ارايه روشي براي شناسايي وب سايت فيشينگ سرويس پرداخت اينترنتي

Providing a method for identifying phishing website of Internet Payment Service

فيشينگ يكي از فنون مهندسي اجتماعي براي فريب كاربران است كه براي كسب اطلاعات محرمانه مانند نام كاربري، گذرواژه يا اطلاعات حساب بانكي كاربران استفاده مي‌شود. از مهم‌ترين چالش‌هاي موجود در اينترنت، خطر حملات فيشينگ و كلاهبرداري‌هاي اينترنتي است. ازاين‌رو پژوهشگران، تلاش‌هاي زيادي براي شناسايي و مقابله با اين‌گونه حملات داشته‌اند. هدف اين تحقيق، ارايه روش جديدي براي شناسايي وب‌سايت فيشينگ در بانكداري اينترنتي است. روش پيشنهادي نقاط ضعف روش‌هاي شناسايي و مقابله با فيشينگ مانند عدم بررسي وضعيت رايگان بودن ميزباني وب‌سايت‌ها و عدم تمركز روي بانكداري اينترنتي را ندارد. اين روش از مزاياي فنون مختلف شناسايي وب‌سايت فيشينگ استفاده مي‌كند و امكان شناسايي لحظه صفر وب‌سايت‌هاي فيشينگ فارسي‌زبان كه سرويس‌هاي بانكداري اينترنتي در ايران را موردحمله قرار مي‌دهند، رادار است. روش پيشنهادي با استفاده از مجموعه وب‌سايت‌هاي قانوني شامل 500 صفحه نمايه شده در سايت پيوندها و مجموعه وب‌سايت‌هاي فيشينگ شامل 100 سايت فيشينگ شناسايي‌شده در PhishTank و20 سايت فيشينگ طراحي‌شده و 11 سايت فيشينگ شناسايي‌شده در طول نگارش مقاله، ارزيابي‌شده است. نتايج ارزيابي نشان مي‌دهد، روش پيشنهادي، وب‌سايت‌هاي قانوني را فيشينگ تلقي نمي‌كند (خطاي مثبت صفر درصد) و تنها 3% از وب‌سايت‌هاي فيشينگ را تشخيص نمي‌دهد (خطاي منفي 3%).

Phishing is one of the social engineering techniques to deceive users to obtain confidential information such as user names, passwords or bank account information is used. The most important challenges in the Internet, is the risk of phishing attacks and internet fraudulent. So researchers have been attempted to identify and deal with such attacks. The aim of this study is to present a new method for identifying phishing website in Internet banking. The proposed method have not weaknesses of identifying and deal with phishing methods such as the lack of checking the status of free of charge website hosting and lack of focus on internet banking. This method uses the advantages of the different techniques to identify phishing website and identify possible moment zero Persian-language phishing websites that attack to Iranʹs Internet banking services. The proposed method is assessed by using a set of legal websites includes 500 pages indexed in links site and phishing websites set contains 100 phishing site detected in PhishTank and 20 phishing site designed and 11 phishing site identified in during writing the article. The results indicated that the proposed approach, does not consider phishing websites as legitimate (positive error of zero percent) and only 3% of phishing websites does not recognize (3% negative error).