RU2792580C1 - Method and system for detecting compromise of networks of pos-terminals - Google Patents
Method and system for detecting compromise of networks of pos-terminals Download PDFInfo
- Publication number
- RU2792580C1 RU2792580C1 RU2021133879A RU2021133879A RU2792580C1 RU 2792580 C1 RU2792580 C1 RU 2792580C1 RU 2021133879 A RU2021133879 A RU 2021133879A RU 2021133879 A RU2021133879 A RU 2021133879A RU 2792580 C1 RU2792580 C1 RU 2792580C1
- Authority
- RU
- Russia
- Prior art keywords
- compromised
- territories
- pos
- organization
- networks
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 230000001010 compromised effect Effects 0.000 claims abstract description 155
- 230000008520 organization Effects 0.000 claims description 75
- 230000007787 long-term memory Effects 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 2
- 239000000126 substance Substances 0.000 abstract 1
- 230000004044 response Effects 0.000 description 11
- 238000012795 verification Methods 0.000 description 5
- 230000015654 memory Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 235000013305 food Nutrition 0.000 description 3
- 101150055024 GIS2 gene Proteins 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 208000001613 Gambling Diseases 0.000 description 1
- 241001025261 Neoraja caerulea Species 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Abstract
Description
ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY
Данное техническое решение относится к области вычислительной техники, а именно к устройствам и способам выявления компрометации сетей POS-терминалов.This technical solution relates to the field of computer technology, namely to devices and methods for detecting compromise of POS-terminal networks.
УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE INVENTION
POS-терминал (POS - от английских слов Point Of Sale - точка продажи) - это электронное устройство для приема бесконтактных платежей. Оно может принимать платежные карты с чипом, с магнитной полосой, бесконтактные карты, а также другие устройства, имеющие бесконтактное сопряжение, например смартфоны. В дальнейшем для простоты изложения по тексту настоящей заявки устройства, рассчитанные на бесконтактное сопряжение с POS-терминалом, будем обобщенно называть банковской картой, вне зависимости от его технического исполнения.POS-terminal (POS - from the English words Point Of Sale - point of sale) is an electronic device for accepting contactless payments. It can accept chip payment cards, magnetic stripe cards, contactless cards, and other contactless devices such as smartphones. In the future, for simplicity of presentation in the text of this application, devices designed for contactless pairing with a POS-terminal will be generically called a bank card, regardless of its technical design.
POS-терминалами также нередко называют весь программно-аппаратный комплекс, установленный на рабочем месте кассира и обычно представляющий собой вычислительное устройство, в состав которого входит и собственно терминал.POS-terminals are also often referred to as the entire software and hardware complex installed at the cashier's workplace and usually representing a computing device, which includes the terminal itself.
Это вычислительное устройство может быть тем или иным способом скомпрометировано злоумышленниками. В случае успешной компрометации POS-терминала злоумышленники получают возможность красть (копировать) данные банковских карт, которые были использованы при осуществлении платежей на данном терминале. Вследствие этого банковская карта также оказывается скомпрометирована, а сами данные, как правило, накапливаются злоумышленниками и впоследствии выставляются ими на продажу на специализированных веб-ресурсах так называемого даркнета (сегмента сети Интернет, технически приспособленного для анонимного общения).This computing device can be compromised in one way or another by intruders. If a POS terminal is successfully compromised, attackers get the opportunity to steal (copy) bank card data that was used to make payments at this terminal. As a result, the bank card is also compromised, and the data itself, as a rule, is accumulated by attackers and subsequently put up for sale on specialized web resources of the so-called darknet (an Internet segment technically adapted for anonymous communication).
Говоря о сети POS-терминалов, обычно подразумевают совокупность таких терминалов, расположенных в торговых точках одной и той же организации. Очевидно, что в городе или районе, как правило существует множество разных, обычно не зависящих друг от друга сетей POS-терминалов. Например, одна такая сеть может принадлежать компании, владеющей автозаправочными станциями, вторая - сети цветочных магазинов, третья филиалам гостиничного комплекса, четвертая - сети ресторанов и т.д.Speaking of a network of POS-terminals, they usually mean a set of such terminals located in outlets of the same organization. It is obvious that in a city or region, as a rule, there are many different, usually independent POS-terminal networks. For example, one such chain may belong to a company that owns gas stations, the second - to a chain of flower shops, the third to branches of a hotel complex, the fourth - to a chain of restaurants, etc.
Из уровня техники известно, что существует способ автоматизированной проверки легитимности транзакции посредством почтового индекса, который был указан владельцем банковской карты при ее выпуске. Такая проверка называется "Address verification system" или "AVS". Проверка основывается на том, что владелец карты знает почтовый индекс, который он указал при выпуске карты. При попытке проведения платежа или перевода у владельца карты запрашивается информация об этом почтовом индексе. Если указанный владельцем карты почтовый индекс совпадает с почтовым индексом отделения, который был указан при выпуске банковской карты, то транзакция считается легитимной.It is known from the prior art that there is a method for automatically verifying the legitimacy of a transaction using the postal code that was specified by the owner of the bank card when it was issued. This check is called "Address verification system" or "AVS". The verification is based on the fact that the cardholder knows the postal code that he provided when issuing the card. When trying to make a payment or transfer, the cardholder is asked for information about this postal code. If the postal code specified by the cardholder matches the postal code of the branch that was specified when issuing the bank card, then the transaction is considered legitimate.
На основе проверки почтового индекса "Address verification system" была разработана автоматическая система проверки легитимности транзакции, которая при получении данных о транзакции сверяет адрес проводимой транзакции с ограниченным списком адресов, для которых заранее разрешены транзакции. Список адресов, для которых заранее разрешены транзакции, строится по принципу близости к домашнему адресу владельца банковской карты. Владелец банковской карты при выпуске банковской карты указывает адрес и почтовый индекс своего места жительства. Предполагается, что владелец банковской карты будет совершать большую часть покупок в относительной близости к дому. Не предполагается, что владелец банковской карты будет, например, совершать покупки из разных частей света. Таким образом, если злоумышленники украли данные карты и попробуют воспользоваться данными украденной карты, проведя транзакцию где-то на значительном удалении от дома владельца банковской карты, то проведение такой транзакции будет автоматически заблокировано банком. Сейчас такая система автоматической проверки реализована и активно применяется многими банками. Однако, после того как принцип действия AVS стал известен злоумышленникам, ими были найдены и способы обхода.Based on the "Address verification system" postal code check, an automatic system for checking the legitimacy of a transaction was developed, which, upon receipt of transaction data, checks the address of the ongoing transaction with a limited list of addresses for which transactions are pre-authorized. The list of addresses for which transactions are allowed in advance is built on the principle of proximity to the home address of the bank card holder. When issuing a bank card, the owner of a bank card indicates the address and postal code of his place of residence. It is assumed that the owner of a bank card will make most of the purchases in relative proximity to the house. It is not expected that the owner of a bank card will, for example, make purchases from different parts of the world. Thus, if the attackers stole the card data and try to use the stolen card data by making a transaction somewhere at a considerable distance from the bank card owner's home, then such a transaction will be automatically blocked by the bank. Now such an automatic verification system has been implemented and is actively used by many banks. However, after the principle of operation of AVS became known to attackers, they also found ways to bypass it.
Как упоминалось выше, в даркнете, в специализированных онлайн-магазинах злоумышленниками продаются базы данных, содержащие информацию о скомпрометированных банковских картах. Как правило, к продаже предлагают базы данных двух видов: "СС" и "DUMP". Базы данных типа "СС" содержат текстовые данные: номер карты, срок годности, CVV-код, имя владельца и т.д. Как правило, эти данные были получены мошенниками, когда пользователь вводил их для покупки в онлайн-магазине. Базы данных типа "DUMP" содержат информацию, скопированную с магнитной полосы или чипа на самой банковской карте. Именно такие базы данных злоумышленники получают после компрометации POS-терминалов. Подобную информацию технически возможно записать на пустой носитель, что позволит изготовить физическую копию скомпрометированной карты. Физическая копия карты может быть использована злоумышленниками для оплаты в обычных оффлайн-магазинах, принимающих оплату банковскими картами. В дальнейшем описании для обозначения баз данных с банковскими картами типа "DUMP" будет использоваться термин "база дампов банковских карт" или просто «база дампов».As mentioned above, on the darknet, in specialized online stores, attackers sell databases containing information about compromised bank cards. As a rule, two types of databases are offered for sale: "SS" and "DUMP". Databases of the "CC" type contain text data: card number, expiration date, CVV code, owner's name, etc. As a rule, these data were obtained by fraudsters when the user entered them for a purchase in an online store. "DUMP" type databases contain information copied from a magnetic stripe or a chip on the bank card itself. It is these databases that attackers get after compromising POS terminals. It is technically possible to write such information on a blank medium, which will make it possible to make a physical copy of a compromised card. A physical copy of the card can be used by attackers to pay in ordinary offline stores that accept payment by bank cards. In the following description, to designate databases with bank cards of the "DUMP" type, the term "bank card dump database" or simply "dump database" will be used.
Как правило, в базах дампов банковских карт для каждой карты, помимо скопированной с нее информации, указывают также место компрометации, а именно почтовый индекс того района, где находится скомпрометированный POS-терминал, посредством которого злоумышленник скопировал информацию с карты. Это делается для того, чтобы потенциальный покупатель мог, не вызывая подозрения у банковских AVS-систем, воспользоваться приобретенными данными банковских карт. Другими словами, покупатель обычно приобретает такую базу дампов банковских карт, в которой почтовые индексы соответствуют региону, где планируется использовать изготовленные копии банковских карт для совершения оффлайн-покупок. Таким образом злоумышленникам удается обойти контроль AVS-систем, поскольку транзакции всякий раз происходят в магазинах, физически близких к месту выпуска исходной, скомпрометированной банковской карты.As a rule, bank card dump databases for each card, in addition to the information copied from it, also indicate the place of compromise, namely the postal code of the area where the compromised POS terminal is located, through which the attacker copied information from the card. This is done so that a potential buyer can, without arousing suspicion in banking AVS systems, use the acquired bank card data. In other words, the buyer usually purchases a database of bank card dumps in which postal codes correspond to the region where it is planned to use the made copies of bank cards for offline purchases. In this way, attackers manage to bypass the control of AVS systems, since transactions each time take place in stores that are physically close to the place where the original, compromised bank card was issued.
В частности, известно, что именно результатом компрометации сети POS-терминалов является утечка данных банковских карт, произошедшая в 2014 году из торговых точек организации "Sally Beauty". Статьи о расследовании (на английском языке) опубликованы на момент подачи заявки по следующим ссылкам:In particular, it is known that the leak of bank card data that occurred in 2014 from the sales outlets of the Sally Beauty organization is the result of the compromise of the POS-terminal network. Investigation articles (in English) published at the time of application at the following links:
https://krebsonsecurity.com/2014/03/sally-beauty-hit-by-credit-card-breach/ иhttps://krebsonsecurity.com/2014/03/sally-beauty-hit-by-credit-card-breach/ and
https://krebsonsecurity.com/2014/03/zip-codes-show-extent-of-sally-beauty-breach/comment-page-1/.https://krebsonsecurity.com/2014/03/zip-codes-show-extent-of-sally-beauty-breach/comment-page-1/.
Данные источники раскрывают то обстоятельство, что установить источник утечки данных удалось, сопоставив список почтовых индексов из дампа банковских карт, опубликованного в даркнете, со списком почтовых индексов, на территории которых расположены торговые точки сети "Sally Beauty", причем критерием принятия решения о компрометации сети POS-терминалов послужило полное совпадение этих списков.These sources disclose the fact that it was possible to establish the source of the data leak by comparing the list of postal codes from the dump of bank cards published on the dark web with the list of postal codes on the territory of which the outlets of the Sally Beauty network are located, moreover, the criterion for making a decision on compromising the network POS-terminals served as a complete match of these lists.
Однако, указанные статьи не раскрывают способ выявления скомпрометированной сети POS-терминалов при неполном совпадении списка почтовых индексов из дампа банковских карт со списком индексов расположения торговых точек какой-либо организации. Также указанные статьи не раскрывают возможные способы автоматического анализа данных, которые позволяли бы выявить скомпрометированную сеть POS-терминалов одной организации из множества организаций, торговые точки которых присутствуют на территории, соответствующей списку почтовых индексов из дампа банковских карт.However, these articles do not disclose a method for detecting a compromised POS-terminal network when the list of postal codes from the bank card dump does not exactly match the list of indexes for the location of outlets of any organization. Also, these articles do not disclose possible methods of automatic data analysis that would allow to identify a compromised network of POS terminals of one organization from a variety of organizations whose outlets are located in the territory corresponding to the list of postal codes from the dump of bank cards.
Из уровня техники также известны решения, которые позволяют детектировать факт утечки данных о банковских картах. В частности, известен патент US 11062317 B2 (Akli Adjaoute DATA BREACH DETECTION, опубл. 13.07.2021. кл. G06Q 20/40, G06Q 30/02). В нем описан способ обнаружения утечки данных, посредством анализа записей о транзакциях в режиме реального времени. Сомнительные транзакции сравниваются с периодами регулярных транзакции, характерных для клиента на протяжении дней, недель, месяцев. Для банковских карт, с которых производились сомнительные транзакции, создается единая база данных. С ее помощью проводится расследования по организациям с подозрительными транзакциями. Для каждой организации создается идентификатор для последующего отслеживания и сбора информации по операциям, проводимым данной организацией. На основании информации об операциях рассчитывается вероятность мошенничества. Если рассчитанная вероятность больше заданного порога, то генерируется предупреждение о возможной утечке данных и предположительном месте компрометации.Solutions are also known from the prior art that make it possible to detect the fact of leakage of bank card data. In particular, patent US 11062317 B2 (Akli Adjaoute DATA BREACH DETECTION, publ. 13.07.2021. class G06Q 20/40, G06Q 30/02) is known. It describes a method for detecting data leakage by analyzing transaction records in real time. Doubtful transactions are compared with periods of regular transactions typical for the client over the course of days, weeks, months. For bank cards from which suspicious transactions were made, a single database is created. With its help, investigations are carried out on organizations with suspicious transactions. For each organization, an identifier is created for subsequent tracking and collection of information on the operations conducted by this organization. Based on the information about the transactions, the probability of fraud is calculated. If the calculated probability is greater than the specified threshold, then a warning is generated about a possible data leak and a suspected compromise location.
Как легко видеть, данный способ может быть реализован только с использованием подробной информации о статистике транзакций, причем для его реализации необходим доступ к базе данных транзакций банка-эмитента карты.As can be easily seen, this method can only be implemented using detailed information about transaction statistics, and its implementation requires access to the transaction database of the card issuing bank.
Настоящее решение нацелено на устранение по меньшей мере ряда недостатков, присущих решениям, известным из уровня техники. В частности, в соответствии с описанным способом, для выявления скомпрометированной сети POS-терминалов не требуется доступ к статистике банковских транзакций и иной подобной информации.The present solution is aimed at eliminating at least a number of disadvantages inherent in the solutions known from the prior art. In particular, in accordance with the described method, access to banking transaction statistics and other similar information is not required to identify a compromised network of POS terminals.
СУЩНОСТЬ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION
В рамках настоящего описания, если это не оговорено непосредственно по месту применения, нижеперечисленные специальные термины используются в следующих значениях:Within the scope of this description, unless otherwise specified at the place of application, the following specific terms are used with the following meanings:
Скомпрометированная сеть POS-терминалов - это сеть, в которой на по меньшей мере один POS-терминал было установлено вредоносное аппаратное решение или программное обеспечение, позволяющее копировать данные банковских карт.A compromised POS network is a network in which at least one POS terminal has been installed with malicious hardware or software that allows copying bank card data.
идентификаторы территорий: почтовые индексы, ZIP-коды, почтовые коды, названия улиц, кварталов, районов, городов, округов, муниципалитетов, графств, штатов, провинций, областей, стран и т.д.area identifiers: postal codes, ZIP codes, postal codes, street names, neighborhoods, districts, cities, counties, municipalities, counties, states, provinces, regions, countries, etc.
скомпрометированные территории - это территории, идентификаторы которых указаны в выставленной на продажу базе дампов банковских карт.compromised territories are territories whose identifiers are specified in the database of bank card dumps offered for sale.
идентификаторы скомпрометированных территорий - идентификаторы территорий, указанные в базе дампов банковских карт.identifiers of compromised territories - identifiers of territories specified in the database of bank card dumps.
Вышестоящая единица территориально-административного деления (ВЕТАД) - единица территориально-административного деления конкретной страны, находящаяся на один уровень выше, чем данная территория. Так, например, для территории, соответствующей конкретному почтовому индексу или ZIP-коду, в России ВЕТАД является район, для США - округ. В свою очередь, для российского района ВЕТАД является область, для округа в США ВЕТАД является штат. Понятно, что область или штат также являются ВЕТАД для территории, соответствующей почтовому индексу или ZIP-коду.Superior territorial-administrative division (VETAD) - a unit of territorial-administrative division of a particular country, which is one level higher than the given territory. So, for example, for a territory corresponding to a specific postal code or ZIP code, in Russia VETAD is a district, for the USA it is a district. In turn, for the Russian region, VETAD is a region, for a US district, VETAD is a state. It is understood that an area or state is also a BETAD for a territory corresponding to a zip code or ZIP code.
Список потенциально скомпрометированных организаций - это список организаций, владеющих торговыми точками, расположенными на скомпрометированной территории.The list of potentially compromised organizations is a list of organizations that own outlets located in the compromised territory.
База дампов банковских карт - база данных, содержащая информацию, скопированную с магнитной полосы или чипа оригинальных банковских карт. В тексте также для краткости называется базой дампов.Bank card dump database - a database containing information copied from the magnetic stripe or chip of original bank cards. Also referred to as the dump base in the text for brevity.
Технической проблемой, на решение которой направлено заявленное техническое решение, является создание компьютерно-реализуемого способа и системы выявления компрометации сети POS-терминалов, принадлежащей определенной организации. Способ и система выявления компрометации сети POS-терминалов, охарактеризованы в независимых пунктах формулы. Дополнительные варианты реализации настоящего решения представлены в зависимых пунктах формулы изобретения.The technical problem to be solved by the claimed technical solution is the creation of a computer-implemented method and system for detecting a compromise of a POS-terminal network belonging to a certain organization. The method and system for detecting compromise of the POS-terminal network are described in independent claims. Additional embodiments of the present solution are presented in dependent claims.
Технический результат заключается в обеспечении автоматического выявления компрометации сети POS-терминалов.EFFECT: technical result consists in providing automatic detection of POS-terminals network compromise.
Предлагаемое к патентованию техническое решение представляет собой компьютерно-реализуемый способ выявления компрометации сетей POS-терминалов. Данный способ содержит шаги, на которых получают идентификаторы скомпрометированных территорий, формируют базу данных потенциально скомпрометированных сетей POS-терминалов, определяют параметры компрометации по меньшей мере одной сети POS-терминалов, определяют вероятность компрометации по меньшей мере одной сети POS-терминалов, формируют ранжированный по вероятности компрометации список сетей POS-терминалов и идентифицируют по меньшей мере одну сеть POS-терминалов из ранжированного списка как скомпрометированную.The technical solution proposed for patenting is a computer-implemented method for detecting compromise of POS-terminal networks. This method includes steps on which identifiers of compromised territories are obtained, a database of potentially compromised POS-terminal networks is formed, compromise parameters of at least one POS-terminal network are determined, the probability of compromise of at least one POS-terminal network is determined, and a probability-ranked compromise a list of POS terminal networks and identify at least one POS terminal network from the ranked list as compromised.
Возможен вариант реализации описываемого способа, в котором предварительно формируют географическую базу данных и базу данных коммерческих организаций.It is possible to implement the described method, in which a geographic database and a database of commercial organizations are preliminarily formed.
Возможен вариант реализации описываемого способа, в котором после получения набора идентификаторов скомпрометированных территорий определяют, посредством запросов к заблаговременно подготовленной географической базе данных, страну, к которой относятся полученные идентификаторы скомпрометированных территорий.It is possible to implement the described method, in which, after receiving a set of identifiers of compromised territories, it is determined, by means of queries to a geographic database prepared in advance, the country to which the received identifiers of compromised territories belong.
Еще в одном возможном варианте реализации описываемого способа параметры компрометации определяют посредством запросов к заблаговременно подготовленной базе данных коммерческих организаций.In another possible embodiment of the described method, the compromise parameters are determined by means of queries to a pre-prepared database of commercial organizations.
Еще в одном возможном варианте реализации описываемого способа база данных потенциально скомпрометированных сетей POS-терминалов включает в себя по меньшей мере идентификаторы скомпрометированных территорий, названия организаций, сети POS-терминалов которых находятся на скомпрометированных территориях, адреса торговых точек организаций, сети POS-терминалов которых находятся на скомпрометированных территориях, а также вышестоящие единицы территориально-административного деления (ВЕТАД), соответствующие скомпрометированным территориям.In another possible implementation of the described method, the database of potentially compromised POS terminal networks includes at least identifiers of compromised territories, names of organizations whose POS terminal networks are located in compromised territories, addresses of outlets of organizations whose POS terminal networks are located in the compromised territories, as well as higher units of the territorial-administrative division (VETAD) corresponding to the compromised territories.
Возможен вариант реализации описываемого способа, в котором к параметрам компрометации сети POS-терминалов относят: количество идентификаторов скомпрометированных территорий, где присутствует по меньшей мере одна торговая точка данной организации, общее количество идентификаторов скомпрометированных территорий, количество торговых точек данной организации, находящихся на скомпрометированных территориях, и общее количество сетей торговых точек данной организации, находящихся на территориях всех ВЕТАД, соответствующих скомпрометированным территориям.It is possible to implement the described method, in which the POS-terminal network compromise parameters include: the number of identifiers of compromised territories, where at least one outlet of this organization is present, the total number of identifiers of compromised territories, the number of outlets of this organization located in compromised territories, and the total number of networks of outlets of this organization located in the territories of all VETADs corresponding to the compromised territories.
Возможен вариант реализации описываемого способа, в котором вероятность компрометации по меньшей мере одной сети POS-терминалов определяют как произведение частотности сетей POS-терминалов данной организации на скомпрометированных территориях на вероятность присутствия сетей POS-терминалов этой организации на скомпрометированных территориях.It is possible to implement the described method, in which the probability of compromising at least one network of POS terminals is determined as the product of the frequency of POS terminal networks of a given organization in compromised territories by the probability of presence of POS terminal networks of this organization in compromised territories.
Возможен вариант реализации описываемого способа, в котором частотность сетей POS-терминалов данной организации на скомпрометированных территориях определяют как отношение количества идентификаторов скомпрометированных территорий, где присутствует по меньшей мере одна торговая точка данной организации, к общему количеству идентификаторов скомпрометированных территорий.It is possible to implement the described method, in which the frequency of POS-terminal networks of a given organization in compromised territories is determined as the ratio of the number of identifiers of compromised territories, where at least one outlet of this organization is present, to the total number of identifiers of compromised territories.
Возможен вариант реализации описываемого способа, в котором вероятность присутствия сетей POS-терминалов данной организации на скомпрометированных территориях определяют как отношение количества торговых точек данной организации на скомпрометированных территориях к общему количеству торговых точек данной организации на территориях всех ВЕТАД, соответствующих скомпрометированным территориям;It is possible to implement the described method, in which the probability of the presence of POS-terminal networks of a given organization in the compromised territories is determined as the ratio of the number of outlets of this organization in the compromised territories to the total number of outlets of this organization in the territories of all VETADs corresponding to the compromised territories;
Возможен вариант реализации описываемого способа, в котором к скомпрометированным сетям POS-терминалов относят ту сеть POS-терминалов, которая имеет наибольшее значение вероятности компрометации.It is possible to implement the described method, in which the compromised networks of POS terminals include the network of POS terminals that has the highest value of the probability of compromise.
Возможен также вариант реализации описываемого способа, в котором к скомпрометированным сетям POS-терминалов относят все сети POS-терминалов для которых рассчитанные значения вероятности компрометации превышают заранее заданный порог.It is also possible to implement the described method, in which the compromised networks of POS terminals include all networks of POS terminals for which the calculated values of the probability of compromise exceed a predetermined threshold.
Заявленный способ реализован в системе для выявления компрометации сети POS-терминалов, которая содержит по меньшей мере: процессор, долговременную память, содержащую по меньшей мере одну базу данных и машиночитаемые команды, которые при исполнении их процессором обеспечивают выполнение описанного способа.The claimed method is implemented in a system for detecting a compromise of a POS-terminal network, which contains at least: a processor, a long-term memory containing at least one database and machine-readable instructions, which, when executed by the processor, ensure the execution of the described method.
ОПИСАНИЕ ЧЕРТЕЖЕЙDESCRIPTION OF THE DRAWINGS
Реализация изобретения будет описана в дальнейшем в соответствии с прилагаемыми чертежами, которые представлены для пояснения сути изобретения и никоим образом не ограничивают область изобретения. К заявке прилагаются следующие чертежи:The implementation of the invention will be described hereinafter in accordance with the accompanying drawings, which are presented to explain the essence of the invention and in no way limit the scope of the invention. The following drawings are attached to the application:
Фиг. 1А иллюстрирует способ выявления компрометации сети POS-терминалов.Fig. 1A illustrates a method for detecting a POS network compromise.
Фиг. 1Б иллюстрирует шаг определения параметров компрометации сети POS-терминалов, являющийся частью способа выявления компрометации сети POS-терминалов.Fig. 1B illustrates the POS network compromise parameter determination step, which is part of the POS network compromise detection method.
Фиг. 2 иллюстрирует пример общей схемы вычислительного устройства.Fig. 2 illustrates an example of a general design of a computing device.
ДЕТАЛЬНОЕ ОПИСАНИЕDETAILED DESCRIPTION
В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, будет очевидно каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не были описаны подробно, чтобы не затруднять понимание особенностей настоящего изобретения.In the following detailed description of the implementation of the invention, numerous implementation details are provided to provide a clear understanding of the present invention. However, one skilled in the art will appreciate how the present invention can be used, both with and without these implementation details. In other cases, well-known methods, procedures and components have not been described in detail so as not to obscure the features of the present invention.
Кроме того, из приведенного изложения будет ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, будут очевидными для квалифицированных в предметной области специалистов.Furthermore, it will be clear from the foregoing that the invention is not limited to the present implementation. Numerous possible modifications, changes, variations and substitutions that retain the spirit and form of the present invention will be apparent to those skilled in the subject area.
Настоящее изобретение направлено на обеспечение реализации компьютерно-реализуемого способа и системы выявления компрометации сети POS-терминалов. POS-терминалы могут быть скомпрометированы злоумышленниками посредствам установки на них вредоносного программного обеспечения или вредоносного аппаратного решения, например, так называемого скиммера. Каждый раз, когда кто-либо использует банковскую карту для оплаты через скомпрометированный POS-терминал, данные используемой для этого банковской карты копируются злоумышленниками. Злоумышленники агрегируют полученные данные в базы дампов и выставляют их на продажу на специализированных веб-ресурсах, в так называемом даркнете.The present invention is directed to providing a computer-implemented method and system for detecting compromise in a POS network. POS terminals can be compromised by attackers by installing malicious software or malicious hardware such as a so-called skimmer. Every time someone uses a bank card to pay through a compromised POS terminal, the details of the bank card used for this are copied by attackers. Attackers aggregate the received data into dump databases and put them up for sale on specialized web resources, in the so-called darknet.
Помимо данных, скопированных с магнитных полос или чипов банковских карт, базы дампов зачастую также содержат идентификаторы территорий, на которых при использовании скомпрометированных POS-терминалов были скопированы эти данные. Идентификаторы скомпрометированных территорий могут представлять собой, например, почтовые индексы или ZIP-коды. Помимо них, базы дампов могут дополнительно содержать сведения о городе и\или стране, которым соответствуют приведенные идентификаторы.In addition to data copied from magnetic stripes or bank card chips, dump databases often also contain identifiers of territories where these data were copied using compromised POS terminals. Compromised territory identifiers can be, for example, postal codes or ZIP codes. In addition to them, dump databases may additionally contain information about the city and/or country that the given identifiers correspond to.
Например, каждой записи базы дампов может быть поставлена в соответствие строка следующего вида:For example, each entry in the dump base can be associated with a line of the following form:
73301, USA,73301, USA,
где 73301 является американским почтовым индексом (ZIP-кодом), a USA - указанием на то, к какой именно стране относится данный индекс.where 73301 is an American postal code (ZIP code), and USA is an indication of which country the given code belongs to.
Таким образом, идентификатор скомпрометированной территории всегда ассоциирован с записью о некоторой банковской карте, содержащейся в базе дампов, и указывает на ту территорию, на которой находится скомпрометированный POS-терминал, от которого были получены данные этой банковской карты.Thus, the identifier of the compromised territory is always associated with a record of some bank card contained in the dump database and indicates the territory where the compromised POS terminal is located, from which the data of this bank card was obtained.
Содержащиеся в подобных базах дампов идентификаторы скомпрометированных территорий могут быть использованы для выявления скомпрометированных сетей POS-терминалов.Identifiers of compromised territories contained in such dump databases can be used to identify compromised POS terminal networks.
Как представлено на Фиг. 1А, заявленный способ обнаружения компрометации сети POS-терминалов (100), может быть реализован следующим образом.As shown in FIG. 1A, the claimed method for detecting a compromise of the POS terminal network (100) can be implemented as follows.
В одном из возможных вариантов реализации способ может содержать предварительный этап, на котором формируют географическую базу данных, содержащую сведения обо всех существующих идентификаторах территорий (например, почтовых индексах) и странах, которым они соответствуют. Эта база может быть построена любым общеизвестным способом с использованием открытых Интернет-источников.In one possible implementation, the method may include a preliminary step in which a geographic database is generated containing information about all existing territory identifiers (eg, postal codes) and the countries to which they correspond. This base can be built in any well-known way using open Internet sources.
Например, для построения географической базы данных может быть использован заблаговременно изготовленный скрипт, реализующий функции краулера (поискового робота) и парсера. Сначала, используя заблаговременно подготовленный список стран и территорий мира, посредством скрипта формируют и отправляют поисковые запросы к любой общедоступной поисковой системе, такой, как Google или Яндекс.Эти поисковые запросы могут, например, в случае почтовых индексов, иметь видFor example, to build a geographic database, a pre-made script that implements the functions of a crawler (search robot) and a parser can be used. First, using a pre-prepared list of countries and territories of the world, by means of a script, search queries are generated and sent to any public search engine, such as Google or Yandex. These search queries can, for example, in the case of postal codes, look like
«список индексов [country_name]» или"index list [country_name]" or
«list of postal codes of [country_name]»,"list of postal codes of [country_name]",
где вместо [country_name] в каждый запрос подставляют название очередной страны или территории из заблаговременно подготовленного списка стран и территорий. Аналогичным образом могут быть сформированы поисковые запросы и для названий улиц, городов и других идентификаторов территорий.where instead of [country_name], each request is substituted with the name of the next country or territory from a pre-prepared list of countries and territories. Similarly, search queries can be generated for street names, cities, and other area identifiers.
Затем, посредством скрипта, анализируют поисковую выдачу по каждому из таких запросов и находят по меньшей мере один веб-ресурс, содержащий искомый список. После этого, посредством скрипта, производят переход на найденный веб-ресурс, где выполняют парсинг списка и сохраняют полученный список в базе данных, причем для каждого элемента списка в базе данных также сохраняют название страны, для которой данный список получен, а также принятое в данной стране обозначение данного идентификатора. Например, для США это ZIP code или postal code, для РФ - индекс и т.д.Then, using the script, they analyze the search results for each of these requests and find at least one web resource containing the searched list. After that, by means of a script, a transition is made to the found web resource, where the list is parsed and the resulting list is saved in the database, and for each element of the list in the database, the name of the country for which this list is received, as well as the name adopted in this country designation of this identifier. For example, for the USA it is a ZIP code or postal code, for the Russian Federation it is an index, etc.
Альтернативно, для построения географической базы данных могут быть также использованы заранее известные открытые интернет-ресурсы, содержащие списки идентификаторов территорий, рубрицированных по странам, такие, например, как www.worldpostalcodes.org, города-россия.рф и т.п.Alternatively, to build a geographic database, pre-known open Internet resources containing lists of identifiers of territories categorized by country, such as www.worldpostalcodes.org, cities-russia.rf, etc., can also be used.
Списки, полученные для разных стран, объединяют. В том случае, если какой-то индекс встречается в нескольких странах, в объединенном списке для него указывают все эти страны. Таким образом получают базу, состоящую из записей, каждая из которых выглядит, например, так:The lists obtained for different countries are combined. In the event that an index is found in several countries, all these countries are indicated in the combined list for it. Thus, a base is obtained, consisting of records, each of which looks, for example, like this:
'90630' - Эстония, Финляндия, США,'90630' - Estonia, Finland, USA,
Дополнительно в географическую базу данных для каждой страны могут быть добавлены наборы ключевых слов, сформированных на государственных языках данной страны для обозначения учреждений, в которых могут находиться POS-терминалы. В качестве неограничивающего примера, для России, США и Финляндии в географическую базу данных могут быть добавлены такие наборы ключевых слов, как:Additionally, sets of keywords formed in the state languages of this country can be added to the geographic database for each country to designate institutions where POS-terminals can be located. As a non-limiting example, for Russia, the United States, and Finland, sets of keywords such as:
Россия: аптека, банк, столовая, магазин, торговый центр, казино…Russia: pharmacy, bank, canteen, shop, mall, casino…
США: drugstore, bank, foods, shop, mall, casino…USA: drugstore, bank, foods, shop, mall, casino…
Финляндия: apteekki, pankki, ruokala, kauppa, supermarket, kasino…Finland: apteekki, pankki, ruokala, kauppa, supermarket, kasino…
Возможен также вариант реализации описываемого способа, при котором на предварительном этапе для каждой страны заблаговременно создают базу данных коммерческих организаций. Базу данных коммерческих организаций создают на основании соответствующего конкретной стране списка идентификаторов территорий (например, списка существующих в данной стране почтовых индексов).It is also possible to implement the described method, in which, at a preliminary stage, a database of commercial organizations is created for each country in advance. The database of commercial organizations is created on the basis of a country-specific list of territory identifiers (for example, a list of postal codes existing in a given country).
Для каждого идентификатора территории получают и сохраняют в базе данных коммерческих организаций список торговых точек (офисов, магазинов, ресторанов, филиалов банка и т.д), находящихся в данном идентификаторе (например, в США - на территории, соответствующей данному ZIP-коду).For each territory identifier, a list of outlets (offices, shops, restaurants, bank branches, etc.) located in this identifier is obtained and stored in the database of commercial organizations (for example, in the USA - in the territory corresponding to this ZIP code).
Для этого вычислительным устройством могут быть посредством заблаговременно подготовленного скрипта выполнены запросы к открытым источникам, например, таким как карты Google maps, ГИС2, Mapsme или Yandex maps, Yellow pages, причем запросы формируют с учетом синтаксиса, используемого источником. Например, если используются Google maps и база данных коммерческих организаций строится для России, то поисковые запросы, формируемые для идентификатора территории (индекса) 123098, могут выглядеть следующим образом:To do this, the computing device can execute requests to open sources, for example, such as Google maps, GIS2, Mapsme or Yandex maps, Yellow pages, using a script prepared in advance, and the requests are formed taking into account the syntax used by the source. For example, if Google maps is used and the database of commercial organizations is built for Russia, then search queries generated for the territory identifier (index) 123098 may look like this:
Россия индекс 123098 аптека,Russia index 123098 pharmacy,
Россия индекс 123098 банк,Russia index 123098 bank,
Россия индекс 123098 кафеRussia index 123098 cafe
Россия индекс 123098 магазинRussia index 123098 shop
Россия индекс 123098 торговый центрRussia index 123098 shopping center
И так далее. Понятно, что в ответе поисковой системы получают перечень названий и адресов соответствующих торговых точек, находящихся на территории, соответствующей данному индексу. Собственно ключевые слова, такие как банк, аптека, столовая и т.д. при этом выбирают в зависимости от того, для какой страны строится база данных.And so on. It is clear that in the response of the search engine, a list of names and addresses of the corresponding outlets located in the territory corresponding to this index is received. Actually keywords, such as bank, pharmacy, canteen, etc. in this case, they are chosen depending on the country for which the database is being built.
Полученные для каждого из идентификаторов территорий списки торговых точек любым общеизвестным образом упорядочивают по названиям организаций и сохраняют в базе данных коммерческих организаций в ассоциации с тем идентификатором, для которого был построен данный список.The lists of outlets obtained for each of the territory identifiers are ordered in any well-known way by the names of organizations and stored in the database of commercial organizations in association with the identifier for which this list was built.
Дополнительно каждой из найденных таким образом организаций в базе данных коммерческих организаций могут быть поставлены в соответствие идентификатор территории, на которой она расположена, а также все соответствующие ВЕТАД. Например, организацииAdditionally, each of the organizations found in this way in the database of commercial organizations can be associated with the identifier of the territory where it is located, as well as all relevant VETAD. For example, organizations
Аптека «Флория», Москва, 123098, улица Бочвара, 10АPharmacy "Floria", Moscow, 123098, Bochvara street, 10A
в базе данных любым общеизвестным образом могут быть поставлены в соответствие индекс 123098 и ВЕТАД: Северо-Западный округ, Москва, Центральный Федеральный округ.in the database, in any well-known way, index 123098 and VETAD can be put in correspondence: North-Western District, Moscow, Central Federal District.
В альтернативном варианте создание базы данных коммерческих организаций для каждой страны может быть выполнено оператором вручную.Alternatively, the creation of the business database for each country can be done manually by the operator.
Все перечисленные действия не имеют особенностей, хорошо известны специалистам в уровне техники и могут выполняться любым общеизвестным образом.All of the actions listed are non-specific, well known to those skilled in the art, and can be performed in any conventional manner.
Результатом предварительного этапа становится географическая база данных, в которой каждому идентификатору территории поставлено в соответствие название по меньшей мере одной страны, в которой находится обозначаемая данным идентификатором территория, а также база данных коммерческих организаций, в которой каждой коммерческой организации поставлены в соответствие идентификатор территории, например, индекс, и по меньшей мере одна ВЕТАД.The result of the preliminary stage is a geographic database, in which each territory identifier is associated with the name of at least one country in which the territory denoted by this identifier is located, as well as a database of business organizations, in which each business organization is associated with a territory identifier, for example , index, and at least one VETAD.
Шаг 110 - получение идентификаторов скомпрометированных территорийStep 110 - Obtaining the Identifiers of the Compromised Territories
Способ 100 начинается на шаге 110, на котором вычислительное устройство получает набор идентификаторов скомпрометированных территорий. Как упоминалось ранее, такими идентификаторами могут служить, без ограничения, почтовые индексы, ZIP-коды, почтовые коды, названия и\или номера отдельных строений, а также улиц, кварталов, районов, городов, округов, графств, коммун, воеводств, провинций и других единиц территориально-административного деления. Ниже работа способа будет продемонстрирована на примере почтовых индексов США (ZIP-кодов), однако, аналогичным образом могут быть использованы любые другие, без ограничений, идентификаторы. Далее по тексту почтовые индексы могут называться просто индексами или ZIP-кодами.
На шаге 110 идентификаторы скомпрометированных территорий, а также сопутствующую им информацию (например, название страны), если таковая присутствует, извлекают из базы дампов и передают на вычислительное устройство. Это может быть выполнено любым общеизвестным образом, например, посредством скрипта, реализующего функции парсера, что позволяет автоматически считать из выставленной на продажу базы дампов все текстовые строки и сохранить их на вычислительном устройстве.At
В одном из вариантов реализации изобретения вычислительное устройство может получить только набор идентификаторов скомпрометированных территорий, который ранее был извлечен из базы дампов, без какой-либо сопутствующей информации, указывающих на то, к какой стране относятся полученные идентификаторы.In one of the embodiments of the invention, the computing device can only receive a set of compromised territory identifiers that was previously extracted from the dump database, without any accompanying information indicating which country the received identifiers belong to.
В другом варианте реализации вычислительное устройство может получить как набор идентификаторов скомпрометированных территорий, ассоциированных с банковскими картами, так и сопутствующую информацию, указывающую на то, к какой стране относятся полученные идентификаторы.In another implementation, the computing device may receive both a set of compromised territory identifiers associated with bank cards and related information indicating which country the received identifiers belong to.
Во всех возможных вариантах реализации на шаге 110 посредством вычислительного устройства проводят дедупликацию, то есть удаляют из полученного списка идентификаторов скомпрометированных территорий повторяющиеся идентификаторы. В результате получают и сохраняют в базе данных модифицированный список, в котором каждый идентификатор скомпрометированной территории присутствует только один раз.In all possible implementation options, at
Ниже в качестве примера приведен набор идентификаторов скомпрометированных территорий, содержащий 951 идентификатор.Below is an example of a set of compromised territory identifiers containing 951 identifiers.
В приведенном примере из базы дампов были извлечены только идентификаторы территорий, а указания на то, к какой именно стране они относятся, отсутствуют. В подобном случае посредством вычислительного устройства строят запросы к заблаговременно подготовленной географической базе данных и определяют, к какой стране относятся идентификаторы территорий данной выборки. Это может быть сделано любым общеизвестным образом, при этом в качестве страны, к которой относятся идентификаторы, выбирают ту страну, соответствие с которой было выявлено для наибольшего количества идентификаторов.In the above example, only identifiers of territories were extracted from the dump database, and there is no indication of which country they belong to. In such a case, by means of a computing device, queries are made to a geographic database prepared in advance and it is determined to which country the identifiers of the territories of this sample belong. This can be done in any well-known way, with the country to which the identifiers belong, choosing the country with which the largest number of identifiers were found to match.
Например, если для выборки из трех идентификаторов: '72076', '92867', '90630' запросы к географической базе данных дали следующий результат:For example, if for a selection of three identifiers: '72076', '92867', '90630', queries against the geographic database gave the following result:
'72076' - Германия, США,'72076' - Germany, USA,
'92867' - США,'92867' - USA,
'90630' - Эстония, Финляндия, США,'90630' - Estonia, Finland, USA,
то будет установлено, что данные идентификаторы относятся к США.then it will be established that these identifiers refer to the United States.
В том случае, когда из базы дампов получены не только идентификаторы скомпрометированных территорий, но и информация о том, к какой стране они относятся, то запросы к географической базе данных не выполняют.In the case when not only the identifiers of the compromised territories, but also information about the country they belong to are obtained from the dump database, queries to the geographic database are not executed.
На этом шаг 110 завершается и способ переходит к шагу 120.This completes
Шаг 120 - формирование базы данных потенциально скомпрометированных сетей POS-терминаловStep 120 - Forming a Database of Potentially Compromised POS Terminal Networks
Далее вычислительное устройство, реализующее способ, переходит к шагу 120, на котором формируют базу данных потенциально скомпрометированных сетей POS-терминалов. Эта база данных состоит из полученного на предыдущем шаге набора идентификаторов скомпрометированных территорий, где каждому из идентификаторов поставлен в соответствие список организаций, торговые точки которых находятся в пределах данной скомпрометированной территории, причем для каждой из торговых точек указан ее адрес.Next, the computing device that implements the method proceeds to step 120, which creates a database of potentially compromised networks of POS terminals. This database consists of the set of identifiers of compromised territories obtained at the previous step, where each of the identifiers is associated with a list of organizations whose outlets are located within the given compromised territory, and for each of the outlets its address is indicated.
Понятно, что возможен вариант, когда технически к одной сети POS-терминалов относится множество торговых точек, принадлежащих одной организации, но имеющих разные адреса,. В то же время, возможен и второй вариант, когда каждая торговая точка той же организации имеет собственную, технически обособленную сеть POS-терминалов. Однако, база дампов не содержит сведений, позволяющих установить, как именно, согласно первому либо второму варианту, реализована та сеть POS-терминалов, компрометация которой привела к появлению в базе дампов упоминания конкретного идентификатора скомпрометированной территории. Поэтому в рамках описываемого способа за сеть POS-терминалов принимают совокупность всех торговых точек, принадлежащих какой-то конкретной организации, и находящихся на скомпрометированной территории.It is clear that a variant is possible when, technically, one network of POS-terminals includes many outlets belonging to the same organization, but having different addresses. At the same time, the second option is also possible, when each outlet of the same organization has its own, technically separate network of POS terminals. However, the dump database does not contain information that allows to establish exactly how, according to the first or second option, the network of POS terminals was implemented, the compromise of which led to the mention of a specific identifier of the compromised territory in the dump database. Therefore, within the framework of the described method, a set of all outlets belonging to a particular organization and located in a compromised territory is taken as a network of POS terminals.
Также каждому из идентификаторов на данном шаге будет поставлен в соответствие ВЕТАД (вышестоящая единица территориально-административного деления для данной страны). В рассматриваемом примере, где идентификаторы скомпрометированных территорий являются ZIP-кодами США, в роли ВЕТАД может выступать, например, штат, к которому относится данный ZIP-код.Also, each of the identifiers at this step will be assigned to VETAD (a higher unit of territorial-administrative division for a given country). In this example, where the identifiers of the compromised territories are US ZIP codes, the role of BETAD can be, for example, the state to which this ZIP code belongs.
Для формирования базы данных вычислительным устройством могут быть посредством заблаговременно подготовленного скрипта выполнены запросы к открытым источникам, например, таким как карты Google maps, ГИС2, Mapsme или Yandex maps, Yellow pages, причем запросы формируют с учетом синтаксиса, используемого источником. Например, если используются Google maps, то поисковые запросы, формируемые для идентификатора скомпрометированной территории 90630, могут выглядеть следующим образом:To form a database, a computing device can use a pre-prepared script to execute requests to open sources, such as Google maps, GIS2, Mapsme or Yandex maps, Yellow pages, and the requests are formed taking into account the syntax used by the source. For example, if Google maps is used, then search queries generated for the compromised territory ID 90630 might look like this:
usa postal code 90630 drugstore (в ответ поисковая система возвращает перечень названий и адресов аптек, находящихся на территории, соответствующей ZIP-коду 90630),usa postal code 90630 drugstore (in response, the search engine returns a list of names and addresses of pharmacies located in the territory corresponding to ZIP code 90630),
usa postal code 90630 bank (возвращает перечень банков),usa postal code 90630 bank (returns a list of banks),
usa postal code 90630 foods (возвращает перечень предприятий общепита),usa postal code 90630 foods (returns a list of catering establishments),
usa postal code 90630 shop (возвращает перечень магазинов),usa postal code 90630 shop (returns a list of stores),
usa postal code 90630 mall (возвращает перечень торговых центров),usa postal code 90630 mall (returns a list of malls),
usa postal code 90630 casino (возвращает перечень игровых заведений), и так далее.usa postal code 90630 casino (returns a list of gambling establishments), and so on.
Собственно ключевые слова, такие как bank, shop, foods, а также название страны и обозначение используемого в запросе идентификатора (в данном случае это postal code, при построении запроса на русском языке это могло бы быть слово «индекс» и т.д.) выбираются скриптом из географической базы данных в соответствии с тем, к какой стране относятся идентификаторы скомпрометированной территории.The keywords themselves, such as bank, shop, foods, as well as the name of the country and the designation of the identifier used in the request (in this case, this is postal code, when building a request in Russian, this could be the word "index", etc.) are selected by the script from the geographic database in accordance with which country the identifiers of the compromised territory belong to.
Полученные для каждого из идентификаторов скомпрометированных территорий списки сетей POS-терминалов (торговых точек) упорядочивают по названиям организаций и сохраняют в базе данных потенциально скомпрометированных сетей POS-терминалов в ассоциации с тем идентификатором, для которого был построен данный список. Например, фрагмент такого списка для идентификатора 90630 может выглядеть следующим образом:The lists of POS-terminal networks (sales outlets) obtained for each of the identifiers of the compromised territories are sorted by the names of organizations and stored in the database of potentially compromised POS-terminal networks in association with the identifier for which this list was built. For example, a fragment of such a list for ID 90630 might look like this:
Marshalls, 9801 Walker St, Cypress, CA 90630.Marshalls, 9801 Walker St, Cypress, CA 90630.
……
McDonald's, 10011 Valley View St, Cypress, CA 90630,McDonald's, 10011 Valley View St, Cypress, CA 90630,
McDonald's, 4125 Ball Rd, Cypress, CA 90630,McDonald's, 4125 Ball Rd, Cypress, CA 90630,
Возможен альтернативный вариант реализации описываемого способа, в котором строят не запросы к открытым источникам, таким как карты Google maps, а запросы к заблаговременно подготовленной базе данных коммерческих организаций. При этом выбрав базу данных коммерческих организаций, соответствующую стране, к которой относятся полученные идентификаторы скомпрометированных территорий, любым общеизвестным образом строят к этой базе данных запросы, каждый из которых содержит очередной идентификатор скомпрометированной территории, взятый из полученного на этапе 110 списка идентификаторов.An alternative implementation of the described method is possible, in which queries are not made to open sources, such as Google maps, but queries are made to a pre-prepared database of commercial organizations. At the same time, having selected a database of commercial organizations corresponding to the country to which the received identifiers of compromised territories belong, queries are built to this database in any well-known way, each of which contains the next identifier of the compromised territory, taken from the list of identifiers obtained at
В ответ на каждый запрос получают из базы данных коммерческих организаций перечень всех торговых точек (сетей POS-терминалов), относящихся к данному идентификатору.In response to each request, a list of all outlets (POS terminal networks) related to this identifier is obtained from the database of commercial organizations.
Из построенного любым описанным образом списка сетей POS-терминалов для данного идентификатора дополнительно извлекают названия организаций, которым принадлежат данные сети POS-терминалов, и сохраняют список сетей POS-терминалов и список названий организаций в базе данных потенциально скомпрометированных сетей POS-терминалов.From the list of POS-terminal networks constructed in any way described for the given identifier, the names of organizations that own the POS-terminal network data are additionally extracted and the list of POS-terminal networks and the list of organization names are stored in the database of potentially compromised POS-terminal networks.
В качестве примера далее представлен список определенных указанным способом названий организаций, торговые точки которых имеют адреса, относящиеся к идентификатору 90630:As an example, the following is a list of the names of organizations defined in this way, whose outlets have addresses related to the identifier 90630:
Marshalls,marshalls,
Nothing Bundt Cakes,Nothing Bundt Cakes,
Five Guys, AT&T,Five Guys, AT&T,
Verizon Wireless,Verizon Wireless,
McDonald's.McDonald's.
Далее, каждому идентификатору скомпрометированной территории ставят в соответствие по меньшей мере одну ВЕТАД. Для этого посредством скрипта выполняют запрос к поисковой системе, например, для вышеупомянутого ZIP-кода 90630 запрос может выглядеть как:Further, at least one VETAD is assigned to each identifier of the compromised territory. To do this, a query is made to the search engine through a script, for example, for the aforementioned ZIP code 90630, the query may look like this:
usa postal code 90630usa postal code 90630
в ответ на подобный запрос поисковая система вернет информацию о соответствующих данному ZIP-коду ВЕТАД; в данном случаеin response to such a request, the search engine will return information about the VETAD corresponding to this ZIP code; in this case
Orange County, CA, USA (графство Оринж, Калифорния, США).Orange County, CA, USA (Orange County, California, USA).
В роли ВЕТАД в соответствии с описываемым методом могут быть использованы как графство, так и штат. В дальнейшем в роли неограничивающего примера будет показано использование в роли ВЕТАД штата.In the role of BETAD, in accordance with the described method, both the county and the state can be used. In the following, the use of a state as a BETAD will be shown as a non-limiting example.
В альтернативном варианте реализации описываемого способа выполняют запрос к заблаговременно подготовленной базе данных коммерческих организаций, причем в роли ключевого слова в запросе используют идентификатор скомпрометированной территории. В ответ получают из базы данных коммерческих организаций список находящихся на данной территории торговых точек, причем каждой из них поставлены в соответствие ВЕТАД (очевидно, одни и те же одинаковые для каждой из организаций). Любым общеизвестным образом из полученного списка извлекают требуемый ВЕТАД.In an alternative implementation of the described method, a request is made to a pre-prepared database of commercial organizations, and the identifier of the compromised territory is used as a keyword in the request. In response, a list of outlets located in the given territory is received from the database of commercial organizations, and each of them is assigned to VETAD (obviously, the same ones are the same for each of the organizations). In any well-known way, the required VETAD is extracted from the resulting list.
Полученные любым из названных способов ВЕТАД для каждого идентификатора скомпрометированной территории сохраняют в базе данных потенциально скомпрометированных сетей POS-терминалов.The BETAD obtained by any of the mentioned methods for each identifier of the compromised territory is stored in the database of potentially compromised POS-terminal networks.
Например, в результате выполнения данного шага для вышеприведенных идентификаторов скомпрометированных территорий был получен и сохранен в базе данных следующий список вышестоящих единиц территориально-административного деления (штатов) США: ['AL', 'PA', 'OK', 'VA', 'ОН', 'МГ, 'NM', 'MA', 'AZ', 'CA', 'LA', 'II/, 'NE', 'NV, 'TN', 'ID', 'NH', 'ТХ', 'СТ', 'MS', 'ME', 'СО', 'NY', 'WV', 'FL', 'NJ', 'MD', 'KS', 'VT', 'KY', 'MO', 'NC, 'UT', 'IN', 'RI', 'GA', 'WY', 'AR', 'SC']. Данный список ВЕТАД включает все штаты, в которых есть хотя бы один ZIP-код из исходного набора идентификаторов скомпрометированных территорий.For example, as a result of performing this step for the above identifiers of compromised territories, the following list of higher units of territorial-administrative division (states) of the United States was obtained and stored in the database: ['AL', 'PA', 'OK', 'VA', ' OH', 'MG, 'NM', 'MA', 'AZ', 'CA', 'LA', 'II/, 'NE', 'NV, 'TN', 'ID', 'NH', ' TX', 'CT', 'MS', 'ME', 'CO', 'NY', 'WV', 'FL', 'NJ', 'MD', 'KS', 'VT', 'KY' , 'MO', 'NC, 'UT', 'IN', 'RI', 'GA', 'WY', 'AR', 'SC']. This BETAD list includes all states that have at least one ZIP code from the original set of compromised territory identifiers.
Затем получают и сохраняют в базе данных для каждой из потенциально скомпрометированных организаций численное значение, соответствующее общему количеству торговых точек (офисов, магазинов, ресторанов, филиалов банка и т.д), принадлежащих данной организации и находящихся в таком ВЕТАД, где обнаружен по меньшей мере один идентификатор скомпрометированной территории. Для этого посредством скрипта выполняют запрос к поисковой системе, например, Google. В частности, для штата Калифорния (СА) и организации McDonald's запрос может выглядеть как:Then, a numerical value is obtained and stored in the database for each of the potentially compromised organizations, corresponding to the total number of outlets (offices, shops, restaurants, bank branches, etc.) owned by this organization and located in such a VETAD where at least one identifier of the compromised territory. To do this, through the script, a query is made to a search engine, for example, Google. Specifically, for the state of California (CA) and the McDonald's organization, the query might look like:
usa California mcdonald'susa california mcdonald's
В ответ на данный запрос поисковая система возвращает список торговых точек (в данном случае - ресторанов) указанной организации, находящихся на территории указанного штата. Длина этого списка, то есть количество включенных в него ресторанов, и представляет собой искомое численное значение.In response to this request, the search engine returns a list of outlets (in this case, restaurants) of the specified organization located in the territory of the specified state. The length of this list, that is, the number of restaurants included in it, is the desired numerical value.
В альтернативном варианте реализации описываемого способа выполняют запрос к заблаговременно подготовленной базе данных коммерческих организаций данной страны, причем в роли ключевых слов в запросе используют идентификатор ВЕТАД и название организации. В ответ получают из базы данных коммерческих организаций список находящихся в данной ВЕТАД торговых точек данной организации и любым общеизвестным образом подсчитывают длину (количество строк) данного списка, которую и интерпретируют как искомое количество.In an alternative implementation of the described method, a query is made to a pre-prepared database of commercial organizations of a given country, and the BETAD identifier and the name of the organization are used as keywords in the query. In response, a list of outlets of this organization located in a given VETAD is received from the database of commercial organizations and the length (number of lines) of this list is calculated in any well-known way, which is interpreted as the desired number.
Это значение сохраняют в базе данных, любым общеизвестным образом установив связь этого значения со штатом и организацией, например, в виде строкиThis value is stored in the database by associating this value with the state and organization in any well-known way, for example, as a string
McDonald's, CA, 1221McDonald's, CA, 1221
Аналогичным образом получают и сохраняют численные значения для всех остальных потенциально скомпрометированных организаций и для всех остальных ВЕТАД (в данном случае, штатов).Similarly, numerical values are obtained and stored for all other potentially compromised organizations and for all other BETADs (in this case, states).
Таким образом получают базу данных потенциально скомпрометированных сетей POS-терминалов. Сама эта база данных может быть построена любым общеизвестным образом.Thus, a database of potentially compromised POS terminal networks is obtained. This database itself can be built in any well-known way.
Стоит отметить, что специалисту в уровне техники будет очевидно, что перечисленные способы извлечения информации из открытых интернет-источников для формирования базы данных потенциально скомпрометированных сетей POS-терминалов не являются исчерпывающими и служат лишь для примера.It is worth noting that it will be obvious to a person skilled in the art that the listed methods of extracting information from open Internet sources to form a database of potentially compromised POS terminal networks are not exhaustive and serve only as an example.
На этом шаг 120 завершается и способ переходит к шагу 130.This completes
Шаг 130 - определение параметров компрометации сетей POS-терминаловStep 130 - Determining the parameters for compromising POS networks
На шаге 130 определяют параметры компрометации для каждой сети POS-терминалов из базы данных потенциально скомпрометированных сетей POS-терминалов. Подробно шаг 130 проиллюстрирован на Фиг. 1Б.In
Для расчета вероятности того, что по меньшей мере одна сеть POS-терминалов, принадлежащая конкретной организации, является скомпрометированной, в соответствии с описываемым способом необходимо рассчитать следующие параметры:To calculate the probability that at least one POS terminal network belonging to a particular organization is compromised, in accordance with the described method, the following parameters must be calculated:
- частотность сетей POS-терминалов данной организации на скомпрометированных территориях, zip_kf; определяется как отношение количества скомпрометированных территорий, где присутствует хотя бы одна сеть POS-терминалов данной организации Z_1, к общему количеству скомпрометированных территорий Z;- frequency of POS-terminal networks of this organization in compromised territories, zip_kf; is defined as the ratio of the number of compromised territories, where there is at least one network of POS-terminals of this organization Z_1, to the total number of compromised territories Z;
- вероятность присутствия сетей POS-терминалов (торговых точек данной организации)на всех скомпрометированных территориях cmp_kf; определяется как отношение количества сетей POS-терминалов (торговых точек) данной организации на скомпрометированных территориях, B_Z, к общему количеству сетей POS-терминалов данной организации на территориях всех ВЕТАД, соответствующих скомпрометированным территориям, B_S.- the probability of the presence of networks of POS-terminals (sales outlets of this organization) in all compromised territories cmp_kf; is defined as the ratio of the number of POS-terminal networks (points of sale) of this organization in the compromised territories, B_Z, to the total number of POS-terminal networks of this organization in the territories of all VETADs corresponding to the compromised territories, B_S.
В соответствии с вышеизложенным, шаг 130, как это показано на Фиг. 1А, начинается с этапа 131.In accordance with the above,
Этап 131 - Определение количества скомпрометированных территорий, на которых представлена данная организация, а также общего количества торговых точек организации на всех скомпрометированных территорияхStep 131 - Determination of the number of compromised territories in which this organization is represented, as well as the total number of outlets of the organization in all compromised territories
На первом этапе 131 шага 130 определяют количество идентификаторов скомпрометированных территорий, на которых представлена конкретная организация, Z_1. Для этого для каждой из организаций из списка организаций, составленного при выполнении шага 120, выполняют поисковый запрос к базе данных потенциально скомпрометированных сетей POS-терминалов по ключевому слову, обозначающему конкретную организацию. В ответ на этот запрос находят все строки, содержащие название этой организации. Как было описано выше применительно к шагу 120, каждой торговой точке данной организации при этом поставлен в соответствие идентификатор скомпрометированной территории (в данном случае ZIP-код), где эта точка находится.In the
По данному списку любым общеизвестным образом производят подсчет количества найденных уникальных идентификаторов скомпрометированной территории (т.е. каждый найденный идентификатор считают только один раз) и получают количество идентификаторов скомпрометированных территорий, для которых были найдены сети POS-терминалов конкретной организации Z_1.According to this list, in any well-known way, the number of found unique identifiers of the compromised territory is counted (i.e., each found identifier is counted only once) and the number of identifiers of the compromised territories for which POS-terminal networks of a particular organization Z_1 were found was obtained.
Затем, подсчитав длину (количество строк) полученного списка торговых точек данной организации, находят величину B_Z, то есть количество сетей POS-терминалов (торговых точек) данной организации на всех скомпрометированных территориях.Then, having calculated the length (number of lines) of the received list of outlets of this organization, they find the value B_Z, that is, the number of POS-terminal networks (points of sale) of this organization in all compromised territories.
Например, запрос к базе данных может выглядеть какFor example, a database query might look like
McDonald'sMcDonald's
В ответ на такой запрос будет получен список всех ресторанов McDonald's, найденных при выполнении шага 120. Далее подсчитывают количество различных идентификаторов скомпрометированных территорий (ZIP-кодов) в полученном списке ресторанов. Например, в результате подсчета определили, что таких идентификаторов 311. Описанные действия могут выполняться любым общеизвестным образом.In response to such a request, a list of all McDonald's restaurants found in
Определив общую длину (количество строк) полученного списка ресторанов McDonald's, находят значение B_Z, то есть общее их количество на всех скомпрометированных территориях; например, оно оказывается равно 408.Having determined the total length (number of lines) of the resulting list of McDonald's restaurants, they find the B_Z value, that is, their total number in all compromised territories; for example, it turns out to be 408.
Аналогичным образом рассчитывают названные параметры и для всех остальных организаций. Результаты сохраняют в базе данных, получая, например, такие значения (формат записи «название организации», Z_1, B_Z):The named parameters are calculated in a similar way for all other organizations. The results are stored in the database, obtaining, for example, the following values (record format "organization name", Z_1, B_Z):
Marshalls, 61, 79Marshalls 61, 79
Nothing Bundt Cakes, 61, 61Nothing Bundt Cakes, 61, 61
Five Guys, 119, 124Five Guys, 119, 124
AT&T, 121, 131
Verizon Wireless, 129, 146Verizon Wireless, 129, 146
McDonald's, 311, 408McDonald's, 311, 408
Также на этапе 131 определяют общее количество скомпрометированных территорий Z. Поскольку это количество численно равно количеству различных индикаторов скомпрометированных территорий, полученных на шаге 110, его определяют, любым общеизвестным способом подсчитав, сколько уникальных индикаторов скомпрометированных территорий содержится в базе данных потенциально скомпрометированных сетей POS-терминалов. Полученное значение сохраняют, например, в отдельном поле Z базы данных. В данном примере Z=951.Also, at
На этом этап 131 завершается и способ переходит к этапу 132.At this point, step 131 ends and the method proceeds to step 132.
Этап 132 - Определение общего количества торговых точек данной организации на территории всех ВЕТАД, соответствующих скомпрометированным территориямStep 132 - Determination of the total number of outlets of this organization in the territory of all VETADs corresponding to the compromised territories
Далее на этапе 132 определяют общее количество торговых точек конкретной организации на территории всех ВЕТАД, которые ассоциированы со скомпрометированными территориями. Список всех ВЕТАД, соответствующих скомпрометированным территориям, был получен на шаге 120 и сохранен в базе данных. Также на шаге 120 в базе данных потенциально скомпрометированных сетей POS-терминалов была сохранена также информация о количестве торговых точек каждой организации на каждом ВЕТАД.Next, at
Для определения количества торговых точек конкретной организации на территории всех ВЕТАД, ассоциированных с идентификаторами скомпрометированных территорий, может быть выполнен запрос к базе данных потенциально скомпрометированных POS-терминалов. Запрос может включать ВЕТАД и название организации.To determine the number of outlets of a particular organization in the territory of all VETADs associated with identifiers of compromised territories, a query can be made to the database of potentially compromised POS terminals. The request may include BETAD and the name of the organization.
Запрос может выглядеть, например, следующим образомThe request might look like this, for example
MacDonald's, САMacDonald's, CA
В ответ на такой запрос получают количество торговых точек конкретной организации в данной ВЕТАД.In response to such a request, the number of outlets of a particular organization in a given VETAD is received.
Так, в ответ на этот запрос будет получено найденное на этапе 120 численное значение 1221, соответствующее количеству торговых точек Macdonald's на территории Калифорнии.So, in response to this request, the numerical value 1221 found at
Запросы выполняют для всех ВЕТАД, определенных на этапе 120, а полученные результаты суммируют. Таким образом получают для каждой организации величину B_S, ь общее количество торговых точек конкретной организации во всех скомпрометированных ВЕТАД, в данном примере равное 3129. Результаты сохраняют в базу данных.Queries are made for all BETADs determined in
В альтернативном варианте реализации способа, если на шаге 120 не была сохранена информация о количестве торговых точек организаций на каждом ВЕТАД, количество торговых точек для каждой организации на ВЕТАД может быть определено на данном шаге в режиме реального времени. Это выполняют полностью аналогично тому, как это было описано выше применительно к шагу 120.In an alternative implementation of the method, if information about the number of outlets of organizations on each BETAD was not stored at
Ниже приведен пример результата выполнения этапа 132 шага 130 в формате «название организации», Z_1, B_Z, B_S:The following is an example of the result of
Marshalls, 61, 79, 202Marshalls, 61, 79, 202
Nothing Bundt Cakes, 61, 61, 311Nothing Bundt Cakes, 61, 61, 311
Five Guys, 119, 124, 573Five Guys, 119, 124, 573
AT&T, 121, 131, 2982
Verizon Wireless, 129, 146, 933Verizon Wireless, 129, 146, 933
McDonald's, 311, 408, 3129McDonald's, 311, 408, 3129
На этом этап 132 шага 130 завершается, шаг 130 также завершается и способ переходит к шагу 140.At this point, step 132 of
Шаг 140 - определение вероятности компрометации очередной сети POS-терминаловStep 140 - determining the probability of compromising the next network of POS terminals
На этом шаге выполняют определение вероятности компрометации очередной сети POS-терминалов определенной организации. Эту величину, sort_kf, вычисляют как произведениеAt this step, the probability of compromising the next network of POS terminals of a certain organization is determined. This value, sort_kf, is calculated as the product
sort_kf=zip_kf*cmp_kf,sort_kf=zip_kf*cmp_kf,
где zip_kf - частотность сетей POS-терминалов данной организации на скомпрометированных территориях; a cmp_kf - вероятность присутствия сетей POS-терминалов (торговых точек данной организации) на скомпрометированных территориях.where zip_kf is the frequency of POS-terminal networks of this organization in compromised territories; a cmp_kf - probability of presence of POS-terminal networks (sales outlets of the given organization) in the compromised territories.
Как было отмечено ранее, в свою очередь zip_kf вычисляют как частное количества скомпрометированных территорий, где присутствует хотя бы одна сеть POS-терминалов данной организации Z_1 и общего количества скомпрометированных территорий Z:As noted earlier, in turn, zip_kf is calculated as a private number of compromised territories where there is at least one network of POS terminals of this organization Z_1 and the total number of compromised territories Z:
zip kf=Z_1/Z,zip kf=Z_1/Z,
a cmp_kf вычисляется как частное B_Z, количества сетей POS-терминалов (торговых точек) данной организации на скомпрометированных территориях, и B_S, общего количества сетей POS-терминалов данной организации на территориях всех ВЕТАД, соответствующих скомпрометированным территориям, B_S.a cmp_kf is calculated as the quotient of B_Z, the number of POS-terminal networks (points of sale) of this organization in the compromised territories, and B_S, the total number of POS-terminal networks of this organization in the territories of all VETADs corresponding to the compromised territories, B_S.
cmp_kf=B_Z_1/B_S.cmp_kf=B_Z_1/B_S.
В одной из возможных реализаций описываемого способа искомая величина sort_kf может быть вычислена какIn one of the possible implementations of the described method, the desired sort_kf value can be calculated as
sort_kf=zip_kf*cmp_kf∧2sort_kf=zip_kf*cmp_kf ∧ 2
В другой возможной реализации величина sort_kf может быть также вычислена какIn another possible implementation, sort_kf could also be computed as
sort_kf=zip_kf∧3*cmp_kf,sort_kf=zip_kf ∧ 3*cmp_kf,
где zip_kf и cmp_kf вычисляют аналогично тому, как это было описано выше.where zip_kf and cmp_kf are calculated in the same way as described above.
Величины Z_1, Z, B_S и B_Z, были определены ранее, как было описано применительно к этапам 120 и 130, и сохранены в базе данных потенциально скомпрометированных сетей POS-терминалов. На данном этапе любым общеизвестным образом выбирают из полученного ранее списка организаций название очередной организации и используя это название, строят запрос к названной базе данных, получая значения Z_1, B_S и B_Z для этой организации.The values Z_1, Z, B_S, and B_Z were previously determined as described in
После чего любым общеизвестным образом вычисляют в соответствии с вышеназванными зависимостями значение sort_kf для данной организации и сохраняют его в базе данных потенциально скомпрометированных сетей POS-терминалов.After that, in any well-known way, the sort_kf value for this organization is calculated in accordance with the above dependencies and stored in the database of potentially compromised POS-terminal networks.
Так, в рамках приведенного выше примера, по запросу, содержащему название McDonald's, из базы данных будут получены величины Z1=311, B_Z=408 и B_S=3129. Величина Z, общее количество индикаторов скомпрометированных территорий, одинакова для всех организаций и в данном примере составляет Z=951.So, in the framework of the above example, for a query containing the name of McDonald's, the values Z1=311, B_Z=408 and B_S=3129 will be obtained from the database. The value of Z, the total number of indicators of compromised territories, is the same for all organizations and in this example is Z=951.
В приведенном примере расчета величины sort_kf, вероятности компрометации сети POS-терминалов McDonald's, будет получено и сохранено в базе данных значение sort_kf=0,0426417.In the given example of calculating the value of sort_kf, the probability of compromising the network of McDonald's POS terminals, the value sort_kf=0.0426417 will be obtained and stored in the database.
На этом шаг 140 завершается.This completes
Стоит отметить, что шаги 130 и 140 каждый раз выполняют применительно к одной конкретной сети POS-терминалов. Притом шаги 130 и 140 являются итеративными и повторяются до тех, пор пока они не будут выполнены для всех организаций, названия которых, полученные в ходе шага 120, содержатся в базе данных потенциально скомпрометированных сетей POS-терминалов.It is worth noting that
При этом возможен вариант осуществления описываемого способа, при котором шаги 130 и 140 выполняются параллельно, в многопоточном режиме, одновременно для многих организаций из списка организаций.In this case, it is possible to implement the described method, in which steps 130 and 140 are performed in parallel, in multi-threaded mode, simultaneously for many organizations from the list of organizations.
В любом случае по окончании очередной итерации шага 140 способ переходит к проверке, осуществляемой на шаге 150.In any case, at the end of the next iteration of
Шаг 150 - Есть по меньшей мере одна сеть POS-терминалов, для которой не определена вероятность компрометации?Step 150 - Is there at least one POS network that has no probability of compromise?
На шаге 150 проверяют, остались ли в списке организации либо возвращается к шагу 130, либо переходит к шагу 160. К шагу 130 способ возвращается, если в списке сетей POS-терминалов еще есть сети POS-терминалов, для которых не было рассчитано значение вероятности компрометации. Если значение вероятности компрометации было рассчитано для всего списка сетей POS-терминалов, то способ переходит к выполнению шага 160.At
Шаг 160 - формирование ранжированного по величине вероятности компрометации списка сетей POS-терминаловStep 160 - formation of a list of POS-terminal networks ranked by the probability of compromise
На шаге 160 выполняется формирование ранжированного списка вероятностей компрометации сетей POS-терминалов. Для этого сети POS-терминалов любым общеизвестным образом сортируют по убыванию значения вероятности компрометации sort_kf, рассчитанного на шаге 140. Для этого может быть запущен заранее подготовленный скрипт.At
В результате выполнения скрипта получают ранжированный список потенциально скомпрометированных сетей POS-терминалов, в котором сети расположены в порядке убывания значения вероятности компрометации sort_kf. Ранжированный список сохраняют в базе данных.As a result of the script execution, a ranked list of potentially compromised POS terminal networks is obtained, in which the networks are located in descending order of the sort_kf compromise probability value. The ranked list is stored in a database.
В рамках рассмотренного выше примера, такой ранжированный список вероятностей может выглядеть следующим образом:In the example above, such a ranked list of probabilities might look like this:
McDonald's, 0,042641696,McDonald's, 0.042641696,
Five Guys, 0,027079055,Five Guys, 0.027079055,
Marshalls, 0,025085632,Marshalls, 0.025085632,
Verizon Wireless, 0,021226599,Verizon Wireless, 0.021226599,
Nothing Bundt Cakes, 0,012581104,Nothing Bundt Cakes, 0.012581104,
AT&T, 0,005589443.AT&T, 0.005589443.
На этом выполнение шага 160 заканчивается и способ переходит к шагу 170.This completes
Шаг 170 - считают скомпрометированной по меньшей мере одну сеть POS-терминалов с наибольшим значением вероятности компрометацииStep 170 - consider compromised at least one POS terminal network with the highest value of the probability of compromise
На шаге 170 любым общеизвестным образом выбирают сеть POS-терминалов в ранжированном списке, которая имеет наибольшее значение вероятности компрометации. Эту сеть POS-терминалов считают скомпрометированной.At
В одном из альтернативных вариантов реализации данного способа как скомпрометированная может быть определена не одна, а несколько сетей POS-терминалов из ранжированного по вероятности списка, например, все сети POS-терминалов, имеющие значения вероятности, которые превышают заранее заданный относительный порог. Например, может быть задан относительный порог, равный 0,97 от наибольшего полученного значения вероятности компрометации. В этом случае к скомпрометированным относят все сети POS-терминалов, для которых значения вероятности компрометации превышают 0,97 от наибольшего полученного значения вероятности компрометации.In one of the alternative implementations of this method, not one, but several POS terminal networks from a probability-ranked list can be determined as compromised, for example, all POS terminal networks having probability values that exceed a predetermined relative threshold. For example, a relative threshold may be set to 0.97 of the highest value obtained for the probability of compromise. In this case, all networks of POS terminals for which the values of the probability of compromise exceed 0.97 of the highest obtained value of the probability of compromise are referred to as compromised.
Результаты сохраняют.The results are saved.
Дополнительно на шаге 170 может быть сформировано сообщение, информирующее об обнаруженной скомпрометированной по меньшей мере одной сети POS-терминалов. Это сообщение может быть отправлено по электронной почте или любым другим известным способом передачи данных, либо выведено на экран через графический интерфейс вычислительного устройства.Additionally, at
В приведенном выше примере как скомпрометированная будет идентифицирована сеть POS-терминалов организации McDonald's.In the above example, the POS network of the McDonald's organization will be identified as compromised.
На этом шаг 170 и описываемый способ 100 завершаются.This completes
На Фиг. 2 далее будет представлена общая схема вычислительного устройства (200), обеспечивающего обработку данных, необходимую для реализации заявленного решения.On FIG. 2, the general scheme of the computing device (200) will be presented below, providing the data processing necessary for the implementation of the claimed solution.
В общем случае устройство (200) содержит такие компоненты, как: один или более процессоров (201), по меньшей мере одну память (202), средство хранения данных (203), интерфейсы ввода/вывода (204), средство В/В (205), средства сетевого взаимодействия (206).In general, the device (200) contains components such as: one or more processors (201), at least one memory (202), data storage (203), input/output interfaces (204), I/O ( 205), networking tools (206).
Процессор (201) устройства выполняет основные вычислительные операции, необходимые для функционирования устройства (200) или функциональности одного или более его компонентов. Процессор (201) исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти (202).The processor (201) of the device performs the basic computing operations necessary for the operation of the device (200) or the functionality of one or more of its components. The processor (201) executes the necessary machine-readable instructions contained in the main memory (202).
Память (202), как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемый функционал.The memory (202) is typically in the form of RAM and contains the necessary software logic to provide the desired functionality.
Средство хранения данных (203) может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Blue-Ray дисков) и т.п. Средство (203) позволяет выполнять долгосрочное хранение различного вида информации, например, вышеупомянутых файлов, промежуточных данных, списков, баз данных и т.п.The data storage means (203) can be in the form of HDD, SSD disks, raid array, network storage, flash memory, optical information storage devices (CD, DVD, MD, Blue-Ray disks), etc. The means (203) allows long-term storage of various kinds of information, such as the aforementioned files, intermediate data, lists, databases, and the like.
Интерфейсы (204) представляют собой стандартные средства для подключения и работы, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, Fire Wire и т.п.Interfaces (204) are standard means for connection and operation, such as USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, Fire Wire, etc.
Выбор интерфейсов (204) зависит от конкретного исполнения вычислительного устройства (200), которое может представлять собой персональный компьютер, мейнфрейм, сервер, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п. В качестве средств В/В данных (205) может использоваться клавиатура. Помимо клавиатуры, в составе средств В/В данных также может использоваться: джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п.The choice of interfaces (204) depends on the specific implementation of the computing device (200), which may be a personal computer, mainframe, server, server cluster, thin client, smartphone, laptop, and the like. A keyboard may be used as data I/O (205). In addition to the keyboard, the following I/O devices can also be used: joystick, display (touchscreen), projector, touchpad, mouse, trackball, light pen, speakers, microphone, etc.
Средства сетевого взаимодействия (206) выбираются из устройств, обеспечивающих сетевой прием и передачу данных, например, Ethernet карту, WLAN/Wi-Fi модуль, Bluetooth модуль, BLE модуль, NFC модуль, IrDa, RFID модуль, GSM модем и т.п.С помощью средств (206) обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM.Means of network interaction (206) are selected from devices that provide network reception and transmission of data, for example, an Ethernet card, WLAN/Wi-Fi module, Bluetooth module, BLE module, NFC module, IrDa, RFID module, GSM modem, etc. With the help of means (206) the organization of data exchange over a wired or wireless data transmission channel, for example, WAN, PAN, LAN (LAN), Intranet, Internet, WLAN, WMAN or GSM, is provided.
Компоненты устройства (200) сопряжены посредством общей шины передачи данных (210).The components of the device (200) are connected via a common data bus (210).
В настоящих материалах заявки были представлены варианты предпочтительного раскрытия осуществления заявленного технического решения, которые не должны использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.In these application materials, options for the preferred disclosure of the implementation of the claimed technical solution were presented, which should not be used as limiting other, private embodiments of its implementation, which do not go beyond the requested scope of legal protection and are obvious to specialists in the relevant field of technology.
Claims (30)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NL2032025A NL2032025B1 (en) | 2021-11-22 | 2022-05-31 | Method and system for detecting a POS terminal network compromise |
| US17/973,004 US12475218B2 (en) | 2021-11-22 | 2022-10-25 | Method and system for identifying a compromised point-of-sale terminal network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2792580C1 true RU2792580C1 (en) | 2023-03-22 |
Family
ID=
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110307382A1 (en) * | 2010-05-04 | 2011-12-15 | Kevin Paul Siegel | System and method for identifying a point of compromise in a payment transaction processing system |
| US20170237759A1 (en) * | 2016-02-11 | 2017-08-17 | Bank Of America Corporation | System for utilizing one or more databases to identify a point of compromise |
| RU2697953C2 (en) * | 2018-02-06 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | System and method of deciding on data compromising |
| US20210125182A1 (en) * | 2019-10-24 | 2021-04-29 | Aetna Inc. | Detection of a common point of compromise |
| US11132686B2 (en) * | 2010-03-23 | 2021-09-28 | Visa International Service Association | Merchant fraud risk score |
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11132686B2 (en) * | 2010-03-23 | 2021-09-28 | Visa International Service Association | Merchant fraud risk score |
| US20110307382A1 (en) * | 2010-05-04 | 2011-12-15 | Kevin Paul Siegel | System and method for identifying a point of compromise in a payment transaction processing system |
| US20170237759A1 (en) * | 2016-02-11 | 2017-08-17 | Bank Of America Corporation | System for utilizing one or more databases to identify a point of compromise |
| RU2697953C2 (en) * | 2018-02-06 | 2019-08-21 | Акционерное общество "Лаборатория Касперского" | System and method of deciding on data compromising |
| US20210125182A1 (en) * | 2019-10-24 | 2021-04-29 | Aetna Inc. | Detection of a common point of compromise |
Non-Patent Citations (1)
| Title |
|---|
| Data: Nearly All U.S. Home Depot Stores Hit. Krebsonsecurity, < https://krebsonsecurity.com/2014/09/data-nearly-all-u-s-home-depot-stores-hit/>, 03.09.2014. * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11989789B2 (en) | Systems and methods for locating merchant terminals based on transaction data | |
| US10025834B2 (en) | Methods and systems for analyzing entity performance | |
| RU2510891C2 (en) | Method and device for system used for forecasting of group trade | |
| EP2884441A1 (en) | Methods and systems for analyzing entity performance | |
| US10163147B2 (en) | Systems and methods of location based merchant recommendations | |
| US20220076231A1 (en) | System and method for enrichment of transaction data | |
| CN108062674B (en) | GPS-based order fraud identification method, system, storage medium and electronic device | |
| US20140067656A1 (en) | Method and system for fraud risk estimation based on social media information | |
| US20100161634A1 (en) | Best-value determination rules for an entity resolution system | |
| US10846431B2 (en) | System and method for storing data used by breach detection systems | |
| AU2014218416B2 (en) | Identification system | |
| US20160125400A1 (en) | Systems and methods for geo component fraud detection for card-present transactions | |
| US10579647B1 (en) | Methods and systems for analyzing entity performance | |
| CN115471258A (en) | Violation behavior detection method and device, electronic equipment and storage medium | |
| US20180101913A1 (en) | Entropic link filter for automatic network generation | |
| RU2792580C1 (en) | Method and system for detecting compromise of networks of pos-terminals | |
| US20250013783A1 (en) | Systems and methods for synthetic identity detection | |
| NL2032025B1 (en) | Method and system for detecting a POS terminal network compromise | |
| US20170132607A1 (en) | Method and apparatus for determining residence locations using anonymized data | |
| KONKALA | Best Profile Match: An Algorithmic Framework for Optimal Customer Profile Identification in Financial Institutions | |
| US20200286094A1 (en) | System, Method, and Apparatus for Determining a Geo-Location of a Transaction | |
| KR20240086038A (en) | Mathod for detecting conunterfeeit goods seller based on criminal information and apparatus and system therefor |