Обнаружение фишинговых доменных имен и тайпсквоттинга по мерам схожести строк

Часто злоумышленники регистрируют для фишинговых сайтов домены, незначительно отличающиеся от легитимных. Для этого в легитимные доменные имена вносятся слабозаметные изменения: перестановки, замены, удаления, лишние символы, опечатки. Для обнаружения таких фишинговых доменов предлагается способ, основанный на применении мер текстовой схожести строк (сходство Джаро, расстояние Левенштейна и др.). Этот метод позволяет имитировать поведение злоумышленников — предварительно создавать список защищаемых легитимных доменных имен и генерировать на его основе множество псевдофишинговых доменов. Покажем на примере, как с высокой точностью обнаруживать поддельные сайты и определять то легитимное доменное имя, под которое подделан фишинговый домен.