公开了涉及检测并防止与多因素认证(MFA)或双因素认证(2FA)过程相关的网络钓鱼攻击(例如中间人攻击)的技术。描述了一种系统,该系统基于在向服务计算机系统发出初始认证请求的计算设备与被要求执行后续认证步骤(例如,2FA认证步骤)的计算设备(例如移动设备)之间确定的信任级别来确定是允许还是拒绝后续认证步骤。与后续认证步骤相关联的计算设备评估设备之间的信任并确定是允许还是拒绝后续认证步骤。本公开的技术增强了计算机系统针对网络钓鱼攻击的安全性,同时为合法用户维持了令人满意的用户体验。令人满意的用户体验。令人满意的用户体验。
【技术实现步骤摘要】
【国外来华专利技术】针对网络钓鱼的防卫性多因素认证
[0001]本公开一般地涉及访问在线系统的方法,并且更具体地涉及根据各种实施例在多因素认证的安全认证过程期间评估设备之间的信任。
技术介绍
[0002]在线计算机系统如今无处不在,提供各种不同类型的服务。例如,可以通过网络界面提供对安全系统、文件、帐户的访问、执行金融交易的能力和其他功能。不幸的是,提供此类功能的在线系统(包括交易处理系统)可能会遭到破坏帐户安全和/或获取未经授权信息的恶意尝试。这些恶意尝试可能采取多种形式,包括试图获取用户帐户信息以访问在线系统的网络钓鱼攻击。申请人认识到提供改进的认证机制的机会,并提供下面讨论的解决方案。
附图说明
[0003]图1是根据一些实施例的用于确定针对与服务计算机系统相关联的认证过程的计算设备之间的信任的系统的框图。
[0004]图2描绘了根据一些实施例的示例账户登录请求页面的表示。
[0005]图3描绘了根据一些实施例的信任因素评估模块的框图。
[0006]图4描绘了试图克服2FA过程的网络钓鱼攻击的实施例的示例的框图。
[0007]图5描绘了根据一些实施例的用于使用信任因素评估模块检测并防止试图克服2FA过程的网络钓鱼攻击的系统的框图。
[0008]图6描绘了涉及计算设备上的信任因素评估模块的用于处理合法请求的系统的框图。
[0009]图7是图示根据一些实施例的用于确定是否允许后续认证步骤的方法的流程图。
[0010]图8是示出根据一些实施例的用于c的另一种方法的流程图。
[0011]图9是图示根据一些实施例的用于拒绝后续认证步骤的方法的流程图。
[0012]图10是计算机系统的一个实施例的框图。
[0013]尽管本文公开的实施例易于进行各种修改和替代形式,但是特定实施例在附图中以示例的方式示出并且在本文中被详细描述。然而,应当理解,附图及其详细描述并不旨在将权利要求的范围限制为所公开的特定形式。相反,本申请旨在涵盖落入由所附权利要求限定的本申请公开的精神和范围内的所有修改、等同物和替代。
[0014]本公开包括对“一个实施例”、“特定实施例”、“一些实施例”、“各种实施例”或“一个实施例”的引用。短语“在一个实施例中”、“在特定实施例中”、“在一些实施例中”、“在各种实施例中”或“在一个实施例中”的出现不一定指代相同的实施例。特定的特征、结构或特性可以以与本公开一致的任何合适的方式组合。
[0015]在所附权利要求中叙述一个要素“被配置为”执行一项或多项任务明确表示不对该权利要求要素援引35U.S.C.
§
112(f)。因此,所提交的本申请中的权利要求均无意被解释
为具有装置加功能的要素。如果申请人希望在审查期间援引第112(f)节,则将使用“用于[执行功能]的装置”结构来陈述权利要求要素。
[0016]如本文所用,术语“基于”用于描述影响确定的一个或多个因素。该术语不排除其他因素可能影响该确定的可能性。即,该确定可以仅基于指定因素,或基于指定因素以及其他非指定因素。考虑短语“基于A确定B”,这句话指明了B是用来决定A或影响A的确定的因素。这句话并不排除A的确定也可能基于一些其他因素,例如C。这句话也旨在涵盖其中A是仅基于B而被确定的实施例。如本文所用,短语“基于”与短语“至少部分基于”同义。
[0017]如本文所用,短语“响应于”描述了触发效果的一个或多个因素。这句话并不排除其他因素可能影响或以其他方式触发效果。也就是说,效果可能仅是响应于这些因素的,或者可能是响应于这些指定因素以及其他非指定因素。
[0018]如本文所用,术语“第一”、“第二”等用作它们之前的名词的标签,并不暗示任何类型的排序(例如,空间、时间、逻辑等),除非另有说明。如本文所用,术语“或”用作包含性或,而非排他性或。例如,短语“x、y或z中的至少一个”表示x、y和z中的任何一个以及它们的任何组合(例如,x和y,但没有z)。在某些情况下,术语“或”的使用上下文可能表明它是在排他的意义上使用的,例如,“选择x、y或z中的一个”,在该示例中意味着只选择了x、y和z的其中之一。
[0019]在下面的描述中,阐述了许多具体细节以提供对所公开的实施例的透彻理解。然而,本领域的普通技术人员应该认识到,可以在没有这些具体细节的情况下实践所公开的实施例的各方面。在一些情况下,未详细示出众所周知的结构、计算机程序指令和技术以避免模糊所公开的实施例。
具体实施方式
[0020]本公开涉及与检测并防止恶意尝试获取机密用户帐户信息以便获得对在线系统的未授权访问有关的各种技术。在线系统(例如,支付处理系统、社交网络系统等)可能经常遭受获取用户帐户的访问凭证的恶意尝试,例如网络钓鱼攻击。网络钓鱼攻击(可能发生在包括对一个或多个帐户的一次或多次特定网络钓鱼攻击的网络钓鱼活动中)可能会利用电子通信(例如电子邮件),试图通过将自己伪装成可信赖的通信来获取机密用户帐户信息。网络钓鱼电子通信可能包括,例如,电子邮件欺骗、即时消息或文本消息,其将用户引导至虚假网页,要求用户在其中输入个人信息,例如帐户登录信息。虚假网页被创建得看起来或感觉像在线系统的合法网页。网络钓鱼电子通信可以更广泛地包括任何电子通信,其旨在欺骗用户提供个人或机密信息以响应该电子通信。
[0021]对于针对在线系统的攻击,网络钓鱼电子通信可用于获取帐户登录信息并获得恶意方对在线系统的未授权访问。一旦获得对在线系统的未授权访问,恶意方可能试图获取私人信息、更改帐户或对在线系统中具有帐户的其他用户产生横向攻击。
[0022]包括交易系统在内的在线系统可能会受到大量网络钓鱼攻击。对于为用户处理财务信息的交易系统,例如支付处理系统,网络钓鱼攻击可能尤其具有滥用性。许多在线系统实施多因素认证(MFA)(例如双因素认证(2FA))来抵御网络钓鱼攻击。MFA或2FA被认为对网络钓鱼攻击具有很强的抵抗力。然而,本申请专利技术人已经意识到,使用MFA或2FA的在线系统可能仍然容易受到某些类型的网络钓鱼攻击。可能击败MFA或2FA的网络钓鱼攻击的一个示
例是“中间人(MITM)”攻击。MITM攻击是指攻击者拦截两方之间的一个或多个通信并将该信息用于恶意目的。注意,如本文所用,术语多因素认证(MFA)和双因素认证(2FA)在一些实施例中可以互换使用。
[0023]简而言之,在网络钓鱼攻击上下文中的MITM攻击可能包括将用户引向网络钓鱼网页(例如,通过电子邮件通信),用户在其中输入他/她的登录凭证。网络钓鱼网页可能会将此信息传递给攻击者的会话以进行实际登录尝试,从而在用户的设备(例如用户的移动设备)上生成2FA请求(例如质询请求)。然后用户批准2FA请求,从而为攻击者提供对在线系统的访问权限。钓鱼网页可能会向用户返回登录错误指示,并让用户重新尝试登录。用户可被允许重试成功,以避免怀疑MITM网络钓鱼攻击。在图4的图示实施例中提供了示例MITM网络钓鱼攻击的进一步细节。
...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括:在认证过程中的先前认证步骤之后,在第一计算设备处接收执行所述认证过程中的后续认证步骤以向服务计算机系统认证用户的请求,其中所述请求包括与所述先前认证步骤相关的第一认证信息,并且其中所述认证过程是由第二计算设备发起的;以及由所述第一计算设备确定是否允许在所述第一计算设备上执行所述后续认证步骤,其中该确定包括:基于所述第一计算设备接收的所述第一认证信息和所述第一计算设备存储的第二认证信息来评估所述第一计算设备和所述第二计算设备之间的信任因素;基于所评估的所述信任因素,禁止在所述第一计算设备上执行所述后续认证步骤。2.根据权利要求1所述的方法,还包括:基于所述后续认证步骤被禁止,确定所述认证过程与中间人攻击相关联。3.根据权利要求1所述的方法,其中,评估所述第一计算设备和所述第二计算设备之间的信任因素包括:评估所述第一认证信息和所述第二认证信息中的可比数据之间的相似性,其中所述可比数据包括以下可比数据中的至少一项:与所述第一计算设备和所述第二计算设备对应的互联网协议(IP)地址;所述第一计算设备和所述第二计算设备的地理位置;所述第一计算设备和所述第二计算设备的凭证信息;与所述第一计算设备和所述第二计算设备相关联的cookie;或者与所述第一计算设备和所述第二计算设备相关联的质询密钥。4.根据权利要求3所述的方法,其中,评估所述信任因素包括:针对至少两个可比数据来评估个体信任因素,以及基于所述个体信任因素的组合来确定所述信任因素。5.根据权利要求3所述的方法,其中,确定是否允许在所述第一计算设备上执行所述后续认证步骤包括:针对至少两个可比数据来评估个体信任因素;以及当至少一个个体信任因素不能满足针对该至少一个个体信任因素的指定阈值时,禁止在所述第一计算设备上执行所述后续认证步骤。6.根据权利要求1所述的方法,还包括:响应于所评估的所述信任因素满足指定阈值,允许在所述第一计算设备上执行所述后续认证步骤。7.根据权利要求6所述的方法,其中,所述指定阈值是被确定为与所述第一计算设备和所述第二计算设备之间的安全信任级别相对应的信任因素的值。8.根据权利要求1所述的方法,还包括:由所述第一计算设备向所述服务计算机系统发送关于是否允许在所述第一计算设备上执行所述后续认证步骤的确定结果的指示。9.一种非暂态计算机可读介质,其上存储有可指令,所述指令能由计算设备执行以执行操作,所述操作包括:基于由附加计算设备发起的认证过程中的先前认证步骤,在所述计算设备处接收执行所述认证过程中的后续认证步骤以向服务计算机系统认证用户的请求,其中所述请求包括与所述先前认证步骤相关的第一认证信息;由所述计算设备基于所述计算设备接收的所述第一认证信息和所述计算设备存储的第二认证信息来确定所述计算设备和所述附加计算设备之间的信任因素;
响应于所述信任因素满足指定阈值,允许执行所述后续认证步骤;以及响应于所述信任因素不满足所述指定阈值,禁止执行所述后续认证步骤。10.根据权利要求9所述的非暂态计算机可读介质,其中,所述信任因素是根据对所述第一认证信息和所述第二认证信息中的可比数据之间的匹配进行评估而确定的,其中所述可比数据包括...
【专利技术属性】
技术研发人员:乔治,
申请(专利权)人:贝宝公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。