[go: up one dir, main page]

RU2758084C1 - Analysis system for level of vulnerability to phishing attack and assigning vulnerability level to phishing attack - Google Patents

Analysis system for level of vulnerability to phishing attack and assigning vulnerability level to phishing attack Download PDF

Info

Publication number
RU2758084C1
RU2758084C1 RU2021109559A RU2021109559A RU2758084C1 RU 2758084 C1 RU2758084 C1 RU 2758084C1 RU 2021109559 A RU2021109559 A RU 2021109559A RU 2021109559 A RU2021109559 A RU 2021109559A RU 2758084 C1 RU2758084 C1 RU 2758084C1
Authority
RU
Russia
Prior art keywords
computing device
access point
user
vulnerability
level
Prior art date
Application number
RU2021109559A
Other languages
Russian (ru)
Inventor
Кристина Константиновна Сауберг
Алексей Гераклиевич Чиликиди
Original Assignee
Общество с ограниченной ответственностью "ВайтХак"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "ВайтХак" filed Critical Общество с ограниченной ответственностью "ВайтХак"
Priority to RU2021109559A priority Critical patent/RU2758084C1/en
Application granted granted Critical
Publication of RU2758084C1 publication Critical patent/RU2758084C1/en
Priority to PCT/RU2022/050114 priority patent/WO2022216181A2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

FIELD: computer technology.
SUBSTANCE: invention relates to the field of computer technology for protecting computers, their components, programs or data from unauthorized activities. To achieve the effect, a system is proposed for analyzing the vulnerability level of at least one user's computing device to a phishing attack and assigning a value for the vulnerability level to a phishing attack, comprising: at least one test access point made with the ability to connect via a local receiving network and transmitting data with at least one computing device of the user; a phishing vulnerability analysis computing device configured to analyze a phishing vulnerability level and collect data about said test access point, and comprising: a first WiFi interface configured to monitor a data transmission and reception network.
EFFECT: improving accuracy of the analysis of the vulnerability level of at least one user's computing device to a phishing attack, with the subsequent assignment of the user's computing device to a phishing attack vulnerability level.
3 cl, 1 dwg

Description

Область техникиTechnology area

[0001] Изобретение относится к области вычислительной техники для защиты компьютеров, их компонентов, программ или данных от несанкционированной деятельности.[0001] The invention relates to the field of computing for protecting computers, their components, programs or data from unauthorized activity.

Уровень техникиState of the art

[0002] В настоящее время существует множество систем для анализа уровня уязвимости вычислительных устройств к фишинговым атакам. Одним из примеров таких систем является система для обнаружения подозрительной точки беспроводного доступа в сети связи, включающей в себя множество точек беспроводного доступа, предоставляющих услуги доступа клиентским устройствам, описанная в US 2013/0040603 A1. Идентификационная информация, связанная с точками беспроводного доступа, собирается с множества клиентских устройств. Запрос репутации получают от клиентского устройства, причем запрос включает идентификационную информацию доступной точки беспроводного доступа. Полученная информация идентичности сравнивается с собранной информацией идентичности для определения индикатора доверия доступной точки беспроводного доступа. Индикатор доверия доступной точки беспроводного доступа передается на клиентское устройство. Точки беспроводного доступа могут включать в себя сотовую точку беспроводного доступа или базовую станцию, точку беспроводного доступа, точку доступа Wi-Fi или точку доступа фемтосоты.[0002] Currently, there are many systems for analyzing the level of vulnerability of computing devices to phishing attacks. One example of such systems is the system for detecting a suspicious wireless access point in a communication network including a plurality of wireless access points providing access services to client devices, described in US 2013/0040603 A1. Identity information associated with wireless access points is collected from multiple client devices. The reputation request is received from the client device, and the request includes the identification information of the available wireless access point. The obtained identity information is compared with the collected identity information to determine the trust indicator of the available wireless access point. The trust indicator of the available wireless access point is sent to the client device. Wireless access points can include a cellular wireless access point or base station, a wireless access point, a Wi-Fi access point, or a femto cell access point.

[0003] Однако известному решению присущи недостатки. Недостаток известного решения заключается в низкой точности анализа уровня уязвимости вычислительного устройства пользователя к фишинговой атаке. Более того, в известном решении не предусмотрено присвоение вычислительному устройству пользователя значения уровня уязвимости к фишинговой атаке, которое в дальнейшем может быть использовано, например, для устранения уязвимостей у вычислительного устройства пользователя в части возможности быть подвергнутым фишинговой атаке, для запрета на соединения с точкой доступа, чтобы исключить вероятность быть подвергнутым фишинговой атаке и т.д.[0003] However, the known solution has disadvantages. The disadvantage of the known solution lies in the low accuracy of the analysis of the vulnerability of the user's computing device to a phishing attack. Moreover, the known solution does not provide for assigning a value of the vulnerability to a phishing attack to the user's computing device, which can later be used, for example, to eliminate vulnerabilities in the user's computing device in terms of the possibility of being subjected to a phishing attack, to prohibit connections with an access point. to eliminate the likelihood of being subjected to a phishing attack, etc.

Раскрытие изобретения:Disclosure of the invention:

[0004] Задачей изобретения является устранение указанных выше недостатков.[0004] The object of the invention is to eliminate the above disadvantages.

[0005] Техническим результатом при этом является повышение точности анализа уровня уязвимости, по меньшей мере, одного вычислительного устройства пользователя к фишинговой атаке с последующим присвоением вычислительному устройству пользователя значения уровня уязвимости к фишинговой атаке.[0005] The technical result is to improve the accuracy of the analysis of the vulnerability level of at least one computing device of the user to a phishing attack with the subsequent assignment of the user's computing device to the level of vulnerability to a phishing attack.

[0006] Для достижения технического результата предложена система анализа уровня уязвимости, по меньшей мере, одного вычислительного устройства пользователя к фишинговой атаке и присвоения значение уровня уязвимости к фишинговой атаке, содержащая: по меньшей мере, одну тестируемую точку доступа, выполненную с возможностью соединения, посредством локальной сети приема и передачи данных, по меньшей мере, с одним вычислительным устройством пользователя; вычислительное устройство анализа уровня уязвимости к фишинговой атаке, выполненное с возможностью анализа уровня уязвимости к фишинговой атаке и сбора данных об упомянутой тестируемой точке доступа, и содержащее: первый WiFi-интерфейс, выполненный с возможностью мониторинга сети приема и передачи данных, и обеспечивающий: а) сбор данных об упомянутой тестируемой точке доступа, где мониторинг сети и сбор данных обеспечивают путем передачи тестируемой точке доступа сетевых данных, адресованных тестируемой точке доступа и приема от тестируемой точки доступа сетевых данных, адресованных по меньшей мере, одному вычислительному устройству пользователя, и б) передачу инъекционных пакетов данных тестируемой точке доступа под идентификационными данными вычислительного устройства пользователя; второй WiFi-интерфейс, выполненный с возможностью создания ложной точки доступа, и обеспечивающий соединение по меньшей мере, одного вычислительного устройства пользователя с упомянутым вычислительным устройством анализа, где упомянутое соединение выполняется посредством ложной точки доступа; полудуплексный широкополосный приемопередатчик, соединенный с вычислительным устройством анализа уровня уязвимости к фишинговой атаке, и выполненный с возможностью генерирования подавляющего сигнала, с использования паразитных частот для искусственного расширения канала приема и передачи данных; при этом анализ уровня уязвимости к фишинговой атаке, выполняемый упомянутым вычислительным устройством анализа выполняется в соответствии со следующими этапами: выполняется обнаружение WiFi-пакета с хэшем пароля от тестируемой точки доступа для последующей проверки ввода пароля пользователем вычислительного устройства пользователя; выполняется генерирование инструкций для создания ложной точки доступа вторым WiFi-интерфейсом; выполняется генерирование инструкций для присвоения сгенерированной ложной точке доступа названия, идентичного названию тестируемой точки доступа, при этом сгенерированная ложная точка доступа не имеет пароля для соединения, по меньшей мере, с одним вычислительным устройством пользователя; выполняется генерирование инструкций для побуждения полудуплексного широкополосного приемопередатчика генерировать подавляющий сигнал для подавления тестируемой точки доступа и/или инструкций для отправки сетевого пакета тестируемой точке доступа под идентификационными данными вычислительного устройства пользователя, где сетевой пакет побуждает точку доступа отключать вычислительное устройство пользователя от тестируемой точки доступа; выполняется прием вторым WiFi-интерфейсом запросов, по меньшей мере, от одного вычислительного устройства пользователя и перенаправление упомянутых запросов на фишинговую веб-страницу, при этом фишинговая веб-страница выполнена с возможностью: открытия на упомянутом вычислительном устройстве пользователя посредством сетевого сервиса Captive portal, где сервис Captive portal является сервисом, требующим от подключившегося к сети пользователя выполнить некоторые действия для получения доступа в Интернет; эмулирования ввода пароля пользователем от точки доступа WiFi в соответствии, по меньшей мере, с одной из следующих операционных систем (ОС): Windows, Mac OS, Android, iOS, Linux; в случае успешного или неудачного подключения упомянутого вычислительного устройства пользователя к ложной точке доступа присваивают упомянутому вычислительному устройству пользователя значение уровня уязвимости к фишинговой атаке.[0006] To achieve the technical result, a system is proposed for analyzing the vulnerability level of at least one user's computing device to a phishing attack and assigning a value for the vulnerability level to a phishing attack, comprising: at least one test access point made with the ability to connect through a local area network for receiving and transmitting data with at least one user computing device; a computing device for analyzing the level of vulnerability to a phishing attack, made with the ability to analyze the level of vulnerability to a phishing attack and collect data about the said tested access point, and containing: the first WiFi interface configured to monitor the data transmission and reception network, and providing: a) collection of data about said test access point, where network monitoring and data collection is provided by transmitting network data addressed to the access point under test and receiving from the tested access point network data addressed to at least one user's computing device, and b) transmission injecting data packets to the tested access point under the identification data of the user's computing device; a second WiFi interface configured to create a fake access point and providing connection of at least one computing device of a user with said computing device for analysis, where said connection is made by means of a fake access point; a half-duplex broadband transceiver connected to a computing device for analyzing the level of vulnerability to phishing attacks, and configured to generate a jamming signal using parasitic frequencies to artificially expand the data transmission and reception channel; the analysis of the level of vulnerability to a phishing attack performed by the said analysis computing device is performed in accordance with the following steps: detection of a WiFi packet with a password hash from the tested access point is performed for subsequent verification of the user entering the password on the user's computing device; generating instructions for creating a false access point by the second WiFi interface; generating instructions for assigning the generated false access point a name identical to the name of the tested access point, while the generated false access point does not have a password for connecting to at least one computing device of the user; generating instructions to cause the half-duplex broadband transceiver to generate a jamming signal to suppress the AP under test and / or instructions to send a network packet to the AP under test under the identity of the user's computing device, where the network packet causes the access point to disconnect the user's computing device from the tested access point; the second WiFi interface receives requests from at least one user's computing device and redirects said requests to a phishing web page, wherein the phishing web page is configured to: open on said user's computing device via the Captive portal network service, where the Captive portal service is a service that requires a user who has connected to the network to perform some actions to gain access to the Internet; emulating user input from a WiFi access point in accordance with at least one of the following operating systems (OS): Windows, Mac OS, Android, iOS, Linux; in case of successful or unsuccessful connection of the said user's computing device to a false access point, the value of the phishing attack vulnerability level is assigned to the user's computing device.

[0007] Дополнительно подавляющий сигнал генерируется на частотах от 2,4 ГГц до 2,5 ГГц с мощностью сигнала в 13 dBm и шириной канала в 20 МГц.[0007] Additionally, the jamming signal is generated at frequencies from 2.4 GHz to 2.5 GHz with a signal power of 13 dBm and a channel width of 20 MHz.

[0008] Дополнительно подавляющий сигнал является квазистационарным шумом с конечной спектральной плотностью, пики которого располагаются на частотах, кратным значениям сдвигового байта относительно центральной частоты, на который наложена маска обратного серого шума путем амплитудной модуляции.[0008] Additionally, the suppressor signal is a quasi-stationary noise with a finite spectral density, the peaks of which are located at frequencies that are multiples of the offset byte relative to the center frequency, which is masked inverse gray noise by amplitude modulation.

[0009] Очевидно, что как предыдущее общее описание, так и последующее подробное описание даны лишь для примера и пояснения и не являются ограничениями данного изобретения.[0009] Obviously, both the previous general description and the following detailed description are given by way of example and explanation only and are not limitations of the present invention.

Краткое описание чертежейBrief Description of Drawings

[0010] Фиг. 1 – схематичное изображение системы анализа уровня уязвимости, по меньшей мере, одного вычислительного устройства пользователя к фишинговой атаке и присвоения значение уровня уязвимости к фишинговой атаке.[0010] FIG. 1 is a schematic diagram of a system for analyzing the vulnerability level of at least one user's computing device to a phishing attack and assigning a phishing vulnerability level value.

Осуществление изобретенияImplementation of the invention

[0011] Схематическое изображение заявленной системы 100 анализа уровня уязвимости, по меньшей мере, одного вычислительного устройства пользователя к фишинговой атаке и присвоения значение уровня уязвимости к фишинговой атаке показано на фиг. 1. Система 100 содержит, по меньшей мере, одну тестируемую точку 101 доступа, локальную сеть 102 приема и передачи данных, по меньшей мере, одно вычислительное устройство 103 пользователя и вычислительное устройство 104 анализа уровня уязвимости к фишинговой атаке.[0011] A schematic diagram of the claimed system 100 for analyzing the vulnerability of at least one computing device of a user to a phishing attack and assigning a value for the vulnerability to a phishing attack is shown in FIG. 1. System 100 includes at least one test access point 101, local area network 102 for receiving and transmitting data, at least one computing device 103 of a user, and computing device 104 for analyzing the level of vulnerability to phishing attacks.

[0012] По меньшей мере, одна тестируема точка 101 доступа выполнена с возможностью соединения посредством локальной сети 102 приема и передачи данных, по меньшей мере, с одним вычислительным устройством 103 пользователя. Точка 101 доступа в контексте настоящего решения является базовой станцией, предназначенная для обеспечения беспроводного доступа к уже существующей сети (беспроводной или проводной) или создания новой беспроводной сети. Точка 101 доступа состоит из приёмопередатчика (не показан на фигуре) и интегрированного интерфейсного чипа (не показан на фигуре).[0012] At least one test access point 101 is configured to connect via a local network 102 for receiving and transmitting data to at least one computing device 103 of a user. The access point 101 in the context of the present solution is a base station for providing wireless access to an existing network (wireless or wired) or creating a new wireless network. The access point 101 consists of a transceiver (not shown in the figure) and an integrated interface chip (not shown in the figure).

[0013] По меньшей мере, одно вычислительное устройство 103 пользователя в контексте настоящего решения может быть любым вычислительным устройством, выполненным с возможностью соединения с сетью приема и передачи данных. Вычислительное устройство 103 может быть выполнено в виде ПК, ноутбука, смартфона, планшета, КПК и т.д.[0013] The at least one user computing device 103 in the context of the present solution may be any computing device configured to connect to a data transmission and reception network. The computing device 103 can be made in the form of a PC, laptop, smartphone, tablet, PDA, etc.

[0014] Вычислительное устройство 104 анализа уровня уязвимости к фишинговой атаке выполнено с возможностью анализа уровня уязвимости к фишинговой атаке и сбора данных об упомянутой тестируемой точке 101 доступа. Вычислительное устройство 104 содержит: первый WiFi-интерфейс 105, второй WiFi-интерфейс 106 и полудуплексный широкополосный приемопередатчик 107.[0014] The phishing vulnerability analysis computing device 104 is configured to analyze the phishing vulnerability level and collect data about said test access point 101. Computing device 104 includes: a first WiFi interface 105, a second WiFi interface 106, and a half-duplex broadband transceiver 107.

[0015] Первый WiFi-интерфейс 105 выполнен с возможностью мониторинга сети 102 приема и передачи данных. Первый WiFi-интерфейс 105 обеспечивает сбор данных об упомянутой тестируемой точке 101 доступа и передачу инъекционных пакетов данных тестируемой точке 101 доступа под идентификационными данными вычислительного устройства 103 пользователя. Мониторинг сети и сбор данных обеспечивают путем передачи тестируемой точке 101 доступа сетевых данных, адресованных тестируемой точке 101 доступа и приема от тестируемой точки 101 доступа сетевых данных, адресованных по меньшей мере, одному вычислительному устройству 103 пользователя.[0015] The first WiFi interface 105 is configured to monitor the data transmission and reception network 102. The first WiFi interface 105 collects data about said access point 101 under test and transfers injection data packets to the access point 101 under test under the identity of the user's computing device 103. Network monitoring and data collection is provided by transmitting network data addressed to the tested access point 101 to the tested access point 101 and receiving from the tested access point 101 network data addressed to at least one user computing device 103.

[0016] Второй WiFi-интерфейс 106 выполнен с возможностью создания ложной точки доступа и обеспечивает соединение по меньшей мере, одного вычислительного устройства 103 пользователя с упомянутым вычислительным устройством 104 анализа. Упомянутое соединение выполняется посредством ложной точки доступа.[0016] The second WiFi interface 106 is configured to create a spoofed access point and connects at least one user computing device 103 to said analysis computing device 104. Said connection is made by means of a false access point.

[0017] Полудуплексный широкополосный приемопередатчик 107 соединен с вычислительным устройством 104 анализа уровня уязвимости к фишинговой атаке и выполнен с возможностью генерирования подавляющего сигнала с использования паразитных частот для искусственного расширения канала приема и передачи данных. Альтернативно подавляющий сигнал может генерироваться на частотах от 2,4 ГГц до 2,5 ГГц с мощностью сигнала в 13 dBm и шириной канала в 20 МГц. Также в качестве альтернативе подавляющий сигнал является квазистационарным шумом с конечной спектральной плотностью, пики которого располагаются на частотах, кратным значениям сдвигового байта относительно центральной частоты, на который наложена маска обратного серого шума путем амплитудной модуляции.[0017] The half-duplex broadband transceiver 107 is connected to the computing device 104 for analyzing the vulnerability to phishing attack and is configured to generate a jamming signal using spurious frequencies to artificially expand the data transmission and reception channel. Alternatively, the jamming signal can be generated at frequencies from 2.4 GHz to 2.5 GHz with a signal power of 13 dBm and a channel width of 20 MHz. Also, alternatively, the suppressor signal is quasi-stationary noise with finite spectral density, the peaks of which are located at frequencies that are multiples of the offset byte relative to the center frequency, which is superimposed by the inverse gray noise mask by amplitude modulation.

[0018] Вычислительное устройство 104 анализа уровня уязвимости к фишинговой атаке также содержит процессор (не показан на фигуре), соединенный с памятью (не показана на фигуре). Память хранит машиночитаемые инструкции, которые побуждают упомянутый процессор выполнять этапы анализа уровня уязвимости к фишинговой атаке. На первом этапе анализа выполняется обнаружение WiFi-пакета с хэшем пароля от тестируемой точки 101 доступа для последующей проверки ввода пароля пользователем вычислительного устройства 103 пользователя. На втором этапе анализа выполняется генерирование инструкций для создания ложной точки доступа вторым WiFi-интерфейсом 106. На третьем этапе анализа выполняется генерирование инструкций для присвоения сгенерированной ложной точке доступа названия, идентичного названию тестируемой точки 101 доступа. При этом сгенерированная ложная точка доступа не имеет пароля для соединения, по меньшей мере, с одним вычислительным устройством 103 пользователя. На четвертом этапе выполняется генерирование инструкций для побуждения полудуплексного широкополосного приемопередатчика 107 генерировать подавляющий сигнал для подавления тестируемой точки 101 доступа и/или инструкций для отправки сетевого пакета тестируемой точке 101 доступа под идентификационными данными вычислительного устройства 103 пользователя, где сетевой пакет побуждает точку доступа отключать вычислительное устройство 103 пользователя от тестируемой точки 101 доступа. На пятом этапе выполняется прием вторым WiFi-интерфейсом 106 запросов, по меньшей мере, от одного вычислительного устройства 103 пользователя и перенаправление упомянутых запросов на фишинговую веб-страницу. И на шестом этапе в случае успешного или неудачного подключения упомянутого вычислительного устройства 103 пользователя к ложной точке доступа присваивают упомянутому вычислительному устройству 103 пользователя значение уровня уязвимости к фишинговой атаке.[0018] Computing device 104 for analyzing the level of vulnerability to phishing attacks also includes a processor (not shown in the figure) connected to memory (not shown in the figure). The memory stores machine-readable instructions that prompt the processor to perform the phishing vulnerability analysis steps. At the first stage of the analysis, a WiFi packet with a password hash from the tested access point 101 is detected for subsequent verification of the password entered by the user of the user's computing device 103. In a second analysis step, instructions are generated to create a fake access point by the second WiFi interface 106. In a third analysis step, instructions are generated to assign the generated fake access point a name identical to the name of the access point 101 under test. In this case, the generated false access point does not have a password for connecting with at least one computing device 103 of the user. In the fourth step, instructions are generated to cause the half-duplex broadband transceiver 107 to generate a jamming signal to suppress the access point 101 under test and / or instructions to send a network packet to the access point 101 under test under the identity of the user's computing device 103, where the network packet prompts the access point to turn off the computing device 103 users from the tested access point 101. In the fifth step, the second WiFi interface 106 receives requests from at least one user's computing device 103 and redirects said requests to a phishing web page. And at the sixth stage, in case of successful or unsuccessful connection of the said user's computing device 103 to the false access point, the value of the phishing attack vulnerability level is assigned to the said user's computing device 103.

[0019] В контексте настоящего решения фишинговая веб-страница выполнена с возможностью: открытия на упомянутом вычислительном устройстве пользователя посредством сетевого сервиса Captive portal и эмулирования ввода пароля пользователем от точки доступа WiFi в соответствии, по меньшей мере, с одной из следующих операционных систем (ОС): Windows, Mac OS, Android, iOS, Linux. В контексте настоящего решения сервис Captive portal является сервисом, требующим от подключившегося к сети пользователя выполнить некоторые действия для получения доступа в Интернет.[0019] In the context of the present solution, a phishing web page is configured to: open a user on said computing device via the Captive portal network service and emulate a user's password entry from a WiFi access point in accordance with at least one of the following operating systems (OS ): Windows, Mac OS, Android, iOS, Linux. In the context of this solution, the Captive portal service is a service that requires a user who has connected to the network to perform certain actions to gain access to the Internet.

[0020] В контексте настоящего решения присвоенное значение уровня уязвимости к фишинговой атаке может быть использовано для настойки тестируемой точки 101 доступа таким образом, чтобы точка 101 доступа перед подключением вычислительного устройства 103 пользователя проверяла значение присвоенного коэффициента уязвимости и на основании проверки разрешала или отклоняла возможность подключения вычислительного устройства 103 пользователя. Также значение присвоенного коэффициента уязвимости может быть использовано для вывода на экран (не показан на фигуре) вычислительного устройства 103 пользователя уведомления, о том, что данное устройство имеет низкий уровень защиты от фишинговых атак, что в дальнейшем будет использовано для обновления программного обеспечения вычислительного устройства 103 пользователя. Данные примеры использования анализа уровня уязвимости к фишинговой атаке и использования коэффициента уязвимости даны лишь для пояснения и не являются ограничением в контексте настоящего изобретения.[0020] In the context of the present solution, the assigned value of the phishing vulnerability level can be used to configure the tested access point 101 so that the access point 101, before connecting the user's computing device 103, checks the value of the assigned vulnerability factor and, based on the test, allows or denies the connectivity computing device 103 of the user. Also, the value of the assigned vulnerability factor can be used to display (not shown in the figure) the user's computing device 103 a notification that this device has a low level of protection against phishing attacks, which will later be used to update the software of the computing device 103 user. These examples of the use of phishing vulnerability analysis and the use of the vulnerability factor are for illustrative purposes only and are not limiting in the context of the present invention.

[0021] Хотя данное изобретение было показано и описано со ссылкой на определенные варианты его осуществления, специалистам в данной области техники будет понятно, что различные изменения и модификации могут быть сделаны в нем, не покидая фактический объем изобретения. Следовательно, описанные варианты осуществления имеют намерение охватывать все подобные преобразования, модификации и разновидности, которые попадают под сущность и объем прилагаемой формулы изобретения.[0021] While this invention has been shown and described with reference to certain embodiments thereof, those skilled in the art will appreciate that various changes and modifications may be made therein without departing from the actual scope of the invention. Therefore, the described embodiments are intended to cover all such conversions, modifications and variations that fall within the spirit and scope of the appended claims.

Claims (18)

1. Система анализа уровня уязвимости, по меньшей мере, одного вычислительного устройства пользователя к фишинговой атаке и присвоения значения уровня уязвимости к фишинговой атаке, содержащая:1. A system for analyzing the vulnerability level of at least one user's computing device to a phishing attack and assigning a value for the vulnerability level to a phishing attack, containing: - по меньшей мере, одну тестируемую точку доступа, выполненную с возможностью соединения, посредством локальной сети приема и передачи данных, по меньшей мере, с одним вычислительным устройством пользователя;- at least one test access point, made with the possibility of connecting, via a local network for receiving and transmitting data, with at least one computing device of the user; - вычислительное устройство анализа уровня уязвимости к фишинговой атаке, выполненное с возможностью анализа уровня уязвимости к фишинговой атаке и сбора данных об упомянутой тестируемой точке доступа, и содержащее: - a computing device for analyzing the level of vulnerability to a phishing attack, configured to analyze the level of vulnerability to a phishing attack and collect data about the said tested access point, and contains: первый WiFi-интерфейс, выполненный с возможностью мониторинга сети приема и передачи данных, и обеспечивающий: the first WiFi interface capable of monitoring the network for receiving and transmitting data, and providing: а) сбор данных об упомянутой тестируемой точке доступа, где мониторинг сети и сбор данных обеспечивают путем передачи тестируемой точке доступа сетевых данных, адресованных тестируемой точке доступа, и прием от тестируемой точки доступа сетевых данных, адресованных, по меньшей мере, одному вычислительному устройству пользователя, и a) collecting data about said access point under test, where network monitoring and data collection is provided by transmitting network data addressed to the access point under test to the access point under test and receiving from the access point under test network data addressed to at least one user's computing device, and б) передачу инъекционных пакетов данных тестируемой точке доступа под идентификационными данными вычислительного устройства пользователя;b) transmission of injection data packets to the tested access point under the identification data of the user's computing device; второй WiFi-интерфейс, выполненный с возможностью создания ложной точки доступа, и обеспечивающий соединение, по меньшей мере, одного вычислительного устройства пользователя с упомянутым вычислительным устройством анализа, где упомянутое соединение выполняется посредством ложной точки доступа;a second WiFi interface configured to create a false access point and providing connection of at least one user computing device with said analysis computing device, where said connection is made by means of a false access point; - полудуплексный широкополосный приемопередатчик, соединенный с вычислительным устройством анализа уровня уязвимости к фишинговой атаке, и выполненный с возможностью генерирования подавляющего сигнала, с использования паразитных частот для искусственного расширения канала приема и передачи данных; при этом анализ уровня уязвимости к фишинговой атаке, выполняемый упомянутым вычислительным устройством анализа, выполняется в соответствии со следующими этапами:- a half-duplex broadband transceiver connected to a computing device for analyzing the level of vulnerability to a phishing attack, and configured to generate an overwhelming signal using parasitic frequencies to artificially expand the data transmission and reception channel; In this case, the analysis of the level of vulnerability to a phishing attack performed by the said analysis computing device is performed in accordance with the following stages: - выполняется обнаружение WiFi-пакета с хэшем пароля от тестируемой точки доступа для последующей проверки ввода пароля пользователем вычислительного устройства пользователя;- a WiFi packet with a password hash from the tested access point is detected for subsequent verification of the password entered by the user of the user's computing device; - выполняется генерирование инструкций для создания ложной точки доступа вторым WiFi-интерфейсом;- instructions are generated to create a false access point by the second WiFi interface; - выполняется генерирование инструкций для присвоения сгенерированной ложной точке доступа названия, идентичного названию тестируемой точки доступа, при этом сгенерированная ложная точка доступа не имеет пароля для соединения, по меньшей мере, с одним вычислительным устройством пользователя;- generating instructions for assigning the generated false access point a name identical to the name of the tested access point, while the generated false access point does not have a password for connecting with at least one computing device of the user; - выполняется генерирование инструкций для побуждения полудуплексного широкополосного приемопередатчика генерировать подавляющий сигнал для подавления тестируемой точки доступа и/или инструкций для отправки сетевого пакета тестируемой точке доступа под идентификационными данными вычислительного устройства пользователя, где сетевой пакет побуждает точку доступа отключать вычислительное устройство пользователя от тестируемой точки доступа;- generating instructions for causing the half-duplex broadband transceiver to generate a jamming signal to suppress the AP under test and / or instructions for sending a network packet to the AP under test under the identity of the user's computing device, where the network packet prompts the access point to disconnect the user's computing device from the tested access point; - выполняется прием вторым WiFi-интерфейсом запросов, по меньшей мере, от одного вычислительного устройства пользователя и перенаправление упомянутых запросов на фишинговую веб-страницу, при этом фишинговая веб-страница выполнена с возможностью: - the second WiFi interface receives requests from at least one computing device of the user and redirects said requests to a phishing web page, wherein the phishing web page is configured to: открытия на упомянутом вычислительном устройстве пользователя посредством сетевого сервиса Captive portal, где сервис Captive portal является сервисом, требующим от подключившегося к сети пользователя выполнить некоторые действия для получения доступа в Интернет;opening on the said computing device of the user via the Captive portal network service, where the Captive portal service is a service that requires the user who has connected to the network to perform some actions to gain access to the Internet; эмулирования ввода пароля пользователем от точки доступа WiFi в соответствии, по меньшей мере, с одной из следующих операционных систем (ОС): Windows, Mac OS, Android, iOS, Linux;emulating user input from a WiFi access point in accordance with at least one of the following operating systems (OS): Windows, Mac OS, Android, iOS, Linux; - в случае успешного или неудачного подключения упомянутого вычислительного устройства пользователя к ложной точке доступа присваивают упомянутому вычислительному устройству пользователя значение уровня уязвимости к фишинговой атаке.- in case of successful or unsuccessful connection of the said computing device of the user to the false access point, the value of the level of vulnerability to phishing attacks is assigned to the said computing device of the user. 2. Система по п. 1, отличающаяся тем, что подавляющий сигнал генерируется на частотах от 2,4 ГГц до 2,5 ГГц с мощностью сигнала в 13 dBm и шириной канала в 20 МГц.2. The system of claim. 1, characterized in that the jamming signal is generated at frequencies from 2.4 GHz to 2.5 GHz with a signal power of 13 dBm and a channel width of 20 MHz. 3. Система по п. 1, отличающаяся тем, что подавляющий сигнал является квазистационарным шумом с конечной спектральной плотностью, пики которого располагаются на частотах, кратным значениям сдвигового байта относительно центральной частоты, на который наложена маска обратного серого шума путем амплитудной модуляции.3. The system of claim. 1, characterized in that the suppressor signal is quasi-stationary noise with a finite spectral density, the peaks of which are located at frequencies that are multiples of the offset byte relative to the center frequency, which is superimposed by the inverse gray noise mask by amplitude modulation.
RU2021109559A 2021-04-07 2021-04-07 Analysis system for level of vulnerability to phishing attack and assigning vulnerability level to phishing attack RU2758084C1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2021109559A RU2758084C1 (en) 2021-04-07 2021-04-07 Analysis system for level of vulnerability to phishing attack and assigning vulnerability level to phishing attack
PCT/RU2022/050114 WO2022216181A2 (en) 2021-04-07 2022-04-01 System for assessing and assigning a value to the level of vulnerability to a phishing attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2021109559A RU2758084C1 (en) 2021-04-07 2021-04-07 Analysis system for level of vulnerability to phishing attack and assigning vulnerability level to phishing attack

Publications (1)

Publication Number Publication Date
RU2758084C1 true RU2758084C1 (en) 2021-10-26

Family

ID=78289514

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2021109559A RU2758084C1 (en) 2021-04-07 2021-04-07 Analysis system for level of vulnerability to phishing attack and assigning vulnerability level to phishing attack

Country Status (2)

Country Link
RU (1) RU2758084C1 (en)
WO (1) WO2022216181A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2810111C1 (en) * 2023-09-28 2023-12-21 Дмитрий Сергеевич Буренок METHOD FOR DETECTING UNAUTHORIZED AND FAKE Wi-Fi ACCESS POINTS

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100186088A1 (en) * 2009-01-17 2010-07-22 Jaal, Llc Automated identification of phishing, phony and malicious web sites
RU103643U1 (en) * 2010-11-01 2011-04-20 Закрытое акционерное общество "Лаборатория Касперского" ANTI-PHISH ATTACK SYSTEM
US20150074390A1 (en) * 2013-09-10 2015-03-12 Opera Software Asa Method and device for classifying risk level in user agent by combining multiple evaluations
US20150180896A1 (en) * 2013-02-08 2015-06-25 PhishMe, Inc. Collaborative phishing attack detection
US20150215804A1 (en) * 2014-01-30 2015-07-30 Shine Security Ltd. Network traffic event management at the client terminal level
US9256739B1 (en) * 2014-03-21 2016-02-09 Symantec Corporation Systems and methods for using event-correlation graphs to generate remediation procedures

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100186088A1 (en) * 2009-01-17 2010-07-22 Jaal, Llc Automated identification of phishing, phony and malicious web sites
RU103643U1 (en) * 2010-11-01 2011-04-20 Закрытое акционерное общество "Лаборатория Касперского" ANTI-PHISH ATTACK SYSTEM
US20150180896A1 (en) * 2013-02-08 2015-06-25 PhishMe, Inc. Collaborative phishing attack detection
US20150074390A1 (en) * 2013-09-10 2015-03-12 Opera Software Asa Method and device for classifying risk level in user agent by combining multiple evaluations
US20150215804A1 (en) * 2014-01-30 2015-07-30 Shine Security Ltd. Network traffic event management at the client terminal level
US9256739B1 (en) * 2014-03-21 2016-02-09 Symantec Corporation Systems and methods for using event-correlation graphs to generate remediation procedures

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2810111C1 (en) * 2023-09-28 2023-12-21 Дмитрий Сергеевич Буренок METHOD FOR DETECTING UNAUTHORIZED AND FAKE Wi-Fi ACCESS POINTS

Also Published As

Publication number Publication date
WO2022216181A2 (en) 2022-10-13
WO2022216181A3 (en) 2022-12-01

Similar Documents

Publication Publication Date Title
US8655312B2 (en) Wireless access point detection
US20150358345A1 (en) Active attack detection system
US10505967B1 (en) Sensor-based wireless network vulnerability detection
FI130942B1 (en) A system and method for network entity assisted honeypot access point detection
Jang et al. Catch me if you can: Rogue access point detection using intentional channel interference
US10498758B1 (en) Network sensor and method thereof for wireless network vulnerability detection
US12133080B2 (en) Terminal device and method for identifying malicious AP by using same
Lanze et al. Hacker's toolbox: Detecting software-based 802.11 evil twin access points
CN106961683B (en) A method, system and discoverer AP for detecting illegal AP
Lovinger et al. Detection of wireless fake access points
Kitisriworapan et al. Client-side rogue access-point detection using a simple walking strategy and round-trip time analysis
US11330438B2 (en) Active base providing local man-in-the-middle firewall
Arnold et al. Catch you cause i can: busting rogue base stations using cellguard and the apple cell location database
RU2758084C1 (en) Analysis system for level of vulnerability to phishing attack and assigning vulnerability level to phishing attack
Louca et al. On the detection of Channel Switch Announcement Attack in 802.11 networks
Kropeit Don’t trust open hotspots: Wi-Fi hacker detection and privacy protection via smartphone
Kim et al. A technical survey on methods for detecting rogue access points
Dondyk et al. Denial of convenience attack to smartphones using a fake Wi-Fi access point
Ziayi et al. Yaicd: Yet another imsi catcher detector in gsm
CN110139277B (en) Method and device for detecting wireless hot spot
CN107241461B (en) MAC Address acquisition methods, gateway, network authentication apparatus and network system
Setiadji et al. Lightweight method for detecting fake authentication attack on Wi-Fi
Ahadi et al. Public Wi-Fi security threat evil twin attack detection based on signal variant and hop count
Shrestha et al. Access point selection mechanism to circumvent rogue access points using voting‐based query procedure
KR101131185B1 (en) mobile and service method thereof