Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Не путать с рыбалкой или рыбной ловлей .
Дополнительные сведения о попытках фишинга, связанных с Википедией , см. В разделе « Википедия: фишинговые электронные письма» .
Пример фишингового письма, замаскированного под официальное письмо от (вымышленного) банка. Отправитель пытается обманом заставить получателя раскрыть конфиденциальную информацию, «подтверждая» ее на веб-сайте фишера. Обратите внимание на орфографические ошибки слов , полученных и несоответствие , как получили и discrepency , соответственно. Более поздняя версия от 2014 года правильно записывает вышеупомянутые слова с ошибками. Хотя текст ссылки является URL-адресом веб-страницы банка , сама ссылка указывает на веб-страницу фишера.
Часть серии по
Информационная безопасность
Связанные категории безопасности
Угрозы
Защиты
  • Обнаружение аномалий
  • Контроль доступа к компьютеру
  • Безопасность приложений
    • Антивирусное программное обеспечение
    • Программное обеспечение компьютерной безопасности
    • Безопасное кодирование
    • Безопасность по умолчанию
    • Безопасность благодаря дизайну
      • Случай неправильного использования
    • Операционная система, ориентированная на безопасность
  • Аутентификация
    • Многофакторная аутентификация
  • Авторизация
  • Безопасность, ориентированная на данные
  • Обфускация кода
  • Шифрование
  • Брандмауэр
  • Система обнаружения вторжений
    • Система обнаружения вторжений на основе хоста (HIDS)
  • Информация о безопасности и управление событиями
  • Мобильный безопасный шлюз
  • Самозащита рабочего приложения
  • Безопасность веб-приложений
  • v
  • т
  • е

Фишинг - это мошенническая попытка получить конфиденциальную информацию или данные, такие как имена пользователей, пароли и данные кредитной карты или другие конфиденциальные данные, выдавая себя за надежную организацию в цифровом сообщении . [1] [2] Как правило , осуществляется по электронной почте подмены , [3] мгновенного обмена сообщениями , [4] и текстовых сообщений, фишинга часто направляет пользователям вводить личную информацию на веб - сайте фальшивой , которая соответствует внешний вид и легитимного сайта. [5]

Фишинг - это пример методов социальной инженерии , используемых для обмана пользователей. Пользователи Манит связи, представляемая из доверенных лиц , таких как веб - сайты социальных сетей , сайты аукционов , банков, почты / сообщений от друзей или коллег / руководителей, онлайновых платежных систем или ИТ - администраторов. [6]

Попытки справиться с фишинговыми инцидентами включают законодательство , обучение пользователей, информирование общественности и технические меры безопасности (последние из-за фишинговых атак, часто использующих слабые места в текущей веб-безопасности). [7]

Слово создаются как омофонном и сенсационное правописании на рыбалку , под влиянием фрикинга . [8] [9]

Типы [ править ]

Целевой фишинг [ править ]

Попытки фишинга, направленные на конкретных лиц или компании, известны как целевой фишинг . [10] В отличие от массового фишинга злоумышленники с целевым фишингом часто собирают и используют личную информацию о своей цели, чтобы увеличить вероятность успеха атаки. [11] [12] [13] [14]

Первое исследование социального фишинга, типа целевой фишинг-атаки, использующей информацию о дружбе из социальных сетей, дало более 70% успешных экспериментов. [15]

Внутри организаций целевой фишинг нацелен на сотрудников, обычно руководителей или сотрудников финансовых отделов, имеющих доступ к конфиденциальным финансовым данным и услугам организации.

Threat Group-4127 (Fancy Bear) использовала тактику целевого фишинга для нацеливания на учетные записи электронной почты, связанные с президентской кампанией Хиллари Клинтон в 2016 году. Они атаковали более 1800 учетных записей Google и внедрили домен accounts-google.com, чтобы угрожать целевым пользователям. [16] [17]

Китобойный промысел [ править ]

Термин « китобойный промысел» относится к целевым фишинговым атакам, направленным конкретно на руководителей высшего звена и других крупных целей. [18] Контент, скорее всего, будет ориентирован на руководителя высшего звена и его роль в компании - например, повестка в суд или жалоба клиента. [19]

Кетфишинг и кетфишинг [ править ]

Катфишинг (пишется с помощью «ph») - это тип онлайн-обмана, который включает в себя близкое знакомство с кем-либо, чтобы получить доступ к информации или ресурсам, обычно находящимся под контролем знака, или иным образом получить контроль над поведением цель.

Кэтфишинг (пишется с буквой «f»), похожая, но отличная от других концепция, включает в себя человека, создающего присутствие в социальной сети в качестве марионетки в носке или вымышленного человека, чтобы вовлечь кого-то в (обычно) романтические отношения. Обычно это начинается в Интернете, с надежды или обещания перерасти в реальный роман. Это никогда не является целью преступника; как правило, они стремятся получить доступ к деньгам или ресурсам марки или получить подарки или иное вознаграждение от жертвы. Иногда это может быть форма корыстного привлечения внимания. [20]

Клонировать фишинг [ править ]

Клонирующий фишинг - это тип фишинг-атаки, при котором у законного и ранее доставленного электронного письма, содержащего вложение или ссылку, были взяты его содержание и адрес (а) получателя, которые использовались для создания почти идентичного или клонированного электронного письма. Вложение или ссылка в электронном письме заменяется вредоносной версией, а затем отправляется с поддельного адреса электронной почты, который выглядит как исходящий от исходного отправителя. Он может претендовать на повторную отправку оригинала или обновленной версии на оригинал. Обычно для этого требуется, чтобы отправитель или получатель были ранее взломаны, чтобы злонамеренная третья сторона могла получить законную электронную почту. [21] [22]

Аудиторские фирмы и бухгалтеры часто становятся объектами фишинга. Обычно это происходит по электронной почте, поэтому анализ текста - распространенный способ анализа фишинговых писем. [23]

Голосовой фишинг [ править ]

Основная статья: Голосовой фишинг

Не для всех фишинговых атак требуется поддельный веб-сайт. В сообщениях, которые якобы были отправлены из банка, пользователям предлагалось набрать номер телефона по поводу проблем с их банковскими счетами. [24] После того, как телефонный номер (принадлежащий фишеру и предоставленный услугой передачи голоса по IP ) был набран, пользователям предлагалось ввести номера своих учетных записей и PIN-код. Вишинг (голосовой фишинг) иногда использует поддельные данные идентификатора вызывающего абонента, чтобы создать впечатление, что звонки поступают из доверенной организации. [25]

В 2020 году автоматический голосовой звонок был отправлен сотням тысяч канадцев, выдававших себя за Налоговое управление Канады, в попытке вымогать деньги у людей, которых заставили поверить в то, что они задолжали правительственные деньги. Тем, кто с большим подозрением отнесется к звонку, угрожала бы арестом Королевская канадская конная полиция . Эта вишинговая кампания успешно обманула канадцев (многие из которых являются пожилыми людьми) на сотни тысяч долларов. [26]

SMS-фишинг [ править ]

SMS-фишинг [27] или смишинг [28] использует текстовые сообщения сотового телефона, чтобы доставить приманку, чтобы побудить людей раскрыть свою личную информацию. [29] [30] [31] [32] Smishing-атаки обычно предлагают пользователю щелкнуть ссылку, позвонить по номеру телефона или связаться с адресом электронной почты, предоставленным злоумышленником в SMS-сообщении. Затем жертве предлагается предоставить свои личные данные; часто учетные данные для других веб-сайтов или служб. Кроме того, из-за особенностей мобильных браузеров URL-адреса могут отображаться не полностью; это может затруднить идентификацию незаконной страницы входа в систему. [33] Поскольку рынок мобильных телефонов сейчас насыщенНа всех смартфонах с быстрым подключением к Интернету вредоносная ссылка, отправленная по SMS, может дать тот же результат, что и по электронной почте . Сочинительные сообщения могут приходить с телефонных номеров в странном или неожиданном формате. [34]

В июне 2018 года Агентство социальных услуг округа Ориндж (SSA) предупредило жителей о мошенничестве с текстовыми сообщениями, которое пытается получить информацию о держателях карт клиентов CalWORKs, CalFresh и General Relief по всей Калифорнии. [35]

Методы [ править ]

Манипуляции со ссылками [ править ]

Большинство видов фишинга используют те или иные формы технического обмана, предназначенные для того, чтобы сделать ссылку в электронном письме (и поддельный веб-сайт, на который она ведет), похоже, принадлежащей поддельной организации . [36] Ошибки в написании URL-адресов или использование поддоменов - распространенные уловки, используемые фишерами. В следующем примере URL-адреса, http://www.yourbank.example.com/похоже, что URL-адрес приведет вас в раздел примера на веб- сайте yourbank ; фактически этот URL-адрес указывает на раздел " yourbank " (т. е. фишинг) на примере веб-сайта. Другой распространенный прием - сделать отображаемый текст для ссылки (текст между тегами <A>) подскажет надежный пункт назначения, когда ссылка действительно ведет на сайт фишеров. Многие настольные почтовые клиенты и веб-браузеры будут отображать целевой URL-адрес ссылки в строке состояния при наведении на нее указателя мыши . Однако в некоторых случаях такое поведение может быть отменено фишером. [37] Эквивалентные мобильные приложения обычно не имеют этой функции предварительного просмотра.

Многоязычные доменные имена (IDN) могут быть использованы с помощью IDN подмены [38] или омограф атаки , [39] для создания вебов - адресов визуально идентичных законного сайт, которые приводят вместо вредоносной версии. Фишеры воспользовались аналогичным риском, используя открытые перенаправители URL-адресов на веб-сайтах доверенных организаций, чтобы замаскировать вредоносные URL-адреса с помощью доверенного домена. [40] [41] [42] Даже цифровые сертификаты не решают эту проблему, потому что фишер вполне может приобрести действующий сертификат и впоследствии изменить контент, чтобы подделать подлинный веб-сайт или разместить фишинговый сайт без SSL по адресу все. [43]

Уклонение от фильтров [ править ]

Иногда фишеры использовали изображения вместо текста, чтобы антифишинговым фильтрам было сложнее обнаружить текст, обычно используемый в фишинговых письмах. [44] В ответ более сложные антифишинговые фильтры могут восстанавливать скрытый текст на изображениях с помощью оптического распознавания символов (OCR). [45]

Чтобы избежать методов защиты от фишинга, которые сканируют веб-сайты на наличие текста, связанного с фишингом, фишеры иногда используют Adobe Flash (метод, известный как флешинг). Они очень похожи на настоящий веб-сайт, но скрывают текст в мультимедийном объекте. [46]

Подделка веб-сайтов [ править ]

Некоторые фишинговые мошенники используют команды JavaScript для изменения адресной строки веб-сайта, на который они ведут. [47] Это делается либо путем размещения изображения законного URL-адреса над адресной строкой, либо путем закрытия исходной панели и открытия новой с допустимым URL-адресом. [48]

Злоумышленник также потенциально может использовать уязвимости в собственных скриптах доверенного веб-сайта против жертвы. [49] Эти типы атак, известные как межсайтовые сценарии (XSS), особенно проблематичны, потому что они заставляют пользователя войти в систему на собственной веб-странице своего банка или службы, где все, от веб-адреса до сертификатов безопасности, отображается правильно. . На самом деле ссылка на веб-сайт создана для проведения атаки, поэтому ее очень сложно обнаружить без специальных знаний. Такой недостаток был использован в 2006 году против PayPal . [50]

Скрытое перенаправление [ править ]

Скрытое перенаправление - это тонкий метод фишинговых атак, при котором ссылки выглядят законными, но фактически перенаправляют жертву на веб-сайт злоумышленника. Уязвимость обычно маскируется под всплывающим окном входа в систему на основе домена затронутого сайта. [51] Это может повлиять на OAuth 2.0 и OpenID на основе хорошо известных параметров эксплойта. При этом часто используются открытые перенаправления и XSS- уязвимости на веб-сайтах сторонних приложений. [52] Пользователи также могут быть перенаправлены на фишинговые веб-сайты через вредоносные расширения браузера. [53]

Обычные попытки фишинга легко обнаружить, поскольку URL-адрес вредоносной страницы обычно отличается от реальной ссылки на сайт. Для скрытого перенаправления злоумышленник может вместо этого использовать реальный веб-сайт, повредив его с помощью вредоносного всплывающего диалогового окна входа в систему. Это отличает скрытое перенаправление от других. [54] [55]

Например, предположим, что жертва нажимает вредоносную фишинговую ссылку, начинающуюся с Facebook . Всплывающее окно от Facebook спросит, хочет ли жертва авторизовать приложение. Если жертва решит авторизовать приложение, злоумышленнику будет отправлен «токен», и личная конфиденциальная информация жертвы может быть раскрыта. Эта информация может включать адрес электронной почты, дату рождения, контакты и историю работы. [52] Если «токен» имеет более высокие привилегии, злоумышленник может получить более конфиденциальную информацию, включая почтовый ящик, присутствие в сети и список друзей. Что еще хуже, злоумышленник может контролировать учетную запись пользователя и управлять ею . [56]Даже если жертва не решит авторизовать приложение, она все равно будет перенаправлена ​​на веб-сайт, контролируемый злоумышленником. Это потенциально может еще больше поставить под угрозу жертву. [57]

Эта уязвимость была обнаружена Ван Цзином, доктором математических наук. студент школы физико-математических наук Технологического университета Наньян в Сингапуре. [58] Скрытое перенаправление является заметным недостатком безопасности, хотя и не представляет угрозы для Интернета, заслуживающей особого внимания. [59]

Социальная инженерия [ править ]

Большинство видов фишинга включают в себя какую-то социальную инженерию , при которой пользователями психологически манипулируют для выполнения таких действий, как щелчок по ссылке, открытие вложения или разглашение конфиденциальной информации.

Пользователи могут быть поощрены нажимать на различного рода неожиданный контент по разным техническим и социальным причинам. Например, вредоносное вложение может маскироваться под файл Google Doc, связанный с ним . [60]

В качестве альтернативы пользователи могут быть возмущены фейковой новостью , щелкнуть ссылку и заразиться. [61]

Другие методы [ править ]

  • Другая успешно используемая атака - перенаправить клиента на законный веб-сайт банка, а затем разместить всплывающее окно с запросом учетных данных вверху страницы таким образом, чтобы многие пользователи думали, что банк запрашивает эту конфиденциальную информацию. [62]
  • Tabnabbing использует преимущества просмотра с вкладками, с несколькими открытыми вкладками. Этот метод незаметно перенаправляет пользователя на уязвимый сайт. Этот метод работает в обратном направлении по сравнению с большинством методов фишинга, поскольку он не направляет пользователя напрямую на мошеннический сайт, а вместо этого загружает поддельную страницу на одной из открытых вкладок браузера.

История [ править ]

1980-е [ править ]

Техника фишинга подробно описывалась в документе и презентации, представленных Международной группе пользователей HP в 1987 году , Interex. [63]

1990-е [ править ]

Считается, что термин «фишинг» был придуман известным спамером и хакером в середине 90-х годов Ханом С. Смитом . [64] Первое зарегистрированное упоминание этого термина встречается в хакерском инструменте AOHell (по словам его создателя), который включает функцию попытки кражи паролей или финансовых данных пользователей America Online. [65] [66]

Ранний фишинг AOL [ править ]

Фишинг на AOL тесно связан с варез сообщества, обменен нелицензионного программного обеспечения и черную шляпу хакерство сцену, совершаемого мошенничества с кредитными картами и других онлайновых преступлений. Правоприменение AOL обнаружит слова, используемые в чатах AOL для приостановки аккаунтов лиц, причастных к подделке программного обеспечения и торговле украденными аккаунтами. Этот термин был использован потому, что «<> <» - это единственный наиболее распространенный тег HTML, который естественным образом обнаруживается во всех стенограммах чата и поэтому не может быть обнаружен или отфильтрован сотрудниками AOL. Символ <> <был заменен на любую формулировку, относящуюся к украденным кредитным картам, счетам или незаконной деятельности. Так как символ выглядел как рыба, и из-за популярности фрикингаон был адаптирован как «Фишинг». AOHell , выпущенная в начале 1995 года, представляла собой программу, предназначенную для взлома пользователей AOL, позволяя злоумышленнику выдавать себя за сотрудника AOL и отправлять мгновенное сообщение потенциальной жертве с просьбой раскрыть свой пароль. [67] Чтобы побудить жертву отказаться от конфиденциальной информации, сообщение может содержать такие императивы, как «подтвердить свою учетную запись» или «подтвердить платежную информацию».

Как только жертва раскрыла пароль, злоумышленник мог получить доступ к учетной записи жертвы и использовать ее в мошеннических целях. И для фишинга, и для варазинга на AOL обычно требовались специально написанные программы, такие как AOHell . Фишинг стал настолько распространенным в AOL, что они добавили строку во все мгновенные сообщения, в которой говорилось: «Никто, работающий в AOL, не будет запрашивать ваш пароль или платежную информацию». Пользователь, использующий одновременно учетную запись AIM и учетную запись AOL от интернет-провайдера, может фишинговать членов AOL с относительной безнаказанностью, поскольку интернет-аккаунты AIM могут использоваться участниками интернета, не являющимися членами AOL, и к ним не могут быть применены меры (т.е. действие). [68] [ тон ]. В конце 1995 года взломщики AOL прибегли к фишингу для получения законных учетных записей после того, как в конце 1995 года AOL приняла меры по предотвращению использования поддельных, алгоритмически сгенерированных номеров кредитных карт для открытия счетов. [69] В конце концов, политика AOL вынудила нарушить авторские права с серверов AOL, и AOL незамедлительно деактивировала учетные записи, участвующие в фишинге, часто до того, как жертвы успевали ответить. Из-за закрытия сцены варез на AOL большинство фишеров покинули сервис. [70]

2000-е [ править ]

  • 2001 г.
    • Первая известная прямая попытка взлома платежной системы затронула E-gold в июне 2001 года, за которой последовала «проверка удостоверений личности после 11 сентября » вскоре после атак 11 сентября на Всемирный торговый центр . [71]
  • 2003 г.
    • О первой известной фишинг-атаке на розничный банк сообщил The Banker в сентябре 2003 года. [72]
  • 2004 г.
    • По оценкам, с мая 2004 г. по май 2005 г. приблизительно 1,2 миллиона пользователей компьютеров в США понесли убытки, вызванные фишингом, на общую сумму около 929 миллионов долларов США . По оценкам, американские предприятия теряют около 2 миллиардов долларов США в год, поскольку их клиенты становятся жертвами. [73]
    • Фишинг считается полностью организованной частью черного рынка. В глобальном масштабе появились специализации, которые предоставляли фишинговое программное обеспечение для оплаты (тем самым передавая риски на аутсорсинг), которые собирались и внедрялись в фишинговые кампании организованными бандами. [74] [75]
  • 2005 г.
    • В Соединенном Королевстве убытки от мошенничества с использованием веб-банкинга - в основном от фишинга - почти удвоились до 23,2 млн фунтов стерлингов в 2005 году по сравнению с 12,2 млн фунтов стерлингов в 2004 году [76], в то время как каждый 20-й компьютерный пользователь заявил, что проиграл фишингу в 2005 году. . [77]
  • 2006 г.
    • Почти половина фишинговых краж в 2006 году была совершена группами, действующими через Российскую бизнес-сеть, базирующуюся в Санкт-Петербурге . [78]
    • Банки спорят с клиентами по поводу потерь от фишинга. Позиция, занятая британской банковской организацией APACS, заключается в том, что «клиенты также должны принимать разумные меры предосторожности ... чтобы они не были уязвимы для преступников». [79] Точно так же, когда первая волна фишинговых атак обрушилась на банковский сектор Ирландской Республики в сентябре 2006 года, Банк Ирландии первоначально отказался покрывать убытки, понесенные его клиентами, [80] хотя убытки в размере 113 000 евро были компенсированы. . [81]
    • Фишеры нацелены на клиентов банков и платежных онлайн-сервисов. Электронные письма, предположительно от налоговой службы США , использовались для сбора конфиденциальных данных от налогоплательщиков США. [82] Хотя первые такие примеры были отправлены без разбора в ожидании того, что некоторые из них будут получены клиентами данного банка или услуги, недавнее исследование показало, что фишеры в принципе могут определять, какие банки используют потенциальные жертвы, и атаковать поддельные электронные письма соответственно. [83]
    • Сайты социальных сетей являются основной целью фишинга, поскольку личные данные на таких сайтах могут быть использованы для кражи личных данных ; [84] в конце 2006 года компьютерный червь захватил страницы MySpace и изменил ссылки, чтобы направлять посетителей на веб-сайты, предназначенные для кражи данных для входа в систему. [85]
  • 2007 г.
    • 3,6 миллиона взрослых потеряли 3,2 миллиарда долларов США за 12 месяцев, закончившихся в августе 2007 года. [86] Microsoft утверждает, что эти оценки сильно преувеличены, и оценивает ежегодные потери от фишинга в США в 60 миллионов долларов США . [87]
    • Злоумышленники, которые взломали базу данных TD Ameritrade и взяли 6,3 миллиона адресов электронной почты (хотя они не смогли получить номера социального страхования, номера счетов, имена, адреса, даты рождения, номера телефонов и торговые операции), также хотели получить имена пользователей учетной записи и пароли, поэтому они начали последующую целевую фишинговую атаку. [88]
  • 2008 г.
    • Сайт RapidShare для обмена файлами стал объектом фишинга для получения премиум-аккаунта, который снимает ограничения скорости загрузки, автоматическое удаление загрузок, ожидание загрузки и время охлаждения между загрузками. [89]
    • Криптовалюты, такие как Биткойн, облегчают продажу вредоносного программного обеспечения, делая транзакции безопасными и анонимными. [ необходима цитата ]
  • 2009 г.
    • В январе 2009 года в результате фишинговой атаки были осуществлены несанкционированные банковские переводы на сумму 1,9 миллиона долларов США через банковские онлайн-счета Experi-Metal.
    • В третьем квартале 2009 года Рабочая группа по борьбе с фишингом сообщила о получении 115 370 сообщений о фишинге по электронной почте от потребителей, причем более 25% фишинговых страниц размещено в США и Китае. [90]

2010-е [ править ]

Уникальные отчеты о фишинге по годам [91]
ГодКампании
2005 г.
173 063
2006 г.
268 126
2007 г.
327 814
2008 г.
335 965
2009 г.
412 392
2010 г.
313 517
2011 г.
284 445
2012 г.
320 081
2013
491 399
2014 г.
704 178
2015 г.
1,413,978
  • 2011 г.
    • В марте 2011 года сотрудники Internal RSA были успешно подвергнуты фишингу [92], в результате чего были украдены главные ключи для всех токенов безопасности RSA SecureID, которые впоследствии были использованы для взлома поставщиков оборонных услуг США. [93]
    • Китайские фишинговые кампании были нацелены на аккаунты Gmail высокопоставленных чиновников правительств и вооруженных сил США и Южной Кореи, а также китайских политических активистов. [94] [95]
  • 2012 г.
    • По словам Гоша, в 2012 году было «445 004 нападения по сравнению с 258 461 в 2011 году и 187 203 в 2010 году».
  • 2013
    • В августе 2013 года рекламный сервис Outbrain подвергся атаке целевого фишинга, и SEA разместила перенаправления на веб-сайты The Washington Post, Time и CNN. [96]
    • В октябре 2013 года электронные письма якобы от American Express были отправлены неизвестному количеству получателей. [97]
    • В ноябре 2013 года у целевых клиентов было украдено 110 миллионов записей о клиентах и ​​кредитных картах через фишинговую учетную запись субподрядчика. [98] Генеральный директор и сотрудники службы ИТ-безопасности впоследствии были уволены. [99]
    • К декабрю 2013 года вымогатель Cryptolocker заразил 250 000 компьютеров. По данным Dell SecureWorks , 0,4% или более зараженных, вероятно, согласились с требованием выкупа. [100]
  • 2014 г.
    • В январе 2014 года исследовательская лаборатория Seculert обнаружила новую целевую атаку с использованием Xtreme RAT . В этой атаке использовались целевые фишинговые электронные письма для нацеливания на израильские организации и развертывания передового вредоносного ПО. Было взломано 15 машин, в том числе принадлежащие Гражданской администрации Иудеи и Самарии . [101] [102] [103] [104] [105] [106] [107]
    • В августе 2014 года выяснилось , что утечка фотографий знаменитостей из iCloud основана на фишинговых письмах, отправленных жертвам, которые выглядели так, как будто они пришли от Apple или Google, с предупреждением жертв о том, что их учетные записи могут быть скомпрометированы, и с запросом данных их учетных записей. [108]
    • В ноябре 2014 г. в результате фишинговых атак на ICANN был получен административный доступ к Централизованной системе данных зоны; также были получены данные о пользователях в системе и доступ к вики-странице, блогу и информационному порталу Whois ICANN. [109]
  • 2015 г.
    • Чарльз Х. Экклстон признал себя виновным [110] [111] в попытке целевого фишинга, когда он пытался заразить компьютеры 80 сотрудников Министерства энергетики.
    • Элиот Хиггинс и другие журналисты, связанные с Bellingcat, группой, занимающейся исследованием сбития рейса 17 Malaysia Airlines над Украиной, стали жертвами многочисленных фишинговых электронных писем. [112] [113]
    • В августе 2015 года Cozy Bear был связан с целевой фишинговой кибератакой на систему электронной почты Пентагона, в результате которой во время расследования была отключена вся несекретная система электронной почты Объединенного штаба и доступ в Интернет. [114] [115]
    • В августе 2015 года, Fancy Медведь использовал нулевой день подвиге Java , в фишинг атаки Spoofing на Electronic Frontier Foundation и запускающие атаки на Белый дом и НАТО . [116] [117]
  • 2016 г.
  • В феврале австрийская аэрокосмическая компания FACC AG была украдена на 42 миллиона евро (47 миллионов долларов) посредством атаки BEC, а впоследствии уволила и финансового директора, и главного исполнительного директора. [118]
    • Fancy Bear провела целевые фишинговые атаки на адреса электронной почты, связанные с Национальным комитетом Демократической партии, в первом квартале 2016 года. [119] [120]
    • Газета Wichita Eagle сообщила, что « сотрудники KU становятся жертвами фишинга, теряют зарплату» [121]
    • Fancy Медведь подозревается быть за фишинг атаки в августе 2016 года на членов Бундестага и нескольких политических партий , таких как Линкен лидер -faction Вагенкнехт , Junge Союза и ХДС в Сааре . [122] [123] [124] [125]
    • В августе 2016 года Всемирное антидопинговое агентство сообщило о получении фишинговых писем, отправленных пользователям его базы данных, которые утверждали, что они являются официальным WADA, но согласуются с российской хакерской группой Fancy Bear. [126] [127] По данным ВАДА, некоторые данные, опубликованные хакерами, были сфальсифицированы. [128]
    • Через несколько часов после результатов выборов в США в 2016 году российские хакеры разослали электронные письма с поддельных адресов электронной почты Гарвардского университета [129], используя методы, похожие на фишинг, для публикации фейковых новостей, нацеленных на обычных американских избирателей. [130] [131]
  • 2017 г.
    • В 2017 году 76% организаций подверглись фишинговым атакам. Почти половина опрошенных специалистов по информационной безопасности заявили, что с 2016 года количество атак увеличилось.
    • В первой половине 2017 года компании и жители Катара подверглись более чем 93 570 фишинговым атакам за три месяца. [132]
    • Фишинговое электронное письмо, отправленное пользователям Google и Facebook, успешно побудило сотрудников перевести деньги в размере 100 миллионов долларов США на зарубежные банковские счета, находящиеся под контролем хакера. С тех пор он был арестован Министерством юстиции США. [133]
    • В августе 2017 года клиенты Amazon столкнулись с фишинг-атакой Amazon Prime Day, когда хакеры рассылали клиентам Amazon, казалось бы, законные сделки. Когда клиенты Amazon пытались совершить покупки с использованием «сделок», транзакция не могла быть завершена, что побуждало клиентов розничного продавца ввести данные, которые могли быть скомпрометированы или украдены. [134]
  • 2018 г.
    • В 2018 году компания block.one, разработавшая блокчейн EOS.IO , подверглась атаке со стороны фишинговой группы, которая рассылала всем клиентам фишинговые письма с целью перехвата ключа криптовалютного кошелька пользователя; а более поздняя атака была нацелена на жетоны аирдропа. [135]
Общее количество полученных уникальных отчетов (кампаний) о фишинге, согласно APWG [91]
ГодЯнвФевМарАпрМайИюнИюлАвгСенОктябрьНояДекабрьОбщий
2005 г.12 84513 46812 88314 41114 98715 05014 13513 77613 56215 82016 88215 244173 063
2006 г.17 87717 16318 48017 49020 10928 57123 67026 15022 13626 87725 81623 787268 126
2007 г.29 93023 61024 85323 65623 41528 88823 91725 62438 51431 65028 07425 683327 814
2008 г.29 28430 71625 63024 92423 76228 15124 00733 92833 26134 75824 35723 187335 965
2009 г.34 58831 29830 12535 28737 16535 91834 68340 62140 06633 25430 49028 897412 392
2010 г.29 49926 90930 57724 66426 78133 61726 35325 27322 18823 61923 01721 020313 517
2011 г.23 53525 01826 40220 90822 19522 27324 12923 32718 38819 60625 68532 979284 445
2012 г.25 44430 23729 76225 85033 46424 81130 95521 75121 68423 36524 56328 195320 081
201328 85025 38519 89220 08618 29738 10061 45361 79256 76755 24153 04752 489491 399
2014 г.53 98456 88360 92557 73360 80953 25955 28254 39053 66168 27066 21762 765704 178
2015 г.49 60855 795115 808142 099149 616125 757142 155146 439106 421194 499105 23380 5481,413,978
2016 г.99 384229 315229 265121 02896 49098 00693 16066 16669 92551 15364 32495 5551,313,771
2017 г.96 148100 932121 86087 45393 28592 65799 02499 17298 01261 32286 54785 7441,122,156
2018 г.89 25089 01084 44491 05482 54790 88293 07889 32388 15687 61964 90587 3861 040 654
2019 г.34 63035 36442 39937 05440 17734 93235 53040 45742 27345 05742 42445 072475 369

"Отчеты APWG о тенденциях фишинговых атак" . Проверено 5 мая 2019 года .

Антифишинг [ править ]

Существуют антифишинговые веб-сайты, которые публикуют точные сообщения, которые в последнее время распространяются в Интернете, например FraudWatch International и Millersmiles. Такие сайты часто предоставляют конкретную информацию о конкретных сообщениях. [136] [137]

Еще в 2007 году применение антифишинговых стратегий компаниями, нуждающимися в защите личной и финансовой информации, было низким. [138] В настоящее время существует несколько различных методов борьбы с фишингом, включая законодательство и технологии, разработанные специально для защиты от фишинга. Эти методы включают шаги, которые могут быть предприняты как отдельными лицами, так и организациями. Теперь о фишинге по телефону, веб-сайту и электронной почте можно сообщать властям, как описано ниже .

Обучение пользователей [ править ]

Кадр из анимационного ролика Федеральной торговой комиссии США, цель которого - ознакомить граждан с тактикой фишинга.

Людей можно научить распознавать попытки фишинга и бороться с ними с помощью различных подходов. Такое образование может быть эффективным, особенно если в тренинге делается упор на концептуальные знания [139] и обеспечивается прямая обратная связь. [140] [141]

Многие организации проводят регулярные имитационные фишинговые кампании, нацеленные на своих сотрудников, чтобы оценить эффективность их обучения.

Люди могут предпринять шаги, чтобы избежать попыток фишинга, слегка изменив свои привычки просмотра. [142] При обращении к учетной записи, требующей «верификации» (или по любой другой теме, используемой фишерами), разумной мерой предосторожности является обращение в компанию, от которой, по-видимому, исходит электронное письмо, чтобы проверить его подлинность. В качестве альтернативы адрес, который, как известно, является подлинным веб-сайтом компании, можно ввести в адресную строку браузера, вместо того, чтобы доверять каким-либо гиперссылкам в подозрительном фишинговом сообщении. [143]

Практически все законные электронные сообщения компаний своим клиентам содержат информацию, недоступную для фишеров. Некоторые компании, например PayPal , всегда обращаются к своим клиентам по имени пользователя в электронных письмах, поэтому, если электронное письмо обращается к получателю в общем виде (« Уважаемый покупатель PayPal »), скорее всего, это попытка фишинга. [144] Кроме того, PayPal предлагает различные методы для определения поддельных электронных писем и рекомендует пользователям пересылать подозрительные электронные письма на свой домен [email protected] для расследования и предупреждения других клиентов. Однако небезопасно предполагать, что наличие только личной информации гарантирует, что сообщение является законным, [145]и некоторые исследования показали, что наличие личной информации существенно не влияет на успешность фишинговых атак; [146], что говорит о том, что большинство людей не обращает внимания на такие детали.

Электронные письма от банков и компаний, выпускающих кредитные карты, часто включают частичные номера счетов. Однако недавнее исследование [147] показало, что публика обычно не различает первые несколько цифр и несколько последних цифр номера счета - серьезная проблема, поскольку первые несколько цифр часто совпадают для всех клиентов финансового учреждения. .

Рабочая группа Анти-Фишинг производит регулярный отчет о тенденциях в области фишинга. [148]

Google разместил видео, демонстрирующее, как идентифицировать себя и защитить себя от фишинговых атак. [149]

Технические подходы [ править ]

Доступен широкий спектр технических подходов для предотвращения фишинговых атак, достигаемых пользователями, или предотвращения их успешного перехвата конфиденциальной информации.

Фильтрация фишинговых писем [ править ]

Специализированные спам-фильтры могут уменьшить количество фишинговых писем, доходящих до почтовых ящиков адресатов. Эти фильтры используют ряд методов, включая машинное обучение [150] и подходы к обработке естественного языка для классификации фишинговых писем [151] [152] и отклонения электронной почты с поддельными адресами. [3]

Браузеры, предупреждающие пользователей о мошеннических веб-сайтах [ править ]

Снимок экрана Firefox 2.0.0.1 Предупреждение о подозрительном фишинговом сайте

Еще один популярный подход к борьбе с фишингом - это ведение списка известных фишинговых сайтов и проверка сайтов по этому списку. Одной из таких услуг является служба безопасного просмотра . [153] Все веб-браузеры, такие как Google Chrome , Internet Explorer 7, Mozilla Firefox 2.0, Safari 3.2 и Opera, содержат этот тип мер защиты от фишинга. [6] [154] [155] [156] [157] В Firefox 2 использовалось антифишинговое программное обеспечение Google . Opera 9.1 использует живые черные списки от Phishtank , cyscon иGeoTrust , а также живые белые списки от GeoTrust. Некоторые реализации этого подхода отправляют посещенные URL-адреса в центральную службу для проверки, что вызывает опасения по поводу конфиденциальности. [158] Согласно отчету Mozilla в конце 2006 года, Firefox 2 оказался более эффективным, чем Internet Explorer 7, при обнаружении мошеннических сайтов в исследовании, проведенном независимой компанией по тестированию программного обеспечения. [159]

Подход, представленный в середине 2006 года, включает переключение на специальную службу DNS, которая отфильтровывает известные фишинговые домены: это будет работать с любым браузером [160] и в принципе аналогично использованию файла hosts для блокировки веб-рекламы.

Чтобы смягчить проблему фишинговых сайтов, выдающих себя за сайт-жертву путем встраивания его изображений (например, логотипов), несколько владельцев сайтов изменили изображения, чтобы отправить посетителю сообщение о том, что сайт может быть мошенническим. Изображение может быть перемещено в новое имя файла, а исходное изображение может быть заменено навсегда, или сервер может определить, что изображение не было запрошено как часть обычного просмотра, и вместо этого отправить предупреждающее изображение. [161] [162]

Добавление пароля для входа в систему [ править ]

Банк Америки сайт [163] [164] является одним из нескольких , которые просит пользователей выбрать личный образ (продаваемый в SiteKey ) и отображает выбранный пользователем изображения с любыми формами , которые запрашивают пароль. Пользователям онлайн-сервисов банка предлагается вводить пароль, только когда они видят выбранное изображение. Однако несколько исследований показывают, что немногие пользователи воздерживаются от ввода своих паролей при отсутствии изображений. [165] [166] Кроме того, эта функция (как и другие формы двухфакторной аутентификации ) уязвима для других атак, например, от скандинавского банка Nordea в конце 2005 г. [167] и Citibank.в 2006 году. [168]

Аналогичная система, в которой каждому пользователю веб-сайта отображается автоматически сгенерированный «Идентификационный сигнал», состоящий из цветного слова в цветном поле, используется в других финансовых учреждениях. [169]

Защитные оболочки [170] [171] - это связанный метод, который включает в себя наложение выбранного пользователем изображения на форму входа в систему в качестве визуального сигнала о том, что форма является допустимой. Однако, в отличие от схем изображений на основе веб-сайтов, само изображение используется только пользователем и браузером, а не между пользователем и веб-сайтом. Схема также основана на протоколе взаимной аутентификации , что делает ее менее уязвимой для атак, затрагивающих схемы аутентификации только для пользователей.

Еще один метод основан на динамической сетке изображений, которая различается для каждой попытки входа в систему. Пользователь должен определить изображения, которые соответствуют заранее выбранным им категориям (например, собаки, автомобили и цветы). Только после того, как они правильно определили изображения, соответствующие их категориям, им разрешается ввести свой буквенно-цифровой пароль для завершения входа в систему. В отличие от статических изображений, используемых на веб-сайте Bank of America, метод аутентификации на основе динамических изображений создает одноразовый пароль для входа в систему, требует активного участия пользователя, и его очень сложно правильно воспроизвести на фишинговом веб-сайте, поскольку он может необходимо отображать другую сетку случайно сгенерированных изображений, которая включает секретные категории пользователя. [172]

Мониторинг и удаление [ править ]

Некоторые компании предлагают банкам и другим организациям, которые могут пострадать от фишинговых атак, круглосуточные услуги по мониторингу, анализу и помощи в закрытии фишинговых веб-сайтов. [173] Автоматическое обнаружение фишингового контента все еще ниже приемлемого уровня для прямых действий, с анализом на основе контента, достигающим от 80 до 90% успеха [174], поэтому большинство инструментов включают ручные шаги для подтверждения обнаружения и авторизации ответа. [175] Частные лица могут внести свой вклад, сообщая о фишинге как волонтерским, так и отраслевым группам [176], таким как cyscon или PhishTank . [177] В Google можно сообщать о фишинговых веб-страницах и электронных письмах. [178][179]

Проверка и подписание транзакции [ править ]

Также появились решения, использующие мобильный телефон [180] (смартфон) в качестве второго канала для проверки и авторизации банковских транзакций.

Многофакторная аутентификация [ править ]

Организации могут реализовать двухфакторную или многофакторную аутентификацию (MFA), при которой пользователь должен использовать как минимум два фактора при входе в систему (например, пользователь должен предъявить смарт-карту и пароль). Это снижает некоторый риск: в случае успешной фишинг-атаки украденный пароль сам по себе не может быть повторно использован для дальнейшего взлома защищенной системы. Однако есть несколько методов атаки, с помощью которых можно обойти многие типичные системы. [181] Схемы MFA, такие как WebAuthn, решают эту проблему намеренно .

Редактирование содержания электронной почты [ править ]

Организации, которые ставят безопасность выше удобства, могут потребовать от пользователей своих компьютеров использовать почтовый клиент, который удаляет URL-адреса из сообщений электронной почты, что делает невозможным для читателя электронной почты щелкнуть ссылку или даже скопировать URL-адрес. Хотя это может вызвать неудобства, это почти полностью исключает фишинговые атаки по электронной почте.

Ограничения технических ответов [ править ]

В статье Forbes в августе 2014 года утверждается, что проблема фишинга сохраняется даже после десяти лет продажи антифишинговых технологий, потому что фишинг является «технологическим средством для использования человеческих слабостей» и что технология не может полностью компенсировать человеческие слабости. [182]

Юридические ответы [ править ]

Воспроизвести медиа
Видео-инструкция, как подать жалобу в Федеральную торговую комиссию

26 января 2004 года Федеральная торговая комиссия США подала первый иск против подозреваемого в фишере. Подсудимый, подросток из Калифорнии , якобы создал веб-страницу, похожую на веб-сайт America Online , и использовал ее для кражи информации о кредитной карте. [183] Другие страны последовали этому примеру, отслеживая и арестовывая фишеров. Фишинговое вора в законе, Valdir Пауло де Алмейда, был задержан в Бразилии за руководство одной из крупнейших фишинговых колец преступлений , которые в течение двух лет похищали между США $ 18 млн и США 37 миллионов $ . [184]Власти Великобритании заключили в тюрьму двух мужчин в июне 2005 года за их участие в фишинг-мошенничестве [185] по делу, связанному с брандмауэром операции секретной службы США , направленной на пресловутые «кардерские» веб-сайты. [186] В 2006 году восемь человек были арестованы японской полицией по подозрению в фишинговом мошенничестве путем создания поддельных веб-сайтов Yahoo Japan, заработав 100 миллионов йен ( 870 000 долларов США ). [187] В 2006 году аресты продолжились, когда ФБР задержало банду из шестнадцати человек в США и Европе. [188]

В Соединенных Штатах , сенатор Патрик Лихи представил Закон о борьбе с фишингом 2005 года в Конгрессе 1 марта 2005 года этот законопроект , если он был принят в качестве закона, будет иметь подвергнутые преступник , которые создали поддельные веб - сайты и отправленные фиктивные электронные письма в порядке обманывать потребителей на штрафы в размере до 250 000 долларов США и тюремное заключение сроком до пяти лет. [189] Великобритания усилила свой правовой арсенал против фишинга Законом о мошенничестве 2006 г. [190]который вводит общее преступление мошенничества, которое может повлечь за собой до десяти лет тюремного заключения, и запрещает разработку или хранение фишинговых комплектов с целью совершения мошенничества. [191]

Компании также присоединились к усилиям по борьбе с фишингом. 31 марта 2005 г. Microsoft подала 117 федеральных исков в Окружной суд США Западного округа Вашингтона . В исках обвиняемых « Джона Доу » обвиняются в получении паролей и конфиденциальной информации. В марте 2005 года Microsoft и правительство Австралии начали обучать сотрудников правоохранительных органов методам борьбы с различными киберпреступлениями, включая фишинг. [192] Microsoft объявила о запланированных дополнительных 100 судебных процессах за пределами США в марте 2006 года [193], после чего по состоянию на ноябрь 2006 года последовало рассмотрение 129 судебных исков, включающих уголовные и гражданские иски. [194] AOLусилил свои усилия по борьбе с фишингом [195] в начале 2006 года, подав три судебных иска [196] с требованием в общей сложности 18 миллионов долларов США в соответствии с поправками 2005 года к Закону о компьютерных преступлениях [197] [198] , [197] [198] и Earthlink присоединилась, помогая идентифицировать Шесть человек впоследствии были обвинены в фишинговом мошенничестве в Коннектикуте . [199]

В январе 2007 года Джеффри Бретт Гудин из Калифорнии стал первым обвиняемым, осужденным присяжными в соответствии с положениями Закона о CAN-SPAM от 2003 года . Он был признан виновным в отправке тысяч электронных писем пользователям America Online, выдавая себя за отдел биллинга AOL, который побуждал клиентов предоставлять личные данные и данные кредитной карты. Столкнувшись с возможным 101 годом тюремного заключения за нарушение CAN-SPAM и десятью другими пунктами обвинения, включая мошенничество с использованием электронных средств, несанкционированное использование кредитных карт и неправомерное использование товарного знака AOL, он был приговорен к 70 месяцам заключения. Гудин находился под стражей с тех пор, как не явился на предыдущее судебное заседание, и сразу же начал отбывать тюремный срок. [200] [201] [202] [203]

См. Также [ править ]

  • Антифишинговое ПО
  • Брэндджекинг
  • Внутрисессионный фишинг
  • Интернет-мошенничество  - вид мошенничества или обмана, при котором используется Интернет для обмана жертв.
  • Тест на проникновение  - метод оценки компьютерной и сетевой безопасности путем моделирования кибератаки.
  • SiteKey
  • SMS-фишинг
  • Типосквоттинг  - форма киберсквоттинга, основанная на ошибках при вводе адреса веб-сайта.
  • Список когнитивных предубеждений  - систематические модели отклонения от нормы или рациональности в суждениях, многие из которых могут быть использованы фишингом.

Ссылки [ править ]

  1. ^ Рамзан, Зульфикар (2010). «Фишинговые атаки и меры противодействия» . В штампе, марке; Ставроулакис, Питер (ред.). Справочник по информационной и коммуникационной безопасности . Springer. ISBN 978-3-642-04117-4.
  2. ^ Ван дер Мерве, AJ Loock, M, Dabrowski, М. (2005), характеристики и обязанности участвующих в нападении фишинга, Зимний Международный симпозиум поинформации и коммуникационных технологий, Кейптаун, январь 2005 года.
  3. ^ a b «Нанесение очередного удара по фишингу электронной почты (блог Google Online Security)» . Проверено 21 июня 2012 года .
  4. ^ Дадли, Тоня. «Остановите этот фишинг» . SANS.org . Дата обращения 6 ноября 2019 .
  5. ^ "Что такое фишинг?" . 2016-08-14. Архивировано из оригинального 16 октября 2016 года . Дата обращения 7 октября 2020 .
  6. ^ a b «Безопасный просмотр (блог Google Online Security)» . Проверено 21 июня 2012 года .
  7. ^ Jøsang, Audun; и другие. (2007). «Принципы безопасности использования для анализа уязвимостей и оценки рисков» . Труды Ежегодной конференции по приложениям компьютерной безопасности 2007 (ACSAC'07) .
  8. ^ Кей, Рассел (2004-01-19). «Боковая панель: Истоки фишинга» . Компьютерный мир . Проверено 8 октября 2020 .
  9. ^ «Определение фишинга» . Dictionary.com . 2014-01-31 . Проверено 8 октября 2020 .
  10. ^ "Spear phishing" . Центр Windows для ИТ-специалистов . Проверено 4 марта 2019 года .
  11. ^ Стивенсон, Дебби (30.05.2013). "Spear Phishing: Кто поймает?" . Фирмекс . Проверено 27 июля 2014 года .
  12. ^ «Взлом NSA / GCHQ становится личным: бельгийский шифровальщик нацелен» . Журнал "Информация о безопасности" . 3 февраля 2018 . Проверено 10 сентября 2018 года .
  13. Лейден, Джон (4 апреля 2011 г.). «RSA объясняет, как злоумышленники взломали его системы» . Реестр . Проверено 10 сентября 2018 года .
  14. ^ Винтерфорд, Бретт (7 апреля 2011 г.). «Для взлома Эпсилон использовалась атака четырехмесячной давности» . itnews.com.au . Проверено 10 сентября 2018 года .
  15. ^ Jagatic, Том; Натаниэль Джонсон; Маркус Якобссон; Филиппо Менцер (октябрь 2007 г.). «Социальный фишинг». Коммуникации ACM . 50 (10): 94–100. DOI : 10.1145 / 1290958.1290968 . S2CID 15077519 . 
  16. ^ «Группа угроз-4127 нацелена на учетные записи Google» . secureworks.com . Проверено 12 октября 2017 .
  17. ^ Накашима, Эллен; Харрис, Шейн (13 июля 2018 г.). «Как русские взломали DNC и передали его электронные письма в WikiLeaks» . Вашингтон Пост . Проверено 22 февраля 2019 года .
  18. ^ "Поддельные повестки гарпун 2100 корпоративных жирных кошек" . Реестр . Архивировано 31 января 2011 года . Проверено 17 апреля 2008 года .
  19. ^ "Что такое" китобойный промысел? " . О Тех. Архивировано 18 октября 2011 года . Проверено 28 марта 2015 года .
  20. ^ "Плохой роман: объяснение кошачьего фишинга" . Malwarebytes. 26 июля 2018 . Проверено 14 июня 2020 года .
  21. ^ «Мошенничество со счетами, затрагивающее предприятия Новой Зеландии» . NZCERT . Проверено 1 июля 2019 года .
  22. ^ Паркер, Tamsyn (18 августа 2018). «Жульничество с домашними счетами оставляет пару 53 тысяч долларов из кармана» . The New Zealand Herald . Проверено 1 июля 2019 года .
  23. ^ О'Лири, Дэниел Э. (2019). «Что раскрывают фишинговые сообщения электронной почты: исследовательский анализ попыток фишинга с использованием анализа текста» . Электронный журнал ССРН . DOI : 10.2139 / ssrn.3427436 . ISSN 1556-5068 . 
  24. ^ Гонсалвес, Antone (25 апреля 2006). «Фишеры ловят жертв с помощью VoIP» . Techweb. Архивировано из оригинального 28 марта 2007 года.
  25. ^ «Похитители личных данных пользуются VoIP» . Silicon.com. 21 марта 2005 года в архив с оригинала на 24 марта 2005 года.
  26. ^ https://www.thechronicleherald.ca/news/canada/cyber-scammers-have-conned-about-364000-from-st-johns-residents-since-feb February- heres- how- they- did- it- 510377 /
  27. ^ «Фишинг, улыбка и вишинг: в чем разница?» (PDF) . belvoircreditunion.org . 1 августа 2008 г. Архивировано из оригинального (PDF) 01.04.2015.
  28. ^ Вишинг и улыбка: рост мошенничества с использованием социальной инженерии , BBC, Мари Кейворт, 2016-01-01
  29. ^ Защитить себя от «SMiShing», Роберт Сицилиано, 22 февраля 2012 года
  30. ^ "SMiShing", бесплатный словарь от Farlex
  31. ^ SMiShing, Форрест Страуд
  32. ^ Статья о SMS-фишинге на ConsumerAffairs.com
  33. ^ Мишра, Сандхья; Сони, Девприя (август 2019). «Подходы к SMS-фишингу и противодействию». 2019 Двенадцатая международная конференция по современным вычислениям (IC3) . IEEE: 1–5. DOI : 10.1109 / ic3.2019.8844920 . ISBN 978-1-7281-3591-5. S2CID  202700726 .
  34. ^ "Что такое Smishing?" . Symantec Corporation . Проверено 18 октября 2018 года .
  35. ^ «Агентство социальных услуг округа Ориндж предупреждает о фишинге / телефонном мошенничестве с помощью SMS-сообщений | Бриз округа Ориндж» . Бриз округа Ориндж . 2018-06-26 . Проверено 24 августа 2018 .
  36. ^ «Умейте разбираться в фишинге! Научитесь читать ссылки!» . Архивировано 11 декабря 2016 года . Проверено 11 декабря 2016 года .
  37. ^ Cimpanu, Каталин (15 июня 2016). «Скрытое перенаправление JavaScript затрудняет обнаружение фишинговых страниц» . Центр новостей Softpedia . Софтпедия . Проверено 21 мая 2017 года . Наведение ссылок, чтобы увидеть их истинное местоположение, может быть бесполезным советом по безопасности в ближайшем будущем, если фишеры сообразят свой режим работы и последуют примеру мошенника, которому недавно удалось обойти эту встроенную функцию безопасности браузера.
  38. ^ Йохансон, Эрик. «Состояние гомографических атак Rev1.1» . Группа Шму . Архивировано из оригинального 23 августа 2005 года . Проверено 11 августа 2005 года .
  39. Евгений Габрилович и Алекс Гонтмахер (февраль 2002 г.). "Атака гомографа" (PDF) . Коммуникации ACM . 45 (2): 128. DOI : 10,1145 / 503124,503156 . S2CID 73840 .  
  40. Лейден, Джон (15 августа 2006 г.). «Скрипты Barclays SNAFU, эксплуатируемые фишерами» . Реестр .
  41. ^ Левин, Джейсон. «Фишинг с eBay» . Q Daily News . Проверено 14 декабря 2006 года .
  42. Лейден, Джон (12 декабря 2007 г.). «Киберпреступники прячутся в тени известных веб-сайтов» . Реестр .
  43. ^ «Черная шляпа DC 2009» . 15 мая 2011 г.
  44. ^ Баранина, Пол. «Мошенники стремятся сделать так, чтобы фишинговые сайты не обнаруживались фильтрами содержимого» . Неткрафт . Архивировано 31 января 2011 года.
  45. ^ «Использование программного обеспечения OCR с оптическим распознаванием символов для фильтрации спама» . PowerShow .
  46. ^ Миллер, Рич. «Фишинговые атаки становятся все изощреннее» . Неткрафт . Архивировано из оригинала на 31 января 2011 года . Проверено 19 декабря 2007 года .
  47. ^ Баранина, Пол. «Методы фишингового веб-сайта» . FraudWatch International . Архивировано из оригинала на 31 января 2011 года . Проверено 14 декабря 2006 года .
  48. ^ «Фишинг с захватом панели браузера» . BBC News . 8 апреля 2004 г.
  49. ^ Кребс, Брайан. «Недостатки финансовых сайтов помогают мошенникам» . Исправление безопасности . Архивировано из оригинала на 31 января 2011 года . Проверено 28 июня 2006 года .
  50. ^ Баранина, Пол. «Недостаток безопасности PayPal допускает кражу личных данных» . Неткрафт . Архивировано 31 января 2011 года . Проверено 19 июня 2006 года .
  51. ^ «Обнаружен серьезный недостаток безопасности в OAuth, OpenID» . CNET. 2 мая 2014 года . Проверено 10 ноября 2014 года .
  52. ^ a b «Уязвимость при скрытом перенаправлении, связанная с OAuth 2.0 и OpenID» . Тетраф. 1 мая 2014 г. Архивировано из оригинального 16 октября 2014 года . Проверено 10 ноября 2014 года .
  53. ^ Варшней, Гаурав; Мишра, Манодж; Атри, Прадип (4 января 2018 г.). «Просмотр нового способа фишинга с использованием вредоносного расширения браузера». Просмотр нового способа фишинга с использованием вредоносного расширения браузера . IEEE. С. 1–5. DOI : 10,1109 / IPACT.2017.8245147 . ISBN 978-1-5090-5682-8. S2CID  10582638 .
  54. ^ «Facebook, пользователям Google угрожает новая брешь в безопасности» . Tom's Guid. 2 мая 2014 года . Проверено 11 ноября 2014 года .
  55. ^ «Facebook, пользователям Google угрожает новая брешь в безопасности» . Канал Fox News. 5 мая 2014 года . Проверено 10 ноября 2014 года .
  56. ^ «В OAuth и OpenID обнаружена неприятная уязвимость при скрытом перенаправлении» . Хакерские новости. 3 мая 2014 года . Проверено 10 ноября 2014 года .
  57. ^ «Facebook, пользователям Google угрожает новая брешь в безопасности» . Yahoo. 2 мая 2014 года . Проверено 10 ноября 2014 года .
  58. ^ « Уязвимость « Скрытое перенаправление »влияет на OAuth 2.0, OpenID» . Журнал SC. 2 мая 2014 года . Проверено 10 ноября 2014 года .
  59. ^ «Скрытая ошибка перенаправления в OAuth - не следующая проблема» . Symantec. 3 мая 2014 года . Проверено 10 ноября 2014 года .
  60. Грэм, Мэг (19 января 2017 г.). «Эта фишинговая атака Gmail обманывает экспертов. Вот как ее избежать» . Проверено 28 января 2017 года .
  61. Томлинсон, Керри (27 января 2017 г.). «Фейковые новости могут отравить ваш компьютер, а также ваш разум» . archersecuritygroup.com . Проверено 28 января 2017 года .
  62. ^ «Целенаправленная фишинговая атака на интернет-банк» (PDF) . Столичная полицейская служба . 3 июня 2005 года Архивировано из оригинального (PDF) 18 февраля 2010 года . Проверено 22 марта 2009 года .
  63. Феликс, Джерри и Хаук, Крис (сентябрь 1987 г.). «Безопасность системы: взгляд хакера». 1987 Interex Proceedings . 8 : 6.
  64. ^ «EarthLink выиграла судебный процесс на 25 миллионов долларов против нежелательной электронной почты» .
  65. ^ Langberg, Майк (8 сентября 1995). «AOL действует, чтобы помешать хакерам» . Новости Сан-Хосе Меркьюри .
  66. ^ Rekouche, Koceilah (2011). «Ранний фишинг». arXiv : 1106.4692 [ cs.CR ].
  67. ^ Штутц, Майкл (29 января 1998). «AOL: Мама взломщика!» . Проводные новости. Архивировано из оригинального 14 декабря 2005 года.
  68. ^ «Фишинг | История фишинга» . phishing.org .
  69. ^ «Фишинг» . Word Spy . Проверено 28 сентября 2006 года .
  70. ^ "История AOL Warez" . Архивировано из оригинала на 31 января 2011 года . Проверено 28 сентября 2006 года .
  71. ^ «GP4.3 - Рост и мошенничество - Дело № 3 - Фишинг» . Финансовая криптография . 30 декабря 2005 г.
  72. ^ Sangani, Kris (сентябрь 2003). «Битва с кражей личных данных». Банкир . 70 (9): 53–54.
  73. ^ Kerstein, Павел (19 июля 2005). «Как мы можем остановить фишинг и фарминг-мошенничество?» . ОГО. Архивировано из оригинального 24 марта 2008 года.
  74. ^ «В 2005 году организованная преступность поддержит фишеров» . ИТ-менеджмент . 23 декабря, 2004. Архивировано из оригинала на 31 января 2011 года.
  75. Перейти ↑ Abad, Christopher (сентябрь 2005 г.). «Экономика фишинга: обзор операций на фишинговом рынке» . Первый понедельник . Архивировано из оригинала на 2011-11-21 . Проверено 8 октября 2010 .
  76. ^ "Убытки от фишинга в Великобритании удваиваются" . Finextra. 7 марта 2006 г.
  77. Ричардсон, Тим (3 мая 2005 г.). «Британцы становятся жертвами фишинга» . Реестр .
  78. Кребс, Брайан (13 октября 2007 г.). «Скрытая российская фирма рассматривается как проводник киберпреступлений» . Вашингтон Пост .
  79. ^ Миллер, Рич. «Банк и клиенты борются с убытками от фишинга» . Неткрафт . Проверено 14 декабря 2006 года .
  80. ^ «Последние новости» . Архивировано из оригинального 7 -го октября 2008 года.
  81. ^ «Банк Ирландии соглашается на возврат средств с помощью фишинга» . vnunet.com. Архивировано из оригинального 28 октября 2008 года.
  82. ^ «Подозрительные электронные письма и кража личных данных» . Служба внутренних доходов . Архивировано 31 января 2011 года . Проверено 5 июля 2006 года .
  83. ^ «Фишинг для улик» . Университет Индианы в Блумингтоне. 15 сентября 2005 года Архивировано из оригинального 31 -го июля 2009 года . Проверено 15 сентября 2005 года .
  84. Кирк, Джереми (2 июня 2006 г.). «Фишинг нацелен на MySpace.com» . Сеть IDG. Архивировано из оригинального 16 -го июня 2006 года.
  85. ^ «Вредоносный веб-сайт / вредоносный код: MySpace XSS QuickTime Worm» . Websense Security Labs . Архивировано из оригинала на 5 декабря 2006 года . Проверено 5 декабря 2006 года .
  86. Макколл, Том (17 декабря 2007 г.). «Исследование Gartner показывает, что в 2007 году число фишинговых атак увеличилось; в результате этих атак было потеряно более 3 миллиардов долларов» . Gartner.
  87. ^ «Бесприбыльное предприятие: фишинг как трагедия общин» (PDF) . Microsoft . Проверено 15 ноября 2008 года .
  88. ^ «Поток спама, вероятно, поразит 6,3 миллиона жертв взлома TD Ameritrade» . Архивировано из оригинала на 5 мая 2009 года.
  89. ^ "Хостинг в один клик на RapidTec - Предупреждение о фишинге!" . Архивировано из оригинала на 30 апреля 2008 года . Проверено 21 декабря 2008 года .
  90. ^ APWG. «Отчет о тенденциях фишинговой активности» (PDF) . Архивировано из оригинального (PDF) 3 октября 2012 года . Проверено 4 ноября 2013 года .
  91. ^ a b «Отчеты APWG о тенденциях фишинговых атак» . Проверено 20 октября 2018 года .
  92. ^ "Анатомия атаки RSA" . RSA.com . RSA FraudAction Research Labs. Архивировано из оригинала на 6 октября 2014 года . Проверено 15 сентября 2014 года .
  93. ^ Дрю, Кристофер; Марков, Джон (27 мая 2011 г.). «Нарушение данных в охранной фирме, связанное с атакой на Lockheed» . Нью-Йорк Таймс . Проверено 15 сентября 2014 года .
  94. ^ Кейзер, Грег (13.08.2011). «Предполагаемые китайские целевые фишинговые атаки продолжают поражать пользователей Gmail» . Компьютерный мир . Проверено 4 декабря 2011 года .
  95. Юинг, Филипп (22.08.2011). «Доклад: китайский TV документ показывает кибер-зло» . Дод Базз . Архивировано из оригинального 26 января 2017 года . Проверено 4 декабря 2011 года .
  96. ^ «Сирийские хакеры используют Outbrain для нацеливания на The Washington Post, Time и CNN» , Филип Бамп, The Atlantic Wire , 15 августа 2013 г. Проверено 15 августа 2013 г.
  97. ^ Пол, Эндрю. «Фишинговые письма: неприемлемые неудачи American Express» . Электронная почта Ответы. Архивировано из оригинала 9 октября 2013 года . Проверено 9 октября 2013 года .
  98. ^ О'Коннелл, Лиз. «Отчет: фишинговая рассылка электронной почты привела к взлому Target» . BringMeTheNews.com . Проверено 15 сентября 2014 года .
  99. ^ Ausick, Пол. «Целевой генеральный директор Мешок» . Проверено 15 сентября 2014 года .
  100. ^ Kelion, Лев (24 декабря 2013). «Программа-вымогатель Cryptolocker« заразила около 250 000 компьютеров » » . BBC . Проверено 24 декабря 2013 года .
  101. ^ "Израильский оборонный компьютер взломан через испорченную электронную почту - кибер-фирму" . Рейтер . 2014-01-26.
  102. ^ לוי, רויטרס ואליאור (27 января 2014 г.). "האקרים השתלטו על מחשבים ביטחוניים" . Ynet .
  103. ^ «Хакеры взламывают израильские оборонные компьютеры, - заявляет охранная компания» . Хранитель . Архивировано из оригинала на 2014-02-09.
  104. ^ "Компьютеры обороны Израиля поражены хакерской атакой" . BBC News . 2014-01-27.
  105. ^ "Израильский компьютерный удар в кибератаке: эксперт по данным | SecurityWeek.Com" . securityweek.com .
  106. ^ "Израиль облегчит экспортные ограничения кибербезопасности, говорит премьер" . Блумберг .
  107. ^ Халперн, Мика Д. "Cyber-Break-in @ IDF" . HuffPost .
  108. ^ Прокуроры считают , что «» Fappening знаменитости обнаженные утечка не была вина Apple, 15 марта 2016, Techcrunch
  109. ^ «ICANN подверглась атаке с использованием целевого фишинга | Усиленные меры безопасности внедрены» . icann.org . Проверено 18 декабря 2014 года .
  110. ^ "Обвинительное заключение Экклстона" . 1 ноября 2013.
  111. «Бывший сотрудник Комиссии по ядерному регулированию США признал себя виновным в попытке кибератаки с использованием целевого фишинга на компьютеры Министерства энергетики» . 2016-02-02.
  112. ^ Накашима, Эллен (28 сентября 2016). «Российские хакеры преследовали журналистов, расследовавших авиакатастрофу Malaysia Airlines» . Вашингтон Пост . Проверено 26 октября +2016 .
  113. ^ ThreatConnect (28 сентября 2016 г.). «ThreatConnect рассматривает деятельность, направленную на Bellingcat, ключевого участника расследования MH17» . ThreatConnect . Проверено 26 октября +2016 .
  114. Кубе, Кортни (7 августа 2015 г.). «Россия взламывает компьютеры Пентагона: NBC, со ссылкой на источники» . Дата обращения 7 августа 2015 .
  115. Старр, Барбара (7 августа 2015 г.). «Официально: Россия подозревается во вторжении на почтовый сервер Объединенного комитета начальников штабов» . Дата обращения 7 августа 2015 .
  116. Doctorow, Кори (28 августа 2015 г.). «Фишеры, подозреваемые в связях с российским правительством, подделывают поддельный домен EFF, атакуют Белый дом» . Боинг Боинг .
  117. Куинтин, Купер (27 августа 2015 г.). «Новая кампания противодействия фишингу притворяется EFF» . ЭФФ.
  118. ^ "Австрийский FACC, пострадавший от кибермошенничества, увольняет генерального директора" . Рейтер . 26 мая 2016 . Проверено 20 декабря 2018 года .
  119. ^ Сэнгер, Дэвид Э .; Корасанити, Ник (14 июня 2016 г.). «DNC заявляет, что российские хакеры проникли в его файлы, включая досье на Дональда Трампа» . Нью-Йорк Таймс . Проверено 26 октября +2016 .
  120. Economist, Staff of (24 сентября 2016 г.). «Медведь на медведя» . Экономист . Проверено 25 октября 2016 года .
  121. ^ «Сотрудники KU становятся жертвами фишинга, теряют зарплату» .
  122. ^ "Хакеры скрываются, депутаты сказали" . Deutsche Welle . Проверено 21 сентября 2016 года .
  123. ^ Пинкерт, Георг Хайль; Берлин, Николас Рихтер (2016-09-20). "Hackerangriff auf deutsche Parteien" . Süddeutsche Zeitung . Проверено 21 сентября 2016 года .
  124. ^ Голландия, Мартин. "Angeblich versuchter Hackerangriff auf Bundestag und Parteien" . Heise . Проверено 21 сентября 2016 года .
  125. ^ Хемикер, Лоренц; Альто, Пало. "Wir haben Fingerabdrücke" . Frankfurter Allgemeine Zeitung . Frankfurter Allgemeine . Проверено 21 сентября 2016 года .
  126. Hyacinth Mascarenhas (23 августа 2016 г.). «Российские хакеры Fancy Bear, вероятно, взломали Олимпийское агентство по тестированию на наркотики и DNC, - говорят эксперты» . International Business Times . Проверено 13 сентября 2016 года .
  127. ^ "Что мы знаем о хакерской команде Fancy Bears" . BBC News . 2016-09-15 . Проверено 17 сентября 2016 года .
  128. Рианна Галлахер, Шон (6 октября 2016 г.). «Исследователи находят фальшивые данные в олимпийских антидопинговых свалках Guccifer 2.0 Clinton» . Ars Technica . Проверено 26 октября +2016 .
  129. ^ «Русские хакеры запускают целевые кибератаки через несколько часов после победы Трампа» . 2016-11-10.
  130. ^ Комитет Европейского парламента по иностранным делам (23 ноября 2016 г.), «Депутаты Европарламента бьют тревогу по поводу антиевропейской пропаганды со стороны России и исламистских террористических групп» (PDF) , Европейский парламент , получено 26 ноября 2016 г.
  131. Льюис Сандерс IV (11 октября 2016 г.),«Разделите Европу»: европейские законодатели предупреждают о российской пропаганде , Deutsche Welle , получено 24 ноября 2016 г.
  132. ^ «Катар столкнулся с 93570 фишинговыми атаками в первом квартале 2017 года» . Gulf Times (на арабском языке). 2017-05-12 . Проверено 28 января 2018 .
  133. ^ «Facebook и Google стали жертвами платежного мошенничества на сумму 100 миллионов долларов» . Удача . Проверено 28 января 2018 .
  134. ^ "Amazon Prime Day распространяется фишинговое мошенничество!" . Шоу Ким Командо . Проверено 28 января 2018 .
  135. ^ «Криптовалютные хакеры крадут ICO EOS на 4 миллиарда долларов, используя эту подлую аферу» . Jen Wieczner . Проверено 31 мая 2018 .
  136. ^ "Домашняя страница Millersmiles" . Оксфордская информационная служба. Архивировано из оригинала 21 июля 2007 года . Проверено 3 января 2010 года .
  137. ^ "Международная домашняя страница FraudWatch" . FraudWatch International . Проверено 3 января 2010 года .
  138. ^ Бейкер, Эмили; Уэйд Бейкер; Джон Тедеско (2007). «Организации реагируют на фишинг: изучаем ящик для связи с общественностью». Отчеты о коммуникационных исследованиях . 24 (4): 327. DOI : 10,1080 / 08824090701624239 . S2CID 144245673 . 
  139. ^ Араччилаге, Налин; С любовью, Стив; Скотт, Майкл (1 июня 2012 г.). «Разработка мобильной игры для обучения концептуальным навыкам предотвращения« фишинговых атак » » . Международный журнал по безопасности электронного обучения . 2 (1): 127–132. DOI : 10.20533 / ijels.2046.4568.2012.0016 .
  140. ^ Поннурангам Кумарагуру; Ён У Ри; Алессандро Аккисти; Лорри Кранор; Джейсон Хонг; Элизабет Нандж (ноябрь 2006 г.). «Защита людей от фишинга: разработка и оценка встроенной системы электронной почты для обучения» (PDF) . Технический отчет CMU-CyLab-06-017, CyLab, Университет Карнеги-Меллона . Архивировано из оригинального (PDF) 30 января 2007 года . Проверено 14 ноября 2006 года .
  141. ^ Перро, Эван К. (2017-03-23). «Использование интерактивной онлайн-викторины для изменения отношения и поведения студентов колледжа к фишингу». Журнал образовательных компьютерных исследований . 55 (8): 1154–1167. DOI : 10.1177 / 0735633117699232 . S2CID 64269078 . 
  142. ^ Хендрик, Уильям. «Как избежать фишинга» . Проверено 3 марта 2015 года .
  143. ^ «Советы по борьбе с фишингом, которым не следует следовать» . HexView . Архивировано из оригинала на 20 марта 2008 года . Проверено 19 июня 2006 года .
  144. ^ «Защитите себя от мошеннических писем» . PayPal . Архивировано из оригинала 6 апреля 2011 года . Проверено 7 июля 2006 года .
  145. Зельцер, Ленни (17 марта 2006 г.). «Фишинговые сообщения могут содержать персонализированную информацию» . Институт SANS.
  146. ^ Маркус Якобссон и Якоб Раткевич. «Разработка этических экспериментов по фишингу» . WWW '06 . Архивировано из оригинала на 31 января 2011 года . Проверено 20 августа 2007 года .
  147. ^ Маркус Якобссон; Алекс Цоу; Анкур Шах; Эли Блевис; Юн-Кён Лим. «Что вызывает доверие? Качественное исследование фишинга» (PDF) . informatics.indiana.edu . Архивировано из оригинального (PDF) 6 марта 2007 года.
  148. ^ "Отчеты APWG о тенденциях фишинговых атак" . APWG . Проверено 12 сентября 2018 года .
  149. ^ Google (25 июня 2017 г.). «Защититесь от фишинга и мошенничества» . Проверено 12 апреля 2020 года - через YouTube.
  150. ^ Olivo, Cleber K .; Сантин, Альтаир О .; Оливейра, Луис С. (июль 2011 г.). «Получение модели угроз для фишинга по электронной почте». Прикладные программные вычисления . 13 (12): 4841–4848. DOI : 10.1016 / j.asoc.2011.06.016 .
  151. ^ Мадхусудханан Чандрасекаран; Кришнан Нараянан; Шамбху Упадхьяя (март 2006 г.). «Обнаружение фишинговых писем на основе структурных свойств» (PDF) . Симпозиум по кибербезопасности штата Нью-Йорк . Архивировано из оригинального (PDF) 16 февраля 2008 года.
  152. ^ Ян Fette; Норман Садех; Энтони Томашич (июнь 2006 г.). «Обучение обнаружению фишинговых писем» (PDF) . Технический отчет Университета Карнеги-Меллона CMU-ISRI-06-112 .
  153. ^ "Безопасный просмотр Google" .
  154. ^ Франко, Роб. «Улучшенная идентификация веб-сайтов и сертификаты расширенной проверки в IE7 и других браузерах» . IEBlog . Архивировано 17 января 2010 года . Проверено 10 февраля, 2020 .
  155. ^ "Bon Echo Anti-Phishing" . Mozilla . Архивировано 23 августа 2011 года . Проверено 2 июня 2006 года .
  156. ^ «Safari 3.2 наконец-то получает защиту от фишинга» . Ars Technica . 13 ноября 2008 года. Архивировано 23 августа 2011 года . Проверено 15 ноября 2008 года .
  157. ^ «Ушел от фишинга: оценка средств защиты от фишинга для Windows» . 3Sharp. 27 сентября 2006 года архивации с оригинала на 14 января 2008 года . Проверено 20 октября 2006 года .
  158. ^ «Две вещи, которые беспокоят меня о новом расширении Google для Firefox» . Нитеш Дханджани на O'Reilly ONLamp . Проверено 1 июля 2007 года .
  159. ^ «Тестирование эффективности защиты от фишинга Firefox 2» . Архивировано 31 января 2011 года . Проверено 23 января 2007 года .
  160. ^ Хиггинс, Келли Джексон. «DNS получает ловушку для защиты от фишинга» . Темное чтение . Архивировано 18 августа 2011 года . Проверено 8 октября 2006 года .
  161. Кребс, Брайан (31 августа 2006 г.). «Использование изображений для борьбы с фишингом» . Исправление безопасности. Архивировано из оригинального 16 ноября 2006 года.
  162. ^ Зельцер, Ларри (2 августа 2004). «Обнаружение фишинга и ответное противодействие» . eWeek.
  163. ^ Банк Америки. «Как Bank of America SiteKey работает для обеспечения безопасности онлайн-банкинга» . Архивировано 23 августа 2011 года . Проверено 23 января 2007 года .
  164. ^ Brubaker, Билл (14 июля 2005). «Банк Америки персонализирует кибербезопасность» . Вашингтон Пост .
  165. Перейти ↑ Stone, Brad (5 февраля 2007 г.). «Исследование показало, что мера по борьбе с мошенничеством в Интернете неэффективна» . Нью-Йорк Таймс . Проверено 5 февраля 2007 года .
  166. ^ Стюарт Шехтер; Рахна Дхамия; Энди Озмент; Ян Фишер (май 2007 г.). «Новые индикаторы безопасности императора: оценка аутентификации веб-сайтов и влияние ролевой игры на исследования удобства использования» (PDF) . IEEE симпозиум по безопасности и конфиденциальности, май 2007 . Архивировано из оригинального (PDF) 20 июля 2008 года . Проверено 5 февраля 2007 года .
  167. ^ «Фишеры атакуют систему одноразовых паролей Nordea» . Finextra. 12 октября 2005 г.
  168. Кребс, Брайан (10 июля 2006 г.). «Citibank Phish Spoofs 2-факторная аутентификация» . Исправление безопасности. Архивировано из оригинального 10 ноября 2006 года.
  169. ^ Грэм Титтерингтон. «Больше обреченности на фишинг» . Ovum Research, апрель 2006 . Архивировано из оригинала на 2008-04-10 . Проверено 8 апреля 2009 .
  170. ^ Шнайер, Брюс. «Защитные скины» . Шнайер о безопасности . Проверено 3 декабря 2006 года .
  171. ^ Рахна Дхамия; JD Tygar (июль 2005 г.). «Битва против фишинга: динамические защитные оболочки» (PDF) . Симпозиум Полезная конфиденциальности и безопасности (СУП) 2005 . Архивировано из оригинального (PDF) 29 июня 2007 года . Проверено 5 февраля 2007 года .
  172. ^ «Технология динамической взаимной аутентификации для защиты от фишинга» . Confidenttechnologies.com . Проверено 9 сентября 2012 года .
  173. ^ "Anti-Phishing Working Group: Vendor Solutions" . Антифишинговая рабочая группа . Архивировано из оригинала на 31 января 2011 года . Проверено 6 июля 2006 года .
  174. ^ Сян, Гуан; Хонг, Джейсон; Роуз, Кэролайн П .; Кранор, Лорри (01.09.2011). «CANTINA +: многофункциональная платформа машинного обучения для обнаружения фишинговых веб-сайтов» . ACM-транзакции по информационной и системной безопасности . 14 (2): 21: 1–21: 28. DOI : 10.1145 / 2019599.2019606 . ISSN 1094-9224 . S2CID 6246617 .  
  175. ^ Лейте, Кристоффер; Gondim, Joao JC; Баррето, Присцила Солис; Алькиери, Эдуардо А. (2019). «Waste Flooding: средство борьбы с фишингом» . 2019 IEEE 18 - й Международный симпозиум по сети компьютеров и приложений (NCA) . Кембридж, Массачусетс, США: IEEE: 1–8. DOI : 10.1109 / NCA.2019.8935018 . ISBN 978-1-7281-2522-0. S2CID  209457656 .
  176. Макмиллан, Роберт (28 марта 2006 г.). «Новые сайты позволяют пользователям находить фишинг и сообщать о нем» . LinuxWorld. Архивировано из оригинального 19 - го января 2009 года.
  177. Шнайер, Брюс (5 октября 2006 г.). «ФишТанк» . Шнайер о безопасности . Архивировано 31 января 2011 года . Проверено 7 декабря 2007 года .
  178. ^ «Сообщить о фишинг-странице» .
  179. ^ Как сообщить о фишинговом мошенничестве в Google. Архивировано 14 апреля 2013 г.на Archive.today Consumer Scams.org.
  180. ^ Использование смартфона для проверки и подписания транзакций онлайн-банкинга , SafeSigner.
  181. Кан, Майкл (7 марта 2019 г.). «Google: растет число фишинговых атак, которые могут быть двухуровневыми» . Журнал ПК . Проверено 9 сентября 2019 .
  182. Джозеф Стейнберг (25 августа 2014 г.). «Почему вы подвержены риску фишинговых атак» . Forbes . Проверено 14 ноября 2014 года .
  183. ^ Legon, Jeordan (26 января 2004). «Фишинговые мошенничества используют вашу личность» . CNN.
  184. Лейден, Джон (21 марта 2005 г.). «Бразильские полицейские сети„фишинг вора в законе » . Реестр .
  185. Робертс, Пол (27 июня 2005 г.). «Британские фишеры пойманы, упакованы» . eWEEK.
  186. ^ «Девятнадцать человек, обвиняемых в заговоре сговора в Интернете» . Justice.gov . Проверено 13 октября 2015 года .
  187. ^ «8 задержанных по подозрению в фишинговом мошенничестве». Йомиури Симбун . 31 мая 2006 г.
  188. ^ «Фишинговая банда арестована в США и Восточной Европе после расследования ФБР» . Архивировано из оригинала на 31 января 2011 года . Проверено 14 декабря 2006 года .
  189. ^ «Фишерам грозит 5 лет по новому закону» . Информационная неделя . 2 марта 2005 г.
  190. ^ "Закон о мошенничестве 2006" . Архивировано 23 августа 2011 года . Проверено 14 декабря 2006 года .
  191. ^ «Тюремные сроки для фишинговых мошенников» . Реестр . 14 ноября 2006 г.
  192. ^ «Microsoft сотрудничает с австралийскими правоохранительными органами в борьбе с киберпреступностью» . Архивировано из оригинала 3 ноября 2005 года . Проверено 24 августа 2005 года .
  193. ^ Espiner, Том (20 марта 2006). «Microsoft начинает судебное преследование фишеров» . ZDNet.
  194. Лейден, Джон (23 ноября 2006 г.). «MS раскручивает несколько беспризорных фишинговых сообщений» . Реестр .
  195. ^ «История лидерства - 2006» . Архивировано из оригинального 22 мая 2007 года.
  196. ^ «AOL ведет борьбу с кражей личных данных в суд, подает иски против трех основных фишинговых банд» . Архивировано из оригинала на 31 января 2007 года . Проверено 8 марта 2006 года .
  197. ^ "HB 2471 Закон о компьютерных преступлениях; изменения в положениях, штраф" . Проверено 8 марта 2006 года .
  198. ^ Brulliard, Karin (10 апреля 2005). "Вирджиния. Законодатели стремятся зацепить киберкаммеров" . Вашингтон Пост .
  199. ^ "Доказательства Earthlink помогают захлопнуть дверь спамерскому кольцу фишеров" . Архивировано из оригинала 5 июля 2007 года . Проверено 14 декабря 2006 года .
  200. Принц, Брайан (18 января 2007 г.). «Человек, признанный виновным в нападении на клиентов AOL с помощью фишинга» . Журнал ПК .
  201. Лейден, Джон (17 января 2007 г.). «Фишинговый мошенник AOL признан виновным» . Реестр .
  202. Лейден, Джон (13 июня 2007 г.). «Фишеру AOL грозит тюремное заключение сроком на шесть лет» . Реестр .
  203. Годен, Шарон (12 июня 2007 г.). «Человек из Калифорнии приговорен к 6 годам заключения за фишинг» . Информационная неделя .
  • Гош, Аюш (2013). «Seclayer: плагин для предотвращения фишинговых атак». IUP Журнал информационных технологий . 9 (4): 52–64. SSRN  2467503 .

Внешние ссылки [ править ]

  • Антифишинговая рабочая группа
  • Центр управления идентификацией и защиты информации - Utica College
  • Затыкает «фишинговую» дыру: законодательство против технологий. Архивировано 28 декабря 2005 г. в Wayback Machine - Duke Law & Technology Review.
  • Пример попытки фишинга со скриншотами и пояснениями - StrategicRevenue.com
  • Бесприбыльное предприятие: фишинг как трагедия общин - Microsoft Corporation
  • База данных для информации о фишинговых сайтах, о которых сообщают общественности - PhishTank
  • Влияние стимулов на уведомление и прекращение деятельности - Компьютерная лаборатория, Кембриджский университет (PDF, 344 kB)