[go: up one dir, main page]

RU103643U1 - ANTI-PHISH ATTACK SYSTEM - Google Patents

ANTI-PHISH ATTACK SYSTEM Download PDF

Info

Publication number
RU103643U1
RU103643U1 RU2010144587/08U RU2010144587U RU103643U1 RU 103643 U1 RU103643 U1 RU 103643U1 RU 2010144587/08 U RU2010144587/08 U RU 2010144587/08U RU 2010144587 U RU2010144587 U RU 2010144587U RU 103643 U1 RU103643 U1 RU 103643U1
Authority
RU
Russia
Prior art keywords
genuine
database
resources
addresses
phishing
Prior art date
Application number
RU2010144587/08U
Other languages
Russian (ru)
Inventor
Алексей Александрович Малышев
Тимур Александрович Биячуев
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2010144587/08U priority Critical patent/RU103643U1/en
Application granted granted Critical
Publication of RU103643U1 publication Critical patent/RU103643U1/en

Links

Landscapes

  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

1. Система для противодействия фишинг атакам состоит из следующих компонентов: ! сервер, предназначенный для актуализации списков IP адресов унифицированных указателей ресурсов (URL), хранения базы данных подлинных ресурсов, передачи базы данных подлинных ресурсов на клиентскую сторону, проверки потенциально фишинговых IP адресов, передачи результатов проверки на совпадение со списком подлинных IP адресов ресурса; связанный с клиентским модулем средством синхронизации и состоящий из: ! базы данных подлинных ресурсов, связанной со средством опроса серверов системы доменных имен (DNS серверов) и со средством синхронизации и предназначенной для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL; ! средства опроса серверов системы доменных имен, связанного с базой данных подлинных ресурсов и со средством синхронизации и предназначенного для проведения опроса DNS серверов с целью формирования наборов подлинных IP-адресов для каждой записи URL из списка URL, хранящегося в базе данных подлинных ресурсов; !базы данных о фишинговых ресурсах, связанной со средством синхронизации и предназначенной для сбора и хранения IP адресов фишинговых ресурсов; ! средства синхронизации, связанного с базой данных подлинных ресурсов, средством опроса серверов системы доменных имен, базой данных фишинговых ресурсов и средством синхронизации клиентского модуля и предназначенного для связи с клиентским модулем системы, с целью проведения обновления клиентской версии базы данных подлинных ресурсов; для получения определенных URL от клиентского модуля для передачи на обработку средству опроса серверов DNS и послед 1. The system for countering phishing attacks consists of the following components:! a server designed to update the lists of IP addresses of unified resource locators (URLs), store the database of genuine resources, transfer the database of genuine resources to the client side, check for potentially phishing IP addresses, transfer the results of the check to match the list of genuine IP addresses of the resource; associated with the client module synchronization tool and consisting of:! a database of genuine resources associated with a means of polling servers of a domain name system (DNS servers) and with a means of synchronization for storing a list of URLs and sets of genuine IP addresses corresponding to each URL; ! means for interrogating servers of a domain name system associated with a database of genuine resources and with a means of synchronization for querying DNS servers to generate sets of genuine IP addresses for each URL entry from a list of URLs stored in the database of genuine resources; ! a database of phishing resources associated with the synchronization tool and designed to collect and store IP addresses of phishing resources; ! synchronization tools associated with a database of genuine resources, a means of polling servers of a domain name system, a database of phishing resources and a means of synchronizing a client module and designed to communicate with a client module of the system in order to update the client version of the database of genuine resources; to obtain specific URLs from the client module for transmission to the DNS server polling tool and then

Description

Область техникиTechnical field

Полезная модель относится к системам по обеспечению информационной безопасности компьютерных систем и более конкретно к системам противодействия фишинг атакам.The utility model relates to systems for ensuring information security of computer systems and more specifically to systems for countering phishing attacks.

Уровень техникиState of the art

Слово «фишинг» произошло от английского слова «phishing», что созвучно со словом «fishing», которое в свою очередь переводится как рыбалка - обозначает разновидность интернет-мошенничества, целью которого является получение доступа к пользовательским данным конфиденциального характера (логинам, паролям и др.). Фишинг как вид мошенничества в Интернете, сегодня явление массовое и известное многим пользователям. В классическом фишинге злоумышленник распространяет письма электронной почты среди пользователей социальных сетей, онлайн-банкинга, почтовых веб-сервисов («закидывает удочку»). В этих письмах злоумышленник, от имени доверенной организации, формулирует причины, по которым пользователю следует сообщить, к примеру, свои логин и пароль, используемые для идентификации в указанных службах. Содержимое писем вводит пользователей в заблуждение, вынуждая полагать, что им необходимо действовать в соответствии с приведенными инструкциями, например, в письме может содержаться требование повторного ввода пользователем логина и пароля, по причине введения дополнительных мер безопасности, для чего необходимо перейти по ссылке на сайт службы. Однако ссылка в письме ведет на поддельный (фишинговый) сайт, имитирующий сайт легальной службы. Пользователи, ставшие жертвой обмана, сообщают, таким образом, свои конфиденциальные данные. Собранные в результате фишинг-атак данные пользователей используются злоумышленниками в разнообразных схемах: рассылка спама, вымогательство денег за возврат украденной учетной записи, кража денег и т.д. Многие пользователи, активно использующие современные веб-сервисы, не раз сталкивались с подобными случаями мошенничества и проявляют осторожность к подобным фишинговым письмам. В тоже время злоумышленники совершенствуют свои техники, позволяющие повысить эффективность фишинговых атак, используя специальные вредоносные программы.The word “phishing” comes from the English word “phishing”, which is consonant with the word “fishing”, which in turn translates as fishing - denotes a form of Internet fraud, the purpose of which is to gain access to user data of a confidential nature (logins, passwords, etc. .). Phishing as a form of fraud on the Internet, today the phenomenon is massive and known to many users. In classical phishing, an attacker distributes e-mails to users of social networks, online banking, and web-based email services (“cast a fishing rod”). In these letters, an attacker, on behalf of a trusted organization, formulates the reasons why the user should be informed, for example, his username and password used for identification in the specified services. The contents of the letters mislead users, forcing them to believe that they must act in accordance with the instructions given, for example, the letter may require the user to re-enter the username and password due to the introduction of additional security measures, for which it is necessary to follow the link to the service website . However, the link in the letter leads to a fake (phishing) site that mimics the site of a legal service. Users who are victims of fraud thus disclose their confidential data. User data collected as a result of phishing attacks is used by cybercriminals in a variety of ways: sending spam, extorting money to return a stolen account, stealing money, etc. Many users who actively use modern web services have more than once encountered such cases of fraud and are cautious of such phishing emails. At the same time, attackers are improving their techniques to increase the effectiveness of phishing attacks using special malicious programs.

Существуют системы противодействия фишингу, приведенные, например, в патенте US 7634810 и в заявках US 20070136806 А1 и US 20070118528 А1, в которых используется подход сравнения запрошенных адресов сайтов с черным списком адресов, блокировка следует при нахождении запрашиваемого адреса в черном списке адресов.There are anti-phishing systems described, for example, in US Pat. No. 7,634,810 and in US 20070136806 A1 and US 20070118528 A1, which use the approach of comparing requested website addresses with a black list of addresses, blocking should be found when the requested address is in the black list of addresses.

Однако данные системы не позволяют бороться против новых поддельных адресов, не попавших в черный список на момент совершения мошенничества.However, these systems do not allow you to fight against new fake addresses that were not blacklisted at the time of the fraud.

Существуют системы, приведенные, например, в заявке WO 2006KR0002662, в которых используется подход сравнения унифицированных указателей Интернет-страниц (URL) с занесенными в белый список URL.There are systems cited, for example, in WO 2006KR0002662, which use the approach of comparing unified web page indexes (URLs) with whitelisted URLs.

Однако данная система не позволяет бороться с видом фишинга, при котором, например, используя вредоносные программы, подменяется IP адрес запрашиваемого ресурса, при прежнем названии и домене в составе URL.However, this system does not allow you to combat the type of phishing, in which, for example, using malicious programs, the IP address of the requested resource is replaced with the previous name and domain in the URL.

Анализ предшествующего уровня техники и возможностей, которые появляются при использовании новых подходов решения описанной проблемы, позволяют получить новую систему, а именно систему противодействия фишинг атакам. Результат данной системы заключается в предотвращении кражи конфиденциальной информации пользователей сети Интернет путем обманного перенаправления пользователей на различные имитирующие оригинальные сайты Интернет сервисы.An analysis of the prior art and the possibilities that arise when using new approaches to solving the described problem, allows you to get a new system, namely a system to counter phishing attacks. The result of this system is to prevent the theft of confidential information from Internet users by fraudulently redirecting users to various Internet services that mimic original sites.

Сущность полезной моделиUtility Model Essence

Настоящая полезная модель предназначена для предотвращения кражи конфиденциальной информации пользователей сети Интернет путем обманного перенаправления пользователей на поддельные имитирующие оригинальные сайты доверенных компаний и Интернет сервисов.This useful model is designed to prevent the theft of confidential information of Internet users by fraudulently redirecting users to fake imitating original sites of trusted companies and Internet services.

Технический результат настоящей полезной модели заключается в автоматической блокировке попыток пользователей сети Интернет загрузить сайт, имитирующий оригинальную Интернет службу, с целью предотвращения кражи конфиденциальных данных пользователя.The technical result of this utility model is to automatically block attempts by Internet users to download a site that simulates the original Internet service in order to prevent the theft of user confidential data.

Система для противодействия фишинг атакам состоит из следующих компонентов: сервер, предназначенный для актуализации списков IP адресов унифицированных указателей ресурсов (URL), хранения базы данных подлинных ресурсов, передачи базы данных подлинных ресурсов на клиентскую сторону, проверки потенциально фишинговых IP адресов, передачи результатов проверки на совпадение со списком подлинных IP адресов ресурса; связанный с клиентским модулем средством синхронизации и состоящий из: базы данных подлинных ресурсов, связанной со средством опроса серверов системы доменных имен (DNS серверов) и со средством синхронизации и предназначенной для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL; средства опроса серверов системы доменных имен, связанного с базой данных подлинных ресурсов и со средством синхронизации и предназначенного для проведения опроса DNS серверов с целью формирования наборов подлинных IP-адресов для каждой записи URL из списка URL, хранящегося в базе данных подлинных ресурсов; базы данных о фишинговых ресурсах, связанной со средством синхронизации и предназначенной для сбора и хранения IP адресов фишинговых ресурсов; средства синхронизации, связанного с базой данных подлинных ресурсов, средством опроса серверов системы доменных имен, базой данных фишинговых ресурсов и средством синхронизации клиентского модуля и предназначенного для связи с клиентским модулем системы, с целью проведения обновления клиентской версии базы данных подлинных ресурсов; для получения определенных URL от клиентского модуля для передачи на обработку средству опроса серверов DNS и последующей передачи клиентскому модулю актуальных IP адресов заданного ресурса; и для получения от клиентского модуля фишинговых IP адресов для последующего внесения в базу данных фишинговых ресурсов; клиентский модуль, связанный с сервером и предназначенный для хранения клиентской версии базы данных подлинных ресурсов; выявления потенциально фишинговых IP адресов ресурсов; предоставления или запрета доступа к ресурсу с выявленным потенциально фишинговым IP адресом в соответствии с результатами проверки на совпадение со списком подлинных IP адресов запрашиваемого ресурса; применения действий по предоставлению доступа к подлинному ресурсу, предусматривающей блокировку доступа к ресурсу, если обнаружена фишинг атака, чем достигается противодействие фишинг атаке, при этом клиентский модуль состоит из: клиентской версии базы данных подлинных ресурсов, связанной с управляющим модулем и со средством синхронизации клиента и предназначенной для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL, полученной от сервера; средства регистрации запросов, связанного с управляющим модулем и предназначенного для регистрации пользовательских запросов операционной системе компьютера пользователя о предоставлении доступа к Интернет-ресурсам и формирования данных для управляющего модуля, URL которых содержится в клиентской версии базы данных подлинных ресурсов; управляющего модуля, предназначенного для: сравнения данных, полученных модулем регистрации запросов, с данными из клиентской версии базы данных подлинных ресурсов, предоставления доступа к ресурсу в случае совпадения данных, в противном случае, для отправления через средство синхронизации запроса о предоставлении актуального списка IP адресов указанного ресурса, сравнения данных, полученных модулем регистрации запросов, с данными актуального списка IP-адресов, предоставления доступа к ресурсу в случае совпадения данных, в противном случае связка URL - IP адрес отправляется через средство синхронизации на сервер и заносится в базу данных информации о фишинговых ресурсах, и применяются действия по предоставлению доступа к подлинному ресурсу; управляющий модуль связан со средством регистрации запросов, клиентской версией базы данных информации подлинных ресурсов и средством синхронизации клиента; средства синхронизации клиентского модуля, связанного с управляющим модулем и клиентской версией базы данных информации подлинных ресурсов, предназначенного для отправки запросов серверу о предоставлении актуальных списков IP адресов, получения новых версий базы данных информации подлинных ресурсов и актуальных списков IP адресов.The system for countering phishing attacks consists of the following components: a server designed to update the lists of IP addresses of unified resource locators (URLs), store the database of genuine resources, transfer the database of genuine resources to the client side, check potential phishing IP addresses, transfer the results of the check to match the list of genuine IP addresses of the resource; associated with the client module by means of synchronization and consisting of: a database of genuine resources associated with a means of polling servers of a domain name system (DNS servers) and with a means of synchronization and intended to store a list of URLs and sets of genuine IP addresses corresponding to each URL; means for interrogating servers of a domain name system associated with a database of genuine resources and with a means of synchronization for querying DNS servers to generate sets of genuine IP addresses for each URL entry from a list of URLs stored in the database of genuine resources; a database of phishing resources associated with the synchronization tool and designed to collect and store IP addresses of phishing resources; synchronization tools associated with a database of genuine resources, a means of polling servers of a domain name system, a database of phishing resources and a means of synchronizing a client module and designed to communicate with a client module of the system in order to update the client version of the database of genuine resources; to obtain specific URLs from the client module for transmission to the DNS server polling tool for processing and subsequent transfer to the client module the actual IP addresses of the specified resource; and to obtain phishing IP addresses from the client module for subsequent entry into the database of phishing resources; the client module associated with the server and designed to store the client version of the database of genuine resources; identifying potentially phishing IP addresses of resources; granting or denying access to a resource with a potentially identified phishing IP address in accordance with the results of checking for coincidence with a list of genuine IP addresses of the requested resource; applying actions to provide access to a genuine resource, which provides for blocking access to a resource if a phishing attack is detected, thereby countering a phishing attack, while the client module consists of: a client version of the database of genuine resources associated with the control module and with the client synchronization tool and designed to store a list of URLs and sets of genuine IP addresses corresponding to each URL received from the server; means for registering requests associated with the control module and designed to register user requests to the user's computer operating system for providing access to Internet resources and generating data for the control module, the URLs of which are contained in the client version of the database of genuine resources; a control module intended for: comparing data received by the request registration module with data from the client version of the database of genuine resources, providing access to the resource in case of data coincidence, otherwise, for sending via the synchronization tool a request for an actual list of IP addresses of the specified resource, comparing the data received by the request registration module with the data of the current list of IP addresses, providing access to the resource in case of data coincidence, otherwise taking into account the link URL - the IP address is sent through the synchronization tool to the server and is entered into the database of information about phishing resources, and actions are taken to provide access to the genuine resource; the control module is associated with a means for registering requests, a client version of a database of genuine resources information, and a means for synchronizing a client; means for synchronizing the client module associated with the control module and the client version of the database of information of genuine resources, designed to send requests to the server for the provision of current lists of IP addresses, obtain new versions of the database of information of genuine resources and current lists of IP addresses.

В частном варианте выполнения системы, действием по предоставлению доступа к подлинному ресурсу может являться предоставление операционной системе корректных данных о запрашиваемом ресурсе.In a particular embodiment of the system, the act of providing access to a genuine resource may be to provide the operating system with correct data about the requested resource.

В другом частном варианте выполнения системы, клиентский модуль в случае обнаружения запроса доступа к фишинговому IP адресу совершает запрос доступа к каждому ресурсу из клиентской версии базы данных подлинных ресурсов с целью получения новых фишинговых IP адресов.In another particular embodiment of the system, the client module, in case of a request for access to a phishing IP address, makes an access request to each resource from the client version of the database of genuine resources in order to obtain new phishing IP addresses.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящей полезной модели будут очевидными из прочтения последующего описания осуществления полезной модели со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present utility model will be apparent from reading the following description of the implementation of the utility model with reference to the accompanying drawings, in which:

Фиг.1 показывает структурную схему заявленной системы противодействия фишинговым атакам;Figure 1 shows the structural diagram of the claimed system to combat phishing attacks;

Фиг.2 показывает процесс проверки запрашиваемого ресурса на принадлежность к фишинговыми и предоставления доступа к законному ресурсу;Figure 2 shows the process of checking the requested resource for phishing and providing access to a legitimate resource;

Описание вариантов осуществления полезной моделиDescription of Embodiments of a Utility Model

Объекты и признаки настоящей полезной модели, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящая полезная модель не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании полезной модели, и настоящая полезная модель определяется только в объеме приложенной формулы.The objects and features of the present utility model, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present utility model is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details provided to assist the specialist in the field of technology in a comprehensive understanding of the utility model, and the present utility model is determined only in the scope of the attached formula.

Как видно на фиг.1, система 100 противодействия фишинговым атакам в соответствии с настоящей полезной моделью содержит несколько модулей, а именно: сервер 110, состоящий из базы данных подлинных ресурсов 112, средства опроса серверов системы доменных имен 111, базы данных о фишинговых ресурсах 114 и средства синхронизации 113, а также клиентский модуль 120, состоящий из клиентской версии базы данных подлинных ресурсов 122, средства регистрации запросов 124, управляющего модуля 123 и средства синхронизации 121 клиентского модуля.As can be seen in FIG. 1, the system 100 for combating phishing attacks in accordance with this utility model contains several modules, namely: a server 110 consisting of a database of genuine resources 112, a means of polling servers of the domain name system 111, a database of phishing resources 114 and synchronization means 113, as well as a client module 120, consisting of a client version of the authentic resource database 122, request registration means 124, control module 123, and synchronization means 121 of the client module.

Каждый модуль системы может быть выполнен в виде как отдельного, так и одного компьютера, содержащего соединенные через шину процессор, память, а также другие устройства: устройства ввода-вывода, дисплей, устройство связи и т.д.Each system module can be made in the form of either a separate or one computer containing a processor, memory, and other devices connected via a bus: input-output devices, a display, a communication device, etc.

База данных подлинных ресурсов 112, связанная со средством опроса серверов системы доменных имен 111 и со средством синхронизации 113, предназначена для хранения списка URL и наборов подлинных проверенных IP адресов, соответствующих каждому URL. Список подконтрольных URL могут составлять URL Интернет-ресурсов банковских служб, государственных ресурсов дистанционного обслуживания граждан, а также различных сервисов как-либо связанных с персональной информацией пользователей.The authentic resource database 112, associated with the server polling tool for the domain name system 111 and the synchronization tool 113, is intended to store a list of URLs and sets of authenticated verified IP addresses corresponding to each URL. The list of controlled URLs can be made up of URLs of Internet resources of banking services, state resources of remote servicing of citizens, as well as various services that are in any way connected with personal information of users.

Средство опроса серверов системы доменных имен 111 связано с базой данных подлинных ресурсов 112 и со средством синхронизации 113 и предназначенного для проведения опроса DNS серверов 130 с целью формирования наборов подлинных IP-адресов для каждой записи URL из списка URL, хранящегося в базе данных подлинных ресурсов 112. Во избежание компрометации DNS серверов 130 с целью подмены IP адресов ресурсов опрос производится доверенных DNS серверов по защищенным каналам связи. Средство опроса 111 может быть настроено на различные режимы обновления базы данных подлинных ресурсов 112, например, 1 раз каждые 6 часов, либо с разбивкой на подоменное обновление, например, сначала обновляются все записи URL домена .РФ, далее .RU, затем .СОМ и так далее.The tool for querying the servers of the domain name system 111 is associated with a database of genuine resources 112 and with a tool for synchronizing 113 and designed to query DNS servers 130 in order to generate sets of genuine IP addresses for each URL entry from the list of URLs stored in the database of genuine resources 112 In order to avoid compromise of the DNS servers 130 in order to substitute the IP addresses of the resources, the survey is performed by trusted DNS servers via secure communication channels. The polling tool 111 can be configured for various modes of updating the database of genuine resources 112, for example, 1 time every 6 hours, or broken down by the domain update, for example, all records of the .РФ domain URLs are updated first, then .RU, then .СОМ and etc.

База данных о фишинговых ресурсах 114, связана со средством синхронизации 111 и предназначена для сбора и хранения IP адресов фишинговых ресурсов, полученных при пресечении факта фишинга описываемой системой.The database of phishing resources 114 is associated with the synchronization tool 111 and is designed to collect and store IP addresses of phishing resources obtained by suppressing the fact of phishing by the described system.

Средство синхронизации 113, связанного с базой данных подлинных ресурсов 112, средством опроса серверов системы доменных имен 111, базой данных фишинговых ресурсов 114 и средством синхронизации клиентского модуля 121 и предназначенного для связи с клиентским модулем 120 системы 100, с целью проведения обновления клиентской версии базы данных подлинных ресурсов 122, для получения определенных URL от клиентского модуля 120 для передачи на обработку средству опроса серверов DNS 111 и последующей передачи клиентскому модулю 120 актуальных IP адресов заданного ресурса и для получения от клиентского модуля 120 фишинговых IP адресов для последующего внесения в базу данных фишинговых ресурсов 114.The synchronization tool 113 associated with the authentic resource database 112, the polling server of the domain name system 111, the phishing resource database 114 and the synchronization tool of the client module 121 and intended for communication with the client module 120 of the system 100, in order to update the client version of the database genuine resources 122, to obtain certain URLs from client module 120 for transmission to the DNS server 111 polling tool and then transmitting current module IP addresses to client module 120 resource and to obtain from the client module 120 phishing IP addresses for the subsequent introduction of phishing resources to the database 114.

Клиентская версия базы данных подлинных ресурсов 122 связана с управляющим модулем 123 и со средством синхронизации 121 клиента и предназначена для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL. Создание клиентской версии базы данных подлинных ресурсов 122 на стороне модуля клиента 120 призвано для минимизации потока графика при проверке подлинности IP адреса запрашиваемого ресурса, так как при данной реализации для проверки IP адреса запрашиваемого ресурса нет необходимости отправлять на сторону сервера 110 запрос с проверкой. Однако данный вариант также содержит недостаток - это возможная не актуальность данных. Данный недостаток можно считать несущественным, поскольку обновление IP адресов ресурсов производится крайне редко, и даже в случае обращения к новому IP адресу, в системе 100 реализована дополнительная проверка IP адресов, не входящих в клиентскую версию базы данных подлинных ресурсов 122, описанная ниже.The client version of the authentic resources database 122 is associated with the control unit 123 and with the synchronization tool 121 of the client and is intended to store a list of URLs and sets of genuine IP addresses corresponding to each URL. Creating a client version of the database of authentic resources 122 on the side of the client module 120 is designed to minimize the flow of the schedule when checking the authenticity of the IP address of the requested resource, since with this implementation there is no need to send a verification request to server 110 to verify the IP address of the requested resource. However, this option also contains a drawback - this is possibly not relevant data. This disadvantage can be considered insignificant, since updating the IP addresses of resources is extremely rare, and even in the case of accessing a new IP address, the system 100 implements additional verification of IP addresses that are not included in the client version of the database of authentic resources 122, described below.

Средство регистрации запросов 124 связано с управляющим модулем 123 и предназначено для регистрации пользовательских запросов операционной системе компьютера пользователя о предоставлении доступа к ресурсам сети Интернет, URL которых содержится в клиентской версии базы данных подлинных ресурсов 122.Request registration tool 124 is associated with the control module 123 and is designed to register user requests to the user's computer operating system for providing access to Internet resources, the URLs of which are contained in the client version of the database of genuine resources 122.

Управляющий модуль 123 связан со средством регистрации запросов 124, клиентской версией базы данных информации подлинных ресурсов 122 и средством синхронизации 121 клиента и предназначено для сравнения полученной средством регистрации запросов 124 информации с данными клиентской версии базы данных информации подлинных ресурсов 122 с целью предоставления доступа в случае, если данные по результатам проверки совпали, либо организации дальнейшей проверки, описанной ниже, и применения действий по предоставлению доступа к подлинному ресурсу.The control module 123 is associated with the request registration means 124, the client version of the authentic resources information database 122 and the client synchronization means 121, and is intended to compare the information received by the requests registration means 124 with the data of the client version of the authentic resources information database 122 in order to provide access in case if the data on the results of the verification match, or the organization of the further verification described below, and the application of actions to provide access to the genuine resource.

Средства синхронизации 121 клиентского модуля связано с управляющим модулем 123 и клиентской версией базы данных информации подлинных ресурсов 122 и предназначено для отправки запросов серверу о предоставлении актуальных списков IP адресов, получения новых версий базы данных информации подлинных ресурсов и актуальных списков IP адресов.Synchronization tools 121 of the client module is associated with the control module 123 and the client version of the database of genuine resources information 122 and is intended to send requests to the server for the provision of current lists of IP addresses, to obtain new versions of the database of information of genuine resources and current lists of IP addresses.

Далее со ссылкой на фиг.2 и фиг.1, будет подробно описана работа системы в соответствии с настоящей полезной моделью.Next, with reference to figure 2 and figure 1, will be described in detail the operation of the system in accordance with this utility model.

После регистрации нового запроса пользователя операционной системе о предоставлении доступа к ресурсу сети Интернет 200 средством регистрации запросов 124 информация о запросе передается управляющему модулю 123. Управляющий модуль 123 производит сверку информации запроса и информации клиентской версии базы данных подлинных ресурсов 122. Если URL запроса не содержится в клиентской версии базы данных подлинных ресурсов 122, то доступ предоставляется 201, иначе проводится сравнение 202 IP адреса запрашиваемого ресурса, поученного средством регистрации запросов 124, с IP адресами данного ресурса из клиентской базы данных подлинных ресурсов 122. Если результат сравнения 202 положительный, то доступ к ресурсу предоставляется 201, в противном случае происходит отправление запроса серверу о предоставлении актуального списка IP адресов запрашиваемого ресурса 203 через средство синхронизации 121.After registering a new user request to the operating system for providing access to the Internet resource 200 by the request registration tool 124, the request information is transmitted to the control module 123. The control module 123 reconciles the request information and the client version of the database of genuine resources 122. If the request URL is not contained in the client version of the database of genuine resources 122, then 201 is granted access, otherwise 202 IP addresses of the requested resource are compared, learned by means of the register of requests 124, with the IP addresses of this resource from the client database of genuine resources 122. If the comparison result 202 is positive, then access to the resource is provided 201, otherwise, a request is sent to the server to provide an up-to-date list of IP addresses of the requested resource 203 through the synchronization tool 121 .

При поступлении на средство синхронизации 113 запроса от клиента о предоставлении актуального списка IP адресов определенного ресурса 220 сервер 110 производит опрос 221 доверенных серверов DNS через средство опроса серверов системы доменных имен. Далее через средство синхронизации 113 следует отправление клиенту результатов опроса 222 и занесение в базу подлинных ресурсов 112 информации, полученной в результате опроса 221.Upon receipt of a request to the synchronization tool 113 from the client for a current list of IP addresses of a specific resource 220, the server 110 polls 221 trusted DNS servers through the polling tool for the servers of the domain name system. Then, through the synchronization tool 113, the results of the survey 222 are sent to the client and the information obtained as a result of the survey 221 is entered into the database of genuine resources 112.

Средство синхронизации 121 клиентского модуля после получения от сервера актуального списка IP адресов запрашиваемого ресурса 204 производит внесение в клиентскую версию базы подлинных ресурсов 122 информации, полученной от сервера 205. Далее следует сравнение IP адреса ресурса, полученного средством регистрации запросов 124 с IP адресами актуального списка адресов 206. Если результат сравнения 206 положительный, то доступ к ресурсу предоставляется 201, в противном случае производится предоставление операционной системе пользователя корректного IP адреса запрашиваемого ресурса 207 и передача через средство синхронизации 121 URL и поддельного IP адреса серверу 208 для дальнейшего занесения информации в базу данных фишинговых ресурсов 114.After receiving the actual list of IP addresses of the requested resource 204 from the server, the synchronization tool 121 of the client module makes the information received from the server 205 into the client version of the database of genuine resources 122. The following is a comparison of the IP address of the resource received by the request registration tool 124 with the IP addresses of the current address list 206. If the result of comparison 206 is positive, then access to the resource is provided 201, otherwise the user’s operating system is provided with the correct IP the address of the requested resource 207 and transmission through the synchronization tool 121 of the URL and a fake IP address to the server 208 for further recording of information in the database of phishing resources 114.

Сервер 110 проводит плановый опрос 210 доверенных серверов DNS с целью актуализации IP адресов, занесенных в базу данных подлинных ресурсов 112. Далее сервер 110 заносит в базу подлинных ресурсов информацию, полученную в результате планового опроса 211. Затем следует рассылка обновлений клиентским версиям базы данных подлинных ресурсов 212.Server 110 conducts a planned survey of 210 trusted DNS servers to update the IP addresses recorded in the database of genuine resources 112. Next, server 110 stores the information obtained from the planned survey 211 in the database of genuine resources. Then, updates are sent to client versions of the database of genuine resources 212.

В заключении следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей полезной модели, определенной формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей полезной модели, согласующиеся с сущностью и объемом настоящей полезной модели.In conclusion, it should be noted that the information provided in the description are only examples that do not limit the scope of this utility model defined by the formula. The person skilled in the art will understand that there may be other options for implementing this utility model, consistent with the nature and scope of this utility model.

Claims (3)

1. Система для противодействия фишинг атакам состоит из следующих компонентов:1. The system for countering phishing attacks consists of the following components: сервер, предназначенный для актуализации списков IP адресов унифицированных указателей ресурсов (URL), хранения базы данных подлинных ресурсов, передачи базы данных подлинных ресурсов на клиентскую сторону, проверки потенциально фишинговых IP адресов, передачи результатов проверки на совпадение со списком подлинных IP адресов ресурса; связанный с клиентским модулем средством синхронизации и состоящий из:a server designed to update the lists of IP addresses of unified resource locators (URLs), store the database of genuine resources, transfer the database of genuine resources to the client side, check for potentially phishing IP addresses, transfer the results of the check to match the list of genuine IP addresses of the resource; associated with the client module synchronization tool and consisting of: базы данных подлинных ресурсов, связанной со средством опроса серверов системы доменных имен (DNS серверов) и со средством синхронизации и предназначенной для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL;a database of genuine resources associated with a means of polling servers of a domain name system (DNS servers) and with a means of synchronization for storing a list of URLs and sets of genuine IP addresses corresponding to each URL; средства опроса серверов системы доменных имен, связанного с базой данных подлинных ресурсов и со средством синхронизации и предназначенного для проведения опроса DNS серверов с целью формирования наборов подлинных IP-адресов для каждой записи URL из списка URL, хранящегося в базе данных подлинных ресурсов;means for interrogating servers of a domain name system associated with a database of genuine resources and with a means of synchronization for querying DNS servers to generate sets of genuine IP addresses for each URL entry from a list of URLs stored in the database of genuine resources; базы данных о фишинговых ресурсах, связанной со средством синхронизации и предназначенной для сбора и хранения IP адресов фишинговых ресурсов;a database of phishing resources associated with the synchronization tool and designed to collect and store IP addresses of phishing resources; средства синхронизации, связанного с базой данных подлинных ресурсов, средством опроса серверов системы доменных имен, базой данных фишинговых ресурсов и средством синхронизации клиентского модуля и предназначенного для связи с клиентским модулем системы, с целью проведения обновления клиентской версии базы данных подлинных ресурсов; для получения определенных URL от клиентского модуля для передачи на обработку средству опроса серверов DNS и последующей передачи клиентскому модулю актуальных IP адресов заданного ресурса; и для получения от клиентского модуля фишинговых IP адресов для последующего внесения в базу данных фишинговых ресурсов;synchronization tools associated with a database of genuine resources, a means of polling servers of a domain name system, a database of phishing resources and a means of synchronizing a client module and designed to communicate with a client module of the system in order to update the client version of the database of genuine resources; to obtain specific URLs from the client module for transmission to the DNS server polling tool for processing and subsequent transfer to the client module the actual IP addresses of the specified resource; and to obtain phishing IP addresses from the client module for subsequent entry into the database of phishing resources; клиентский модуль, связанный с сервером и предназначенный для хранения клиентской версии базы данных подлинных ресурсов; выявления потенциально фишинговых IP адресов ресурсов; предоставления или запрета доступа к ресурсу с выявленным потенциально фишинговым IP адресом в соответствии с результатами проверки на совпадение со списком подлинных IP адресов запрашиваемого ресурса; применения действий по предоставлению доступа к подлинному ресурсу, предусматривающей блокировку доступа к ресурсу, если обнаружена фишинг атака, чем достигается противодействие фишинг атаке, при этом клиентский модуль состоит из:the client module associated with the server and designed to store the client version of the database of genuine resources; identifying potentially phishing IP addresses of resources; granting or denying access to a resource with a potentially identified phishing IP address in accordance with the results of checking for coincidence with a list of genuine IP addresses of the requested resource; application of actions to provide access to a genuine resource, which provides for blocking access to a resource if a phishing attack is detected, thereby countering a phishing attack, while the client module consists of: клиентской версии базы данных подлинных ресурсов, связанной с управляющим модулем и со средством синхронизации клиента и предназначенной для хранения списка URL и наборов подлинных IP адресов, соответствующих каждому URL, полученной от сервера;.the client version of the database of genuine resources associated with the control module and with the client synchronization tool and designed to store a list of URLs and sets of genuine IP addresses corresponding to each URL received from the server ;. средства регистрации запросов, связанного с управляющим модулем и предназначенного для регистрации пользовательских запросов операционной системе компьютера пользователя о предоставлении доступа к Интернет-ресурсам и формирования данных для управляющего модуля, URL которых содержится в клиентской версии базы данных подлинных ресурсов;means for registering requests associated with the control module and designed to register user requests to the user's computer operating system for providing access to Internet resources and generating data for the control module, the URLs of which are contained in the client version of the database of genuine resources; управляющего модуля, предназначенного для:a control module designed for: сравнения данных, полученных модулем регистрации запросов, с данными из клиентской версии базы данных подлинных ресурсов,comparing the data received by the request registration module with the data from the client version of the database of genuine resources, предоставления доступа к ресурсу в случае совпадения данных,providing access to the resource in case of data coincidence, в противном случае, для отправления через средство синхронизации запроса о предоставлении актуального списка IP адресов указанного ресурса,otherwise, to send through the synchronization tool a request for an up-to-date list of IP addresses of the specified resource, сравнения данных, полученных модулем регистрации запросов, с данными актуального списка IP-адресов,comparing the data received by the request registration module with the data of the current list of IP addresses, предоставления доступа к ресурсу в случае совпадения данных,providing access to the resource in case of data coincidence, в противном случае связка URL-IP адрес отправляется через средство синхронизации на сервер и заносится в базу данных информации о фишинговых ресурсах,otherwise, a bunch of URL-IP addresses is sent through the synchronization tool to the server and entered into the database of information about phishing resources, и применяются действия по предоставлению доступа к подлинному ресурсу;and actions are taken to provide access to the genuine resource; управляющий модуль связан со средством регистрации запросов, клиентской версией базы данных информации подлинных ресурсов и средством синхронизации клиента;the control module is associated with a means for registering requests, a client version of a database of genuine resources information, and a means for synchronizing a client; средства синхронизации клиентского модуля, связанного с управляющим модулем и клиентской версией базы данных информации подлинных ресурсов, предназначенного для отправки запросов серверу о предоставлении актуальных списков IP адресов, получения новых версий базы данных информации подлинных ресурсов и актуальных списков IP адресов.means for synchronizing the client module associated with the control module and the client version of the database of information of genuine resources, designed to send requests to the server for the provision of current lists of IP addresses, obtain new versions of the database of information of genuine resources and current lists of IP addresses. 2. Система по п.1, в которой действием по предоставлению доступа к подлинному ресурсу может являться предоставление операционной системе корректных данных о запрашиваемом ресурсе.2. The system according to claim 1, in which the action to provide access to a genuine resource may be providing the operating system with correct data about the requested resource. 3. Система по п.1, в которой клиентский модуль в случае обнаружения запроса доступа к фишинговому IP адресу совершает запрос доступа к каждому ресурсу из клиентской версии базы данных подлинных ресурсов с целью получения новых фишинговых IP адресов.
Figure 00000001
3. The system according to claim 1, in which the client module, in case of a request for access to a phishing IP address, makes an access request to each resource from the client version of the database of genuine resources in order to obtain new phishing IP addresses.
Figure 00000001
RU2010144587/08U 2010-11-01 2010-11-01 ANTI-PHISH ATTACK SYSTEM RU103643U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2010144587/08U RU103643U1 (en) 2010-11-01 2010-11-01 ANTI-PHISH ATTACK SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2010144587/08U RU103643U1 (en) 2010-11-01 2010-11-01 ANTI-PHISH ATTACK SYSTEM

Publications (1)

Publication Number Publication Date
RU103643U1 true RU103643U1 (en) 2011-04-20

Family

ID=44051722

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2010144587/08U RU103643U1 (en) 2010-11-01 2010-11-01 ANTI-PHISH ATTACK SYSTEM

Country Status (1)

Country Link
RU (1) RU103643U1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9282112B2 (en) 2014-08-01 2016-03-08 Kaspersky Lab Ao System and method for determining category of trust of applications performing interface overlay
RU2580053C2 (en) * 2014-08-01 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" System and method of determining unknown status application
RU2671991C2 (en) * 2016-12-29 2018-11-08 Общество с ограниченной ответственностью "Траст" System and method for collecting information for detecting phishing
RU2726032C2 (en) * 2015-11-04 2020-07-08 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Systems and methods for detecting malicious programs with a domain generation algorithm (dga)
RU2758084C1 (en) * 2021-04-07 2021-10-26 Общество с ограниченной ответственностью "ВайтХак" Analysis system for level of vulnerability to phishing attack and assigning vulnerability level to phishing attack

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9282112B2 (en) 2014-08-01 2016-03-08 Kaspersky Lab Ao System and method for determining category of trust of applications performing interface overlay
RU2580053C2 (en) * 2014-08-01 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" System and method of determining unknown status application
RU2580032C2 (en) * 2014-08-01 2016-04-10 Закрытое акционерное общество "Лаборатория Касперского" System and method of determining the category of proxy application
RU2726032C2 (en) * 2015-11-04 2020-07-08 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Systems and methods for detecting malicious programs with a domain generation algorithm (dga)
RU2671991C2 (en) * 2016-12-29 2018-11-08 Общество с ограниченной ответственностью "Траст" System and method for collecting information for detecting phishing
RU2758084C1 (en) * 2021-04-07 2021-10-26 Общество с ограниченной ответственностью "ВайтХак" Analysis system for level of vulnerability to phishing attack and assigning vulnerability level to phishing attack
WO2022216181A3 (en) * 2021-04-07 2022-12-01 Общество с ограниченной ответственностью "ВайтХак" System for assessing the level of vulnerability to a phishing attack

Similar Documents

Publication Publication Date Title
US11882109B2 (en) Authenticated name resolution
US20240031155A1 (en) Decentralized data authentication
US10764316B2 (en) Malware detection system based on stored data
AU2020419017B2 (en) Secure online access control to prevent identification information misuse
US11330005B2 (en) Privileged account breach detections based on behavioral access patterns
US7606915B1 (en) Prevention of unauthorized scripts
EP3874379B1 (en) Signed message header storing sender account authentication method
US8769706B2 (en) System and method for user to verify a network resource address is trusted
US20110047610A1 (en) Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication
CN109690547A (en) For detecting the system and method cheated online
US20070056022A1 (en) Two-factor authentication employing a user's IP address
CN107634967B (en) A CSRFToken defense system and method for CSRF attack
CN101816148A (en) System and method for authentication, data transfer and protection against phishing
US10341382B2 (en) System and method for filtering electronic messages
Bin et al. A DNS based anti-phishing approach
CN108616544B (en) Method, system, and medium for detecting updates to a domain name system recording system
US20200044839A1 (en) User identity authentication method and device, readable storage medium and computer equipment
RU2724713C1 (en) System and method of changing account password in case of threatening unauthorized access to user data
RU103643U1 (en) ANTI-PHISH ATTACK SYSTEM
US20090208020A1 (en) Methods for Protecting from Pharming and Spyware Using an Enhanced Password Manager
US10462180B1 (en) System and method for mitigating phishing attacks against a secured computing device
US9197591B2 (en) Method and system for validating email from an internet application or website
Dong et al. User behaviour based phishing websites detection
Sinha et al. CookieArmor: Safeguarding against cross‐site request forgery and session hijacking
Raponi et al. A spark is enough in a straw world: A study of websites password management in the wild

Legal Events

Date Code Title Description
MM9K Utility model has become invalid (non-payment of fees)

Effective date: 20171102