Система и способ обнаружения фишинговых веб-страниц

Система и способ обнаружения фишинговых веб-страниц

Иллюстрации

Показать все

Реферат

ОБЛАСТЬ ТЕХНИКИ

[0001] Настоящее изобретение относится к вычислительной технике и, более конкретно, к обнаружению веб-страниц посредством создания правил обнаружения фишинга с последующей идентификацией фишинговых веб-страниц и предназначено для обнаружения фишинга.

УРОВЕНЬ ТЕХНИКИ

[0002] В связи с бурным развитием компьютерной техники и компьютерных сетей все большие размеры принимает проблема выявления/обнаружения фишинговых сервисов и ресурсов (веб-сайтов, веб-страниц, приложений, включая приложения для мобильных платформ, например, Android-приложения, iOS-приложения и другие) с целью обеспечения защиты от интернет-мошенничества. Фишинг (от англ. phishing, произошедшего от и созвучного с английским словом fishing, которое, в свою очередь, переводится как лов рыбы, рыбалка, выуживание) представляет собой особый вид интернет-мошенничества, направленного на получение личных и конфиденциальных данных пользователей, в частности, логинам, паролям, ПИН-кодам банковских карт, срокам действия банковских карт, кодам проверки подлинности банковских карт (например, CVV2 или CVC2), номерам банковских карт, именам и фамилиям держателей банковских карт, телефонным номерам, кодовым, словам, кодам подтверждения операций (например, банковских переводов, оплаты услуг) и т.д.

[0003] Фишинговые ресурсы (веб-ресурсы, в частности, веб-сайты, веб-страницы и др.), представляют собой поддельный ресурс (поддельную веб-страницу, поддельный веб-сайт и т.д.), копирующий внешний вид известного/оригинального ресурса, так, например, фишинговые (поддельные) веб-страницы могут копировать внешний вид оригинальной интернет-страницы (веб-страницы) банка, системы электронных платежей, веб-страницы авторизации пользователя ресурса и т.д., на которых требуется ввести конфиденциальные данные, личную/персональную или приватную информацию и другую информацию, которая может представлять ценность для пользователя (его клиентов, знакомых, родственников и т.д.) и/или злоумышленников. Такие фишинговые веб-страницы (фишинговые ресурсы) создаются злоумышленниками (мошенниками) с целью получить важные для посетителя сайта/пользователя данные, а также конфиденциальную информацию пользователя/посетителя ресурса.

[0004] Собранные в результате фишинга (фишинг-атак) данные могут быть использованы мошенниками, например, для кражи денежных средств держателя банковской карты (например, путем вывода денежных средств с банковского счета), а также с целью получения прибыли за возврат украденных логина и пароля (пароль пользователя изменяется мошенниками, что делает невозможным пользователю использовать связку логин-пароль, например, для авторизации на ресурсе/входа на веб-сайт), с целью получения денежных средств у жертвы фишинга за неразглашение какой-либо информации и так далее.

[0005] Ссылки на фишинговые ресурсы могут рассылаться через CMC-сообщения, так называемый, SMS-фишинг, также известный как смишинг/SMiShing - от английских "SMS" (Short Message Service - «служба коротких сообщений») и "Phishing". Ссылки на фишинговые ресурсы могут также содержаться в рассылаемых письмах электронной почты (e-mail), размещаться на различных сайтах, включая веб-страницы социальных сетей, а также содержаться в компьютерных программах (например, офисных приложениях), включая компьютерные программы/приложения для мобильных платформ, например, Android, iOS и др.

[0006] На текущий момент существуют различные технологии и способы обнаружения фишинговых ресурсов (например, веб-страниц) путем анализа URL-адресов по URL-маскам (от англ. URL - Uniform Resource Locator/Universal Resource Locator - Единый Указатель Ресурса), доменных имен по вхождению ключевых слов, а также путем проверки наличия загружаемого содержимого с официальных веб-сайтов, наличия на веб-сайтах изображений, характерных для определенного бренда (например, названия банка, платежной системы, ресурса/веб-ресурса, веб-страницы, сервиса, услуге, типу услуг и т.д.), и, включая, репутацию ресурса. Такие способы и технологии борьбы с фишингом, интернет мошенничеством и получением неправомерного доступа к конфиденциальной информации пользователя (посетителя интернет-страниц, веб-страниц, пользователя приложений, включая мобильные приложения, например, для Android, iOS и т.д.) и, в частности, способы и технологии обнаружения фишинговых веб-страниц также могут включать определение даты регистрации доменного имени (включая срок окончания регистрации доменного имени), способы вычисления хэш-сумм(ы) веб-страниц с последующим сравнением полученной хэш-суммы (полученными хэш-суммами) с ранее полученными и сохраненными хэш-суммами веб-страниц. Хэш-сумма (хэш, хэш-код) является результатом обработки данных хэш-функцией. Функция, выполняющая преобразование массива входных данных в битовую строку определенной длины посредством выполнения заданного алгоритма, называется хэш-функцией.

[0007] Для обхода обнаружения попыток фишинга, описанными выше способами, интернет-мошенники используют различные способы, например:

[0008] - размещают фишинговые веб-страницы на скомпрометированных веб-сайтах, с хорошей репутацией и историей существования домена, что позволяет интернет-мошенникам эффективно бороться со способами обнаружения фишинга, основанными на репутации и истории веб-ресурса;

[0009] - создают URI-пути (от англ. URI - Uniform Resource Identifier/Universal Resource Identifier - Унифицированный Идентификатор Ресурса) до фишинговой веб-страницы без упоминания бренда, названия компании, названия системы, что позволяет эффективно бороться со способами обнаружения фишинговых веб-страниц путем анализа URL-адресов по маскам;

[0010] - создают фишинговые веб-страницы с динамическим контентом, что не позволяет обнаруживать фишинговые веб-страницы путем создания хэш-сумм таких фишинговых веб-страниц и сравнения полученных и сохраненных хеш-сумм веб-страниц;

[0011] - создают автономные фитиновые веб-страницы, которые не загружают элементы веб-страниц с официальных веб-сайтов (например, с сайтов компаний, платежных систем и т.д.), а загружают для таких фишинговых веб-страниц элементы, хранящиеся локально (либо элементы таких фишинговых веб-страниц могут быть загружены с файловых хостингов, включая фото-хостинги, и т.д.), т.е. не с официальных ресурсов, что позволяет избежать обнаружения таких фишинговых веб-страниц и не позволяет установить факт фишинга по источникам загрузки контента (содержания) на фишинговой веб-странице.

[0012] Для упрощения создания фишинговых веб-страниц интернет-мошенниками используются, так называемые, фишинговые наборы или фишинг киты (от английского - phishing kits), которые представляют собой готовый набор веб-страниц, скриптов, конфигурационных файлов и т.д., в которых указывается то, как необходимо обрабатывать собираемую с помощью фишинга информацию. Подобные фишинговые наборы, как и фишинговые веб-страницы, имеют уникальные характеристики (уникальные признаки, сигнатуры/фишинговые сигнатуры), по которым имеется возможность создавать специальные правила, по которым существует возможность идентифицировать такие фишинговые наборы, фишинговые ресурсы, фишинговые веб-страницы и т.д.

[0013] Соответственно, основываясь на анализе существующего уровня техники и возможностей, существует потребность в данной области техники в обнаружении фишинговых веб-страниц. Результат заключается в обнаружении фишинговой веб-страницы посредством создания, по крайней мере, одного правила обнаружения фишинговой веб-страницы с использованием, по крайней мере, одного уникального признака, идентифицирующего веб-страницу как фишинговую.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

[0014] Технический результат настоящего изобретения заключается в обнаружении фишинговых веб-страниц посредством создания правил обнаружения фишинговых веб-страниц с использованием, по крайней мере, одного уникального признака, идентифицирующего веб-страницу как фишинговую.

[0015] Согласно одному из вариантов реализации предлагается способ для обнаружения фишинговой веб-страницы, включающий следующие шаги: загрузку на сервер фишинговой веб-страницы; выявление, по крайней мере, одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую; создание, по крайней мере, одного правила обнаружения фишинга с использованием, по крайней мере, одного уникального признака, идентифицирующего загруженную веб-страницу как фишинговую;; формирование привязки дополнительных данных, включающих идентификацию цели фишинга, к, по крайней мере, одному правилу обнаружения фишинга; сохранение, по крайней мере, одного правила обнаружения фишинга вместе с привязкой дополнительных данных, идентифицирующих цель фишинга в хранилище данных; загрузку на сервер, по крайней мере, одной веб-страницы для проверки наличия фишинга; загрузку, по крайней мере, одного правила из хранилища данных; проверку в коде загруженной веб-страницы признаков фишинга, по крайней мере, одним загруженным правилом обнаружения фишинга и идентификацию загруженной веб-страницы, как фишинговой веб-страницы, в случае обнаружения признаков фишинга в коде загруженной веб-страницы.

[0016] В одном из частных вариантов реализации загрузка веб-страницы включает загрузку кода веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.

[0017] В одном из частных вариантов реализации код загруженной веб-страницы включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код Java-апплетов.

[0018] В одном из частных вариантов реализации код, содержащийся в файлах, связанных с загруженной веб-страницей, включает html-код и/или php-код, и/или java-скрипт, и/или css-код, и/или код Java-апплетов.

[0019] В одном из частных вариантов реализации выявление уникального признака осуществляется в коде загруженной веб-страницы и коде, содержащемся в файлах, связанных с загруженной веб-страницей.

[0020] В одном из частных вариантов реализации уникальные признаки представляют собой последовательность байтов и/или части кода загруженной веб-страницы и кода, содержащегося в файлах, связанных с загруженной веб-страницей.

[0021] В одном из частных вариантов реализации в коде загруженной веб-страницы уникальные признаки определяются частотой содержания последовательности байтов и/или частей кода, соответствующих уникальным признакам, в, по крайней мере, двух фишинговых наборах, и/или на, по крайней мере, двух веб-страницах, содержащих фишинг или связанных с фишингом.

[0022] В одном из частных вариантов реализации правило обнаружения фишинга описывается регулярным выражением.

[0023] В одном из частных вариантов реализации идентифицированные фишинговые веб-страницы сохраняются в базу данных фишинговых веб-страниц.

[0024] В одном из частных вариантов реализации дополнительные признаки включают бренд, на который направлен фишинг и/или официальный домен бренда, и/или направление фишинга, и/или объект фишинга, и/или вектор фишинга.

[0025] В одном из частных вариантов реализации выявляются два и более уникальных признака, идентифицирующих загруженную страницу как фишинговую при невозможности формирования правила обнаружения фишинга на основе одного уникального признака.

[0026] В одном из частных вариантов реализации хранилище данных представляет собой оперативное запоминающее устройство (ОЗУ) и/или жесткий диск, и/или сетевая система хранения данных и/или онлайн хранилище.

[0027] В одном из частных вариантов реализации загрузка веб-страницы включает загрузку содержимого, определяемого плавающим фреймом "iframe" веб-страницы.

[0028] В одном из частных вариантов реализации уникальные признаки определяются вручную оператором, ответственным за создание правила обнаружения фишинга.

[0029] В одном из частных вариантов реализации фишинговая веб-страница может быть загружена из базы данных фишинговых веб-страниц и/или из базы данных ссылок на фишинговые веб-страницы, и/или с фишинговых веб-сайтов, и/или с веб-сайтов, связанных с фишингом, и/или с компьютерного устройства пользователя, и/или из сетевых сенсоров, и/или из журналов-событий приложений, и/или из систем оповещений, электронных писем, приложений и веб-сервисов для обмена сообщениями, и/или посредством формы обратной связи.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[0030] Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

[0031] ФИГ. 1 иллюстрирует пример веб-страницы, которая может являться фишинговой веб-страницей или является эталонной фишинговой веб-страницей;

[0032] ФИГ. 2 иллюстрирует пример поиска уникальных признаков в HTML-коде фишинговой веб-страницы с использованием специального правила;

[0100] ФИГ. 3 иллюстрирует пример визуального отображения сохраненного правила;

[0101] ФИГ. 4 иллюстрирует блок-схему создания специального правила для идентификации фишинговых ресурсов, в частности, фишинговой веб-страницы, касательно настоящего изобретения;

[0102] ФИГ. 5 иллюстрирует блок-схему идентификации фишинговых ресурсов на примере анализа HTML-кода фишинговой веб-страницы касательно настоящего изобретения;

[0103] ФИГ. 6 иллюстрирует вариант системы, реализующей настоящее изобретение;

[0104] ФИГ. 7 иллюстрирует пример компьютерной системы общего назначения.

ОПИСАНИЕ ВАРИАНТОВ ОСУЩЕСТВЛЕНИЯ ИЗОБРЕТЕНИЯ

[0033] Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

[0034] Процесс обнаружения/выявления фишинговых веб-страниц условно можно разделить на два этапа:

[0035] - создание специального правила для идентификации фишинговой веб-страницы;

[0036] - идентификация фишинговой веб-страницы.

[0037] Создание специального правила для идентификации фишинговой веб-страницы включает в себя получение для анализа на фишинг фишинговой веб-страницы (эталонной фишинговой веб-страницы или ссылки на подобные фишинговые веб-страницы), на основе которой создаются специальные правила, при помощи которых имеется возможность распознавать полученную веб-страницу как фишинговую, или другие фишинговые веб-страницы. Фишинговая веб-страница может быть загружена в, например, систему для создания, по крайней мере, одного специального правила (правило обнаружения фишинга) для загруженной веб-страницы. Стоит отметить, что загрузка веб-страницы может включать загрузку файлов, связанных с веб-страницей, так, например, для загруженной веб-страницы «index.html» могут быть загружены файлы таблиц стилей «css» (например, «style.css»), а также файлы типа «html» и/или «php», и/или java-скрипты, и/или код Java-апплетов. Стоит также отметить, что загрузка кода загруженной веб-страницы может включать загрузку кода, связанных с загруженной веб-страницей файлов, описанных выше. Также фишинговая веб-страница может быть получена на рабочее место (в компьютерную системы, например, сервер, персональный компьютер, терминал и т.д.) оператора, который занимается написанием специальных правил. Стоит также отметить, что фишинговая веб-страница может быть загружена в компьютерную систему, которая способна отображать полученную веб-страницу оператору для создания специальных правил, в том числе в удобочитаемом для оператора виде, например, в виде HTML-кода. В качестве эталонной фишинговой веб-страницы может быть использовала любая веб-страница, потенциально содержащая в себе следы фишинга или связанная с фишинг атакой, фишинговыми ресурсами и т.д. либо ранее распознанная как фишинговая. Эталонная фишинговая веб-страница (или ссылка на фишинговый ресурс, веб-страницу) может быть получена, например, из существующих баз данных фишинговых веб-страниц и/или баз данных ссылок на фишинговые веб-страницы, с фишинговых веб-сайтов, а также фишинговые веб-страницы или ссылки на них могут быть получены с устройства пользователя, сервера, персонального компьютера, например, от клиентов или сотрудников банка, администраторов ресурса или сервиса, посредством известных технологий и способов, включая упомянутые в описании настоящего изобретения. Также источниками ссылок на фишинговые ресурсы могут быть получены от сетевых сенсоров, из журналов-событий приложений, алертов (от англ. - alerts - сигналы, оповещения) от различных систем, из электронных писем, из мессенджеров (он англ. Messenger - программа, мобильное приложение или веб-сервис для обмена сообщениями) либо могут быть получены путем формы обратной связи, например, в виде ссылки на такую фишинговую веб-страницу, а также любые другие источники ссылок, указателей на фишинговые ресурсы. Ссылки на фишинговые ресурсы также могут быть определены в данных, переданных на анализ на предмет наличия возможного фишинга.

[0038] Как было сказано ранее, фишинговые веб-страницы могут копировать любые оригинальные веб-страницы или выдавать себя за них. В качестве примера здесь будет рассмотрена фишинговая веб-страница перевода денежных средств с банковской карты или на банковскую карту.

[0039] На ФИГ. 1 показан пример фишинговой веб-страницы (эталонной фишинговой веб-страницы) 100. Эталонная фишинговая веб-страница, как правило, внешним видом не отличается или мало отличается от оригинальной веб-страницы. Стоит отметить, что фишинговые веб-страницы могут отличаться (частично или полностью) от оригинальных веб-страниц и других ресурсов, как визуально, так и программным кодом.

[0040] Процесс получения эталонной фишинговой веб-страницы включает загрузку HTML-кода в программное обеспечение, способное отображать загруженный код, в том числе в удобочитаемом для оператора виде. Таким программным обеспечением может являться веб-браузер и встроенные в него инструменты разработчика (позволяющие просматривать загруженный код), консольные приложения, текстовый редактор (например, Notepad++), в специальное программное обеспечение, способное визуализировать HTML-код и/или анализировать его, HTML-редактор и т.д., а также стандартными приложениями, поставляющимися вместе с операционными системами, например, как Блокнот (Notepad) в операционной системе Windows.

[0041] После загрузки HTML-кода осуществляется анализ загруженного HTML-кода веб-страницы для выявления в нем уникальных признаков фишинговой веб-страницы, по которым можно однозначно идентифицировать подобные фишинговые веб-страницы. Уникальные признаки могут быть представлены набором (последовательностью) байтов в коде HTML-страницы. Стоит отметить, что уникальные признаки могут содержать последовательность байтов, относящихся к бренду, к цели фишинга или направлению фишинга. Анализ загруженного HTML-кода эталонной фишинговой веб-страницы может выполняться вручную, например, программистом/разработчиком программного обеспечения, системным администратором, оператором компьютерного устройства и т.д., на который была передана эталонная фишинговая веб-страница и HTML-код которой был загружен. Также анализ загруженного HTML-кода эталонной фишинговой веб-страницы может выполняться автоматически, например, специально написанным для этого программным обеспечением, способным выявлять уникальные признаки фишинговой веб-страницы.

[0042] Подобные уникальные признаки, содержащиеся в HTML-коде фишинговой веб-страницы, могут включать идентификаторы различных операций (например, с банковскими картами, системами электронных платежей и т.д.), различные зарезервированные или часто использующиеся слова и словосочетания (например, название организации/компании, название операции с денежными средствами, название сервиса или продукта, включая программные продукты и приложения), код или части кода, использующиеся для идентификации пользователя или действий, совершаемых им. К идентификаторам различных операций (по перечислению денежных средств, оплаты услуг и т.д.) можно отнести "Номер карты получателя" денежного перевода, "Подписать платежное поручение", "Принять перевод" и т.д.

[0043] Ниже приведен пример HTML-кода примерной фишинговой веб-страницы (примерной эталонной фишинговой веб-страницы):

[0044]

[0045]

[0046]

[0047]

[0048]

[0049]

[0050]

[0051]

[0052]

[0053]

[0054]

[0055]

[0056]

[0057]

[0058]

[0059]

[0060]

[0061]

[0062]

[0063]

[0064]

[0065]

[0066]

[0067]

[0068]

[0069]

[0070]

[0071]

[0072]

[0073]

[0074]

[0075]

[0076]

[0077]

[0078]

[0079]

[0080]

[0081]

[0082]

[0083]

[0084]

[0085]

[0086]

[0087]

[0088]

[0089]

[0090]

[0091]

[0092]

[0093]

[0094]

[0095]

[0096]

[0097]

[0098]

[0099]

[00100]

[00101]

[00102]

[00103]

[00104]

[00105]

[00106]

[00107]

[00108] Строки, подстроки, другие составные части приведенного выше кода могут отличаться, например, в зависимости от ресурса, с которых они получены или распространяются, типа фишинговых-атак, использования дополнительных скриптов загрузки данных, связанных или возможно относящихся к фишинговым ресурсам и т.д. Хотя выше приведенный код является HTML-кодом, стоит отметить, что вместо HTML-кода могут использоваться скрипты (например, php-скрипты, Java-код, ява-скрипты/js.java-скрипты), код разметки веб-страниц, подгружаемый код, а также поток данных/ потоковые данные, которые могут быть использованы с различными преобразованиями и/или без них, и т.д..

[00109] Для примерного варианта фишинговой веб-страницы (или потенциально фишинговой веб-страницы), приведенной на на ФИГ. 1, в ходе анализа приведенного выше примерного варианта HTML-кода могут быть выявлены уникальные признаки, например:

[00110] - заголовок «Перевод с карты» (<title>Перевод с карты) или просто набор слов/символов и т.д., например, «Перевод с карты», который соответствует данным 110, отображенным на полученной веб-странице на ФИГ. 1;

[0105] - блок с меткой «b-card-payment-creditcard» (в частности, часть кода, например, HTML-кода, который может включать сочетание слов/набор символов, ссылок, тегов и т.д.);

[0106] - наличие слова «bank-name», например, между упомянутым заголовком и блоком с меткой «b-card-payment-creditcard», причем такое слово может относиться, например, к бренду (названию банка, сервиса, сайта, типу услуги и т.д.). Названия официальных имен/названий брендов (названий брендов, принадлежащих соответствующим владельцам: компаниям, веб-ресурсам, приложениям и т.д.), которые могут быть использованы для установления факта их использования на веб-страницах, в частности, фишинговых веб-страницах (а также в HTML-коде таких веб-страниц), могут храниться в памяти оператора, отвечающего за идентификацию веб-страниц, а также могут храниться в словарях (хранящихся на цифровых или бумажных носителях информации), таблицах, базах данных брендов и в любых других форматах и формах, позволяющих использовать их для установления факта их наличия на анализируемых веб-страницах на предмет их отношения к фишингу.

[0107] Уникальность описываемых в рамках настоящего изобретения признаков фишинга (уникальных признаков фишинга) может быть установлена/выявлена оператором (отвечающим за анализ HTML-кода) либо с использованием программного обеспечения, способного самостоятельно или при некоторой помощи оператора выявлять подобные уникальные признаки. Уникальность таких признаков может определяться (как оператором, так и программным обеспечением с или без помощи оператора или пользователя, например, пользователя, владельца веб-ресурса и т.д., на которого направлена фишинг-атака или который подозревает какой-то ресурс, веб-страницу в вовлеченности в фишинг) частотой использования некоторых слов, словосочетаний, частей HTML-кода и т.д., которые, например, могут быть связаны с брендом, названием официального или фишингового ресурсов и т.д. Так, например, название банка «bank-name» может встречаться несколько раз на одной HTML-странице или других веб-страницах, в фишинговых китах и т.д. Также такие уникальные признаки или их части могут быть связаны с фишинговыми наборами, например, встречаться в нескольких фишинговых наборах, на нескольких фишинговых веб-страницах или любых других веб-страницах, потенциально связанных с фишинг-атаками. Уникальность таких признаков может устанавливаться эмпирическим способом либо путем использования правил обнаружения подобных уникальных признаков, реализованных различными алгоритмами, учитывающими, например, наличие уникальных признаков в фишинговых наборах, базах данных фишинговых веб-страниц, и позволяющих находить такие уникальные признаки в коде HTML-страницы без участия оператора, отвечающего за выявление таких уникальных признаков. Такие правила обнаружения уникальных признаков могут храниться вместе с фишинговыми веб-страницами (например, эталонными фишинговыми веб-страницами) и/или с результатами анализа запросов на проверку ресурса на фишинг и/или с сохраненными уникальными признаками либо могут храниться в отдельной базе данных.

[0108] Уникальность выбранных признаков определяется набором установленных (оператором/пользователем устройства или с использованием компьютерных систем, включая установленное на нем программное обеспечение) признаков, поскольку каждый упомянутый признак в отдельности или в совокупности с остальными признаками и правилами, определяющими их, не обязательно является уникальным. Стоит также отметить, что если фишинговый ресурс копирует содержимое официального ресурса, то в качестве уникальных признаков могут выступать и использоваться элементы (например, скрипты, текст, изображения, теги и т.д.), отсутствующие на официальном ресурсе.

[0109] Такие найденные уникальные признаки, в данном случае, три уникальных признака, могут быть описаны специальным правилом (регулярным выражением), например:

[0110] Стоит отметить, что специальные правила могут включать теги, спецсимволы, код, относящийся к разметке страницы, а также ссылки и части скриптов и ресурсов, на которые ссылается код анализируемого ресурса. При построении специального правила могут быть использованы дополнительные специальные символы и/или коды или их сочетание, специальная комбинация символов, например, для обозначения пробелов между словами или частями кода, коды начала новой строки, табуляции и т.д. В данном случае, примером такой комбинации символов может служить «/s», которая здесь используется для обозначения пробела между словами и буквами, так «Перевод\sc\sкарты» есть ни что иное, как запись «Перевод с карты» в формате определенного специального правила. «*?» в приведенном выше правиле обозначает ленивую квантификацию. Ленивая квантификация позволяет искать наиболее короткие строки, т.е. представляет собой стремление захватить максимально короткую строку, которая соответствует шаблону. Ленивый квантификатор является противоположностью жадного квантификатора и означает «повторять минимальное количество раз». Жадный квантификатор представляет собой стремление (интерпретатором) захватить максимально длинную строку, которая соответствует шаблону. Регулярное выражение представляет собой средство для обработки строк или последовательность символов/байтов определяющее шаблон текста. Примером ленивого квантификатора в регулярных выражениях могу выступать следующие квантификаторы вида «*?», «+?», «{n,}?» и т.д..

[0111] Стоит отметить, что приведенный пример записи специального правила является иллюстративным, поскольку подобные специальные правила могут быть построены и записаны любым способом и в любом виде, в частности, в том виде, который может быть «понят», обработан, распознан программным обеспечением, позволяющим производить поиск по данным (записанным, например, в виде HTML-кода) с использованием подобных специальных правил/регулярных выражений. Специальные правила/правило поиска/регулярные выражения (англ. regular expressions) представляют собой формальный язык поиска и осуществления манипуляций со строками и их составляющими в наборе данных, который, как правило, использует метасимволы, символы подстановки.

[0112] Специальное правило использует строку-шаблон/строку-маску (в приведенном здесь примере - , которая состоит из символов и метасимволов и определяет особенности поиска в наборе данных.

[0113] Таким образом, в одном из вариантов изобретения составление специального правила представляет собой объединение уникальных признаков в специальное правило.

[0114] После создания подобного специального правила оно может быть использовано для проверки наличия подобных уникальных признаков в фишинговых наборах, в HTML-коде веб-страниц, например, полученных для анализа на предмет фишинга.

[0115] Результат применения специального правила к исходному коду той же самой веб-страницы, на которой были найдены уникальные признаки наличия фишинга и по которым создавалось специальное правило, показан на ФИГ. 2.

[0116] На ФИГ. 2 показан пример поиска уникальных признаков в HTML-коде фишинговой веб-страницы с использованием специального правила. Также на ФИГ. 2 показан пример найденных уникальных признаков (в данном случае, 240, 250 и 260), определенных специальным правилом 220 в строке поиска 225 по специальному правилу.

[0117] Блок 230 представляет собой блок найденной информации, характеризующий однозначно или тем или иным способом (например, частично) фишинг, при применении упомянутого выше специального правила 220 на исходном HTML-коде эталонной фишинговой веб-страницы, приведенной на ФИГ. 1. В каждом отдельном случае, в зависимости от специального правила, размер блока найденных данных, частей данных и так далее может отличаться от, в зависимости от признаков фишинга, показанных на ФИГ. 2, т.е. блок данных зависит от специального правила, т.е. при использовании разных специальных правил будут найдены различные блоки данных.

[0118] В ходе составления/написания специального правила и/или его проверки и/или использования на известных (или не известных) фишинговых ресурсах может возникнуть ситуация ложного «срабатывания» специального правила, например, веб-страница, которая не имеет отношения к фишингу может быть расценена написанным специальным правилом как фишинговая. Так, например, если использовать специальное правило (т.е. с отсутствием, например, одного из уникальных признаков) вместо , то, скорее всего, будет найдена, как минимум, одна веб-страница, которая не имеет отношения к фишинг-атакам.

[0119] Фон, иконки, источники загружаемых элементов веб-страниц, и другие параметры, например, стили веб-страницы, шрифты и т.д. могут меняться от ресурса к ресурсу, но наличие упомянутых специальных признаков позволяет идентифицировать аналогичные фишинговые ресурсы (в частности, веб-страницы).

[0120] Таким образом, использование созданного специального правила с определенными уникальными признаками позволяет определить тот факт, что ресурс является фишинговым ("поддельным", "фейковым", потенциально опасным для пользователя и/или компании, сайта и т.д.) ресурсом. В случае неоднозначности в идентификации фишинговых ресурсов, используемое специальное правило может быть изменено, н