SNAPSHOT PHISHING DETECTION AND THREAT ANALYSIS

• Main Authors: MAISURIA, Paresh, PAREGOV, Svetoslav Georgiev, BEREJAN, Cristian C, MURILLO, Richard Joseph, SAGAR, Abhishek, WEBER, Jason Joseph, STOCKWELL, Christian, ANGELES, Millen May T, HAMILTON, Sinclaire Renee, MCCORMACK, Michael David, FORTINI, Mara Beth, GAJJAR, Devanshi M, GHEVONDYAN, Nerses, CHOWDHARY, Shreya Salikram, PULLEN, Fredric W, STREMPLER, Charles J, CATLIN, Brian Keith
• Format: Patent
• Language: English; French
• Published: 26.09.2024
• Subjects: CALCULATING; COMPUTER SYSTEMS BASED ON SPECIFIC COMPUTATIONAL MODELS; COMPUTING; COUNTING; ELECTRIC COMMUNICATION TECHNIQUE; ELECTRIC DIGITAL DATA PROCESSING; ELECTRICITY; PHYSICS; TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION

Embodiments of the technology described herein identify and mitigate phishing attempts by analyzing user input received at the operating system level. Initially, a credential, such as a username or password, is registered with the threat detection system. The technology described herein intercepts user input at the operating system level, generates a hash of the input, and compares it with a hash of a credential being monitored. The technology described herein will perform a threat assessment when a secret entry is detected. The threat assessment may use the application context and the network context as inputs to the assessment. When the threat assessment results in an unknown classification or when the snapshot is otherwise requested, a snapshot is captured to supplement the threat assessment. Based on user settings, the snapshot is consumed by a snapshot phishing machine learning model. Various mitigation actions may be taken when a threat is detected. Des modes de réalisation de la technologie de l'invention identifient et minimisent des tentatives d'hameçonnage par analyse d'une entrée d'utilisateur reçue au niveau du système d'exploitation. Initialement, un justificatif d'identité tel qu'un nom d'utilisateur ou un mot de passe, est enregistré dans le système de détection de menace. La technologie selon la présente invention intercepte l'entrée utilisateur au niveau du système d'exploitation, génère un hachage de l'entrée et le compare à un hachage d'un justificatif d'identité en train d'être vérifié. La technologie selon la présente invention effectuera une évaluation de la menace lorsqu'une entrée secrète est détectée. L'évaluation de la menace peut utiliser le contexte de l'application et le contexte du réseau en tant qu'entrées dans l'évaluation. Lorsque l'évaluation de menace se traduit par une classification inconnue ou lorsque l'instantané est autrement demandé, un instantané est capturé pour compléter l'évaluation de menace. Sur la base de réglages d'utilisateur, l'instantané est analysé par un modèle d'apprentissage automatique d'hameçonnage par instantané. Diverses actions de lutte peuvent être menées lorsqu'une menace est détectée.