Nothing Special   »   [go: up one dir, main page]

KR102684949B1 - Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly - Google Patents

Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly Download PDF

Info

Publication number
KR102684949B1
KR102684949B1 KR1020230028001A KR20230028001A KR102684949B1 KR 102684949 B1 KR102684949 B1 KR 102684949B1 KR 1020230028001 A KR1020230028001 A KR 1020230028001A KR 20230028001 A KR20230028001 A KR 20230028001A KR 102684949 B1 KR102684949 B1 KR 102684949B1
Authority
KR
South Korea
Prior art keywords
mail
information
email
account
domain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
KR1020230028001A
Other languages
Korean (ko)
Other versions
KR102684949B9 (en
Inventor
정희수
박우영
Original Assignee
주식회사 리얼시큐
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 리얼시큐 filed Critical 주식회사 리얼시큐
Priority to KR1020230028001A priority Critical patent/KR102684949B1/en
Application granted granted Critical
Publication of KR102684949B1 publication Critical patent/KR102684949B1/en
Publication of KR102684949B9 publication Critical patent/KR102684949B9/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 방법은, 발신측 메일 시스템이 송신한 메일을 수신하여 메일정보를 출력하는 단계; 상기 메일정보를 제공받아 SPF 정책에 따르는 신뢰메일인지 체크하여 정상메일을 분류하고 정상메일에 대한 메일정보를 출력하는 단계; 및 상기 정상메일에 대한 메일정보를 제공받아 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과는 상이한지를 체크하여 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일을 판별하는 단계;를 포함하는 것을 특징으로 한다. A method of detecting an email attack sent through an account created using a social engineering technique according to the present invention includes the steps of receiving an email sent from a sending email system and outputting email information; receiving the mail information, checking whether the mail is trusted according to the SPF policy, classifying the normal mail, and outputting mail information about the normal mail; and receiving mail information for the normal mail, checking whether any of the account, identification information, and domain is different from previously received mail, and determining an unfamiliar mail predicted to be a hacking mail according to a social engineering technique; It is characterized by including.

Description

사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 방법 및 그에 따른 메일 시스템{Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly} {Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly}

본 발명은 메일 보안 서비스 기술에 관한 것으로, 더욱 상세하게는 사회공학기법으로 생성된 계정을 통해 발송된 메일공격으로부터 예측되는 메일을 탐지하여 메일공격으로 예측된 메일이 메일 이용자에게 전달되지 않게 차단하여 선의의 메일 사용자를 보호하는 메일공격을 탐지하는 방법 및 그에 따른 메일 시스템에 관한 것이다. The present invention relates to mail security service technology. More specifically, it detects mail predicted to be a mail attack sent through an account created through social engineering techniques and blocks mail predicted to be a mail attack from being delivered to mail users. It concerns a method of detecting email attacks that protect innocent email users and the resulting email system.

산업과 패러다임 변화속도가 급격해지면서 업무환경 또는 업무를 위한 시스템의 접근방법에 대한 방식이 많이 달라졌으며 클라우드 시스템을 통해 모든 데이터를 쉽게 공유하고 빠른 업무처리가 가능한 시대가 되었다. As the speed of industry and paradigm change has rapidly increased, the way to approach the work environment or work system has changed significantly, and we have entered an era where all data can be easily shared and quick work processing is possible through cloud systems.

또한 포스트 코로나 시대임에 따라 비대면 업무의 활용성은 더욱 높아져 메일을 이용한 다양한 공격에 따른 피해사례가 급증하고 있다. In addition, in the post-corona era, the usability of non-face-to-face work has increased, and the number of damage cases due to various attacks using email is rapidly increasing.

이러한 문제를 해결하기 위해 메일 사용자의 개입이 없더라도 서버 시스템에서 안전한 메일과 위험한 메일을 자동으로 구분할 수 있도록 하는 기술이 개발되었으며, 그 대표적인 기술로는 SPF(Sender Policy Framework)와, DKIM(Domain Keys Identified Mail)와, DMARC(Domain-based Message Authentication) 등이 있다. To solve this problem, technology has been developed that allows the server system to automatically distinguish between safe and dangerous mail without the mail user's intervention. Representative technologies include SPF (Sender Policy Framework) and DKIM (Domain Keys Identified). Mail) and DMARC (Domain-based Message Authentication).

상기 SPF는 메일 서버 등록제라고 불리는 것으로, 대다수 스팸 발송자가 자신의 신원을 감추기 위하여 발송자 주소나 전송 경로를 허위로 표기하거나 변경하는 경우가 많은 것에 착안하여 메일 서버 정보를 사전에 DNS에 공개 등록함으로써 수신자로 하여금 메일에 표시된 발송자 정보가 실제 메일 서버의 정보와 일치하는지를 확인할 수 있도록 하는 인증기술을 말한다. The SPF is called the mail server registration system. Considering that most spam senders often misrepresent or change the sender's address or transmission path to hide their identity, the mail server information is publicly registered in DNS in advance so that the recipient can use it. It refers to an authentication technology that allows users to check whether the sender information displayed in the mail matches the information on the actual mail server.

그리고 상기 DKIM은 도메인 키 인증 메일이라고도 하며, 공개키/비밀키를 기반으로 하는 메일 인증 방식으로, 디지털 서명을 메일 헤더(Header)에 삽입하여 발신자가 위조되지 않았는지를 수신자 측에서 검증할 수 있도록 하는 인증기술을 말한다. DKIM, also known as domain key authentication mail, is a public key/private key based mail authentication method that inserts a digital signature into the mail header so that the recipient can verify whether the sender has been forged. It refers to authentication technology.

그리고 상기 DMARC는, 상기 메일서버 등록제(SPF)와 도메인 키 인증메일(DKIM)을 활용하여 정당한 발신자인지 구분하는 인증기술로, 의심되는 메일을 처리후 리포팅을 보고 받을 수 있게 한 메일 인증 방식을 말한다. DMARC is an authentication technology that uses the Mail Server Registration System (SPF) and Domain Key Authenticated Mail (DKIM) to identify legitimate senders. It refers to an email authentication method that allows you to receive reports after processing suspicious emails. .

상기한 바와 같이 메일 서비스를 통한 다양한 공격으로부터 선량한 메일 사용자를 보호하기 위한 다양한 기술이 제안되어 상용화되고 있음과 더불어 악의를 가진 해커 역시 다양한 방식의 메일공격을 시도하고 있다. As mentioned above, various technologies have been proposed and commercialized to protect innocent mail users from various attacks through mail services, and hackers with malicious intent are also attempting various types of mail attacks.

상기의 메일공격중에는 인간의 심리현상 중에서도 신뢰를 이용한 피싱(Phishing), 파밍(pharming), 스미싱(smishing), 그리고 비싱(vishing)과 같은 비기술적인 수단의 보안공격이 특히 심화되고 있다. 이러한 방식의 해킹 기법을 사회공학적 해킹이라 한다. Among the above email attacks, security attacks using non-technical means such as phishing, pharming, smishing, and vishing, which utilize trust among human psychological phenomena, are especially intensifying. This type of hacking technique is called social engineering hacking.

고도의 컴퓨터 기술을 필요로 하는 다른 해킹 분야와는 달리 사회공학적 해킹은 인간의 심리를 이용하므로, 아무리 기술적인 보안을 완벽히 하더라도 차단하기가 어려웠다. Unlike other hacking fields that require advanced computer skills, social engineering hacking uses human psychology, so it was difficult to block no matter how perfect technical security was.

이에 해커는 이러한 특성을 악용하여 내부 시스템에 침투하기 위한 수단으로 사회공학적 해킹된 메일을 사용하였으며, 이러한 메일은 보안 인프라를 무력화시켜 수신자에게 쉽게 접근할 수 있게 하였다. 여기서, 상기 사회공학적 해킹된 메일은 인간의 신뢰를 악용하여 기존에 소통하던 계정과 유사하거나 친근한 계정으로 위조된 것이다. Accordingly, hackers exploited these characteristics and used socially engineered hacked emails as a means of infiltrating internal systems. These emails neutralized the security infrastructure, allowing easy access to recipients. Here, the social engineering hacked email is forged into an account similar to or familiar to the existing communication account by abusing human trust.

상기의 메일은 모든 방법을 동원하여 공격 대상자의 정보를 수집하였고, 모든 정보를 교묘하게 이용하여 막대한 금액의 보안사고를 야기시키기도 하였다. The above-mentioned email used all possible methods to collect the information of the attack target, and cleverly used all the information to cause a security incident of enormous amount of money.

이에 종래에는 사회공학적 공격기법을 이용한 메일공격을 탐지하여 선의의 메일 사용자를 보호할 수 있는 기술의 개발이 절실하게 요망되었다. Accordingly, there has been an urgent need to develop technology that can detect email attacks using social engineering attack techniques and protect innocent email users.

대한민국 특허등록번호 제10-2164338호Republic of Korea Patent Registration No. 10-2164338 대한민국 특허공개번호 제10-2016-0018218호Republic of Korea Patent Publication No. 10-2016-0018218

본 발명은 사회공학기법으로 생성된 계정을 통해 발송된 메일공격으로부터 예측되는 메일을 탐지하여 메일공격으로 예측된 메일이 메일 이용자에게 전달되지 않게 차단하여 선의의 메일 사용자를 보호하는 사회공학기법에 따른 메일공격을 탐지하는 방법 및 그에 따른 메일 시스템을 제공하는 것을 그 목적으로 한다. The present invention is based on a social engineering technique that protects well-intentioned mail users by detecting mail predicted to be a mail attack sent through an account created through a social engineering technique and blocking mail predicted to be a mail attack from being delivered to the mail user. The purpose is to provide a method for detecting email attacks and a corresponding email system.

또한 본 발명의 다른 목적은 사회공학기법으로 생성된 계정을 통해 발송된 메일공격으로부터 예측되는 메일을 수집한 후에 미리 정해진 스케쥴에 따라 메일공격으로 예측되는 메일에 대한 검토과정을 통해 메일공격메일이 아닌 메일에 대해서는 수신처리하여 선의의 메일은 메일 사용자에게 전달될 수 있게 하는 사회공학기법에 따른 메일공격을 탐지하는 방법 및 그에 따른 메일 시스템을 제공하는 것이다. In addition, another object of the present invention is to collect emails predicted from email attacks sent through accounts created through social engineering techniques, and then review emails predicted to be email attacks according to a predetermined schedule to detect emails that are not email attack emails. It provides a method for detecting email attacks based on social engineering techniques and a corresponding email system that processes emails and allows good-intentioned emails to be delivered to email users.

상기의 목적을 달성하기 위한 본 발명에 따른 사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 방법은, 발신측 메일 시스템이 송신한 메일을 수신하여 메일정보를 출력하는 단계; 상기 메일정보를 제공받아 SPF 정책에 따르는 신뢰메일인지 체크하여 정상메일을 분류하고 정상메일에 대한 메일정보를 출력하는 단계; 및 상기 정상메일에 대한 메일정보를 제공받아 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과는 상이한지를 체크하여 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일을 판별하는 단계;를 포함하는 것을 특징으로 한다. A method of detecting an email attack sent through an account created using a social engineering technique according to the present invention to achieve the above object includes the steps of receiving an email sent from a sending email system and outputting email information; receiving the mail information, checking whether the mail is trusted according to the SPF policy, classifying the normal mail, and outputting mail information about the normal mail; and receiving mail information for the normal mail, checking whether any of the account, identification information, and domain is different from previously received mails, and determining an unfamiliar mail predicted to be a hacking mail according to a social engineering technique; It is characterized by including.

본 발명은 사회공학기법으로 생성된 계정을 통해 발송된 메일공격으로부터 메일공격으로 예측되는 메일을 탐지하여 메일공격으로 예측된 메일이 메일 이용자에게 전달되지 않게 차단하여 선의의 메일 사용자를 보호할 수 있는 효과를 가진다. The present invention detects e-mails predicted to be e-mail attacks from e-mail attacks sent through accounts created through social engineering techniques, and blocks e-mails predicted to be e-mail attacks from being delivered to e-mail users, thereby protecting innocent e-mail users. It has an effect.

또한 본 발명은 사회공학기법으로 생성된 계정을 통해 발송된 메일공격으로부터 메일공격으로 예측되는 메일을 수집한 후에 미리 정해진 스케쥴에 따라 메일공격으로 예측되는 메일에 대한 검토과정을 통해 메일공격메일이 아닌 메일에 대해서는 수신처리하여 선의의 메일은 메일 사용자에게 전달될 수 있게 하는 효과를 가진다. In addition, the present invention collects emails predicted to be email attacks from email attacks sent through accounts created through social engineering techniques, and then reviews emails predicted to be email attacks according to a predetermined schedule to detect emails that are not mail attack emails. It has the effect of processing emails as they are received, allowing good-intentioned emails to be delivered to mail users.

도 1은 본 발명의 바람직한 제1실시예에 따른 메일 시스템의 구성도.
도 2 내지 도 3은 본 발명의 바람직한 제1실시예에 따른 사회공학기법으로 생성된 계정을 통해 발송된 메일공격으로부터 메일공격을 탐지하는 방법의 절차도.
도 4는 본 발명이 바람직한 제2실시예에 따른 사회공학기법으로 생성된 계정을 통해 발송된 메일공격으로부터 메일공격을 탐지하는 방법의 절차도. 1 is a configuration diagram of a mail system according to a first preferred embodiment of the present invention.
Figures 2 and 3 are flowcharts of a method for detecting an email attack from an email attack sent through an account created using a social engineering technique according to the first preferred embodiment of the present invention.
Figure 4 is a procedure diagram of a method for detecting an email attack from an email attack sent through an account created using a social engineering technique according to a second preferred embodiment of the present invention.

본 발명은 사회공학기법에 따른 메일공격으로 예측되는 메일을 탐지하여 메일공격으로 예측된 메일이 메일 이용자에게 전달되지 않게 차단하여 선의의 메일 사용자를 보호한다.The present invention protects well-intentioned mail users by detecting mail predicted to be a mail attack using social engineering techniques and blocking mail predicted to be a mail attack from being delivered to mail users.

또한 본 발명은 사회공학기법에 따른 메일공격으로 예측되는 메일을 수집한 후에 미리 정해진 스케쥴에 따라 메일공격으로 예측되는 메일에 대한 검토과정을 통해 메일공격메일이 아닌 메일에 대해서는 수신처리하여 선의의 메일은 메일 사용자에게 전달될 수 있게 한다. In addition, the present invention collects mail predicted to be a mail attack according to a social engineering technique, and then receives and processes mail that is not a mail attack mail through a review process for mail predicted to be a mail attack according to a predetermined schedule to receive and process good-faith mail. allows it to be delivered to the mail user.

이러한 본 발명의 바람직한 제1실시예에 따르는 사회공학기법에 따른 메일공격을 탐지하는 방법과 메일 시스템을 도면을 참조하여 상세히 설명한다. The method and mail system for detecting mail attacks based on social engineering techniques according to the first preferred embodiment of the present invention will be described in detail with reference to the drawings.

<메일 시스템의 구성><Configuration of mail system>

도 1은 본 발명의 바람직한 제1실시예에 따른 메일 시스템의 구성을 도시한 도면이다. 상기 도 1을 참조하면, 본 발명의 바람직한 제1실시예에 따르는 메일 시스템(100)은 메일 수신부(102)와 제1메일 처리부(104)와 제2메일 처리부(106)와 제3메일 처리부(108)와 데이터베이스(110)로 구성된다. 1 is a diagram showing the configuration of a mail system according to a first preferred embodiment of the present invention. Referring to FIG. 1, the mail system 100 according to the first preferred embodiment of the present invention includes a mail reception unit 102, a first mail processing unit 104, a second mail processing unit 106, and a third mail processing unit ( It consists of 108) and database 110.

상기 메일 수신부(102)는 발신측 메일 시스템(200)과 네트워크를 통해 연결되어 상기 발신측 메일 시스템(200)과 SMTP(simple mail transfer protocol) 등의 메일 송수신 프로토콜에 따라 통신을 이행하여 메일을 수신한다. The mail reception unit 102 is connected to the sender's mail system 200 through a network and receives mail by communicating with the sender's mail system 200 according to a mail transmission and reception protocol such as SMTP (simple mail transfer protocol). do.

상기 메일 수신부(102)는 상기 발신측 메일 시스템(200)으로부터 메일이 수신되면, 상기 수신된 메일에 대한 메일정보를 제1메일 처리부(104)에 제공한다. When a mail is received from the sending mail system 200, the mail receiving unit 102 provides mail information about the received mail to the first mail processing unit 104.

상기 제1메일 처리부(104)는 상기 메일 수신부(102)가 제공하는 메일정보를 수집하여 SPF 정책이나 수신허용 메일주소록 등을 토대로 신뢰메일과 비신뢰메일로 분류하고, 상기 신뢰메일에 대해서는 제2메일 처리부(106)에 제공하며, 상기 비신뢰메일에 대해서는 차단한다. The first mail processing unit 104 collects mail information provided by the mail receiving unit 102 and classifies it into trusted mail and untrusted mail based on SPF policy or permitted email address book, and sends the trusted mail to a second mail processing unit. It is provided to the mail processing unit 106, and the untrusted mail is blocked.

상기 제2메일 처리부(106)는 신뢰메일에 대한 메일정보를 제공받아 메일정보 및 메일헤더를 처리하여 사회공학적 기법에 따른 해킹메일로 예측되는 언페밀리어 메일들을 판별하고, 사회공학적 기법에 따른 해킹메일로 예측되는 언페밀리어 메일들은 분류하여 데이터베이스(110)에 저장하고, 사회공학적 기법에 따른 해킹메일로 예측되는 언페밀리어 메일이 아닌 정상메일인 경우에는 메일 이용자에게 제공한다. The second mail processing unit 106 receives mail information about trusted mail, processes mail information and mail headers, determines unfamiliar mails predicted to be hacking mails according to social engineering techniques, and detects hacking mails according to social engineering techniques. Unfamiliar emails predicted to be e-mails are classified and stored in the database 110, and if they are normal e-mails rather than unfamiliar e-mails predicted to be hacking e-mails based on social engineering techniques, they are provided to e-mail users.

또한 상기 제2메일 처리부(106)는 제3메일 처리부(108)의 스케쥴러를 호출하여 상기 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일들에 대한 처리를 요청한다. Additionally, the second mail processing unit 106 calls the scheduler of the third mail processing unit 108 to request processing of unfamiliar mail predicted to be hacking mail according to the social engineering technique.

그리고 상기 제3메일 처리부(108)는 상기 제2메일 처리부(106)의 요청에 따라 스케줄러를 활성화하고, 상기 스케줄러에 의해 설정된 시기가 되면 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일들에 대한 메일리스트를 메일 관리자의 단말기 등으로 전송하고, 상기 메일 관리자의 단말기로부터의 요청에 따라 메일을 메일 이용자에게 제공하거나 해킹메일 신고시스템으로 해킹메일을 신고한다. And the third mail processing unit 108 activates the scheduler according to the request of the second mail processing unit 106, and when the time set by the scheduler arrives, unfamiliar mail predicted to be hacking mail according to social engineering techniques The mail list for is transmitted to the mail manager's terminal, etc., and upon request from the mail manager's terminal, the mail is provided to the mail user or the hacked mail is reported to the hacking mail reporting system.

그리고 상기 데이터베이스(110)는 상기 메일 시스템(100)이 제공하는 메일 서비스를 위한 데이터 저장소를 제공한다. And the database 110 provides data storage for the mail service provided by the mail system 100.

이제 상기의 메일 시스템에 적용가능한 사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 방법의 절차를 도면을 참조하여 설명한다. Now, the procedure for detecting an email attack sent through an account created using a social engineering technique applicable to the above email system will be described with reference to the drawings.

<사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 방법의 절차><Procedures for detecting email attacks sent through accounts created through social engineering techniques>

도 2 및 도 3은 본 발명의 바람직한 제1실시예에 따른 사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 방법의 절차를 도시한 것이다. 상기 도 2를 참조하면, 상기 메일 시스템(100)의 제2메일 처리부(106)는 제1메일 처리부(104)가 SPF 정책, 수신허용 메일주소록 등을 토대로 신뢰메일로 분류한 메일정보를 제공하면(300단계), 상기 메일정보에 포함된 메일발신정보(MailFrom)를 체크하여(302단계), 이전에 수신된 메일에 대한 정보들과 계정 및 식별정보 및 도메인 중 어느 하나라도 상이한 메일인지를 체크하고(304,306,308단계), 상기 계정 및 식별정보 및 도메인 중 어느 하나라도 상이하면, 상기 제2메일 처리부(106)는 언페밀리어 메일, 즉 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일로 분류하여 데이터베이스(102)에 저장한다(318단계). 이와 달리 상기 메일정보에 포함된 메일발신정보(MailFrom)를 체크하여 이전에 수신된 메일에 대한 메일정보들과 계정 및 식별정보 및 도메인이 모두 동일하면, 상기 제2메일 처리부(106)는 상기 메일정보의 헤더정보를 체크하여(310단계), 이전에 수신된 메일에 대한 메일정보들과 계정 및 식별정보 및 도메인 중 어느 하나라도 상이한 메일인지를 체크하고(312,314,316단계), 상기 계정 및 식별정보 및 도메인 중 어느 하나라도 상이하면 언페밀리어 메일, 즉 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일로 분류하여 데이터베이스(102)에 저장한다(318단계).Figures 2 and 3 illustrate the procedure of a method for detecting an email attack sent through an account created using a social engineering technique according to the first preferred embodiment of the present invention. Referring to FIG. 2, when the first mail processing unit 104 provides mail information classified as trusted mail based on the SPF policy, permitted email address book, etc., the second mail processing unit 106 of the mail system 100 provides mail information. (Step 300), check the mail sending information (MailFrom) included in the mail information (step 302), and check whether any of the account, identification information, and domain is different from the information about the previously received mail. (steps 304, 306, and 308), if any of the account, identification information, and domain are different, the second mail processing unit 106 sends an unfamiliar mail, that is, an unfamiliar mail predicted to be a hacking mail according to a social engineering technique. Classify and store in the database 102 (step 318). On the other hand, if the mail sending information (MailFrom) included in the mail information is checked and the account, identification information, and domain are all the same as the mail information for the previously received mail, the second mail processing unit 106 sends the mail. The header information of the information is checked (step 310), and whether any of the account, identification information, and domain is different from the mail information for previously received mail (steps 312, 314, and 316), and the account, identification information, and If any of the domains are different, it is classified as an unfamiliar email, that is, an unfamiliar email predicted to be a hacking email based on social engineering techniques, and stored in the database 102 (step 318).

상기 제2메일 처리부(106)는 상기 메일정보에 포함된 메일발신정보(MailFrom) 및 헤더정보에 기록된 계정 및 식별정보 및 도메인이 모두 동일하면, 상기 메일정보에 따른 메일을 안전한 정상적인 메일로 분류하여 수신처리하여 메일 이용자로 제공한다(320단계). The second mail processing unit 106 classifies the mail according to the mail information as safe and normal mail if the account, identification information, and domain recorded in the mail sending information (MailFrom) and header information included in the mail information are all the same. It is received, processed, and provided to mail users (step 320).

상기 도 3을 참조하면 상기 메일 시스템(100)의 제3메일 처리부(108)는 스케줄러 정보를 독출하여 미리 정해둔 시기가 도래하면(400,402단계), 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일에 대한 차단리스트 정보를 관리자 단말기 등을 통해 출력한다(404단계). 상기 차단리스트 정보의 출력후에, 상기 제3메일 처리부(108)는 관리자 단말기를 통해 관리자가 검토한 결과에 따른 메일정보 확인정보를 제공받아(408단계) 해킹메일과 정상메일로 분류하고(410단계), 해킹메일에 대해서는 차단 및 신고 등의 해킹메일 처리를 이행하고(414단계), 정상메일에 대해서는 메일 이용자에게 제공한다(412단계). Referring to FIG. 3, the third mail processing unit 108 of the mail system 100 reads the scheduler information and when a predetermined time arrives (steps 400 and 402), the unfamily predicted as a hacking mail according to social engineering techniques The block list information for the e-mail is output through the administrator terminal, etc. (step 404). After outputting the block list information, the third mail processing unit 108 receives mail information confirmation information according to the results of the administrator's review through the administrator terminal (step 408) and classifies it into hacked mail and normal mail (step 410). ), processing of hacked emails, such as blocking and reporting, is performed (step 414), and normal emails are provided to mail users (step 412).

상기한 바와 같이 본 발명은 메일 시스템의 계정 및 식별정보는 메일 시스템에서 유일하므로 메일의 계정이나 식별정보를 사칭하더라도 모두 동일할 수는 없다는 점을 이용하여 메일의 계정이나 식별정보와 도메인 중 어느 하나라도 상이하면 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일로 판단함으로써 해킹위험이 존재하는 메일이 메일 이용자에게 전달되지 않게 제한한다. As mentioned above, the present invention takes advantage of the fact that the account and identification information of the mail system are unique in the mail system, so even if the account or identification information of the mail is impersonated, they cannot all be the same, and any one of the account or identification information of the mail and the domain is used. Even if there is a difference, it is judged to be an unfamiliar email predicted to be a hacking email based on social engineering techniques, thereby restricting emails with a risk of hacking from being delivered to mail users.

상기한 바와 달리 이전에 수신된 메일과 미리 정해둔 비율이상 유사한 메일을 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일로 판단할 수도 있으며, 이러한 본 발명의 바람직한 제2실시예에 따르는 사회공학기법에 따른 메일 공격을 탐지하는 방법을 도 4를 참조하여 설명한다. 상기의 도 4를 참조하면, 상기의 제2메일 처리부(106)는 제1메일 처리부(104)가 SPF 정책, 수신허용 메일주소록 등을 토대로 신뢰메일로 분류한 메일정보를 제공하면(300단계), 메일정보를 확인하여(502단계), 이전에 수신된 메일에 대한 메일정보들과 계정 및 식별정보 및 도메인 중 어느 하나라도 상이한 새로운 메일인지를 체크한다(504단계). 상기 메일정보에 따른 메일이 이전에 수신된 메일에 대한 메일정보들과 계정 및 식별정보 및 도메인 중 어느 하나라도 상이한 새로운 메일이면, 상기 제2메일 처리부(106)는 이전에 수신된 메일에 대한 메일정보들과 비교하여, 새로이 제공받은 메일정보에 따른 메일의 계정 및 식별정보 및 메일내용과 유사한 이전에 수신된 메일을 검출하고, 검출된 메일과의 유사비율이 미리 정해둔 범위에 속하는지를 체크한다(508단계). Unlike the above, mail that is similar to a previously received mail by a predetermined ratio or more may be judged to be an unfamiliar mail predicted to be a hacked mail based on social engineering techniques, and the society according to the second preferred embodiment of the present invention A method for detecting email attacks based on engineering techniques will be described with reference to FIG. 4. Referring to FIG. 4, the second mail processing unit 106 provides mail information classified as trusted mail by the first mail processing unit 104 based on the SPF policy, permitted email address book, etc. (step 300). , check the mail information (step 502), and check whether it is a new mail that is different from the mail information for previously received mail and any of the account, identification information, and domain (step 504). If the mail according to the mail information is a new mail that is different from the mail information for the previously received mail in any one of the account, identification information, and domain, the second mail processing unit 106 processes the mail for the previously received mail. By comparing the information, previously received mail that is similar to the account and identification information and mail contents of the mail according to the newly provided mail information is detected, and it is checked whether the similarity rate with the detected mail falls within a predetermined range. (Step 508).

상기 제2메일 처리부(106)는 이전에 수신한 메일의 메일정보 중 새로이 수신한 메일의 메일정보와 미리 정해둔 유사비율의 범위에 속하는 메일정보가 존재하면, 새로이 수신한 메일을 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일로 판단한다(510단계). If there is mail information among the mail information of the previously received mail that falls within a predetermined range of similarity ratio with the mail information of the newly received mail, the second mail processing unit 106 uses a social engineering technique to send the newly received mail. It is determined to be an unfamiliar email predicted as a hacked email (step 510).

상기한 바와 달리 이전에 수신한 메일의 메일정보 중 새로이 수신한 메일의 메일정보와 미리 정해둔 유사비율의 범위에 속하는 메일정보가 존재하지 않으면 해당 메일은 처음 수신한 메일임에도 불구하고 안전한 정상적인 메일로 판단하여 메일 이용자에게 제공한다(512단계). Contrary to the above, if there is no mail information among the mail information of the previously received mail that falls within the range of a predetermined similarity ratio with the mail information of the newly received mail, the mail is considered safe and normal mail even though it is the first mail received. It is judged and provided to the mail user (step 512).

위에서 설명된 본 발명의 실시예는 예시의 목적을 위해 개시된 것이고, 본 발명에 대한 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 사상과 범위 안에서 다양한 수정, 변경 및 부가가 가능할 것이며, 이러한 수정, 변경 및 부가는 본 특허청구범위에 속하는 것으로 보아야 할 것이다.The embodiments of the present invention described above have been disclosed for illustrative purposes, and those skilled in the art will be able to make various modifications, changes, and additions within the spirit and scope of the present invention, and such modifications , changes and additions should be regarded as falling within the scope of this patent claim.

100 : 메일 시스템
102 : 메일 수신부
104 : 제1메일 처리부
106 : 제2메일 처리부
108 : 제3메일 처리부100: Mail system
102: Mail receiver
104: First mail processing unit
106: Second mail processing unit
108: Third mail processing unit

Claims (10)

발신측 메일 시스템이 송신한 메일을 수신하여 메일정보를 출력하는 메일 수신부;
상기 메일 수신부로부터의 메일정보를 제공받아 SPF 정책에 따르는 신뢰메일인지 체크하여 신뢰메일과 비신뢰메일로 분류하고 상기 신뢰메일에 대한 메일정보를 출력하는 제1메일 처리부;
상기 제1메일 처리부로부터 상기 신뢰메일에 대한 메일정보가 제공되면,
1차적으로 상기 메일정보의 메일발신정보에 기록된 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과는 상이한지를 체크하여,
상기 계정 및 식별정보 및 도메인 중 어느 하나라도 상이하면 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일로 분류하고,
반대로 상기 계정 및 식별정보 및 도메인이 모두 동일하면, 2차적으로 상기메일정보의 헤더정보에 기록된 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과 상이한지를 체크하여, 상기 계정 및 식별정보 및 도메인 중 어느 하나라도 상이하면 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일로 분류하고,
상기 메일정보의 메일발신정보 및 헤더정보에 기록된 계정 및 식별정보 및 도메인이 모두 동일하면 정상메일로 분류하는 제2메일 처리부; 및
스케줄러 정보를 독출하여 미리 정해둔 주기마다 상기 언페밀리어 메일에 대한 차단리스트 정보를 관리자 단말기로 제공하고, 상기 관리자 단말기로부터 상기 차단 리스트 정보에 대해 해킹메일과 정상메일로 분류된 결과정보를 제공받아, 상기 해킹메일은 차단 및 신고 처리하고, 상기 정상메일은 수신자 단말기로 제공하는 제3메일 처리부;를 포함하며,
상기 사회공학적 기법에 따른 해킹 메일은 인간의 신뢰를 악용하여 기존에 소통된 계정과 유사하거나 친근한 계정으로 위조된 것이고,
상기 제2메일 처리부는,
상기 제1메일 처리부로부터 상기 신뢰메일에 대한 메일정보가 제공되면,
3차적으로 상기 메일정보에 기록된 메일의 내용이, 이전에 수신된 메일에 대한 메일정보들에 기록된 메일의 내용과 미리 정해둔 범위에 속하는 비율만큼 유사한지 여부를 토대로 상기 언페밀리어 메일로 판별하는 것을 특징으로 하는 사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 메일 시스템. A mail receiving unit that receives mail sent by the sender's mail system and outputs mail information;
a first mail processing unit that receives mail information from the mail receiver, checks whether the mail is trusted according to the SPF policy, classifies it into trusted mail and untrusted mail, and outputs mail information about the trusted mail;
When mail information for the trusted mail is provided from the first mail processing unit,
First, check whether any of the account, identification information, and domain recorded in the mail sending information of the mail information is different from previously received mails,
If any of the above account, identification information, and domain are different, the email is classified as an unfamiliar email predicted to be a hacked email based on social engineering techniques.
Conversely, if the account, identification information, and domain are all the same, it is secondarily checked to see if any of the account, identification information, and domain recorded in the header information of the mail information is different from previously received mails, and the account and If any of the identification information and domain are different, it is classified as an unfamiliar email predicted to be a hacking email based on social engineering techniques.
a second mail processing unit that classifies the mail as normal if the account, identification information, and domain recorded in the mail sending information and header information of the mail information are all the same; and
Scheduler information is read and block list information for the unfamiliar mail is provided to the administrator terminal at predetermined intervals, and result information classified into hacked mail and normal mail is provided from the administrator terminal for the block list information. , a third mail processing unit that blocks and reports the hacked mail and provides the normal mail to the recipient terminal;
Hacking emails based on the above social engineering techniques are forged into accounts similar to or familiar to previously communicated accounts by abusing human trust.
The second mail processing unit,
When mail information for the trusted mail is provided from the first mail processing unit,
Thirdly, the unfamiliar mail is sent based on whether the content of the mail recorded in the mail information is similar to the content of the mail recorded in the mail information for previously received mail to the extent that it falls within a predetermined range. A mail system that detects mail attacks sent through accounts created using social engineering techniques, which are characterized by identifying mail attacks. 발신측 메일 시스템과 관리자 단말기와 수신자 단말기와 네트워크로 연결된 메일 시스템에서 메일공격을 탐지하는 방법에 있어서,
상기 메일 시스템은,
(a) 상기 발신측 메일 시스템이 송신한 메일을 수신하여 메일정보를 출력하는 단계;
(b) 상기 (a) 단계에서 상기 메일정보를 제공받아 SPF 정책에 따르는 신뢰메일인지 체크하여 신뢰메일을 분류하고 신뢰메일에 대한 메일정보를 출력하는 단계; 및
(c) 상기 (b) 단계에서 상기 신뢰메일에 대한 메일정보가 제공되면,
1차적으로 상기 메일정보의 메일발신정보에 기록된 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과는 상이한지를 체크하여,
상기 계정 및 식별정보 및 도메인 중 어느 하나라도 상이하면 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일로 분류하고,
반대로 상기 계정 및 식별정보 및 도메인이 모두 동일하면, 2차적으로 상기메일정보의 헤더정보에 기록된 계정 및 식별정보 및 도메인 중 어느 하나라도 이전에 수신한 메일들과 상이한지를 체크하여, 상기 계정 및 식별정보 및 도메인 중 어느 하나라도 상이하면 사회공학적 기법에 따른 해킹메일로 예측된 언페밀리어 메일로 분류하고,
상기 메일정보의 메일발신정보 및 헤더정보에 기록된 계정 및 식별정보 및 도메인이 모두 동일하면 정상메일로 분류하는 단계; 및
(d) 스케줄러 정보를 독출하여 미리 정해둔 주기마다 상기 (c) 단계에서 상기 언페밀리어 메일에 대한 차단리스트 정보를 상기 관리자 단말기로 제공하고, 상기 관리자 단말기로부터 상기 차단 리스트 정보에 대해 해킹메일과 정상메일로 분류된 결과정보를 제공받아, 상기 해킹메일은 차단 및 신고 처리하고, 상기 정상메일은 상기 수신자 단말기로 제공하는 단계;를 포함하며,
상기 사회공학적 기법에 따른 해킹 메일은 인간의 신뢰를 악용하여 기존에 소통된 계정과 유사하거나 친근한 계정으로 위조된 것이고,
(e) 상기 (c) 단계에서, 상기 신뢰메일에 대한 메일정보가 제공되면,
3차적으로 상기 메일정보에 기록된 메일의 내용이, 이전에 수신된 메일에 대한 메일정보들에 기록된 메일의 내용과 미리 정해둔 범위에 속하는 비율만큼 유사한지 여부를 토대로 상기 언페밀리어 메일로 판별하는 단계를 더 포함하는 것을 특징으로 하는 사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 방법.In a method of detecting a mail attack in a mail system connected to a network with the sender's mail system, the administrator's terminal, and the recipient's terminal,
The mail system is,
(a) receiving mail sent by the sender's mail system and outputting mail information;
(b) receiving the mail information provided in step (a), checking whether the mail is trusted according to the SPF policy, classifying the trusted mail, and outputting mail information about the trusted mail; and
(c) If mail information for the trusted mail is provided in step (b) above,
First, check whether any of the account, identification information, and domain recorded in the mail sending information of the mail information is different from previously received mails,
If any of the above account, identification information, and domain are different, the email is classified as an unfamiliar email predicted to be a hacked email based on social engineering techniques.
Conversely, if the account, identification information, and domain are all the same, it is secondarily checked to see if any of the account, identification information, and domain recorded in the header information of the mail information is different from previously received mails, and the account and If any of the identification information and domain are different, it is classified as an unfamiliar email predicted to be a hacking email based on social engineering techniques.
classifying the mail as normal if the account, identification information, and domain recorded in the mail sending information and header information of the mail information are all the same; and
(d) Reading the scheduler information and providing block list information for the unfamiliar mail in step (c) to the administrator terminal at a predetermined period, and sending hacking mail and hacking information about the block list information from the administrator terminal. A step of receiving result information classified as normal mail, blocking and reporting the hacked mail, and providing the normal mail to the recipient terminal,
Hacking emails based on the above social engineering techniques are forged into accounts similar to or familiar to previously communicated accounts by abusing human trust.
(e) In step (c) above, if mail information for the trusted mail is provided,
Thirdly, the unfamiliar mail is sent based on whether the content of the mail recorded in the mail information is similar to the content of the mail recorded in the mail information for previously received mail to the extent that it falls within a predetermined range. A method for detecting email attacks sent through an account created using a social engineering technique, further comprising a determination step. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020230028001A 2023-03-02 2023-03-02 Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly Active KR102684949B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230028001A KR102684949B1 (en) 2023-03-02 2023-03-02 Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230028001A KR102684949B1 (en) 2023-03-02 2023-03-02 Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly

Publications (2)

Publication Number Publication Date
KR102684949B1 true KR102684949B1 (en) 2024-07-15
KR102684949B9 KR102684949B9 (en) 2024-12-10

Family

ID=91949802

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230028001A Active KR102684949B1 (en) 2023-03-02 2023-03-02 Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly

Country Status (1)

Country Link
KR (1) KR102684949B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160018218A (en) 2014-08-08 2016-02-17 김충한 E-mail recieving system and mail sending system
WO2019054526A1 (en) * 2017-09-12 2019-03-21 (주)지란지교시큐리티 Method for managing spam mail
KR102164338B1 (en) 2020-02-11 2020-10-28 (주)리투인소프트웨어 E-mail Security System to Prevent Sender Impersonation and Method thereof
KR20210134648A (en) * 2019-03-01 2021-11-10 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 Email Security Analysis
KR102464629B1 (en) * 2020-12-21 2022-11-09 (주)기원테크 Device and its operation methods for providing E-mail security service using hierarchical architecture based on security level

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160018218A (en) 2014-08-08 2016-02-17 김충한 E-mail recieving system and mail sending system
WO2019054526A1 (en) * 2017-09-12 2019-03-21 (주)지란지교시큐리티 Method for managing spam mail
KR20210134648A (en) * 2019-03-01 2021-11-10 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 Email Security Analysis
KR102164338B1 (en) 2020-02-11 2020-10-28 (주)리투인소프트웨어 E-mail Security System to Prevent Sender Impersonation and Method thereof
KR102464629B1 (en) * 2020-12-21 2022-11-09 (주)기원테크 Device and its operation methods for providing E-mail security service using hierarchical architecture based on security level

Also Published As

Publication number Publication date
KR102684949B9 (en) 2024-12-10

Similar Documents

Publication Publication Date Title
US12316591B2 (en) Multi-level security analysis and intermediate delivery of an electronic message
US11595354B2 (en) Mitigating communication risk by detecting similarity to a trusted message contact
US10834127B1 (en) Detection of business email compromise attacks
KR101476611B1 (en) Electronic message authentication
AU2008207926B2 (en) Correlation and analysis of entity attributes
US8756289B1 (en) Message authentication using signatures
US12101284B2 (en) Computerized system for analysis of vertices and edges of an electronic messaging system
US20230007011A1 (en) Method and system for managing impersonated, forged/tampered email
KR102684949B1 (en) Method of detecting for mail attacks sent through accounts created by social engineering techniques and mail system accordingly
WO2018081016A1 (en) Multi-level security analysis and intermediate delivery of an electronic message
Cook et al. Phishwish: a simple and stateless phishing filter
Chauhan et al. Effectiveness of anti-spoofing protocols for email authentication
KR20240166328A (en) Method of detecting mail attacks according to social engineering techniques and mail system accordingly
Rahalkar et al. Sok: content moderation schemes in end-to-end encrypted systems
US11916873B1 (en) Computerized system for inserting management information into electronic communication systems
KR102728747B1 (en) A email security system for preventing targeted email attacks processing a detection of social engineering attacks
JP7641410B2 (en) Email security system for blocking and responding to targeted email attacks that inspect for unauthorized email server access attacks and method of operation thereof
US20240214336A1 (en) Computerized system for dynamic image inclusion in an electronic message
US20240054214A1 (en) Computerized system for autonomous detection of unauthorized access according to outbound addresses
Sakuraba et al. Sender Reputation Construction method using Sender Authentication
Vorakulpipat et al. Safeguarding Devices and Edge Computing: A Responsive Anti-Scam Approach
Alhaj et al. A Predictive Technique using Random Forest Classifier for Phishing Malicious Attack
KR20250024491A (en) Security framework system for detecting targeted email attacks
Sibi Chakkaravarthy et al. A Comprehensive Examination of Email Spoofing: Issues and Prospects for Email Security

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20230302

PA0201 Request for examination

Patent event code: PA02011R01I

Patent event date: 20230302

Comment text: Patent Application

PA0302 Request for accelerated examination

Patent event date: 20230309

Patent event code: PA03022R01D

Comment text: Request for Accelerated Examination

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20230508

Patent event code: PE09021S01D

PE0601 Decision on rejection of patent

Patent event date: 20230926

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

PX0901 Re-examination

Patent event code: PX09012R01I

Patent event date: 20240125

Comment text: Amendment to Specification, etc.

PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20240416

Patent event code: PE09021S01D

PX0701 Decision of registration after re-examination

Patent event date: 20240703

Comment text: Decision to Grant Registration

Patent event code: PX07013S01D

X701 Decision to grant (after re-examination)
GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20240710

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20240710

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PG1701 Publication of correction