MD956Z - Method for offence prevention at the request of providing services by means of the Internet network - Google Patents
Method for offence prevention at the request of providing services by means of the Internet network Download PDFInfo
- Publication number
- MD956Z MD956Z MDS20150017A MDS20150017A MD956Z MD 956 Z MD956 Z MD 956Z MD S20150017 A MDS20150017 A MD S20150017A MD S20150017 A MDS20150017 A MD S20150017A MD 956 Z MD956 Z MD 956Z
- Authority
- MD
- Moldova
- Prior art keywords
- user
- data
- provider
- server
- service provider
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000002265 prevention Effects 0.000 title description 39
- 235000014510 cooky Nutrition 0.000 claims description 5
- 238000012795 verification Methods 0.000 abstract description 15
- 238000001514 detection method Methods 0.000 description 20
- 238000011835 investigation Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 5
- 230000003542 behavioural effect Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 238000011156 evaluation Methods 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Landscapes
- Telephonic Communication Services (AREA)
Abstract
Invenţia se referă la metode de prevenire a fenomenului infracţional potenţial existent la solicitarea din partea unui utilizator către furnizorul ce prestează servicii prin reţeaua Internet.Metoda de prevenire a infracţiunii la solicitarea prestării de servicii prin intermediul reţelei Internet constă în aceea că la recepţionarea semnalului-solicitare de la dispozitivul utilizatorului de către serverul furnizorului pentru descoperirea infractorului, serverul realizează o verificare activă, solicitând de la utilizator datele accountului şi suma de control a fişierului, de asemenea determinând datele specifice ale dispozitivului utilizatorului.În cazul imposibilităţii de identificare a datelor sus-numite, se stabileşte o conexiune suplimentară între serverul furnizorului şi dispozitivul utilizatorului, care execută o verificare pasivă, solicitând date suplimentare de autentificare.The invention relates to methods of preventing the potential criminal phenomenon existing at the request of a user to the provider providing services through the Internet network. The method of preventing the crime when requesting the provision of services through the Internet network consists in the reception of the request-signal. from the user's device by the provider's server for discovering the offender, the server performs an active verification, requesting from the user the account data and the file control amount, also determining the specific data of the user's device. , an additional connection is established between the provider's server and the user's device, which performs a passive verification, requesting additional authentication data.
Description
Invenţia se referă la metode de prevenire a fenomenului infracţional potenţial existent la solicitarea din partea unui utilizator către furnizorul ce prestează servicii prin reţeaua Internet. The invention refers to methods for preventing the potential criminal phenomenon that exists upon a user's request to the provider providing services via the Internet network.
Metoda poate fi utilizată în cadrul prestării următoarelor servicii, fără a se limita la acestea: The method can be used in the provision of the following services, but is not limited to:
- servicii care presupun autentificarea clientului prin intermediul unei metode de autentificare alese de furnizorul de servicii; - services that require customer authentication through an authentication method chosen by the service provider;
- servicii care presupun autentificarea clientului prin intermediul unei metode de autentificare alese de furnizorul de servicii şi necesită o limitare cantitativă a serviciului prestat (exemplu: free trial); - services that require customer authentication through an authentication method chosen by the service provider and require a quantitative limitation of the service provided (example: free trial);
- servicii care nu presupun autentificarea clientului şi necesită o limitare cantitativă a serviciului prestat (exemplu: accesul trebuie să fie restricţionat la un număr maxim de accesări zilnice de către un singur utilizator); - services that do not require customer authentication and require a quantitative limitation of the service provided (example: access must be restricted to a maximum number of daily accesses by a single user);
- din punct de vedere al bunului oferit, servicii exclusiv online din tipurile de mai sus; - from the point of view of the good offered, exclusively online services of the above types;
- servicii care presupun furnizarea unui bun tangibil ca urmare a unei comenzi efectuate prin intermediul interfeţei electronice a serviciului. - services that involve the provision of a tangible good as a result of an order placed through the service's electronic interface.
Este cunoscută o metodă de prevenire a infracţiunii la solicitarea prestării de servicii prin intermediul reţelei Internet, care constă în aceea că la recepţionarea semnalului-solicitare de la dispozitivul utilizatorului de către serverul furnizorului pentru descoperirea infractorului, serverul realizează o verificare activă, solicitând de la utilizator datele accountului, ID-ul atribuit de sistemul de prevenire a fraudei pentru dispozitivul client al utilizatorului (device ID), amprenta digitală a dispozitivului client (generată de către sistemul antifraudă pe baza informaţiilor specifice ale dispozitivului client la accesarea serviciului), suma de control a fişierului, de asemenea determinând datele specifice ale dispozitivului utilizatorului, cookie, ID-ul sesiunii şi introducându-le pe acestea în memoria sa [1]. A method of preventing crime when requesting the provision of services via the Internet is known, which consists in the fact that upon receiving the request signal from the user's device by the provider's server to discover the offender, the server performs an active check, requesting from the user the account data, the ID assigned by the fraud prevention system for the user's client device (device ID), the digital fingerprint of the client device (generated by the anti-fraud system based on the specific information of the client device when accessing the service), the checksum of the file, also determining the specific data of the user's device, cookie, session ID and entering them into its memory [1].
Dezavantajele acestei metode constau în aceea că astfel de metode de verificare a datelor utilizatorului pot fi vulnerabile, deoarece există situaţii, când serverul furnizorului nu poate identifica ID-ul utilizatorului, cum ar fi situaţii în care dispozitivul nu permite stocarea ID-ului sau când utilizatorul a şters acest ID ca urmare a unei operaţiuni de mentenanţă a dispozitivului sau situaţii în care furnizorul de servicii nu doreşte stocarea ID-ului datorită contextului în care oferă serviciu. În cazul în care serverul furnizorului nu poate identifica ID-ul utilizatorului, sistemul refuză de a presta utilizatorului serviciul solicitat. Însă în cazul în care utilizatorul, care a solicitat serviciul, este un utilizator de bună credinţă, iar sistemul furnizorului nu poate identifica ID-ul calculatorului acestuia, apare situaţia, în care furnizorul refuză prestarea serviciului unui utilizator de bună credinţă. The disadvantages of this method are that such methods of verifying user data can be vulnerable, because there are situations when the provider's server cannot identify the user's ID, such as situations where the device does not allow storing the ID or when the user has deleted this ID as a result of a device maintenance operation or situations where the service provider does not want to store the ID due to the context in which it provides the service. If the provider's server cannot identify the user's ID, the system refuses to provide the requested service to the user. However, if the user who requested the service is a bona fide user, and the provider's system cannot identify the ID of his computer, a situation arises in which the provider refuses to provide the service to a bona fide user.
Problema pe care o rezolvă invenţia constă în crearea unei metode, care ar asigura autentificarea securizată pentru utilizator şi optimizarea interacţiunii utilizator-furnizor în ceea ce priveşte eficacitatea şi siguranţa. The problem that the invention solves consists in creating a method that would ensure secure authentication for the user and optimize the user-provider interaction in terms of effectiveness and security.
Metoda, conform invenţiei, înlătură dezavantajele menţionate mai sus prin aceea că la recepţionarea semnalului-solicitare de la dispozitivul utilizatorului de către serverul furnizorului pentru descoperirea infractorului, serverul realizează o verificare activă, solicitând de la utilizator datele accountului şi suma de control a fişierului, de asemenea determinând datele specifice ale dispozitivului utilizatorului, cookie, ID-ul sesiunii şi introducându-le pe acestea în memoria sa, în cazul imposibilităţii de identificare a datelor accountului utilizatorului sau sumei de control a fişierului utilizatorului, se stabileşte o conexiune suplimentară între serverul furnizorului şi dispozitivul utilizatorului, care execută o verificare pasivă, solicitând date suplimentare de autentificare. The method, according to the invention, eliminates the disadvantages mentioned above in that upon receiving the request signal from the user's device by the provider's server for discovering the offender, the server performs an active verification, requesting from the user the account data and the file checksum, also determining the specific data of the user's device, cookie, session ID and entering them into its memory, in case of impossibility of identifying the user's account data or the user's file checksum, an additional connection is established between the provider's server and the user's device, which performs a passive verification, requesting additional authentication data.
Invenţia se explică prin desenele din figurile 1-5, care reprezintă: The invention is explained by the drawings in figures 1-5, which represent:
- fig. 1, schema legăturilor între dispozitivul utilizatorului şi furnizor; - Fig. 1, diagram of the connections between the user's device and the provider;
- fig. 2, schema generală de parcurs a semnalului solicitării din start până la accesul serviciului, sau refuzul definitiv de prestare a serviciului, incluzând detalii pentru investigarea preliminară; - Fig. 2, general diagram of the request signal flow from the start to service access, or the final refusal to provide the service, including details for the preliminary investigation;
- fig. 3, schema parcursului semnalului solicitării în cadrul verificării pasive; - Fig. 3, diagram of the request signal path during passive verification;
- fig. 4, schema parcursului semnalului solicitării în cadrul verificării active a unui dispozitiv cu indicator dispozitiv prezent; - Fig. 4, diagram of the request signal path during active verification of a device with device present indicator;
- fig. 5, schema parcursului semnalului solicitării în cadrul verificării active a unui dispozitiv fără identificator dispozitiv prezent, cu recurs la investigarea pasivă. - Fig. 5, diagram of the request signal path during active verification of a device without a device identifier present, with recourse to passive investigation.
Lista semnelor convenţionale: List of conventional signs:
DC : dispozitiv client DC: client device
CD1 : context dispozitiv 1 - de exemplu referrer şi informaţii de genul acesta CD1: device context 1 - for example referrer and such information
CD2 : context dispozitiv 2 - de exemplu dacă ADC a putut fi salvată pe dispozitiv CD2: device context 2 - for example if ADC could be saved on the device
CD3 : context dispozitiv 3 - de exemplu adresa IP, resursa (URL) CD3: device context 3 - e.g. IP address, resource (URL)
ADD : amprenta digitală dispozitiv (calcularea ei se face pe baza caracteristicilor dispozitivului) ADD: device fingerprint (its calculation is based on the device characteristics)
ID: identificator dispozitiv - este un identificator unic generat de către SPF şi salvat pe DC ID: device identifier - is a unique identifier generated by SPF and saved on the DC
ADC : aplicaţie detecţie client ADC: application client detection
SP : sistem prevenire SP: prevention system
BD-SP : baza de date - sistem prevenire BD-SP: database - prevention system
ADF : aplicaţie de detecţie furnizor ADF: application discovery provider
FS : furnizor de servicii FS: service provider
FS-CPC : furnizor de servicii - configurare punct de control FS-CPC: service provider - control point configuration
RDFS : reguli definite de către furnizorul de servicii RDFS: rules defined by the service provider
AC : aplicaţie cadru a furnizorului de servicii (javascript) AC: service provider framework application (javascript)
ICU : informaţii comportament utilizator ICU: user behavior information
DIU : datele introduse de către utilizator - setul de date ce trebuie introduse de către utilizatorul care accesează un anume serviciu/resursă. Pot fi datele de acces (login) sau de înscriere DIU: user input data - the set of data that must be entered by the user accessing a specific service/resource. It can be login or registration data
DRDA : Date Relevante pentru Domeniul de Activitate. DRDA: Domain Relevant Data.
Metoda propusă constă în aceea că la recepţionarea semnalului-solicitare de la dispozitivul infractorului presupus (l) (în figura 1) de serverul furnizorului (2), serverul solicită de la utilizator informaţia privind contul acestuia şi amprenta digitală a dispozitivului client (fingerprint) şi introduce aceste date în memoria sa, după care utilizatorul completează formularul de solicitare a serviciului, în cazul în care modalitatea de acces a serviciului stabilită de furnizor prevede acest pas. În această etapă se realizează o verificare activă a conştiinciozităţii utilizatorului prin determinarea datelor specifice ale dispozitivului utilizatorului, cum ar fi modul cookie, sesiunea ID, etc. În cazul în care dispozitivul utilizatorului nu a trecut verificarea activă, adică serverul furnizorului nu a reuşit citirea informaţiei cu privire la contul sau la amprenta digitală a dispozitivului client al utilizatorului, se conectează automat legătura suplimentară între serverul furnizorului şi dispozitivul utilizatorului, care execută o verificare pasivă, folosind datele disponibile la momentul respectiv. The proposed method consists in the fact that upon receiving the request signal from the alleged offender's device (l) (in Figure 1) by the provider's server (2), the server requests from the user the information regarding his account and the fingerprint of the client device (fingerprint) and enters this data into its memory, after which the user fills out the service request form, if the service access method established by the provider provides for this step. At this stage, an active verification of the user's conscientiousness is performed by determining the specific data of the user's device, such as the cookie, session ID, etc. If the user's device has not passed the active verification, i.e. the provider's server has failed to read the information regarding the account or the fingerprint of the user's client device, the additional connection between the provider's server and the user's device is automatically connected, which performs a passive verification, using the data available at that time.
Schema legăturilor între dispozitivul utilizatorului şi furnizor (figura 1) Diagram of the connections between the user's device and the provider (figure 1)
Diagrama reprezintă schematic interacţiunea dintre un utilizator şi un formular al unui furnizor de servicii. Utilizatorul accesează o pagină web, unde furnizorul de servicii prezintă nişte câmpuri care trebuie completate. În pagina web este prezentă şi aplicaţia detectare infractor client (denumită în cele ce urmează "aplicaţie de detecţie client") servită de către sistemul de prevenire a infracţionalităţii din cadrul invenţiei (denumit în cele ce urmează "sistem de prevenire") care face o sumă de verificări pe dispozitiv client. Odată făcute aceste verificări, clientul contactează sistemul de prevenire şi-i trimite datele de amprentare digitală pasivă bazate pe datele culese de pe dispozitivul client. De asemenea se transmit şi date de genul cookies sau identificator de device, acesta din urmă în cazul în care verificarea activă este posibilă. În momentul în care utilizatorul trimite formularul completat pe dispozitivul client, datele completate de către utilizator împreună cu amprenta digitală dispozitiv sunt trimise la furnizorul de servicii. Furnizorul de servicii trimite mai departe la sistemul de prevenire date cum ar fi amprenta digitală, dispozitiv şi informaţii de identificare şi primeşte înapoi un scor pe baza căruia este evaluată credibilitatea clientului. The diagram schematically represents the interaction between a user and a form of a service provider. The user accesses a web page, where the service provider presents some fields that must be completed. The web page also contains the client criminal detection application (hereinafter referred to as "client detection application") served by the crime prevention system of the invention (hereinafter referred to as "prevention system") which performs a number of checks on the client device. Once these checks are made, the client contacts the prevention system and sends it the passive fingerprint data based on the data collected from the client device. Data such as cookies or device identifier are also transmitted, the latter in case active verification is possible. When the user sends the completed form on the client device, the data completed by the user together with the device fingerprint are sent to the service provider. The service provider forwards data such as fingerprint, device and identification information to the prevention system and receives back a score based on which the customer's credibility is assessed.
Procedura de verificare pe etape se realizează în modul ce urmează. The staged verification procedure is carried out as follows.
Etapa investigării preliminare (figura 2) Preliminary investigation stage (figure 2)
De la dispozitivul utilizatorului se expediază o solicitare spre serverul furnizorului. Serverul furnizorului răspunde acestei solicitări transmiţând aplicaţia cadru (denumită în cele ce urmează "aplicaţie cadru") pentru furnizarea serviciului. Aplicaţia cadru este o aplicaţie specifică furnizorului de servicii care permite utilizatorului să acceseze serviciul într-o etapă ulterioară. Această aplicaţie cadru este integrată cu aplicaţia detecţie client furnizată de sistemul de prevenire. Aplicaţia cadru lansează aplicaţia de detecţie client pe dispozitivul utilizatorului. Dacă lansarea a eşuat, sistemul de prevenire nu va putea realiza verificarea şi, prin urmare, accesul utilizatorului la serviciul respectiv va fi refuzat. Dacă lansarea este reuşită, în funcţie de configurările specifice realizate de furnizorul de servicii pentru punctul de control, se va proceda în felul următor: (a) dacă punctul de control este configurat ca punct de control cu verificare doar pasivă, se va proceda la realizarea identificării pasive (figura 3); şi (b) dacă punctul de control necesită verificare completă, se va proceda la citirea identificatorului dispozitiv şi la generarea amprentei dispozitiv. Ca o continuare la opţiunea descrisă la litera (b) din propoziţia precedentă, dacă identificatorul dispozitiv este găsit, se va continua cu paşii descrişi în figură (figura 4), iar dacă identificatorul dispozitiv nu este găsit, se va continua cu paşii descrişi în figură (figura 5). A request is sent from the user's device to the provider's server. The provider's server responds to this request by transmitting the framework application (hereinafter referred to as the "framework application") for the provision of the service. The framework application is a specific application of the service provider that allows the user to access the service at a later stage. This framework application is integrated with the client detection application provided by the prevention system. The framework application launches the client detection application on the user's device. If the launch fails, the prevention system will not be able to perform the verification and, therefore, the user's access to the respective service will be denied. If the launch is successful, depending on the specific configurations made by the service provider for the checkpoint, the following will be done: (a) if the checkpoint is configured as a checkpoint with passive verification only, passive identification will be performed (figure 3); and (b) if the checkpoint requires full verification, the device identifier will be read and the device fingerprint will be generated. As a continuation of the option described in letter (b) of the previous sentence, if the device identifier is found, continue with the steps described in the figure (figure 4), and if the device identifier is not found, continue with the steps described in the figure (figure 5).
Etapa investigării complete, varianta investigării pasive pentru prevenirea fraudei (figura 3) The full investigation stage, the passive investigation variant for fraud prevention (figure 3)
Se continuă din figura 2. Pe dispozitivul clientului se generează amprenta dispozitivului, pe baza datelor specifice disponibile pe dispozitiv, cum ar fi, dar nelimitându-se la: tip de browser, limbă, sistem de operare, tipuri de caractere, module instalate, etc. Dacă nu este necesar ca utilizatorul să introducă date de acces într-un formular, atunci amprenta dispozitivului se trimite la furnizorul de servicii. Dacă este nevoie ca utilizatorul să introducă date suplimentare, atunci aplicaţia cadru va afişa un formular pe dispozitivul client. În timp ce clientul introduce datele, aplicaţia de detecţie client colectează informaţiile de comportament ale utilizatorului care apoi împreună cu datele introduse de utilizator şi amprenta dispozitiv sunt trimise la furnizorul de servicii. Furnizorul de servicii validează mai întâi datele introduse de către utilizator; dacă nu sunt valide/bune şi este permisă o nouă încercare de introducere a datelor, utilizatorului îi va fi afişat din nou formularul pe dispozitivul client. Dacă însă datele introduse de către utilizator sunt valide, atunci aplicaţia de detecţie pentru furnizorul de servicii (denumită în cele ce urmează "aplicaţia de detecţie furnizor") adună datele din contextul dispozitiv 3 (de exemplu adresa IP, resursa (URL) denumită în cele ce urmează "context dispozitiv 3") şi le trimite la sistemul de prevenire, împreună cu informaţiile de comportament şi amprenta dispozitiv primite de la aplicaţia de detecţie client. Aplicaţia de detecţie furnizor este o aplicaţie furnizată de sistemul de prevenire şi integrată cu sistemul furnizorului de servicii. Sistemul de prevenire determină, pe baza algoritmului de investigare pasivă şi a datelor primite, dacă există înregistrări care atestă, cu o probabilitate prestabilită, faptul că dispozitivul este identic cu dispozitive conectate anterior. Sistemul de prevenire evaluează datele disponibile (informaţiile dispozitivelor determinate a fi identice, datele introduse de către utilizator, amprenta dispozitiv, informaţiile comportament utilizator, contextul dispozitiv 1, contextul dispozitiv 3, datele de identificare domeniu de activitate) pe baza regulilor definite de către furnizorul de servicii în interfaţa de administrare a sistemului de prevenire şi pe baza datelor relevante pentru domeniul de activitate respectiv, adunate de sistemul de prevenire de la ceilalţi furnizori de servicii. În urma evaluării datelor de mai sus de către sistemul de prevenire, acesta răspunde către furnizorul de servicii transmiţând o recomandare (acceptă, respinge sau analizează), un scor, precum şi informaţii despre regulile care au fost aplicate pentru obţinerea scorului. În cazul recomandării acceptă, furnizorul de servicii va pune la dispoziţie resursa pe care utilizatorul doreşte s-o acceseze, prin intermediul aplicaţiei cadru de pe dispozitivul client. În cazul recomandării respinge sau analizează, furnizorul de servicii poate afişa informaţii privitoare la accesul restricţionat prin intermediul aplicaţiei cadru de pe dispozitivul client. În cazul recomandării analizează, administratorul furnizorului de servicii este notificat şi va putea ulterior accepta sau respinge manual cererea din interfaţa de administrare a sistemului de prevenire. La o accesare ulterioară de către utilizator a resursei sau serviciului, sistemul de prevenire va emite recomandarea acceptă sau respinge, corespunzător cu acţiunea manuală a administratorului. Continuing from Figure 2. On the client device, the device fingerprint is generated, based on specific data available on the device, such as, but not limited to: browser type, language, operating system, font types, installed modules, etc. If the user does not need to enter access data in a form, then the device fingerprint is sent to the service provider. If the user needs to enter additional data, then the framework application will display a form on the client device. While the client enters the data, the client detection application collects user behavior information which is then sent together with the user entered data and the device fingerprint to the service provider. The service provider first validates the data entered by the user; if it is not valid/good and a new attempt to enter the data is allowed, the user will be shown the form again on the client device. However, if the data entered by the user is valid, then the detection application for the service provider (hereinafter referred to as the "provider detection application") collects the data from the device context 3 (e.g. IP address, resource (URL) hereinafter referred to as the "device context 3") and sends it to the prevention system, together with the behavioral information and device fingerprint received from the client detection application. The provider detection application is an application provided by the prevention system and integrated with the service provider system. The prevention system determines, based on the passive investigation algorithm and the received data, whether there are records that attest, with a predetermined probability, that the device is identical to previously connected devices. The prevention system evaluates the available data (information of devices determined to be identical, data entered by the user, device fingerprint, user behavior information, device context 1, device context 3, field of activity identification data) based on the rules defined by the service provider in the prevention system administration interface and on the data relevant to the respective field of activity, collected by the prevention system from other service providers. Following the evaluation of the above data by the prevention system, it responds to the service provider by transmitting a recommendation (accept, reject or analyze), a score, as well as information about the rules that were applied to obtain the score. In the case of the accept recommendation, the service provider will make available the resource that the user wishes to access, through the framework application on the client device. In the case of the reject or analyze recommendation, the service provider may display information regarding the restricted access through the framework application on the client device. In the case of the review recommendation, the service provider administrator is notified and will be able to subsequently manually accept or reject the request from the prevention system administration interface. Upon subsequent access by the user to the resource or service, the prevention system will issue the accept or reject recommendation, corresponding to the administrator's manual action.
Etapa investigării complete, varianta investigării active pentru prevenirea fraudei, a unui dispozitiv cu identificator dispozitiv prezent (figura 4) The full investigation stage, the active investigation variant for fraud prevention, of a device with a device identifier present (figure 4)
Se continuă din figura 2. Dacă nu este necesar ca utilizatorul să introducă date de acces într-un formular, atunci amprenta dispozitivului, împreună cu identificatorul de dispozitiv se trimite la furnizorul de servicii. Dacă este nevoie ca utilizatorul să introducă date suplimentare, atunci aplicaţia cadru va afişa un formular pe dispozitivul client. În timp ce clientul introduce datele, aplicaţia de detecţie client colectează informaţiile de comportament ale utilizatorului care apoi împreună cu datele introduse de utilizator, identificatorul de dispozitiv şi amprenta dispozitiv sunt trimise la furnizorul de servicii. Acesta validează mai întâi datele introduse de către utilizator; dacă nu sunt valide/bune şi este permisă o nouă încercare de introducere a datelor, utilizatorului îi va fi afişat din nou formularul pe dispozitivul client. Dacă însă datele introduse de către utilizator sunt valide, atunci aplicaţia de detecţie client pentru furnizorul de servicii adună datele context dispozitiv 3 şi le trimite sistemului de prevenire, împreună cu informaţiile de comportament şi amprenta dispozitiv primite de la aplicaţia de detecţie client. Aplicaţia de detecţie client pentru furnizorul de servicii este o aplicaţie furnizată de sistemul de prevenire şi integrată cu sistemul furnizorului de servicii. Sistemul de prevenire evaluează datele disponibile (datele introduse de către utilizator, identificatorul dispozitiv, amprenta dispozitiv, informaţiile comportament utilizator, contextul dispozitiv 1, contextul dispozitiv 3, datele de identificare domeniu de activitate) pe baza regulilor definite de către furnizorul de servicii în interfaţa de administrare a sistemului de prevenire şi pe baza datelor relevante pentru domeniul de activitate respectiv, adunate de sistemul de prevenire de la ceilalţi furnizori de servicii. În urma evaluării datelor de mai sus de către sistemul de prevenire, acesta răspunde către furnizorul de servicii transmiţând o recomandare (acceptă, respinge sau analizează), un scor, precum şi informaţii despre regulile care au fost aplicate pentru obţinerea scorului. În cazul recomandării acceptă, furnizorul de servicii va pune la dispoziţie resursa pe care utilizatorul doreşte s-o acceseze, prin intermediul aplicaţiei cadru de pe dispozitivul client. În cazul recomandării respinge sau analizează, furnizorul de servicii poate afişa informaţii privitoare la accesul restricţionat prin intermediul aplicaţiei cadru de pe dispozitivul client. Continuing from Figure 2. If the user does not need to enter credentials in a form, then the device fingerprint, along with the device identifier, is sent to the service provider. If the user needs to enter additional data, then the framework application will display a form on the client device. While the client enters the data, the client detection application collects the user’s behavioral information which is then sent, together with the user’s entered data, the device identifier, and the device fingerprint, to the service provider. The latter first validates the user’s entered data; if it is not valid/good and a new attempt to enter the data is allowed, the user will be shown the form again on the client device. However, if the user’s entered data is valid, then the client detection application for the service provider collects the device context 3 data and sends it to the prevention system, along with the behavioral information and device fingerprint received from the client detection application. The client detection application for the service provider is an application provided by the prevention system and integrated with the service provider's system. The prevention system evaluates the available data (user input, device identifier, device fingerprint, user behavior information, device context 1, device context 3, domain identification data) based on the rules defined by the service provider in the prevention system administration interface and on the relevant data for the respective domain of activity, collected by the prevention system from other service providers. Following the evaluation of the above data by the prevention system, it responds to the service provider by transmitting a recommendation (accept, reject or analyze), a score, as well as information about the rules that were applied to obtain the score. In the case of an accepted recommendation, the service provider will make available the resource that the user wishes to access, through the framework application on the client device. In the case of a reject or review recommendation, the service provider may display information regarding restricted access through the framework application on the client device.
Etapa investigării complete, varianta investigării active pentru prevenirea fraudei, a unui dispozitiv fără identificator dispozitiv prezent, cu recurs la investigarea pasivă (figura 5) The full investigation stage, the active investigation variant for fraud prevention, of a device without a device identifier present, with recourse to passive investigation (figure 5)
Se continuă din figura 2. Pe dispozitivul clientului se generează amprenta dispozitivului, pe baza datelor specifice disponibile pe dispozitiv, la fel ca la figura 3. Se transmite această amprentă către sistemul de prevenire, opţional prin intermediul unui serviciu de redirecţie furnizor (proxy) care are rolul de a face posibilă tranzacţionarea integrală prin intermediul furnizorului de servicii. Sistemul de prevenire, la primirea amprentei dispozitiv va genera identificatorul dispozitiv, va stoca amprenta dispozitiv împreună cu identificatorul dispozitiv şi informaţiile din contextul dispozitiv 1 (cum ar fi referrer şi informaţii de acest gen) şi va transmite către aplicaţia de detecţie client identificatorul dispozitiv. Aplicaţia de detecţie client va încerca stocarea identificatorului de dispozitiv pe dispozitiv, marcând în contextul dispozitiv 2, dacă această stocare s-a efectuat cu succes. Dacă nu este necesar ca utilizatorul să introducă date de acces într-un formular, atunci amprenta dispozitivului, împreună cu identificatorul de dispozitiv, se trimite la furnizorul de servicii. Dacă este nevoie ca utilizatorul să introducă date suplimentare, atunci aplicaţia cadru va afişa un formular pe dispozitivul client. În timp ce clientul introduce datele, aplicaţia de detecţie client colectează informaţiile de comportament ale utilizatorului care apoi împreună cu datele introduse de utilizator, identificatorul de dispozitiv şi amprenta dispozitiv sunt trimise la furnizorul de servicii. Ultimul validează mai întâi datele introduse de către utilizator; dacă nu sunt valide/bune şi este permisă o nouă încercare de introducere a datelor, utilizatorului îi va fi afişat din nou formularul pe dispozitivul client. Dacă însă datele introduse de către utilizator sunt valide, atunci aplicaţia de detecţie furnizor adună datele pentru contextul dispozitiv 3 şi le trimite sistemului de prevenire, împreună cu contextul dispozitiv 2 (cum ar fi dacă de exemplu aplicaţie detecţie client a putut fi salvată pe dispozitiv), informaţiile de comportament şi amprenta dispozitiv primite de la aplicaţia de detecţie client. Sistemul de prevenire determină, pe baza algoritmului de investigare pasivă şi a datelor primite, dacă există înregistrări care atestă, cu o probabilitate prestabilită, faptul că dispozitivul este identic cu dispozitive conectate anterior. Acest pas este practic recursul la investigarea pasivă pentru un dispozitiv căruia i-a fost eliminat identificatorul dispozitiv de la ultima verificare. Apoi, sistemul de prevenire a fraudei evaluează datele disponibile (informaţiile dispozitivelor determinate a fi identice, datele introduse de către utilizator, amprenta dispozitiv, informaţiile comportament utilizator, contextul dispozitiv 1, contextul dispozitiv 3, date de relevanţe domeniu de activitate) pe baza regulilor definite de către furnizorul de servicii în interfaţa de administrare a sistemului de prevenire şi pe baza datelor relevante pentru domeniul de activitate respectiv, adunate de sistemul de prevenire de la ceilalţi furnizori de servicii. În urma evaluării datelor de mai sus de către sistemul de prevenire, acesta răspunde către furnizorul de servicii transmiţând o recomandare (acceptă, respinge sau analizează), un scor, precum şi informaţii despre regulile care au fost aplicate pentru obţinerea scorului. În cazul recomandării acceptă, furnizorul de servicii va pune la dispoziţie resursa pe care utilizatorul doreşte s-o acceseze, prin intermediul aplicaţiei cadru de pe dispozitivul client. În cazul recomandării respinge sau analizează, furnizorul de servicii poate afişa informaţii privitoare la accesul restricţionat prin intermediul aplicaţiei cadru de pe dispozitivul client. Continuing from Figure 2. The device fingerprint is generated on the client device, based on the specific data available on the device, as in Figure 3. This fingerprint is transmitted to the prevention system, optionally via a provider redirection service (proxy) that has the role of making the full transaction possible through the service provider. The prevention system, upon receiving the device fingerprint, will generate the device identifier, store the device fingerprint together with the device identifier and the information from the device 1 context (such as referrer and such information) and will transmit the device identifier to the client detection application. The client detection application will attempt to store the device identifier on the device, marking in the device 2 context if this storage was successful. If the user does not need to enter access data in a form, then the device fingerprint, together with the device identifier, is sent to the service provider. If the user needs to enter additional data, then the framework application will display a form on the client device. While the client enters the data, the client detection application collects the user's behavioral information which is then sent together with the user's entered data, the device identifier and the device fingerprint to the service provider. The latter first validates the data entered by the user; if it is not valid/good and a new attempt to enter the data is allowed, the user will be shown the form again on the client device. However, if the user's entered data is valid, then the provider detection application collects the data for device context 3 and sends it to the prevention system, together with the device context 2 (such as if for example the client detection application could be saved on the device), the behavioral information and the device fingerprint received from the client detection application. The prevention system determines, based on the passive investigation algorithm and the received data, whether there are records that attest, with a predetermined probability, that the device is identical to previously connected devices. This step is basically the passive investigation for a device that has had its device identifier removed from the last check. Then, the fraud prevention system evaluates the available data (information of devices determined to be identical, data entered by the user, device fingerprint, user behavior information, device context 1, device context 3, field of activity relevance data) based on the rules defined by the service provider in the prevention system administration interface and on the relevant data for the respective field of activity, collected by the prevention system from other service providers. Following the evaluation of the above data by the prevention system, it responds to the service provider by transmitting a recommendation (accept, reject or analyze), a score, as well as information about the rules that were applied to obtain the score. In the case of the recommendation accepted, the service provider will make available the resource that the user wishes to access, through the framework application on the client device. In the case of a reject or review recommendation, the service provider may display information regarding restricted access through the framework application on the client device.
În continuare se prezintă două exemple de folosire a metodei de prevenire a fraudei. Below are two examples of using the fraud prevention method.
Primul exemplu se referă la o situaţie în care furnizorul de servicii online doreşte o identificare preferabil prin metoda activă a utilizatorului, acesta accesând serviciul pe baza unui cont, folosind login şi parola pentru autentificare. Astfel furnizorul oferă un serviciu online (denumit în cele ce urmează "SO") care pune la dispoziţia utilizatorilor facilităţi de procesare în cloud. Utilizatorul are avantajul că în loc să aibă nevoie de câteva săptămâni să genereze un film de animaţie poate face acest lucru în câteva ore/o zi. Folosind metoda care face obiectul invenţiei, un utilizator care încearcă să se înscrie a doua oară va fi identificat chiar şi în cazul în care foloseşte un alt cont sau chiar un alt dispozitiv de reţea din aceeaşi locaţie. Pe baza regulilor stabilite de către administratorii SO înscrierea/accesarea repetată a unui asemenea utilizator a site-ului poate genera o alertă în sistem. De asemenea în cazul în care dispozitivul utilizatorului nu permite stocarea unui identificator de dispozitiv sau acest identificator a fost eliminat, în urma investigării pasive, sistemul poate decide să îi permită accesul în cont, dar să nu-i ofere niciun beneficiu sau alternativă, să nu-i blocheze accesul, dacă este cunoscut de sistemul de prevenire ca un utilizator care a făcut fraudă prin intermediul cardurilor de credit în alte împrejurări. În felul acesta SO nu suferă pierderi din cauza utilizatorilor fraudulenţi şi îşi poate mări în acelaşi timp vânzările. The first example refers to a situation in which the online service provider wants to identify the user preferably through the active method, accessing the service based on an account, using login and password for authentication. Thus, the provider offers an online service (hereinafter referred to as "SO") that provides users with cloud processing facilities. The user has the advantage that instead of needing several weeks to generate an animation film, he can do this in several hours/one day. Using the method that is the subject of the invention, a user who tries to register a second time will be identified even if he uses a different account or even another network device from the same location. Based on the rules established by the SO administrators, the repeated registration/access of such a user to the site can generate an alert in the system. Also, if the user's device does not allow the storage of a device identifier or this identifier has been removed, following passive investigation, the system may decide to allow access to the account, but not to offer him any benefit or alternative, not to block his access, if he is known by the prevention system as a user who has committed fraud using credit cards in other circumstances. In this way, the OS does not suffer losses due to fraudulent users and can increase its sales at the same time.
Al doilea exemplu se referă la o publicaţie online care funcţionează pe bază de abonament, dar permite accesul neautentificat al unui vizitator la un articol pe zi. Această politică este implementată în scopul de a atrage cititorii şi a-i convinge prin calitatea materialelor să dorească să citească mai mult şi, prin urmare, să îşi facă abonament. Însă această politică implică posibilitatea limitării accesului fără a recurge la un cont de utilizator. Folosind sistemul de prevenire prin metoda pasivă a acestuia, în condiţiile în care nu se doreşte stocarea unui identificator de dispozitiv pe un dispozitiv cu al cărui posesor nu este într-o relaţie contractuală, publicaţia online poate identifica în mod unic un dispozitiv sau chiar cu o probabilitate suficient de bună un utilizator care foloseşte dispozitive din aceeaşi locaţie şi, prin urmare, poate limita accesul la un articol pe zi şi astfel obţine venituri din abonamente în timp ce implementează politica de mai sus pentru atragerea clienţilor. The second example refers to an online publication that operates on a subscription basis, but allows unauthenticated access to one article per day by a visitor. This policy is implemented in order to attract readers and convince them through the quality of the materials to want to read more and, therefore, to subscribe. However, this policy implies the possibility of limiting access without resorting to a user account. Using the prevention system through its passive method, given that it is not desired to store a device identifier on a device with which the owner is not in a contractual relationship, the online publication can uniquely identify a device or even with a sufficiently good probability a user using devices from the same location and, therefore, can limit access to one article per day and thus obtain revenue from subscriptions while implementing the above policy to attract customers.
1. US 7330871 B2 2008.02.12 1. US 7330871 B2 2008.02.12
Claims (1)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| MDS20150017A MD956Z (en) | 2015-02-17 | 2015-02-17 | Method for offence prevention at the request of providing services by means of the Internet network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| MDS20150017A MD956Z (en) | 2015-02-17 | 2015-02-17 | Method for offence prevention at the request of providing services by means of the Internet network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| MD956Y MD956Y (en) | 2015-09-30 |
| MD956Z true MD956Z (en) | 2016-04-30 |
Family
ID=54207238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| MDS20150017A MD956Z (en) | 2015-02-17 | 2015-02-17 | Method for offence prevention at the request of providing services by means of the Internet network |
Country Status (1)
| Country | Link |
|---|---|
| MD (1) | MD956Z (en) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7330871B2 (en) * | 2000-06-07 | 2008-02-12 | Telecheck Services, Inc. | Online machine data collection and archiving process |
-
2015
- 2015-02-17 MD MDS20150017A patent/MD956Z/en not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7330871B2 (en) * | 2000-06-07 | 2008-02-12 | Telecheck Services, Inc. | Online machine data collection and archiving process |
Also Published As
| Publication number | Publication date |
|---|---|
| MD956Y (en) | 2015-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10091230B1 (en) | Aggregating identity data from multiple sources for user controlled distribution to trusted risk engines | |
| US20210201320A1 (en) | System and method for secure transactions using images | |
| EP2748781B1 (en) | Multi-factor identity fingerprinting with user behavior | |
| JP5207736B2 (en) | Network security and fraud detection system and method | |
| US9824199B2 (en) | Multi-factor profile and security fingerprint analysis | |
| US9311679B2 (en) | Enterprise social media management platform with single sign-on | |
| US9628566B2 (en) | Communication of data of a web real-time communication via a carrier-grade environment | |
| US9705862B2 (en) | Browser access to native code device identification | |
| KR20150082235A (en) | Method of processing requests for digital services | |
| CN103685289B (en) | Method and device for detecting phishing website | |
| EP3127293A1 (en) | Distributed authentication system and method | |
| US20150067772A1 (en) | Apparatus, method and computer-readable storage medium for providing notification of login from new device | |
| US20220156709A1 (en) | Online payment system | |
| US9866587B2 (en) | Identifying suspicious activity in a load test | |
| US20160212123A1 (en) | System and method for providing a certificate by way of a browser extension | |
| EP2896005A1 (en) | Multi-factor profile and security fingerprint analysis | |
| MD956Z (en) | Method for offence prevention at the request of providing services by means of the Internet network | |
| MXPA06006883A (en) | Method for user registration with a proxy for further work with one of the server units. | |
| RU2303811C1 (en) | Remote user authentication method and the system for realization of the method | |
| RU177377U1 (en) | DEVICE FOR DETERMINING THE INTERESTS OF THE CHILD AND EVALUATING THE LEVEL OF THREATS TO THE CHILD ON THE INTERNET | |
| KR20210101801A (en) | Online personal information reliability verification system | |
| US9619826B1 (en) | Third-party authentication systems and methods | |
| CN118568774A (en) | Bank card data query method, device, equipment, medium and program product | |
| KR100476005B1 (en) | Method and system for verifing authenticity of a person based on the ip address | |
| Ateş et al. | Reliability of Wireless Access in Artificial Intelligence-Based Firewall Systems: An Experimental Study on the Case of Fortinet Firewall |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FG9Y | Short term patent issued | ||
| KA4Y | Short-term patent lapsed due to non-payment of fees (with right of restoration) | ||
| MM4Y | Short-term patent definitely lapsed due to non-payment of fees |