350 руб
Журнал «Системы высокой доступности» №1 за 2022 г.
Статья в номере:
Распознавание мошеннических Web-сайтов
Тип статьи: научная статья
DOI: https://doi.org/10.18127/j20729472-202201-02
УДК: 681.3
Ключевые слова: Гипертекстовая информационная система инфраструктура открытых ключей сертификат открытого ключа удостове-ряющий центр центр подтверждения подлинности провайдер электронных услуг идентификация аутентификация па-раметр подлинности система обеспечения параметрами подлинности субъективная логика
Авторы:

Д.А. Мельников

ФИЦ ИУ РАН (Национальный исследовательский ядерный университет «МИФИ»),
Финансовый университет при Правительстве Российской Федерации (Москва, Россия)

Аннотация:

Постановка проблемы. Несовершенство инфраструктуры обеспечения информационной безопасности в РФ привело к «рассвету» киберпреступности. Одно из наиболее частых киберпреступлений представляет собой маскирование мошеннического Web-портала под реальную (подлинную) ГИС, реализующую торгово-финансовый услуги. Кибермошенники «втираются в доверие» к пользователям мошеннических Web-сайтов, которые почти ничем не отличаются от истинных, и добывают их персональные данные или проводят платежные транзакции, изымая у пользователей финансовые средства под видом продажи электронных услуг или товаров. При этом посетители таких мошеннических Web-сайтов практически беззащитны и вынуждены полагаться только на себя, на свой предыдущий опыт и, крайне редко, на опыт родственников и друзей (коллег). По данным Центрального банка России, потери россиян от действий кибермошенников в 2020 г. выросли в 1,5 раза по сравнению с 2019 г. и составили 9,8 млрд руб.

Цель. Исследовать проблему идентификации и аутентификации провайдеров электронных услуг (ПЭУ), владельцев Web-сайтов и разработать метод распознавания поддельных (мошеннических) Web-сайтов, основанный на использовании инфраструктуры открытых ключей (ИОК), реализующий проверку и подтверждение подлинности сертификата открытого ключа (СЕРТОК) ПЭУ со стороны пользователя.

Результаты. Проведен анализ проблемы идентификации и аутентификации ПЭУ, который показал, что современное состояние (фактически ее отсутствие) инфраструктуры обеспечения информационной безопасности в РФ исключает возможность распознавания мошеннических Web-сайтов. Предложен метод распознавания поддельных Web-сайтов, основанный на использовании ИОК.

Практическая значимость. Полученные результаты имеют важное значение при разработке архитектуры и принципов построения, а также совершенствования национальной инфраструктуры обеспечения информационной безопасности в интересах цифровой экономики РФ.

Страницы: 16-25
Для цитирования

Мельников Д.А. Распознавание мошеннических Web-сайтов // Системы высокой доступности. 2022. Т. 18. № 1. С. 16−25. DOI: https://doi.org/ 10.18127/j20729472-202201-02

Список источников
  1. IETF. «Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing», RFC 7230, June 2014, URI: http://www.rfc-editor.org/info/rfc7230; «Hypertext Transfer Protocol Version 2 (HTTP/2)», RFC 7540, May 2015, URI: http://www.rfc-editor.org/info/ rfc7540
  2. Гладких А. Россиян предупредили о мошеннических сайтах по продаже авиабилетов // LIFE, 2020. URI: https://life.ru/p/1340555/
  3. Хомякова Д. Эксперт рассказал, как мошенники обманывают любителей пиццы и суши // LIFE, 2020. URI: https://life.ru/p/1340542/
  4. Юркова А. Отбить атаку в один клик // Российская газета, 06.07.2021. URI: https://rg.ru/ 2021/07/06/reg-ufo/v-rossii-chislo-kiberprestuplenij-vyroslo-na-70-procentov.html
  5. Соловьева О. Доля цифрового криминала в России превысила 25%. Кибервымогателей ловить все сложнее // Независимая газета, 3 августа 2021 года. URI: https://www.ng.ru/economics/2021-08-03/1_8215_economics2.html
  6. Фомичев В.М., Мельников Д.А. Криптографические методы защиты информации: Учебник (в 2-х частях). М.: Юрайт. 2016. ISBN 978-5-534-01741-0, ISBN 978-5-534-01740-3
  7. Мельников Д.А., Релеев Ю.Ф., Кварацхелия Л.Д. Модель доверия для цифровой экономики Российской Федерации // Безопасность информационных технологий. 2020. Т. 27 № 2. С. 47–64. URI: http://dx.doi.org/10.26583/ bit.2020.2.04
  8. Jøsang A. The right type of trust for distributed systems. In C. Meadows, editor, Proc. Of the 1996 New Security Paradigms Workshop. ACM, New York, 1996.
  9. IETF. «The Transport Layer Security (TLS) Protocol Version 1.3», RFC 8446, August 2018. URI: https://www.rfc-editor.org /rfc/rfc8446.txt
  10. Kumar R., et al. Service Provider Authentication Assurance. 10th Annual Conference on Privacy, Security and Trust (PST 2012). Paris, July 2012.
  11. ITU-T. Recommendation X.810, Information Technology – Open Systems Interconnection – Security Frameworks for Open Systems: Overview (ISO/IEC 10181-1: 1996), 1995.
  12. Мельников Д.А. Информационная безопасность открытых систем: Учебник. М.: ФЛИНТА. Наука, 2013. 448 с. ISBN 978-5-9765-1613-7
  13. ITU-T. Recommendation X.811, Information Technology – Open Systems Interconnection – Security Frameworks for Open Systems: Authentication Framework (ISO/IEC 10181-2: 1996), 1995.
  14. International Organization for Standardization and International Electrotechnical Commission. Information technology – Security techniques – Entity authentication – General. ISO/IEC 9798-1: 2010 (third edition).
  15. Josang A. Subjective Logic. A Formalism for Reasoning Under Uncertainty. Springer International Publishing, Switzerland, 2016. 337 p. ISBN 978-3-319-42335-7(1). DOI 10.1007/978-3319-42337-1
Дата поступления: 24.01.2022
Одобрена после рецензирования: 03.02.2022
Принята к публикации: 28.02.2022