RU2762241C2 - Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами - Google Patents

Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами Download PDF

Info

Publication number
RU2762241C2
RU2762241C2 RU2020108169A RU2020108169A RU2762241C2 RU 2762241 C2 RU2762241 C2 RU 2762241C2 RU 2020108169 A RU2020108169 A RU 2020108169A RU 2020108169 A RU2020108169 A RU 2020108169A RU 2762241 C2 RU2762241 C2 RU 2762241C2
Authority
RU
Russia
Prior art keywords
user
activity
signs
security service
cloud security
Prior art date
Application number
RU2020108169A
Other languages
English (en)
Other versions
RU2020108169A (ru
RU2020108169A3 (ru
Inventor
Сергей Николаевич Иванов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2020108169A priority Critical patent/RU2762241C2/ru
Priority to US17/108,435 priority patent/US11928243B2/en
Publication of RU2020108169A publication Critical patent/RU2020108169A/ru
Publication of RU2020108169A3 publication Critical patent/RU2020108169A3/ru
Application granted granted Critical
Publication of RU2762241C2 publication Critical patent/RU2762241C2/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/30Semantic analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Accounting & Taxation (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Finance (AREA)
  • Bioethics (AREA)
  • Computational Linguistics (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Artificial Intelligence (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Изобретение относится к решениям для безопасного взаимодействия пользователя с удаленными сервисами. Технический результат заключается в обеспечении заявленного назначения. Способ выявления мошеннической активности при взаимодействии пользователя с удаленными сервисами содержит этапы: выполняют начальную классификацию сайта удаленного сервиса, при этом создается семантическая модель сайта удаленного сервиса; выявляют признаки активности пользователя при взаимодействии пользователя с сайтом удаленного сервиса с помощью скрипта, исполняющегося в браузере на вычислительном устройстве пользователя; определяют на основании выявленных данных идентификатор ресурса с использованием семантической модели сайта удаленного сервиса; анализируют выявленные признаки активности пользователя, сравнивая выявленные признаки активности пользователя и признаки ранних активностей пользователя с известными сценариями мошеннических активностей; выявляют мошенническую активность пользователя в случае соответствия признаков текущей активности пользователя и признаков ранних активностей пользователя известному сценарию мошеннической активности. 3 з.п. ф-лы, 3 ил., 3 табл.

Description

Область техники
Изобретение относится к решениям для обеспечения безопасного взаимодействия пользователя с банковскими сервисами, а более конкретно к системам и способам выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами.
Уровень техники
В настоящее время сфера банковских услуг существенно расширилась. Пользователю (клиенту банка) предоставляются новые возможности взаимодействия с банком, способы оплаты и перевода денежных средств. Многообразие платежных систем, поставщиков пластиковых карт и банковских сервисов (сервисы банка зачастую называются сервисами дистанционного банковского обслуживания) позволяет пользователю выполнять разнообразные банковские операции посредством вычислительных устройств. Онлайн-банкинг и мобильный банкинг делают возможным выполнение банковских операций без использования пластиковой карты или реквизитов банковского счета.
Кроме того, существуют различные механизмы защиты средств пользователя от несанкционированного доступа к ним третьих лиц. При работе пользователя с онлайн-банкингом зачастую используется такой метод, как двухэтапная аутентификация: после ввода в браузере на сайте банка аутентификационных данных (например, логина и пароля, которые могли стать доступны третьим лицам) пользователю на мобильный телефон банком направляется сообщение, содержащее, например, дополнительный проверочный код, который нужно ввести в специальное поле.
Однако, стоит отметить, что существует множество мошеннических (англ. fraud) атак, использующих уязвимые стороны при взаимодействии пользователя с банковскими сервисами, которые проводятся злоумышленниками с целью получения доступа к денежным средствам пользователя. Так, например, с помощью фишинговых сайтов могут быть получены логин и пароль для доступа к онлайн-банкингу. Вредоносное программное обеспечение (например, инструменты удаленного администрирования) также позволяет злоумышленникам красть данные учетных записей (и прочие конфиденциальные данные) пользователей и проводить транзакции с подтверждением без ведома пользователя.
Известны технологии, использующие для защиты пользователей от мошеннической активности, так называемый цифровой отпечаток устройства пользователя (англ. device fingerprint). Пользователь в общем случае использует одни и те же устройства, каждое устройство содержит определенный набор программного обеспечения и признаков, которые известны банку. В случае, если на устройстве изменяется набор программного обеспечения, или меняется само устройство, высока вероятность того, что наблюдается мошенническая активность. При совершении мошеннической активности на устройстве последнее считается недоверенным.
Так, публикация US 20150324802 описывает технологию аутентификации транзакций пользователя. При аутентификации используются цифровые отпечатки браузеров, а также векторы различных комбинаций параметров (характеристики устройства, геолокация, информация о самой транзакции).
Однако зачастую на устройстве пользователя не установлено никаких средств противодействия мошеннической активности (например, антивирусных приложений). Также зачастую пользователи совершают взаимодействие с банковскими сервисами не посредством банковских приложений, которые могут содержать дополнительные инструменты выявления мошеннической активности (например, функции SDK от производителей антивирусных приложений) и сообщать банку дополнительные сведения об устройстве пользователя и транзакции, что затрудняет или делает невозможным выявление мошеннической активности.
Настоящее изобретение позволяет выявлять мошеннические активности при взаимодействии пользователя с банковскими сервисами посредством браузера.
Сущность изобретения
Настоящее изобретение предназначено для выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами.
Технический результат настоящего изобретения заключается в реализации заявленного назначения.
Согласно одному из вариантов реализации предоставляется способ выявления мошеннической активности при взаимодействии пользователя с удаленными сервисами, содержащий этапы, на которых: выявляют признаки активности пользователя при взаимодействии пользователя с удаленными сервисами с помощью скрипта, исполняющегося в браузере на вычислительном устройстве пользователя; анализируют с помощью облачного сервиса безопасности выявленные признаки активности пользователя, сравнивая выявленные признаки активности пользователя и признаки ранних активностей пользователя с известными сценариями мошеннических активностей; выявляют с помощью облачного сервиса безопасности мошенническую активность пользователя в случае соответствия признаков текущей активности пользователя и признаков ранних активностей пользователя известному сценарию мошеннической активности.
Согласно другому варианту реализации предоставляется способ, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является действие пользователя.
Согласно одному из частных вариантов реализации предоставляется способ, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является идентификатор ресурса, на котором пользователь выполняет активность.
Согласно одному из частных вариантов реализации предоставляется способ, в котором идентификатор ресурса выявляется с помощью облачного сервиса безопасности с использованием семантической модели сайта удаленного сервиса.
Согласно одному из частных вариантов реализации предоставляется способ, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является устройство пользователя, с которого выполняется активность.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 отображает структуру системы выявления мошеннических активностей.
Фиг. 2 отображает схему способа выявления мошеннических активностей.
Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Фиг. 1 отображает структуру системы выявления мошеннических активностей.
Система выявления мошеннических активностей состоит из браузера 110, выполняющегося на вычислительном устройстве пользователя 100, скрипта 120, выполняющегося в браузере 110, удаленного сервера 130, который предоставляет сервисы пользователю, и с которым взаимодействует пользователь посредством устройства 100, и облачного сервиса безопасности 140, с которым взаимодействует скрипт 120.
Вычислительное устройство пользователя 100 (далее по тексту устройство 100) содержит программную среду исполнения (например, операционную систему), в которой выполняется браузер 110.
В общем случае при взаимодействии пользователя посредством браузера 110, выполняющегося на устройстве 100, с удаленным сервером 130, удаленный сервер передает браузеру 110 веб-страницу, которая в свою очередь содержит файл сценария - скрипт 120 (например, написанный на языке JavaScript).
Удаленным сервером 130 может являться:
- банковский сервер (предоставляемые сервисы: платежи, кредиты, программы лояльности);
- сервер микрофинансовой организации (платежи, кредиты);
- сервер онлайн-магазина (программы лояльности);
- сервер провайдера телекоммуникационных услуг (платежи, программы лояльности);
- сервер логистической (транспортной) компании (платежи, программы лояльности).
Далее по тексту удаленным сервером 130 для большей наглядности является банковский сервер 130.
Скрипт 120 исполняется при открытии в браузере 110 веб-страницы, полученной от банковского сервера 130.
В общем случае настоящее изобретение выявляет сценарии, которые с высокой вероятностью (например, выше заранее установленного порогового значения 0.95) можно отнести к мошенническим активностям при взаимодействии пользователя с удаленным сервером 130.
Сценарий содержит набор (последовательность) активностей (англ. activity) пользователя. Активность пользователя имеет по меньшей мере следующие признаки (признаки более подробно описаны ниже, при описании облачного сервиса безопасности 140):
- действие пользователя, выполняемое в момент активности;
- идентификатор ресурса, на котором пользователь выполняет активность;
- устройство пользователя 100, с которого выполняется активность.
Выявление признаков активности в общем случае выполняет скрипт 120 при взаимодействии пользователя в браузере 110 с веб-страницей, полученной от банковского сервера 130.
В предпочтительном варианте реализации скрипт 120 выявляет следующие действия пользователя при взаимодействии с веб-страницей, полученной от банковского сервера 130:
- навигацию пользователя (т.е. последовательный переход между страницами или элементами страниц с помощью кликов, прокрутки страницы или иных действий);
- фокусировку на элементе веб-страницы (т.е. наведение на заданный элемент курсора мышки или установку фокуса на заданном элементе с помощью клавиатуры или иного устройства ввода);
- ввод данных на странице в том числе с использованием специализированных элементов интерфейса, таких как формы (англ. textarea), поля вводы (англ. edit), поле навигации и т.п.;
- передачу данных в буфер обмена;
- изменения состояния страницы (например, за счет изменения cookie, по истечению времени);
- взаимодействие с элементом интерфейса (нажатие кнопок мыши, в том числе двойное, ввод текста с клавиатуры или нажатие отдельных клавиш, перетаскивание элемента и т.д.);
- управление пользователем модулями и апплетами, встроенными в страницу (к примеру, видеопроигрывателем);
- указанные выше действия со вспомогательными элементами сайта, такими как всплывающие окна (англ. popup), встроенные страницы (англ. iframe) и т.д.
Для выявления идентификатора ресурса (англ. location), на котором находится пользователь при взаимодействии с банковским сервером 130 посредством браузера 110, скрипт 120 выявляет:
- адрес веб-страницы (ее URL);
- ключевые слова на странице (например, слова, встречающиеся более одного раза на веб-странице и имеющие длину более 2х символов);
- лексемы, сформированные на основании текста, содержащегося на сайте, в том числе и свертки, рассчитанные по указанным лексемам;
- свертки на основании скриптов, содержащихся на сайте или вспомогательных элементах сайта, например, всплывающие окна, встроенные страницы и т.д.;
- метаинформацию веб-страницы, включающую в по крайней мере:
Figure 00000001
заголовок веб-страницы;
Figure 00000001
данные, указанные в теге <meta>;
Figure 00000001
адреса подгружаемых библиотек скриптов и листов стилей (англ. CSS), а также параметры указанных библиотек (номера версий, размеры, типы и т.д.);
Figure 00000001
используемые на странице медиа-ресурсы (изображения, аудио и видео данные);
Figure 00000001
программные платформы (англ. framework), используемые при создании сайта (к примеру, React, Angular и т.д.);
Figure 00000001
структуру сайта.
Для выявления устройства пользователя 100 скрипт 120 собирает по крайней мере:
- доступную информацию о браузере 110;
- доступную информацию о приложениях, взаимодействующих с браузером (плагинах или внешних приложений);
- доступную информацию об устройстве пользователя 100 (к примеру IP-адрес, информацию о процессоре и т.д.).
При открытии страницы браузер 110 посылает банковскому серверу 130 идентификационную информацию. Это текстовая строка, являющаяся частью HTTP-запроса, начинающаяся с «User-Agent» и обычно включающая такую информацию, как название браузера 110, версию браузера 110, информацию об операционной системе устройства 100 (название, версия и т.д.), язык операционной системы устройства 100 и прочее. Данные, содержащие упомянутую информацию, могут быть получены скриптом 120 или вычислены облачным сервисом безопасности 140 на основании информации, полученной скриптом 120.
Выявленные об активности пользователя данные скрипт 120 передает облачному сервису безопасности 140. В общем случае скрипт 120 также выявляет, что веб-страница изменилась в результате активности пользователя, если используются динамические веб-страницы (при использовании динамических веб-страниц изменения на веб-странице отображаются в браузере 110, а адрес веб-страницы не изменяется).
Облачный сервис безопасности 140 на основании данных, полученных от скрипта 120, выявляет категории признаков активности пользователя.
Действие пользователя (признак активности), выполняемое в момент активности, в частности, может категоризироваться по следующим выявленным облачным сервисом безопасности 140 категориям:
- просмотр данных на веб-странице, полученной от банковского сервера 130;
- ввод данных на веб-странице, полученной от банковского сервера 130;
- интерактивное взаимодействие с веб-страницей, полученной от банковского сервера 130;
- копирование данных, указанных на веб-странице, полученной от банковского сервера 130;
- осуществление поисковых запросов на веб-странице, полученной от банковского сервера 130;
- выполнение сценариев, заданных на веб-странице, полученной от банковского сервера 130.
Например, облачный сервис безопасности 140 выявил, что пользователь вводит данные (происходит фокусировка на элементе интерфейса веб-страницы и ввод данных в элемент интерфейса на веб-странице), затем нажимает кнопку (происходит взаимодействие с элементом интерфейса на веб-странице). Или же облачный сервис безопасности 140 выявил, что ввода данных нет, есть только интерактивное взаимодействие с элементом интерфейса на веб-странице. Или же облачный сервис безопасности 140 выявил, что пользователь просматривает веб-страницу (нет взаимодействия с элементами, только навигация на основании движения указателя мыши, или зажатия курсорных кнопок на клавиатуре, или скроллинга с сенсорного экрана).
В одном из вариантов реализации облачный сервис безопасности 140 выявляет на основании признаков действия, кем произведено действие, ботом или человеком. При этом признаками бота могут выступать:
1) ввод текста без набивания (т.е. или мгновенно, или с высокой периодичностью ввода символов);
2) равномерный переход от одного элемента к другому (переключение фокуса без движений мыши или без нажатия клавиши табуляции <Tab>);
3) игнорирование элементов веб-страницы, закрывающих фокус (на веб-странице элемент присутствует, но пользователю не виден, однако в него осуществляется ввод, или с ним происходит взаимодействие).
Для выявления категории идентификатора ресурса облачный сервис безопасности 140, анализирует выявленный скриптом 110 адрес веб-страницы, а также выявленные ключевые слова.
Стоит отметить, что облачный сервис безопасности 140 выполняет начальную классификацию веб-страниц, получаемых от банковского сервера 130. В общем случае банковский сервер 130 хранит веб-страницы (их содержимое и код) веб-сайта, а при обращении пользователя к веб-сайту банковский сервер 130 передает веб-страницу браузеру 110, исполняющемуся на устройстве пользователя 100. Начальная классификация выполняется облачным сервисом безопасности 140 до размещения на веб-страницах веб-сайта упомянутого скрипта 120, который выявляет признаки активности при взаимодействии пользователя с банковским сервером 130. Классификация в рамках настоящего изобретения - это категоризация (выявление категории) веб-страницы веб-сайта, хранящегося на банковском сервере 130, на основании совместной встречаемости слов и наиболее встречаемых слов.
В общем случае облачный сервис безопасности 140 выполняет начальную классификацию веб-сайта банковского сервера 130. При этом создается семантическая модель веб-сайта. На вход модели подается адрес веб-страницы (англ. Uniform Resource Locator, URL), ключевые слова веб-страницы, метаинформация веб-страницы (например то, что содержится в html-коде веб-страницы в теге <meta>), а на выходе модель выявляет категорию веб-страницы.
На этапе классификации по набору слов, выделенных из URL либо из заголовков на странице, облачному сервису безопасности 140 необходимо определить наиболее вероятную категорию. Для этого облачный сервис безопасности 140 использует подход, в котором каждое слово из набора «голосует» за связанные с этим словом категории. "Голос", отдаваемый словом за категорию, должен отражать значимость (частоту использования) слова для заданной категории, и в то же время "голоса" широкораспространенных слов должны иметь меньший вес, чем "голоса" слов, специфичных для категории. В качестве веса слова для категории облачный сервис безопасности 140 использует значение TF-IDF слова, учитывающее частоту слова и его распространенность, и обладающее необходимыми для "голосования" свойствами. TF-IDF (от англ. TF - term frequency, IDF - inverse document frequency) - статистическая мера, используемая для оценки важности слова в контексте документа (например, веб-страницы), являющегося частью коллекции документов или корпуса документов. Вес некоторого слова пропорционален частоте употребления этого слова в документе и обратно пропорционален частоте употребления слова во всех документах коллекции. В рамках настоящего изобретения документом является текст, размещенный на веб-странице, таким образом, облачный сервис безопасности 140 использует корпус текстов для оценки слова.
Облачный сервис безопасности 140 с помощью поискового робота (англ. crawler) выполняет обход веб-страниц веб-сайта банковского сервера 130. В одном из вариантов реализации облачный сервис безопасности 140 выполняет обход только общедоступных страниц. В другом варианте реализации облачный сервис безопасности 140 дополнительно выполняет обход личного кабинета пользователей (и тех страниц, которые доступны после авторизации). В еще одном из вариантов реализации облачный сервис безопасности 140 дополнительно выполняет обход приложенных документов (англ. attach), размещенных на веб-страницах. Обход веб-страниц веб-сайта банковского сервера 130, выполняемый облачным сервисом безопасности 140 с помощью поискового робота, может быть также рекурсивным и итерационным, то есть выполняется обход не только сайтов заданного адреса, но и сайтов, адреса которых найдены на веб-страницах веб-сайта банковского сервера 130, и относятся ко внешним адресам относительно веб-сайта банковского сервера 130.
В результате обхода с помощью поискового робота облачный сервис безопасности 140 собирает корпус текстов, которые соответствуют какой-либо категории, то есть тексты, описывающие услуги или предложения банковского сервера 130. Например, в разделе веб-сайта про счета на веб-страницах есть множество текстов о сберегательных счетах с разными условиями, тексты в свою очередь содержат значительное количество слов. Также облачный сервис безопасности 140 собирает все слова, из которых состоит адрес веб-страницы. Также облачный сервис безопасности 140 собирает все доступные из метаинформации (например, заголовков) веб-страниц слова. Стоит понимать, что веб-сайты банковских серверов 130 зачастую созданы по общепринятым стандартам, имеют структурированные заголовки, используют навигацию по «хлебным крошкам» (англ. breadcrumbs). Но как правило веб-сайты банковских серверов 130 оптимизируют при создании и дальнейшей поддержке для поиска, поэтому в адресах, в метаинформации и в содержимом веб-страниц пытаются правильно использовать слова, которые относятся к теме поиска. Например, чтобы поисковые роботы известных поисковых систем (Google, Yahoo, Yandex) могли обойти веб-сайт банковского сервера 130, а при запросе пользователя к поисковой системе поисковая система выдавала информацию, релевантную запросу пользователя, а веб-страницы с веб-сайта банковского сервера 130 попадали в результаты поиска.
Облачный сервис безопасности 140 выявляет, какой категории из набора категорий (представлены в Таблице 1), важных для целей выявления мошеннической активности, соответствует идентификатор ресурса, информация о котором предоставлена скриптом 120.
Figure 00000002
Для подготовки корпуса текстов облачный сервис безопасности 140 использует разделы с описаниями сервисов и услуг с веб-сайтов банковских серверов 130. Собранный корпус текстов представляет собой N текстовых документов, где N равно числу категорий.
Из-за ограниченного размера собранного корпуса текстов объемы текстов для разных категорий значительно отличаются. Распространенные слова, присутствующие в текстах большинства категорий, могут приводить к неверной оценке наиболее вероятной категории. Для устранения этих недостатков облачный сервис безопасности 140 в частных вариантах реализации:
- нормирует частоты слов в категориях на размер корпуса текстов категории, то есть сумма нормированных частот слов для категории равна 1.0;
- использует для распространенных слов, важных для определения категорий (например, «payment») поправки в корпус текстов для коррекции веса слова в соответствующей категории.
В одном из вариантов реализации для расчета TF-IDF облачный сервис безопасности 140 использует следующие формулы.
Пусть:
D - корпус текстов (документов),
N = |D| - число категорий (документов) в корпусе текстов,
d | ∈ D - текст (документ), связанный с категорией.
Тогда:
Figure 00000003
- нормированная частота слова в документе,
Figure 00000004
- сглаженная обратная частота по всем документам,
tƒidƒ(t, d)=tƒ(t, d) * idƒ(t, D) - вес слова в категории, являющийся произведением двух сомножителей.
В результате облачный сервис безопасности 140 упорядочивает слова по значимости (TF-IDF), пример предоставлен в Таблице 2.
Figure 00000005
Figure 00000006
Далее облачный сервис безопасности 140 выделят слова из URL разделов с описаниями сервисов и услуг с веб-сайтов банковских серверов 130. Для выделения слов из URL облачным сервисом безопасности 140 могут использоваться следующие допущения:
- прописная буква, следующая после строчной, считается началом нового слова;
- все не алфавитные символы считаются разделителями;
- дополнительно используется список распространенных в исследуемой тематике слов, для разбиения URL на слова в случае отсутствия различий в регистре и других потенциальных разделителей;
- все слова длинной менее 3 символов игнорируются.
Далее облачный сервис безопасности 140 выделят слова из метаданных (например, заголовков) веб-страниц разделов с описаниями сервисов и услуг с веб-сайтов банковских серверов 130. Тексты заголовков корректны с точки зрения орфографии и не требуют дополнительной обработки, как в случае с выделением слов из URL.
В одном из вариантов реализации облачный сервис безопасности 140 также использует лексемный анализ. Слова и фразы (некоторый текст) разбиваются облачным сервисом безопасности 140 на лексемы (текстовые последовательности, заданные правилами). Например, выделяются по N следующих друг за другом символов, и на основании заранее подготовленных таблиц частот использования лексем облачный сервис безопасности 140 выделяет слова текста веб-страницы, слова из URL, а также слова из метаданных. Например, выделены могут быть и слова, и части слов, и целые предложения, и даже свертки из них. Такое выделение позволяет облачному сервису безопасности 140 с одной стороны считать слова с ошибками одинаковыми словами, а с другой стороны, наоборот, выявлять эти ошибки и отдельно на них реагировать. Например, Go0gle.com и google.com - это и одно и тоже слово, связанное с поисковыми и прочими сервисами, а с другой Go0gle.com - это скорее всего попытка фишинга и т.п.
В результате, как было упомянуто выше, облачный сервис безопасности 140 создает и обучает семантическую модель веб-сайта банковского сервера 130.
На вход семантической модели подается выявленная скриптом 120 информация об идентификаторе ресурса, а на выходе модель выявляет категорию веб-страницы. Стоит понимать, что в некоторых случаях бывает сложно выявить адрес для так называемых одностраничных банков (когда страница подгружается динамически, не меняя адрес, или когда в адресах могут быть случайные символы). Однако, упомянутая семантическая модель не требует данных URL для выявления категории.
Семантическая модель веб-сайта банковского сервера 130 может переобучаться (дополняться) облачным сервисом безопасности 140. В одном из вариантов реализации модель веб-сайта банковского сервера 130 может переобучаться во время обращения пользователя к банковскому серверу 130. В другом варианте реализации модель веб-сайта банковского сервера 130 может переобучаться в случае достижения заданного количества обращений (например, порогового значения в 1000 обращений) пользователей к банковскому серверу 130. В еще одном из вариантов реализации модель веб-сайта банковского сервера 130 может переобучаться по заданному временному интервалу (например, раз в сутки). В еще одном из вариантов реализации модели веб-сайта банковского сервера 130 может переобучаться в случае выявления облачным сервисом безопасности 140, что веб-сайт банковского сервера 130 был обновлен.
Стоит понимать, что при таком подходе семантическая модель веб-сайта, полученная облачным сервисом безопасности 140 при анализе нескольких банков, может работать и для других банков. Кроме того, если необходим другой регион или другой язык, необходимо пополнить модель по меньшей мере одним корпусом текстов слов другого языка (очевидно из примера в Таблице 2). Для этого облачный сервис безопасности 140 с помощью поискового робота выполняет обход веб-страниц английской, итальянской, испанской и т.д. версий сайта. Одна модель может содержать несколько языков, так как категория веб-страницы не меняется от выбранного пользователем языка.
В одном из вариантов реализации для обучения модели и выделения категорий облачный сервис безопасности 140 дополнительно использует прочие источники (например, веб-сайты банковских сервисов, на которых не функционирует скрипт 120, либо новостные издания, посвященные банковской тематике, используя различную периодику) для сбора более обширных корпусов текстов и дообучения модели. В одном из вариантов реализации облачный сервис безопасности 140 выполняет полное переобучение модели (например, для актуализации категорий, если некоторые категории более не используются и не являются актуальными, или если результат функционирования настоящего изобретения неудовлетворителен, то есть возникают частые ошибки первого и второго рода при выявлении категорий).
Для выявления признаков устройства пользователя 100 облачный сервис безопасности 140, анализирует полученную от скрипта 120 информацию.
В зависимости от IP-адреса устройства 100 облачный сервис безопасности 140 может выявить репутацию IP-адреса, а также есть ли признаки того, что IP-адрес устройства 100 анонимизируется. По данным «User-Agent» облачный сервис безопасности 140 может выявить, использовалось ли устройство 100 ранее (на основании анализа предыдущих сессий пользователя), или это новое устройство 100. В одном из вариантов реализации облачный сервис безопасности 140 дополнительно анализирует, в рамках одной или нескольких сессий совершается активность пользователя.
В результате облачный сервис безопасности 140 выявляет сценарий, содержащий набор (последовательность) активностей пользователя, который относит к мошеннической активности пользователя при взаимодействии с удаленным сервером 130.
В различных вариантах реализации облачный сервис безопасности 140 для выявления подозрительных последовательностей активностей пользователя использует следующие гипотезы и допущения:
- подозрительная последовательность содержит пару "идентифицирующих мошенническую активность" активностей - начальную и рискованную, далее по тексту - пара (например, редактирование профиля, затем успешный перевод средств на кошелек);
- начальная активность всегда предшествует рискованной в последовательности фактов, упорядоченной по времени;
- пара не обязательно смежная, то есть между активностями пары может быть произвольное число других активностей;
- пара может принадлежать различным сессиям пользователя;
- расстояние по времени между стартовой и рискованной активностью не должно превышать заданной величины.
Облачный сервис безопасности 140 выявляет сценарий с использованием логических выражений над выявленными признаками активностей пользователя. Логические выражения (примеры представлены ниже в Таблице 3) используют:
- текстовые идентификаторы (имя категории, слово, подстрока или категория устройства);
- логический оператор:
Figure 00000007
|| - логическое «ИЛИ»,
Figure 00000007
&& - логическое «И»,
Figure 00000007
! - отрицание;
Figure 00000007
прочие (например, XOR, объединение результатов);
- оператор сравнения и число (для задания уточняющих условий на категории устройства пользователя).
В различных вариантах реализации облачный сервис безопасности 140 для подозрительных последовательностей выявляет пару по следующим условиям:
- семантическая категория активности соответствует заданному логическому выражению;
- категории активности действия пользователя соответствуют заданному логическому выражению;
- в выделенных из содержимого идентификатора ресурса активности словах присутствуют слова, соответствующие заданному логическому выражению;
- в содержимом идентификатора ресурса активности присутствуют подстроки, соответствующие заданному логическому выражению;
- категории устройства пользователя 100 соответствуют заданному логическому выражению.
Figure 00000008
Figure 00000009
В случае выявления последовательности активностей, характерной для мошеннической активности, облачный сервис безопасности 140 передает информацию об активностях банковскому серверу 130 для расследования возможного инцидента.
Вариант применения настоящей системы описан ниже.
Облачный сервис безопасности 140 выявил с помощью скрипта 120, что пользователь (User Reputation >0.5) ввел данные («interact») на веб-странице с идентификатором ресурса «payments» при взаимодействии с банковским сервером. После взаимодействия на идентификаторе ресурса появилась строка «success». Кроме того, устройство 100 является «новым» (New Device Environment = = 1.0) использует IP-адрес, характерный для анонимизации (Anonymized IP). Кроме того, в течение трех часов до этого в рамках другой сессии облачный сервис безопасности 140 выявил с помощью скрипта 120, что этот же пользователь (User Reputation >0.5) с другого устройства 100 с известного IP-адреса (IP Reputation), пользователь редактировал данные («edit») на веб-странице с идентификатором ресурса «profile». Таким образом, есть вероятность, что совершается мошенническая активность. Известны случаи, когда после редактирования, например, номера телефона в банковском профиле пользователя, в дальнейшем подтверждения платежей происходят по CMC, приходящим на новый телефонный номер, который может принадлежать злоумышленнику. Таким образом, такой сценарий (такая пара активностей) может означать, что совершается мошенническая активность, о чем облачный сервис безопасности 140 передает информацию банковскому серверу 130 для расследования возможного инцидента.
Фиг. 2 отображает схему способа выявления мошеннических активностей.
На этапе 210 выявляют признаки активности пользователя при взаимодействии пользователя с удаленными сервисами 130 с помощью скрипта 120, исполняющегося в браузере 110 на вычислительном устройстве пользователя 100. В одном из вариантов реализации признаком активности пользователя при взаимодействии пользователя с удаленными сервисами 130 является действие пользователя. В еще одном из вариантов реализации признаком активности пользователя при взаимодействии пользователя с удаленными сервисами 130 является идентификатор ресурса, на котором пользователь выполняет активность. В одном из вариантов реализации идентификатор ресурса выявляется облачным сервисом безопасности 140 с использованием семантической модели сайта удаленного сервиса 130. В еще одном из вариантов реализации признаком активности пользователя при взаимодействии пользователя с удаленными сервисами 130 является устройство пользователя 100, с которого выполняется активность.
На этапе 220 анализируют с помощью облачного сервиса безопасности 140 выявленные признаки активности пользователя, сравнивая выявленные признаки активности пользователя и признаки ранних активностей пользователя с известными сценариями мошеннических активностей.
На этапе 230 выявляют с помощью облачного сервиса безопасности 140 мошенническую активность пользователя в случае соответствия признаков текущей активности пользователя и признаков ранних активностей пользователя известному сценарию мошеннической активности.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (28)

1. Способ выявления мошеннической активности при взаимодействии пользователя с удаленными сервисами, содержащий этапы, на которых:
а) выполняют с помощью облачного сервиса безопасности начальную классификацию сайта удаленного сервиса, при этом создается семантическая модель сайта удаленного сервиса;
б) выявляют признаки активности пользователя при взаимодействии пользователя с сайтом удаленного сервиса с помощью скрипта, исполняющегося в браузере на вычислительном устройстве пользователя, при этом признаками активности являются:
- действие пользователя,
- данные для определения идентификатора ресурса,
- устройство пользователя;
в) определяют с помощью облачного сервиса безопасности на основании выявленных данных идентификатор ресурса с использованием семантической модели сайта удаленного сервиса;
г) анализируют с помощью облачного сервиса безопасности выявленные признаки активности пользователя, сравнивая выявленные признаки активности пользователя и признаки ранних активностей пользователя с известными сценариями мошеннических активностей;
д) выявляют с помощью облачного сервиса безопасности мошенническую активность пользователя в случае соответствия признаков текущей активности пользователя и признаков ранних активностей пользователя известному сценарию мошеннической активности.
2. Способ по п. 1, в котором действием пользователя, выявленным скриптом, является:
- навигация пользователя;
- фокусировка на элементе веб-страницы;
- ввод данных на странице, в том числе с использованием элементов интерфейса;
- передача данных в буфер обмена;
- изменение состояния страницы;
- взаимодействие с элементом интерфейса;
- управление пользователем модулями и апплетами, встроенными в страницу;
- указанные выше действия со вспомогательными элементами сайта.
3. Способ по п. 1, в котором данными для определения идентификатора ресурса, выявленными скриптом, являются:
- адрес страницы;
- ключевые слова на странице;
- лексемы, сформированные на основании текста, содержащегося на сайте, в том числе и свертки, рассчитанные по указанным лексемам;
- свертки на основании скриптов, содержащихся на сайте или вспомогательных элементах сайта;
- метаинформация страницы.
4. Способ по п. 1, в котором для выявления устройства пользователя скрипт собирает по крайней мере:
- доступную информацию о браузере;
- доступную информацию о приложениях, взаимодействующих с браузером;
- доступную информацию об устройстве пользователя.
RU2020108169A 2020-02-26 2020-02-26 Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами RU2762241C2 (ru)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2020108169A RU2762241C2 (ru) 2020-02-26 2020-02-26 Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами
US17/108,435 US11928243B2 (en) 2020-02-26 2020-12-01 System and method of detecting hacking activities during the interaction of users with banking services

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020108169A RU2762241C2 (ru) 2020-02-26 2020-02-26 Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами

Publications (3)

Publication Number Publication Date
RU2020108169A RU2020108169A (ru) 2021-08-26
RU2020108169A3 RU2020108169A3 (ru) 2021-08-26
RU2762241C2 true RU2762241C2 (ru) 2021-12-16

Family

ID=77367150

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020108169A RU2762241C2 (ru) 2020-02-26 2020-02-26 Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами

Country Status (2)

Country Link
US (1) US11928243B2 (ru)
RU (1) RU2762241C2 (ru)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11550702B1 (en) 2021-11-04 2023-01-10 T-Mobile Usa, Inc. Ensuring that computer programs are accessible to users with disabilities, such as for use with mobile phones

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2571721C2 (ru) * 2014-03-20 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения мошеннических онлайн-транзакций
RU2626337C1 (ru) * 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Способ обнаружения мошеннической активности на устройстве пользователя
RU2635275C1 (ru) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
WO2018190984A1 (en) * 2017-04-13 2018-10-18 Oracle International Corporation Novel non-parametric statistical behavioral identification ecosystem for electricity fraud detection
US10108791B1 (en) * 2015-03-19 2018-10-23 Amazon Technologies, Inc. Authentication and fraud detection based on user behavior
RU2708508C1 (ru) * 2018-12-17 2019-12-09 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9471920B2 (en) 2009-05-15 2016-10-18 Idm Global, Inc. Transaction assessment and/or authentication
CN105930040A (zh) * 2015-02-27 2016-09-07 三星电子株式会社 包含电子支付系统的电子装置及其操作方法
US10200381B2 (en) * 2015-08-05 2019-02-05 Mcafee, Llc Systems and methods for phishing and brand protection
US20170212875A1 (en) * 2016-01-27 2017-07-27 Microsoft Technology Licensing, Llc Predictive filtering of content of documents
US10187394B2 (en) * 2016-03-31 2019-01-22 Microsoft Technology Licensing, Llc Personalized inferred authentication for virtual assistance
US11089024B2 (en) * 2018-03-09 2021-08-10 Microsoft Technology Licensing, Llc System and method for restricting access to web resources
EP3599753A1 (en) * 2018-07-25 2020-01-29 Cyren Inc. Phishing detection system and method
US10560845B1 (en) * 2018-12-11 2020-02-11 Zumigo, Inc. Using a change in information and cellular account attributes associated with a mobile device network ID as risk indicators in mobile network-based authentication
US11277443B2 (en) * 2019-10-22 2022-03-15 International Business Machines Corporation Detection of phishing internet link

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2571721C2 (ru) * 2014-03-20 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения мошеннических онлайн-транзакций
US10108791B1 (en) * 2015-03-19 2018-10-23 Amazon Technologies, Inc. Authentication and fraud detection based on user behavior
RU2626337C1 (ru) * 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Способ обнаружения мошеннической активности на устройстве пользователя
RU2635275C1 (ru) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
WO2018190984A1 (en) * 2017-04-13 2018-10-18 Oracle International Corporation Novel non-parametric statistical behavioral identification ecosystem for electricity fraud detection
RU2708508C1 (ru) * 2018-12-17 2019-12-09 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями

Also Published As

Publication number Publication date
US20210264059A1 (en) 2021-08-26
US11928243B2 (en) 2024-03-12
RU2020108169A (ru) 2021-08-26
RU2020108169A3 (ru) 2021-08-26

Similar Documents

Publication Publication Date Title
Aljofey et al. An effective detection approach for phishing websites using URL and HTML features
Jain et al. Two-level authentication approach to protect from phishing attacks in real time
US10728250B2 (en) Managing a whitelist of internet domains
RU2637477C1 (ru) Система и способ обнаружения фишинговых веб-страниц
US9253208B1 (en) System and method for automated phishing detection rule evolution
Rao et al. Two level filtering mechanism to detect phishing sites using lightweight visual similarity approach
Kasim An ensemble classification-based approach to detect attack level of SQL injections
Rao et al. A heuristic technique to detect phishing websites using TWSVM classifier
Andow et al. Uiref: analysis of sensitive user inputs in android applications
US11720742B2 (en) Detecting webpages that share malicious content
CN111753171B (zh) 一种恶意网站的识别方法和装置
Mounika et al. Analyzing CVE database using unsupervised topic modelling
Low et al. Distinguishing between fake news and satire with transformers
Sworna et al. Apiro: A framework for automated security tools api recommendation
US20240291847A1 (en) Security risk remediation tool
Hai et al. Detection of malicious URLs based on word vector representation and ngram
JP2012088803A (ja) 悪性ウェブコード判別システム、悪性ウェブコード判別方法および悪性ウェブコード判別用プログラム
CN113067792A (zh) 一种xss攻击识别方法、装置、设备及介质
US20240095289A1 (en) Data enrichment systems and methods for abbreviated domain name classification
RU2762241C2 (ru) Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами
Wen et al. Detecting malicious websites in depth through analyzing topics and web-pages
Blakemore et al. Fingerprinting for web applications: From devices to related groups
RU2758359C1 (ru) Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами
Belfedhal et al. A Lightweight Phishing Detection System Based on Machine Learning and URL Features
Ou et al. Viopolicy-detector: An automated approach to detecting GDPR suspected compliance violations in websites