ES2965391T3 - Método de monitorización y protección de acceso a un servicio en línea - Google Patents

Método de monitorización y protección de acceso a un servicio en línea Download PDF

Info

Publication number
ES2965391T3
ES2965391T3 ES21164165T ES21164165T ES2965391T3 ES 2965391 T3 ES2965391 T3 ES 2965391T3 ES 21164165 T ES21164165 T ES 21164165T ES 21164165 T ES21164165 T ES 21164165T ES 2965391 T3 ES2965391 T3 ES 2965391T3
Authority
ES
Spain
Prior art keywords
online service
characteristic data
traffic
user
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES21164165T
Other languages
English (en)
Inventor
Nicolò Pastore
Emanuele Parrinello
Carmine Giangregorio
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cleafy SpA
Original Assignee
Cleafy SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cleafy SpA filed Critical Cleafy SpA
Application granted granted Critical
Publication of ES2965391T3 publication Critical patent/ES2965391T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Computer And Data Communications (AREA)
  • Maintenance And Inspection Apparatuses For Elevators (AREA)

Abstract

La presente descripción se refiere a un método para monitorear y proteger el acceso a un servicio en línea contra la apropiación de cuenta, que comprende los pasos de: proporcionar un inspector de tráfico (1) en comunicación de señal con al menos un dispositivo cliente (2) para navegación por Internet y con un servidor web (4) que tiene un servicio en línea residente en él; proporcionar un analizador de tráfico (5) en comunicación de señales con el inspector de tráfico (1); identificar cada sesión de navegación del dispositivo cliente (2) en el servicio en línea; analizar el tráfico intercambiado entre el dispositivo cliente (2) y el servidor web (4) para extraer e identificar al menos un nombre de usuario cuando un usuario realiza autenticación en el servicio en línea; recopilar primeros datos característicos sobre parámetros técnicos únicos y/o no únicos y asociarlos con un nombre de usuario identificado respectivo; almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos (6); identificar cada sesión de navegación anónima del dispositivo cliente (2) en el servicio en línea; recoger segundos datos característicos relativos a parámetros técnicos únicos y/o no únicos y asociarlos a la sesión de navegación anónima; comparar, mediante un algoritmo de predicción de usuario (7) los primeros datos característicos de cada nombre de usuario identificado con los segundos datos característicos de la sesión anónima para asociar un nombre de usuario identificado a la sesión de navegación anónima en caso de similitud o coincidencia sustancial entre la primera característica datos y los segundos datos característicos así comparados; analizar, mediante un algoritmo de detección (8) cada sesión de navegación anónima asociada a uno o más nombres de usuario identificados para introducir en una lista de vigilancia cada nombre de usuario asociado a la sesión de navegación anónima en la que se ha detectado una situación que implica riesgo de robo de credenciales; monitorear las sesiones de navegación en riesgo asociadas con cada nombre de usuario en la lista de vigilancia cuando su usuario respectivo realiza además autenticación en el servicio en línea. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN
Método de monitorización y protección de acceso a un servicio en línea
Campo de aplicación
La presente descripción se refiere a un método de monitorización y protección de acceso a un servicio en línea frente a la apropiación de cuentas. En particular, la presente invención se refiere a un método de monitorización y protección de acceso a una aplicación web o móvil.
La presente descripción se refiere a un método de monitorización y protección de acceso a un servicio en línea frente a la apropiación de cuentas, así como a un método de monitorización y protección de acceso a una aplicación web o móvil contra ataques cibernéticos por software malicioso, por ejemplo, del tipo de ataque de hombre en el explorador y/o hombre en el medio y/o bot, que tienen como objetivo el robo de credenciales de usuario o la denominada apropiación de cuentas, abr.: ATO.
Descripción de los antecedentes técnicos
El uso de software antivirus para contrarrestar ataques informáticos es conocido en el estado de la técnica, también del tipo de ataque de hombre en el explorador y/u hombre en el medio y/o bot.
Por ejemplo, el hombre en el explorador es una categoría de ataque que consiste en manipular directamente el explorador web para modificar el contenido normalmente visualizado por el usuario cuando visita un sitio web. Los ataques de hombre en el explorador (MitB) se realizan usando software malicioso instalado en el ordenador del usuario sin su conocimiento. Tal software malicioso (por ejemplo, caballo de Troya proxy) interactúa con la memoria de los procesos del explorador web, para redirigir el flujo normal de llamadas al sistema (usado por el explorador web) a características de software malicioso que están destinadas, por ejemplo, a inyectar código HTML adicional en la página web descargada. Debería observarse que, en el caso de un ataque de hombre en el explorador, la conexión es al servidor web original del sitio atacado, lo que hace extremadamente difícil detectar el ataque. Por lo tanto, el explorador web y la aplicación web no pueden ubicar el contenido que el software malicioso ha añadido al contenido realmente descargado desde el servidor web. Se han detectado varios tipos de ataques de hombre en el explorador, incluyendo el robo de códigos de tarjeta de crédito de sitios de banca electrónica y comercio electrónico y la ejecución de transacciones económicas fraudulentas a menudo iniciadas automáticamente sin interacción del usuario.
En detalle, cuando un usuario solicita una página web (es decir, una aplicación web) a través de un explorador web, el servidor web en el que reside la página web envía un código fuente HTML (Modelo de Objeto de Documento DOM) al explorador web. El código de DOM se pasa al motor de representación de explorador web para que el usuario lo visualice. Por ejemplo, en el caso de un PC infectado con software malicioso, el código de DOM que el explorador web recibe del servidor web se modifica por el software malicioso antes de ser procesado por el motor de representación del explorador web. De hecho, el software malicioso inyecta un código adicional (por ejemplo, un script) en el código de DOM recibido por el servidor web para modificar el contenido visualizado por el usuario. Los cambios de software malicioso al código de DOM descargado desde el servidor web son cambios al código HTML y/o JavaScript, y/u otro contenido o recurso web. Es decir, el explorador web está conectado al servidor web original mientras que el software malicioso provoca cambios en el código de DOM descargado. Tales modificaciones pueden incluir alteraciones gráficas y/o de comportamiento. Por lo tanto, el usuario visualiza una página web con comportamiento modificado y/o representación gráfica con respecto a la página web solicitada originalmente por el cliente. El cliente sin darse cuenta da acceso a sus datos personales o autoriza acciones fraudulentas contra ellos.
A modo de ejemplo, en el mundo bancario, el ordenador infectado con software malicioso normalmente se conecta al sitio de banca en línea con protocolo HTTP, descargando los datos de la página web. Sin embargo, estos datos se alteran en tiempo real por el software malicioso, añadiendo secuencias de comandos que permiten solicitar los datos de acceso del usuario a la página web de banca en línea.
Un ejemplo adicional es el ataque de Bot, como se ilustra en la figura 1. Tales ataques toman la forma de solicitudes de página desde un sistema automático, en lugar de desde una persona humana. Esto puede dar como resultado un consumo de ancho de banda muy alto para el proveedor de servicio. Además, los sistemas automáticos podrían usar el servicio de una manera no deseada e ilegal. Ejemplos conocidos son web scraping (es decir, extracción de datos del servicio web) o carding (es decir, en la fase de validación de tarjetas de crédito robadas), o inicio de sesión por fuerza bruta (es decir, un intento de buscar las credenciales de un usuario en la página de inicio de sesión de una aplicación web).
Operar software malicioso en dispositivos móviles podría ser de los tipos descritos anteriormente o podría ser de otros tipos específicos. Por ejemplo, el software malicioso de superposición podría mostrar una interfaz gráfica que es idéntica o similar a una aplicación móvil legítima relacionada con un servicio que requiere credenciales. Un usuario podría ser incapaz de distinguir la aplicación legítima de la aplicación de superposición maliciosa e introducir sus credenciales de servicio dentro de esta última. Posteriormente, la aplicación de superposición podría enviar las credenciales a una entidad maliciosa a través de una conexión (por ejemplo, WiFi, 3G, 4G y 5G).
El software malicioso mencionado anteriormente, como ya se ha indicado, puede usarse para robar datos sensibles del usuario, tal como credenciales de acceso a un sitio de banca en línea. En estas circunstancias, el software malicioso evita que el usuario inicie sesión en el sitio de banca en línea. De hecho, las credenciales introducidas por el usuario que cree que está accediendo normalmente a la plataforma de banca en línea se proporcionan en su lugar al software malicioso que simuló la interfaz de acceso al sitio y que atrae al usuario recreando una emulación de la página web de banca en línea. Una vez que se roban estos datos del usuario, el software malicioso puede enviar las credenciales recopiladas a un impostor. Paralelamente a la sesión abierta en la que está operando el usuario no autenticado, el impostor abre una nueva página en la que introduce las credenciales del usuario para su autenticación. Una vez autenticado, el impostor puede organizar libremente la cuenta del usuario desprevenido, iniciando operaciones fraudulentas. Este tipo de técnica se denomina en la industria como apropiación de cuentas (ATO), ya que el impostor toma el control de la cuenta actuando en el lugar del usuario sin encontrar ningún tipo de obstáculo. Además, el ataque podría continuar si el impostor logra explotar además la sesión abierta infectada con software malicioso para obtener otros datos sensibles del usuario, tales como credenciales de inicio de sesión de nivel superior necesarias para llevar a cabo transacciones de dinero grandes.
Además, debería observarse que un impostor podría llevar a cabo un ataque de apropiación de cuentas sin usar software malicioso. Un ataque de este tipo podría emplear técnicas conocidas como suplantación de identidad (phishing). Por ejemplo, el impostor podría inducir a un usuario a explorar a un sitio idéntico al del servicio en línea autenticado. Una técnica podría aprovechar el envío de un correo electrónico con gráficos similares a los de una entidad oficial que contiene un enlace al sitio de suplantación de identidad malicioso. El usuario desconocido podría ser incapaz de distinguir el sitio legítimo del malicioso e introducir sus credenciales en este último. El sitio malicioso está controlado por el impostor, por lo que las credenciales se registran o envían directamente al impostor. Posteriormente, el impostor puede usar las credenciales recopiladas para autenticarse con el servicio en línea y llevar a cabo libremente las operaciones.
Existen técnicas conocidas dirigidas a identificar tales ataques de suplantación de identidad que incluyen insertar recursos dentro de un sitio, tal como una imagen. Dado que el impostor podría copiar todo el sitio web a un servidor de suplantación de identidad controlado de este modo, tales recursos podrían permanecer sin cambios en el sitio fraudulento. Cuando el sitio fraudulento se visualiza en un explorador web, estos recursos se descargan desde el servidor original ya que, mientras tanto, han permanecido sin cambios. Por lo tanto, analizando las solicitudes al servidor original es posible resaltar un ataque de suplantación de identidad a través de la presencia de solicitudes de recursos desde un sitio distinto del legítimo.
En el documento US2018/033089A1 se describe un método de monitorización y protección del acceso a un servicio en línea de la apropiación de cuentas. Un método de este tipo adquiere, en primer lugar, los datos de acceso al servicio en línea, y procesando los datos de acceso con uno o más modelos predictivos puede asignar una o más puntuaciones de riesgo a la sesión de exploración. El método incluye posteriormente realizar una o más acciones de reducción de riesgo como una función de la una o más puntuaciones de riesgo atribuidas a la sesión monitorizada.
Un método para detectar riesgos de seguridad en un ordenador basándose en el análisis de comunicaciones anteriores se describe en el documento US2018/152471A1.
Las técnicas para modificación de código para detección de automatización se describen en el documento US2018/212993A1.
Problemas de la técnica anterior
Los sistemas conocidos permiten detectar y posiblemente bloquear la acción de software malicioso. Véase, por ejemplo, los documentos Ep 3021550 A1 y EP 3021551 A1 que describen, respectivamente, un método de detección de software malicioso y un método de protección contra software malicioso.
Sin embargo, en el caso descrito anteriormente, no es posible conocer la identidad del usuario que, sin ser consciente de que ha sido atacado por el software malicioso, no se ha autenticado. En la situación con software malicioso en una sesión que aún no se ha autenticado, la técnica anterior permite identificar la presencia del software malicioso, pero no es posible saber a quién datos de sesión sensibles reenviándolos a un impostor que abrirá una nueva sesión, identificándose con los datos que acaban de robarse. La nueva sesión se reconoce entonces como válida porque se autentica. Como se anticipó anteriormente, la nueva sesión se abre usando datos robados del usuario con la denominada técnica de apropiación de cuentas.
Por lo tanto, cuando el impostor abre una nueva sesión de la plataforma de banca en línea e inicia sesión normalmente, proporcionándose ya las credenciales correctas del usuario desprevenido, no se puede hacer nada para evitar su conducta fraudulenta contra el usuario.
Además, las técnicas usadas para identificar ataques de suplantación de identidad no permiten asociar al usuario afectado con el ataque de suplantación de identidad identificado.
Sumario de la invención
El objeto de la invención en cuestión es obtener un método de monitorización y protección de acceso a un servicio en línea que pueda superar los inconvenientes de la técnica anterior.
Un objeto adicional de la presente invención es obtener un método de monitorización y protección de acceso a un servicio en línea, tal como una aplicación web o móvil, que permite proteger al usuario de ataques de tipo de apropiación de cuentas.
Ventajas de la invención
En virtud de una realización, puede implementarse un método que permite supervisar y proteger el acceso a un servicio en línea, tal como una aplicación web o móvil, de ataques de apropiación de cuentas, reduciendo el riesgo de fraude contra el usuario.
En virtud de una realización adicional, es posible obtener un método que permite reconocer uno o más posibles usuarios ocultos detrás de una sesión de exploración anónima de la aplicación web o móvil atacada por software malicioso, para poder proteger formalmente las sesiones de exploración autenticadas iniciadas por tales usuarios, sino potencialmente por un impostor que ha robado las credenciales del usuario.
Breve descripción de los dibujos
Las características y ventajas de la presente invención se harán evidentes a partir de la siguiente descripción detallada de una posible realización práctica de la misma, ilustrada a modo de ejemplo no limitante en los dibujos adjuntos, en los que:
- las figuras 1 y 2 muestran un sistema 100 en el que se puede aplicar una primera realización del método de la presente invención;
- la figura 3 muestra un diagrama de flujo de una secuencia de etapas de una realización del método de acuerdo con la primera realización de la presente invención;
- la figura 4 muestra un diagrama de flujo de una secuencia adicional de etapas del ejemplo de la figura 3;
- la figura 5 muestra un diagrama de flujo de una secuencia adicional de etapas del ejemplo de las figuras 3 y 4; - la figura 6 muestra un sistema 100 en el que se puede aplicar una segunda realización del método de la presente invención.
Descripción detallada
Incluso si no se resaltan explícitamente, las características individuales descritas con referencia a las realizaciones específicas se entenderán como accesorias y/o intercambiables con otras características, descritas con referencia a otras realizaciones.
La presente invención se refiere a un método de monitorización y protección de acceso a un servicio en línea frente a la apropiación de cuentas. En particular, el objeto de la presente invención es un método de monitorización y protección de la cuenta de un usuario de un ataque por un impostor F, por ejemplo, con el uso de software malicioso M, dirigido al robo de credenciales de usuario para acceder al servicio en línea.
Dentro del alcance de la presente invención, un servicio en línea es un servicio o aplicación web y móvil que requiere credenciales para ser usadas de forma segura por un usuario. Un servicio en línea generalizado se refiere a plataformas de banca en línea, web o móvil, que permiten a usuarios registrados y autenticados llevar a cabo operaciones financieras en línea, tales como transacciones financieras. Específicamente, un servicio de banca doméstica donde un usuario puede hacer una transferencia bancaria después de autenticarse con credenciales, por ejemplo, nombre de usuario y contraseña y, opcionalmente, un testigo temporal.
En las figuras 1 y 2 adjuntas, el número 100 se refiere a un sistema en el que se puede aplicar una primera realización del método de la presente invención. En otras palabras, el sistema 100 se denomina entorno de red, que consiste claramente en dispositivos y componentes de red para exploración por Internet de tipo hardware, tales como servidores, bases de datos y unidades de procesamiento, en el que se puede aplicar la primera realización del método de la presente invención.
El método de monitorización y protección de acceso a un servicio en línea de la apropiación de cuentas comprende la etapa de proporcionar un inspector de tráfico 1 en comunicación de señal con al menos un dispositivo cliente 2 para exploración por internet y con un servidor web 4 que tiene un servicio en línea que reside en el mismo.
Dentro del alcance de la presente invención, un dispositivo cliente 2 significa un dispositivo para exploración por internet colocado en comunicación de señales con el servidor web 4. El dispositivo cliente 2 puede enviar solicitudes al servidor web 4 y recibir respuestas a través de una red de internet. El dispositivo cliente 2 puede ser una tableta, un ordenador portátil, un ordenador de sobremesa, un televisor inteligente, un reloj inteligente, un teléfono inteligente o cualquier otro dispositivo que pueda procesar, comunicarse con un servidor web 4 y mostrar contenido obtenido del servidor web 4, o contenido ya presente dentro del dispositivo cliente 2. El contenido podría verse desde un explorador u otros tipos de software. Tal contenido podría estar en HTML, JavaScript u otros formatos similares de un tipo conocido. Además, el dispositivo cliente 2 podría contener sistemas operativos conocidos tales como Android, iOS o Microsoft Windows.
Preferentemente, un explorador web 3 reside en el dispositivo cliente 2 si el dispositivo cliente 2 es un ordenador, o una aplicación móvil si el dispositivo cliente 2 es, por ejemplo, un teléfono inteligente o tableta.
En lo sucesivo, por brevedad de la presentación, únicamente se hará referencia al caso ilustrativo del explorador web 3 que reside en el dispositivo cliente 2.
El método comprende además la etapa de proporcionar un analizador de tráfico 5 en comunicación de señales con el inspector de tráfico 1.
Dentro del alcance de la presente invención, el inspector de tráfico 1 significa un dispositivo en línea sobre tráfico web entre cada dispositivo cliente 2 y el servidor web 4 que tiene un servicio en línea que reside en el mismo. Por lo tanto, el inspector de tráfico 1 puede interceptar la siguiente información de comunicación: Dirección IP de una solicitud de HTTP, cookies, encabezados y el cuerpo de la misma solicitud de HTTP. El inspector de tráfico 1 es preferentemente un dispositivo de hardware, que tiene componentes de software que residen en el mismo, configurado para generar un código único e introducirlo en una cookie dentro de la respuesta a la solicitud de HTTP. Más preferentemente, el inspector de tráfico 1 está configurado para modificar el código de DOM de una página web añadiendo el código necesario para generar y enviar una huella digital. Además, el inspector de tráfico 1 está configurado para enviar toda la información recopilada durante las sesiones de exploración de cada usuario en el servicio en línea que reside en el servidor web 4 al analizador de tráfico 5.
Dentro del alcance de la presente invención, el analizador de tráfico 5 significa un dispositivo de hardware, que tiene componentes de software tales como algoritmos 7, 8, 9, 10 que residen en el mismo para: extraer el nombre de usuario de la información recibida por el inspector de tráfico 1 (algoritmo de extracción 10); asociar el nombre de usuario con la información única de la solicitud de HTTP de la que se extrajo, tal como IP, y UUID introducidos en una cookie; estimar el nombre de usuario que generó la solicitud de HTTP si dicha solicitud no contiene credenciales reales, basándose la estimación en la información única presente en la solicitud de HTTP asociada con el nombre o nombres de usuario estimados (algoritmo de predicción de usuario 7); identificar un ataque de apropiación de cuentas (algoritmo de detección 8); proteger al usuario en caso de un ataque (algoritmo de protección 9). Además, el analizador de tráfico 5 comprende preferentemente una base de datos 6 para almacenar tales asociaciones A entre nombre de usuario e información única, tal como, por ejemplo, IP y UUID.
Cabe señalar que, de acuerdo con una solución preferida de la invención, el analizador de tráfico 1 y el inspector de tráfico 5 pueden implementarse en una única máquina (o dispositivo electrónico) que, por lo tanto, puede llevar a cabo las actividades del tráfico el analizador 1 y el inspector de tráfico 5 con los mismos métodos descritos en el presente documento.
El método que comprende la etapa de identificar cada sesión de exploración del dispositivo cliente 2, y, preferentemente, el explorador web 3, en el servicio en línea por el inspector de tráfico 1.
El método también comprende la etapa de analizar el tráfico intercambiado entre el dispositivo cliente 2 y el servidor web 4, y, preferentemente, entre el explorador web 3 y el servidor web 4, por el analizador de tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un el usuario realiza autenticaciones al servicio en línea.
En otras palabras, la arquitectura basada en el inspector de tráfico 1 y el analizador de tráfico 5 permite monitorizar tráfico de aplicación web/móvil.
Además, el método comprende la etapa de recopilar por el inspector de tráfico 1 primeros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar los primeros datos característicos con un respectivo nombre de usuario identificado por el analizador de tráfico 5.
El método comprende la etapa de almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos 6 asociada con el analizador de tráfico 5.
El método comprende además la etapa de identificar cada sesión de exploración anónima del dispositivo cliente 2 y, preferentemente, el explorador web 3, en el servicio en línea por el analizador de tráfico 5.
Dentro del alcance de la presente invención, una sesión de exploración anónima es una sesión de exploración no autenticada de un servicio en línea.
El método también comprende la etapa de recopilar, por el inspector de tráfico 1, segundos datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar, por el analizador de tráfico 5, los segundos datos característicos con la sesión de exploración anónima.
El método comprende la etapa de comparar, por medio de un algoritmo de predicción de usuario 7 que reside en el analizador de tráfico 5, los primeros datos característicos con respecto a cada nombre de usuario identificado con los segundos datos característicos con respecto a la sesión anónima para asociar un nombre de usuario identificado con la exploración anónima en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los segundos datos característicos así comparados. Es decir, el método incluye asociar un conjunto de posibles usuarios con la sesión de exploración anónima por medio de un algoritmo de predicción de usuario 7, que analiza el conjunto de parámetros técnicos recopilados en la sesión y los compara con el historial de parámetros y sesiones previamente recopilados, analizados o monitorizados.
El método comprende la etapa de analizar por medio de un algoritmo de detección 8 residente en el analizador de tráfico 5 cada sesión de exploración anónima asociada a uno o varios nombres de usuario identificados para introducir en una lista de vigilancia cada nombre de usuario asociado a la sesión de exploración anónima en la que se haya detectado una situación de riesgo de robo de credenciales. En otras palabras, el método incluye identificar la presencia de riesgos técnicos y no, por ejemplo, la presencia de software malicioso en una sesión de exploración que aún no se ha autenticado, pero con usuarios previstos en la etapa anterior de comparación con el algoritmo de predicción de usuario 7, por medio de monitorización continua antes de la autenticación. Si hay riesgos presentes, los usuarios previstos y en riesgo se introducen en la lista de vigilancia.
Además, el método comprende la etapa de monitorizar las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el respectivo usuario realiza adicionalmente la autenticación al servicio en línea. Además, esta etapa implica identificar un ataque de apropiación de cuentas por el dispositivo cliente 2 cuando la sesión de exploración anónima y la sesión autenticada posterior asociada con el mismo nombre de usuario introducido en la lista de observación están cerca en el tiempo. Además, esta etapa implica proteger el acceso al servicio en línea cuando se identifica un riesgo de apropiación de cuentas.
De acuerdo con una forma preferida de la invención, la etapa de monitorizar las sesiones de exploración asociadas con cada nombre de usuario en la lista de vigilancia comprende las subetapas de:
- identificar por medio del algoritmo de detección 8 las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza la autenticación al servicio en línea;
- proteger las sesiones de exploración en riesgo usando un algoritmo de protección 9 que reside en el analizador de tráfico 5.
Preferentemente, la etapa de proteger la sesión de exploración en riesgo usando el algoritmo de protección 9 comprende la etapa de bloquear el nombre de usuario del usuario asociado con la sesión de exploración en riesgo o ejecutar un algoritmo de autenticación de cliente fuerte para el nombre de usuario del usuario asociado con la exploración sesión en riesgo o ejecutar un algoritmo de autenticación de múltiples factores para el nombre de usuario del usuario asociado con la sesión de exploración en riesgo. Es decir, cuando el método identifica una sesión de exploración asociada con un usuario autenticado, si un usuario de este tipo está presente en la lista de observación de usuarios en riesgo generada por el algoritmo de detección 8, el algoritmo de protección 9 activa mecanismos de protección tales como, por ejemplo, bloqueo de usuario, SCA, MFA y/o mecanismos de informes a otros sistemas o usuarios. Por ejemplo, el método puede incluir una etapa de generar una advertencia P por el analizador de tráfico 5 para señalizar la advertencia al usuario atacado o a otros sistemas u otros usuarios.
Preferentemente, la etapa de monitorizar las sesiones de exploración asociadas con cada nombre de usuario en la lista de observación comprende la etapa de generar una señal de riesgo indicativa de la presencia de una posible amenaza asociada con el ataque de software malicioso en la sesión de exploración en riesgo.
De acuerdo con una solución preferida, el método comprende la etapa de eliminar un nombre de usuario de la lista de vigilancia cuando el algoritmo de detección 8 detecta que el ataque de software malicioso ha finalizado. Debería observarse que, es posible establecer criterios predefinidos de manera que el algoritmo de detección 8 pueda detectar si el ataque ha terminado.
Preferentemente, la etapa de eliminar un nombre de usuario de la lista de vigilancia comprende la etapa de eliminar un nombre de usuario de la lista de vigilancia cuando ha transcurrido un intervalo de tiempo predefinido desde el momento en que el algoritmo de detección 8 ha detectado que el ataque de software malicioso ha terminado. Es decir, el nombre de usuario se elimina automáticamente de la lista de observación cuando expira la condición de riesgo, por ejemplo, usando un temporizador fijo.
De acuerdo con una forma preferida, la etapa de recopilar, por el inspector de tráfico 1, primeros datos con respecto a parámetros técnicos únicos y/o no únicos y asociar, por el analizador de tráfico 5, los primeros datos característicos con un respectivo nombre de usuario identificado comprende la subetapa de recopilar, por el inspector de tráfico 1, primeros datos característicos con respecto a uno o más de parámetros técnicos únicos, parámetros técnicos no únicos, puntos terminales (por ejemplo, huella digital), redes (por ejemplo, IP) y exploradores (por ejemplo, cookies de rastreo y marcado). Es decir, esta subetapa incluye que el método asocie el nombre de usuario identificado y todos los parámetros técnicos únicos y no la sesión de exploración autenticada. Además, la etapa de recopilar, por el inspector de tráfico 1, segundos datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar, por el analizador de tráfico 5, los segundos datos característicos con la sesión de exploración anónima comprende la subetapa de recopilar, por el inspector de tráfico 1, segundos datos característicos con respecto a uno o más de parámetros técnicos únicos, parámetros técnicos no únicos, puntos terminales (por ejemplo, huella digital), redes (por ejemplo, IP) y exploradores (por ejemplo, cookies de rastreo y marcado).
Preferentemente, los primeros datos característicos y los segundos datos característicos comprenden UUID e IP. Debería observarse que, en la figura 2 los segundos datos característicos se indican con IP1 y UUID1.
Con referencia a la realización en la que el inspector de tráfico 1 está configurado para modificar el código de DOM de una página web añadiendo el código necesario para generar y enviar una huella digital, el código necesario para generar una huella digital contiene preferentemente las instrucciones necesarias para capturar alguna información que caracteriza un entorno de ejecución del código mencionado anteriormente, tal como, por ejemplo, el explorador web 3 o un dispositivo cliente móvil 2. Más preferentemente, el código contiene instrucciones que tienen como objetivo transformar la información recopilada, es decir, los primeros y segundos datos característicos, en un formato compacto. El dispositivo que ejecuta estas instrucciones contiene instrucciones para enviar la información recopilada al analizador de tráfico 5. Aún preferentemente, las instrucciones que tienen como objetivo transformar la información recopilada en un formato compacto se ejecutan tanto en el explorador web 3 como dentro del inspector de tráfico 1. Cuando las instrucciones que tienen como objetivo transformar la información recopilada en un formato compacto se ejecutan dentro del explorador web 3, el código envía únicamente la representación compacta de la información recopilada al analizador de tráfico 5. Aún preferentemente, la información recopilada se refiere a la lista de fuentes tipográficas instaladas dentro del dispositivo. Más preferentemente, la información recopilada es el tamaño de pantalla del dispositivo. Aunque tal información no es única, se distribuye con suficiente rareza para permitir la identificación de un dispositivo cliente 2 basándose en la misma. En algunos dispositivos, la información característica podría referirse a información disponible únicamente en ciertos tipos de dispositivos. Por ejemplo, algunos dispositivos móviles ofrecen números de serie nativos. Ventajosamente, tal información ofrece garantías aún mayores con respecto a la unicidad de la información recopilada. Además, el código podría capturar información adicional a la indicada anteriormente. El analizador de tráfico 5 almacena tal información en una base de datos permanente 6 junto con información acerca del usuario asociado con el dispositivo cliente 2, a medida que están disponibles. Cuando el analizador de tráfico 5 recibe la información de huella digital de un dispositivo cliente 2, busca dentro de la base de datos permanente 6 información con respecto al usuario que se ha asociado previamente con tal información de huella digital. De este modo, la información de huella digital permite hipotetizar el uso de un dispositivo sin que este haya sido autenticado introduciendo las credenciales del mismo, similar a lo que ocurre con UUID e IP.
De acuerdo con una solución preferida, la etapa de monitorizar las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de vigilancia cuando el respectivo usuario realiza autenticación adicional al servicio en línea, comprende la subetapa de:
- comparar por medio del algoritmo de detección 8 los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el inspector de tráfico 1 cuando el usuario respectivo realiza una autenticación adicional al servicio en línea para identificar la presencia de cualquier anomalía. En la Figura 2, los primeros datos característicos recopilados por el inspector de tráfico 1 cuando el usuario respectivo en la lista de observación realiza autenticación adicional al servicio en línea se indican con IP2 y UUID2.
De acuerdo con una solución preferida de la invención, la etapa de comparar, por medio del algoritmo de detección 8, los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el inspector de tráfico 1 cuando el usuario respectivo realiza la autenticación adicional al servicio en línea para identificar la presencia de cualquier anomalía, comprende la subetapa de:
- generar una advertencia P cuando los primeros datos característicos asociados con un nombre de usuario en la lista de vigilancia difieren de los primeros datos característicos recopilados por el inspector de tráfico 1 cuando el usuario respectivo realiza autenticación adicional al servicio en línea.
De acuerdo con una solución preferida, la etapa de identificar cada sesión de exploración del dispositivo cliente 2, y, preferentemente, el explorador web 3, en el servicio en línea por el inspector de tráfico 1 comprende la subetapa de: identificar cada sesión de exploración del dispositivo cliente 2, y, preferentemente, el explorador web 3, en el servicio en línea por el inspector de tráfico 1 usando cookies de sesión.
Preferentemente, la etapa de identificar cada sesión de exploración del dispositivo cliente 2, y, preferentemente, del explorador web 3, en el servicio en línea por el inspector de tráfico 1, que comprende la subetapa de interceptar, por el inspector de tráfico 1, una solicitud de HTTP enviada desde el explorador web 3 al servidor web 4. Además, la etapa de analizar el tráfico intercambiado entre el explorador web 3 y el servidor web 4 por el analizador de tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario realiza la autenticación al servicio en línea, comprende la etapa de extraer un nombre de usuario de la solicitud de HTTP interceptada por el inspector de tráfico 1 cuando un usuario realiza la autenticación al servicio en línea por medio de un algoritmo de extracción 10 que reside en el analizador de tráfico 5 y basándose en expresiones regulares.
Ventajosamente, el método de la presente invención permite identificar cualquier riesgo, incluyendo riesgos técnicos o una acción, por ejemplo, en el caso de vídeo bajo demanda (VOD), que se deriva de un ataque de apropiación de cuentas.
Aún ventajosamente, el método de la presente invención permite proporcionar una predicción de la identidad del usuario que actúa en un área que es anónima ya que aún no está autenticada, generando por medio del algoritmo de predicción de usuario 7 una lista de usuarios potenciales que podrían esconderse detrás de la sesión de exploración anónima. Estos usuarios, en caso de que se detecte un riesgo en la sesión de exploración relacionada por medio del algoritmo de detección 8, se introducen en una lista de vigilancia. Al hacerlo, se controla cada sesión de exploración autenticada posterior por un usuario en la lista de vigilancia, de modo que puede solicitar credenciales de acceso adicionales por medio del algoritmo de protección 9 y posiblemente bloquear la sesión en el caso de una amenaza concreta.
Ventajosamente, el método de la presente invención permite identificar y evitar cualquier ataque de apropiación de cuenta llevado a cabo contra usuarios registrados de un servicio en línea.
A continuación, se describe una aplicación ilustrativa del método de la presente invención, con referencia particular a las secuencias de etapas ilustradas en las figuras 3, 4 y 5.
Con referencia particular a la figura 3, la etapa de identificar cada sesión de exploración del explorador web 3 en el servicio en línea por el inspector de tráfico 1 incluye:
- la subetapa 301 en la que el usuario solicita una página web por medio de un explorador web 3 que envía una solicitud de HTTP al servidor web 4.
La etapa de analizar el tráfico intercambiado entre el explorador web 3 y el servidor web 4 por el analizador de tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario realiza autenticaciones al servicio en línea incluye:
- la subetapa 302 en la que el inspector de tráfico 1 lee las claves de configuración y busca un UUID particular en la solicitud de HTTP;
- la subetapa 303 de determinar si un UUID está presente en la solicitud de HTTP;
- la subetapa 304 para obtener el UUID, si está presente;
- la subetapa 305 para añadir un UUID a la solicitud de HTTP si no está presente, y la subetapa 306 para almacenar el UUID en el explorador web 3;
- la subetapa 307 en la que el inspector de tráfico 1 envía la solicitud de HTTP al analizador de tráfico 5;
- la subetapa 308 en la que el analizador de tráfico 5 busca información de nombre de usuario en la solicitud de HTTP y obtiene información acerca de las IP presentes en la solicitud de HTTP.
La etapa de recopilar, por el inspector de tráfico 1, primeros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar, por el analizador de tráfico 5, los primeros datos característicos con un respectivo nombre de usuario identificado, incluye:
- la subetapa 309 para comprobar si hay un nombre de usuario en la solicitud de HTTP;
- la subetapa 310 en la que el analizador de tráfico 5 busca nombres de usuario ya asociados con el UUID recibido; - la subetapa 311 en la que el analizador de tráfico 5 busca en la base de datos 6 nombres de usuario ya asociados con las IP recibidas.
La etapa de almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos 6 asociada con el analizador de tráfico 5 incluye:
- si el nombre de usuario está presente en la solicitud de HTTP, la subetapa 312 en la que el analizador de tráfico 5 almacena las asociaciones A detectadas entre el nombre de usuario y el IP, y almacena las asociaciones A detectadas entre el nombre de usuario y el UUID en la base de datos 6;
- la subetapa 313 en la que el analizador de tráfico 5 une los nombres de usuario de acuerdo con reglas predefinidas y produce una lista refinada de nombres de usuario.
Con referencia particular a las figuras 4 y 5, la subetapa 307 en la que el inspector de tráfico 1 envía el UUID y la solicitud de HTTP al analizador de tráfico 5, incluye:
- la subetapa 401 en la que el inspector de tráfico 1 envía UUID e IP legítimos al analizador de tráfico 5 y envía la solicitud de HTTP legítima al analizador de tráfico 5, donde legítimo significa que es una sesión de exploración autenticada, segura y gestionada por el usuario;
- la subetapa 402 en la que el inspector de tráfico 1 envía el UUID e IP de impostor al analizador de tráfico 5 y envía la solicitud de HTTP de impostor al analizador de tráfico 5.
La etapa de comparar por medio de un algoritmo de predicción de usuario 7 que reside en el analizador de tráfico 5, los primeros datos con respecto a cada nombre de usuario identificado con los segundos datos característicos con respecto a la sesión anónima para asociar un nombre de usuario identificado con la sesión de exploración anónima en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los segundos datos característicos así comparados, incluye:
- la subetapa 403 en la que el analizador de tráfico 5 estima el posible nombre de usuario legítimo detrás de la sesión de exploración anónima como una función del UUID, IP y algoritmo de predicción de usuario 7.
La etapa de recopilar, por el inspector de tráfico 1, primeros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar, por el analizador de tráfico 5, los primeros datos característicos con un respectivo nombre de usuario identificado, incluye:
- la subetapa 404 en la que el analizador de tráfico 5 extrae información acerca del nombre de usuario de la solicitud de HTTP con respecto a la sesión de exploración autenticada, posterior a la sesión anónima en la que se predijo el nombre de usuario del mismo usuario en la subetapa 403.
La etapa de generar una advertencia P cuando los primeros datos característicos asociados con un nombre de usuario en la lista de vigilancia difieren de los primeros datos característicos recopilados por el inspector de tráfico 1 cuando el usuario respectivo realiza autenticación adicional al servicio en línea, incluye:
- la subetapa 405 en la que el analizador de tráfico 5 determina si UUID e IP son inusuales para el nombre de usuario;
- si determina que UUID e IP son inusuales 406, la subetapa 407 en la que el analizador de tráfico 5 determina si el nombre de usuario legítimo estimado de la sesión anónima es el mismo extraído de la solicitud de HTTP autenticada del impostor;
- si el nombre de usuario es el mismo 408, la subetapa 409 en la que el analizador de tráfico 5 determina si las dos solicitudes se han producido en un intervalo de tiempo limitado;
- si las primeras sesiones anónimas y a continuación autenticadas del mismo usuario están cerca 410, es decir, si se produjeron en un intervalo de tiempo limitado, la subetapa 411 en la que el analizador de tráfico 5 establece que la solicitud del impostor es fraudulenta.
La subetapa 405 incluye:
- la subetapa 501 para comprobar si el nombre de usuario está presente en la solicitud de HTTP;
- la subetapa 502 en la que el analizador de tráfico 5 busca si las asociaciones A entre el nombre de usuario y el UUID están almacenadas en la base de datos 6;
- la subetapa 503 en la que el analizador de tráfico 5 busca si las asociaciones A entre el nombre de usuario y el IP están almacenadas en la base de datos 6;
- si no se detecta la asociación A entre el nombre de usuario y el UUID 504 y/o si no se detecta la asociación A entre el nombre de usuario y el IP 505, la subetapa 506 en la que el analizador de tráfico 5 genera una advertencia P.
A continuación, se describe una segunda realización, alternativa o combinable con la anterior (véase la tercera realización descrita a continuación), del método de monitorización y protección de acceso a un servicio en línea de acuerdo con la presente invención frente a la apropiación de cuentas.
En la figura 6 adjunta, el número 100 se refiere a un sistema en el que se puede aplicar una primera realización del método de la presente invención. En otras palabras, el sistema 100 se denomina entorno de red, que consiste claramente en dispositivos y componentes de red para exploración por Internet de tipo hardware, tales como servidores, bases de datos y unidades de procesamiento, en el que se puede aplicar la segunda realización del método de la presente invención.
De acuerdo con la segunda realización, el método de monitorización y protección de acceso a un servicio en línea de la apropiación de cuentas, comprende la etapa de proporcionar un inspector de tráfico 1 en comunicación de señal con al menos un dispositivo cliente 2 para exploración por internet y con un servidor web 4 que tiene un servicio en línea que reside en el mismo.
El método también comprende la etapa de proporcionar un analizador de tráfico 5 en comunicación de señales con el inspector de tráfico 1.
Además, el método comprende la etapa de identificar cada sesión de exploración del dispositivo cliente 2 en el servicio en línea por el inspector de tráfico 1.
El método comprende la etapa de analizar el tráfico intercambiado entre el dispositivo cliente 2 y el servidor web 4, por el analizador de tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario realiza autenticaciones al servicio en línea.
Además, el método comprende la etapa de recopilar por el inspector de tráfico 1 primeros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar los primeros datos característicos con un respectivo nombre de usuario identificado por el analizador de tráfico 5.
El método comprende la etapa de almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos 6 asociada con el analizador de tráfico 5.
El método comprende adicionalmente la etapa de identificar cada baliza web anónima generada por el dispositivo cliente 2 en el servicio en línea por el analizador de tráfico 5, indicando la baliza web que el dispositivo cliente 2 ha iniciado una sesión de exploración fraudulenta en un servidor web de suplantación de identidad 11.
Dentro del alcance de la presente invención, las balizas web significan un elemento incluido en una página web pretendido a monitorizar la visualización real de la página por un usuario. Por ejemplo, una baliza web podría ser una imagen u otro tipo de recurso estático referenciado por la página web. Cuando el usuario obtiene la página web del servidor web 4 por medio de una solicitud, las balizas no se envían directamente. Cuando la página se visualiza dentro del dispositivo cliente del usuario 2, por ejemplo, a través de un explorador web 3, las balizas referenciadas dentro de la página web se solicitan desde el servidor web 4. Por lo tanto, es posible identificar si la página de servicio en línea se ha visualizado realmente en el dispositivo cliente 2 comprobando en el registro de solicitudes al servidor web 4 si se han enviado solicitudes de balizas. Una baliza web podría ser un recurso que ya está en la página (por ejemplo, un logotipo u otros elementos gráficos). O podría ser una imagen, por ejemplo, una imagen que consiste en un único píxel transparente insertado específicamente para garantizar la monitorización. Estos recursos comprenden una referencia que consiste en un nombre único dentro de la página web.
Además, el método comprende la etapa de recopilar por el inspector de tráfico 1 terceros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar los terceros datos característicos con la baliza web anónima a través del analizador de tráfico 5.
El método comprende la etapa de comparar por un algoritmo de predicción de usuario 7 que reside en el analizador de tráfico 5 los primeros datos característicos con respecto a cada nombre de usuario identificado con los terceros datos característicos con respecto a la baliza web anónima para asociar la baliza web anónima con un nombre de usuario identificado en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los terceros datos característicos así comparados.
El método comprende además la etapa de analizar mediante un algoritmo de detección 8 que reside en el analizador de tráfico 5 cada baliza web anónima asociada con uno o más nombres de usuario identificados para introducir cada nombre de usuario asociado con la baliza web anónima en la que una situación que implica riesgo de robo de credenciales después se detecta un ataque de suplantación de identidad en una lista de vigilancia.
El método comprende la etapa de monitorizar las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el respectivo usuario realiza autenticación adicional al servicio en línea. Además, esta etapa implica identificar un ataque de apropiación de cuentas por el dispositivo cliente 2 cuando la sesión de exploración anónima y la sesión autenticada posterior asociada con el mismo nombre de usuario introducido en la lista de observación están cerca en el tiempo. Además, esta etapa implica proteger el acceso al servicio en línea cuando se identifica un riesgo de apropiación de cuentas.
De acuerdo con una forma preferida, la etapa de monitorizar las sesiones de exploración asociadas con cada nombre de usuario en la lista de vigilancia comprende las subetapas de:
- identificar por medio del algoritmo de detección 8 las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza la autenticación al servicio en línea; - proteger las sesiones de exploración en riesgo usando un algoritmo de protección 9 que reside en el analizador de tráfico 5.
Preferentemente, la etapa de proteger la sesión de exploración en riesgo usando el algoritmo de protección 9 comprende la etapa de bloquear el nombre de usuario del usuario asociado con la sesión de exploración en riesgo o ejecutar un algoritmo de autenticación de cliente fuerte para el nombre de usuario del usuario asociado con la exploración sesión en riesgo o ejecutar un algoritmo de autenticación de múltiples factores para el nombre de usuario del usuario asociado con la sesión de exploración en riesgo.
Preferentemente, la etapa de monitorizar las sesiones de exploración asociadas con cada nombre de usuario en la lista de observación comprende la etapa de generar una señal de riesgo indicativa de la presencia de una posible amenaza asociada con el ataque de suplantación de identidad en la sesión de exploración en riesgo.
De acuerdo con una forma preferida, el método comprende la etapa de eliminar un nombre de usuario de la lista de vigilancia cuando el algoritmo de detección 8 detecta que el ataque de suplantación de identidad ha terminado.
Preferentemente, la etapa de eliminar un nombre de usuario de la lista de vigilancia comprende la etapa de eliminar un nombre de usuario de la lista de vigilancia cuando ha transcurrido un intervalo de tiempo predefinido desde el momento en que el algoritmo de detección 8 ha detectado que el ataque de software malicioso ha terminado.
De acuerdo con una solución preferida, la etapa de recopilar, por el inspector de tráfico 1, primeros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar, por el analizador de tráfico 5, los primeros datos característicos con un respectivo nombre de usuario identificado comprende la subetapa de recopilar, por el inspector de tráfico 1, primeros datos característicos con respecto a uno o más de parámetros técnicos únicos, parámetros técnicos no únicos, puntos terminales, redes y exploradores. Preferentemente, la etapa de recopilar, por el inspector de tráfico 1, terceros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar, por el analizador de tráfico 5, los terceros datos característicos con la baliza web anónima, comprende la subetapa de recopilar, por el inspector de tráfico 1, terceros datos característicos con respecto a uno o más de parámetros técnicos únicos, parámetros técnicos no únicos, puntos terminales y exploradores.
Preferentemente, los primeros datos característicos y los terceros datos característicos comprenden UUID e IP.
De acuerdo con una forma preferida, la etapa de monitorizar las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza una autenticación adicional al servicio en línea, comprende la subetapa de comparar, por el algoritmo de detección 8, los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el inspector de tráfico 1 cuando el respectivo usuario realiza autenticación adicional al servicio en línea para identificar la presencia de cualquier anomalía.
De acuerdo con una solución preferida, la etapa de comparar, por el algoritmo de detección 8, los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el inspector de tráfico 1 cuando el usuario respectivo realiza una autenticación adicional al en línea el servicio para identificar la presencia de cualquier anomalía, comprende la subetapa de generar una advertencia P cuando los primeros datos característicos asociados con un nombre de usuario en la lista de observación difieren de los primeros datos característicos recopilados por el inspector de tráfico 1 cuando el usuario respectivo realiza autenticación adicional al servicio en línea.
Preferentemente, la etapa de identificar cada baliza web anónima generada del dispositivo cliente 2 en el servicio en línea por el analizador de tráfico 5 comprende la etapa de identificar cada baliza web anónima generada del dispositivo cliente 2 en el servicio en línea por el analizador de tráfico 5 utilizando cookies de sesión.
De acuerdo con una forma preferida, la etapa de identificar cada sesión de exploración del dispositivo cliente 2 en el servicio en línea por el inspector de tráfico 1, comprende la subetapa de interceptar por el inspector de tráfico 1 una solicitud de HTTP enviada por un explorador web 3 que reside en el dispositivo cliente 2 al servidor web (4). Además, la etapa de analizar el tráfico intercambiado entre el dispositivo de cliente 2 y el servidor web 4 por el analizador de tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario realiza la autenticación al servicio en línea, comprende la etapa de extraer un nombre de usuario de la solicitud de HTTP interceptada por el inspector de tráfico 1 cuando un usuario realiza la autenticación al servicio en línea por medio de un algoritmo de extracción 10 que reside en el analizador de tráfico 5 y basándose en expresiones regulares.
De acuerdo con una forma preferida, el método comprende la etapa de modificar el servicio en línea insertando una baliza web en el mismo. Para el propósito de buscar sitios de suplantación de identidad, es importante que los recursos que constituyen la baliza web se introduzcan en ubicaciones de sitio que son difíciles de identificar por el impostor F, para evitar que se eliminen durante la operación de clonación del sitio legítimo.
Preferentemente, la baliza web comprende una solicitud de HTTP de un recurso que reside dentro del servidor web 4. Preferentemente, la etapa de identificar cada baliza web anónima generada del dispositivo cliente 2 en el servicio en línea por el analizador de tráfico 5 comprende la subetapa de interceptar por el inspector de tráfico 1 cada solicitud de HTTP asociada con una baliza web anónima. Aún preferentemente, la etapa de recopilar por el inspector de tráfico 1 terceros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar por el analizador de tráfico 5 los terceros datos característicos con la baliza web anónima; comprende la subetapa de enviar por el inspector de tráfico 1 los terceros datos característicos al analizador de tráfico 5, estando asociados los terceros datos característicos con parámetros técnicos únicos y/o no únicos característicos de la solicitud asociada con la baliza web anónima.
Preferentemente, la etapa de analizar por medio de un algoritmo de detección 8 que reside en el analizador de tráfico 5 cada baliza web anónima asociada con uno o más nombres de usuario identificados para introducir cada nombre de usuario asociado con la baliza web anónima en la que una situación que implica riesgo de robo de credenciales después de la suplantación de identidad en una lista de vigilancia comprende las subetapas de:
- analizar si cada solicitud de HTTP interceptada por el inspector de tráfico 1 y con respecto a una baliza web asociada con un nombre de usuario proviene del dominio legítimo del servicio en línea;
- generar una advertencia P cuando una solicitud de HTTP no proviene del dominio legítimo del servicio en línea.
Más preferentemente, la etapa de generar una advertencia P cuando una solicitud de HTTP no proviene del dominio legítimo del servicio en línea comprende la etapa de enviar la advertencia P al usuario que tiene el nombre de usuario asociado con la baliza web con respecto a la solicitud de HTTP que no proviene del dominio legítimo del servicio en línea.
Ventajosamente, el usuario accede al sitio malicioso desde un IP y/o con un UUID típicamente asociado con el nombre de usuario del mismo. Tal información característica se transporta dentro de solicitudes de recursos realizadas al servidor legítimo. De esta manera, pueden interceptarse por el inspector de tráfico 2 y enviarse al analizador de tráfico 5. El analizador de tráfico 5 puede analizar las solicitudes y detectar ataques de suplantación de identidad usando técnicas conocidas de la técnica. Además, el analizador de tráfico 5 puede asociar ataques de suplantación de identidad identificados con un usuario no identificado usando información característica tal como IP y UUID asociados con solicitudes.
Preferentemente, la etapa de identificar cada baliza web anónima generada del dispositivo cliente 2 en el servicio en línea por el analizador de tráfico 5 se realiza por el algoritmo de detección 8.
La presente invención también se refiere a una tercera realización de la invención que incluye la combinación de las realizaciones anteriores, es decir, una combinación de la primera realización con la segunda realización.
La tercera realización se refiere a un método de monitorización y protección de acceso a un servicio en línea de la apropiación de cuentas que comprende la etapa de proporcionar un inspector de tráfico 1 en comunicación de señal con al menos un dispositivo cliente 2 para exploración por internet y con un servidor web 4 que tiene un servicio en línea que reside en el mismo.
El método comprende la etapa de proporcionar un analizador de tráfico 5 en comunicación de señales con el inspector de tráfico 1.
El método comprende la etapa de identificar cada sesión de exploración del dispositivo cliente 2 en el servicio en línea por el inspector de tráfico 1.
El método comprende la etapa de analizar el tráfico intercambiado entre el dispositivo cliente 2 y el servidor web 4 por el analizador de tráfico 5 para extraer e identificar al menos un nombre de usuario cuando un usuario realiza autenticación al servicio en línea.
El método también comprende la etapa de recopilar por el inspector de tráfico 1 primeros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar los primeros datos característicos con un respectivo nombre de usuario identificado por el analizador de tráfico 5.
El método comprende la etapa de almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos 6 asociada con el analizador de tráfico 5.
El método comprende la etapa de identificar por el analizador de tráfico 5 cada sesión de aplicación anónima y cada sesión virtual anónima del dispositivo cliente 2 en el servicio en línea.
Para cada sesión de aplicación anónima identificada en la etapa anterior, el método comprende las siguientes etapas:
- identificar una sesión de exploración anónima del dispositivo cliente 2 en el servicio en línea por el analizador de tráfico 5;
- recopilar, por el inspector de tráfico 1, segundos datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar por el analizador de tráfico 5, los segundos datos característicos con la sesión de exploración anónima;
- comparar por medio de un algoritmo de predicción de usuario 7 que reside en el analizador de tráfico 5, los primeros datos característicos con respecto a cada nombre de usuario identificado con los segundos datos característicos con respecto a la sesión anónima para asociar un nombre de usuario identificado con la exploración anónima en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los segundos datos característicos así comparados;
- analizar por medio de un algoritmo de detección 8 residente en el analizador de tráfico 5 cada sesión de exploración anónima asociada a uno o varios nombres de usuario identificados para introducir en una lista de vigilancia cada nombre de usuario asociado a la sesión de exploración anónima en la que se haya detectado una situación de riesgo de robo de credenciales;
Para cada sesión virtual anónima identificada en la etapa anterior, el método comprende las siguientes etapas:
- identificar cada baliza web anónima generada por el dispositivo cliente 2 en el servicio en línea por el analizador de tráfico 5, indicando la baliza web que el dispositivo cliente 2 ha iniciado una sesión de exploración fraudulenta en un servidor web de suplantación de identidad 11;
- recopilar por el inspector de tráfico 1 terceros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar los terceros datos característicos con la baliza web anónima a través del analizador de tráfico 5;
- comparar por medio del algoritmo de predicción de usuario 7 que reside en el analizador de tráfico 5 los primeros datos característicos con respecto a cada nombre de usuario identificado con los terceros datos característicos con respecto a la baliza web anónima para asociar la baliza web anónima con un nombre de usuario identificado en caso de similitud o coincidencia sustancial entre los primeros datos característicos y los terceros datos característicos así;
- analizar por medio de un algoritmo de detección 8 que reside en el analizador de tráfico 5 cada baliza web anónima asociada con uno o más nombres de usuario identificados para introducir cada nombre de usuario asociado con la baliza web anónima en la que una situación que implica riesgo de robo de credenciales después se detecta un ataque de suplantación de identidad en la lista de vigilancia.
Además, el método comprende la etapa de monitorizar las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el respectivo usuario realiza adicionalmente la autenticación al servicio en línea. Además, esta etapa implica identificar un ataque de apropiación de cuentas por el dispositivo cliente 2 cuando la sesión de exploración anónima y la sesión autenticada posterior asociada con el mismo nombre de usuario introducido en la lista de observación están cerca en el tiempo. Además, esta etapa implica proteger el acceso al servicio en línea cuando se identifica un riesgo de apropiación de cuentas.
Debería observarse en este punto que las etapas y subetapas descritas para la primera y segunda realizaciones también pueden aplicarse al método de la tercera realización, ya que la última es una combinación sinérgica de las dos realizaciones anteriores. En particular, las etapas y subetapas con respecto al método de la primera realización son aplicables en el caso de sesiones de aplicación anónimas, mientras que las etapas y subetapas del método de la segunda realización son aplicables en el caso de sesiones anónimas virtuales.
Ventajosamente, por medio del método de la tercera realización es posible interceptar todas las solicitudes anónimas o balizas web generadas por el dispositivo cliente para poder identificar y prevenir cualquier riesgo relacionado, respectivamente, con ataques de robo de credenciales por software malicioso y/o suplantación de identidad.
Obviamente, para satisfacer necesidades específicas y contingentes, un experto en la materia puede aplicar numerosos cambios a las variantes descritas anteriormente, todo ello sin apartarse del alcance de protección como se define por las siguientes reivindicaciones.

Claims (12)

REIVINDICACIONES
1. Un método de monitorización y protección de acceso a un servicio en línea frente a la apropiación de cuentas, que comprende las etapas de:
- proporcionar un inspector de tráfico (1) en comunicación de señales con al menos un dispositivo cliente (2) para exploración por Internet y con un servidor web (4) que tiene un servicio en línea (6) que reside en el mismo, - proporcionar un analizador de tráfico (7) en comunicación de señales con el inspector de tráfico (1);
- identificar cada sesión de exploración (2) del al menos un dispositivo cliente (2) en el servicio en línea por el inspector de tráfico (1);
- extraer e identificar al menos un nombre de usuario por el analizador de tráfico (5) cuando un usuario realiza la autenticación al servicio en línea analizando el tráfico intercambiado entre el al menos un dispositivo cliente (2) y el servidor web (4);
- recopilar, por el inspector de tráfico (1), primeros datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar, por el analizador de tráfico (5), los primeros datos característicos con el respectivo al menos un nombre de usuario identificado;
- almacenar los primeros datos característicos asociados con cada nombre de usuario identificado en una base de datos (6) asociada con el analizador de tráfico (5);
- identificar cada sesión de exploración anónima (2) del al menos un dispositivo cliente (2) en el servicio en línea por el analizador de tráfico (5);
- recopilar, por el inspector de tráfico (1), segundos datos característicos con respecto a parámetros técnicos únicos y/o no únicos y asociar por el analizador de tráfico (5), los segundos datos característicos con la sesión de exploración anónima identificada;
- asociar un nombre de usuario identificado con la sesión de exploración anónima identificada en caso de similitud o coincidencia sustancial entre los primeros datos característicos con respecto a cada al menos un nombre de usuario identificado y los segundos datos característicos con respecto a la sesión anónima identificada comparada por medio de un algoritmo de predicción de usuario (7) que reside en el analizador de tráfico (5);
caracterizado por las etapas de:
- introducir cada nombre de usuario asociado con la sesión de exploración anónima identificada en la que se ha detectado una situación que implica un riesgo de robo de credenciales en una lista de vigilancia analizando, por medio de un algoritmo de detección (8) que reside en el analizador de tráfico (5), cada sesión de exploración anónima identificada asociada con uno o más nombres de usuario identificados;
- monitorizar las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de vigilancia cuando su respectivo usuario realiza además la autenticación al servicio en línea e identificar un ataque de apropiación de cuentas por el al menos un dispositivo cliente (2) y proteger el acceso al servicio en línea cuando la sesión de exploración anónima identificada y la sesión autenticada posterior asociada con el mismo nombre de usuario introducido en la lista de observación están cerca entre sí en el tiempo.
2. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con la reivindicación 1, en donde la etapa de monitorización de las sesiones de exploración asociadas con cada nombre de usuario en la lista de vigilancia comprende las subetapas de:
- identificar por medio del algoritmo de detección (8), las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de observación cuando su usuario respectivo realiza la autenticación al servicio en línea;
- proteger las sesiones de exploración en riesgo usando un algoritmo de protección (9) que reside en el analizador de tráfico (5).
3. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con la reivindicación 2, en donde la etapa de proteger la sesión de exploración en riesgo usando el algoritmo de protección (9) comprende la subetapa de:
- bloquear el nombre de usuario del usuario asociado con la sesión de exploración en riesgo o ejecutar un algoritmo de autenticación de cliente fuerte para el nombre de usuario del usuario asociado con la sesión de exploración en riesgo o ejecutar un algoritmo de autenticación de múltiples factores para el nombre de usuario del usuario asociado con la sesión de exploración en riesgo.
4. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con la reivindicación 2 o 3, en donde la etapa de monitorización de las sesiones de exploración asociadas con cada nombre de usuario en la lista de vigilancia comprende la subetapa de:
- generar una señal de riesgo indicativa de una posible amenaza asociada con un ataque de software malicioso en la sesión de exploración en riesgo.
5. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con la reivindicación 4, que comprende la etapa de:
- eliminar un nombre de usuario de la lista de vigilancia cuando el algoritmo de detección (8) detecta que el ataque de software malicioso ha terminado.
6. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con la reivindicación 5, en donde la etapa de eliminar un nombre de usuario de la lista de vigilancia comprende la subetapa de:
- eliminar un nombre de usuario de la lista de vigilancia cuando ha transcurrido un intervalo de tiempo predeterminado desde el tiempo en el que el algoritmo de detección (8) ha detectado que el ataque de software malicioso ha terminado.
7. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con cualquiera de las reivindicaciones anteriores, en donde
- la etapa de recopilar, por el inspector de tráfico (1), primeros datos característicos con respecto a parámetros técnicos únicos y/o no únicos, y asociar, por el analizador de tráfico (5), los primeros datos característicos con un respectivo nombre de usuario identificado comprende la subetapa de:
- recopilar, por el inspector de tráfico (1), primeros datos característicos con respecto a uno o más de parámetros técnicos únicos, parámetros técnicos no únicos, puntos terminales, redes y exploradores;
- la etapa de recopilar, por el inspector de tráfico (1), segundos datos característicos con respecto a parámetros técnicos únicos y/o no únicos, y asociar, por el analizador de tráfico (5), los segundos datos característicos con la sesión de exploración anónima identificada comprende la subetapa de:
- recopilar, por el inspector de tráfico (1), segundos datos característicos con respecto a uno o más de parámetros técnicos únicos, parámetros técnicos no únicos, puntos terminales, redes y exploradores.
8. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con la reivindicación 7, en donde los primeros datos característicos y los segundos datos característicos comprenden UUID e IP.
9. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con cualquiera de las reivindicaciones anteriores, en donde la etapa de monitorización de las sesiones de exploración en riesgo asociadas con cada nombre de usuario en la lista de observación cuando el usuario respectivo realiza una autenticación adicional al servicio en línea comprende la subetapa de:
- comparar por medio del algoritmo de detección (8) los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el inspector de tráfico (1) cuando el usuario respectivo realiza una autenticación adicional al servicio en línea para identificar cualquier anomalía.
10. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con la reivindicación 9, en donde la etapa de comparar por medio del algoritmo de detección (8) los primeros datos característicos asociados con un nombre de usuario en la lista de observación con los primeros datos característicos recopilados por el inspector de tráfico (1) cuando el usuario respectivo realiza una autenticación adicional al servicio en línea para identificar cualquier anomalía, comprende la subetapa de:
- generar una advertencia (P) cuando los primeros datos característicos asociados con un nombre de usuario en la lista de vigilancia difieren de los primeros datos característicos recopilados por el inspector de tráfico (1) cuando el usuario respectivo realiza autenticación adicional al servicio en línea.
11. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con cualquiera de las reivindicaciones anteriores, en donde
- la etapa de identificar cada sesión de exploración (2) del al menos un dispositivo cliente (2) en el servicio en línea por el inspector de tráfico (1) comprende la subetapa de:
- identificar cada sesión de exploración (2) del al menos un dispositivo cliente (2) en el servicio en línea por el inspector de tráfico (1) usando cookies de sesión.
12. Un método de monitorización y protección de acceso a un servicio en línea de acuerdo con cualquiera de las reivindicaciones anteriores, en donde
- la etapa de identificar cada sesión de exploración (2) del al menos un dispositivo cliente (2) en el servicio en línea por el inspector de tráfico (1) comprende la subetapa de:
- interceptar, por el inspector de tráfico (1) una solicitud de HTTP enviada por un explorador web (3) que reside en el al menos un dispositivo cliente (2) al servidor web (4);
- la etapa de extraer e identificar al menos un nombre de usuario por el analizador de tráfico (5) cuando un usuario realiza la autenticación al servicio en línea comprende la subetapa de:
- extraer un nombre de usuario de la solicitud de HTTP interceptada por el inspector de tráfico (1) cuando un usuario realiza la autenticación al servicio en línea usando un algoritmo de extracción (10) que reside en el analizador de tráfico (5) y basándose en expresiones regulares.
ES21164165T 2020-03-25 2021-03-23 Método de monitorización y protección de acceso a un servicio en línea Active ES2965391T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102020000006265A IT202000006265A1 (it) 2020-03-25 2020-03-25 Metodo per monitorare e proteggere l’accesso ad un servizio online

Publications (1)

Publication Number Publication Date
ES2965391T3 true ES2965391T3 (es) 2024-04-15

Family

ID=70978378

Family Applications (1)

Application Number Title Priority Date Filing Date
ES21164165T Active ES2965391T3 (es) 2020-03-25 2021-03-23 Método de monitorización y protección de acceso a un servicio en línea

Country Status (5)

Country Link
US (2) US20230125703A1 (es)
EP (2) EP3885945B1 (es)
ES (1) ES2965391T3 (es)
IT (1) IT202000006265A1 (es)
WO (1) WO2021191816A1 (es)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IT202000006343A1 (it) 2020-03-25 2021-09-25 Cleafy Spa Metodo per monitorare e proteggere l’accesso ad un servizio online

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370015B2 (en) * 2000-10-12 2008-05-06 Sap Portals Israel Ltd. User impersonation by a proxy server
US7475239B2 (en) * 2002-09-20 2009-01-06 International Business Machines Corporation Pluggable trust adapter architecture, method and program product for processing communications
US20070254727A1 (en) * 2004-09-08 2007-11-01 Pat Sewall Hotspot Power Regulation
US8739278B2 (en) * 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
WO2008112663A2 (en) * 2007-03-10 2008-09-18 Feeva Technology, Inc. Method and apparatus for tagging network traffic using extensible fields in message headers
US20080255944A1 (en) * 2007-03-29 2008-10-16 Shah Nitin J Campaign Management Platform for Network-Based Online Advertising and Directed Media Transmission System
US8996681B2 (en) * 2007-04-23 2015-03-31 The Mitre Corporation Passively attributing anonymous network events to their associated users
US20090168995A1 (en) * 2007-11-26 2009-07-02 Banga Jasminder S Systems and Methods of Information/Network Processing Consistent with Creation, Encryption and/or Insertion of UIDs/Tags
US9111092B2 (en) * 2011-08-29 2015-08-18 Novell, Inc. Security event management apparatus, systems, and methods
US20140075014A1 (en) * 2012-09-13 2014-03-13 Limelight Networks, Inc. Progressive account states for aggregate website visitors
US20130179552A1 (en) * 2012-01-09 2013-07-11 Ezshield, Inc. Computer Implemented Method, Computer System And Nontransitory Computer Readable Storage Medium For Matching URL With Web Site
US9060017B2 (en) * 2012-02-21 2015-06-16 Logos Technologies Llc System for detecting, analyzing, and controlling infiltration of computer and network systems
CN103023718B (zh) * 2012-11-29 2015-12-23 北京奇虎科技有限公司 一种用户登录监测设备和方法
US20140283038A1 (en) * 2013-03-15 2014-09-18 Shape Security Inc. Safe Intelligent Content Modification
US9584578B2 (en) * 2013-05-13 2017-02-28 BloomReach Inc. Cross platform user joining
US20160034468A1 (en) * 2014-07-23 2016-02-04 Attune, Inc. Testing of and adapting to user responses to web applications
EP3021550A1 (en) 2014-11-13 2016-05-18 Nicolo Pastore System and method for identifying internet attacks
US9716726B2 (en) 2014-11-13 2017-07-25 Cleafy S.r.l. Method of identifying and counteracting internet attacks
JP6528448B2 (ja) * 2015-02-19 2019-06-12 富士通株式会社 ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム
US10021118B2 (en) * 2015-09-01 2018-07-10 Paypal, Inc. Predicting account takeover tsunami using dump quakes
US10831381B2 (en) * 2016-03-29 2020-11-10 International Business Machines Corporation Hierarchies of credential and access control sharing between DSN memories
US20180033089A1 (en) * 2016-07-27 2018-02-01 Intuit Inc. Method and system for identifying and addressing potential account takeover activity in a financial system
US10715543B2 (en) 2016-11-30 2020-07-14 Agari Data, Inc. Detecting computer security risk based on previously observed communications
US10496263B2 (en) * 2017-01-03 2019-12-03 Jpmorgan Chase Bank, N.A. De-anonymization of website visitor identity
US10484413B2 (en) * 2017-08-21 2019-11-19 Cognizant Technology Solutions India Pvt. Ltd. System and a method for detecting anomalous activities in a blockchain network
CN107800724A (zh) * 2017-12-08 2018-03-13 北京百度网讯科技有限公司 云主机防破解方法、***及处理设备
US10275613B1 (en) * 2018-04-20 2019-04-30 Capital One Services, Llc Identity breach notification and remediation
KR102661628B1 (ko) * 2018-09-13 2024-05-02 삼성전자주식회사 IoT 기기 제어 서비스를 제공하는 전자 장치 및 그 제어 방법
US11265323B2 (en) * 2018-11-13 2022-03-01 Paypal, Inc. Fictitious account generation on detection of account takeover conditions
US11444962B2 (en) * 2020-02-05 2022-09-13 International Business Machines Corporation Detection of and defense against password spraying attacks
US11895150B2 (en) * 2021-07-28 2024-02-06 Accenture Global Solutions Limited Discovering cyber-attack process model based on analytical attack graphs

Also Published As

Publication number Publication date
EP3885945A1 (en) 2021-09-29
EP3885945B1 (en) 2023-11-08
US20210306355A1 (en) 2021-09-30
EP4127986A1 (en) 2023-02-08
WO2021191816A1 (en) 2021-09-30
US20230125703A1 (en) 2023-04-27
IT202000006265A1 (it) 2021-09-25

Similar Documents

Publication Publication Date Title
EP3219068B1 (en) Method of identifying and counteracting internet attacks
CN107077410B (zh) 分析客户端应用行为以检测异常并且阻止访问
JP6624771B2 (ja) クライアントベースローカルマルウェア検出方法
ES2937143T3 (es) Procedimiento de monitoreo y protección del acceso a un servicio en línea
US20140122343A1 (en) Malware detection driven user authentication and transaction authorization
US9071600B2 (en) Phishing and online fraud prevention
US9477830B2 (en) Controlled and client-side authentication module
US20180302437A1 (en) Methods of identifying and counteracting internet attacks
US10110601B1 (en) Systems and methods for protecting users from malicious content
Khazal et al. Server Side Method to Detect and Prevent Stored XSS Attack.
ES2965391T3 (es) Método de monitorización y protección de acceso a un servicio en línea
ES2972317T3 (es) Procedimiento de monitoreo y protección de acceso a un servicio en línea
ES2967194T3 (es) Método de monitorización y protección de acceso a un servicio en línea
Ellahi et al. Analyzing 2FA phishing attacks and their prevention techniques
Orucho et al. Security threats affecting user-data on transit in mobile banking applications: A review
US11985165B2 (en) Detecting web resources spoofing through stylistic fingerprints
US20230086281A1 (en) Computing system defenses to rotating ip addresses during computing attacks
Mohammed Application of deep learning in fraud detection in payment systems
US20150213450A1 (en) Method for detecting potentially fraudulent activity in a remote financial transaction system
Schuster¹ et al. Technion-Israel Institute of Technology, 32000 Haifa, Israel nachus@ technion. ac. il, assaf@ cs. technion. ac. il 2 Yezreel Valley College, 19300 Yezreel Valley, Israel ophere@ yvc. ac. il
Wang et al. Protecting Financial Institutions from Man-in-the-Browser Attacks
Cristea et al. A Survey on Security Solutions of Top e-Banking Providers from an Eastern European Market