WO2020101522A1 - Способ и система выявления устройств, связвнных с мошеннической фишинговой активностью - Google Patents

Способ и система выявления устройств, связвнных с мошеннической фишинговой активностью Download PDF

Info

Publication number
WO2020101522A1
WO2020101522A1 PCT/RU2018/000751 RU2018000751W WO2020101522A1 WO 2020101522 A1 WO2020101522 A1 WO 2020101522A1 RU 2018000751 W RU2018000751 W RU 2018000751W WO 2020101522 A1 WO2020101522 A1 WO 2020101522A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
website
activity
tracking
text
Prior art date
Application number
PCT/RU2018/000751
Other languages
English (en)
French (fr)
Inventor
Иван Александрович ОБОЛЕНСКИЙ
Александр Артурович АНИСТРАТЕНКО
Original Assignee
Публичное Акционерное Общество "Сбербанк России"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Публичное Акционерное Общество "Сбербанк России" filed Critical Публичное Акционерное Общество "Сбербанк России"
Publication of WO2020101522A1 publication Critical patent/WO2020101522A1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Definitions

  • the claimed technical solution in General, relates to the field of computer technology, and in particular, to a method and system for identifying devices associated with fraudulent phishing activity.
  • Phishing is a type of Internet fraud, the purpose of which is to gain access to confidential user data - logins and passwords using specially created resources on the Internet, which are disguised as the original brand that provides these or those services, and their goal is to seize user credentials when entering into forms posted on such websites.
  • a solution is known from the prior art for monitoring user suspicious activity based on a user behavior template when making financial transactions or accessing various financial resources (application US20130275195, priority date: 10/17/2013).
  • the method is based on the formation of a reference pattern of user behavior for one or more devices and its subsequent use according to the user's identification information by comparing the current user actions with the said pattern.
  • An analogue of the claimed technical solution is the method of “bating” fraudulent schemes on the Internet implemented through websites (application US20140041024, priority date: 02/06/2014).
  • the essence of the method lies in the automated analysis of information input fields on web resources and the application of the principle of data substitution, simulating the input of information identifying the user.
  • a disadvantage of the known solutions is the principle of identifying data that directly identifies a phishing web resource or software application for their subsequent blacklisting and blocking the processing of requests through the mentioned resources.
  • the device itself or a group of devices that intercept and subsequently use user data are not detected, and changing websites allows further use of fraudsters to intercept user data.
  • the claimed solution provides a solution to a technical problem or technical problem, consisting in the need to identify directly the hardware of the attackers that are associated with phishing web resources.
  • the technical result achieved by solving this technical problem is to increase the protection of information products by identifying fraud devices associated with phishing web resources, for their subsequent blocking when trying to access information products using user data.
  • the claimed technical result is achieved by implementing a method for identifying devices associated with fraudulent phishing activity, comprising the steps of using the processor of a computing device to:
  • step d accessing a database containing tracking information necessary for data entry of at least one data form identified in step d); f) each form of said form is automatically filled with said tracking data;
  • AID unique hardware identifier
  • elements representing a form for entering data are selected from the group: graphical interface button, text input area, frame, link to a website link.
  • step f) begins after the website page is fully loaded and an additional time period is set.
  • the number of points of the autocomplete options is determined.
  • the template is checked for keywords.
  • the identified keywords are used to access the tracking information database to obtain data corresponding to the template for filling.
  • the check is performed on a DOM tree and / or using a locator of nearby elements containing text of at least 3x characters in length.
  • the template contains keywords indicating confirmation of registration by SMS, then the step of sending it to the phone number associated with tracking data is performed.
  • the arrival of an SMS message from to a specified phone number associated with tracking data is determined.
  • the determination is performed using a software module that determines the receipt of SMS messages and its transmission to the database.
  • the information transmitted to the database is checked by the analysis module for the availability of authorization information in the received SMS message.
  • the claimed solution is also implemented through a system for identifying devices associated with fraudulent phishing activity, which contains:
  • At least one memory associated with the processor containing machine-readable instructions that, when executed by at least one processor, implement the above method.
  • FIG. 1 illustrates a general view of the claimed solution.
  • FIG. 2 illustrates a flowchart of an embodiment of the claimed method.
  • FIG. 3 illustrates an example solution with a form on a website with options to fill out.
  • FIG. 4 illustrates a general view of a computing device.
  • server means a computer program running on the appropriate equipment, which is able to receive requests (for example, from client devices) over the network and execute these requests or initiate the execution of these requests .
  • the equipment may be one physical computer or one physical computer system, but neither one nor the other is mandatory for this technology.
  • server does not mean that each task (for example, received instructions or requests) or any specific task will be received, completed or initiated to be executed by the same server (that is, by the same software software and / or hardware); this means that any number of software items or hardware devices can be involved in the reception / transmission, execution or initiation of any request or the consequences of any request associated with the client device, and all this software and hardware can be one server or several servers , both options are included in the expression “at least one server”.
  • client device or “mobile user communication device” means a hardware device capable of working with software suitable for solving the corresponding problem.
  • client devices include personal computers (desktop computers, laptops, netbooks, etc.), smartphones, tablets, and network equipment such as routers, switches, and gateways. It should be borne in mind that a device behaving as a user device in the present context may behave like a server in relation to other client devices.
  • client device does not exclude the possibility of using multiple client devices to receive / send, execute, or initiate the execution of any task or request, or the consequences of any task or request, or the steps of any method described above.
  • database means any structured data set that is independent of the specific structure, database management software, hardware of the computer on which the data is stored, used or otherwise are available for use.
  • the database may reside on the same hardware that runs the process that stores or uses the information stored in the database, or it may reside on separate hardware, such as a dedicated server or multiple servers.
  • Information includes any information that may be stored in a database.
  • information includes, among other things, audiovisual works (images, videos, sound recordings, presentations, etc.), data (location data, digital data, etc.), text (opinions, comments, questions , messages, etc.), documents, tables, etc.
  • FIG. 1 shows a General view of the presented technical solution (100).
  • the system of interaction of the solution elements includes a website (software), analyzed for phishing, associated with a website (110), one or more fraud devices (120), a server (130) that analyzes the website (software) and the necessary steps to identify fraud devices (120), and a database (140) associated with the server (130) containing data used to substitute on the website (software) for tracking phishing activity and related devices (120).
  • a fraud device As a fraud device (120), various means may be used, for example, computers, servers, smartphones, tablets, and the like.
  • the main specificity of the device (120) in this case consists in direct access with the help of intercepted user data to financial and / or banking services, or user registration on fake web resources for subsequent tracking and interception of incoming information from the user.
  • the implementation of the claimed solution is carried out using a software and hardware complex implemented using a server (130) and the corresponding software application that provides website analysis (110) and identifies suspicious activity aimed at committing fraudulent actions.
  • a web resource (software) used for phishing user data contains one or more forms (111, 112) for entering user identifying information, for example, phone number, email address, full name of the user, user ID, and etc.
  • the algorithm of the server’s analytical module (130) analyzes the forms (111, 112) of the website (110) for the necessary information to be entered into them and to further monitor the movement of data flows to identify devices (120) participating in the chain sharing and using user data.
  • FIG. 2 presents the algorithm of the claimed method (200) for identifying devices (120) scammers associated with phishing websites (110).
  • the information of the website (110) is analyzed for its use for phishing user data (201). This check can be carried out by analyzing the IP address or domain of a website (software) with a database (140), which can store an updated list of web resources to be checked for phishing activity.
  • step (202) types of objects on the website page (110) are analyzed by their type attributes in the HTML markup language to identify interface elements representing data entry forms (111, 112), which are used to intercept registration User data related to a financial product or service.
  • Elements representing the data entry form are selected from the group: graphical interface button, text input area, frame, link to the website link, etc.
  • Step (202) may be performed after the website page (110) is fully loaded and an additional time period is set, for example, 10 seconds.
  • the time period is used to bypass protection from autocomplete, in which some elements of the website form (110) may not be displayed immediately, simulating the load.
  • step (203) After identifying one or more forms for entering text (111, 112), at step (203), an analysis is made of the areas of the interface for entering text or numerical data into the identified forms (111, 112).
  • the analysis algorithm performed by the server (130) searches for text information describing the type of data to be input into the corresponding form areas (111, 112).
  • the search can be carried out by analyzing both the area of the interface next to the form input field (111, 112) and directly inside the form field (111, 112), which can be a template of the information required to be filled in, for example, phone number format, name format and surnames, etc.
  • the algorithm executed by the server (130) activates the keyword analysis of the symbol input example mentioned. If there is no example of the entered information, then the nearest element is searched for in the form field (111, 112) with a signature explaining what information should be entered in this field. This check can be performed by analyzing the DOM tree (Document Object Model), or by using XPath locators, nearby elements containing text, at least three characters long. [0045] After finding the element containing the signature to the input field, the element is scrolled to the middle of the screen, after which a screenshot is taken.
  • the received image is transmitted for recognition using the OCR (Optical Charter Recognition) module.
  • OCR Optical Charter Recognition
  • the text recognition result is checked for the necessary keywords. If no keywords were found during the verification, then the input fields of the forms (111, 112) are filled in with the default value (for example, a random name).
  • the tracking information is substituted into the text input forms (111, 112) on the website (110).
  • Tracking information is contained in the database (140) associated with the server (130), and represents pre-prepared generated data that mimics the personal information of users.
  • For each data base (140) also contains a phone number for the purpose of registering with phishing resources (110).
  • the tracking information is filled in the identified forms (111, 112) on the website (software) using an algorithm implemented by the server (130). Tracking information is requested from the database (140) in accordance with certain types of necessary data to be entered into forms (111, 112) on the website (110) and entered into the mentioned forms (111, 112). At the same time, in the process of autocomplete forms (111, 112) on the website (110) using the server (130), information is also analyzed and identifies the website (110), in particular, the IP address, domain name, URL etc.
  • Tracking data is transmitted to one or several fraudsters (120) for their subsequent use.
  • the website (110) may also contain a request to confirm the registration process using two-factor verification, in particular, by entering a confirmation code from an SMS message that is sent to the mobile phone number or email address of the user.
  • a confirmation code from an SMS message that is sent to the mobile phone number or email address of the user.
  • the server algorithm (130) monitors the receipt of the code according to the indicated tracking data, and when the necessary verification code is received in an SMS message or e-mail, it is entered into the corresponding web form website (110).
  • the server operation algorithm (130) monitors the use of the entered tracking data (207). Fraudsters, as a rule, carry out registration actions with financial products or services using user data obtained via the website (software). Registration is performed using a fraud device (120) to perform future operations, for example, attempts to gain access to a user's financial account or related financial services.
  • AIDs unique hardware identifiers
  • Blocking the actions of devices (120) is performed by comparing their UAID with information blacklisted.
  • UAID also allows you to track a group of devices (120) that participate in a fraudulent scheme, which implements the ability to block several devices trying to access services using user data.
  • the UAID device (120) is determined based on the logs of monitoring the process of applying tracking data to financial products or services.
  • cybercriminals who obtained user data via the website (110) may try to register in financial products such as mobile banking (Sberbank Online), loyalty programs (for example, Sberbank Thank you), etc. to conduct financial transactions or operations on information obtained through a phishing website (software).
  • UAID when registering using devices (120) according to the tracking data of the server (130) can be defined as a hash from concatenating the settings of the phone’s operating system environment, screen resolution, set of installed software, software settings on the phone and other characteristics of the fraudster’s device (120). Concatenation is the operation of combining linear structure objects, for example, data strings, characters, values, etc.
  • An example will be provided of obtaining UAID by hash from concatenating data from a fraud device (120) from tracking data.
  • LANGUAGE lang% 3Dru
  • userlang% 3D & version 3.4.0.0_2 & BROWSER_MAJO
  • DEVICEJD sha256 (PHONE_PARAMETERS_STRING) ad83f8280f66ae603b4elab58795bba63bb7ca62d7b971fabel0b040825868a8.
  • FIG. Figure 3 presents an example of a special case of the analysis of forms for entering information (1 13) at step (203).
  • Some types of forms (113) may contain autocomplete elements (1,131, 1,132, 1,133) that are selected when interacting with the website (110).
  • the server algorithm (130) analyzes the information presented in the elements (1131, 1132, 1133) of the autofill form (113). The number of items in each list of forms (113) is checked and the items (elements) (1131, 1132, 1133) of the form are randomly selected. After selecting elements for auto-completion of the form (113), the algorithm continues its work on analyzing the website (110) for the form fields for entering user information for registration on the website (1 10).
  • FIG. 4 shows a general view of a computing device (300). Based on the device (300), a fraudulent device (120), a server (130), and other non-represented devices can be implemented, but which can participate in the general information architecture (100) of the claimed solution.
  • a computing device comprises one or more processors (301) connected by a common data bus, memory means such as RAM (302) and ROM (303), input / output interfaces (304), devices input / output (305), and a device for network interaction (306).
  • a processor (301) (or multiple processors, a multi-core processor) can be selected from a variety of currently widely used devices, for example, Intel TM, AMD TM, Apple TM, Samsung Exynos TM, MediaTEK TM, Qualcomm Snapdragon TM, and etc.
  • RAM (302) is a random access memory and is intended to store machine-readable instructions executed by the processor (301) to perform the necessary operations for logical data processing.
  • RAM (302) contains executable instructions of the operating system and corresponding software components (applications, program modules, etc.).
  • the ROM (303) is one or more permanent storage devices, for example, a hard disk drive (HDD), a solid state drive (SSD), flash memory (EEPROM, NAND, etc.), optical storage media ( CD-R RW, DVD-R / RW, BlueRay Disc, MD), etc.
  • I / O interfaces are used to organize the operation of the components of the device (300) and organize the operation of external connected devices.
  • the choice of appropriate interfaces depends on the particular computing device, which can be, but not limited to: PCI, AGP, PS / 2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS / Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232, etc.
  • Various means (305) of I / O information for example, a keyboard, a display (monitor), a touch screen, a touch pad, a joystick, a mouse, a light pen, a stylus, are used to provide user interaction with a computing device (300), touch panel, trackball, speakers, microphone, augmented reality, optical sensors, tablet, light indicators, projector, camera, biometric identification tools (retina scanner, fingerprint scanner, voice recognition module), etc.
  • the network interaction tool (306) enables data transfer by the device (300) via an internal or external computer network, for example, an Intranet, the Internet, a LAN, and the like.
  • an internal or external computer network for example, an Intranet, the Internet, a LAN, and the like.
  • one or more means (306) may be used, but not limited to: Ethernet card, GSM modem, GPRS modem, LTE modem, 5G modem, satellite communications module, NFC module, Bluetooth and / or BLE module, Wi-Fi module and other
  • satellite navigation means as part of the device (300), for example, GPS, GLONASS, BeiDou, Galileo, can also be used.
  • GPS Globalstar Satellite Navigation System
  • GLONASS BeiDou
  • Galileo BeiDou Satellite System
  • the submitted application materials disclose preferred examples of the implementation of the technical solution and should not be construed as limiting other, specific examples of its implementation, not going beyond the scope of the requested legal protection, which are obvious to specialists in the relevant field of technology.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Заявленное решение относится к способу и системе выявления устройств, связанных с мошеннической фишинговой активностью. Заявленный способ включает этапы, на которых: осуществляют определение веб-сайта, подлежащего проверке; выявляют элементы интерфейса веб- сайта, представляющие форму для ввода данных; определяют область интерфейса для ввода текста в форму ввода данных; определяют тип данных для ввода в форму; выполняют обращение к базе данных, содержащей трекинговую информацию, необходимую для ввода данных в форму данных; осуществляют автоматическое заполнение формы трекинговыми данными; выполняют регистрацию на веб-сайте с помощью трекинговых данных для доступа к финансовой услуге или продукту; осуществляют мониторинг активности использования трекинговых данных для устройства, связанного с мошеннической активностью; получают на основании мониторинга уникальный аппаратный идентификатор (УАИД) устройства, связанного с мошеннической активностью; передают УАИД в базу данных для добавления в черный список для последующего блокирования с помощью аппаратного идентификатора.

Description

СПОСОБ И СИСТЕМА ВЫЯВЛЕНИЯ УСТРОЙСТВ, СВЯЗАННЫХ С
МОШЕННИЧЕСКОЙ ФИШИНГОВОЙ АКТИВНОСТЬЮ
ОБЛАСТЬ ТЕХНИКИ
[0001] Заявленное техническое решение, в общем, относится к области вычислительной техники, а в частности, к способу и системе выявления устройств, связанных с мошеннической фишинговой активностью.
УРОВЕНЬ ТЕХНИКИ
[0002] По мере стремительного развития ИТ-сервисов, все больше банковских и финансовых услуг осуществляются с помощью онлайн доступа в сети Интернет. При этом остро стоит необходимость в реализации защитных механизмов от мошеннических действий злоумышленников, которые осуществляются с помощью веб-сайтов, направленных на фишинг данных пользователей.
[0003] Фишинг представляет собой вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей— логинам и паролям с помощью специально создаваемых ресурсов в сети Интернет, которые маскируются под оригинальный бренд, предоставляющий те или иные услуги, и ставят своей целью захват идентификационных данных пользователей при их вводе в формы, размещенные на таковых веб-сайтах.
[0004] Из уровня техники известно решение по мониторингу подозрительной активности пользователя на основании шаблона поведения пользователя при осуществлении финансовых транзакций или доступа к различным финансовым ресурсам (заявка US20130275195, дата приоритета: 17.10.2013). Способ основан на формировании эталонного шаблона пользовательского поведения для одного или нескольких устройств и последующего его использования по идентификационной информации пользователя с помощью сравнения текущих действий пользователя с упомянутым шаблоном.
[0005] Аналогом заявленного технического решения является способ «бэйтинга» мошеннических схем в сети Интернет, реализуемых с помощью веб-сайтов (заявка US20140041024, дата приоритета: 06.02.2014). Суть способа заключается в автоматизированном анализе полей ввода информации на веб-ресурсах и применении принципа подстановки данных, имитирующих ввод информации, идентифицирующей пользователя. [0006] Недостатком известных решений является принцип выявления данных, идентифицирующих непосредственно фишинговый веб-ресурс или программное приложение для их последующего добавления в черный список и блокирования обработки запросов через упомянутые ресурсы. При этом само устройство или группа устройств, с помощью которых осуществляется перехват и последующее использование данных пользователей, не выявляются, и смена веб-сайтов позволяет далее применять аппаратные средства мошенников для перехвата пользовательских данных.
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
[0007] Заявленное решение обеспечивает решение технической проблемы или технической задачи, заключающейся в необходимости идентификации непосредственно аппаратных средств злоумышленников, которые связаны с фишинговыми веб-ресурсами.
[0008] Технический результат, достигаемый при решении указанной технической проблемы, заключается в повышении защиты информационных продуктов за счет идентификации устройств мошенников, связанных с фишиновыми веб-ресурсами, для их последующего блокирования при попытках доступа к информационным продуктам с помощью данных пользователей.
[0009] Заявленный технический результат достигается за счет осуществления способа выявления устройств, связанных с мошеннической фишинговой активностью, содержащий этапы, на которых с помощью процессора вычислительного устройства выполняют:
a) определение веб-сайта, подлежащего проверке на предмет фишинговой активности;
B) выявляют элементы интерфейса веб-сайта, представляющую по меньшей мере одну форму для ввода данных, причем веб-сайт предназначен для перехвата регистрационных данных пользователя, относящихся к финансовому продукту или услуге;
c) определяют по меньшей мере одну область интерфейса для ввода текста в форму ввода данных;
d) определяют тип данных, подлежащий вводу в каждую из выявленных форм для ввода данных;
e) выполняют обращение к базе данных, содержащей трекинговую информацию, необходимую для ввода данных по меньшей мере одну форму данных, выявленную на этапе d); f) осуществляют автоматическое заполнение каждой из упомянутой формы упомянутыми трекинговыми данными;
g) выполняют регистрацию на веб-сайте с помощью упомянутых трекинговых данных для доступа к финансовой услуге или продукту;
h) осуществляют мониторинг активности использования упомянутых трекинговых данных для по меньшей мере одного устройства, связанного с мошеннической активностью;
i) получают на основании упомянутого мониторинга уникальный аппаратный идентификатор (У АИД) упомянутого устройства, связанного с мошеннической активностью;
j) передают УАИД в базу данных для добавления в черный список для последующего блокирования транзакционных операций с помощью соответствующего аппаратного идентификатора.
[0010] В частном варианте выполнения способа, элементы, представляющие форму для ввода данных, выбираются из группы: кнопка графического интерфейса, область ввода текста, рамка, ссылка на переход с сайта.
[ООП] В частном варианте выполнения способа, этап f) начинается после полной загрузки страницы веб-сайта и дополнительно установленного временного промежутка.
[0012] В частном варианте выполнения способа, для каждой области текста проверяется наличие элементов автозаполнения.
[0013] В частном варианте выполнения способа, для элементов автозаполнения определяется количество пунктов вариантов автозаполнения.
[0014] В частном варианте выполнения способа, выполняется случайный выбор пунктов вариантов автозаполнения.
[0015] В частном варианте выполнения способа, для каждой области текста проверяется наличие шаблона текста для ввода.
[0016] В частном варианте выполнения способа, шаблон проверятся на наличие ключевых слов.
[0017] В частном варианте выполнения способа, по выявленным ключевым словам выполняется обращение в базу данных трекинговой информации для получения данных, соответствующих шаблону для заполнения.
[0018] В частном варианте выполнения способа, проверка выполняется по DOM- дереву и/или с помощью локатора близлежащих элементов, содержащих текст, длинной не менее Зх символов. [0019] В частном варианте выполнения способа, в случае если шаблон содержит ключевые слова, указывающие на подтверждение регистрация с помощью SMS- сообщения, то выполняется шаг его отправки на номер телефона, связанный с трекинговыми данными.
[0020] В частном варианте выполнения способа, определяют поступление SMS- сообщения с на указанный номер телефона, связанный с трекинговыми данными.
[0021] В частном варианте выполнения способа, определение выполняется с помощью программного модуля, определяющего поступление SMS -сообщения и его передачу в базу данных.
[0022] В частном варианте выполнения способа, информация, переданная в базу данных, проверяется модулем анализа на наличие информации для авторизации в полученном SMS-сообщении.
[0023] Заявленное решение реализуется также за счет системы выявления устройств, связанных с мошеннической фишинговой активностью, которая содержит:
по меньшей мере один процессор;
по меньшей мере одну память, связанную с процессором, содержащую машиночитаемые инструкции, которые при их выполнении по меньшей мере одним процессором осуществляют вышеуказанный способ.
ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0024] Признаки и преимущества настоящего технического решения станут очевидными из приводимого ниже подробного описания и прилагаемых чертежей, на которых:
[0025] Фиг. 1 иллюстрирует общий вид заявленного решения.
[0026] Фиг. 2 иллюстрирует блок-схему выполнения заявленного способа.
[0027] Фиг. 3 иллюстрирует пример решения с формой на веб-сайте с выбором вариантов для заполнения.
[0028] Фиг. 4 иллюстрирует общий вид вычислительного устройства. ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
[0029] В контексте настоящего описания, если четко не указано иное, «сервер» подразумевает под собой компьютерную программу, работающую на соответствующем оборудовании, которая способна получать запросы (например, от клиентских устройств) по сети и выполнять эти запросы или инициировать выполнение этих запросов. Оборудование может представлять собой один физический компьютер или одну физическую компьютерную систему, но ни то, ни другое не является обязательным для данной технологии. В контексте настоящей технологии использование выражения «сервер» не означает, что каждая задача (например, полученные инструкции или запросы) или какая-либо конкретная задача будет получена, выполнена или инициирована к выполнению одним и тем же сервером (то есть одним и тем же программным обеспечением и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в прием/передачу, выполнение или инициирование выполнения любого запроса или последствия любого запроса, связанного с клиентским устройством, и все это программное и аппаратное обеспечение может являться одним сервером или несколькими серверами, оба варианта включены в выражение «по меньшей мере один сервер».
[0030] В контексте настоящего описания, если четко не указано иное, «клиентское устройство пользователя» или «мобильное устройство связи пользователя» подразумевает под собой аппаратное устройство, способное работать с программным обеспечением, подходящим к решению соответствующей задачи. Таким образом, примерами клиентских устройств (среди прочего) могут служить персональные компьютеры (настольные компьютеры, ноутбуки, нетбуки и т.п.), смартфоны, планшеты, а также сетевое оборудование, такое как маршрутизаторы, коммутаторы и шлюзы. Следует иметь в виду, что устройство, ведущее себя как устройство пользователя в настоящем контексте, может вести себя как сервер по отношению к другим клиентским устройствам. Использование выражения «клиентское устройство» не исключает возможности использования множества клиентских устройств для получения/отправки, выполнения или инициирования выполнения любой задачи или запроса, или же последствий любой задачи или запроса, или же этапов любого вышеописанного метода.
[0031] В контексте настоящего описания, если четко не указано иное, термин «база данных» подразумевает под собой любой структурированный набор данных, не зависящий от конкретной структуры, программного обеспечения по управлению базой данных, аппаратного обеспечения компьютера, на котором данные хранятся, используются или иным образом оказываются доступны для использования. База данных может находиться на том же оборудовании, которое выполняет процесс, который сохраняет или использует информацию, хранящуюся в базе данных, или же она может находиться на отдельном оборудовании, например, выделенном сервере или множестве серверов. [0032] В контексте настоящего описания, если четко не указано иное, термин
«информация» включает в себя любую информацию, которая может храниться в базе данных. Таким образом, информация включает в себя, среди прочего, аудиовизуальные произведения (изображения, видео, звукозаписи, презентации и т.д.), данные (данные о местоположении, цифровые данные и т.д.), текст (мнения, комментарии, вопросы, сообщения и т.д.), документы, таблицы и т.д.
[0033] На Фиг. 1 представлен общий вид представленного технического решения (100). Система взаимодействия элементов решения включает в себя веб-сайт (ПО), анализируемый на предмет фишинга, связанное с веб-сайтом (110) одно или более устройств мошенников (120), сервер (130), осуществляющий анализ веб-сайта (ПО) и необходимые действия по идентификации устройств (120) мошенников, и связанную с сервером (130) базу данных (140), содержащую данные, применяемые для подстановки на веб-сайте (ПО) для отслеживания фишинговой активности и связанных с ней устройств (120).
[0034] В качестве устройства мошенников (120) могут применяться различные средства, например, компьютеры, сервера, смартфоны, планшеты и т.п. Основная специфика устройства (120) в данном случае заключается в непосредственном доступе с помощью перехваченных данных пользователя к финансовым и/или банковским услугам, или регистрации пользователя на подставных веб-ресурсах для последующего трекинга и перехвата поступающей информации от пользователя.
[0035] Реализация заявленного решения осуществляется с помощью программно- аппаратного комплекса, воплощенного с помощью сервера (130) и соответствующего программного приложения, обеспечивающего анализ веб-сайтов (110) и выявления подозрительной активности, направленной на совершение мошеннических действий.
[0036] Как правило, веб-ресурс (ПО), применяемый для фишинга данных пользователя, содержит одну или несколько форм (111, 112) для ввода идентифицирующей пользователя информации, например, номера телефона, адреса электронной почты, ФИО пользователя, идентификатора пользователя и т.п.
[0037] Алгоритм работы аналитического модуля сервера (130) осуществляет анализ форм (111, 112) веб-сайта (110) на предмет необходимой для введения в них информации и выполнению дальнейшего отслеживания движения потоков данных для выявления устройств (120), участвующих в цепочке обмена и использованию данных пользователей.
[0038] На Фиг. 2 представлен алгоритм работы заявленного способа (200) по выявлению устройств (120) мошенников, связанных с фишинговыми веб-сайтами (110). [0039] В начале работы способа (200) осуществляется анализ сведений веб-сайта (110) на предмет его использования для фишинга данных пользователей (201). Данная проверка может осуществляться с помощью анализа IP-адреса или домена веб-сайта (ПО) с базой данных (140), в которой может храниться обновляемый список веб-ресурсов, подлежащих проверки на предмет фишинговой активности.
[0040] Далее на этапе (202) выполняется анализ типов объектов на странице веб- сайта (110) по их атрибутам типа в языке разметки HTML для выявления элементов интерфейса, представляющих формы для ввода данных (111, 112), которые используются для перехвата регистрационных данных пользователя, относящихся к финансовому продукту или услуге. Элементы, представляющие форму для ввода данных, выбираются из группы: кнопка графического интерфейса, область ввода текста, рамка, ссылка на переход с сайта и т.п.
[0041] Этап (202) может выполняться после полной загрузки страницы веб-сайта (110) и дополнительно установленного временного промежутка, например, 10 сек. Временной промежуток используется для обхода защиты от автозаполнения, при которой некоторые элементы формы веб-сайта (110) могут не отображаться сразу, имитируя загрузку.
[0042] После выявления одной или нескольких форм для ввода текста (111, 112), на этапе (203) выполняется анализ областей интерфейса для ввода текстовых или числовых данных в выявленные формы (111, 112).
[0043] На этапе (204) алгоритм анализа, выполняемый сервером (130), производит поиск текстовой информации, описывающей тип данных, подлежащих к вводу в соответствующие области форм (111, 112). Поиск может осуществляться с помощью анализа как области интерфейса рядом с полем ввода форм (111, 112), так и непосредственно внутри поля форм (111, 112), который может являться шаблоном информации, необходимой к заполнению, например, формат номера телефона, формат имени и фамилии и т.п.
[0044] Если текстовый или числовой пример вводимой информации в самом поле форм (111, 112) выявлен, то алгоритм, выполняемый сервером (130), активирует анализ ключевых слов, упомянутого примера символьного ввода. Если пример вводимой информации отсутствует, то происходит поиск ближайшего элемента к полю форм (111, 112) с подписью, поясняющей какую информацию нужно ввести в данное поле. Данная проверка может выполняться с помощью анализа DOM-дерева (Document Object Model), или с помощью локаторов типа XPath, близлежащих элементов, содержащих текст, длинной не менее трех символов. [0045] После нахождения элемента, содержащего подпись к полю ввода, элемент проматывается до середины экрана, после чего делается скриншот. Затем, по координатам данного объекта, из скриншота вырезается интересующее поле, после чего, полученная картинка увеличивается в несколько раз, например, три раза и переводится в монохромное изображение, для увеличения качества распознавания текста. Эти действия необходимы для обхода защиты от автоматического заполнения - часто используются не кириллические символы, а похожие на них по написанию, другие символы, например, латиница и т.д.
[0046] Далее полученное изображение передается на распознавание с помощью модуля OCR (Optical Charter Recognition). Результат распознавания текста проверяется на наличие необходимых ключевых слов. Если при проверке не найдены ключевые слова, то поля ввода форм (111, 112) заполняются значением, заданным по умолчанию (например, случайным именем).
[0047] На этапе (205) осуществляется подстановка трекинговой информации в формы ввода текста (111, 112) на веб-сайте (110). Трекинговая информация, как правило, содержится в базе данных (140), связанной с сервером (130), и представляет собой заранее подготовленные сгенерированные данные, имитирующие персональную информацию пользователей. Для каждых данных в базе (140) содержится также номер телефона для целей осуществления регистрации на фишинговых ресурсах (110).
[0048] Трекинговая информация заполняется в выявленные формы (111, 112) на веб- сайте (ПО) с помощью алгоритма, реализуемого сервером (130). Трекинговая информация запрашивается из базы данных (140) в соответствии с определенными типами необходимых данных, подлежащих вводу в формы (111, 112) на веб-сайте (110) и вводится в упомянутые формы (111, 112). При этом, в процессе автозаполнения форм (111, 112) на веб-сайте (110) с помощью сервера (130) также анализируется и получается информация, идентифицирующая веб-сайт (110), в частности, IP-адрес, доменное имя, URL и т.п.
[0049] После того как трекинговые данные были введены (206) на веб-сайте (ПО) выполняется процедура регистрации на фишинговом ресурсе (110). Трекинговые данные, как правило, передаются на одно или несколько устройств мошенников (120) для последующего их использования.
[0050] Веб-сайт (110) может также содержать запрос на подтверждение процесса регистрации с помощью двухфактороной верификации, в частности, с помощью ввода кода подтверждения из SMS-сообщения, которое направляется по номеру мобильного телефона или адресу электронной почты пользователя. В этом случае, для записей трекинговой информации в базе данных (140) хранится один или несколько номеров телефона, используемый для получения кода подтверждения, или адресов электронной почты. После анализа веб-сайта (ПО) на предмет необходимости ввода кода подтверждения авторизации, алгоритм сервера (130) осуществляет отслеживание поступления кода по указанным трекинговым данным, и при поступлении необходимого кода подтверждения в SMS-сообщении или электронном письме осуществляет его ввод в соответствующую форму веб-сайта (110).
[0051] Далее алгоритм работы сервера (130) осуществляет мониторинг использования введенных трекинговых данных (207). Мошенники, как правило, осуществляют регистрационные действия с финансовыми продуктами или услугами с помощью данных пользователя, полученные с помощью веб-сайта (ПО). Регистрация выполняется с помощью устройства (120) мошенника для выполнения будущих операций, например, попытки получения доступа к финансовому счету пользователя или связанным с ними финансовыми сервисами.
[0052] В момент применения трекинговых данных с помощью устройств мошенников (120) на этапе (208) выполняется получение их уникальных аппаратных идентификаторов (У АИД), которые впоследствии заносятся в черный список для блокирования выполнения активности, связанной с финансовыми сервисами (209). Блокирование действий устройств (120) выполняется с помощью сравнения их УАИД с информацией, внесенной в черный список. УАИД также позволяет отследить группу устройств (120), которые участвуют в мошеннической схеме, что реализует возможность блокирования нескольких устройств, пытающихся получить доступ к услугам с помощью данных пользователей.
[0053] УАИД устройства (120) определяется на основании логов мониторинга процессе применения трекинговых данных для финансовых продуктов или услуг. Как пример, злоумышленники, получившие с помощью веб-сайта (110) данные пользователей, могут попытаться осуществить регистрацию в таких финансовых продуктах как мобильный банкинг (Сбербанк Онлайн), программы лояльности (например, Сбербанк Спасибо) и т.п. для совершения финансовых транзакций или операций по информации, полученной с помощью фишингового веб-сайта (ПО). УАИД при регистрации с помощью устройств (120) по трекинговым данным сервера (130) может определяться как хэш от конкатенации настроек окружения операционной системы телефона, разрешением экрана, набором установленного программного обеспечения, настройками программного обеспечения на телефоне и других характеристик устройства мошенника (120). Конкатенация представляет собой операцию объединения объектов линейной структуры, например, строк данных, символов, значений и т.п. [0054] Ниже будет представлен пример получения УАИД по хэшу от конкатенации данных с устройства (120) мошенника по трекинговым данным.
PHONE PARAMETERS STRING:
pm_iposp=&pm_fpacn=Mozilla&BROWSER=mozilla/5.0+(windows+nt+6.1 ;+wow64)+applew ebkit/537.36+(khtml,+like+gecko)+chrome/43.0.2357.132+safari/537.36|5.0+(Windows+NT+6. l ;+WOW64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/43.0.2357.132+Safari/53
7.36|Win32&EXTERNAL_TIMEOUT=&BROWSER_TYPE=Chrome&SUPPRESSED=false&
LANGUAGE=lang%3Dru|syslang%3D|userlang%3D&version=3.4.0.0_2&BROWSER_MAJO
R_VERSION=43&pm_fpspd=24&pm_fsaw=1440&LANGUAGE_BROWSER=ш&DISPLA
Y=24| 1440|900|860&JAVA= 1 &OS=Windows&COOKIE= 1 &SOFTWARE=&pn^up=&pm_f ro1=ίhie&rhi_f866=&A(2OERT_EANquAOE=hi^u,hi;V%3ϋ0.8,eh- и8;ц%300.6,еп;ц%300.4&рт_ф8Г8е=&рт_ф81х=&рт ф51у=&Т1МЕг ЖЕ=4&рт_фап=Х etscape&pm_fasw=widevinecdmadapter|mhjfbmdgcfjbbpaeojofohoefgiehjai|pepflashplayer|int emal-remoting-viewer|intemal-nacl-plugin|intemal-pdf- viewer&pm_fsdx=&pm_fsш=&pm_fsdy=&INTERNAL_TIMEOUT=
DEVICEJD = sha256 (PHONE_PARAMETERS_STRING) ad83f8280f66ae603b4elab58795bba63bb7ca62d7b971fabel0b040825868a8 .
[0055] На ФИГ. 3 представлен пример частного случая анализа форм для ввода информации (1 13) на этапе (203). Некоторые типы форм (113) могут содержать элементы автозаполнения (1 131, 1 132, 1133), которые выбираются при взаимодействии с веб-сайтом (110). В этом случае алгоритм сервера (130) осуществляет анализ информации, представленный в элементах (1131, 1132, 1133) формы автозаполнения (113). Осуществляется проверка количества пунктов в каждом списке форм (113) и пункты (элементы) (1131, 1132, 1133) формы выбираются в случайном порядке. После выбора элементов для автозаполнения формы (113) алгоритм продолжает свою работу по анализу веб-сайта (110) на предмет полей форм для ввода пользовательской информации для целей регистрации на веб-сайте (1 10).
[0056] На Фиг. 4 представлен общий вид вычислительного устройства (300). На базе устройства (300) может быть реализовано мошенническое устройство (120), сервер (130) и иные непредставленные устройства, но которые могут участвовать в общей информационной архитектуре (100) заявленного решения.
[0057] В общем случае, вычислительное устройство (300) содержит объединенные общей шиной информационного обмена один или несколько процессоров (301), средства памяти, такие как ОЗУ (302) и ПЗУ (303), интерфейсы ввода/вывода (304), устройства ввода/вывода (305), и устройство для сетевого взаимодействия (306). [0058] Процессор (301) (или несколько процессоров, многоядерный процессор) могут выбираться из ассортимента устройств, широко применяемых в текущее время, например, компаний Intel™, AMD™, Apple™, Samsung Exynos™, MediaTEK™, Qualcomm Snapdragon™ и т.п.
[0059] ОЗУ (302) представляет собой оперативную память и предназначено для хранения исполняемых процессором (301) машиночитаемых инструкций для выполнение необходимых операций по логической обработке данных. ОЗУ (302), как правило, содержит исполняемые инструкции операционной системы и соответствующих программных компонент (приложения, программные модули и т.п.).
[0060] ПЗУ (303) представляет собой одно или более устройств постоянного хранения данных, например, жесткий диск (HDD), твердотельный накопитель данных (SSD), флэш- память (EEPROM, NAND и т.п.), оптические носители информации (CD-R RW, DVD- R/RW, BlueRay Disc, MD) и др.
[0061] Для организации работы компонентов устройства (300) и организации работы внешних подключаемых устройств применяются различные виды интерфейсов В/В (304). Выбор соответствующих интерфейсов зависит от конкретного исполнения вычислительного устройства, которые могут представлять собой, не ограничиваясь: PCI, AGP, PS/2, IrDa, FireWire, LPT, COM, SATA, IDE, Lightning, USB (2.0, 3.0, 3.1, micro, mini, type C), TRS/Audio jack (2.5, 3.5, 6.35), HDMI, DVI, VGA, Display Port, RJ45, RS232 и т.п.
[0062] Для обеспечения взаимодействия пользователя с вычислительным устройством (300) применяются различные средства (305) В/В информации, например, клавиатура, дисплей (монитор), сенсорный дисплей, тач-пад, джойстик, манипулятор мышь, световое перо, стилус, сенсорная панель, трекбол, динамики, микрофон, средства дополненной реальности, оптические сенсоры, планшет, световые индикаторы, проектор, камера, средства биометрической идентификации (сканер сетчатки глаза, сканер отпечатков пальцев, модуль распознавания голоса) и т.п.
[0063] Средство сетевого взаимодействия (306) обеспечивает передачу данных устройством (300) посредством внутренней или внешней вычислительной сети, например, Интранет, Интернет, ЛВС и т.п. В качестве одного или более средств (306) может использоваться, но не ограничиваться: Ethernet карта, GSM модем, GPRS модем, LTE модем, 5G модем, модуль спутниковой связи, NFC модуль, Bluetooth и/или BLE модуль, Wi-Fi модуль и др.
[0064] Дополнительно могут применяться также средства спутниковой навигации в составе устройства (300), например, GPS, ГЛОНАСС, BeiDou, Galileo. [0065] Представленные материалы заявки раскрывают предпочтительные примеры реализации технического решения и не должны трактоваться как ограничивающие иные, частные примеры его воплощения, не выходящие за пределы испрашиваемой правовой охраны, которые являются очевидными для специалистов соответствующей области техники.

Claims

ФОРМУЛА
1. Способ выявления устройств, связанных с мошеннической фишинговой активностью, содержащий этапы, на которых:
осуществляют с помощью процессора вычислительного устройства a) определение веб-сайта, подлежащего проверке на предмет фишинговой активности;
B) выявляют элементы интерфейса веб-сайта, представляющую по меньшей мере одну форму для ввода данных, причем веб-сайт предназначен для перехвата регистрационных данных пользователя, относящихся к финансовому продукту или услуге;
c) определяют по меньшей мере одну область интерфейса для ввода текста в форму ввода данных;
d) определяют тип данных, подлежащий вводу в каждую из выявленных форм для ввода данных;
e) выполняют обращение к базе данных, содержащей трекинговую информацию, необходимую для ввода данных в по меньшей мере одну форму данных, выявленную на этапе d);
f) осуществляют автоматическое заполнение каждой из упомянутой формы упомянутыми трекинговыми данными;
g) выполняют регистрацию на веб-сайте с помощью упомянутых трекинговых данных для доступа к финансовой услуге или продукту;
h) осуществляют мониторинг активности использования упомянутых трекинговых данных для по меньшей мере одного устройства, связанного с мошеннической активностью;
i) получают на основании упомянутого мониторинга уникальный аппаратный идентификатор (У АИД) упомянутого устройства, связанного с мошеннической активностью; и
j) передают У АИД в базу данных для добавления в черный список для последующего блокирования транзакционных операций с помощью соответствующего аппаратного идентификатора.
2. Способ по п.1, характеризующийся тем, что элементы, представляющие форму для ввода данных, выбираются из группы: кнопка графического интерфейса, область ввода текста, рамка, ссылка на переход с сайта.
3. Способ по п.1, характеризующийся тем, что этап f) начинается после полной загрузки страницы веб-сайта и дополнительно установленного временного промежутка.
4. Способ по п.1, характеризующийся тем, что для каждой области текста проверяется наличие элементов автозаполнения.
5. Способ по п.4, характеризующийся тем, что для элементов автозаполнения определяется количество пунктов вариантов автозаполнения.
6. Способ по п.5, характеризующийся тем, что выполняется случайный выбор пунктов вариантов автозаполнения.
7. Способ по п.1, характеризующийся тем, что для каждой области текста проверяется наличие шаблона текста для ввода.
8. Способ по п.7, характеризующийся тем, что шаблон проверятся на наличие ключевых слов.
9. Способ по п.8, характеризующийся тем, что по выявленным ключевым словам выполняется обращение в базу данных трекинговой информации для получения данных, соответствующих шаблону для заполнения.
10. Способ по п.8, характеризующийся тем, что проверка выполняется по DOM- дереву и/или с помощью локатора близлежащих элементов, содержащих текст, длинной не менее трех символов.
11. Способ по п.8, характеризующийся тем, что в случае если шаблон содержит ключевые слова, указывающие на подтверждение регистрация с помощью SMS- сообщения, то выполняется шаг его отправки на номер телефона, связанный с трекинговыми данными.
12. Способ по п.11, характеризующийся тем, что определяют поступление SMS- сообщения с на указанный номер телефона, связанный с трекинговыми данными.
13. Способ по п.12, характеризующийся тем, что определение выполняется с помощью программного модуля, определяющего поступление SMS-сообщения и его передачу в базу данных.
14. Способ по п.13, характеризующийся тем, что информация, переданная в базу данных, проверяется модулем анализа на наличие информации для авторизации в полученном SMS-сообщении.
15. Система выявления устройств, связанных с мошеннической фишинговой активностью, содержащая:
по меньшей мере один процессор по меньшей мере одну память, связанную с процессором, содержащую машиночитаемые инструкции, которые при их выполнении по меньшей мере одним процессором осуществляют способ по любому из пп. 1-14.
PCT/RU2018/000751 2018-11-15 2018-11-15 Способ и система выявления устройств, связвнных с мошеннической фишинговой активностью WO2020101522A1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2018140413A RU2705774C1 (ru) 2018-11-15 2018-11-15 Способ и система выявления устройств, связанных с мошеннической фишинговой активностью
RU2018140413 2018-11-15

Publications (1)

Publication Number Publication Date
WO2020101522A1 true WO2020101522A1 (ru) 2020-05-22

Family

ID=68579493

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2018/000751 WO2020101522A1 (ru) 2018-11-15 2018-11-15 Способ и система выявления устройств, связвнных с мошеннической фишинговой активностью

Country Status (3)

Country Link
EA (1) EA038687B1 (ru)
RU (1) RU2705774C1 (ru)
WO (1) WO2020101522A1 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090077637A1 (en) * 2007-09-19 2009-03-19 Santos Paulo A Method and apparatus for preventing phishing attacks
US20140041024A1 (en) * 2012-08-01 2014-02-06 Bank Of America Corporation Method and Apparatus for Baiting Phishing Websites
US20140189808A1 (en) * 2012-12-28 2014-07-03 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
US20160019546A1 (en) * 2012-11-14 2016-01-21 The 41St Parameter, Inc. Systems and methods of global identification
CN108664461A (zh) * 2018-05-03 2018-10-16 北京神州泰岳软件股份有限公司 一种网页表单自动填写方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8181029B2 (en) * 2009-09-23 2012-05-15 At&T Intellectual Property I, L.P. Apparatus, methods, and computer program products for entering secure passwords
RU2671991C2 (ru) * 2016-12-29 2018-11-08 Общество с ограниченной ответственностью "Траст" Система и способ сбора информации для обнаружения фишинга

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090077637A1 (en) * 2007-09-19 2009-03-19 Santos Paulo A Method and apparatus for preventing phishing attacks
US20140041024A1 (en) * 2012-08-01 2014-02-06 Bank Of America Corporation Method and Apparatus for Baiting Phishing Websites
US20160019546A1 (en) * 2012-11-14 2016-01-21 The 41St Parameter, Inc. Systems and methods of global identification
US20140189808A1 (en) * 2012-12-28 2014-07-03 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
CN108664461A (zh) * 2018-05-03 2018-10-16 北京神州泰岳软件股份有限公司 一种网页表单自动填写方法及装置

Also Published As

Publication number Publication date
EA038687B1 (ru) 2021-10-05
RU2705774C1 (ru) 2019-11-11
EA201892372A1 (ru) 2020-05-29

Similar Documents

Publication Publication Date Title
US11343269B2 (en) Techniques for detecting domain threats
EP3044987B1 (en) Method and system for verifying an account operation
US10740411B2 (en) Determining repeat website users via browser uniqueness tracking
RU2637477C1 (ru) Система и способ обнаружения фишинговых веб-страниц
US9055097B1 (en) Social network scanning
US20170041341A1 (en) Polymorphic Treatment of Data Entered At Clients
US10313364B2 (en) Adaptive client-aware session security
US11381598B2 (en) Phishing detection using certificates associated with uniform resource locators
US11671448B2 (en) Phishing detection using uniform resource locators
TW201541277A (zh) 檢測弱密碼的方法和裝置
US10853440B2 (en) Displaying an object having a link to a database record in response to a user selection of a highlighted reference
WO2016188029A1 (zh) 解析二维码的方法及装置、计算机可读存储介质、计算机程序产品与终端设备
US11755830B2 (en) Utilizing natural language processing to automatically perform multi-factor authentication
US20210203693A1 (en) Phishing detection based on modeling of web page content
US20240154978A1 (en) Identifying fraudulent requests for content
US20140013426A1 (en) Providing consistent security information
CN113362173A (zh) 防重机制验证方法、验证系统、电子设备及存储介质
RU2705774C1 (ru) Способ и система выявления устройств, связанных с мошеннической фишинговой активностью
RU2762241C2 (ru) Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами
WO2017129068A1 (zh) 事件执行方法和装置及系统
US11470114B2 (en) Malware and phishing detection and mediation platform
US20150363370A1 (en) System and Method of Email Document Classification
WO2021133592A1 (en) Malware and phishing detection and mediation platform
US9485242B2 (en) Endpoint security screening
US8935343B2 (en) Instant messaging network resource validation

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18940169

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 18940169

Country of ref document: EP

Kind code of ref document: A1