WO2024049148A1 - Phishing attack prevention method, and recording media and devices for performing same - Google Patents

Phishing attack prevention method, and recording media and devices for performing same Download PDF

Info

Publication number
WO2024049148A1
WO2024049148A1 PCT/KR2023/012749 KR2023012749W WO2024049148A1 WO 2024049148 A1 WO2024049148 A1 WO 2024049148A1 KR 2023012749 W KR2023012749 W KR 2023012749W WO 2024049148 A1 WO2024049148 A1 WO 2024049148A1
Authority
WO
WIPO (PCT)
Prior art keywords
phishing
browser
url
user
profile
Prior art date
Application number
PCT/KR2023/012749
Other languages
French (fr)
Korean (ko)
Inventor
조해현
심경민
Original Assignee
숭실대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020230107607A external-priority patent/KR20240031897A/en
Application filed by 숭실대학교 산학협력단 filed Critical 숭실대학교 산학협력단
Publication of WO2024049148A1 publication Critical patent/WO2024049148A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the present invention relates to a phishing attack prevention method for protecting a user's browser from phishing attacks, and a recording medium and device for performing the same.
  • URL blacklists such as Google Safe Browsing and Microsoft Smart Screen support the anti-phishing ecosystem on the backend.
  • This ecosystem uses machine learning classifiers to alert users to anti-phishing systems if the websites they visit are suspicious.
  • this ecosystem has the disadvantage that anti-phishing systems can only accurately classify phishing websites when searching for phishing content.
  • anti-phishing systems can only accurately classify phishing websites when searching for phishing content.
  • phishing websites cannot be accurately classified when phishing content is not searched.
  • the latest phishing technologies can conceal the anti-phishing system and delay or disable browser detection to exploit the shortcomings of the conventional anti-phishing system.
  • Cloaking one of the technologies that conceals the anti-phishing systems of these latest phishing technologies, exists in two categories: client-side and server-side.
  • client-side cloaking technology executes JavaScript in the user's browser and leaves fingerprinting in the browser to distinguish visitors and display different web page content.
  • server-side cloaking technology analyzes HTTP requests to identify visits to anti-phishing elements.
  • This server-side cloaking technology has the problem that it does not work well with small amounts of information provided by server-side cloaking sites, but it uses a relatively large amount of information to easily match HTTP requests from legitimate users and HTTP requests from anti-phishing systems. can be distinguished.
  • FIG. 1 is a diagram showing the general operating process of server-side fingerprinting-based cloaking performed by such advanced phishing websites.
  • fingerprinting-based cloaking technology identifies the visitor by using the hostname, IP address, User-Agent HTTP header, or Referrer HTTP header when a visitor visits a phishing website using a browser. .
  • the phishing web server's cloaking code leaves a fingerprint in the profile of the HTTP request and responds with different web page content.
  • Figure 2 is a diagram showing a simplified PHP code snippet of fingerprinting-based cloaking that verifies IP, hostname, and User-Agent in a phishing kit.
  • Patent Document 1 Korean Patent Publication No. 10-2008-0072978
  • the present invention was created to solve the above problems, and the purpose of the present invention is to not only protect users from the first visit to an unknown phishing website, but also protect against phishing attacks by returning a harmless web page to the user.
  • the goal is to provide a possible phishing attack prevention method, a recording medium, and a device for performing it.
  • a phishing attack prevention method for achieving the above object is a phishing attack prevention device for protecting a user's browser from a phishing attack by a phishing website using a fingerprinting-based concealment technique.
  • a method for preventing phishing attacks comprising: accessing a URL (Uniform Resource Locator) through the user's browser; Disguising the user browser as a crawler by setting cloaking based on fingerprinting in the user browser; and receiving web page content from a phishing website corresponding to the URL.
  • a URL Uniform Resource Locator
  • the step of disguising it as a crawler includes comparing the URL with a blacklist prepared in advance; If the URL is included in the blacklist, blocking access to the URL; And if the URL is not included in the blacklist, it may include the step of checking the past history of the URL by querying a fingerprinting database prepared in advance.
  • the user browser is disguised as the crawler by maintaining the profile of the user browser.
  • the profile of the user browser can be changed to disguise the user browser as the crawler.
  • changing the profile of the user browser may mean changing the bot profile included in the profile of the user browser based on an anti-phishing bot profile database prepared in advance.
  • the step of requesting HTTP including the maintained or changed profile of the user browser to the server of the phishing website may be further included.
  • the method for preventing phishing attacks includes classifying phishing content among the web page content using a classification engine running in the background after receiving the web page content; And it may further include updating the fingerprint database using the accessed URL, the changed user browser profile, and a classification result of the web page content.
  • a recording medium according to an embodiment of the present invention for achieving the above object is a computer-readable recording medium on which a computer program for performing a method for preventing phishing attacks according to an embodiment of the present invention is recorded.
  • a phishing attack prevention device for achieving the above object is a phishing attack prevention device for protecting the user's browser from phishing attacks by phishing websites using a fingerprinting-based concealment technique.
  • a communication unit that accesses a URL through the user browser and receives web page content from a phishing website corresponding to the URL; And it may include a control unit that sets cloaking based on fingerprinting to the user's browser and disguises the user's browser as a crawler.
  • control unit may include a comparison unit that compares the URL with a blacklist prepared in advance; a blocking unit that blocks access to the URL when the URL is included in the blacklist; And, if the URL is not included in the blacklist, it may include a past history confirmation unit that verifies the past history of the URL by querying a fingerprint database prepared in advance.
  • control unit maintains the profile of the user browser to disguise the user browser as the crawler, but prevents phishing attacks against the URL. If the history of successfully preventing an attack is not confirmed, it may further include a profile management unit that changes the profile of the user browser to disguise the user browser as the crawler.
  • the profile management unit may change the bot profile included in the profile of the user browser based on a pre-prepared anti-phishing bot profile database.
  • control unit after disguising itself as the crawler, may request HTTP (HyperText Transfer Protocol) including the maintained or changed user browser profile to the server of the phishing website.
  • HTTP HyperText Transfer Protocol
  • control unit further includes a classification unit that classifies phishing content among the web page content using a classification engine running in the background after receiving the web page content, and the control unit is configured to classify the accessed URL, the changed
  • the fingerprint database can be updated using the user browser profile and the classification results of the web page content.
  • FIG. 1 is a diagram showing the general operating process of server-side fingerprinting-based cloaking performed on a phishing website
  • Figure 2 shows a simplified PHP code snippet of fingerprinting-based cloaking to verify IP, hostname, and User-Agent in a phishing kit.
  • FIG. 3 is a diagram for explaining the configuration of a phishing attack prevention device according to an embodiment of the present invention.
  • FIG. 4 is a flowchart illustrating a method for preventing phishing attacks according to an embodiment of the present invention
  • Figure 5 is a flowchart for explaining in more detail a method for preventing phishing attacks according to an embodiment of the present invention.
  • Figure 6a shows the content displayed by the phishing content when visited by the default browser
  • 6B and 6C show content displayed when a browser according to the present invention visits a phishing website
  • FIGS. 7A and 7B are diagrams comparing a default browser and a browser according to the present invention when visiting a general website;
  • Figures 8a and 8b are diagrams for explaining pop-up permission results in a basic browser and a browser according to the present invention.
  • the components according to the present invention are components defined by functional division rather than physical division, and can be defined by the functions each performs.
  • Each component may be implemented as hardware or program code and processing units that perform each function, and the functions of two or more components may be included and implemented in one component. Therefore, the names given to the components in the following embodiments are not intended to physically distinguish each component, but are given to suggest the representative function performed by each component, and the names of the components refer to the present invention. It should be noted that the technical idea is not limited.
  • Figure 3 is a diagram for explaining the configuration of a phishing attack prevention device 100 according to an embodiment of the present invention.
  • the phishing attack prevention device 100 (hereinafter referred to as device) according to this embodiment is provided to protect the user's browser from phishing attacks by phishing websites that use fingerprinting-based concealment techniques.
  • the device 100 may include a communication unit 110, a storage unit 130, and a control unit 150.
  • the device 100 may have software (application) installed and executed to perform a phishing attack prevention method, and the communication unit 110, storage unit 130, and control unit 150 may perform a phishing attack prevention method. It can be controlled by software (application) to do this.
  • the device 100 may be a separate terminal or a partial module of the terminal.
  • the communication unit 110, storage unit 130, and control unit 150 may be formed as an integrated module or may be comprised of one or more modules. However, on the contrary, each component may be comprised of a separate module.
  • device 100 may be mobile or fixed.
  • This device 100 may be in the form of a server or engine, and may be a device, apparatus, terminal, user equipment (UE), mobile station (MS), or wireless device. It may be called by other terms such as (wireless device) or handheld device.
  • the device 100 can execute or produce various software based on an operating system (OS), that is, a system.
  • OS operating system
  • the operating system is a system program that allows software to use the hardware of the device, and includes mobile computer operating systems such as Android OS, iOS, Windows Mobile OS, Bada OS, Symbian OS, and Blackberry OS, as well as Windows, Linux, and Unix systems. It can include all computer operating systems such as MAC, AIX, and HP-UX.
  • the communication unit 110 is provided to transmit and receive various information.
  • the communication unit 110 can enable the user to access the URL through the user browser.
  • the communication unit 110 may receive web page content from a phishing website corresponding to the URL entered through the user's browser.
  • the storage unit 130 records a program for performing a phishing attack prevention method.
  • the data processed by the control unit 150 is stored temporarily or permanently, and may include a volatile storage medium or a non-volatile storage medium, but the scope of the present invention is not limited thereto.
  • the storage unit 130 stores data accumulated while performing a phishing attack prevention method.
  • This storage unit 130 may include a fingerprint database unit 131 and an anti-phishing bot profile database.
  • the fingerprint database unit 131 may be provided to store URL past history, which is the URL processing history. And the fingerprint database unit 131 may be updated according to the information processed by the control unit 150.
  • This fingerprint database unit 131 may operate locally to prevent sharing of visit records between users to protect personal information.
  • the fingerprint database unit 131 may be configured to share URL past history through a centralized server while maintaining the user's personal information.
  • the anti-phishing bot profile database unit 133 may be provided to store information that allows changing the profile of the user's browser.
  • a profile can be defined as a set of fingerprint-recognizable attributes and their values.
  • one profile might contain a User-Agent string with a bot, an empty Referrer, or an AWS IP address. These profiles are used to generate appropriate HTTP requests to the target website.
  • these attributes can be stored in the anti-phishing bot profile database unit 133.
  • the anti-phishing bot profile database unit 133 can store a profile that allows the user's browser to be disguised as a crawler.
  • a profile that can be disguised as such a crawler can be extracted and stored from the phishing kit shown in FIG. 2.
  • the storage unit 130 may store a blacklist maintained by an anti-phishing system.
  • the blacklist maintained by the anti-phishing system may be received in real time through the communication unit 110.
  • control unit 150 is provided to control the entire process of providing a method to prevent phishing attacks.
  • control unit 150 can set cloaking based on fingerprinting on the user's browser to disguise the user's browser as a crawler.
  • control unit 150 may include a comparison unit 151, a blocking unit 153, a past history confirmation unit 155, and a profile management unit 157.
  • the comparison unit 151 can compare the URL to be accessed through the user's browser with the blacklist.
  • the blocking unit 153 can block access to the URL if the URL is included in the blacklist.
  • the blocking unit 153 can completely block access by outputting a phishing route that can increase identification.
  • the past history confirmation unit 155 may query the fingerprint database unit 131 to check the past history of the URL.
  • the profile management unit 157 maintains the profile of the user's browser as a profile used in the past and disguises the user's browser as a crawler.
  • the user browser can be disguised as a crawler by changing the profile of the user browser to trigger fingerprinting-based cloaking on the phishing website. .
  • the profile management unit 157 changes the profile to disguise the user's browser as a crawler, it may mean changing the bot profile included in the user browser's profile based on the anti-phishing bot profile database unit 133.
  • the profile management unit 157 can edit or change profile items such as the User-Agent HTTP header.
  • Anti-phishing crawlers typically include “bot” and “crawler” or company names such as “Google” and “Facebook” in the User-Agent HTTP header, as shown in Table 1 below.
  • Table 1 is an exemplary table showing a list of the top 10 sensitive words that appeared as a result of analyzing at least one phishing kit as shown in FIG. 2. Therefore, the profile management unit 157 is equipped with trigger words automatically extracted from the phishing kit listed in Table 1 in advance, and can disguise the user's browser as a crawler by changing the profile using these.
  • the profile management unit 157 may be arranged to allow more trigger words to modify the user profile according to anti-phishing crawlers, bots, and server-side cloaking conditions.
  • the profile management unit 157 can edit or change the Referrer HTTP header.
  • users who are potential victims access phishing websites through the phisher's phishing lures. Therefore, phishers can block all visits that are not phishing bait.
  • the profile management unit 157 can optionally disguise the user's IP address by using a proxy server.
  • the proxy server of AWS EC2 would be useful because the phisher inferred that some anti-phishing crawlers use AWS EC2, so the profile management unit 157 You can use a proxy server.
  • the profile management unit 157 can proxy the request through a disguised IP address, and the proxy server can help avoid hidden phishing websites based on fingerprinting.
  • the profile management unit 157 may add one trigger word from the anti-phishing bot profile database unit 133 to the User-Agent string according to the popularity order in Table 1.
  • the profile management unit 157 may not use trigger words that are not successful for the same URL and may set the referring page to none (header removal).
  • the profile manager 157 can optionally reroute the request to a proxy server in one of the most blocked IP ranges when changing the IP/hostname.
  • control unit 150 can disguise the user's browser as a crawler through the profile management unit 157 and then request HTTP (HyperText Transfer Protocol) including the browser's profile to the server of the phishing website.
  • HTTP HyperText Transfer Protocol
  • control unit 150 can receive an HTTP response from the server.
  • control unit 150 may further include a classification unit 159.
  • the classification unit 159 may classify phishing content using a classification engine running in the background after receiving web page content through an HTTP request.
  • control unit 150 may check whether there is suspicious content using a classification engine running in the background to prevent page rendering delays.
  • the reason why the classification unit 159 classifies suspicious content in this way is to check whether the profile changed in the profile management unit 157 is effective in causing cloaking.
  • control unit 150 can update the fingerprint database unit 131 using the accessed URL, the changed user browser profile, and the classification result of the web page content.
  • the device 100 receives an HTTP response after disguising the user's browser as a crawler.
  • the first is when the server is harmless and responds with harmless content
  • the second is when the server is harmless and responds with suspicious content
  • the third is when the server is malicious and responds with harmless content (such as an error page or a redirect to a harmless website, etc.).
  • the last is when the server is malicious and responds with suspicious content.
  • the criteria for determining this are the presence or absence of features such as login forms, sensitive (phishing) words such as user names or passwords, and submit buttons. Whenever these features are absent, phishing attacks can be considered successfully prevented.
  • the profile management unit 157 changes the profile, and paypal is returned, so the web page is still displayed. Includes username and password fields. In this case, device 100 still contains sensitive words, so preventing phishing attacks may be considered unsuccessful.
  • the device 100 changes the profile but still receives the phishing web page, so the control unit 150 is not aware of the phishing attack for the same reason as described above. Prevention can be considered unsuccessful.
  • the device 100 can regard the prevention of the phishing attack as successful.
  • the second may occur when a user visits a harmless website that contains phishing-like features such as login forms, sensitive words, and submit buttons. These websites are often indistinguishable from phishing websites. Accordingly, the device 100 may classify all unknown websites with login forms as suspicious, thereby rendering phishing attack prevention unsuccessful. Accordingly, the device 100 may determine the suspicious content to be suspicious and mark the modification as a failure in the suspicious content classification.
  • the server is malicious using a concealment technique and determines that a URL visit through the device 100 is a visit to an anti-phishing bot. Therefore, in this case, the phishing website returns an error web page or redirects the visit to a normal website. As a result, the device 100 can successfully prevent users from viewing phishing content by triggering fingerprinting-based cloaking technology on phishing websites.
  • the phishing website may not perform fingerprinting-based cloaking, or the profile may not trigger fingerprinting-based cloaking.
  • the device 100 cannot trigger any cloaking actions, so it can be considered to have failed to prevent phishing attacks.
  • the phishing website can be quickly detected by the phishing prevention system, and this will be described later with reference to FIGS. 6 to 8.
  • the device 100 may save the failed profile to aid in future visits to that URL to trigger fingerprinting-based cloaking. From the browser's perspective, that case is the same as the second case (harmful server and suspicious content), so it can't simply block the URL because it doesn't know whether the server is malicious or harmless.
  • FIG. 4 is a flowchart illustrating a method for preventing phishing attacks according to an embodiment of the present invention.
  • the method for preventing phishing attacks according to an embodiment of the present invention is substantially the same as the phishing attack device 100 shown in FIG. 3. Since this is done in terms of configuration, the same reference numerals will be assigned to the same components as those of the phishing attack device 100 of FIG. 3, and repeated descriptions will be omitted.
  • This phishing attack prevention method includes the step of accessing a URL (S110), disguising the user's browser as a crawler (S130), and receiving web page content (S150).
  • the communication unit 110 can access the URL through the user's browser.
  • control unit 150 can disguise the user's browser as a crawler by setting cloaking based on fingerprinting on the user's browser.
  • control unit 150 may compare the URL with a blacklist prepared in advance.
  • control unit 150 may block access to the URL.
  • control unit 150 can check the past history of the URL by querying the fingerprint database unit 131 prepared in advance.
  • the control unit 150 checks the past history and confirms a history of successfully preventing phishing attacks on URLs, the profile of the user's browser is changed to a profile that successfully prevents phishing attacks. By maintaining this, the user's browser can be disguised as a crawler.
  • control unit 150 changes the profile of the user browser to transform the user browser into a crawler. It can be disguised.
  • changing the profile of the user browser means that the control unit 150 changes the profile of the user browser based on the anti-phishing bot profile database unit 133 prepared in advance. This could be changing the bot profile.
  • the control unit 150 transmits HTTP (HyperText Transfer Protocol) including the profile of the user's browser that has been maintained or changed to the phishing website. It may further include a request step to the server side.
  • HTTP HyperText Transfer Protocol
  • control unit 150 may receive web page content from the phishing website corresponding to the URL.
  • the method for preventing phishing attacks may further include classifying phishing content and updating the fingerprint database unit 131 after receiving web page content (S150).
  • the step of classifying phishing content may be a step in which the control unit 150 classifies phishing content among web page content using a classification engine running in the background.
  • the fingerprint database may be updated using the URL accessed by the control unit 150, the changed user browser profile, and the classification result of web page content.
  • Figure 5 is a flowchart to explain in more detail a method for preventing phishing attacks according to an embodiment of the present invention.
  • the device 100 can access the URL using a browser (S210).
  • the device 100 can determine in real time whether the corresponding URL is included in the blacklist using a commercial URL blacklist such as Google Safe Browsing or Microsoft SmartScreen (S220).
  • a commercial URL blacklist such as Google Safe Browsing or Microsoft SmartScreen (S220).
  • the device 100 can block access to the URL (S225).
  • the device 100 queries the fingerprint database unit 131 to check whether the URL has been processed previously (S230).
  • the device 100 can maintain a profile based on the processing history (S235).
  • the device 100 can change the profile using the profile information stored in the anti-phishing bot profile database unit 133 (S240). .
  • the device 100 may request HTTP to the phishing website server through the maintained or changed profile (S245).
  • Device 100 may then receive web page content in response to HTTP from the phishing website.
  • the device 100 may check whether there is suspicious content using a classification engine running in the background (S255).
  • the phishing attack prevention method of the present invention can be implemented in the form of program instructions that can be executed through various computer components and recorded on a computer-readable recording medium.
  • the computer-readable recording medium may include program instructions, data files, data structures, etc., singly or in combination.
  • Program instructions recorded on the computer-readable recording medium may be specially designed and configured for the present invention, or may be known and usable by those skilled in the computer software field.
  • Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, and magneto-optical media such as floptical disks. media), and hardware devices specifically configured to store and perform program instructions, such as ROM, RAM, flash memory, etc.
  • Examples of program instructions include not only machine language code such as that created by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.
  • the hardware device may be configured to operate as one or more software modules to perform processing according to the invention and vice versa.
  • 6 to 8 are diagrams for explaining the effectiveness of a method for preventing phishing attacks according to an embodiment of the present invention.
  • the present device 100 was implemented as a Chrome browser extension, and evaluation was conducted from three perspectives: effectiveness, waiting time, and functional impact.
  • the malicious dataset included 160,728 live phishing webs from November 2020 to July 2021 using the Anti-Phishing Working Group (APWG) URL feed, a curated dataset of reported phishing URLs. Visited the site. We then used another 8,474 live phishing websites in the APWG dataset to evaluate the effectiveness of IP changes, or profile changes.
  • APWG Anti-Phishing Working Group
  • the effectiveness of the phishing attack prevention method was evaluated by visiting the same phishing website using the default browser and a browser reflecting the application for performing the phishing attack prevention method of the present invention (hereinafter referred to as this browser).
  • Phishing URL visits using default and main browsers are taken from the APWG data set.
  • our browser used a profile with 407 trigger words, a random trigger word without a referrer header, and no IP proxy.
  • a simple profile was used because cloaking is triggered when the cloaking rule matches according to the phishing kit behavior analysis.
  • this browser's HTTP response (1) differs from the web page displayed in the default browser and (2) does not contain suspicious content such as "phishing" words or malformations, it is considered healthy under the CANTINA+ content feature reimplementation. did.
  • Figure 6 is a diagram illustrating the difference in response web page content between a visit to a cloaked phishing website through a default browser and a visit through the main browser.
  • the content in Figure 6a is the content displayed by phishing content when the default browser visits.
  • Trigger words are retrieved through the phishing kit analysis in Figure 2, and all trigger words are tested by visiting each phishing website using different profiles consisting of no trigger word, no referrer header, and no IP proxy.
  • each profile included only one trigger word, so one profile means one trigger word.
  • each trigger word has a different evasion function.
  • Table 2 below shows the results of the top 10 trigger words that successfully avoided phishing content.
  • the word bot is most often avoided by phishing websites. In other words, 99.31% of cloaked phishing websites can be avoided by adding a bot to the User-Agent. Compared to the popularity ranking in Table 1, it is also the most blocked word in the phishing kit investigated by the inventor of the present invention.
  • this phishing attack prevention method achieved an evasion rate of over 80% by changing both the User-Agent and Referrer headers.
  • three different browsers visit the same dataset of phishing websites: (1) the UA browser, which is the native browser that only changes the User-Agent string (UA), (2) the REF browser, which is the native browser that only changes the Referrer, and (3) Evaluation was performed through a general browser.
  • UA browser avoided 4,028 and REF browser avoided 16. Because a limited number of phishing kits include Referrer checking, our browser was able to avoid a small number of phishing websites by only changing the Referrer.
  • the present invention can successfully avoid phishing content in more than 80% of phishing websites by changing the User-Agent and Referrer headers, the effectiveness of changing the IP address was also analyzed.
  • the proxy server option may affect your privacy, so turn it off by default. You may choose to use this feature in your browser only if you have read, understood, and agreed to the privacy statements. In this experiment, 8,474 phishing websites were used, and the websites were visited in both the default browser and the main browser (only the IP address changed depending on the profile).
  • this browser can introduce latency into HTTP requests due to database queries, HTTP profile changes, and inspection of returned content.
  • Time to Interactive (TTI): the time it takes for the page to be fully interacted with the extension; (2) First Input Delay (FID ⁇ ): from the time the user first interacts with the website, the browser The time until the event handler can actually start processing in response to the action; (3) Scripting time (Scripting ⁇ ): the time the JavaScript is executed in the extension; (4) Long Task (added Long Task): The value represents the sum of Long Tasks added by the extension, where a Long Task is defined as a task that blocks the main thread for more than 50ms, and (5) Additional CPU consumption (additional CPU time): of the extension for each URL visited by the browser. Additional CPU consumption.
  • And exthouse generates a score for the extension, with a higher score indicating better performance of the extension.
  • Table 3 shows the external scores of the top 10 Chrome extensions and the main browser (Spartacus) when visiting benign and malicious websites.
  • Avira Browser Safety is an extension that warns users if a website is not safe, adding lengthy operations and additional CPU time when visiting malicious websites.
  • Test results show that Spartacus outperforms popular Chrome extensions and has a minimal impact on website performance compared to other extensions.
  • this browser used a profile without any trigger words, referrer headers, and IP proxies.
  • Figures 7 and 8 show general differences in browser rendering between default browser and native browser visits. For example, a web page is rendered differently in terms of screenshot similarity between the default browser visit shown in Figure 7A and the main browser visit shown in Figure 7B.
  • Figures 7a and 7b are the shape of the button, different background color, and content spacing.
  • a window requesting permission to use cookies pops up in the default browser in FIG. 8a, but the pop-up is not allowed when visiting through the main browser in FIG. 9b.
  • Cloudflare and Akamai whose services include security mechanisms such as anti-DDoS and anti-crawling.
  • Phishing attack prevention device 110 Communication Department
  • control unit 151 comparison unit
  • Blocking unit 155 Past history confirmation unit

Abstract

The present invention relates to a phishing attack prevention method in a phishing attack prevention device for protecting a user browser from a phishing attack by a phishing website, by using a fingerprinting-based concealment technique, the phishing attack prevention method comprising the steps of: accessing a user resource locator (URL) through a user browser; disguising the user browser as a crawler by setting fingerprinting-based cloaking in the user browser; and receiving web page content from a phishing website corresponding to the URL. This can protect a user from the first visit to an unknown phishing website and also protect against a phishing attack by returning a harmless web page to the user.

Description

피싱 공격 방지 방법, 이를 수행하는 기록매체 및 장치Methods for preventing phishing attacks, recording media and devices for performing them
본 발명은 사용자 브라우저를 피싱 공격으로부터 보호하기 위한 피싱 공격 방지 방법, 이를 수행하는 기록매체 및 장치에 관한 것이다.The present invention relates to a phishing attack prevention method for protecting a user's browser from phishing attacks, and a recording medium and device for performing the same.
기존의 웹 사이트를 보호하기 위한 연구에서는 URL(Uniform Resource Locator) 기반 피싱 탐지 및 웹 콘텐츠 분석 기법과 같은 많은 피싱 방지 기술을 제안하고 있다. Research to protect existing websites suggests many anti-phishing technologies, such as URL (Uniform Resource Locator)-based phishing detection and web content analysis techniques.
예컨대 구글 세이프 브라우징(Google Safe Browsing) 및 마이크로소프트 스마트 스크린(Microsoft Smart Screen)과 같은 상용 URL 블랙리스트는 백엔드에서 피싱 방지를 위한 생태계를 지원한다. For example, commercial URL blacklists such as Google Safe Browsing and Microsoft Smart Screen support the anti-phishing ecosystem on the backend.
이 생태계는 머신러닝 분류기를 사용하여 방문하는 웹 사이트가 의심스러울 경우 피싱 방지 시스템이 사용자에게 경고하는 방식이다. This ecosystem uses machine learning classifiers to alert users to anti-phishing systems if the websites they visit are suspicious.
하지만 해당 생태계는 피싱 방지 시스템이 피싱 콘텐츠를 검색할 때만 피싱 웹 사이트를 정확하게 분류할 수 있다는 단점이 있다. 다시 말해 피싱 콘텐츠를 검색하지 않을 시에는 피싱 웹 사이트를 정확하게 분류할 수 없다는 한계점이 존재한다. However, this ecosystem has the disadvantage that anti-phishing systems can only accurately classify phishing websites when searching for phishing content. In other words, there is a limitation in that phishing websites cannot be accurately classified when phishing content is not searched.
이에 최신 피싱 기술들은 이러한 종래의 피싱 방지 시스템의 단점을 악용하기 위해 피싱 방지 시스템을 은폐시키고 브라우저 탐지를 지연시키거나 비활성화시킬 수 있다. Accordingly, the latest phishing technologies can conceal the anti-phishing system and delay or disable browser detection to exploit the shortcomings of the conventional anti-phishing system.
이러한 최신 피싱 기술들의 피싱 방지 시스템을 은폐시키는 기술 중 하나인 클로킹에는 클라이언트 측과 서버 측의 두 가지 범주가 존재한다. Cloaking, one of the technologies that conceals the anti-phishing systems of these latest phishing technologies, exists in two categories: client-side and server-side.
먼저 클라이언트 측 클로킹 기술은 방문자를 구별하고 다른 웹 페이지 콘텐츠를 표시하기 위해 사용자의 브라우저에서 자바스크립트(JavaScript)를 실행하고, 브라우저에 핑거프린팅(Fingerprinting)을 남기는 것이다. First, client-side cloaking technology executes JavaScript in the user's browser and leaves fingerprinting in the browser to distinguish visitors and display different web page content.
또한, 서버 측 클로킹 기술은 HTTP 요청을 분석하여 피싱 방지 요소의 방문을 식별하는 것이다. 이러한 서버측 클로킹 기술은 서버 측 클로킹 사이트에서 제공하는 작은 정보들에 대해 제대로 작동하지 않는다는 문제가 있지만, 상대적으로 많은 양의 정보를 사용하여 합법적인 사용자의 HTTP 요청과 피싱 방지 시스템의 HTTP 요청을 쉽게 구별할 수 있다. Additionally, server-side cloaking technology analyzes HTTP requests to identify visits to anti-phishing elements. This server-side cloaking technology has the problem that it does not work well with small amounts of information provided by server-side cloaking sites, but it uses a relatively large amount of information to easily match HTTP requests from legitimate users and HTTP requests from anti-phishing systems. can be distinguished.
따라서 핑거프린팅 기반 은폐 기법은 고도의 피싱 웹 사이트에서 널리 사용되고 있다. 도 1은 이러한 고도의 피싱 웹 사이트에서 수행하는 서버 측 핑거프린팅 기반 클로킹의 일반적인 작동 프로세스를 도시한 도면이다.Therefore, fingerprinting-based concealment techniques are widely used in advanced phishing websites. Figure 1 is a diagram showing the general operating process of server-side fingerprinting-based cloaking performed by such advanced phishing websites.
도 1에 도시된 바와 같이 핑거프린팅 기반 클로킹 기술은 피싱 웹 사이트에 방문자가 브라우저를 이용해 방문하면, 호스트네임(Hostname), IP 주소, User-Agent HTTP 헤더 또는 Referrer HTTP 헤더를 활용하여 방문자를 식별한다. As shown in Figure 1, fingerprinting-based cloaking technology identifies the visitor by using the hostname, IP address, User-Agent HTTP header, or Referrer HTTP header when a visitor visits a phishing website using a browser. .
그리고 피싱 방지 시스템의 HTTP 요청인 것으로 판단되면, 피싱 웹 서버의 클로킹 코드는 HTTP 요청의 프로필에 핑거프린팅을 남기고 다른 웹 페이지 콘텐츠로 응답하게 된다. And if it is determined to be an HTTP request by an anti-phishing system, the phishing web server's cloaking code leaves a fingerprint in the profile of the HTTP request and responds with different web page content.
도 2는 피싱 키트에서 IP, 호스트네임 및 User-Agent를 확인하는 핑거프린팅 기반 클로킹의 단순화된 PHP 코드 스니펫을 도시한 도면이다. Figure 2 is a diagram showing a simplified PHP code snippet of fingerprinting-based cloaking that verifies IP, hostname, and User-Agent in a phishing kit.
피싱 기술들이 계속 진화함에 따라 식별되는 핑거프린팅의 수가 증가하기 때문에 호스트네임, IP 주소 또는 User-Agent가 일치하면 404 Page Not Found 오류 응답이 표시된다. 따라서 피싱 방지 시스템의 방문은 도 1 및 도 2에 도시된 바와 같이 피싱 서버에서 핑거프린팅 기반 클로킹 기술을 트리거하므로, 피싱 방지 시스템은 피싱 콘텐츠를 검색할 수 없어 오탐지 또는 탐지 지연이 발생한다는 한계가 있다. As phishing techniques continue to evolve, the number of fingerprints identified increases, so if the hostname, IP address, or User-Agent matches, a 404 Page Not Found error response is displayed. Therefore, since the visit of the anti-phishing system triggers a fingerprinting-based cloaking technology on the phishing server as shown in Figures 1 and 2, the anti-phishing system cannot search for phishing content, resulting in false positives or detection delays. there is.
[선행기술문헌][Prior art literature]
[특허문헌][Patent Document]
(특허문헌 1) 한국공개특허공보 제10-2008-0072978호(Patent Document 1) Korean Patent Publication No. 10-2008-0072978
본 발명은 상기와 같은 문제를 해결하기 위해 안출된 것으로, 본 발명의 목적은 알려지지 않은 피싱 웹사이트의 최초 방문부터 사용자를 보호할 수 있는 것은 물론 사용자에게 무해한 웹 페이지를 반환하여 피싱 공격으로부터 보호할 수 있는 피싱 공격 방지 방법, 이를 수행하는 기록매체 및 장치를 제공하는 것이다.The present invention was created to solve the above problems, and the purpose of the present invention is to not only protect users from the first visit to an unknown phishing website, but also protect against phishing attacks by returning a harmless web page to the user. The goal is to provide a possible phishing attack prevention method, a recording medium, and a device for performing it.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 피싱 공격 방지 방법은, 핑거프린팅(Fingerprinting) 기반 은폐 기법을 이용하는 피싱 웹 사이트에 의한 피싱 공격으로부터 사용자 브라우저를 보호하기 위한 피싱 공격 방지 장치에서의 피싱 공격 방지 방법으로서, 상기 사용자 브라우저를 통해 URL(Uniform Resource Locator)에 접속하는 단계; 핑거프린팅에 기반한 클로킹(Cloaking)을 상기 사용자 브라우저에 설정하여 상기 사용자 브라우저를 크롤러(Crawler)로 위장시키는 단계; 및 상기 URL에 대응하는 피싱 웹 사이트로부터 웹 페이지 콘텐츠를 수신하는 단계를 포함한다. A phishing attack prevention method according to an embodiment of the present invention for achieving the above object is a phishing attack prevention device for protecting a user's browser from a phishing attack by a phishing website using a fingerprinting-based concealment technique. A method for preventing phishing attacks, comprising: accessing a URL (Uniform Resource Locator) through the user's browser; Disguising the user browser as a crawler by setting cloaking based on fingerprinting in the user browser; and receiving web page content from a phishing website corresponding to the URL.
그리고 상기 크롤러로 위장시키는 단계는, 상기 URL을 사전에 마련되는 블랙리스트와 비교하는 단계; 상기 URL이 상기 블랙리스트에 포함되면, 상기 URL의 접속을 차단시키는 단계; 및 상기 URL이 상기 블랙리스트에 미포함되면, 사전에 마련되는 핑거프린팅 데이터베이스를 쿼리하여 상기 URL의 과거 이력을 확인하는 단계를 포함할 수 있다. And the step of disguising it as a crawler includes comparing the URL with a blacklist prepared in advance; If the URL is included in the blacklist, blocking access to the URL; And if the URL is not included in the blacklist, it may include the step of checking the past history of the URL by querying a fingerprinting database prepared in advance.
또한 상기 크롤러로 위장시키는 단계에서는, 상기 과거 이력을 확인하는 단계에서 상기 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 확인되면, 상기 사용자 브라우저의 프로필을 유지하여 상기 사용자 브라우저를 상기 크롤러로 위장시키되, 상기 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 미확인되면, 상기 사용자 브라우저의 프로필을 변경하여 상기 사용자 브라우저를 상기 크롤러로 위장시킬 수 있다. In addition, in the step of disguising as a crawler, if a history of successfully preventing phishing attacks on the URL is confirmed in the step of checking the past history, the user browser is disguised as the crawler by maintaining the profile of the user browser. , if the history of successfully preventing phishing attacks against the URL is not confirmed, the profile of the user browser can be changed to disguise the user browser as the crawler.
그리고 상기 사용자 브라우저의 프로필을 변경하는 것은, 사전에 마련되는 안티 피싱 봇(Anti-phishing bot) 프로필 데이터베이스에 기초하여 상기 사용자 브라우저의 프로필에 포함되는 봇 프로필을 변경하는 것일 수 있다. And changing the profile of the user browser may mean changing the bot profile included in the profile of the user browser based on an anti-phishing bot profile database prepared in advance.
또한 상기 크롤러로 위장시키는 단계 이후에 상기 유지 또는 변경된 사용자 브라우저의 프로필을 포함하는 HTTP(HyperText Transfer Protocol)를 상기 피싱 웹 사이트의 서버 측으로 요청하는 단계를 더 포함할 수 있다. In addition, after the step of disguising itself as a crawler, the step of requesting HTTP (HyperText Transfer Protocol) including the maintained or changed profile of the user browser to the server of the phishing website may be further included.
그리고 상기 피싱 공격 방지 방법은, 상기 웹 페이지 콘텐츠를 수신하는 단계 이후 백그라운드에서 실행되는 분류 엔진을 이용하여 상기 웹 페이지 콘텐츠 중에 피싱 콘텐츠를 분류하는 단계; 및 접속한 상기 URL, 상기 변경된 사용자 브라우저의 프로필 및 상기 웹 페이지 콘텐츠의 분류 결과를 이용해 상기 핑거프린팅 데이터베이스를 업데이트하는 단계를 더 포함할 수도 있다. The method for preventing phishing attacks includes classifying phishing content among the web page content using a classification engine running in the background after receiving the web page content; And it may further include updating the fingerprint database using the accessed URL, the changed user browser profile, and a classification result of the web page content.
한편 상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 기록 매체는, 본 발명의 일 실시예에 따른 피싱 공격 방지 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 컴퓨터로 판독가능한 기록 매체이다. Meanwhile, a recording medium according to an embodiment of the present invention for achieving the above object is a computer-readable recording medium on which a computer program for performing a method for preventing phishing attacks according to an embodiment of the present invention is recorded.
한편 상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 피싱 공격 방지 장치는, 핑거프린팅(Fingerprinting) 기반 은폐 기법을 이용하는 피싱 웹 사이트에 의한 피싱 공격으로부터 사용자 브라우저를 보호하기 위한 피싱 공격 방지 장치로서, 상기 사용자 브라우저를 통해 URL에 접속하고, 상기 URL에 대응하는 피싱 웹 사이트로부터 웹 페이지 콘텐츠를 수신하는 통신부; 및 핑거프린팅에 기반한 클로킹(Cloaking)을 상기 사용자 브라우저에 설정하여 상기 사용자 브라우저를 크롤러(Crawler)로 위장시키는 제어부를 포함할 수 있다. Meanwhile, a phishing attack prevention device according to an embodiment of the present invention for achieving the above object is a phishing attack prevention device for protecting the user's browser from phishing attacks by phishing websites using a fingerprinting-based concealment technique. , a communication unit that accesses a URL through the user browser and receives web page content from a phishing website corresponding to the URL; And it may include a control unit that sets cloaking based on fingerprinting to the user's browser and disguises the user's browser as a crawler.
또한 상기 제어부는, 상기 URL을 사전에 마련되는 블랙리스트와 비교하는 비교부; 상기 URL이 상기 블랙리스트에 포함되면, 상기 URL의 접속을 차단시키는 차단부; 및 상기 URL이 상기 블랙리스트에 미포함되면, 사전에 마련되는 핑거프린팅 데이터베이스를 쿼리하여 상기 URL의 과거 이력을 확인하는 과거 이력확인부를 포함할 수 있다. Additionally, the control unit may include a comparison unit that compares the URL with a blacklist prepared in advance; a blocking unit that blocks access to the URL when the URL is included in the blacklist; And, if the URL is not included in the blacklist, it may include a past history confirmation unit that verifies the past history of the URL by querying a fingerprint database prepared in advance.
그리고 상기 제어부는, 상기 과거 이력확인부에서 상기 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 확인되면, 상기 사용자 브라우저의 프로필을 유지하여 상기 사용자 브라우저를 상기 크롤러로 위장시키되, 상기 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 미확인되면, 상기 사용자 브라우저의 프로필을 변경하여 상기 사용자 브라우저를 상기 크롤러로 위장시키는 프로필 관리부를 더 포함할 수 있다. And, when the past history check unit confirms the history of successfully preventing a phishing attack against the URL, the control unit maintains the profile of the user browser to disguise the user browser as the crawler, but prevents phishing attacks against the URL. If the history of successfully preventing an attack is not confirmed, it may further include a profile management unit that changes the profile of the user browser to disguise the user browser as the crawler.
또한 상기 프로필 관리부는, 사전에 마련되는 안티 피싱 봇(Anti-phishing bot) 프로필 데이터베이스에 기초하여 상기 사용자 브라우저의 프로필에 포함되는 봇 프로필을 변경할 수 있다. Additionally, the profile management unit may change the bot profile included in the profile of the user browser based on a pre-prepared anti-phishing bot profile database.
그리고 상기 제어부는, 상기 크롤러로 위장시킨 이후 상기 유지 또는 변경된 사용자 브라우저의 프로필을 포함하는 HTTP(HyperText Transfer Protocol)를 상기 피싱 웹 사이트의 서버 측으로 요청할 수 있다. And the control unit, after disguising itself as the crawler, may request HTTP (HyperText Transfer Protocol) including the maintained or changed user browser profile to the server of the phishing website.
또한 상기 제어부는, 상기 웹 페이지 콘텐츠를 수신하는 단계 이후 백그라운드에서 실행되는 분류 엔진을 이용하여 상기 웹 페이지 콘텐츠 중에 피싱 콘텐츠를 분류하는 분류부를 더 포함하고, 상기 제어부는, 접속한 상기 URL, 상기 변경된 사용자 브라우저의 프로필 및 상기 웹 페이지 콘텐츠의 분류 결과를 이용해 상기 핑거프린팅 데이터베이스를 업데이트할 수 있다. In addition, the control unit further includes a classification unit that classifies phishing content among the web page content using a classification engine running in the background after receiving the web page content, and the control unit is configured to classify the accessed URL, the changed The fingerprint database can be updated using the user browser profile and the classification results of the web page content.
상술한 본 발명의 일측면에 따르면, 피싱 공격 방지 방법, 이를 수행하는 기록매체 및 장치를 제공함으로써, 알려지지 않은 피싱 웹사이트의 최초 방문부터 사용자를 보호할 수 있는 것은 물론 사용자에게 무해한 웹 페이지를 반환하여 피싱 공격으로부터 보호할 수 있다. According to one aspect of the present invention described above, by providing a method for preventing phishing attacks, a recording medium and a device for performing the same, it is possible to protect users from the first visit to an unknown phishing website and return a web page that is harmless to the user. This can protect you from phishing attacks.
도 1은 피싱 웹 사이트에서 수행하는 서버 측 핑거프린팅 기반 클로킹의 일반적인 작동 프로세스를 도시한 도면, 1 is a diagram showing the general operating process of server-side fingerprinting-based cloaking performed on a phishing website;
도 2는 피싱 키트에서 IP, 호스트네임 및 User-Agent를 확인하는 핑거프린팅 기반 클로킹의 단순화된 PHP 코드 스니펫을 도시한 도면Figure 2 shows a simplified PHP code snippet of fingerprinting-based cloaking to verify IP, hostname, and User-Agent in a phishing kit.
도 3은 본 발명의 일 실시예에 따른 피싱 공격 방지 장치의 구성을 설명하기 위한 도면, 3 is a diagram for explaining the configuration of a phishing attack prevention device according to an embodiment of the present invention;
도 4는 본 발명의 일 실시예에 따른 피싱 공격 방지 방법을 설명하기 위한 흐름도, 4 is a flowchart illustrating a method for preventing phishing attacks according to an embodiment of the present invention;
도 5는 본 발명의 일 실시예에 따른 피싱 공격 방지 방법을 보다 구체적으로 설명하기 위한 흐름도, 그리고,Figure 5 is a flowchart for explaining in more detail a method for preventing phishing attacks according to an embodiment of the present invention, and
도 6a는 기본 브라우저가 방문했을 때 피싱 콘텐츠가 보여주는 콘텐츠, Figure 6a shows the content displayed by the phishing content when visited by the default browser;
도 6b 및 6c는 본 발명에 따른 브라우저가 피싱 웹 사이트를 방문했을 때 보여주는 콘텐츠, 6B and 6C show content displayed when a browser according to the present invention visits a phishing website;
도 7a 및 7b는 기본 브라우저 및 본 발명에 따른 브라우저가 일반 웹 사이트를 방문했을 때를 비교하는 도면, 7A and 7B are diagrams comparing a default browser and a browser according to the present invention when visiting a general website;
도 8a 및 도 8b는 기본 브라우저 및 본 발명에 따른 브라우저에서의 팝업 허용 결과를 설명하기 위한 도면이다. Figures 8a and 8b are diagrams for explaining pop-up permission results in a basic browser and a browser according to the present invention.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.The detailed description of the present invention described below refers to the accompanying drawings, which show by way of example specific embodiments in which the present invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the present invention are different from one another but are not necessarily mutually exclusive. For example, specific shapes, structures and characteristics described herein may be implemented in one embodiment without departing from the spirit and scope of the invention. Additionally, it should be understood that the location or arrangement of individual components within each disclosed embodiment may be changed without departing from the spirit and scope of the invention. Accordingly, the detailed description that follows is not intended to be taken in a limiting sense, and the scope of the invention is limited only by the appended claims, together with all equivalents to what those claims assert, if properly described. Similar reference numbers in the drawings refer to identical or similar functions across various aspects.
본 발명에 따른 구성요소들은 물리적인 구분이 아니라 기능적인 구분에 의해서 정의되는 구성요소들로써 각각이 수행하는 기능들에 의해서 정의될 수 있다. 각각의 구성요소들은 하드웨어 또는 각각의 기능을 수행하는 프로그램 코드 및 프로세싱 유닛으로 구현될 수 있을 것이며, 두 개 이상의 구성요소의 기능이 하나의 구성요소에 포함되어 구현될 수도 있을 것이다. 따라서 이하의 실시예에서 구성요소에 부여되는 명칭은 각각의 구성요소를 물리적으로 구분하기 위한 것이 아니라 각각의 구성요소가 수행되는 대표적인 기능을 암시하기 위해서 부여된 것이며, 구성요소의 명칭에 의해서 본 발명의 기술적 사상이 한정되지 않는 것임에 유의하여야 한다.The components according to the present invention are components defined by functional division rather than physical division, and can be defined by the functions each performs. Each component may be implemented as hardware or program code and processing units that perform each function, and the functions of two or more components may be included and implemented in one component. Therefore, the names given to the components in the following embodiments are not intended to physically distinguish each component, but are given to suggest the representative function performed by each component, and the names of the components refer to the present invention. It should be noted that the technical idea is not limited.
이하에서는 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described in more detail with reference to the drawings.
도 3은 본 발명의 일 실시예에 따른 피싱 공격 방지 장치(100)의 구성을 설명하기 위한 도면이다. Figure 3 is a diagram for explaining the configuration of a phishing attack prevention device 100 according to an embodiment of the present invention.
본 실시예에 따른 피싱 공격 방지 장치(100, 이하 장치)는 핑거프린팅(Fingerprinting) 기반 은폐 기법을 이용하는 피싱 웹 사이트에 의한 피싱 공격으로부터 사용자 브라우저를 보호하기 위해 마련된다. The phishing attack prevention device 100 (hereinafter referred to as device) according to this embodiment is provided to protect the user's browser from phishing attacks by phishing websites that use fingerprinting-based concealment techniques.
이를 위해 본 실시예에 따른 장치(100)는 통신부(110), 저장부(130) 및 제어부(150)를 포함할 수 있다. 그리고 장치(100)는 피싱 공격 방지 방법을 수행하기 위한 소프트웨어(어플리케이션)가(이) 설치되어 실행될 수 있으며, 통신부(110), 저장부(130) 및 제어부(150)는 피싱 공격 방지 방법을 수행하기 위한 소프트웨어(어플리케이션)에 의해 제어될 수 있다. To this end, the device 100 according to this embodiment may include a communication unit 110, a storage unit 130, and a control unit 150. In addition, the device 100 may have software (application) installed and executed to perform a phishing attack prevention method, and the communication unit 110, storage unit 130, and control unit 150 may perform a phishing attack prevention method. It can be controlled by software (application) to do this.
이때 장치(100)는 별도의 단말이거나 또는 단말의 일부 모듈일 수 있다. 또한, 통신부(110), 저장부(130) 및 제어부(150)의 구성은 통합 모듈로 형성되거나, 하나 이상의 모듈로 이루어질 수 있다. 그러나, 이와 반대로 각 구성은 별도의 모듈로 이루어질 수도 있다. At this time, the device 100 may be a separate terminal or a partial module of the terminal. Additionally, the communication unit 110, storage unit 130, and control unit 150 may be formed as an integrated module or may be comprised of one or more modules. However, on the contrary, each component may be comprised of a separate module.
또한 장치(100)는 이동성을 갖거나 고정될 수 있다. 이러한 장치(100)는, 서버(server) 또는 엔진(engine) 형태일 수 있으며, 디바이스(device), 기구(apparatus), 단말(terminal), UE(user equipment), MS(mobile station), 무선기기(wireless device), 휴대기기(handheld device) 등 다른 용어로 불릴 수 있다. 그리고 장치(100)는 운영체제(Operation System; OS), 즉 시스템을 기반으로 다양한 소프트웨어를 실행하거나 제작할 수 있다. 여기서 운영체제는 소프트웨어가 장치의 하드웨어를 사용할 수 있도록 하기 위한 시스템 프로그램으로서, 안드로이드 OS, iOS, 윈도우 모바일 OS, 바다 OS, 심비안 OS, 블랙베리 OS 등 모바일 컴퓨터 운영체제 및 윈도우 계열, 리눅스 계열, 유닉스 계열, MAC, AIX, HP-UX 등 컴퓨터 운영체제를 모두 포함할 수 있다.Additionally, device 100 may be mobile or fixed. This device 100 may be in the form of a server or engine, and may be a device, apparatus, terminal, user equipment (UE), mobile station (MS), or wireless device. It may be called by other terms such as (wireless device) or handheld device. And the device 100 can execute or produce various software based on an operating system (OS), that is, a system. Here, the operating system is a system program that allows software to use the hardware of the device, and includes mobile computer operating systems such as Android OS, iOS, Windows Mobile OS, Bada OS, Symbian OS, and Blackberry OS, as well as Windows, Linux, and Unix systems. It can include all computer operating systems such as MAC, AIX, and HP-UX.
먼저 통신부(110)는 각종 정보를 송수신하기 위해 마련된다. First, the communication unit 110 is provided to transmit and receive various information.
이러한 본 실시예에 따른 통신부(110)는 사용자 브라우저를 통해 사용자가 URL에 접속가능하도록 할 수 있다.The communication unit 110 according to this embodiment can enable the user to access the URL through the user browser.
그리고 통신부(110)는 사용자 브라우저를 통해 입력된 URL에 대응하는 피싱 웹 사이트로부터 웹 페이지 콘텐츠를 수신할 수 있다.And the communication unit 110 may receive web page content from a phishing website corresponding to the URL entered through the user's browser.
저장부(130)는 피싱 공격 방지 방법을 수행하기 위한 프로그램이 기록된다. 또한 제어부(150)가 처리하는 데이터를 일시적 또는 영구적으로 저장하며, 휘발성 저장매체 또는 비휘발성 저장매체를 포함할 수 있으나, 본 발명의 범위가 이에 한정되는 것은 아니다. The storage unit 130 records a program for performing a phishing attack prevention method. In addition, the data processed by the control unit 150 is stored temporarily or permanently, and may include a volatile storage medium or a non-volatile storage medium, but the scope of the present invention is not limited thereto.
그리고 저장부(130)는 피싱 공격 방지 방법을 수행하면서 누적되는 데이터가 저장된다. And the storage unit 130 stores data accumulated while performing a phishing attack prevention method.
이러한 저장부(130)는 핑거프린팅 데이터베이스부(131) 및 안티 피싱 봇(Anti-phishing bot) 프로필 데이터베이스를 포함할 수 있다. This storage unit 130 may include a fingerprint database unit 131 and an anti-phishing bot profile database.
핑거프린팅 데이터베이스부(131)는 URL을 처리한 이력인 URL 과거 이력을 저장하기 위해 마련될 수 있다. 그리고 핑거프린팅 데이터베이스부(131)는 제어부(150)에서 처리한 정보에 따라 업데이트될 수 있다. The fingerprint database unit 131 may be provided to store URL past history, which is the URL processing history. And the fingerprint database unit 131 may be updated according to the information processed by the control unit 150.
이러한 핑거프린팅 데이터베이스부(131)는 개인 정보 보호를 위해 사용자 간의 방문 기록을 공유하지 않도록 로컬에서 작동할 수 있다. This fingerprint database unit 131 may operate locally to prevent sharing of visit records between users to protect personal information.
또한 핑거프린팅 데이터베이스부(131)는 사용자의 개인 정보를 유지하면서 중앙 집중식 서버를 통해 URL 과거 이력을 공유하도록 마련될 수 있다. Additionally, the fingerprint database unit 131 may be configured to share URL past history through a centralized server while maintaining the user's personal information.
한편 안티 피싱 봇 프로필 데이터베이스부(133)는 사용자 브라우저의 프로필을 변경할 수 있도록 하는 정보를 저장하기 위해 마련될 수 있다. Meanwhile, the anti-phishing bot profile database unit 133 may be provided to store information that allows changing the profile of the user's browser.
여기서 프로필은 핑거프린팅 인식 가능한 속성 및 해당 값의 집합으로 정의될 수 있다. 예컨대, 한 프로필에는 봇이 있는 User-Agent 문자열, 빈 Referrer 또는 AWS IP 주소가 포함될 수 있다. 이러한 프로필은 대상 웹 사이트에서 대한 적절한 HTTP 요청을 생성하는데 사용된다. Here, a profile can be defined as a set of fingerprint-recognizable attributes and their values. For example, one profile might contain a User-Agent string with a bot, an empty Referrer, or an AWS IP address. These profiles are used to generate appropriate HTTP requests to the target website.
이에 피싱 웹 사이트, 즉 피셔(Phisher)가 핑거프린팅 기반 은폐에 새로운 핑거프린팅을 추가할 때마다 이러한 속성을 안티 피싱 봇 프로필 데이터베이스부(133)에 저장할 수 있다. Accordingly, whenever a phishing website, that is, a phisher, adds a new fingerprint to the fingerprint-based concealment, these attributes can be stored in the anti-phishing bot profile database unit 133.
즉, 안티 피싱 봇 프로필 데이터베이스부(133)는 사용자 브라우저를 크롤러(Crawler)로 위장시킬 수 있도록 하는 프로필을 저장할 수 있다. 이러한 크롤러로 위장시킬 수 있는 프로필은 도 2에 도시된 피싱 키트에서 추출하여 저장할 수 있다. That is, the anti-phishing bot profile database unit 133 can store a profile that allows the user's browser to be disguised as a crawler. A profile that can be disguised as such a crawler can be extracted and stored from the phishing kit shown in FIG. 2.
또한 저장부(130)는 피싱 방지 시스템에서 유지 관리하는 블랙리스트를 저장할 수도 있다. 물론 이는 예시적 사항으로서 피싱 방지 시스템에서 유지 관리하는 블랙리스트는 통신부(110)를 통해 실시간으로 수신할 수도 있다. Additionally, the storage unit 130 may store a blacklist maintained by an anti-phishing system. Of course, this is an example, and the blacklist maintained by the anti-phishing system may be received in real time through the communication unit 110.
한편 제어부(150)는 피싱 공격 방지 방법을 제공하는 전체 과정을 제어하기 위해 마련된다. Meanwhile, the control unit 150 is provided to control the entire process of providing a method to prevent phishing attacks.
그리고 제어부(150)는 핑거프린팅에 기반한 클로킹(Cloaking)을 사용자 브라우저에 설정하여 사용자 브라우저를 크롤러(Crawler)로 위장시킬 수 있다. Additionally, the control unit 150 can set cloaking based on fingerprinting on the user's browser to disguise the user's browser as a crawler.
이를 위해 제어부(150)는 비교부(151), 차단부(153), 과거 이력 확인부(155), 프로필 관리부(157)를 포함할 수 있다. For this purpose, the control unit 150 may include a comparison unit 151, a blocking unit 153, a past history confirmation unit 155, and a profile management unit 157.
비교부(151)는 사용자 브라우저를 통해 접속하고자 하는 URL을 블랙리스트와 비교할 수 있다. The comparison unit 151 can compare the URL to be accessed through the user's browser with the blacklist.
그리고 차단부(153)는 해당 URL이 블랙리스트에 포함되면, URL의 접속을 차단시킬 수 있다. And the blocking unit 153 can block access to the URL if the URL is included in the blacklist.
이러한 차단부(153)는 해당 URL이 블랙리스트에 포함되면, 식별력을 높일 수 있는 피싱 경로를 출력하여 액세스를 완전히 차단할 수 있다. If the corresponding URL is included in the blacklist, the blocking unit 153 can completely block access by outputting a phishing route that can increase identification.
과거 이력 확인부(155)는 해당 URL이 블랙리스트에 미포함되면, 핑거프린팅 데이터베이스부(131)를 쿼리하여 해당 URL의 과거 이력을 확인할 수 있다. If the URL is not included in the blacklist, the past history confirmation unit 155 may query the fingerprint database unit 131 to check the past history of the URL.
프로필 관리부(157)는 과거 이력 확인부(155)에서 해당 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 확인되면, 사용자 브라우저의 프로필을 과거에 사용한 프로필로 유지하여 사용자 브라우저를 크롤러로 위장시킨다. If the past history confirmation unit 155 confirms the history of successfully preventing phishing attacks on the URL, the profile management unit 157 maintains the profile of the user's browser as a profile used in the past and disguises the user's browser as a crawler.
그리고 프로필 관리부(157)는 해당 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 미확인되면, 피싱 웹 사이트에서 핑거프린팅 기반 클로킹을 트리거하도록 사용자 브라우저의 프로필을 변경함으로써 사용자 브라우저를 크롤러로 위장시킬 수 있다. And if the profile management unit 157 does not confirm the history of successfully preventing phishing attacks for the URL, the user browser can be disguised as a crawler by changing the profile of the user browser to trigger fingerprinting-based cloaking on the phishing website. .
프로필 관리부(157)가 프로필을 변경하여 사용자 브라우저를 크롤러로 위장시키는 것은, 안티 피싱 봇 프로필 데이터베이스부(133)에 기초하여 사용자 브라우저의 프로필에 포함되는 봇 프로필을 변경하는 것일 수 있다. When the profile management unit 157 changes the profile to disguise the user's browser as a crawler, it may mean changing the bot profile included in the user browser's profile based on the anti-phishing bot profile database unit 133.
구체적으로 프로필 관리부(157)는 User-Agent HTTP 헤더와 같은 프로필의 항목을 수정하거나 변경할 수 있다. Specifically, the profile management unit 157 can edit or change profile items such as the User-Agent HTTP header.
일반적으로 피싱 방지 크롤러는 아래의 표 1과 같이 User-Agent HTTP 헤더에 "봇(bot)" 및 "크롤러(crawler)" 또는 "Google" 및 "Facebook"과 같은 회사 이름을 포함한다. Anti-phishing crawlers typically include "bot" and "crawler" or company names such as "Google" and "Facebook" in the User-Agent HTTP header, as shown in Table 1 below.
Figure PCTKR2023012749-appb-img-000001
Figure PCTKR2023012749-appb-img-000001
표 1은 도 2와 같은 적어도 하나 이상의 피싱 키트를 분석한 결과에서 나타난 상위 10개의 민감한 단어의 리스트를 예시적으로 나타낸 표이다. 따라서 프로필 관리부(157)는 표 1에 기재된 피싱 키트에서 자동으로 추출한 트리거 단어를 사전에 구비하고, 이를 통해 프로필을 변경함으로써 사용자 브라우저를 크롤러로 위장시킬 수 있다. Table 1 is an exemplary table showing a list of the top 10 sensitive words that appeared as a result of analyzing at least one phishing kit as shown in FIG. 2. Therefore, the profile management unit 157 is equipped with trigger words automatically extracted from the phishing kit listed in Table 1 in advance, and can disguise the user's browser as a crawler by changing the profile using these.
또한 본 실시예에 따른 프로필 관리부(157)는 피싱 방지 크롤러, 봇 및 서버 측 클로킹 상태에 따라 사용자 프로필을 변형시키는 더 많은 트리거 단어를 허용하도록 마련될 수도 있다. Additionally, the profile management unit 157 according to this embodiment may be arranged to allow more trigger words to modify the user profile according to anti-phishing crawlers, bots, and server-side cloaking conditions.
또한 프로필 관리부(157)는 Referrer HTTL 헤더를 수정하거나 변경할 수 있다. 일반적으로 잠재적 피해자인 사용자는 피셔의 피싱 미끼(Phishing lures)를 통해 피싱 웹 사이트에 접속한다. 따라서 피셔는 피싱 미끼가 아닌 모든 방문을 차단할 수 있다. Additionally, the profile management unit 157 can edit or change the Referrer HTTP header. Typically, users who are potential victims access phishing websites through the phisher's phishing lures. Therefore, phishers can block all visits that are not phishing bait.
따라서 프로필 관리부(157)는 선택적으로 프록시 서버를 활용하여 사용자의 IP 주소를 위장시킬 수 있다. Therefore, the profile management unit 157 can optionally disguise the user's IP address by using a proxy server.
보다 구체적으로 상술한 표 1과 같이 피싱 키트를 분석한 결과에 따르면 피셔가 일부 피싱 방지 크롤러가 AWS EC2를 사용한다고 추론했기 때문에 AWS EC2의 프록시 서버는 유용할 것이라고 판단되므로, 프로필 관리부(157)는 프록시 서버를 활용할 수 있다. More specifically, according to the results of analyzing the phishing kit as shown in Table 1 above, the proxy server of AWS EC2 would be useful because the phisher inferred that some anti-phishing crawlers use AWS EC2, so the profile management unit 157 You can use a proxy server.
이 경우 프로필 관리부(157)는 위장한 IP 주소를 통해 요청을 프록시 할 수 있고, 프록시 서버는 핑거프린팅 기반의 은폐된 피싱 웹 사이트를 피하는데 도움이 될 수 있다. In this case, the profile management unit 157 can proxy the request through a disguised IP address, and the proxy server can help avoid hidden phishing websites based on fingerprinting.
또한 프로필 관리부(157)는 프로필을 변경하는 과정에서 안티 피싱 봇 프로필 데이터베이스부(133)의 트리거 단어 하나를 표 1의 인기 순서에 따라 User-Agent 문자열에 추가할 수 있다. Additionally, in the process of changing the profile, the profile management unit 157 may add one trigger word from the anti-phishing bot profile database unit 133 to the User-Agent string according to the popularity order in Table 1.
그리고 프로필 관리부(157)는 동일한 URL에 대해 성공하지 못한 트리거 단어는 사용하지 않고, 참조 페이지를 없음(헤더 제거)로 설정할 수 있다. Additionally, the profile management unit 157 may not use trigger words that are not successful for the same URL and may set the referring page to none (header removal).
또한 프로필 관리부(157)는 선택적으로 IP/호스트네임을 변경하는 경우, 가장 많이 차단된 IP 범위 중 하나에 있는 프록시 서버로 요청을 다시 라우팅할 수 있다. Additionally, the profile manager 157 can optionally reroute the request to a proxy server in one of the most blocked IP ranges when changing the IP/hostname.
따라서 제어부(150)는, 프로필 관리부(157)를 통해 사용자 브라우저를 크롤러로 위장시킨 이후 브라우저의 프로필을 포함하는 HTTP(HyperText Transfer Protocol)를 피싱 웹 사이트의 서버 측으로 요청할 수 있다.Therefore, the control unit 150 can disguise the user's browser as a crawler through the profile management unit 157 and then request HTTP (HyperText Transfer Protocol) including the browser's profile to the server of the phishing website.
이에 따라 제어부(150)는 서버에서 HTTP 응답을 수신할 수 있다. Accordingly, the control unit 150 can receive an HTTP response from the server.
또한 제어부(150)는 분류부(159)를 더 포함할 수 있다. Additionally, the control unit 150 may further include a classification unit 159.
분류부(159)는 HTTP 요청을 통해 웹 페이지 콘텐츠를 수신한 이후 백그라운드에서 실행되는 분류 엔진을 이용하여 피싱 콘텐츠를 분류할 수 있다. The classification unit 159 may classify phishing content using a classification engine running in the background after receiving web page content through an HTTP request.
구체적으로 제어부(150)는 웹 페이지 콘텐츠를 수신한 후, 페이지 렌더링 지연을 방지하기 위해 백그라운드에서 실행되는 분류 엔진을 사용하여 의심스러운 콘텐츠가 있는지 확인할 수 있다. Specifically, after receiving web page content, the control unit 150 may check whether there is suspicious content using a classification engine running in the background to prevent page rendering delays.
이렇게 분류부(159)가 의심스러운 콘텐츠를 분류하는 것은 프로필 관리부(157)에서 변경된 프로필이 클로킹을 유발하는데 효과적인지를 확인하기 위함이다. The reason why the classification unit 159 classifies suspicious content in this way is to check whether the profile changed in the profile management unit 157 is effective in causing cloaking.
그리고 제어부(150)는 접속한 URL, 변경된 사용자 브라우저의 프로필 및 웹 페이지 콘텐츠의 분류 결과를 이용해 핑거프린팅 데이터베이스부(131)를 업데이트할 수 있다.And the control unit 150 can update the fingerprint database unit 131 using the accessed URL, the changed user browser profile, and the classification result of the web page content.
이하에서는 본 실시예에 따른 장치(100)가 사용자 브라우저를 크롤러로 위장시킨 후 HTTP 응답을 받은 경우 4가지의 가능성에 대해서 설명하기로 한다.Below, four possibilities will be described when the device 100 according to this embodiment receives an HTTP response after disguising the user's browser as a crawler.
첫번째는 서버가 무해하고 무해한 콘텐츠로 응답하는 경우, 두번째는 서버가 무해하고 의심스러운 콘텐츠로 응답하는 경우, 세번째는 서버가 악성이고 무해한 콘텐츠(예컨대 오류 페이지, 또는 무해한 웹 사이트로의 리디렉션 등)로 응답하는 경우, 마지막은 서버가 악성이고 의심스러운 콘텐츠로 응답하는 경우이다. The first is when the server is harmless and responds with harmless content, the second is when the server is harmless and responds with suspicious content, and the third is when the server is malicious and responds with harmless content (such as an error page or a redirect to a harmless website, etc.). When responding, the last is when the server is malicious and responds with suspicious content.
이를 판단하는 기준은 로그인 양식, 사용자 이름이나 비밀번호와 같이 민감한(피싱) 단어, 제출 버튼과 같은 기능의 존재 유무로써, 이러한 기능이 없을 때마다 성공적으로 피싱 공격을 방지한 것으로 간주할 수 있다. The criteria for determining this are the presence or absence of features such as login forms, sensitive (phishing) words such as user names or passwords, and submit buttons. Whenever these features are absent, phishing attacks can be considered successfully prevented.
예컨대 본 장치(100)는 해당 URL이 무해한지 유해한지 알지 못하는 상황에서 사용자가 처음으로 무해한 paypal.com을 방문하는 경우 프로필 관리부(157)에서 프로필을 변경하고, paypal을 반환받기 때문에 웹 페이지에는 여전히 사용자 이름 및 비밀번호 필드를 포함된다. 이 경우 장치(100)는 여전히 민감한 단어를 포함하므로 피싱 공격 방지를 성공하지 못한 것으로 간주될 수 있다. For example, when the user visits the harmless paypal.com for the first time in a situation where the device 100 does not know whether the URL is harmless or harmful, the profile management unit 157 changes the profile, and paypal is returned, so the web page is still displayed. Includes username and password fields. In this case, device 100 still contains sensitive words, so preventing phishing attacks may be considered unsuccessful.
마찬가지로 사용자가 클로킹이 포함되지 않은 paypal-cerify.com과 같은 paypal 피싱 페이지를 방문하는 경우 장치(100)는 프로필을 변경시키지만 여전히 피싱 웹 페이지를 수신하므로 제어부(150)는 상술한 이유와 마찬가지로 피싱 공격 방지를 성공하지 못한 것으로 간주될 수 있다. Likewise, if the user visits a paypal phishing page such as paypal-cerify.com that does not involve cloaking, the device 100 changes the profile but still receives the phishing web page, so the control unit 150 is not aware of the phishing attack for the same reason as described above. Prevention can be considered unsuccessful.
이상의 4가지의 가능성 중 첫번째(무해한 서버 및 콘텐츠)인 경우 사용자에게 보안 위험이 없으므로 장치(100)는 피싱 공격 방지를 성공한 것으로 간주할 수 있다. In the case of the first of the above four possibilities (harmless server and content), there is no security risk to the user, so the device 100 can regard the prevention of the phishing attack as successful.
두번째(무해한 서버 및 의심스러운 콘텐츠)는 사용자가 로그인 양식, 민감한 단어 및 제출버튼과 같은 피싱과 유사한 기능이 포함된 무해한 웹 사이트를 방문할 때 발생하는 경우일 수 있다. 이러한 웹 사이트는 피싱 웹 사이트와 구별할 수 없는 경우가 많다. 따라서 장치(100)는 로그인 양식이 있는 모든 알려지지 않은 웹 사이트를 의심스러운 것으로 분류하여 피싱 공격 방지를 성공하지 못한 것으로 간주할 수 있다. 따라서 장치(100)는 의심스러운 콘텐츠 분류에서는 의심스러운 것으로 결정하고 변형은 실패로 표시할 수 있다. The second (harmful servers and suspicious content) may occur when a user visits a harmless website that contains phishing-like features such as login forms, sensitive words, and submit buttons. These websites are often indistinguishable from phishing websites. Accordingly, the device 100 may classify all unknown websites with login forms as suspicious, thereby rendering phishing attack prevention unsuccessful. Accordingly, the device 100 may determine the suspicious content to be suspicious and mark the modification as a failure in the suspicious content classification.
한편 세번째(악성 서버 및 무해한 콘텐츠)의 경우에는 서버는 은폐 기법을 사용하여 악의적이며 장치(100)를 통한 URL 방문을 안티 피싱 봇 방문으로 판단하게 된다. 따라서 이 경우 피싱 웹 사이트는 오류 웹 페이지를 반환하거나 정상적인 웹 사이트로 방문을 리디렉션하게 된다. 이에 결과적으로 장치(100)는 피싱 웹 사이트에서 핑거프린팅 기반 클로킹 기술을 트리거하여 사용자가 피싱 콘텐츠를 보는 것을 성공적으로 방지할 수 있게 된다. Meanwhile, in the third case (malicious server and harmless content), the server is malicious using a concealment technique and determines that a URL visit through the device 100 is a visit to an anti-phishing bot. Therefore, in this case, the phishing website returns an error web page or redirects the visit to a normal website. As a result, the device 100 can successfully prevent users from viewing phishing content by triggering fingerprinting-based cloaking technology on phishing websites.
네번째(악성 서버 및 의심스러운 콘텐츠)의 경우에는 피싱 웹 사이트는 핑거프린팅 기반 클로킹을 수행하지 않거나, 프로필이 핑거프린팅 기반 클로킹을 트리거하지 못한 경우일 수 있다. In the fourth case (malicious servers and suspicious content), the phishing website may not perform fingerprinting-based cloaking, or the profile may not trigger fingerprinting-based cloaking.
전자의 경우 본 장치(100)는 어떠한 클로킹 행위도 트리거할 수 없으므로 피싱 공격 방지를 실패한 것으로 간주할 수 있다. 하지만 이 경우 피싱 웹 사이트가 피싱 방지 시스템에서 신속하게 탐지될 수 있으며, 이와 관련하여서는 도 6 내지 도 8과 함께 후술하기로 한다. In the former case, the device 100 cannot trigger any cloaking actions, so it can be considered to have failed to prevent phishing attacks. However, in this case, the phishing website can be quickly detected by the phishing prevention system, and this will be described later with reference to FIGS. 6 to 8.
후자의 경우 본 장치(100)는 핑거프린팅 기반 클로킹을 트리거하기 위해 해당 URL에 대한 추후 방문 시 도움이 되도록 실패한 프로필을 저장할 수 있다. 브라우저의 관점에서 해당 경우에는 두번째(무해한 서버 및 의심스러운 콘텐츠)의 경우와 동일하므로 서버가 악성인지 무해한지 알 수 없으므로 단순히 URL을 차단할 수는 없다. In the latter case, the device 100 may save the failed profile to aid in future visits to that URL to trigger fingerprinting-based cloaking. From the browser's perspective, that case is the same as the second case (harmful server and suspicious content), so it can't simply block the URL because it doesn't know whether the server is malicious or harmless.
도 4는 본 발명의 일 실시예에 따른 피싱 공격 방지 방법을 설명하기 위한 흐름도로써, 본 발명의 일 실시예에 따른 피싱 공격 방지 방법은 도 3에 도시된 피싱 공격 장치(100)와 실질적으로 동일한 구성 상에서 진행되므로, 도 3의 피싱 공격 장치(100)와 동일한 구성요소에 대해 동일한 도면 부호를 부여하고, 반복되는 설명은 생략하기로 한다. FIG. 4 is a flowchart illustrating a method for preventing phishing attacks according to an embodiment of the present invention. The method for preventing phishing attacks according to an embodiment of the present invention is substantially the same as the phishing attack device 100 shown in FIG. 3. Since this is done in terms of configuration, the same reference numerals will be assigned to the same components as those of the phishing attack device 100 of FIG. 3, and repeated descriptions will be omitted.
본 피싱 공격 방지 방법은 URL에 접속하는 단계(S110), 사용자 브라우저를 크롤러로 위장시키는 단계(S130) 및 웹 페이지 콘텐츠를 수신하는 단계(S150)를 포함한다. This phishing attack prevention method includes the step of accessing a URL (S110), disguising the user's browser as a crawler (S130), and receiving web page content (S150).
URL에 접속하는 단계(S110)에서는 통신부(110)가 사용자 브라우저를 통해 URL에 접속할 수 있다. In the step of accessing the URL (S110), the communication unit 110 can access the URL through the user's browser.
사용자 브라우저를 크롤러로 위장시키는 단계(S130)에서는 제어부(150)가 핑거프린팅에 기반한 클로킹(Cloaking)을 사용자 브라우저에 설정하여 사용자 브라우저를 크롤러(Crawler)로 위장시킬 수 있다. In the step of disguising the user's browser as a crawler (S130), the control unit 150 can disguise the user's browser as a crawler by setting cloaking based on fingerprinting on the user's browser.
이러한 사용자 브라우저를 크롤러로 위장시키는 단계(S130)에서는 제어부(150)가 URL을 사전에 마련되는 블랙리스트와 비교할 수 있다. In the step of disguising the user's browser as a crawler (S130), the control unit 150 may compare the URL with a blacklist prepared in advance.
그리고 사용자 브라우저를 크롤러로 위장시키는 단계(S130)에서는 제어부(150)가 URL이 상기 블랙리스트에 포함되면, URL의 접속을 차단시킬 수 있다. And in the step of disguising the user's browser as a crawler (S130), if the URL is included in the blacklist, the control unit 150 may block access to the URL.
또한 사용자 브라우저를 크롤러로 위장시키는 단계(S130)에서는 제어부(150)가 URL이 블랙리스트에 미포함되면, 사전에 마련되는 핑거프린팅 데이터베이스부(131)를 쿼리하여 URL의 과거 이력을 확인할 수 있다. Additionally, in the step of disguising the user's browser as a crawler (S130), if the URL is not included in the blacklist, the control unit 150 can check the past history of the URL by querying the fingerprint database unit 131 prepared in advance.
그리고 사용자 브라우저를 크롤러로 위장시키는 단계(S130)에서는 제어부(150)가 과거 이력을 확인한 결과, URL에 대한 피싱 공격을 성공적으로 방지한 이력이 확인되면, 사용자 브라우저의 프로필을 피싱 공격으로 성공한 프로필로 유지하여 사용자 브라우저를 크롤러로 위장시킬 수 있다. And in the step of disguising the user's browser as a crawler (S130), if the control unit 150 checks the past history and confirms a history of successfully preventing phishing attacks on URLs, the profile of the user's browser is changed to a profile that successfully prevents phishing attacks. By maintaining this, the user's browser can be disguised as a crawler.
또한 사용자 브라우저를 크롤러로 위장시키는 단계(S130)에서는 제어부(150)가 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 미확인되면, 제어부(150)가 사용자 브라우저의 프로필을 변경하여 사용자 브라우저를 크롤러로 위장시킬 수 있다. Additionally, in the step of disguising the user browser as a crawler (S130), if the control unit 150 does not confirm the history of successfully preventing phishing attacks on URLs, the control unit 150 changes the profile of the user browser to transform the user browser into a crawler. It can be disguised.
그리고 사용자 브라우저를 크롤러로 위장시키는 단계(S130)에서 사용자 브라우저의 프로필을 변경하는 것은, 제어부(150)가 사전에 마련되는 안티 피싱 봇 프로필 데이터베이스부(133)에 기초하여 사용자 브라우저의 프로필에 포함되는 봇 프로필을 변경하는 것일 수 있다. In the step of disguising the user browser as a crawler (S130), changing the profile of the user browser means that the control unit 150 changes the profile of the user browser based on the anti-phishing bot profile database unit 133 prepared in advance. This could be changing the bot profile.
그리고 본 실시예에 따른 피싱 공격 방지 방법은, 사용자 브라우저를 크롤러로 위장시키는 단계(S130) 이후에 제어부(150)가 유지 또는 변경된 사용자 브라우저의 프로필을 포함하는 HTTP(HyperText Transfer Protocol)를 피싱 웹 사이트의 서버 측으로 요청하는 단계를 더 포함할 수 있다. In the method of preventing phishing attacks according to this embodiment, after the step of disguising the user's browser as a crawler (S130), the control unit 150 transmits HTTP (HyperText Transfer Protocol) including the profile of the user's browser that has been maintained or changed to the phishing website. It may further include a request step to the server side.
웹 페이지 콘텐츠를 수신하는 단계(S150)에서는, 제어부(150)가 URL에 대응하는 피싱 웹 사이트로부터 웹 페이지 콘텐츠를 수신할 수 있다. In the step of receiving web page content (S150), the control unit 150 may receive web page content from the phishing website corresponding to the URL.
또한 피싱 공격 방지 방법은, 웹 페이지 콘텐츠를 수신하는 단계(S150) 이후 피싱 콘텐츠를 분류하는 단계 및 핑거프린팅 데이터베이스부(131)를 업데이트 하는 단계를 더 포함할 수 있다. Additionally, the method for preventing phishing attacks may further include classifying phishing content and updating the fingerprint database unit 131 after receiving web page content (S150).
피싱 콘텐츠를 분류하는 단계는, 제어부(150)가 백그라운드에서 실행되는 분류 엔진을 이용하여 웹 페이지 콘텐츠 중에 피싱 콘텐츠를 분류하는 단계일 수 있다. The step of classifying phishing content may be a step in which the control unit 150 classifies phishing content among web page content using a classification engine running in the background.
그리고 핑거프린팅 데이터베이스부(131)를 업데이트하는 단계는, 제어부(150)가 접속한 URL, 변경된 사용자 브라우저의 프로필 및 웹 페이지 콘텐츠의 분류 결과를 이용해 핑거프린팅 데이터베이스를 업데이트할 수 있다. In the step of updating the fingerprint database unit 131, the fingerprint database may be updated using the URL accessed by the control unit 150, the changed user browser profile, and the classification result of web page content.
도 5는 본 발명의 일 실시예에 따른 피싱 공격 방지 방법을 보다 구체적으로 설명하기 위한 흐름도이다. Figure 5 is a flowchart to explain in more detail a method for preventing phishing attacks according to an embodiment of the present invention.
먼저 장치(100)는 브라우저를 이용해 URL에 접속할 수 있다(S210). First, the device 100 can access the URL using a browser (S210).
그리고 장치(100)는 실시간으로 Google safe Browsing 또는 Microsoft SmartScreen과 같은 상용 URL 블랙리스트를 이용하여 해당 URL이 블랙리스트에 포함되는지 판단할 수 있다(S220). And the device 100 can determine in real time whether the corresponding URL is included in the blacklist using a commercial URL blacklist such as Google Safe Browsing or Microsoft SmartScreen (S220).
만약 해당 URL이 블랙리스트에 포함되면(S220-Yes), 장치(100)는 해당 URL의 접속을 차단시킬 수 있다(S225). If the URL is included in the blacklist (S220-Yes), the device 100 can block access to the URL (S225).
반면 해당 URL이 블랙리스트에 미포함되면(S220-No), 장치(100)는 핑거프린팅 데이터베이스부(131)를 쿼리하여 이전에 해당 URL을 처리했는지를 확인한다(S230). On the other hand, if the URL is not included in the blacklist (S220-No), the device 100 queries the fingerprint database unit 131 to check whether the URL has been processed previously (S230).
해당 URL을 처리한 이력이 있고, 이전에 성공적으로 피싱 공격을 방지하였으면(S230-Yes), 장치(100)는 처리한 이력에 기초한 프로필을 유지할 수 있다(S235). If there is a history of processing the URL and the phishing attack was previously successfully prevented (S230-Yes), the device 100 can maintain a profile based on the processing history (S235).
만약 해당 URL을 처리한 이력이 없거나 피싱 공격을 방지하지 못했으면(S230-No), 장치(100)는 안티 피싱 봇 프로필 데이터베이스부(133)에 저장된 프로필 정보를 이용해 프로필을 변경할 수 있다(S240). If there is no history of processing the URL or the phishing attack cannot be prevented (S230-No), the device 100 can change the profile using the profile information stored in the anti-phishing bot profile database unit 133 (S240). .
이후 장치(100)는 유지 또는 변경된 프로필을 통해 피싱 웹 사이트 서버 측으로 HTTP를 요청할 수 있다(S245). Thereafter, the device 100 may request HTTP to the phishing website server through the maintained or changed profile (S245).
그리고나서 장치(100)는 피싱 웹 사이트로부터 HTTP에 대한 응답으로 웹 페이지 콘텐츠를 수신할 수 있다. Device 100 may then receive web page content in response to HTTP from the phishing website.
또한 장치(100)는 백그라운드에서 실행되는 분류 엔진을 사용하여 의심스러운 콘텐츠가 있는지 확인할 수 있다(S255).Additionally, the device 100 may check whether there is suspicious content using a classification engine running in the background (S255).
이와 같은 본 발명의 피싱 공격 방지 방법은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. The phishing attack prevention method of the present invention can be implemented in the form of program instructions that can be executed through various computer components and recorded on a computer-readable recording medium. The computer-readable recording medium may include program instructions, data files, data structures, etc., singly or in combination.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. Program instructions recorded on the computer-readable recording medium may be specially designed and configured for the present invention, or may be known and usable by those skilled in the computer software field.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD 와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, and magneto-optical media such as floptical disks. media), and hardware devices specifically configured to store and perform program instructions, such as ROM, RAM, flash memory, etc.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Examples of program instructions include not only machine language code such as that created by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules to perform processing according to the invention and vice versa.
도 6 내지 도 8은 본 발명의 일 실시예에 따른 피싱 공격 방지 방법의 효과를 설명하기 위한 도면이다.6 to 8 are diagrams for explaining the effectiveness of a method for preventing phishing attacks according to an embodiment of the present invention.
본 발명의 피싱 공격 방지 방법을 평가하기 위해 크롬(Chrome) 브라우저 확장 프로그램으로 본 장치(100)를 구현하였으며, 효과, 대기 시간 및 기능 영향이라는 세 가지 관점에서 평가를 진행하였다. In order to evaluate the phishing attack prevention method of the present invention, the present device 100 was implemented as a Chrome browser extension, and evaluation was conducted from three perspectives: effectiveness, waiting time, and functional impact.
이러한 관점은 고도의 피싱 웹 사이트를 성공적으로 회피하고 사용자 탐색에 무시할 수 있는 대기 시간을 도입하여 손상을 일으키지 않기 때문에 실제로 본 방법의 프레임워크의 실행 가능성을 보여준다. This perspective demonstrates the feasibility of our framework in practice, as it successfully evades highly phishing websites and does not cause damage by introducing negligible latency to user navigation.
피싱 공격 방지 방법의 효과를 테스트하기 위해 악성 데이터 세트와 양성 데이터 세트를 사용하였다. Malicious and benign data sets were used to test the effectiveness of the phishing attack prevention method.
보다 구체적으로 유효성 평가를 위해 악성 데이터 세트로는 보고된 피싱 URL의 큐레이팅된 데이터 세트인 APWG(Anti-Phishing Working Group) URL 피드를 사용하여 2020년 11월부터 2021년 7월까지 160,728개의 라이브 피싱 웹 사이트를 방문하였다. 그리고 APWG 데이터 세트에서 또 다른 8,474개의 라이브 피싱 웹 사이트를 활용하여 IP 변경, 즉 프로필 변경의 효과를 평가했다. More specifically, for effectiveness evaluation, the malicious dataset included 160,728 live phishing webs from November 2020 to July 2021 using the Anti-Phishing Working Group (APWG) URL feed, a curated dataset of reported phishing URLs. Visited the site. We then used another 8,474 live phishing websites in the APWG dataset to evaluate the effectiveness of IP changes, or profile changes.
한편 본 발명의 피싱 공격 방지 방법이 양성 웹 사이트에 미치는 영향을 평가하기 위해 양성 데이터 세트로 Alexa Top One Million Domain List의 629,843개 도메인에서 무작위로 선택된 60,848개의 양성 도메인 데이터 세트를 수집하였다. Meanwhile, to evaluate the impact of the phishing attack prevention method of the present invention on benign websites, a data set of 60,848 positive domains randomly selected from 629,843 domains in the Alexa Top One Million Domain List was collected as a positive data set.
그리고 기본 브라우저와 본 발명의 피싱 공격 방지 방법을 수행하기 위한 애플리케이션이 반영된 브라우저(이하 본 브라우저)를 이용해 동일한 피싱 웹 사이트를 방문하여 피싱 공격 방지 방법의 효율성을 평가했다. Then, the effectiveness of the phishing attack prevention method was evaluated by visiting the same phishing website using the default browser and a browser reflecting the application for performing the phishing attack prevention method of the present invention (hereinafter referred to as this browser).
기본 브라우저 및 본 브라우저를 이용한 피싱 URL 방문은 APWG 데이터 세트에서 가져왔다. Phishing URL visits using default and main browsers are taken from the APWG data set.
트리거 단어 선택이 결과에 미치는 영향을 줄이기 위해 각 URL에 대해 본 브라우저는 407개의 트리거 단어, 참조자 헤더 및 IP 프록시가 없는 임의의 트리거 단어가 있는 프로필을 사용하였다. 피싱 키트 동작 분석에 따라 클로킹 규칙이 일치하면 클로킹이 트리거되기 때문에 간단한 프로필을 사용하였다. To reduce the impact of trigger word selection on the results, for each URL, our browser used a profile with 407 trigger words, a random trigger word without a referrer header, and no IP proxy. A simple profile was used because cloaking is triggered when the cloaking rule matches according to the phishing kit behavior analysis.
또한 각 트리거 단어의 효율성을 평가하고 IP 주소 프록시의 효율성을 평가하였으며, 그리고 URL을 방문할 때마다 최종 방문 웹 페이지 콘텐츠와 URL을 기록하였다. We also evaluated the effectiveness of each trigger word, evaluated the effectiveness of IP address proxies, and recorded the URL and content of the last visited web page each time a URL was visited.
그 결과 2020년 11월부터 2021년 7월까지 APWG에서 160,728개의 피싱 URL에 대한 실험에서 132,247개(82.28%)가 본 브라우저에서 악성 콘텐츠를 포함하지 않았다. As a result, in APWG's experiments on 160,728 phishing URLs from November 2020 to July 2021, 132,247 (82.28%) did not contain malicious content in the browser viewed.
그리고 본 브라우저의 HTTP 응답이 (1)기본 브라우저에 표시되는 웹 페이지와 다르고 (2)"피싱" 단어나 잘못된 형식과 같은 의심스러운 콘텐츠가 포함되어 있지 않은 경우 CANTINA+ 콘텐츠 기능 재구현에 따라 정상으로 간주하였다. And, if this browser's HTTP response (1) differs from the web page displayed in the default browser and (2) does not contain suspicious content such as "phishing" words or malformations, it is considered healthy under the CANTINA+ content feature reimplementation. did.
도 6은 클로킹된 피싱 웹 사이트에 대한 기본 브라우저를 통한 방문과 본 브라우저를 통한 방문 간의 응답 웹 페이지 콘텐츠의 차이를 도시한 도면이다. Figure 6 is a diagram illustrating the difference in response web page content between a visit to a cloaked phishing website through a default browser and a visit through the main browser.
도 6a의 콘텐츠는 기본 브라우저가 방문했을 때 피싱 콘텐츠가 보여주는 콘텐츠이다. The content in Figure 6a is the content displayed by phishing content when the default browser visits.
한편 본 브라우저가 임의의 트리거 단어를 포함하도록 HTTP 프로필을 변경하고 참조자 헤더를 제거하면 피싱 웹 사이트는 도 6b의 오류 웹 페이지를 보여주었다. Meanwhile, when the browser changed the HTTP profile to include random trigger words and removed the referrer header, the phishing website displayed the error web page in Figure 6b.
또한 본 브라우저에서는 다른 피싱 웹 사이트는 방문자를 오류 페이지를 반환하는 대신 무해한 URL로 리디렉션하였다. 이러한 방식으로 본 브라우저는 성공적인 회피를 나타내는 도 6c에 표시된 웹 페이지 콘텐츠를 수신하였다. Additionally, other phishing websites in this browser redirected visitors to a benign URL instead of returning them to an error page. In this way the browser received the web page content shown in Figure 6C, indicating a successful evasion.
이 결과는 본 발명이 핑거프린팅 기반 클로킹 기술을 통해 사용자를 피싱 방지 엔티티로 위장하고 사용자가 피싱 사이트에서 콘텐츠를 피싱하는 것을 방지할 수 있음을 보여준다. These results show that the present invention can disguise users as anti-phishing entities through fingerprinting-based cloaking technology and prevent users from phishing content from phishing sites.
그리고 사용자는 무해한 콘텐츠(오류 페이지 또는 무해한 URL)를 보기 때문에 피싱 공격에 노출되지 않으므로 피싱 공격의 피해자가 되는 것을 사전에 방지할 수 있다. 이는 피싱 URL을 처음 방문한 사용자인 경우에도 마찬가지이다. And because users view harmless content (error pages or harmless URLs), they are not exposed to phishing attacks, thus preventing them from becoming victims of phishing attacks. This also applies to users who visit a phishing URL for the first time.
이하에서는 핑거프린팅 기반 클로킹 기법을 실제로 트리거하는 각 트리거 단어의 유효성을 평가한 결과에 대해 설명하기로 한다. Below, we will describe the results of evaluating the effectiveness of each trigger word that actually triggers the fingerprinting-based cloaking technique.
트리거 단어는 도 2의 피싱 키트 분석을 통해 검색되며 트리거 단어, 참조자 헤더 없음, IP 프록시 없음으로 구성된 다른 프로필을 사용하여 각 피싱 웹 사이트를 방문하여 모든 트리거 단어를 테스트하였다. Trigger words are retrieved through the phishing kit analysis in Figure 2, and all trigger words are tested by visiting each phishing website using different profiles consisting of no trigger word, no referrer header, and no IP proxy.
평가를 위해 각 프로필에는 하나의 트리거 단어만 포함하였기 때문에, 하나의 프로필은 하나의 트리거 단어를 의미한다.For evaluation purposes, each profile included only one trigger word, so one profile means one trigger word.
유효성 평가와 유사하게 기본 브라우저를 사용하여 웹 사이트를 방문하여 비교하였으며, 916개의 피싱 웹 사이트에서 평가를 수행하였다. Similar to the effectiveness evaluation, websites were visited and compared using the default browser, and evaluation was performed on 916 phishing websites.
그 결과 725개의 피싱 웹 사이트에서는 본 브라우저와 기본 브라우저 사이의 트리거 단어 하나 이상에서 웹 페이지를 다르게 표시하는 것을 확인하였다. As a result, it was confirmed that 725 phishing websites display web pages differently in one or more trigger words between the main browser and the default browser.
725개의 클로킹된 피싱 웹 사이트에서 각 트리거 단어는 서로 다른 회피 기능을 가지고 있다. In 725 cloaked phishing websites, each trigger word has a different evasion function.
하기의 표 2는 피싱 콘텐츠를 성공적으로 회피한 상위 10개의 트리거 단어의 결과이다. Table 2 below shows the results of the top 10 trigger words that successfully avoided phishing content.
Figure PCTKR2023012749-appb-img-000002
Figure PCTKR2023012749-appb-img-000002
표 2를 통해 알 수 있듯이, 봇(bot)이라는 단어는 피싱 웹 사이트 회피가 가장 많다. 즉 클로킹된 피싱 웹 사이트의 99.31%는 User-Agent에 봇을 추가하여 회피할 수 있다. 표 1의 인기 순위와 비교할 때 본 발명의 발명자가 조사한 피싱 키트에서 가장 많이 차단된 단어이기도 하다. As can be seen in Table 2, the word bot is most often avoided by phishing websites. In other words, 99.31% of cloaked phishing websites can be avoided by adding a bot to the User-Agent. Compared to the popularity ranking in Table 1, it is also the most blocked word in the phishing kit investigated by the inventor of the present invention.
실제로 이 단어의 효과는 피싱 키트에서 인기가 있음을 확인하였고, 마찬가지로 "amazonaws", "phishtank" 및 "google"은 피싱 키트에서도 많이 사용된다. In fact, the effect of this word has been confirmed to be popular in phishing kits, and similarly, "amazonaws", "phishtank", and "google" are also frequently used in phishing kits.
흥미로운 점은 "봇"과 "amazonaws"가 결합되어 핑거프린팅 기반 클로킹 기술을 사용하는 모든 피싱 웹 사이트에서 클로킹을 유발할 수 있다는 것이다. What's interesting is that "bots" and "amazonaws" combined can cause cloaking on any phishing website that uses fingerprinting-based cloaking techniques.
이 결과는 트리거 단어가 핑거프린팅 기반 클로킹 기술을 통해 피싱 웹사이트를 효과적으로 회피할 수 있음을 보여준다. These results show that trigger words can effectively evade phishing websites through fingerprinting-based cloaking technology.
또한 소수의 트리거 단어로 무수히 많은 은폐된 피싱 웹 사이트를 피할 수 있다. You can also avoid countless hidden phishing websites with just a few trigger words.
또한 본 피싱 공격 방지 방법은, User-Agent 및 Referrer 헤더를 모두 변경하여 80% 이상의 회피율을 달성하였다. 이를 위해 피싱 웹 사이트의 동일한 데이터 세트를 방문하는 세 가지 다른 브라우저, 즉 (1) User-Agent 문자열(UA)만 변경하는 본 브라우저인 UA 브라우저, (2) Referrer만 변경하는 본 브라우저인 REF 브라우저 그리고 (3) 일반 브라우저를 통해 평가를 수행하였다. Additionally, this phishing attack prevention method achieved an evasion rate of over 80% by changing both the User-Agent and Referrer headers. To achieve this, three different browsers visit the same dataset of phishing websites: (1) the UA browser, which is the native browser that only changes the User-Agent string (UA), (2) the REF browser, which is the native browser that only changes the Referrer, and (3) Evaluation was performed through a general browser.
이 평가에서 위의 세 가지 브라우저를 사용하여 4,905개의 피싱 웹 사이트를 방문하였다. 그리고 분석은 UA 브라우저와 REF 브라우저의 각 웹 사이트 웹 페이지 콘텐츠를 일반 브라우저의 웹 페이지 콘텐츠와 각각 비교하였다. In this evaluation, 4,905 phishing websites were visited using the three browsers above. In addition, the analysis compared the web page content of each website in the UA browser and REF browser with the web page content in the general browser.
따라서 의심스러운 콘텐츠가 포함되지 않은 UA 브라우저 또는 REF 브라우저의 웹 페이지 수를 탐지할 수 있다. Therefore, it is possible to detect the number of web pages in UA Browser or REF Browser that do not contain suspicious content.
방문한 피싱 웹사이트 중 UA 브라우저는 4,028개, REF 브라우저는 16개를 회피하였다. 제한된 수의 피싱 키트에 Referrer 검사가 포함되어 있기 때문에 본 브라우저는 Referrer만 변경하여 소량의 피싱 웹 사이트를 피할 수 있었다. Among the visited phishing websites, UA browser avoided 4,028 and REF browser avoided 16. Because a limited number of phishing kits include Referrer checking, our browser was able to avoid a small number of phishing websites by only changing the Referrer.
피셔가 향후 피싱 키트에서 참조자를 확인할 수 있기 때문에 참조자를 본 브라우저의 옵션으로 고려한다. Consider referrers as an option in this browser because phishers can check them in future phishing kits.
그리고 Referrer와 User-Agent를 결합하면 피싱 웹 사이트의 82.44%를 피할 수 있다. 이러한 결과는 본 브라우저가 User-Agent 헤더만 변경하는 것이 Referrer만 변경하는 것보다 더 많은 피싱 웹 사이트를 회피할 수 있음을 보여준다. And by combining Referrer and User-Agent, 82.44% of phishing websites can be avoided. These results show that this browser can avoid more phishing websites by changing only the User-Agent header than by changing only the Referrer.
한편 본 발명이 User-Agent 및 Referrer 헤더를 변경하여 피싱 웹 사이트의 80% 이상에서 피싱 콘텐츠를 성공적으로 회피할 수 있지만 IP 주소 변경의 효율성을 함께 분석하였다. Meanwhile, although the present invention can successfully avoid phishing content in more than 80% of phishing websites by changing the User-Agent and Referrer headers, the effectiveness of changing the IP address was also analyzed.
따라서 우리는 기본 User-Agent 헤더와 Referrer 헤더가 있지만 Amazon AWS IP 주소가 있는 서버를 통해 연결을 프록시한 본 브라우저의 프로필로 또 다른 실험을 수행하였다. Therefore, we performed another experiment with this browser's profile, which had the default User-Agent and Referrer headers, but proxyed the connection through a server with an Amazon AWS IP address.
프록시 서버 옵션은 개인 정보에 영향을 줄 수 있으므로 기본적으로 이 옵션을 해제합니다. 사용자는 개인 정보 관련 내용을 읽고 이해하고 동의한 경우에만 본 브라우저에서 이 기능을 사용하도록 선택할 수 있다. 이 실험에서 8,474개의 피싱 웹 사이트를 사용하였으며, 기본 브라우저와 본 브라우저(프로파일에 따라 IP 주소만 변경)에서 해당 웹 사이트를 방문했다. The proxy server option may affect your privacy, so turn it off by default. You may choose to use this feature in your browser only if you have read, understood, and agreed to the privacy statements. In this experiment, 8,474 phishing websites were used, and the websites were visited in both the default browser and the main browser (only the IP address changed depending on the profile).
그런 다음 두 방문에서 각 피싱 웹 사이트의 웹 페이지 콘텐츠를 비교하여 본 브라우저의 웹 페이지에 의심스러운 콘텐츠가 포함되어 있지 않은지 감지했다. 방문한 피싱 사이트 중 본 브라우저는 프록시 서버를 통해 88.98%(7,540개)를 회피했다.We then compared the web page content of each phishing website across the two visits to detect whether the browser's web pages contained suspicious content. Of the phishing sites visited, this browser evaded 88.98% (7,540) through proxy servers.
따라서 본 브라우저는 IP, User-Agent 또는 Referrer 클로킹을 구현하는 피싱 웹 사이트를 피할 수 있다. 피셔는 미래에 새로운 클로킹 기술을 설계할 수 있지만 본 발명은 핑거프린팅 기능을 추가할 수 있도록 확장 가능한 프레임워크로 설계되었다.This allows this browser to avoid phishing websites that implement IP, User-Agent, or Referrer cloaking. Fisher may design new cloaking technologies in the future, but the invention was designed as an extensible framework so that fingerprinting capabilities could be added.
다음으로 사용자가 정상적인 웹 사이트를 방문할 때 본 브라우저가 사용자 경험에 미치는 영향을 살펴보았다. Next, we looked at the impact of the browser on the user experience when the user visits a normal website.
설계상 본 브라우저는 데이터베이스 쿼리, HTTP 프로필 변경 및 반환된 콘텐츠 검사로 인해 HTTP 요청에 대기 시간을 도입할 수 있다. 데이터베이스 쿼리, 프로필 변경, 콘텐츠 검사의 세 가지 관점에서 본 브라우저의 대기 시간을 측정하는 실험을 수행했다. By design, this browser can introduce latency into HTTP requests due to database queries, HTTP profile changes, and inspection of returned content. We conducted an experiment to measure the browser's latency from three perspectives: database queries, profile changes, and content inspection.
브라우저 확장이 웹 성능에 미치는 영향을 분석하는 exthouse를 테스트 벤치로 사용했으며 여기에는 5가지 주요 측정이 포함되어 있으며, 이는 다음과 같다. We used exthouse as a test bench to analyze the impact of browser extensions on web performance, and it includes five key measurements, which are:
(1) TTI(Time to Interactive): 페이지가 확장 프로그램과 완전히 상호 작용하는 데 걸리는 시간, (2) 첫 번째 입력 지연(FID Δ): 사용자가 웹 사이트와 처음 상호 작용한 때부터 브라우저가 해당 상호 작용에 대한 응답으로 실제로 이벤트 핸들러 처리를 시작할 수 있는 시간까지의 시간, (3) 스크립팅 시간(Scripting Δ): 확장 프로그램에서 JavaScript가 실행되는 시간, (4) Long Task(추가된 Long Task): 이 값은 확장에 의해 추가된 Long Task의 합계를 나타내며 Long Task는 메인 스레드를 50ms 이상 차단하는 작업으로 정의, 그리고 (5) 추가 CPU 소비(추가 CPU 시간): 브라우저가 방문하는 각 URL에 대한 확장의 추가 CPU 소비.(1) Time to Interactive (TTI): the time it takes for the page to be fully interacted with the extension; (2) First Input Delay (FID Δ): from the time the user first interacts with the website, the browser The time until the event handler can actually start processing in response to the action; (3) Scripting time (Scripting Δ): the time the JavaScript is executed in the extension; (4) Long Task (added Long Task): The value represents the sum of Long Tasks added by the extension, where a Long Task is defined as a task that blocks the main thread for more than 50ms, and (5) Additional CPU consumption (additional CPU time): of the extension for each URL visited by the browser. Additional CPU consumption.
해당 요소가 낮을수록 성능이 더 우수한 것이다. The lower the factor, the better the performance.
그리고 exthouse는 확장에 대한 점수를 생성하며, 점수가 높을수록 확장 프로그램의 성능이 우수함을 나타낸다.And exthouse generates a score for the extension, with a higher score indicating better performance of the extension.
Figure PCTKR2023012749-appb-img-000003
Figure PCTKR2023012749-appb-img-000003
표 3은 정상 및 악성 웹 사이트를 방문할 때 상위 10개 Chrome 확장 프로그램 및 본 브라우저(Spartacus)의 외부 점수를 나타낸 표이다. Table 3 shows the external scores of the top 10 Chrome extensions and the main browser (Spartacus) when visiting benign and malicious websites.
절반은 양성이고 절반은 악성인 100개의 웹 사이트에서 이러한 확장 프로그램을 테스트하고 평균을 메트릭에 사용하였다. 본 브라우저(Spartacus)는 양성 웹 사이트를 방문할 때 20ms FID, 0 스크립팅 델타 및 800ms TTI를 기준으로 100점을 받았다. 악성 웹 사이트를 방문하는 본 브라우저(Spartacus)의 지표도 다른 인기 있는 확장 프로그램의 지표를 능가함을 알 수 있다. We tested these extensions on 100 websites, half benign and half malicious, and used the average for our metrics. Our browser (Spartacus) received a score of 100 based on 20ms FID, 0 scripting delta, and 800ms TTI when visiting benign websites. It can be seen that the indicators of the main browser (Spartacus) visiting malicious websites also exceed those of other popular extensions.
악성 웹 사이트와 상호 작용하는 데 시간이 더 오래 걸리더라도 본 브라우저(Spartacus)는 프로필을 변경하는 데 시간이 필요하므로 다른 확장 프로그램보다 여전히 짧은 시간이다. 예를 들어 Avira Browser Safety(ABS)는 웹 사이트가 안전하지 않은 경우 사용자에게 경고하는 확장 기능으로, 악성 웹 사이트를 방문할 때 긴 작업과 추가 CPU 시간을 추가한다. Even though it takes longer to interact with a malicious website, this is still less time than other extensions as Spartacus requires time to change profiles. For example, Avira Browser Safety (ABS) is an extension that warns users if a website is not safe, adding lengthy operations and additional CPU time when visiting malicious websites.
이 평가 결과는 본 브라우저(Spartacus)가 웹 브라우징에 최소한의 오버헤드를 추가한다는 것을 보여준다. The results of this evaluation show that our browser (Spartacus) adds minimal overhead to web browsing.
검사 결과 본 브라우저(Spartacus)는 인기 있는 Chrome 확장 프로그램을 능가하며 다른 확장 프로그램에 비해 웹 사이트 성능에 미치는 영향이 미미한 것으로 나타났다.Test results show that Spartacus outperforms popular Chrome extensions and has a minimal impact on website performance compared to other extensions.
또한 본 발명의 피싱 공격 방지 방법은 무해한 URL 방문에 대한 부정적인 영향을 최소화하는 것이 중요하다. 이러한 영향에는 웹 사이트 액세스 기능, 웹 사이트 레이아웃의 올바른 표시 및 올바른 웹 사이트 기능이 포함될 수 있다.Additionally, it is important for the phishing attack prevention method of the present invention to minimize the negative impact of visiting harmless URLs. These impacts may include website accessibility, correct display of website layout and correct website functionality.
양성 웹 사이트의 기능을 평가하기 위해 각 URL에 대해 본 브라우저는 임의의 트리거 단어, 참조자 헤더 및 IP 프록시가 없는 프로필을 사용했다.To evaluate the functionality of benign websites, for each URL, this browser used a profile without any trigger words, referrer headers, and IP proxies.
구체적으로 본 발명의 프레임워크가 무해한 도메인의 대규모 크롤링에 대한 결과의 자동 분석을 통해 웹 사이트 또는 웹 사이트 레이아웃에 대한 액세스에 부정적인 영향을 미치는지 평가하였다. Specifically, we evaluated whether our framework would have a negative impact on access to a website or website layout through automatic analysis of the results of large-scale crawling of innocuous domains.
이를 위해 Alexa Top One Million Domain List의 629,843개 URL에서 60,848개(9.66%)를 무작위로 샘플링하여 기본 브라우저와 본 브라우저에서 방문했다.For this purpose, 60,848 (9.66%) of the 629,843 URLs in the Alexa Top One Million Domain List were randomly sampled and visited in the default and native browsers.
사용자의 브라우저와 유사한 기존 세션이 있는 두 브라우저를 모두 사용하여 방문하고, 결과 웹 페이지 스크린샷과 방문한 URL의 HTML 유사성을 비교하였으며, 그 결과는 하기의 표 4와 같다. We visited using both browsers with existing sessions similar to the user's browser, and compared the HTML similarity of the resulting web page screenshots and visited URLs. The results are shown in Table 4 below.
Figure PCTKR2023012749-appb-img-000004
Figure PCTKR2023012749-appb-img-000004
0.25%(150)는 다른 레이아웃을 사용하고 0.20%(124)는 본 브라우저에 대한 액세스를 차단합니다.0.25% (150) use a different layout and 0.20% (124) block access to this browser.
먼저 본 브라우저가 기본 브라우저와 다른 레이아웃을 표시하는 이유를 확인하기 위해 결과를 수동으로 조사했다. 기본 브라우저 방문과 본 브라우저 방문 간에 스크린샷과 HTML이 서로 다르지만 이러한 차이가 웹 사이트 사용에 영향을 주지 않는다는 사실을 발견했다.First, we manually examined the results to determine why our browser displayed a different layout than the default browser. Although the screenshots and HTML are different between default and native browser visits, we found that these differences did not affect the use of the website.
도 7 및 도 8은 기본 브라우저와 본 브라우저 방문 간의 브라우저 렌더링의 일반적인 차이점을 보여준다. 예를 들어 웹 페이지는 도 7a에 도시된 기본 브라우저 방문과 도 7b에 도시된 본 브라우저 방문 간의 스크린샷 유사성 측면에서 다르게 렌더링된다. Figures 7 and 8 show general differences in browser rendering between default browser and native browser visits. For example, a web page is rendered differently in terms of screenshot similarity between the default browser visit shown in Figure 7A and the main browser visit shown in Figure 7B.
여기서 도 7a 및 도 7b 간의 차이점은 버튼의 모양, 다른 배경색 및 콘텐츠 간격이다. Here, the differences between Figures 7a and 7b are the shape of the button, different background color, and content spacing.
도 8을 참조하면, 도 8a의 기본 브라우저에서는 쿠키 사용 권한을 요청하는 창이 팝업되지만, 도 9b의 본 브라우저를 통한 방문에서는 해당 팝업이 허용되지 않았다.Referring to FIG. 8, a window requesting permission to use cookies pops up in the default browser in FIG. 8a, but the pop-up is not allowed when visiting through the main browser in FIG. 9b.
도 8b의 본 브라우저에서 누락된 쿠키 요청 팝업은 확장 프로그램 때문이 아니며, 다른 기본 브라우저에서 10번 방문했을 때 팝업이 세 번만 나타났다.The missing cookie request pop-up in our browser in Figure 8b was not caused by an extension; the pop-up only appeared three times in 10 visits in a different default browser.
한편 무해한 웹 사이트에 대한 본 발명의 잠재적 영향을 추가로 평가하기 위해 Alexa Top One Million Domain List에 있는 629,843개의 무해한 웹 사이트를 방문하는 실험을 수행했다.Meanwhile, to further evaluate the potential impact of the present invention on harmless websites, an experiment was conducted by visiting 629,843 harmless websites on the Alexa Top One Million Domain List.
실험을 통해 3,023개(0.48%)의 무해한 웹 사이트만이 액세스를 차단하거나 본 브라우저에 다른 웹 페이지 레이아웃을 표시한다는 사실을 발견했다.Through our experiments, we found that only 3,023 (0.48%) harmless websites blocked access or displayed a different web page layout in the browser.
이 결과는 대부분의 무해한 웹 사이트가 본 브라우저의 방문을 차단하지 않고 정상적인 방문과 다른 웹 페이지 콘텐츠를 본 브라우저에 전달하지 않는다는 이전 결과를 확인한 것이다. This result confirms previous results showing that most harmless websites do not block visits by the browser and do not deliver web page content to the browser that is different from normal visits.
그리고 일부 정상 웹 사이트는 Cloudflare 및 Akamai와 같은 웹 호스팅 서비스를 기반으로 구축되며 서비스에는 DDoS 방지 및 크롤링 방지와 같은 보안 메커니즘이 포함되어 있다.And some legitimate websites are built on web hosting services such as Cloudflare and Akamai, whose services include security mechanisms such as anti-DDoS and anti-crawling.
따라서 사용자가 본 브라우저의 보호를 받아 이러한 웹 사이트를 성공적으로 방문할 수 있도록 하기 위해 본 브라우저를 사용하여 5,000개의 Cloudflare 기반 및 5,000개의 Akamai 기반 무해한 웹 사이트를 방문했다.Therefore, to ensure that you are protected by this browser and can successfully visit these websites, we used this browser to visit 5,000 Cloudflare-powered and 5,000 Akamai-powered benign websites.
총 10,000개의 웹 사이트 중 99.86%를 성공적으로 방문할 수 있었고, 14개의 양성 사이트에 액세스할 수 없었다.Of the total 10,000 websites, 99.86% could be visited successfully, and 14 benign sites were inaccessible.
이는 주로 웹 사이트 소유자가 CDN을 통해 트래픽 필터링 메커니즘을 사용하기 때문이며, 이렇게 낮은 허위 회피율로 사용자는 CDN에서 호스팅되는 대부분의 정상 웹 사이트를 성공적으로 방문할 수 있음을 확인하였다.This is mainly because website owners use traffic filtering mechanisms through CDNs, and we confirmed that with such a low false evasion rate, users can successfully visit most legitimate websites hosted on CDNs.
잘못 회피된 무해한 웹 사이트를 본 브라우저의 제공자에게 보고할 수 있으며, 본 브라우저의 제공자는 이를 비동기식으로 검사하고 본 브라우저가 기본 프로필을 사용하여 웹 사이트를 방문하도록 강제할 수도 있다.Incorrectly avoided, harmless websites may be reported to your browser's provider, which may scan them asynchronously and force your browser to visit websites using the default profile.
이상에서는 본 발명의 다양한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.Although various embodiments of the present invention have been shown and described above, the present invention is not limited to the specific embodiments described above, and may be used in the technical field to which the invention pertains without departing from the gist of the invention as claimed in the claims. Of course, various modifications can be made by those skilled in the art, and these modifications should not be understood individually from the technical idea or perspective of the present invention.
[부호의 설명][Explanation of symbols]
100 : 피싱 공격 방지 장치 110 : 통신부100: Phishing attack prevention device 110: Communication Department
130 : 저장부 131 : 핑거프린팅 데이터베이스부130: storage unit 131: fingerprint database unit
133 : 안티 피싱 봇 프로필 데이터베이스부133: Anti-phishing bot profile database section
150 : 제어부 151 : 비교부150: control unit 151: comparison unit
153 : 차단부 155 : 과거 이력 확인부 153: Blocking unit 155: Past history confirmation unit
157 : 프로필 관리부 159 : 분류부157: Profile management department 159: Classification department

Claims (13)

  1. 핑거프린팅(Fingerprinting) 기반 은폐 기법을 이용하는 피싱 웹 사이트에 의한 피싱 공격으로부터 사용자 브라우저를 보호하기 위한 피싱 공격 방지 장치에서의 피싱 공격 방지 방법에 있어서, In the method of preventing phishing attacks in a phishing attack prevention device to protect a user's browser from phishing attacks by phishing websites using fingerprinting-based concealment techniques,
    상기 사용자 브라우저를 통해 URL(Uniform Resource Locator)에 접속하는 단계; Accessing a URL (Uniform Resource Locator) through the user browser;
    핑거프린팅에 기반한 클로킹(Cloaking)을 상기 사용자 브라우저에 설정하여 상기 사용자 브라우저를 크롤러(Crawler)로 위장시키는 단계; 및 Disguising the user browser as a crawler by setting cloaking based on fingerprinting in the user browser; and
    상기 URL에 대응하는 피싱 웹 사이트로부터 웹 페이지 콘텐츠를 수신하는 단계를 포함하는, 피싱 공격 방지 방법. A method for preventing phishing attacks, comprising receiving web page content from a phishing website corresponding to the URL.
  2. 제1항에 있어서, According to paragraph 1,
    상기 크롤러로 위장시키는 단계는, The step of disguising it as a crawler is,
    상기 URL을 사전에 마련되는 블랙리스트와 비교하는 단계; Comparing the URL with a blacklist prepared in advance;
    상기 URL이 상기 블랙리스트에 포함되면, 상기 URL의 접속을 차단시키는 단계; 및 If the URL is included in the blacklist, blocking access to the URL; and
    상기 URL이 상기 블랙리스트에 미포함되면, 사전에 마련되는 핑거프린팅 데이터베이스를 쿼리하여 상기 URL의 과거 이력을 확인하는 단계를 포함하는, 피싱 공격 방지 방법. If the URL is not included in the blacklist, a method for preventing phishing attacks, including the step of checking the past history of the URL by querying a fingerprint database prepared in advance.
  3. 제2항에 있어서, According to paragraph 2,
    상기 크롤러로 위장시키는 단계에서는, In the step of disguising it as a crawler,
    상기 과거 이력을 확인하는 단계에서 상기 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 확인되면, 상기 사용자 브라우저의 프로필을 유지하여 상기 사용자 브라우저를 상기 크롤러로 위장시키되 In the step of checking the past history, if the history of successfully preventing phishing attacks against the URL is confirmed, the profile of the user browser is maintained and the user browser is disguised as the crawler.
    상기 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 미확인되면, 상기 사용자 브라우저의 프로필을 변경하여 상기 사용자 브라우저를 상기 크롤러로 위장시키는, 피싱 공격 방지 방법.A method for preventing phishing attacks, where the user browser is disguised as the crawler by changing the profile of the user browser when the history of successfully preventing phishing attacks against the URL is not confirmed.
  4. 제3항에 있어서, According to paragraph 3,
    상기 사용자 브라우저의 프로필을 변경하는 것은, Changing the profile of the user's browser,
    사전에 마련되는 안티 피싱 봇(Anti-phishing bot) 프로필 데이터베이스에 기초하여 상기 사용자 브라우저의 프로필에 포함되는 봇 프로필을 변경하는 것인, 피싱 공격 방지 방법.A method of preventing phishing attacks, wherein the bot profile included in the profile of the user's browser is changed based on an anti-phishing bot profile database prepared in advance.
  5. 제3항에 있어서, According to paragraph 3,
    상기 크롤러로 위장시키는 단계 이후에 상기 유지 또는 변경된 사용자 브라우저의 프로필을 포함하는 HTTP(HyperText Transfer Protocol)를 상기 피싱 웹 사이트의 서버 측으로 요청하는 단계를 더 포함하는, 피싱 공격 방지 방법.A method for preventing phishing attacks, further comprising requesting HTTP (HyperText Transfer Protocol) including the maintained or changed profile of the user browser to the server of the phishing website after disguising it as a crawler.
  6. 제5항에 있어서, According to clause 5,
    상기 피싱 공격 방지 방법은, The method for preventing the phishing attack is,
    상기 웹 페이지 콘텐츠를 수신하는 단계 이후 백그라운드에서 실행되는 분류 엔진을 이용하여 상기 웹 페이지 콘텐츠 중에 피싱 콘텐츠를 분류하는 단계; 및 After receiving the web page content, classifying phishing content among the web page content using a classification engine running in the background; and
    접속한 상기 URL, 상기 변경된 사용자 브라우저의 프로필 및 상기 웹 페이지 콘텐츠의 분류 결과를 이용해 상기 핑거프린팅 데이터베이스를 업데이트하는 단계를 더 포함하는, 피싱 공격 방지 방법.A method for preventing phishing attacks, further comprising updating the fingerprint database using the accessed URL, the changed user browser profile, and a classification result of the web page content.
  7. 제1항에 따른 피싱 공격 방지 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 컴퓨터로 판독가능한 기록 매체. A computer-readable recording medium on which a computer program for performing the method for preventing phishing attacks according to claim 1 is recorded.
  8. 핑거프린팅(Fingerprinting) 기반 은폐 기법을 이용하는 피싱 웹 사이트에 의한 피싱 공격으로부터 사용자 브라우저를 보호하기 위한 피싱 공격 방지 장치에 있어서, In the phishing attack prevention device for protecting user browsers from phishing attacks by phishing websites using fingerprinting-based concealment techniques,
    상기 사용자 브라우저를 통해 URL에 접속하고, 상기 URL에 대응하는 피싱 웹 사이트로부터 웹 페이지 콘텐츠를 수신하는 통신부; 및a communication unit that accesses a URL through the user browser and receives web page content from a phishing website corresponding to the URL; and
    핑거프린팅에 기반한 클로킹(Cloaking)을 상기 사용자 브라우저에 설정하여 상기 사용자 브라우저를 크롤러(Crawler)로 위장시키는 제어부를 포함하는, 피싱 공격 방지 장치. A phishing attack prevention device comprising a control unit that sets cloaking based on fingerprinting to the user's browser and disguises the user's browser as a crawler.
  9. 제8항에 있어서, According to clause 8,
    상기 제어부는, The control unit,
    상기 URL을 사전에 마련되는 블랙리스트와 비교하는 비교부; a comparison unit that compares the URL with a blacklist prepared in advance;
    상기 URL이 상기 블랙리스트에 포함되면, 상기 URL의 접속을 차단시키는 차단부; 및 a blocking unit that blocks access to the URL when the URL is included in the blacklist; and
    상기 URL이 상기 블랙리스트에 미포함되면, 사전에 마련되는 핑거프린팅 데이터베이스를 쿼리하여 상기 URL의 과거 이력을 확인하는 과거 이력확인부를 포함하는, 피싱 공격 방지 장치. A phishing attack prevention device comprising a past history checker that verifies the past history of the URL by querying a fingerprint database prepared in advance when the URL is not included in the blacklist.
  10. 제9항에 있어서, According to clause 9,
    상기 제어부는, The control unit,
    상기 과거 이력확인부에서 상기 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 확인되면, 상기 사용자 브라우저의 프로필을 유지하여 상기 사용자 브라우저를 상기 크롤러로 위장시키되, If the past history check unit confirms the history of successfully preventing phishing attacks against the URL, the profile of the user browser is maintained and the user browser is disguised as the crawler,
    상기 URL에 대한 피싱 공격을 성공적으로 방지한 이력이 미확인되면, 상기 사용자 브라우저의 프로필을 변경하여 상기 사용자 브라우저를 상기 크롤러로 위장시키는 프로필 관리부를 더 포함하는, 피싱 공격 방지 장치. If the history of successfully preventing phishing attacks against the URL is not confirmed, the device further includes a profile manager that changes the profile of the user browser to disguise the user browser as the crawler.
  11. 제10항에 있어서, According to clause 10,
    상기 프로필 관리부는, The profile management department,
    사전에 마련되는 안티 피싱 봇(Anti-phishing bot) 프로필 데이터베이스에 기초하여 상기 사용자 브라우저의 프로필에 포함되는 봇 프로필을 변경하는, 피싱 공격 방지 장치. A phishing attack prevention device that changes the bot profile included in the profile of the user's browser based on a pre-prepared anti-phishing bot profile database.
  12. 제10항에 있어서, According to clause 10,
    상기 제어부는, The control unit,
    상기 크롤러로 위장시킨 이후 상기 유지 또는 변경된 사용자 브라우저의 프로필을 포함하는 HTTP(HyperText Transfer Protocol)를 상기 피싱 웹 사이트의 서버 측으로 요청하는, 피싱 공격 방지 장치. A phishing attack prevention device that disguises itself as the crawler and then requests HTTP (HyperText Transfer Protocol) containing the maintained or changed user browser profile to the server of the phishing website.
  13. 제12항에 있어서, According to clause 12,
    상기 제어부는, The control unit,
    상기 웹 페이지 콘텐츠를 수신하는 단계 이후 백그라운드에서 실행되는 분류 엔진을 이용하여 상기 웹 페이지 콘텐츠 중에 피싱 콘텐츠를 분류하는 분류부를 더 포함하고, Further comprising a classification unit that classifies phishing content among the web page content using a classification engine running in the background after the step of receiving the web page content,
    상기 제어부는, The control unit,
    접속한 상기 URL, 상기 변경된 사용자 브라우저의 프로필 및 상기 웹 페이지 콘텐츠의 분류 결과를 이용해 상기 핑거프린팅 데이터베이스를 업데이트하는, 피싱 공격 방지 장치. A phishing attack prevention device that updates the fingerprint database using the accessed URL, the changed user browser profile, and a classification result of the web page content.
PCT/KR2023/012749 2022-09-01 2023-08-29 Phishing attack prevention method, and recording media and devices for performing same WO2024049148A1 (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR10-2022-0110632 2022-09-01
KR20220110632 2022-09-01
KR1020230107607A KR20240031897A (en) 2022-09-01 2023-08-17 Phishing attack prevention method, recording medium and device for performing the same
KR10-2023-0107607 2023-08-17

Publications (1)

Publication Number Publication Date
WO2024049148A1 true WO2024049148A1 (en) 2024-03-07

Family

ID=90098264

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2023/012749 WO2024049148A1 (en) 2022-09-01 2023-08-29 Phishing attack prevention method, and recording media and devices for performing same

Country Status (1)

Country Link
WO (1) WO2024049148A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070019896A (en) * 2005-08-13 2007-02-16 한재호 Method and program on prevention of phishing through url and information filtering
KR20080072978A (en) * 2007-02-05 2008-08-08 양기호 Method of anti-phishing
KR101663935B1 (en) * 2016-06-13 2016-10-07 신남규 System and method for protecting against phishing and pharming

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070019896A (en) * 2005-08-13 2007-02-16 한재호 Method and program on prevention of phishing through url and information filtering
KR20080072978A (en) * 2007-02-05 2008-08-08 양기호 Method of anti-phishing
KR101663935B1 (en) * 2016-06-13 2016-10-07 신남규 System and method for protecting against phishing and pharming

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ZHANG PENGHUI: "Detection and Prevention of Sophisticated Cyberattacks. ", DISSERTATION PDH, ARIZONA STATE UNIVERSITY, 1 May 2022 (2022-05-01), ARIZONA STATE UNIVERSITY, XP093144979, Retrieved from the Internet <URL:https://keep.lib.asu.edu/system/files/c7/Zhang_asu_0010E_21618.pdf> [retrieved on 20240325] *
ZHANG PENGHUI; OEST ADAM; CHO HAEHYUN; SUN ZHIBO; JOHNSON RC; WARDMAN BRAD; SARKER SHAOWN; KAPRAVELOS ALEXANDROS; BAO TIFFANY; WAN: "CrawlPhish: Large-scale Analysis of Client-side Cloaking Techniques in Phishing", 2021 IEEE SYMPOSIUM ON SECURITY AND PRIVACY (SP), IEEE, 24 May 2021 (2021-05-24), pages 1109 - 1124, XP033964280, DOI: 10.1109/SP40001.2021.00021 *
ZHANG PENGHUI; SUN ZHIBO; KYUNG SUKWHA; BEHRENS HANS WALTER; BASQUE ZION LEONAHENAHE; CHO HAEHYUN; OEST ADAM; WANG RUOYU; BAO TIFF: "I'm SPARTACUS, No, I'm SPARTACUS Proactively Protecting Users from Phishing by Intentionally Triggering Cloaking Behavior", PROCEEDINGS OF THE 2022 ACM SIGSAC CONFERENCE ON COMPUTER AND COMMUNICATIONS SECURITY, ACMPUB27, NEW YORK, NY, USA, 7 November 2022 (2022-11-07) - 28 October 2022 (2022-10-28), New York, NY, USA, pages 3165 - 3179, XP058923037, ISBN: 978-1-4503-9481-9, DOI: 10.1145/3548606.3559334 *

Similar Documents

Publication Publication Date Title
WO2021060856A1 (en) System and method for secure network access of terminal
WO2017069348A1 (en) Method and device for automatically verifying security event
US11044270B2 (en) Using private threat intelligence in public cloud
US8601586B1 (en) Method and system for detecting web application vulnerabilities
US9654494B2 (en) Detecting and marking client devices
EP2579176B1 (en) System and method for restricting pathways to harmful hosts in computer networks
Akiyama et al. Design and implementation of high interaction client honeypot for drive-by-download attacks
WO2023033586A1 (en) System for controlling network access of application on basis of tcp session control, and method related thereto
WO2010062063A2 (en) Method and system for preventing browser-based abuse
US20090064337A1 (en) Method and apparatus for preventing web page attacks
US20140380482A1 (en) Systems and methods for malware detection and scanning
CA3002605C (en) System and methods for detecting domain generation algorithm (dga) malware
US8776240B1 (en) Pre-scan by historical URL access
WO2018166099A1 (en) Information leakage detection method and device, server, and computer-readable storage medium
WO2023085793A1 (en) System for controlling network access on basis of controller, and method therefor
EP1567926A2 (en) Method, system and computer software product for responding to a computer intrusion
US20060075468A1 (en) System and method for locating malware and generating malware definitions
WO2023033588A1 (en) System for controlling data flow in virtualization terminal, and method thereof
WO2023090755A1 (en) System for controlling network access of virtualization instance, and method therefor
Duncan et al. Cloud computing: Insider attacks on virtual machines during migration
WO2012081903A1 (en) Method for blocking a denial-of-service attack
WO2022114689A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
WO2023163514A1 (en) Controller-based network access control system and method therefor
WO2015194885A1 (en) Method and system for detecting failure-inducing client by using client route control system
US20060075490A1 (en) System and method for actively operating malware to generate a definition

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23860824

Country of ref document: EP

Kind code of ref document: A1