Система противодействия фишинг атакам

Авторы патента:

G06F21 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Полезная модель относится к компьютерным системам и более конкретно к системам противодействия фишинг атакам и предназначена для предотвращения кражи конфиденциальной информации пользователей сети Интернет путем обманного перенаправления пользователей на поддельные имитирующие оригинальные сайты доверенных компаний и Интернет сервисов. Технический результат настоящей полезной модели заключается в автоматической блокировке попыток пользователей сети Интернет загрузить сайт, имитирующий оригинальную Интернет службу, с целью предотвращения кражи конфиденциальных данных пользователя, достигается за счет выполнения этапов работы системы. Работа системы приводит к предотвращению кражи конфиденциальных данных пользователя и перенаправлению пользователя на запрашиваемый ресурс, достигается за счет выполнения этапов работы системы, состоящих в регистрации запросов пользователей операционной системе о предоставлении доступа к ресурсу сети Интернет, сравнения информации запроса со списком подлинных адресов, регулярно обновляемым серверным модулем, выборе дальнейших действий в зависимости от полученного результата, которыми могут являться предоставление доступа, проведение дополнительной проверки, предоставление операционной системе корректных данных, запрашиваемого ресурса, в случае обнаружения запроса доступа к фишинговому ресурсу.

Область техники

Полезная модель относится к системам по обеспечению информационной безопасности компьютерных систем и более конкретно к системам противодействия фишинг атакам.

Уровень техники

Слово «фишинг» произошло от английского слова «phishing», что созвучно со словом «fishing», которое в свою очередь переводится как рыбалка - обозначает разновидность интернет-мошенничества, целью которого является получение доступа к пользовательским данным конфиденциального характера (логинам, паролям и др.). Фишинг как вид мошенничества в Интернете, сегодня явление массовое и известное многим пользователям. В классическом фишинге злоумышленник распространяет письма электронной почты среди пользователей социальных сетей, онлайн-банкинга, почтовых веб-сервисов («закидывает удочку»). В этих письмах злоумышленник, от имени доверенной организации, формулирует причины, по которым пользователю следует сообщить, к примеру, свои логин и пароль, используемые для идентификации в указанных службах. Содержимое писем вводит пользователей в заблуждение, вынуждая полагать, что им необходимо действовать в соответствии с приведенными инструкциями, например, в письме может содержаться требование повторного ввода пользователем логина и пароля, по причине введения дополнительных мер безопасности, для чего необходимо перейти по ссылке на сайт службы. Однако ссылка в письме ведет на поддельный (фишинговый) сайт, имитирующий сайт легальной службы. Пользователи, ставшие жертвой обмана, сообщают, таким образом, свои конфиденциальные данные. Собранные в результате фишинг-атак данные пользователей используются злоумышленниками в разнообразных схемах: рассылка спама, вымогательство денег за возврат украденной учетной записи, кража денег и т.д. Многие пользователи, активно использующие современные веб-сервисы, не раз сталкивались с подобными случаями мошенничества и проявляют осторожность к подобным фишинговым письмам. В тоже время злоумышленники совершенствуют свои техники, позволяющие повысить эффективность фишинговых атак, используя специальные вредоносные программы.

Существуют системы противодействия фишингу, приведенные, например, в патенте US 7634810 и в заявках US 20070136806 А1 и US 20070118528 А1, в которых используется подход сравнения запрошенных адресов сайтов с черным списком адресов, блокировка следует при нахождении запрашиваемого адреса в черном списке адресов.

Однако данные системы не позволяют бороться против новых поддельных адресов, не попавших в черный список на момент совершения мошенничества.

Существуют системы, приведенные, например, в заявке WO 2006KR0002662, в которых используется подход сравнения унифицированных указателей Интернет-страниц (URL) с занесенными в белый список URL.

Однако данная система не позволяет бороться с видом фишинга, при котором, например, используя вредоносные программы, подменяется IP адрес запрашиваемого ресурса, при прежнем названии и домене в составе URL.

Анализ предшествующего уровня техники и возможностей, которые появляются при использовании новых подходов решения описанной проблемы, позволяют получить новую систему, а именно систему противодействия фишинг атакам. Результат данной системы заключается в предотвращении кражи конфиденциальной информации пользователей сети Интернет путем обманного перенаправления пользователей на различные имитирующие оригинальные сайты Интернет сервисы.

Сущность полезной модели

Настоящая полезная модель предназначена для предотвращения кражи конфиденциальной информации пользователей сети Интернет путем обманного перенаправления пользователей на поддельные имитирующие оригинальные сайты доверенных компаний и Интернет сервисов.

Технический результат настоящей полезной модели заключается в автоматической блокировке попыток пользователей сети Интернет загрузить сайт, имитирующий оригинальную Интернет службу, с целью предотвращения кражи конфиденциальных данных пользователя.

Система для противодействия фишинг атакам состоит из следующих компонентов: сервер, предназначенный для актуализации списков IP адресов унифицированных указателей ресурсов (URL), хранения базы данных подлинных ресурсов, передачи базы данных подлинных ресурсов на клиентскую сторону, проверки потенциально фишинговых IP адресов, передачи результатов проверки на совпадение со списком подлинных IP адресов ресурса; связанный с клиентским модулем средством синхронизации и состоящий из: базы данных подлинных ресурсов, связанной со средством опроса серверов системы доменных имен (DNS серверов) и со средством синхронизации и предназначенной для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL; средства опроса серверов системы доменных имен, связанного с базой данных подлинных ресурсов и со средством синхронизации и предназначенного для проведения опроса DNS серверов с целью формирования наборов подлинных IP-адресов для каждой записи URL из списка URL, хранящегося в базе данных подлинных ресурсов; базы данных о фишинговых ресурсах, связанной со средством синхронизации и предназначенной для сбора и хранения IP адресов фишинговых ресурсов; средства синхронизации, связанного с базой данных подлинных ресурсов, средством опроса серверов системы доменных имен, базой данных фишинговых ресурсов и средством синхронизации клиентского модуля и предназначенного для связи с клиентским модулем системы, с целью проведения обновления клиентской версии базы данных подлинных ресурсов; для получения определенных URL от клиентского модуля для передачи на обработку средству опроса серверов DNS и последующей передачи клиентскому модулю актуальных IP адресов заданного ресурса; и для получения от клиентского модуля фишинговых IP адресов для последующего внесения в базу данных фишинговых ресурсов; клиентский модуль, связанный с сервером и предназначенный для хранения клиентской версии базы данных подлинных ресурсов; выявления потенциально фишинговых IP адресов ресурсов; предоставления или запрета доступа к ресурсу с выявленным потенциально фишинговым IP адресом в соответствии с результатами проверки на совпадение со списком подлинных IP адресов запрашиваемого ресурса; применения действий по предоставлению доступа к подлинному ресурсу, предусматривающей блокировку доступа к ресурсу, если обнаружена фишинг атака, чем достигается противодействие фишинг атаке, при этом клиентский модуль состоит из: клиентской версии базы данных подлинных ресурсов, связанной с управляющим модулем и со средством синхронизации клиента и предназначенной для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL, полученной от сервера; средства регистрации запросов, связанного с управляющим модулем и предназначенного для регистрации пользовательских запросов операционной системе компьютера пользователя о предоставлении доступа к Интернет-ресурсам и формирования данных для управляющего модуля, URL которых содержится в клиентской версии базы данных подлинных ресурсов; управляющего модуля, предназначенного для: сравнения данных, полученных модулем регистрации запросов, с данными из клиентской версии базы данных подлинных ресурсов, предоставления доступа к ресурсу в случае совпадения данных, в противном случае, для отправления через средство синхронизации запроса о предоставлении актуального списка IP адресов указанного ресурса, сравнения данных, полученных модулем регистрации запросов, с данными актуального списка IP-адресов, предоставления доступа к ресурсу в случае совпадения данных, в противном случае связка URL - IP адрес отправляется через средство синхронизации на сервер и заносится в базу данных информации о фишинговых ресурсах, и применяются действия по предоставлению доступа к подлинному ресурсу; управляющий модуль связан со средством регистрации запросов, клиентской версией базы данных информации подлинных ресурсов и средством синхронизации клиента; средства синхронизации клиентского модуля, связанного с управляющим модулем и клиентской версией базы данных информации подлинных ресурсов, предназначенного для отправки запросов серверу о предоставлении актуальных списков IP адресов, получения новых версий базы данных информации подлинных ресурсов и актуальных списков IP адресов.

В частном варианте выполнения системы, действием по предоставлению доступа к подлинному ресурсу может являться предоставление операционной системе корректных данных о запрашиваемом ресурсе.

В другом частном варианте выполнения системы, клиентский модуль в случае обнаружения запроса доступа к фишинговому IP адресу совершает запрос доступа к каждому ресурсу из клиентской версии базы данных подлинных ресурсов с целью получения новых фишинговых IP адресов.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:

Фиг.1 показывает структурную схему заявленной системы противодействия фишинговым атакам;

Фиг.2 показывает процесс проверки запрашиваемого ресурса на принадлежность к фишинговыми и предоставления доступа к законному ресурсу;

Описание вариантов осуществления полезной модели

Объекты и признаки настоящей полезной модели, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящая полезная модель не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.

Как видно на фиг.1, система 100 противодействия фишинговым атакам в соответствии с настоящей полезной моделью содержит несколько модулей, а именно: сервер 110, состоящий из базы данных подлинных ресурсов 112, средства опроса серверов системы доменных имен 111, базы данных о фишинговых ресурсах 114 и средства синхронизации 113, а также клиентский модуль 120, состоящий из клиентской версии базы данных подлинных ресурсов 122, средства регистрации запросов 124, управляющего модуля 123 и средства синхронизации 121 клиентского модуля.

Каждый модуль системы может быть выполнен в виде как отдельного, так и одного компьютера, содержащего соединенные через шину процессор, память, а также другие устройства: устройства ввода-вывода, дисплей, устройство связи и т.д.

База данных подлинных ресурсов 112, связанная со средством опроса серверов системы доменных имен 111 и со средством синхронизации 113, предназначена для хранения списка URL и наборов подлинных проверенных IP адресов, соответствующих каждому URL. Список подконтрольных URL могут составлять URL Интернет-ресурсов банковских служб, государственных ресурсов дистанционного обслуживания граждан, а также различных сервисов как-либо связанных с персональной информацией пользователей.

Средство опроса серверов системы доменных имен 111 связано с базой данных подлинных ресурсов 112 и со средством синхронизации 113 и предназначенного для проведения опроса DNS серверов 130 с целью формирования наборов подлинных IP-адресов для каждой записи URL из списка URL, хранящегося в базе данных подлинных ресурсов 112. Во избежание компрометации DNS серверов 130 с целью подмены IP адресов ресурсов опрос производится доверенных DNS серверов по защищенным каналам связи. Средство опроса 111 может быть настроено на различные режимы обновления базы данных подлинных ресурсов 112, например, 1 раз каждые 6 часов, либо с разбивкой на подоменное обновление, например, сначала обновляются все записи URL домена .РФ, далее .RU, затем .СОМ и так далее.

База данных о фишинговых ресурсах 114, связана со средством синхронизации 111 и предназначена для сбора и хранения IP адресов фишинговых ресурсов, полученных при пресечении факта фишинга описываемой системой.

Средство синхронизации 113, связанного с базой данных подлинных ресурсов 112, средством опроса серверов системы доменных имен 111, базой данных фишинговых ресурсов 114 и средством синхронизации клиентского модуля 121 и предназначенного для связи с клиентским модулем 120 системы 100, с целью проведения обновления клиентской версии базы данных подлинных ресурсов 122, для получения определенных URL от клиентского модуля 120 для передачи на обработку средству опроса серверов DNS 111 и последующей передачи клиентскому модулю 120 актуальных IP адресов заданного ресурса и для получения от клиентского модуля 120 фишинговых IP адресов для последующего внесения в базу данных фишинговых ресурсов 114.

Клиентская версия базы данных подлинных ресурсов 122 связана с управляющим модулем 123 и со средством синхронизации 121 клиента и предназначена для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL. Создание клиентской версии базы данных подлинных ресурсов 122 на стороне модуля клиента 120 призвано для минимизации потока графика при проверке подлинности IP адреса запрашиваемого ресурса, так как при данной реализации для проверки IP адреса запрашиваемого ресурса нет необходимости отправлять на сторону сервера 110 запрос с проверкой. Однако данный вариант также содержит недостаток - это возможная не актуальность данных. Данный недостаток можно считать несущественным, поскольку обновление IP адресов ресурсов производится крайне редко, и даже в случае обращения к новому IP адресу, в системе 100 реализована дополнительная проверка IP адресов, не входящих в клиентскую версию базы данных подлинных ресурсов 122, описанная ниже.

Средство регистрации запросов 124 связано с управляющим модулем 123 и предназначено для регистрации пользовательских запросов операционной системе компьютера пользователя о предоставлении доступа к ресурсам сети Интернет, URL которых содержится в клиентской версии базы данных подлинных ресурсов 122.

Управляющий модуль 123 связан со средством регистрации запросов 124, клиентской версией базы данных информации подлинных ресурсов 122 и средством синхронизации 121 клиента и предназначено для сравнения полученной средством регистрации запросов 124 информации с данными клиентской версии базы данных информации подлинных ресурсов 122 с целью предоставления доступа в случае, если данные по результатам проверки совпали, либо организации дальнейшей проверки, описанной ниже, и применения действий по предоставлению доступа к подлинному ресурсу.

Средства синхронизации 121 клиентского модуля связано с управляющим модулем 123 и клиентской версией базы данных информации подлинных ресурсов 122 и предназначено для отправки запросов серверу о предоставлении актуальных списков IP адресов, получения новых версий базы данных информации подлинных ресурсов и актуальных списков IP адресов.

Далее со ссылкой на фиг.2 и фиг.1, будет подробно описана работа системы в соответствии с настоящей полезной моделью.

После регистрации нового запроса пользователя операционной системе о предоставлении доступа к ресурсу сети Интернет 200 средством регистрации запросов 124 информация о запросе передается управляющему модулю 123. Управляющий модуль 123 производит сверку информации запроса и информации клиентской версии базы данных подлинных ресурсов 122. Если URL запроса не содержится в клиентской версии базы данных подлинных ресурсов 122, то доступ предоставляется 201, иначе проводится сравнение 202 IP адреса запрашиваемого ресурса, поученного средством регистрации запросов 124, с IP адресами данного ресурса из клиентской базы данных подлинных ресурсов 122. Если результат сравнения 202 положительный, то доступ к ресурсу предоставляется 201, в противном случае происходит отправление запроса серверу о предоставлении актуального списка IP адресов запрашиваемого ресурса 203 через средство синхронизации 121.

При поступлении на средство синхронизации 113 запроса от клиента о предоставлении актуального списка IP адресов определенного ресурса 220 сервер 110 производит опрос 221 доверенных серверов DNS через средство опроса серверов системы доменных имен. Далее через средство синхронизации 113 следует отправление клиенту результатов опроса 222 и занесение в базу подлинных ресурсов 112 информации, полученной в результате опроса 221.

Средство синхронизации 121 клиентского модуля после получения от сервера актуального списка IP адресов запрашиваемого ресурса 204 производит внесение в клиентскую версию базы подлинных ресурсов 122 информации, полученной от сервера 205. Далее следует сравнение IP адреса ресурса, полученного средством регистрации запросов 124 с IP адресами актуального списка адресов 206. Если результат сравнения 206 положительный, то доступ к ресурсу предоставляется 201, в противном случае производится предоставление операционной системе пользователя корректного IP адреса запрашиваемого ресурса 207 и передача через средство синхронизации 121 URL и поддельного IP адреса серверу 208 для дальнейшего занесения информации в базу данных фишинговых ресурсов 114.

Сервер 110 проводит плановый опрос 210 доверенных серверов DNS с целью актуализации IP адресов, занесенных в базу данных подлинных ресурсов 112. Далее сервер 110 заносит в базу подлинных ресурсов информацию, полученную в результате планового опроса 211. Затем следует рассылка обновлений клиентским версиям базы данных подлинных ресурсов 212.

В заключении следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.

1. Система для противодействия фишинг атакам состоит из следующих компонентов:

сервер, предназначенный для актуализации списков IP адресов унифицированных указателей ресурсов (URL), хранения базы данных подлинных ресурсов, передачи базы данных подлинных ресурсов на клиентскую сторону, проверки потенциально фишинговых IP адресов, передачи результатов проверки на совпадение со списком подлинных IP адресов ресурса; связанный с клиентским модулем средством синхронизации и состоящий из:

базы данных подлинных ресурсов, связанной со средством опроса серверов системы доменных имен (DNS серверов) и со средством синхронизации и предназначенной для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL;

средства опроса серверов системы доменных имен, связанного с базой данных подлинных ресурсов и со средством синхронизации и предназначенного для проведения опроса DNS серверов с целью формирования наборов подлинных IP-адресов для каждой записи URL из списка URL, хранящегося в базе данных подлинных ресурсов;

базы данных о фишинговых ресурсах, связанной со средством синхронизации и предназначенной для сбора и хранения IP адресов фишинговых ресурсов;

средства синхронизации, связанного с базой данных подлинных ресурсов, средством опроса серверов системы доменных имен, базой данных фишинговых ресурсов и средством синхронизации клиентского модуля и предназначенного для связи с клиентским модулем системы, с целью проведения обновления клиентской версии базы данных подлинных ресурсов; для получения определенных URL от клиентского модуля для передачи на обработку средству опроса серверов DNS и последующей передачи клиентскому модулю актуальных IP адресов заданного ресурса; и для получения от клиентского модуля фишинговых IP адресов для последующего внесения в базу данных фишинговых ресурсов;

клиентский модуль, связанный с сервером и предназначенный для хранения клиентской версии базы данных подлинных ресурсов; выявления потенциально фишинговых IP адресов ресурсов; предоставления или запрета доступа к ресурсу с выявленным потенциально фишинговым IP адресом в соответствии с результатами проверки на совпадение со списком подлинных IP адресов запрашиваемого ресурса; применения действий по предоставлению доступа к подлинному ресурсу, предусматривающей блокировку доступа к ресурсу, если обнаружена фишинг атака, чем достигается противодействие фишинг атаке, при этом клиентский модуль состоит из:

клиентской версии базы данных подлинных ресурсов, связанной с управляющим модулем и со средством синхронизации клиента и предназначенной для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL, полученной от сервера;.

средства регистрации запросов, связанного с управляющим модулем и предназначенного для регистрации пользовательских запросов операционной системе компьютера пользователя о предоставлении доступа к Интернет-ресурсам и формирования данных для управляющего модуля, URL которых содержится в клиентской версии базы данных подлинных ресурсов;

управляющего модуля, предназначенного для:

сравнения данных, полученных модулем регистрации запросов, с данными из клиентской версии базы данных подлинных ресурсов,

предоставления доступа к ресурсу в случае совпадения данных,

в противном случае, для отправления через средство синхронизации запроса о предоставлении актуального списка IP адресов указанного ресурса,

сравнения данных, полученных модулем регистрации запросов, с данными актуального списка IP-адресов,

предоставления доступа к ресурсу в случае совпадения данных,

в противном случае связка URL-IP адрес отправляется через средство синхронизации на сервер и заносится в базу данных информации о фишинговых ресурсах,

и применяются действия по предоставлению доступа к подлинному ресурсу;

управляющий модуль связан со средством регистрации запросов, клиентской версией базы данных информации подлинных ресурсов и средством синхронизации клиента;

средства синхронизации клиентского модуля, связанного с управляющим модулем и клиентской версией базы данных информации подлинных ресурсов, предназначенного для отправки запросов серверу о предоставлении актуальных списков IP адресов, получения новых версий базы данных информации подлинных ресурсов и актуальных списков IP адресов.

2. Система по п.1, в которой действием по предоставлению доступа к подлинному ресурсу может являться предоставление операционной системе корректных данных о запрашиваемом ресурсе.

3. Система по п.1, в которой клиентский модуль в случае обнаружения запроса доступа к фишинговому IP адресу совершает запрос доступа к каждому ресурсу из клиентской версии базы данных подлинных ресурсов с целью получения новых фишинговых IP адресов.

Похожие патенты:

Съемный носитель информации // 102139

Устройство дистанционного контроля активности мобильного телефона // 95934

Автоматизированная система передачи данных // 117679

Техническим результатом предлагаемой полезной модели является получение возможности оповещения людей, находящихся вблизи охранной системы

Гетерогенная 3d микросхема, предназначенная для хранения конфиденциальных данных // 127513

Устройство обнаружения и защиты от аномальной активности на сети передачи данных // 129279

Техническим результатом является повышение точности построения геолого-гидродинамической модели нефтегазового месторождения

Система использования и хранения генеалогической информации // 132228

Система использования и хранения генеалогической информации, содержащая подключенные к сети Интернет автоматизированные рабочие места пользователей с устройствами введения и отображения информации, связанные с ними, по меньшей мере, один центральный сервер хранения информации относительно пользователей сети и связей между ними, интегрированный в Интернет ресурс или веб-технологию со средствами авторизации пользователя, отличающаяся тем,что она дополнительно содержит, по меньшей мере, один сервер баз данных. Полезная модель относится к системам хранения информации.

Система оптимальной бизнес-компании продвижения на рынок объектов интеллектуальной собственности // 62258

Организация система сбора, временного хранения и рассылки информации // 136607

Информационно-аналитическая поисковая система для поддержки коммерческой деятельности хозяйствующих субъектов // 131215