервисы пользователю, и с которым взаимодействует пользователь посредством устройства 100, и облачного сервиса безопасности 140, с которым взаимодействует скрипт 120.The system for detecting potentially dangerous devices by open ports consists of a browser 110 running on the user's computing device 100, a script 120 running in a browser 110, a remote server 130 that provides services to the user and with which the user interacts through the device 100, and a cloud security service 140, with which script 120 interacts.

Вычислительное устройство пользователя 100 (далее по тексту устройство 100) содержит программную среду исполнения (например, операционную систему), в которой выполняется браузер 110.User computing device 100 (hereinafter referred to as device 100) contains a software execution environment (eg, an operating system) in which browser 110 is executed.

Потенциально опасное устройство - устройство 100, вероятность мошенничества (англ. fraud) с которого при онлайн-доступе к банковскому серверу (англ. online banking) 130 выше заранее заданного порогового значения.Potentially dangerous device - device 100, the likelihood of fraud (fraud) from which, when online accessing the bank server (online banking) 130, is higher than a predetermined threshold value.

Общеизвестно, что устройство 100 может содержать средства удаленного администрирования. Это могут быть как легитимные средства, так и нелегитимные, которые используются злоумышленниками в результате компрометации (например, заражения вредоносным программным обеспечением) устройства 100.It is well known that device 100 may include remote administration tools. These can be both legitimate means and illegitimate ones, which are used by attackers as a result of compromise (for example, infection with malware) of device 100.

Примерами легитимных средств удаленного администрирования являются:Examples of legitimate remote administration tools are:

- Remote Desktop Protocol (RDP),- Remote Desktop Protocol (RDP),

- Secure Shell (SSH),- Secure Shell (SSH),

- специализированные приложения (например, Team Viewer).- specialized applications (for example, Team Viewer).

Примерами нелегитимных средств удаленного администрирования являются так называемые инструменты удаленного администрирования (англ. remote administration tool, RAT) - это программы, используемые хакерами или другими лицами для удаленного подключения к устройству 100 через Интернет или локальную сеть. Инструмент удаленного администрирования основан на технологии клиент-сервер. Серверная часть работает на управляемом устройстве 100 и получает команды от клиента, установленного на удаленном хосте (например, вычислительном устройстве злоумышленника).Examples of illegitimate remote administration tools are so-called remote administration tools (RATs), which are programs used by hackers or others to remotely connect to device 100 via the Internet or a local area network. The remote administration tool is based on client-server technology. The server side runs on a managed device 100 and receives commands from a client installed on a remote host (eg, an attacker computing device).

Стоит понимать, что даже легитимные средства удаленного администрирования могут использоваться злоумышленниками. Особенно в случае, если упомянутые средства имеют функционал скрытой установки приложений (англ. silent install) на устройстве 100 пользователя.It should be understood that even legitimate remote administration tools can be used by cybercriminals. Especially if the mentioned tools have the functionality of silent installation of applications on the user's device 100.

Упомянутые средства (легитимные и нелегитимные) для получения данных для удаленного управления устройством 100 открывают порты на устройстве 100 для входящих соединений.These means (legitimate and illegitimate) for obtaining data for remote control of the device 100 open ports on the device 100 for incoming connections.

Настоящее изобретение позволяет выявлять открытые порты на устройстве 100.The present invention allows the detection of open ports on the device 100.

В общем случае при взаимодействии пользователя посредством браузера 110, выполняющегося на устройстве 100, с удаленным сервером 130, удаленный сервер передает устройству веб-страницу, которая в свою очередь содержит файл сценария - скрипт 120 (например, написанный на языке JavaScript). Далее по тексту удаленным сервером 130 для большей наглядности является банковский сервер 130.In general, when a user interacts through a browser 110 running on a device 100 with a remote server 130, the remote server transmits a web page to the device, which in turn contains a script file, a script 120 (eg, written in JavaScript). Hereinafter, the remote server 130 is, for the sake of clarity, the banking server 130.

Скрипт 120 исполняется при открытии в браузере 110 веб-страницы, полученной от банковского сервера 130.The script 120 is executed when the web page received from the banking server 130 is opened in the browser 110.

В общем случае скрипт 120 использует протоколы коммуникации в режиме реального времени. Например, WebRTC - протокол с открытым исходным кодом, предназначенный для организации передачи потоковых данных между браузерами 110 или другими поддерживающими протокол приложениями по технологии точка-точка (англ. peer-to-peer, Р2Р). В свою очередь WebRTC использует протоколы STUN (англ. Session Traversal Utilities for NAT) и TURN (англ. Traversal Using Relays around NAT). Посредством STUN реализуется простой запрос от браузера 110 к удаленному серверу 180, например, для уточнения IP-адреса устройства 100, и сервер возвращает браузеру 110 IP-адрес устройства 100. Это помогает браузерам 110 на различных устройствах 100 настроить каналы связи между браузерами 110 для обмена информацией (например, сообщениями) в режиме реального времени. TURN является расширением STUN, позволяющим, например, браузеру 110 передавать трафик в режиме реального времени через удаленный сервер TURN 180. Обычно STUN используется по протоколу UDP и TURN по протоколу TCP.In general, script 120 uses real-time communication protocols. For example, WebRTC is an open source protocol designed for organizing the transfer of streaming data between 110 browsers or other applications that support the protocol using point-to-point technology (English peer-to-peer, P2P). In turn, WebRTC uses the STUN (Session Traversal Utilities for NAT) and TURN (Traversal Using Relays around NAT) protocols. Through STUN, a simple request is made from the browser 110 to the remote server 180, for example, to clarify the IP address of the device 100, and the server returns the IP address of the device 100 to the browser 110. This helps the browsers 110 on the various devices 100 to set up communication channels between the browsers 110 for communication. information (for example, messages) in real time. TURN is a STUN extension that allows, for example, browser 110 to transmit traffic in real time through a remote TURN 180 server. Typically, STUN is used over UDP and TURN over TCP.

Настоящее изобретение не передает запросы от браузера 110 удаленному серверу 180, используя протоколы коммуникации в реальном времени. Вместо этого скрипт 120 обращается к порту вычислительного устройства 100, используя протоколы коммуникации в реальном времени.The present invention does not transmit requests from browser 110 to remote server 180 using real-time communication protocols. Instead, script 120 accesses a port on computing device 100 using real-time communication protocols.

Изначально скрипт 120 обращается к заведомо закрытому порту на устройстве 100. Заведомо закрытый порт может быть выявлен как статистически (например, порт с наименьшей вероятностью использования на устройствах 100), так и в зависимости от операционной системы, под управлением которой выполняется браузер 110. При обращении к заведомо закрытому порту скрипт 120 выявляет время ответа. Далее скрипт 120 обращается к портам, которые используются как легитимными, так и нелегитимными средствами удаленного администрирования. После получения ответа скрипт 120 вычисляет разницу по времени ответа, при этом сравнивает время ответа со временем ответа на запрос к заведомо закрытому порту. Если разница по времени ответа отличается более, чем на величину порогового значения, скрипт 120 считает порт открытым. Например, ответ от закрытого порта составляет 10 миллисекунд, а ответ от порта, к которому обратился скрипт 120 составляет 50 миллисекунд. Таким образом, порт, к которому обратился скрипт 120, считается открытым. При этом отличия по времени ответа могут быть как в большую, так и в меньшую сторону. Время ответа зависит от типа операционной системы, также время ответа зависит от того, какой протокол использует инструмент удаленного администрирования. Например, если в протоколе предусмотрена процедура «рукопожатия» (англ. handshake), время ответа может варьироваться (инструмент удаленного администрирования может ожидать корректный запрос заданный интервал времени, а затем отвечает о неудаче установления соединения по таймауту).Initially, script 120 accesses a known closed port on device 100. A known closed port can be detected both statistically (for example, the port with the least likelihood of being used on devices 100) and depending on the operating system that browser 110 is running under. to a deliberately closed port, script 120 detects the response time. Next, script 120 refers to ports that are used by both legitimate and illegitimate remote administration tools. After receiving a response, the script 120 calculates the difference in response time, while comparing the response time with the response time to a request to a known closed port. If the difference in response time differs by more than the threshold value, script 120 considers the port to be open. For example, a response from a closed port is 10 milliseconds, and a response from a port accessed by script 120 is 50 milliseconds. Thus, the port accessed by the script 120 is considered open. At the same time, the differences in response time can be both up and down. The response time depends on the type of operating system, and the response time also depends on which protocol the remote administration tool uses. For example, if the protocol provides for a handshake procedure, the response time may vary (the remote administration tool can wait for a correct request for a specified time interval, and then responds with a failure to establish a connection by timeout).

Стоит отметить, что кроме средств удаленного администрирования, описанным выше способом могут выявляться порты, открытые доверенным программным обеспечением (например, Microsoft SQL Server). Также могут выявляться открытые порты специфического программного обеспечения, например, порты, используемые устройствами 100 в сетях, предназначенных для анонимизации. В частности, сетью, предназначенной для анонимизации, является сеть Tor, подключенные к ней устройства 100 (так называемые Tor-ноды, англ. tor-nodes) имеют схожий набор открытых портов.It should be noted that, in addition to remote administration tools, the above method can detect ports opened by trusted software (for example, Microsoft SQL Server). Open ports of specific software can also be detected, such as ports used by devices 100 on networks intended for anonymization. In particular, the network intended for anonymization is the Tor network, 100 devices connected to it (the so-called Tor nodes, English tor-nodes) have a similar set of open ports.

В общем случае информация (номер порта и его время отклика), выявленная скриптом 120 об открытых портах, является цифровым отпечатком устройства 100. В одном из вариантов реализации отпечатком устройства 100 является информация о закрытых портах.In general, the information (port number and response time) detected by script 120 about open ports is a digital fingerprint of device 100. In one embodiment, the fingerprint of device 100 is information about closed ports.

Также в одном из вариантов реализации скрипт 120 собирает доступную информацию о браузере 110. При открытии страницы браузер 110 посылает банковскому серверу 130 идентификационную информацию. Это текстовая строка, являющаяся частью HTTP-запроса, начинающаяся с «User-Agent» и обычно включающая такую информацию, как название браузера 110, версию браузера 110, операционную систему устройства 100, язык операционной системы устройства 100 и прочее. Эта информация может быть получена скриптом 120.Also, in one implementation, the script 120 collects available information about the browser 110. When the page is opened, the browser 110 sends the identification information to the banking server 130. This is a text string that is part of an HTTP request, starting with "User-Agent" and usually includes information such as the name of the browser 110, the version of the browser 110, the operating system of the device 100, the language of the operating system of the device 100, and so on. This information can be obtained by script 120.

В одном из вариантов реализации скрипт 120 также дополнительно выявляет IP-адрес устройства 100 в локальной сети, например, с использованием компонент Javascript, например:In one implementation, the script 120 also further reveals the IP address of the device 100 on the local network, for example, using Javascript components, for example:

Figure 00000001
Figure 00000001

Далее локальный IP-адрес, информацию о браузере 110 и выявленных открытых портах скрипт 120 передает облачному сервису безопасности 140.Next, the script 120 transfers the local IP address, information about the browser 110 and the detected open ports to the cloud security service 140.

Облачный сервис безопасности 140 производит анализ, полученных от скрипта 120 данных о браузере 110 и об открытых портах на устройстве 100. При анализе облачный сервис безопасности 140 также анализирует IP-адрес устройства 100 в локальной сети, а также IP-адрес, с которого были получены данные от скрипта 120. В общем случае облачный сервис безопасности 140 применяет правила выявления потенциально опасных устройств 100. В случае положительного применения правила облачный сервис безопасности 140 выявляет (определяет) устройство 100 потенциально опасным. В общем случае применение правила считается положительным, если устройство 100 соответствует условиям правила.The cloud security service 140 analyzes the data received from the script 120 about the browser 110 and about the open ports on the device 100. When analyzing, the cloud security service 140 also analyzes the IP address of the device 100 in the local network, as well as the IP address from which it was obtained data from script 120. In general, the cloud security service 140 applies the rules for identifying potentially dangerous devices 100. If the rule is positively applied, the cloud security service 140 identifies (identifies) the device 100 as potentially dangerous. In general, the application of the rule is considered positive if the device 100 meets the conditions of the rule.

В одном из вариантов реализации облачный сервис безопасности 140 каждому порту в зависимости от собранных ранее данных об открытых портах на устройствах 100 (вне рамок настоящего изобретения) ставит в соответствие свой вес. На основании весов открытых и закрытых портов облачный сервис безопасности 140 выявляет общий вес опасности, и если общий вес опасности превышает заранее заданное пороговое значение, то облачный сервис безопасности 140 выносит решение о том, что устройство 100 является потенциально опасным.In one implementation, the cloud security service 140 assigns its own weight to each port depending on previously collected data about open ports on devices 100 (outside the scope of the present invention). Based on the weights of open and closed ports, cloud security service 140 determines the total hazard weight, and if the total hazard weight exceeds a predetermined threshold, cloud security service 140 judges device 100 to be potentially hazardous.

В одном из вариантов реализации облачный сервис безопасности 140 по отпечатку устройства 100 (номерам портов и временам отклика) вычисляет некоторую свертку. Дале облачный сервис безопасности 140 сравнивает полученную свертку со свертками отпечатков других устройств 100 из базы данных, и по степени схожести выносит решение о том, что устройство 100 является потенциально опасным.In one implementation, the cloud security service 140 computes a convolution from the fingerprint of the device 100 (port numbers and response times). Further, the cloud security service 140 compares the resulting convolution with the convolutions of the fingerprints of other devices 100 from the database, and judges by the degree of similarity that the device 100 is potentially dangerous.

В одном из вариантов реализации в случае выявления потенциально опасного устройства облачный сервис безопасности 140 передает информацию о потенциально опасном устройстве 100 банковскому серверу 130. Банковский сервер 130, используя полученную информацию, известными из уровня техники способами предотвращает выполнение банковских транзакций с потенциально опасного устройства 100. Например, банковский сервер 130 разрывает соединение, запрашивает дополнительную авторизацию у пользователя, информирует специалиста по информационной безопасности, показывает пользователю информационную веб-страницу, отсылает письмо по электронной почте или SMS пользователю.In one embodiment, if a potentially dangerous device is detected, the cloud-based security service 140 transmits information about a potentially dangerous device 100 to the banking server 130. The banking server 130, using the obtained information, using methods known in the art, prevents the execution of banking transactions from the potentially dangerous device 100. For example, , the banking server 130 terminates the connection, requests additional authorization from the user, informs the information security professional, shows the user an information web page, sends an email or SMS to the user.

Варианты реализации и применения правил выявления потенциально опасных устройств 100 облачным сервисом безопасности 140 рассмотрены ниже.Options for the implementation and application of the rules for identifying potentially dangerous devices 100 by the cloud security service 140 are discussed below.

Вариант 1. Облачный сервис безопасности 140 выявил, что на устройстве 100 обнаружены открытые порты нелегитимных средств удаленного администрирования. Так как на устройстве 100 установлен и активен (так как открыт порт) RAT-инструмент, оно могло быть скомпрометировано. Для предотвращения утечки данных облачный сервис безопасности 140 выявляет устройство 100 потенциально опасным. В данном варианте условием правила выявления потенциально опасных устройств является наличие на устройстве 100 RAT-инструмента.Option 1: Cloud Security Service 140 has detected open ports of illegitimate remote administration tools on device 100. Since the device 100 has a RAT tool installed and active (because the port is open), it could be compromised. To prevent data leakage, cloud security service 140 identifies device 100 as potentially dangerous. In this variant, the condition of the rule for detecting potentially dangerous devices is the presence of a RAT-tool on the device 100.

Вариант 2. Облачный сервис безопасности 140 выявил, что браузер 100 исполняется под управлением операционной системы macOS. Также облачный сервис безопасности 140 выявил, что открыты порты, характерные для программного обеспечения, выполняющегося под управлением операционной системы Windows (например, Microsoft SQL Server). Вероятно, осуществляется подмена устройства 100. Облачный сервис безопасности 140 выявляет устройство 100 потенциально опасным. В данном варианте условием правила выявления потенциально опасных устройств является несоответствие открытых портов на устройстве 100 характерным портам для операционной системы на устройстве 100.Option 2. Cloud Security Service 140 revealed that browser 100 is running macOS. Also, the cloud security service 140 revealed that ports are open, which are typical for software running under the Windows operating system (for example, Microsoft SQL Server). Device 100 is likely being spoofed. Security cloud service 140 identifies device 100 as potentially dangerous. In this case, the condition of the rule for detecting potentially dangerous devices is that the open ports on the device 100 do not correspond to the typical ports for the operating system on the device 100.

Вариант 3. Банк в локальной сети на своих устройствах 100 использует конкретное легитимное средство удаленного администрирования (например, TeamViewer). Облачный сервис безопасности 140 выявил, что на устройстве 100 установлено легитимное средство удаленного администрирования (например, AnyDesk). Также облачный сервис безопасности 140, проанализировав IP-адрес, с которого получена информация от скрипта 120, выявляет, что адрес принадлежит банку, а также выявляет, что в локальной сети банка устройство 100 является потенциально опасным (на нем установлено другое легитимное средство удаленного администрирования, отличное от банковского). Облачный сервис безопасности 140 передает локальный IP-адрес устройства 100 банковскому серверу 130 для дальнейшего анализа, расследования инцидента и принятия решения. В данном варианте условием правила выявления потенциально опасных устройств является наличие на устройстве 100 средства удаленного администрирования, которое не должно присутствовать на устройстве 100.Option 3. The bank in the local network on its 100 devices uses a specific legitimate remote administration tool (eg TeamViewer). Cloud security service 140 has detected that a legitimate remote administration tool (eg, AnyDesk) is installed on device 100. Also, the cloud security service 140, having analyzed the IP address from which the information from the script 120 was received, reveals that the address belongs to the bank, and also reveals that the device 100 in the bank's local network is potentially dangerous (it has another legitimate remote administration tool installed, other than bank). The cloud security service 140 transmits the local IP address of the device 100 to the banking server 130 for further analysis, incident investigation, and decision making. In this embodiment, the condition of the rule for detecting potentially dangerous devices is the presence of a remote administration tool on the device 100, which should not be present on the device 100.

Вариант 4. Облачный сервис безопасности 140 выявил, что на устройстве 100 открыты порты сети Tor. Использование упомянутой сети Tor зачастую связано с попыткой анонимизации пользователем своих действий, поэтому при обращении к банковскому серверу 130 с устройства 100, где открыты упомянутые порты, характерные для сети Tor, вероятно, происходит мошенническая активность. Облачный сервис безопасности 140 выявляет в данном случае устройство 100 потенциально опасным. В данном варианте условием правила выявления потенциально опасных устройств является наличие на устройстве 100 открытых портов, характерных для использования в сетях, предназначенных для анонимизации.Option 4. Cloud security service 140 revealed that Tor ports are open on device 100. The use of the mentioned Tor network is often associated with an attempt by the user to anonymize his actions, therefore, when accessing the bank server 130 from device 100, where the mentioned ports characteristic of the Tor network are open, it is likely that fraudulent activity occurs. Security cloud service 140 identifies device 100 as potentially dangerous in this case. In this case, the condition for the rule for detecting potentially dangerous devices is the presence of 100 open ports on the device, which are typical for use in networks intended for anonymization.

Вариант 5. Облачный сервис безопасности 140 выявил, что цифровой отпечаток устройства 100 (информация об открытых портах устройства 100) соответствует с высокой долей вероятности (например, 95% открытых портов) семейству известных цифровых отпечатков устройств 100, используемых злоумышленниками (например, злоумышленники зачастую разворачивают одни и те же образы виртуальных машин для совершения вредоносных действий, а после совершения действий виртуальная машина удаляется для сокрытия следов). Облачный сервис безопасности 140 выявляет в данном случае устройство 100 потенциально опасным. В данном варианте условием правила выявления потенциально опасных устройств является наличие на устройстве 100 открытых портов, характерных для известных устройств 100, используемых для мошеннической активности.Option 5. Cloud security service 140 revealed that the digital fingerprint of device 100 (information about open ports of device 100) corresponds with a high degree of probability (for example, 95% of open ports) to the family of known digital fingerprints of devices 100 used by attackers (for example, attackers often deploy the same images of virtual machines to perform malicious actions, and after the actions are performed, the virtual machine is deleted to hide its traces). Security cloud service 140 identifies device 100 as potentially dangerous in this case. In this embodiment, the condition of the rule for detecting potentially dangerous devices is the presence on the device 100 of open ports characteristic of known devices 100 used for fraudulent activity.

Вариант 6. Облачный сервис безопасности 140 выявил, что цифровой отпечаток устройства 100 постоянно изменяется. При обращении браузера 110 к банковскому серверу 130 и выполнении скрипта 120 набор открытых портов не соответствует предыдущим. В нормальных условиях причин для этого нет, облачный сервис безопасности 140 выявляет в данном случае устройство 100 также потенциально опасным. В данном варианте условием правила выявления потенциально опасных устройств является изменение на устройстве 100 набора открытых портов.Option 6. Cloud security service 140 has detected that the digital fingerprint of device 100 is constantly changing. When the browser 110 accesses the bank server 130 and the script 120 is executed, the set of open ports does not match the previous ones. Under normal conditions, there is no reason for this, the cloud security service 140 identifies in this case the device 100 is also potentially dangerous. In this embodiment, the condition of the rule for detecting potentially dangerous devices is to change the set of open ports on the device 100.

Фиг. 2 отображает схему способа выявления потенциально опасных устройств по открытым портам.FIG. 2 shows a diagram of a method for identifying potentially dangerous devices by open ports.

На этапе 210 с помощью скрипта 120, используя протоколы коммуникации, выявляют данные об устройстве 100. В общем случае протоколы коммуникации являются протоколами коммуникации в реальном времени. В одном из вариантов реализации данными об устройстве являются открытые порты устройства 100. При этом для выявления открытого порта с помощью скрипта 120 сравнивают время ответа на запрос к заведомо закрытому порту и время ответа на запрос к выявляемому порту. В одном из вариантов реализации данными об устройстве 100 является IP-адрес устройства 100 в локальной сети. В одном из вариантов реализации данными об устройстве 100 является название браузера 110. В одном из вариантов реализации данными об устройстве 100 является операционная система устройства 100. В общем случае данные с помощью скрипта 120 данные передают облачному сервису безопасности 140.At step 210, information about the device 100 is identified using a script 120 using communication protocols. In general, communication protocols are real-time communication protocols. In one embodiment, the device data are the open ports of the device 100. In order to detect an open port, the script 120 compares the response time to a request to a known closed port and the response time to a request to the detected port. In one implementation, the device 100 data is the IP address of the device 100 on the local network. In one embodiment, the data about the device 100 is the name of the browser 110. In one embodiment, the data about the device 100 is the operating system of the device 100. In general, the data is transferred to the cloud security service 140 using the script 120.

На этапе 220 с помощью облачного сервиса безопасности 140 анализируют выявленные данные об устройстве 100 пользователя, применяя правила выявления потенциально опасных устройств. В одном из вариантов реализации условием правила выявления потенциально опасных устройств является наличие на устройстве 100 RAT-инструмента. В одном из вариантов реализации условием правила выявления потенциально опасных устройств является несоответствие открытых портов на устройстве 100 характерным портам для операционной системы на устройстве 100. В одном из вариантов реализации условием правила выявления потенциально опасных устройств является наличие на устройстве 100 средства удаленного администрирования, которое не должно присутствовать на устройстве 100. В одном из вариантов реализации условием правила выявления потенциально опасных устройств является наличие на устройстве 100 открытых портов, характерных для использования в сетях, предназначенных для анонимизации. В одном из вариантов реализации условием правила выявления потенциально опасных устройств является наличие на устройстве 100 открытых портов, характерных для известных устройств 100, используемых для мошеннической активности. В одном из вариантов реализации условием правила выявления потенциально опасных устройств является изменение на устройстве 100 набора открытых портов.At block 220, the detected data about the user's device 100 is analyzed using the cloud security service 140, applying rules for identifying potentially dangerous devices. In one embodiment, the rule for detecting potentially dangerous devices is conditional on the presence of a RAT tool on the device 100. In one implementation, the condition of the rule for detecting potentially dangerous devices is that the open ports on the device 100 do not correspond to the typical ports for the operating system on the device 100. present on the device 100. In one embodiment, the rule for detecting potentially dangerous devices is conditional on the presence of open ports on the device 100, which are typical for use in networks intended for anonymization. In one embodiment, the rule for detecting potentially dangerous devices is conditional on the presence of open ports on the device 100, typical of known devices 100 used for fraudulent activity. In one implementation, the rule for detecting potentially dangerous devices is conditional on changing the set of open ports on the device 100.

На этапе 230 с помощью облачного сервиса безопасности 140 выявляют потенциально опасное устройство 100 в случае положительного результата применения правила выявления потенциально опасных устройств.At step 230, a potentially dangerous device 100 is detected using the cloud security service 140 if the potentially dangerous device rule is applied.

На этапе 240 с помощью облачного сервиса безопасности 140 в случае выявления потенциально опасного устройства 100 передают информацию о потенциально опасном устройстве 100 банковскому серверу 130. Банковский сервер 130, используя полученную информацию, известными из уровня техники способами предотвращает выполнение банковских транзакций с потенциально опасного устройства 100.At step 240, using the cloud security service 140, if a potentially dangerous device 100 is detected, information about the potentially dangerous device 100 is transmitted to the bank server 130. The bank server 130, using the obtained information using methods known in the art, prevents the execution of bank transactions from the potentially dangerous device 100.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 3 shows an example of a general-purpose computer system, a personal computer or server 20, comprising a central processing unit 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processing unit 21. The system bus 23 is implemented as any bus structure known from the prior art, containing in turn a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interfacing with any other bus architecture. System memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains basic procedures that transfer information between the elements of the personal computer 20, for example, at the time of loading the operating room. systems using ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20, in turn, contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29 and an optical drive 30 for reading and writing to removable optical disks 31, such as CD-ROM, DVD -ROM and other optical media. The hard disk 27, the magnetic disk drive 28, and the optical drive 30 are connected to the system bus 23 via the hard disk interface 32, the magnetic disk interface 33, and the optical drive interface 34, respectively. Drives and corresponding computer storage media are non-volatile storage media for computer instructions, data structures, program modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29 and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that are capable of storing data in a computer readable form (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.), which are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a file system 36, where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38 and program data 39. The user has the ability to enter commands and information into the personal computer 20 through input devices (keyboard 40, manipulator " mouse "42). Other input devices may be used (not shown): microphone, joystick, game console, scanner, etc. Such input devices are conventionally connected to the computer system 20 through a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), such as speakers, a printer, etc. ...

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment using a network connection with other or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the entity. the personal computer 20 shown in FIG. 3. In a computer network, there may also be other devices, such as routers, network stations, peer-to-peer devices, or other network nodes.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, personal computer 20 is connected to local network 50 via a network adapter or network interface 51. When using networks, personal computer 20 may use a modem 54 or other means of providing communication with a wide area network, such as the Internet. Modem 54, which is an internal or external device, is connected to the system bus 23 via a serial port 46. It should be noted that the network connections are only exemplary and are not required to reflect the exact configuration of the network, i. E. in fact, there are other ways of establishing a connection by technical means of communication of one computer with another.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information given in the description are examples, which do not limit the scope of the present invention defined by the claims. One skilled in the art will appreciate that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.

Claims (10)

Способ выявления устройства, посредством которого пользователь взаимодействует с удаленными сервисами, как потенциально опасного, содержащий этапы, на которых:A method for identifying a device through which a user interacts with remote services as potentially dangerous, containing stages at which: а) с помощью скрипта, исполняющегося в браузере на устройстве пользователя, выявляют:a) using a script running in a browser on the user's device, they identify: - открытые порты на устройстве пользователя;- open ports on the user's device; - IP-адрес устройства пользователя;- IP address of the user's device; - доступную информацию о браузере на устройстве пользователя;- available information about the browser on the user's device; б) с помощью облачного сервиса безопасности анализируют выявленные данные об устройстве пользователя, применяя правила выявления потенциально опасных устройств, при этом правилом выявления является по меньшей мере одно из:b) using a cloud security service, they analyze the identified data about the user's device, applying the rules for identifying potentially dangerous devices, while the detection rule is at least one of: - наличие на устройстве открытых портов, характерных для использования в сетях, предназначенных для анонимизации;- the presence of open ports on the device, typical for use in networks intended for anonymization; - наличие на устройстве открытых портов, характерных для известных устройств, используемых для мошеннической активности;- the presence on the device of open ports typical of known devices used for fraudulent activity; - изменение на устройстве набора открытых портов;- change the set of open ports on the device; в) с помощью облачного сервиса безопасности выявляют потенциально опасное устройство пользователя в случае положительного результата применения правила выявления потенциально опасных устройств.c) using a cloud-based security service, they identify a potentially dangerous device of the user in case of a positive result of the application of the rule for identifying potentially dangerous devices.
RU2019138365A 2019-11-27 2019-11-27 Method for identifying potentially dangerous devices using which the user interacts with banking services, by open ports RU2757535C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2019138365A RU2757535C2 (en) 2019-11-27 2019-11-27 Method for identifying potentially dangerous devices using which the user interacts with banking services, by open ports

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019138365A RU2757535C2 (en) 2019-11-27 2019-11-27 Method for identifying potentially dangerous devices using which the user interacts with banking services, by open ports

Publications (3)

Publication Number Publication Date
RU2019138365A3 RU2019138365A3 (en) 2021-05-27
RU2019138365A RU2019138365A (en) 2021-05-27
RU2757535C2 true RU2757535C2 (en) 2021-10-18

Family

ID=76033599

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019138365A RU2757535C2 (en) 2019-11-27 2019-11-27 Method for identifying potentially dangerous devices using which the user interacts with banking services, by open ports

Country Status (1)

Country Link
RU (1) RU2757535C2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130067582A1 (en) * 2010-11-12 2013-03-14 John Joseph Donovan Systems, methods and devices for providing device authentication, mitigation and risk analysis in the internet and cloud
US20150188949A1 (en) * 2013-12-31 2015-07-02 Lookout, Inc. Cloud-based network security
RU2635275C1 (en) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" System and method of identifying user's suspicious activity in user's interaction with various banking services
US10108791B1 (en) * 2015-03-19 2018-10-23 Amazon Technologies, Inc. Authentication and fraud detection based on user behavior
US20190124092A1 (en) * 2018-11-27 2019-04-25 Ingo Deutschmann Detection of Remote Fraudulent Activity in a Client-Server-System

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130067582A1 (en) * 2010-11-12 2013-03-14 John Joseph Donovan Systems, methods and devices for providing device authentication, mitigation and risk analysis in the internet and cloud
US20150188949A1 (en) * 2013-12-31 2015-07-02 Lookout, Inc. Cloud-based network security
US10108791B1 (en) * 2015-03-19 2018-10-23 Amazon Technologies, Inc. Authentication and fraud detection based on user behavior
RU2635275C1 (en) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" System and method of identifying user's suspicious activity in user's interaction with various banking services
US20190124092A1 (en) * 2018-11-27 2019-04-25 Ingo Deutschmann Detection of Remote Fraudulent Activity in a Client-Server-System

Also Published As

Publication number Publication date
RU2019138365A3 (en) 2021-05-27
RU2019138365A (en) 2021-05-27

Similar Documents

Publication Publication Date Title
RU2587423C2 (en) System and method of providing safety of online transactions
US11140150B2 (en) System and method for secure online authentication
US9363286B2 (en) System and methods for detection of fraudulent online transactions
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
EP3029593B1 (en) System and method of limiting the operation of trusted applications in the presence of suspicious programs
US9306972B2 (en) Method and system for prevention of malware infections
RU2634174C1 (en) System and method of bank transaction execution
US11824878B2 (en) Malware detection at endpoint devices
JP2019021294A (en) SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS
US9245118B2 (en) Methods for identifying key logging activities with a portable device and devices thereof
US20180146002A1 (en) Cyber Security System and Method Using Intelligent Agents
US11019494B2 (en) System and method for determining dangerousness of devices for a banking service
US11258819B1 (en) Security scoring based on multi domain telemetry data
EP2922265B1 (en) System and methods for detection of fraudulent online transactions
RU2601147C2 (en) System and method for detection of target attacks
US8261328B2 (en) Trusted electronic communication through shared vulnerability
JP7320462B2 (en) Systems and methods for performing tasks on computing devices based on access rights
RU2757535C2 (en) Method for identifying potentially dangerous devices using which the user interacts with banking services, by open ports
RU2758359C1 (en) System and method for detecting mass fraudulent activities in the interaction of users with banking services
WO2015178002A1 (en) Information processing device, information processing system, and communication history analysis method
US11647036B1 (en) Advanced interstitial techniques for web security
EP3261009B1 (en) System and method for secure online authentication
RU2665919C1 (en) System and method of determination of ddos-attacks under failure of service servers
RU2659735C1 (en) System and method of setting security systems under ddos attacks
WO2023225211A1 (en) Method and system for protection of cloud-based infrastructure