Система и способы для обнаружения сетевого мошенничества

Уровень техники

[0001] Настоящее изобретение относится к системам и способам компьютерной безопасности, в частности, к системам и способам для обнаружения сетевого мошенничества, например мошеннических веб-страниц,

[0002] Быстрое развитие электронных коммуникаций, онлайн-торговли и услуг, таких как банковские услуги онлайн, сопровождалось ростом электронной преступности. Интернет-мошенничество, особенно в форме фишинга и кражи персональных данных, создает все возрастающую угрозу для пользователей Интернета во всем мире. Конфиденциальные персональные данные и реквизиты кредитных карт, полученные обманным путем действующими в Интернете международными преступными организациями используют для различных онлайн-транзакций и/или продают дальше третьим лицам. Помимо прямого финансового ущерба для частных лиц, интернет-мошенничество вызывает также ряд нежелательных побочных эффектов, таких как повышение расходов компаний на безопасность, более высокие розничные цены и банковские комиссионные, снижение курса акций, снижение заработной платы и доходов от налогов.

[0003] При попытке фишинга поддельный веб-сайт в Интернете, например, маскируется под подлинную веб-страницу, принадлежащую интернет-магазину или финансовому учреждению, и предлагает пользователю ввести некоторую личную информацию (например, имя пользователя, пароль) и/или финансовую информацию (например, номер кредитной карты, номер счета, код безопасности). Как только информация будет введена ничего не подозревающим пользователем, она может быть собрана поддельным веб-сайтом. Кроме того, пользователь может быть направлен на другую веб-страницу, которая может установить вредоносное программное обеспечение на компьютере пользователя. Вредоносное программное обеспечение (например, вирусы, трояны) может продолжать похищать личную информацию, записывая клавиши, нажимаемые пользователем при посещении определенных веб-страниц, или может превратить компьютер пользователя в платформу для других вредоносных атак.

[0004] Для идентификации мошеннических веб-документов и для выдачи предупреждения и/или блокирования доступа к таким документам может использоваться программное обеспечение, работающее в компьютерной системе пользователя Интернета. Для идентификации мошеннических веб-страниц было предложено несколько методов, например сопоставление адреса веб-страницы со списком известных мошеннических и/или доверенных адресов (методы, называемые, соответственно, «ведение черного списка» и «ведение белого списка»). Чтобы избежать обнаружения такими методами, мошенники часто меняют адреса своих сайтов.

[0005] Существует постоянный интерес к разработке способов обнаружения и предотвращения сетевого мошенничества и особенно способов, обеспечивающих упреждающее обнаружение.

Раскрытие сущности изобретения

[0006] В соответствии с одним аспектом, настоящее изобретение относится к компьютерной системе, содержащей по меньшей мере один аппаратный процессор, сконфигурированный для обеспечения работы обратного преобразователя адресов, фильтра регистрационных данных, соединенного с упомянутым обратным преобразователем адресов, и анализатора контента, соединенного с упомянутым фильтром регистрационных данных. Обратный преобразователь адресов сконфигурирован для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, расположенным по целевому адресу Интернет-протокола (IP-адресу), причем идентификация группы совместно размещенных интернет-доменов включает отбор группы совместно размещенных интернет-доменов таким образом, что все члены упомянутой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу. Фильтр регистрационных данных сконфигурирован для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены. Фильтрация группы совместно размещенных интернет-доменов включает определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, и, в ответ, отбор домена в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено. Анализатор контента сконфигурирован для анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли упомянутый электронный документ мошенническим, и в ответ, если электронный документ является мошенническим, определения того, что домен-кандидат является мошенническим.

[0007] В соответствии с другим аспектом, настоящее изобретение относится к способу идентификации мошеннических интернет-доменов, в котором используют по меньшей мере один аппаратный процессор для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, расположенным по целевому адресу интернет-протокола (IP-адресу), и при идентификации группы совместно размещенных интернет-доменов отбирают упомянутую группу совместно размещенных интернет-доменов таким образом, что все члены этой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу. В упомянутом способе дополнительно используют упомянутый по меньшей мере один аппаратный процессор для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены. В процессе фильтрации группы совместно размещенных интернет-доменов определяют выполнение условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, и в ответ отбирают домен в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено. В упомянутом способе дополнительно используют упомянутый по меньшей мере один аппаратный процессор для анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли электронный документ мошенническим. Затем в упомянутом способе, в ответ на анализ электронного документа, если электронный документ является мошенническим, дополнительно определяют, что домен-кандидат является мошенническим.

[0008] В соответствии с другим аспектом, настоящее изобретение относится к долговременному машиночитаемому носителю, хранящему инструкции, выполнение которых по меньшей мере одним аппаратным процессором обеспечивает формирование упомянутым аппаратным процессором обратного преобразователя адресов, фильтра регистрационных данных, соединенного с упомянутым обратным преобразователем адресов, и анализатора контента, соединенного с упомянутым фильтром регистрационных данных. Обратный преобразователь адресов сконфигурирован для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, расположенным по целевому адресу интернет-протокола (IP-адресу), при этом идентификация группы совместно размещенных интернет-доменов включает отбор упомянутой группы совместно размещенных интернет-доменов таким образом, что все члены этой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу. Фильтр регистрационных данных сконфигурирован для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены. Фильтрация группы совместно размещенных интернет-доменов включает определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, и в ответ - отбор домена в подгруппу кандидатов в мошеннические домены. Анализатор контента сконфигурирован для анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли этот электронный документ мошенническим, и в ответ, если электронный документ является мошенническим, определения того, что домен-кандидат является мошенническим.

Краткое описание чертежей

[0009] Вышеупомянутые аспекты и преимущества настоящего изобретения более понятны после изучения нижеследующего подробного описания, ссылающегося на чертежи, где:

[0010] на фиг. 1 показана примерная группа клиентских систем, защищенных от сетевого мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения;

[0011] на фиг. 2-А показана примерная аппаратная конфигурация клиентской системы в соответствии с некоторыми вариантами осуществления настоящего изобретения;

[0012] на фиг. 2-В показана примерная аппаратная конфигурация серверной компьютерной системы в соответствии с некоторыми вариантами осуществления настоящего изобретения;

[0013] на фиг. 3 показаны примерные программные компоненты, исполняемые в клиентской системе, в соответствии с некоторыми вариантами осуществления настоящего изобретения;

[0014] на фиг. 4 показан примерный обмен данными между клиентской системой и сервером безопасности в соответствии с некоторыми вариантами осуществления настоящего изобретения;

[0015] на фиг. 5 показана примерная последовательность этапов, выполняемых модулем защиты от мошенничества и сервером безопасности для защиты клиентской системы от электронного мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения;

[0016] на фиг. 6 показаны примерные компоненты сервера идентификации мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения; и

[0017] на фиг. 7 показана примерная последовательность этапов, выполняемых сервером идентификации мошенничества, в соответствии с некоторыми вариантами осуществления настоящего изобретения.

Осуществление изобретения

[0018] В последующем описании подразумевается, что все перечисленные связи между структурами могут быть непосредственными функциональными связями или функциональными связями посредством промежуточных структур. Группа элементов включает в себя по меньшей мере один элемент. Любое упоминание элемента понимается как ссылка на по меньшей мере один элемент. Множество элементов включает в себя по меньшей мере два элемента. Если не указано иное, любые описанные этапы способа не обязательно должны выполняться в раскрытом конкретном порядке. Первый элемент (например, данные), полученный из второго элемента, включает первый элемент, равный второму элементу, а также первый элемент, сгенерированный путем обработки второго элемента и, опционально, других данных. Выполнение определения или принятие решения в соответствии с параметром включает выполнение определения или принятие решения в соответствии с этим параметром и, опционально, в соответствии с другими данными. Если не указано иное, индикатором некоторого количества или данных могут быть само количество или сами данные, или индикатор, отличный от количества или данных как таковых. Компьютерная программа представляет собой последовательность инструкций для процессора, обеспечивающих выполнение некоторой задачи. Компьютерные программы, описанные в некоторых вариантах осуществления настоящего изобретения, могут быть автономными программными объектами или подобъектами (например, подпрограммами, библиотеками) других компьютерных программ. Если не указано иное, компьютерная безопасность включает защиту оборудования и данных от неправомерного доступа, модификации и/или уничтожения. Если не указано иное, термин «сетевое мошенничество» не ограничивается мошенническими веб-сайтами, но также включает другие незаконную или нежелательную коммерческую электронную коммуникацию, например сообщения по электронной почте, мгновенные сообщения, а также, помимо прочего, текстовые и мультимедийные сообщения по телефону. Интернет-домен (или просто домен) представляет собой подгруппу вычислительных ресурсов (физических или виртуальных компьютерных систем, сетевых адресов), которыми владеет, управляет, или с помощью которых осуществляет деятельность конкретное лицо или организация. Мошеннический интернет-домен - это домен, на котором размещают и/или распространяют мошеннические электронные документы. Доменное имя представляет собой буквенно-цифровой псевдоним, представляющий соответствующий интернет-домен. Мошенническое доменное имя - это доменное имя мошеннического домена. Машиночитаемые носители включают в себя долговременные носители, такие как магнитные, оптические и полупроводниковые носители данных (например, жесткие диски, оптические диски, флэш-память, динамическую память с произвольной отборкой (DRAM)), а также линии связи, такие как проводящие кабели и оптоволоконные линии. В соответствии с некоторыми вариантами осуществления в настоящем изобретении предложены, помимо прочего, компьютерные системы, содержащие аппаратные средства (например, один или более процессоров), запрограммированные для выполнения способов, рассмотренных в данном описании, а также инструкции для кодирования машиночитаемого носителя для выполнения способов, рассмотренных в данном описании.

[0019] В последующем описании проиллюстрированы примерные варианты осуществления настоящего изобретения, которые не следует рассматривать как имеющие ограничительный характер.

[0020] На фиг. 1 показана примерная система защиты от мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения. Множество клиентских систем 10а-d защищено от сетевого мошенничества с помощью сервера 14 безопасности и сервера 12 идентификации мошенничества. Клиентские системы 10а-d обычно представляют любое электронное устройство, имеющее процессор и память и выполненное с возможностью подключения к сети передачи данных. Примерные клиентские устройства включают, помимо прочего, персональные компьютеры, ноутбуки, мобильные вычислительные устройства (например, планшетные компьютеры), мобильные телефоны, носимые устройства (например, часы, фитнес-мониторы), игровые приставки, телевизоры и бытовые приборы (например, холодильники, мультимедийные проигрыватели). Клиентские системы 10а-d связаны друг с другом посредством сети 13 передачи данных, такой как корпоративная сеть или Интернет. Части сети 13 могут включать в себя локальную сеть (малую вычислительную сеть, LAN) и/или телекоммуникационную сеть (например, 30-сеть).

[0021] Каждый сервер 12, 14 в общем случае представляет собой группу соединенных с возможностью связи компьютерных систем, которые не обязательно находятся в физической близости друг к другу. В некоторых вариантах осуществления сервер 14 безопасности сконфигурирован для приема запроса от клиентской системы, причем запрос указывает на электронный документ, такой как веб-страница или электронное сообщение, и для ответной выдачи индикатора оценки, указывающего, может ли соответствующий документ быть мошенническим. В некоторых вариантах осуществления вероятность мошенничества определяют в соответствии с индикатором местонахождения соответствующего документа. Примерные индикаторы местонахождения включают в себя доменное имя, имя хоста и адрес интернет-протокола (IP-адрес) компьютерной системы, на которой размещают или распространяют соответствующий электронный документ. Термин «доменное имя» обычно используют в данной области техники для обозначения уникальной последовательности символов, идентифицирующих конкретную область Интернета, которая принадлежит отдельному лицу или организации и/или контролируется им(ею). Доменное имя является абстракцией (например, псевдонимом) группы сетевых адресов (например, ЕР-адресов) компьютеров, на которых размещают и/или распространяют электронные документы. Доменные имена обычно содержат объединенную последовательность меток, разделенных точками, например, www.bitdefender.com.

[0022] Сервер 12 идентификации мошенничества сконфигурирован для сбора информации о сетевом мошенничестве, включая, например, список индикаторов местонахождения (доменных имен, IP-адресов и т.п.) мошеннических документов. В некоторых вариантах осуществления сервер 12 идентификации мошенничества хранит информацию о мошенничестве в базе 15 данных мошеннических доменов, которая может быть дополнительно использована сервером 14 безопасности при определении вероятности того, что электронный документ является мошенническим. Подробное описание такой функциональности приведено ниже.

[0023] На фиг. 2-А показана примерная аппаратная конфигурация клиентской системы 10, такой как системы 10а-d, показанные на фиг. 1. Для простоты описания, проиллюстрированная клиентская система является компьютерной системой, при этом аппаратная конфигурация других клиентских систем, таких как мобильные телефоны, умные часы и т.п., может несколько отличаться от проиллюстрированная конфигурации. Клиентская система 10 содержит группу физических устройств, включая аппаратный процессор 20 и блок памяти 22. Процессор 20 содержит физическое устройство (например, микропроцессор, многоядерную интегральную схему, сформированную на полупроводниковой подложке и т.п.), сконфигурированное для выполнения вычислительных и/или логических операций с набором сигналов и/или данных. В некоторых вариантах осуществления процессор 20 получает указания на такие операции в форме последовательности инструкций процессора (например, машинного кода или другого типа кодирования). Блок памяти 22 может содержать энергозависимый машиночитаемый носитель (например, динамическую память с произвольной отборкой (DRAM), статическую память с произвольной отборкой (SRAM)), хранящую инструкции и/или данные, к которым обращается или которые генерирует процессор 20.

[0024] Устройства 24 ввода могут содержать компьютерные клавиатуры, мыши и микрофоны, включая, помимо прочего, соответствующие аппаратные интерфейсы и/или адаптеры, обеспечивающие возможность ввода пользователем данных и/или инструкций в клиентскую систему 10. Устройства 26 вывода могут включать в себя устройства отображения (например, монитор, жидкокристаллический дисплей) и акустические колонки, а также аппаратные интерфейсы/адаптеры, такие как графические адаптеры, обеспечивающие возможность передачи данных клиентской системой 10 пользователю. В некоторых вариантах осуществления устройства 24 ввода и устройства 26 вывода могут совместно использовать общую часть аппаратного обеспечения, например устройство с сенсорным экраном. Блок 28 хранения включает машиночитаемый носитель, обеспечивающий энергонезависимое хранение, чтение и запись программных инструкций и/или данных. Примерные запоминающие устройства 28 включают магнитные и оптические диски, устройства флэш-памяти, а также съемные носители, такие как CD-и/или DVD-диски и приводы. Группа сетевых адаптеров 32 обеспечивает возможность подключения клиентской системы 10 к компьютерной сети и/или к другим электронным устройствам. Контроллер-концентратор 30 представляет множество системных, периферийных шин, и/или шин микропроцессорных схем и/или всех других схем, обеспечивающих связь между процессором 20 и устройствами 22, 24, 26, 28 и 32. Например, контроллер-концентратор 30 может включать, помимо прочего, контроллер памяти, контроллер ввода-вывода (I/O) и контроллер прерываний. В другом примере контроллер-концентратор 30 может содержать контроллер «северный мост», обеспечивающий подключение процессора 20 к памяти 22, и/или контроллер «южный мост», обеспечивающий подключение процессора 20 к устройствам 24, 26, 28 и 32.

[0025] На фиг. 2-В показана примерная аппаратная конфигурация сервера 12 идентификации мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения. Сервер 14 безопасности может иметь аналогичную конфигурацию. Сервер 12 идентификации мошенничества содержит по меньшей мере один аппаратный процессор 120 (например, микропроцессор, многоядерную интегральную схему), физическую память 122, серверные запоминающие устройства 128 и группу серверных сетевых адаптеров 132. Адаптеры 132 могут включать сетевые карты и другие интерфейсы передачи данных, обеспечивающие возможность подключения сервера 12 идентификации мошенничества к сети 13 передачи данных. Серверные запоминающие устройства 128 могут хранить по меньшей мере подгруппу записей из базы 15 данных мошеннических доменов. В альтернативном варианте осуществления сервер 12 может осуществлять доступ к записям базы 15 данных, соответствующим мошенническим доменам, через сеть 13. В некоторых вариантах осуществления сервер 12 дополнительно содержит устройства ввода и вывода, которые по функционалу могут быть аналогичны соответствующим устройствам 24, 26 ввода/вывода клиентской системы 10.

[0026] На фиг. 3 показано примерное программное обеспечение, исполняемое в клиентской системе 10, в соответствии с некоторыми вариантами осуществления настоящего изобретения. Операционная система (ОС) 34 обеспечивает интерфейс между аппаратным обеспечением клиентской системы 10 и набором программных приложений. Примерные ОС включают, помимо прочего, Windows, MacOS®, iOS® и Android®. Приложение 36 в общем виде представляет собой любое пользовательское приложение, такое как, помимо прочего, приложение для обработки текста, приложение для обработки изображений, электронную таблицу, календарь, онлайн-игры, социальные сети, веб-браузер и приложения для электронной коммуникации.

[0027] Модуль 38 защиты от мошенничества защищает клиентскую систему 10 от электронного мошенничества, например, путем предотвращения доступа клиентской системы 10 к мошенническому электронному документу (например, мошенническому веб-сайту, сообщению электронной почты и т.п.). В некоторых вариантах осуществления модуль 38 защиты от мошенничества может быть включен и/или выключен пользователем клиентской системы 10. Модуль 38 защиты от мошенничества может быть автономным приложением или может являться частью набора компьютерных программ для защиты клиентской системы 10 от угроз компьютерной безопасности, таких как вредоносное программное обеспечение (вредоносное ПО), шпионское программное обеспечение и несанкционированный доступ.Модуль 38 может работать на различных уровнях привилегий процессора (например, в режиме пользователя, в режиме ядра). В некоторых вариантах осуществления модуль 38 интегрирован в приложение 36, например, в виде плагина, надстройки или панели инструментов.

[0028] В некоторых вариантах осуществления модуль 38 защиты от мошенничества может содержать сетевой фильтр 39, сконфигурированный для перехвата запроса клиентской системы 10 на доступ к удаленному документу и отборочной блокировки соответствующего запроса. Примерный запрос доступа, обнаруживаемый модулем 38, содержит запрос по протоколу передачи гипертекста (HTTP), выдаваемый клиентской системой 10. Сетевой фильтр 39 может работать, например, в качестве драйвера, зарегистрированного в ОС 34. В варианте осуществления, в котором ОС 34 и приложение 36 выполняются в виртуальной машине, модуль 38 защиты от мошенничества (или по меньшей мере сетевой фильтр 39) может выполняться вне соответствующей виртуальной машины, например, на уровне «гипервизор» привилегий процессора. Такие конфигурации могут эффективно защищать модуль 38 и/или сетевой фильтр 39 от вредоносных программ, которые могут заражать виртуальную машину. В еще одном варианте осуществления модуль 38 защиты от мошенничества может работать, по меньшей мере частично, на электронном устройстве, отличном от клиентской системы 10, например, на маршрутизаторе, прокси-сервере или шлюзе, используемом для подключения клиентской системы 10 к расширенной сети, такой как Интернет.

[0029] На фиг. 4 проиллюстрирована работа модуля 38 защиты от мошенничества на примере обмена данными между клиентской системой 10 и сервером 14 безопасности. На фиг. 5 дополнительно показана примерная последовательность этапов, выполняемых модулем 38 защиты от мошенничества, и/или сервером 14 безопасности для защиты клиентской системы 10 от электронного мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения. В иллюстративном примере, в котором приложение 36 содержит веб-браузер, при попытке получения пользователем доступа к удаленному документу (например, веб-сайту), приложение 36 может отправить запрос на доступ к соответствующему документу по сети 13 передачи данных на сервер поставщика услуг. Типичный запрос может включать кодирование местонахождения соответствующего ресурса. Примерные кодировки местонахождения включают, среди прочего, имя домена, имя хоста, унифицированный идентификатор ресурса (URI), унифицированный указатель ресурса (URL) и адрес интернет-протокола (IP-адрес).

[0030] После обнаружения запроса на доступ (например, HTTP-запроса, выданного веб-браузером), в некоторых вариантах осуществления модуль 38 защиты от мошенничества по меньшей мере временно приостанавливает передачу соответствующего запроса к его предполагаемому получателю и вместо этого передает серверу 14 безопасности индикатор 42 документа. В некоторых вариантах осуществления индикатор 42 документа включает кодирование местонахождения запрашиваемого документа (например, доменного имени, URL, IP-адреса) и может дополнительно включать другую информацию, полученную модулем 38 защиты от мошенничества путем анализа перехваченного запроса на доступ. Такая информация может включать, помимо прочего, указатель типа запрашиваемого документа, указатель запрашивающего приложения и идентификатор запрашивающего пользователя. В ответ на получение индикатора 42 документа, в последовательности этапов 208-210 (фиг. 5), в некоторых вариантах осуществления сервер 14 безопасности формирует индикатор 44 оценки, указывающий, может ли запрошенный документ быть мошенническим, и передает упомянутый индикатор 44 клиентской системе 10. В некоторых вариантах осуществления вероятность мошенничества определяют количественно в виде логического значения (например, 0/1, ДА/НЕТ) или в виде числа, находящегося в диапазоне между нижней и верхней границами (например, между 0 и 100).

[0031] В некоторых вариантах осуществления на этапе 212 модуль 38 защиты от мошенничества определяет, в соответствии с индикатором 44 оценки, может ли запрошенный документ быть мошенническим. Если нет, этап 214 позволяет клиентской системе 10 (например, приложению 36) получить доступ к соответствующему документу, например, путем передачи первоначального запроса на доступ его намеченному получателю. Если да, этап 216 может заблокировать доступ к соответствующему документу. В некоторых вариантах осуществления может дополнительно отображаться уведомление для пользователя (например, экран предупреждения, значок, пояснение и т.п.) и/или может выдаваться уведомление системному администратору клиентской системы 10.

[0032] В альтернативном варианте осуществления модуль 38 защиты от мошенничества, выполняющийся в клиентской системе 10 или на маршрутизаторе, соединяющем клиентскую систему 10 с Интернетом, может перенаправлять все запросы на доступ к удаленным документам серверу 14 безопасности для анализа. Таким образом, сервер 14 безопасности может быть расположен на месте прокси-сервера между клиентской системой 10 и удаленными серверами, обеспечивающими доступ к соответствующим ресурсам. В таких вариантах осуществления этапы 212, 214, 216 может выполнять сервер 14 безопасности.

[0033] В примерном варианте осуществления защиты пользователя клиентской системы 10 от мошеннических электронных сообщений (например, электронной почты) модуль 3 8 защиты от мошенничества может быть установлен как плагин или дополнение в приложении для чтения сообщений. После получения сообщения модуль 38 может проанализировать заголовок соответствующего сообщения, чтобы извлечь индикатор документа, содержащий, например, электронный адрес отправителя соответствующего сообщения и/или доменное имя сервера электронной почты, доставившего соответствующее сообщение. Затем модуль 38 может передать индикатор 42 документа серверу 14 безопасности и, в ответ на это, получить индикатор 44 оценки от сервера 14. На основании индикатора 44 модуль 38 защиты от мошенничества может определить, может ли соответствующее сообщение быть мошенническим, и, если может, предотвратить отображение содержимого соответствующего сообщения для пользователя. В некоторых вариантах осуществления модуль 38 может помещать сообщение, признанное мошенническим, в отдельную папку сообщений.

[0034] В альтернативном варианте осуществления модуль 38 защиты от мошенничества может исполняться на серверной компьютерной системе (например, на сервере электронной почты), управляющей обменом электронными сообщениями от имени множества клиентских систем, например, клиентских систем 10а-d, показанных на фиг. 1. В ответ на определение того, что сообщение, вероятно, является мошенническим, модуль 38 может заблокировать распределение соответствующего сообщения его предполагаемому получателю.

[0035] При определении вероятности мошенничества сервер 14 безопасности может запрашивать базу 15 данных мошеннических доменов (этап 208 на фиг. 5). В некоторых вариантах осуществления база 15 данных содержит группу записей, каждая из которых соответствует мошенническому доменному имени, такие группы записей, известные в данной области техники, иногда называют черными списками. В некоторых вариантах осуществления на этапе 208 определяют, соответствует ли доменное имя, на которое указывает индикатор 42 документа, какой-либо записи в черном списке базы 15 данных. Если да, то сервер 14 безопасности может определить, что запрошенный документ, вероятно, является мошенническим.

[0036] Базу 15 данных мошеннических доменов может пополнять и обслуживать сервер 12 идентификации мошенничества. В некоторых вариантах осуществления сервер 12 выявляет группу ранее неизвестных мошеннических доменов на основе знаний, получаемых в результате анализа известного мошеннического интернет-домена, называемого в данном описании «начальным доменом». После этого доменные имена вновь обнаруженных мошеннических доменов могут быть добавлены в базу 15 данных. На фиг. 6 показаны примерные компоненты сервера 12 идентификации мошенничества в соответствии с некоторыми вариантами осуществления настоящего изобретения. Сервер 12 может содержать обратный преобразователь 52 адресов, фильтр 54 регистрационных данных, связанный с обратным преобразователем 52 адресов, и анализатор 56 контента, связанный с фильтром 54. На фиг. 7 показана примерная последовательность этапов, выполняемых сервером 12 идентификации мошенничества для обнаружения мошеннических интернет-доменов в соответствии с некоторыми вариантами осуществления настоящего изобретения.

[0037] Некоторые варианты осуществления настоящего изобретения основаны на наблюдении, что физический вычислительный ресурс, принадлежащий одному мошенническому домену, зачастую принадлежит и другим мошенническим доменам. Например, на одном и том же сервере и/или IP-адресе может быть размещено множество мошеннических веб-сайтов. Такие серверы или сетевые адреса могут принадлежать мошенникам или могут быть взломаны без ведома их законного владельца/оператора, например, с использованием искусно выполненного вредоносного программного обеспечения. Далее в описании раскрыто, как сведения об одном мошенническом домене могут быть использованы для обнаружения других, не известных ранее, мошеннических доменов.

[0038] В некоторых вариантах осуществления обратный преобразователь 52 адресов сконфигурирован для получения индикатора начального домена (например, имени 62 начального домена, как показано на фиг. 6) и для выдачи информации о группе совместно размещенных доменов 64 (этап 234 на фиг. 7). Начальный домен представляет собой известный мошеннический домен, то есть домен, в котором размещают или распространяют мошеннические документы. Примеры таких доменов включают домены, на которых размещают поддельные веб-сайты банков, поддельные сайты для осуществления онлайн-ставок, поддельные сайты для выдачи займов и т.п. Имена начальных доменов могут быть обнаружены, например, исследователями из штата компании, занимающейся компьютерной безопасностью, или могут быть сообщены пользователями Интернета или официальными организациями, исследующими сетевое мошенничество. Кроме того, имена начальных доменов могут быть обнаружены автоматически с помощью комплекса средств и методов, известных в данной области, например, с помощью незащищенных сетей для изучения приемов хакеров (honeypots).

[0039] В некоторых вариантах осуществления совместно размещенные домены 64 включают группу доменов, использующих совместно с начальным доменом общий сетевой адрес (например, общий IP-адрес). Примерная группа совместно размещенных доменов 64 использует один и тот же физический сервер для распространения электронных документов. Поскольку один сетевой/ТР-адрес может соответствовать множеству различных компьютерных систем, совместно размещенные домены 64 необязательно включают ту же физическую машину, что и начальный домен. Тем не менее, сервер доменных имен будет сопоставлять имя 62 начального домена и доменные имена всех совместно размещенных доменов 64 с одним и тем же сетевым адресом. Для идентификации совместно размещенных доменов 64 сервер 12 идентификации мошенничества может использовать любой метод, известный в области компьютерных сетей. Такие операции обычно известны как обратный анализ IP-адресов, обратный просмотр доменных имен (DNS) или обратное разрешение DNS. В одном примерном методе сервер 12 обеспечивает работу сервера имен, используемого для выполнения прямых просмотров DNS (то есть определения IP-адреса в соответствии с доменным именем), и использует сервер имен для построения обратной карты DNS. При другом методе можно искать ресурсную запись DNS типа «указатель» (PTR-запись) определенного домена, например, in-addr.arpa или ip6.arpa.

[0040] Не все совместно размещенные домены 64 обязательно будут мошенническими. Как описано выше, иногда компьютерную систему, принадлежащую легитимному домену, захватывают мошенники, которые затем используют соответствующую машину для размещения группы мошеннических доменов. Иногда такие мошеннические домены размещают на соответствующей машине только в течение короткого периода времени, а затем перемещают на другой сервер, чтобы избежать обнаружения или мер противодействия. В некоторых вариантах осуществления фильтр 54 регистрационных данных сервера 12 идентификации мошенничества сконфигурирован для фильтрации группы совместно размещенных доменов 64 для отбора группы кандидатов 66 в мошеннические домены (этап 236 на фиг. 7), представляющих собой домены, подозреваемые в мошенничестве. Кандидаты 66 в мошеннические домены могут быть подвергнуты дальнейшей проверке, как описано ниже.

[0041] Этап 236 может рассматриваться в качестве оптимизации, поскольку анализ мошенничества, как показано ниже, может быть затратным в вычислительном отношении. Предварительная фильтрация группы совместно размещенных доменов 64 может снизить вычислительную нагрузку благодаря использованию относительно менее требовательных правил отбора подгруппы доменов-кандидатов для анализа мошенничества. В некоторых вариантах осуществления фильтр 54 регистрационных данных отбирает кандидатов 66 в мошеннические домены в соответствии с регистрационной записью доменного имени каждого совместно размещенного домена. Регистрационные записи генерирует и/или поддерживает орган регистрации домена (например, интернет-регистратор). Для каждого зарегистрированного доменного имени примерная регистрационная запись может содержать контактные данные объекта, выполнившего регистрацию соответствующего доменного имени, владельца или администратора (например, имя, адрес, телефонный номер, адрес электронной почты и т.п.), а также автоматически сгенерированные данные, такие как идентификатор регистратора и различные метки времени, указывающие момент времени, когда было зарегистрировано соответствующее доменное имя, когда в последний раз была изменена соответствующая регистрационная запись, когда истекает срок действия соответствующей регистрационной записи и т.д.

[0042] Некоторые регистрационные данные доменного имени являются общедоступными и их можно запросить с помощью специальных компьютерных инструкций и/или протоколов, таких как WHOIS. В некоторых вариантах осуществления фильтр 54 регистрационных данных получает регистрационные данные доменного имени, относящиеся к совместно размещенным доменам 64, из базы 17 данных регистрации доменов, например, с использованием протокола WHOIS. Затем фильтр 54 может выполнять поиск группы шаблонов, характерных для мошенничества, в регистрационных данных доменного имени для каждого совместно размещенного домена, чтобы определить, может домен быть мошенническим или нет. Некоторые варианты осуществления основаны на наблюдении, что регистрация мошеннических доменных имен часто неравномерна во времени (всплески регистрации доменных имен). В таких вариантах осуществления можно сравнивать отметку времени регистрации имени 62 начального домена с отметкой времени регистрации совместно размещенного домена 64 и отбирать соответствующий совместно размещенный домен в группе кандидатов 66 в мошеннические домены в соответствии с результатом сравнения (например, если две регистрации отделены друг от друга очень небольшим промежутком времени).

[0043] Другим примерным признаком мошенничества является объект, выполнивший регистрацию доменного имени (например, владелец, администратор и т.п.). В некоторых вариантах осуществления фильтр 54 может пытаться сопоставить учетные данные объекта, выполнившего регистрацию, со списком известных имен, телефонных номеров, адресов, электронных писем и т.п., полученных из регистрационных данных доменных имен известных мошеннических доменов, таких как имя 62 начального домена. Совпадение может указывать на то, что соответствующий совместно размещенный домен может быть мошенническим, что оправдывает включение соответствующего совместно размещенного домена в группу кандидатов 66 в мошенники.

[0044] В некоторых вариантах осуществления фильтр 54 может искать определенные признаки мошенничества по телефонному номеру объекта, выполнившего регистрацию. В одном примерном варианте могут считаться мошенническими некоторые коды регионов или стран. В другом примерном варианте определенные комбинации цифр в телефонных номерах соответствуют услугам автоматического перенаправления вызовов, так что соответствующий телефонный номер может показаться легитимным, но при его наборе соответствующий вызов будет перенаправлен на другой номер, возможно, в другую страну. Такие шаблоны перенаправления вызовов могут считаться мошенническими. В некоторых вариантах осуществления фильтр 54 регистрационных данных может выполнять обратный просмотр номера телефона и сравнивать результат просмотра с другими регистрационными данными домена, такими как адрес или имя. Любое несоответствие может считаться мошенническим и может приводить к включению соответствующего совместно размещенного домена в группу кандидатов на мошенничество.

[0045] Еще одним примерным критерия для отбора домена из группы кандидатов 66 в мошеннические домены является адрес электронной почты объекта, выполнившего регистрацию. В некоторых вариантах осуществления фильтр 54 может пытаться сопоставить соответствующий адрес электронной почты с черным списком адресов электронной почты, полученных из известных мошеннических документов (например, веб-страниц, сообщений электронной почты). Черный список может дополнительно содержать адреса электронной почты, полученные из регистрационных данных известных мошеннических доменов, В некоторых вариантах осуществления фильтр 54 может искать определенные шаблоны в электронной почте объекта, выполнившего регистрацию, такие как явно случайные последовательности символов, необычно длинные адреса электронной почты и т.п.Такие шаблоны могут указывать на то, что соответствующий адрес сгенерирован автоматически, что может являться мошенничеством. В некоторых вариантах осуществления фильтр 54 может определять, следует ли включать совместно размещенный домен в группу кандидатов на мошенничество в соответствии с провайдером адреса электронной почты, например, в соответствии с тем, разрешены ли провайдером адреса электронной почты анонимные учетные записи электронной почты, являются ли соответствующие адреса электронной почты адресами, предоставляемыми бесплатно, и т.п. В некоторых вариантах осуществления можно идентифицировать сервер электронной почты, обрабатывающий электронную почту, которая предназначена соответствующему адресу электронной почты и/или исходит от соответствующего адреса электронной почты, и определять, следует ли включать совместно размещенный домен в группу кандидатов на мошенничество в соответствии с идентификационной информацией такого сервера.

[0046] В ответ на отбор кандидатов 66 в мошеннические домены в некоторых вариантах осуществления анализатор 56 контента выполняет анализ содержимого, чтобы определить, является ли какой-либо домен из группы кандидатов в мошеннические домены действительно мошенническим (этап 238 на фиг. 7). Анализ содержимого может включать доступ к кандидату в мошеннический домен и анализ содержимого электронного документа, размещенного или распространяемого в соответствующем домене. Если при анализе содержимого определяют, что электронный документ является мошенническим, на этапе 240 может быть определено, что соответствующий кандидат в мошеннический домен является действительно мошенническим, и вновь идентифицированное мошенническое доменное имя может быть сохранено в базе 15 данных мошеннических доменов.

[0047] Примерный анализ содержимого документа на языке разметки гипертекста (HTML) включает, помимо прочего, определение того, содержит ли соответствующий документ страницу аутентификации (регистрации) пользователя. Такие процедуры определения могут включать определение того, содержит ли соответствующая веб-страница поле формы и/или какое-либо ключевое слово из множества ключевых слов для аутентификации пользователя (например, «имя пользователя», «пароль», имена и/или аббревиатуры финансовых учреждений).

[0048] Анализ содержимого может дополнительно включать в себя сравнение соответствующего HTML-документа с группой известных мошеннических документов и/или с группой легитимных документов. В некоторых вариантах осуществления определяют, что документ является мошенническим, если соответствующий документ в достаточной степени похож на известный мошеннический документ. Такие методы основаны на наблюдении, что мошенники зачастую повторно используют удачный шаблон документа, поэтому обычно существует несколько мошеннических документов, использующих примерно одинаковый дизайн и/или форматирование.

[0049] Однако документ может быть мошенническим и в том случае, если он достаточно похож на конкретный легитимный документ. В одном таком примерном варианте веб-страница может пытаться обмануть пользователей, маскируясь под легитимную веб-страницу финансового учреждения (например, банка, страховой компании и т.п.). Поэтому в некоторых вариантах осуществления используют анализатор 56 контента для анализа содержимого, чтобы определить, является ли документ HTML, расположенный в кандидате в мошеннические домены, нелегитимным клоном легитимной веб-страницы. Такие процедуры определения могут включать анализ группы графических элементов (например, изображений, логотипов, цветовых схем, шрифтов, стилей шрифта, размера шрифта и т.п.) анализируемого документа и сравнение таких элементов с графическими элементами, полученными из группы легитимных веб-страниц.

[0050] Анализ содержимого может дополнительно включать анализ текстовой части соответствующего электронного документа. Такой анализ текста может включать поиск определенных ключевых слов, вычисление частоты появления определенных слов и/или последовательностей слов, определение относительного положения определенных слов относительно других слов и т.п. В некоторые вариантах осуществления определяют меру различия документов, указывающее на степень схожести между целевым документом и эталонным документом (мошенническим или легитимным), и определяют, является ли целевой документ легитимным в соответствии с вычисленным различием.

[0051] В другом примерном варианте анализа содержимого на основе текста выявляют и извлекают контактную информацию (например, адрес, контактный телефонный номер, адрес электронной почты для контакта и т.п.) из электронного документа, такого как HTML-документ или сообщение электронной почты. Затем анализатор 56 контента может попытаться сопоставить соответствующие контактные данные с черным списком аналогичных данных, извлеченных из известных мошеннических документов. Например, когда на веб-странице указан контактный телефонный номер, который появляется на мошенническом веб-сайте, в некоторых вариантах осуществления может быть сделано заключение о том, что такая веб-страница также является мошеннической. В других вариантах осуществления находят шаблоны, характерные для мошенничества, в контактных данных, например, для телефонных номеров с определенными кодами страны и/или зоны, шаблоны цифр в телефонных номерах, указывающих на услуги перенаправления вызовов, и т.п. (см. выше часть описания в отношении анализа регистрационных данных домена).

[0052] В другой примерной группе методов анализа содержимого выявляют фрагменты кода, содержащегося в электронном документе, например код отслеживания трафика. Например, такой код используют службы веб-аналитики (например, Google® Analytics®) для расчета и составления отчетов о различных данных, связанных с использованием веб-страницы: количество посещений, источники ссылок, страна, из которой происходят посещения и т.п. Такой код обычно содержит уникальный идентификатор (ID) клиента (например, идентификатор отслеживания), позволяющий соответствующей аналитической службе связывать соответствующий электронный документ с конкретным клиентом. В некоторых вариантах осуществления анализатор 56 контента может выявлять упомянутый идентификатор отслеживания и пытаться сопоставить соответствующий идентификатор с черным списком таких идентификаторов, полученных из известных мошеннических документов. Совпадение может указывать на то, что анализируемый в настоящее время документ также является мошенническим.

[0053] Вышеописанные примерные системы и способы обеспечивают возможность автоматически обнаруживать интернет-мошенничество, например, мошеннические веб-страницы и электронные сообщения. В некоторых вариантах осуществления происходит автоматическое выявление имени мошеннического интернет-домена, то есть имя домена, в котором размещают или распространяют мошеннические документы, и предотвращение доступа пользователя к соответствующему мошенническому доменному имени. В альтернативных вариантах осуществления происходит отображение предупреждения и/или уведомление для системного администратора при попытке получения доступа к известному мошенническому доменному имени.

[0054] В некоторых вариантах осуществления происходит автоматическое обнаружение группы не известных ранее мошеннических доменных имен на основе знаний, полученных в результате анализа известного мошеннического доменного имени. Такое автоматическое обнаружение позволяет быстро реагировать на возникающие попытки мошенничества и даже может обеспечивать возможность принятия упреждающих мер по предотвращения мошенничества благодаря обнаружению доменных имен, которые были зарегистрированы, но еще не использовались для осуществления мошеннических действий.

[0055] В некоторых вариантах осуществления отбирают кандидатов в мошеннические домены из группы доменов, размещенных на той же машине (машинах), на которой размещен известный мошеннический домен. Группа кандидатов может быть дополнительно отфильтрована в соответствии с регистрационными данными домена. Затем может быть проведен анализ содержимого для идентификации действительно мошеннических доменов в упомянутой группе кандидатов.

[0056] Специалисту в данной области техники понятно, что в вышеописанные варианты осуществления могут быть внесены многочисленные изменения без выхода за границы объема правовой охраны настоящего изобретения. Соответственно, объем правовой охраны настоящего изобретения определяется нижеследующей формулой изобретения и ее законными эквивалентами.

1. Компьютерная система для идентификации мошеннических интернет-доменов, содержащая по меньшей мере один аппаратный процессор, сконфигурированный для управления работой обратного преобразователя адресов, фильтра регистрационных данных, соединенного с упомянутым обратным преобразователем адресов, и анализатора контента, соединенного с упомянутым фильтром регистрационных данных, причем обратный преобразователь адресов сконфигурирован для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, причем известный мошеннический интернет-домен расположен по целевому адресу интернет-протокола (IP-адрес), причем идентификация группы совместно размещенных интернет-доменов включает отбор группы совместно размещенных интернет-доменов таким образом, что все члены упомянутой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу; причем фильтр регистрационных данных сконфигурирован для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены, причем фильтрация группы совместно размещенных интернет-доменов включает: определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, причем регистрационные данные доменного имени, характеризующие домен, содержат адрес электронной почты, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с по меньшей мере одним из длины адреса электронной почты и случайности адреса электронной почты, и в ответ отбор домена в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено; причем анализатор контента сконфигурирован для: анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли упомянутый электронный документ мошенническим, и в ответ, если электронный документ является мошенническим, определения, что домен-кандидат является мошенническим, при этом компьютерная система сконфигурирована передавать индикатор оценки мошенничества, сгенерированный в соответствии с определением того, что домен-кандидат является мошенническим, для блокировки доступа к ресурсу, размещенному в домене-кандидате.

2. Компьютерная система по п.1, в которой определение выполнения условия отбора включает сравнение регистрационных данных доменного имени, характеризующих домен, с регистрационными данными доменного имени, характеризующими известный мошеннический интернет-домен.

3. Компьютерная система по п.2, в которой определение выполнения условия отбора включает сравнение метки времени регистрации домена с меткой времени регистрации известного мошеннического интернет-домена.

4. Компьютерная система по п.1, в которой фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с идентификационной информацией почтового сервера, обрабатывающего электронную почту, отправленную на упомянутый адрес электронной почты.

5. Компьютерная система по п.1, в которой фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с тем, разрешены ли провайдером адреса электронной почты анонимные учетные записи электронной почты.

6. Компьютерная система по п.1, в которой регистрационные данные доменного имени, характеризующие домен, включают телефонный номер, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с упомянутым телефонным номером.

7. Компьютерная система по п.6, в которой определение выполнения условия отбора включает выполнение обратного просмотра телефонного номера для определения объекта, которому принадлежит этот телефонный номер, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с результатом упомянутого обратного просмотра телефонного номера.

8. Способ идентификации мошеннических интернет-доменов, в котором используют по меньшей мере один аппаратный процессор для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, причем известный мошеннический интернет-домен расположен по целевому адресу интернет-протокола (IP-адрес), причем идентификация группы совместно размещенных интернет-доменов включает отбор упомянутой группы совместно размещенных интернет-доменов таким образом, что все члены этой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу, используют упомянутый по меньшей мере один аппаратный процессор для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены, причем фильтрация группы совместно размещенных интернет-доменов включает: определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, причем регистрационные данные доменного имени, характеризующие домен, содержат адрес электронной почты, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с по меньшей мере одним из длины адреса электронной почты и случайности адреса электронной почты, и в ответ отбор домена в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено; используют упомянутый по меньшей мере один аппаратный процессор для анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли электронный документ мошенническим, и в ответ на анализ электронного документа, если электронный документ является мошенническим, определяют, что домен-кандидат является мошенническим; и передают индикатор оценки мошенничества, сгенерированный в соответствии с определением того, что домен-кандидат является мошенническим, для блокировки доступа к ресурсу, размещенному в домене-кандидате.

9. Способ по п.8, в котором определение выполнения условия отбора включает сравнение регистрационных данных доменного имени, характеризующих домен, с регистрационными данными доменного имени, характеризующими известный мошеннический интернет-домен.

10. Способ по п.9, в котором определение выполнения условия отбора включает сравнение метки времени регистрации домена с меткой времени регистрации известного мошеннического интернет-домена.

11. Способ по п.8, в котором определяют выполнение условия отбора в соответствии с идентификационной информацией почтового сервера, обрабатывающего электронную почту, отправленную на упомянутый адрес электронной почты.

12. Способ по п.8, в котором определяют выполнение условия отбора в соответствии с тем, разрешены ли провайдером адреса электронной почты анонимные учетные записи электронной почты.

13. Способ по п.8, в котором регистрационные данные доменного имени, характеризующие домен, содержат телефонный номер, при этом выполнение условия отбора определяют в соответствии с упомянутым телефонным номером.

14. Способ по п.13, в котором определение выполнения условия отбора включает выполнение обратного просмотра телефонного номера для определения объекта, которому принадлежит этот телефонный номер, и в котором определяют выполнение условие отбора в соответствии с результатом упомянутого обратного просмотра телефонного номера.

15. Долговременный машиночитаемый носитель, хранящий инструкции, выполнение которых по меньшей мере одним аппаратным процессором обеспечивает формирование упомянутым по меньшей мере одним аппаратным процессором обратного преобразователя адресов, фильтра регистрационных данных, соединенного с упомянутым обратным преобразователем адресов, и анализатора контента, соединенного с упомянутым фильтром регистрационных данных, причем обратный преобразователь адресов сконфигурирован для идентификации группы совместно размещенных интернет-доменов в соответствии с известным мошенническим интернет-доменом, расположенным по целевому адресу интернет-протокола (IP-адрес), при этом идентификация группы совместно размещенных интернет-доменов включает отбор упомянутой группы совместно размещенных интернет-доменов таким образом, что все члены этой группы совместно размещенных интернет-доменов расположены по целевому IP-адресу, причем фильтр регистрационных данных сконфигурирован для фильтрации группы совместно размещенных интернет-доменов для создания подгруппы кандидатов в мошеннические домены, при этом фильтрация группы совместно размещенных интернет-доменов включает: определение выполнения условия отбора в соответствии с регистрационными данными доменного имени, характеризующими домен из группы совместно размещенных интернет-доменов, причем регистрационные данные доменного имени, характеризующие домен, содержат адрес электронной почты, при этом фильтр регистрационных данных сконфигурирован для определения выполнения условия отбора в соответствии с по меньшей мере одним из длины адреса электронной почты и случайности адреса электронной почты, и в ответ отбор домена в подгруппу кандидатов в мошеннические домены, если упомянутое условие отбора выполнено, причем анализатор контента сконфигурирован для: анализа электронного документа, распространяемого доменом-кандидатом, выбранным из подгруппы кандидатов в мошеннические домены, чтобы определить, является ли этот электронный документ мошенническим, и в ответ, если электронный документ является мошенническим, определение, что домен-кандидат является мошенническим; причем инструкции дополнительно обеспечивают передачу по меньшей мере одним аппаратным процессором индикатора оценки мошенничества, сгенерированного в соответствии с определением того, что домен-кандидат является мошенническим, для блокировки доступа к ресурсу, размещенному в домене-кандидате.