Больше материалов: Boosty | Sponsr | TG

целями фишинговых атак с целью получения

пользовательских данных и учётных данных.
• Технологический сектор выигрывает от
улучшения обнаружения фишинга для защиты
своих платформ, клиентов и репутации.
B. Финансовый сектор:
• Финансовые учреждения, такие как банки,
инвестиционные фирмы, страховые компании и
финтех-стартапы, обрабатывают
конфиденциальные финансовые данные и
транзакции.
• Фишинговые атаки часто выдают себя за
финансовые службы для кражи учётных данных
учётной записи, платёжных реквизитов и
совершения мошенничества.
• Финансовый сектор остро нуждается в
эффективном обнаружении фишинга для
обеспечения безопасности учётных записей
клиентов и соблюдения нормативных требований.
C. Сектор здравоохранения:
• Организации здравоохранения, такие как
Аннотация – В документе представлен анализ патента больницы, поликлиники, страховые и
US11483343B2, который относится к системе обнаружения фармацевтические компании, хранят личную
фишинга и способу её использования. В ходе анализа будут медицинскую информацию и данные о
рассмотрены различные аспекты патента, включая его страховании / платежах.
технологическую основу, новизну изобретения, • Фишинговые атаки могут быть направлены на
потенциальные области применения, а также выделены кражу данных пациента, мошенничество со
ключевые элементы, придающие ему значимость в области
страховкой или нарушение работы.
кибербезопасности.
• Защита от фишинга имеет решающее значение для
Анализ полезен специалистам по безопасности, ИТ- соблюдения требований HIPAA и доверия
экспертам и заинтересованным сторонам в различных пациентов к сектору здравоохранения.
отраслях, поскольку даёт им полное представление о сути D. Образовательный сектор:
патента и его полезности для усиления мер
кибербезопасности. Он служит ценным ресурсом для • Образовательные учреждения, от школ до
понимания вклада запатентованной технологии в текущие университетов, перевели многие сервисы в
усилия по борьбе с фишингом и другими киберугрозами. онлайн-режим и хранят личные и финансовые
данные учащихся.
I. ВВЕДЕНИЕ • Фишинговые атаки могут быть нацелены на
Патент US11483343B2 "Phishing Detection System and студентов, преподавателей и персонал с целью
Method of Use" посвящён усовершенствованной системе и кражи академических записей, личных или
методологии выявления фишинговых атак и смягчения их исследовательских данных.
последствий. В патенте предлагается особая архитектура • Школы и университеты нуждаются в мерах по
системы обнаружения фишинга, которая сканирует борьбе с фишингом для защиты образовательных
сообщения на наличие подозрительных URL-адресов и данных и интеллектуальной собственности.
анализирует соответствующие веб-страницы для E. Государственный сектор:
выявления попыток фишинга.
• Правительственные учреждения на федеральном,
II. ОБЛАСТЬ ПРИМЕНЕНИЯ местном уровне становятся мишенью атакующих,
Система и метод обнаружения фишинга применимы в стремящихся получить конфиденциальные
широком спектре отраслей, которые полагаются на данные или нарушить работу сервисов.
цифровые коммуникации и уязвимы для фишинговых атак: • Улучшенное обнаружение фишинга может помочь
обезопасить системы и данные госсектора.
A. Технологический сектор:
III. ПРЕДЛАГАЕМОЕ РЕШЕНИЕ
• Технологические компании, особенно те, которые
предоставляют программное обеспечение, Патент предлагает многоступенчатую систему
облачные сервисы, платформы социальных сетей обнаружения фишинга, которая сканирует сообщения,
и электронную коммерцию, являются основными разрешает встроенные URL-адреса, извлекает функции веб-
страниц и применяет машинное обучение для выявления
 Больше материалов: Boosty | Sponsr | TG
попыток фишинга. Хотя он предлагает более упреждающий детектора фишинга идентифицирует все URL-
и всеобъемлющий охват, чем традиционные методы, он адреса, присутствующие в контенте.
может столкнуться с проблемами производительности и
точности в меняющемся ландшафте фишинговых атак. Тем • Получение содержимого URL-адресов: компонент
не менее, это представляет собой значительный шаг на пути fetcher преобразует найденные URL-адреса в
к автоматизированному обнаружению и предотвращению целевые веб-страницы и извлекает исходный код
фишинга в режиме реального времени. страницы.

Система и метод выявляют попытки фишинга в • Механизм извлечения: функции на основе URL-
электронных сообщениях и направлены на упреждающее адресов и гиперссылок извлекаются с каждой веб-
обнаружение и блокирование таких вредоносных страницы.
сообщений. • Классификация: предварительно подготовленные
A. Ключевые компоненты предлагаемого решения: модели машинного обучения применяются к
извлеченному набору функций. Модели
Детектор фишинга: основным компонентом является классифицируют веб-страницу как фишинговую
модуль детектора фишинга, который анализирует или легитимную.
сообщения на предмет подозрительного содержания. Он
состоит из двух основных подкомпонентов: • Реализация действия: если веб-страница считается
попыткой фишинга, исходное сообщение может
• Механизм сканирования: сканирует текст быть помещено в карантин или заблокировано. Для
сообщения и вложения, чтобы идентифицировать администраторов или предполагаемого получателя
любые присутствующие URL (веб-адреса) и могут быть сформированы предупреждения.
извлекает эти URL для дальнейшего анализа.
• Компонент Fetcher: принимает URL-адреса, IV. ТЕХНОЛОГИЧЕСКИЙ ПРОЦЕСС
найденные механизмом сканирования, и Основной технологический процесс включает в себя
преобразует их в реальные веб-страницы, на механизм сканирования, извлекающий URL-адреса из
которые они указывают. Извлекает исходный сообщений, средство выборки преобразует эти URL-адреса
HTML-код этих веб-страниц. в веб-страницы, анализирует характеристики URL-адресов
и гиперссылок на этих страницах и применяет модели ML
Механизмы извлечения: затем детектор фишинга для обнаружения попыток фишинга, что приводит к
извлекает два типа функций из полученных веб-страниц: автоматическому удалению фишинговых сообщений.
• Извлечение на основе URL-адресов: анализирует Многоступенчатый анализ позволяет осуществлять
структуру и компоненты самого URL-адреса, такие упреждающую фильтрацию фишингового контента в
как длина, специальные символы, использование IP- режиме реального времени на основе характеристик
адреса и т.д. Подозрительные шаблоны могут целевой веб-страницы, выходя за рамки традиционных
указывать на попытку фишинга. методов фильтрации по URL или контенту.
• Извлечение на основе гиперссылок: проверяет Технологический процесс охватывает полный
гиперссылки, присутствующие в исходном коде жизненный цикл предлагаемого решения и фокусируется на
веб-страницы. Проверяет целевые URL-адреса, требуемых аспектах:
якорный текст и другие атрибуты ссылок на наличие A. Механизм сканирования и выборки:
признаков обмана.
• Модуль сканирования проверяет входящие
Модели машинного обучения: сообщения, чтобы идентифицировать и извлекать
любые URL-адреса, присутствующие в тексте
• Гибридный принцип: функции URL и
сообщения или вложениях.
гиперссылки объединены в гибридный набор
функций, представляющий каждую веб-страницу • Затем компонент fetcher преобразует извлечённые
что даёт характеристику подозрительности URL-адреса в реальные веб-страницы, на которые
страницы. они указывают, и извлекает исходный HTML-код
этих веб-страниц.
• Модели машинного обучения: гибридные наборы
функций используются для обучения B. Обнаружение и получение содержимого URL-адресов:
классификаторов машинного обучения различать • Механизм сканирования отвечает за обнаружение
фишинговые и легитимные веб-страницы. Модели URL-адресов, встроенных в сообщения. Он
обучаются на больших наборах данных известных сканирует содержимое сообщений и вложения для
фишинговых и неопасных примеров. идентификации строк URL-адресов.
B. Способ применения:
• Как только URL-адреса обнаружены, компонент
• Сканирование сообщений: при поступлении fetcher преобразует их в целевые веб-страницы. Это
нового сообщения механизм сканирования включает в себя следующие перенаправления и
 Больше материалов: Boosty | Sponsr | TG
получение конечной веб-страницы, на которую в • Удаление сообщения может произойти сразу после
итоге указывает URL-адрес. определения факта фишинга, до того, как
сообщение попадёт во входящие пользователя.
• Программа выборки извлекает полный исходный
HTML-код разрешённой веб-страницы для • В качестве альтернативы подозрительные
дальнейшего анализа. сообщения могут быть помечены для проверки
перед удалением на случай потенциальных ложных
C. Анализ веб-страницы:
срабатываний.
• Полученный HTML-код веб-страницы
анализируется для извлечения двух типов функций: V. ПРЕИМУЩЕСТВА, НЕДОСТАТКИ И ЗНАЧИМОСТЬ
ПРЕДЛАГАЕМОГО РЕШЕНИЯ
o Извлечение на основе URL: анализ самой
строки URL на наличие подозрительных A. Преимущества
шаблонов, таких как длина, специальные Ключевыми преимуществами этой системы
символы, использование IP-адреса и т.д. обнаружения фишинга являются её способность
o Извлечение на основе гиперссылок: автоматически удалять фишинговые сообщения, избегать
проверка гиперссылок в источнике веб- использования потенциально устаревших внешних чёрных
страницы, поиск целевых URL-адресов, текста списков, повышать точность обнаружения за счёт
привязки и атрибутов ссылки. машинного обучения, предотвращать фишинг в режиме
• Функции URL и гиперссылки объединены в реального времени до того, как сообщения попадут в
гибридный набор функций, отражающий почтовые ящики, и интеграция с существующей
подозрительность веб-страницы. инфраструктурой электронной почты для многоуровневой
защиты. Эти возможности представляют собой
• К набору функций применяются предварительно значительный прогресс по сравнению с традиционными
подготовленные модели машинного обучения, методами предотвращения фишинга.
позволяющие классифицировать веб-страницу как
фишинговую или легитимную. 1) Автоматическое удаление сообщений о фишинге:
• Если веб-страница, ссылка на которую содержится в
D. Критерии обнаружения фишинга: сообщении, будет признана попыткой фишинга,
• Ключевыми критериями обнаружения фишинга исходное сообщение может быть автоматически
являются URL-адрес и гиперссылки, извлечённые помещено в карантин или удалено
из веб-страницы.
• Это предотвращает взаимодействие пользователя с
• Подозрительные шаблоны URL-адресов могут вредоносным контентом и потенциальную
включать чрезмерную длину, случайные компрометацию его информации
символьные строки, IP-адреса, средства сокращения
URL-адресов и т.д. • Удаление сообщения может произойти сразу после
определения факта фишинга, до того, как
• Признаки гиперссылки, такие как несоответствие сообщение попадёт во входящие пользователя
целевых URL-адресов, подозрительный якорный
текст или ссылки на известные вредоносные сайты, 2) Снижение зависимости от внешних чёрных списков:
могут указывать на фишинг. • Система позволяет избежать зависимости от
внешних чёрных списков или баз данных, которые
• Модели машинного обучения совершенствуются на могут устареть
наборах данных известных фишинговых и законных
веб-страниц для изучения отличительных • Используются только функции на основе URL-
паттернов. адресов и гиперссылок, извлечённые из самого
исходного кода веб-страницы, не полагаясь на
• Веб-страница классифицируется как фишинговая, сторонние сервисы
если модель определяет, что её URL-адрес и
характеристики гиперссылок соответствуют • Это позволяет ему обнаруживать новые и
изученным шаблонам вредоносных страниц. развивающиеся попытки фишинга, которые,
возможно, ещё не внесены в чёрные списки
E. Удаление сообщения:
3) Повышена точность обнаружения фишинга:
• Если веб-страница, ссылка на которую содержится в • Объединение анализа URL-адресов и гиперссылок
сообщении, будет признана попыткой фишинга, обеспечивает более полный охват и точность по
исходное сообщение может быть помещено в сравнению с традиционными методами
карантин или удалено автоматически.
• Модели машинного обучения совершенствуются на
• Это предотвращает взаимодействие пользователя с больших наборах данных известных примеров
вредоносным контентом и потенциальную фишинга и вредоносных программ для изучения
компрометацию его информации. отличительных паттернов
 Больше материалов: Boosty | Sponsr | TG
• Это обеспечивает гибкую автоматизированную • Атакующие постоянно совершенствуют свои
классификацию и снижает количество методы, чтобы избежать обнаружения, что приводит
ложноположительных результатов по сравнению с к продолжающейся гонке вооружений
подходами, основанными на правилах
• Системе может быть трудно справляться с новыми
4) Предотвращение фишинга в режиме реального моделями фишинга и атаками нулевого дня
времени:
• Злоумышленники могут найти способы скрыть
• Система обнаруживает фишинг, анализируя фишинговый контент или имитировать безопасные
целевые веб-страницы, а не только содержимое страницы, чтобы обойти обнаружение
сообщений
3) Обработка ложноположительных и
• URL-адреса разрешаются, а веб-страницы
отрицательных результатов:
анализируются в режиме реального времени по мере
поступления сообщений • Система может выдавать ложноположительные
результаты, ошибочно помечая законные
• Это позволяет блокировать попытки фишинга до сообщения как фишинговые
того, как они попадут в почтовый ящик
пользователя, предотвращая взаимодействие с • Ложноотрицательные сообщения, при которых
вредоносным контентом попытки фишинга остаются незамеченными, также
представляют опасность
5) Интеграция с агентами передачи почты или
• Балансировка точности и минимизация
клиентским программным обеспечением:
ложноположительных / отрицательных результатов
• Система обнаружения фишинга может быть является сложной задачей и влияет на доверие
интегрирована в агенты передачи почты (MTAS) пользователей
или программное обеспечение почтового клиента
4) Зависимость от внешних источников данных:
• Интеграция с MTA позволяет сканировать и
• Система использует данные сторонних
блокировать фишинговые сообщения в процессе
производителей, такие как записи WHOIS, PageRank
доставки электронной почты
и т.д. для анализа веб-страниц
• Интеграция с почтовыми клиентами обеспечивает
• Изменения или сбои в работе этих внешних
защиту последней мили на уровне устройства
источников данных могут повлиять на точность и
пользователя
надёжность системы
• Это обеспечивает многоуровневую защиту как на
5) Язык и интернационализация:
сервере, так и на конечной точке
• Попытки фишинга на разных языках или в
B. Ограничения определённых регионах может быть сложнее
Несмотря на то, что система предлагает улучшения по обнаружить
сравнению с традиционными методами, она по-прежнему • Системе может потребоваться адаптация и обучение
сталкивается с проблемами с точки зрения вычислительной для обеспечения многоязычного и международного
эффективности, адаптируемости к новым угрозам, охвата
компромиссов в отношении точности, зависимости от
внешних факторов, языкового охвата и поведения 6) Поведение пользователей и социальная инженерия:
пользователя. Устранение этих ограничений будет ключом • Ни одно техническое решение не может полностью
к обеспечению надёжной защиты от фишинга в режиме уберечь пользователей от хорошо продуманных
реального времени перед лицом постоянно развивающихся попыток социальной инженерии
атак..
• Любопытство, рассеянность или недостаточная
1) Вычислительные затраты и масштабируемость: осторожность пользователя могут привести к
• Разрешение URL-адресов и масштабный анализ веб- переходам по фишинговым ссылкам, несмотря на
страниц могут быть дорогостоящими с точки зрения предупреждения
вычислений
• Непрерывное обучение и осведомлённость
• Системе необходимо обрабатывать большой объем пользователей по-прежнему необходимы в
сообщений и URL-адресов, что может повлиять на дополнение к любой технической системе
производительность и масштабируемость обнаружения
• Возможные задержки в доставке сообщений из-за 7) Потенциальные проблемы с конфиденциальностью:
процесса сканирования могут повлиять на работу • Анализ сообщений пользователей и активности в
пользователя Интернете на предмет обнаружения фишинга может
вызвать вопросы конфиденциальности
2) Постоянная гонка вооружений:
 Больше материалов: Boosty | Sponsr | TG
• Необходимо учитывать баланс между содержимое сообщений, в режиме реального
конфиденциальностью пользователей и времени по мере поступления сообщений
эффективным обнаружением угроз
• Это позволяет блокировать попытки фишинга до
8) Опережать возникающие угрозы: того, как они попадут в почтовые ящики
• По мере развития фишинговых тактик система пользователей, предотвращая взаимодействие с
обнаружения нуждается в постоянном обновлении и вредоносным контентом
переподготовке 3) Автоматическое удаление сообщений:
• Адаптация к новым моделям фишинга и векторам • Если веб-страница, ссылка на которую содержится в
атак требует постоянных усилий и ресурсов сообщении, будет признана попыткой фишинга,
исходное сообщение может быть автоматически
C. Значимость помещено в карантин или удалено до того, как оно
Ключевым значением системы обнаружения фишинга попадёт в почтовый ящик пользователя
является её способность повышать точность обнаружения с
помощью машинного обучения, предотвращать фишинг в • Это предотвращает взаимодействие пользователей с
режиме реального времени до того, как сообщения попадут вредоносным контентом и потенциальную
в почтовые ящики, автоматическое удаление фишинговых компрометацию их информации
сообщений, избегание использования устаревших чёрных 4) Снижение зависимости от внешних чёрных списков:
списков и интеграции с существующей инфраструктурой • Система позволяет избежать зависимости от
электронной почты для комплексной многоуровневой потенциально устаревших внешних чёрных
защиты. Эти возможности представляют собой списков, используя только функции URL и
значительный прогресс по сравнению с традиционными гиперссылок, извлечённые из самого исходного
методами предотвращения фишинга в продолжающейся кода веб-страницы
борьбе со все более изощренными фишинговыми атаками.
• Это позволяет ему обнаруживать новые и
1) Повышение точность обнаружения фишинга: развивающиеся попытки фишинга, которые,
• Объединение анализа URL-адресов и гиперссылок возможно, ещё не внесены в чёрные списки
обеспечивает более полный охват и точность по
сравнению с традиционными методами 5) Интеграция с инфраструктурой электронной
почты:
• Модели машинного обучения совершенствуются на
• Система обнаружения фишинга может быть
больших наборах данных известных примеров
интегрирована в агенты передачи почты или
фишинга и вредоносных программ для изучения
программное обеспечение почтового клиента для
отличительных паттернов, что обеспечивает
сканирования на стороне сервера или защиты
адаптируемую автоматическую классификацию и
конечных точек последней мили
сокращает количество ложных срабатываний
• Это обеспечивает многоуровневую защиту как на
2) Предотвращение фишинга в режиме реального
уровне доставки электронной почты, так и на уровне
времени: пользовательского устройства
• Система активно обнаруживает фишинг,
анализируя веб-страницы назначения, а не только