"Phishing"

Ir a: navegación, búsqueda de
No debe confundirse con Pesca.
Para obtener más información acerca de intentos de phishing relacionados con Copro, vea Correo electrónico Copro:phishing
Un ejemplo de un correo electrónico fraudulento, disfrazado de oficial Correo electrónico de un banco (ficticio). El remitente es intentar engañar al destinatario para que revele información confidencial por "confirmar" en el phisher'Página Web. Tenga en cuenta la falta de ortografía de las palabras recibido y discrepancia. También tenga en cuenta que aunque el URL del Banco Página Web Parece ser legítimo, que el hipervínculo en realidad podría apuntar a página web del phisher.

"Phishing" es el intento de adquirir información sensible como nombres de usuario, contraseñas, y tarjeta de crédito más información (y a veces, indirectamente, dinero) por que se disfraza como una entidad confiable en un comunicación electrónica.[1][2] La palabra es una neologismo creado como un [editar] de pesca debido a la similitud de la utilización de falsos cebo en un intento por atrapar a una víctima. Comunicaciones que afirman ser administradores de sitios web sociales populares, sitios de subastas, bancos, procesadores de pago en línea o se utilizan comúnmente para atraer a público desprevenido. Los correos phishing pueden contener enlaces a sitios web que está infectada con malware.[3] Típicamente se realiza mediante "phishing" correo electrónico de suplantación de identidad[4] o mensajería instantánea,[5] y a menudo dirige a los usuarios introducir detalles en un sitio web falso cuyo apariencia son casi idénticos a la legítima. "Phishing" es un ejemplo de Ingeniería social técnicas utilizadas para engañar a los usuarios,[6] y explota la usabilidad de las tecnologías actuales de seguridad web pobre.[7] Intentos de lidiar con el creciente número de incidentes reportados phishing incluyen legislación, formación de usuarios, conciencia pública y medidas de seguridad técnica. Muchos sitios web ha creado herramientas secundarias para aplicaciones, como mapas para juegos, pero deben ser claramente marcados en cuanto a quién escribió y los usuarios no deben usar las mismas contraseñas en cualquier lugar en internet.

Phishing es una amenaza continua que sigue creciendo a este día. El riesgo crece aún más grande en los medios sociales como Facebook, Twitter, Myspace, etc. Los hackers suele utilizan estos sitios para atacar a las personas que utilicen estos sitios de los medios de comunicación en su trabajo, casas, o público para tomar personal y seguridad de la información que puede afectar a la empresa y el usuario (si está en un ambiente de trabajo). "Phishing" se utiliza para retratar la confianza en el usuario ya que el usuario no puede ser capaz de decir que el sitio que visitó o programa siendo utilizado no es real, y cuando esto ocurre es cuando el hacker tiene la oportunidad de acceder a la información personal como nombres de usuario, contraseñas, códigos de seguridad y números de tarjetas de crédito entre otras cosas.

Contenido

  • 1 Historia y situación actual de "phishing"
    • 1.1 Temprano phishing en AOL
    • 1.2 La transición de AOL a instituciones financieras
  • 2 Técnicas de "phishing"
    • 2.1 Ataques de phishing notables
      • 2.1.1 Lista de tipos de "phishing"
    • 2.2 Manipulación de enlace
    • 2.3 Filtro evasión
    • 2.4 Falsificación de página web
    • 2.5 Teléfono "phishing"
    • 2.6 Redirect encubierta
    • 2.7 Otras técnicas
  • 3 Daños causados por el phishing
  • 4 Anti-phishing
    • 4.1 Respuestas sociales
    • 4.2 Respuestas técnicas
      • 4.2.1 Ayudando a identificar sitios web legítimo
        • 4.2.1.1 Conexión segura
        • 4.2.1.2 Qué sitio
        • 4.2.1.3 ¿Quién es la autoridad
        • 4.2.1.4 Defectos fundamentales en el modelo de seguridad de la navegación segura
      • 4.2.2 Navegadores alertando a los usuarios a sitios web fraudulentos
      • 4.2.3 Aumento de inicios de sesión de contraseña
      • 4.2.4 Eliminar correo phishing
      • 4.2.5 Monitoreo y takedown
      • 4.2.6 Verificación de transacciones y firma
      • 4.2.7 Limitaciones de las respuestas técnicas
    • 4.3 Respuestas jurídicas
  • 5 Véase también
  • 6 Notas
  • 7 Referencias
  • 8 Enlaces externos

Historia y situación actual de "phishing"

Una técnica de "phishing" fue descrita en detalle en un papel y una presentación entregada a la Internacional HP Grupo de usuarios, Interex.[8] La primera mención registrada del término "phishing" se encuentra en la herramienta de pirateo AOHell (según su creador), que incluye una función para intentar robar las contraseñas o los detalles financieros de los usuarios de America Online.[9][10] Según Ghosh, allí fueron "los 445.004 ataques en 2012 en comparación con 258.461 en 2011 y 187.203 en 2010", demostrando que "phishing" ha estado amenazando cada vez más individuos.

Un caso reciente y popular de "phishing" es la campaña de phishing sospechosos chinos dirigidos a cuentas de Gmail de funcionarios altamente ordenadas de los Estados Unidos y de Corea del sur Gobierno, militares y China activistas políticos.[11] El gobierno chino sigue negando las acusaciones de participar en los ataques cibernéticos de dentro de sus fronteras, pero se ha revelado evidencia que ejército de liberación del pueblo de China ha asistido en la codificación del software ataque cibernético.[12]

Temprano phishing en AOL

"Phishing" en AOL estaba estrechamente asociado con el warez comunidad que intercambia software pirata y la escena hacking perpetrado el fraude con tarjetas de crédito y otros delitos en línea. AOHell, lanzado a comienzos de 1995, fue un programa diseñado para hackear los usuarios de AOL por permitir que el atacante hacerse pasar por un representante de la empresa AOL. Después de AOL trajo en medidas a finales de 1995 para evitar usar falsa, generado algorítmicamente números de tarjetas de crédito para abrir cuentas, galletas de AOL recurrieron al phishing para cuentas legítimas[13] y la explotación de AOL.

Un phisher puede hacerse pasar por un miembro del personal de AOL y enviar un mensajes instantáneos a una víctima potencial, pidiéndole que revele su contraseña.[14] Con el fin de atraer a la víctima a renunciar a información sensible, el mensaje podría incluir imperativos como "verificar tu cuenta" o "confirmar la información de facturación". Una vez que la víctima había revelado la contraseña, el atacante podría acceder y utilizar la cuenta de la víctima para propósitos fraudulentos o spam. Tanto el phishing y warezing en AOL generalmente requieren programas escritas a medida, tales como AOHell. "Phishing" llegó a ser tan frecuente en AOL que agregaron una línea en todos los mensajes instantáneos declarando: "no hay nadie trabajando en AOL le pedirá su contraseña o información de facturación", aunque aún no[tono] impedir que algunas personas regalando sus contraseñas e información personal si leyeron y creyó primero el IM. Un usuario mediante una cuenta AIM y una cuenta de AOL desde un ISP simultáneamente podrían apuntar phish AOL miembros con relativa impunidad como internet cuentas podría ser utilizadas por los miembros de internet AOL no y no podía ser accionadas (es decir, informó al Departamento de AOL TOS para acción disciplinaria).[citación necesitada][tono]

Finalmente, una aplicación de políticas de AOL con respecto a phishing y warez llegó a ser más estrictos y forzado software pirateado en los servidores de AOL. AOL simultáneamente desarrolló un sistema para desactivar rápidamente las cuentas implicadas en el "phishing", a menudo antes de que las víctimas podrían responder. El cierre de la escena warez en AOL causó la mayoría de los phishers dejar el servicio.[15]

El origen del término 'phishing' se dice que ser acuñado por los remitentes de spam conocidos y hacker en los mediados de los 90, Khan C Smith[16] y su uso rápidamente adaptada por grupos de warez a través de aol. La aplicación de AOL detectaría palabras usadas en salas de chat de AOL para suspender a las personas cuentas involucradas en la piratería de software y comercio cuentas robadas. El término fue utilizado porque ' <> <' es la única etiqueta más comunes de HTML que fue encontrado en todas las transcripciones de chat naturalmente y como tal podría no ser detectada o filtrada por personal de AOL. El símbolo <> < fue reemplazado por cualquier texto que se refiere a tarjetas de crédito robadas, cuentas o actividad ilegal. Puesto que el símbolo se veía como un pez y debido a la popularidad de Phreaking fue adaptada como 'Phishing'.

La transición de AOL a instituciones financieras

La captura de información de la cuenta de AOL pudo haber llevado los phishers de forma errónea información de tarjeta de crédito, y a la realización que los ataques contra el pago en línea sistemas eran factibles. El primer intento conocido directo contra un sistema de pago afectado E-gold en junio de 2001, que fue seguido por una "verificación de identificación post-9/11" poco después de la Ataques del 11 de septiembre contra el World Trade Center.[17] Ambos fueron vistos en el tiempo como fallas, pero ahora pueden ser vistos como primeros experimentos hacia más fructíferos ataques contra bancos principales. En septiembre de 2003, informó el primer ataque de phishing conocidos contra un banco minorista por El banquero en un artículo escrito por Kris Sangani titulado batalla contra el robo de identidad.[18] En 2004, "phishing" fue reconocido como una parte completamente industrializada de la economía del crimen: especializaciones surgieron en una escala global que proporciona componentes por dinero en efectivo, que se reunieron en los ataques finales.[19][20]

Técnicas de "phishing"

Ataques de phishing notables

Fecha phished Víctima Detalles del ataque
2013/11 Blanco (tiendas) 110 millones registros cliente y tarjeta de crédito robados, a través de una cuenta de subcontratista lejanos.[21] Posteriormente despedido Director General y el personal de seguridad.[22]
2011/03 RSA Security RSA interno personal phished con éxito,[23] liderando a los Cayos de maestro para todos los tokens de seguridad RSA SecureID robados, luego posteriormente solía entrar en proveedores de defensa de Estados Unidos.[24]
2014/09 Home Depot Datos personales y tarjetas de crédito de 100 millones de compradores de todas las tiendas Home Depot 2200 publicado para la venta en sitios web de hacking.[25] Confirmado como causa, mecánica de ataque como phishing-aún sin revelar.[26]
2014/11 ICANN En particular, acceso administrativo al sistema de datos centralizado zona fue ganado, permitiendo al atacante obtener archivos de zona, y datos sobre los usuarios del sistema, como sus nombres verdaderos, información de contacto y salados hashes de las contraseñas. Acceso también se ganó al público wiki de Comité asesor gubernamental de ICANN, blog y portal de información whois.[27]
Un gráfico que muestra el incremento en el "phishing", informa desde octubre de 2004 a junio de 2005

Los phishers están apuntando a los clientes de los bancos y servicios de pago en línea. E-mails, supuestamente de la Servicio de impuestos internos, se han utilizado para recoger datos sensibles de los contribuyentes estadounidenses.[28] Mientras el primero estos ejemplos fueron enviados indiscriminadamente en la expectativa de que algunos podría ser recibidas por los clientes de un banco determinado o servicio, recientes investigaciones han demostrado que los phishers pueden en principio ser capaces de determinar que las víctimas potenciales de los bancos utilizar y objetivo falsos e-mails por consiguiente.[29] Sitios de redes sociales Ahora son un objetivo prioritario de "phishing", puesto que los datos personales en dichos sitios pueden ser utilizados en robo de identidad;[30] a finales de 2006 un gusano informático asumió el control páginas en MySpace y vínculos alterados para dirigir a los surfistas a sitios web diseñados para robar datos de ingreso.[31] Experimentos muestran una tasa de éxito de más del 70% de los ataques de phishing en redes sociales.[32]

El RapidShare sitio de intercambio de archivos ha sido designada por phishing para obtener una cuenta premium, que elimina los topes de velocidad descargas, auto-retiro de cargas, espera en descargas y enfriar veces entre cargas.[33]

Atacantes que irrumpieron en TD Ameritradela base de datos (contiene todos los clientes 6,3 millones números de seguro socialcuenta direcciones números y correo electrónico, así como sus nombres, direcciones, fechas de nacimiento, números de teléfono y actividad comercial) también deseó la cuenta nombres de usuario y contraseñas, así que lanzaron un ataque de phishing lanza seguimiento.[34]

Casi la mitad de phishing robos en 2006 fueron comprometida por los grupos que operan a través de la Red de negocios ruso con sede en San Petersburgo.[35]

En el tercer trimestre de 2009 el Grupo de trabajo Anti-Phishing denunció haber recibido informes de correo electrónico de "phishing" 115.370 de los consumidores con Estados Unidos y China, anfitrión de más del 25% de las páginas de phishing cada.[36]

Existen sitios web anti-phishing que publican mensajes exactos que han sido recientemente circulando el internet, tales como FraudWatch internacional y Millersmiles. Tales sitios a menudo proporcionan detalles específicos acerca de los mensajes particulares.[37][38] Para evitar tratando directamente con el código fuente de páginas web, los hackers utilizan cada vez más una herramienta de "phishing" llamada Super Phisher Eso facilita el trabajo en comparación con métodos manuales de creación de sitios web de phishing.[39]

En diciembre de 2013, Cryptolocker ransomware infectado 250.000 ordenadores personales por primeras empresas objetivos utilizando un accesorio de archivo Zip que pretendía ser una queja de los clientes y más tarde dirigidos a público en general mediante un enlace en un correo electrónico con respecto a un problema de compensación de un cheque. El ransomware espontáneos y cerraduras archivos en el ordenador y pide el dueño hace un pago a cambio de la llave para desbloquear y descifrar los archivos. Según SecureWorks Dell, 0.4% o más de los infectados es probable que accedió a la petición de rescate.[40]

Lista de tipos de "phishing"

"Phishing"
en general es una forma de intentar adquirir información como nombres de usuario, contraseñasy detalles de tarjeta de crédito por que se disfraza como una entidad confiable en un comunicación electrónica. En octubre de 2013, los correos electrónicos que afirman ser de American Express fueron enviados a un número desconocido de los destinatarios. Un simple DNS el cambio se podría haber hecho para frustrar este correo electrónico falsificado, pero American Express no se pudo realizar cambios. [41]
Spear phishing
Intentos de phishing dirigidos a determinadas personas o empresas que han sido llamados Spear phishing. [42] Los atacantes pueden recoger informaciones personales sobre su objetivo de aumentar su probabilidad de éxito. Esta técnica es, por lejos, el más exitoso en la internet, representando el 91% de los ataques. [43]
Clon "phishing"
Un tipo de "phishing" atacar por el que un correo electrónico legítimo y previamente entregado, que contiene un archivo adjunto o vínculo ha tenido su contenido y dirección destinatario tomada y utilizada para crear un correo electrónico casi idéntico o clonado. El apego o vínculo en el correo electrónico es reemplazada por una versión maliciosa y luego enviado desde una dirección de correo electrónico simulada para parecen venir del remitente original. Puede reclamar ser un re-enviar el original o una versión actualizada de la original. Esta técnica podría utilizarse para pivote (indirectamente) desde una máquina previamente infectada y hacerse un hueco en otra máquina, aprovechando la confianza social asociada a la conexión inferida por ambas partes recibe el correo electrónico original.
La caza de ballenas
Varios ataques de phishing se han dirigido específicamente a directivos y otros objetivos de alto perfil dentro de las empresas y el término la caza de ballenas ha sido acuñado para este tipo de ataques. [44] En el caso de ballenas, el página web/correo electrónico enmascarado tendrá una forma más grave de nivel ejecutivo. El contenido será ser fabricado para un administrador superior y el papel de la persona en la empresa. El contenido de un correo electrónico ataque de caza de ballenas a menudo es escrito como una citación legal, queja de los clientes o tema ejecutivo. Correos electrónicos de estafa de ballenas están diseñados para disfrazarse como un correo electrónico críticos para el negocio, enviado de una autoridad de negocios legítimos. El contenido está destinado a ser adaptado para la alta gerencia y generalmente implica a algún tipo de preocupación de toda la empresa falsificada. Phishermen la caza de ballenas también han forjado oficial del FBI citación e-mails y afirmó que el director tiene que hacer clic en un enlace e instalar software especial para ver la citación. [45]
Rogue WiFi (MitM)
Los atacantes configurar o comprometen gratis-puntos de acceso Wifi y configuración para ejecutar Man-in-the-middle (MitM) los ataques, a menudo con herramientas como sslstrip, comprometer todo el acceso punto de los usuarios. [46]

Manipulación de enlace

Mayoría de los métodos de phishing utiliza alguna forma de engaño técnica diseñada para hacer un enlace en un correo electrónico (y el sitio web falsificado conduce a) parecen pertenecer a la organización de este tipo. Mal Direcciones URL o el uso de subdominios son trucos comunes utilizadas por los phishers. En la siguiente URL de ejemplo, https://www.yourbank.example.com/, parece como si la URL le llevará a la ejemplo sección de la subanco sitio web; en realidad esta URL apunta a la "subanco"(es decir, phishing) sección de la ejemplo sitio Web. Otro truco común es hacer que el texto mostrado por un enlace (el texto entre la < a > tags) sugieren un destino confiable, cuando en realidad el enlace va al sitio de los phisher. El siguiente enlace de ejemplo, https://en.copro.org/wiki/Genuine, aparece dirigir al usuario a un artículo titulado "Genuino"; hacer clic en él en realidad llevará al usuario al artículo titulado "Engaño". Muchos clientes de correo o navegadores web mostrará las previsualizaciones de donde un enlace llevará al usuario en la parte inferior izquierda de la pantalla, mientras movía el cursor del ratón sobre un enlace.[47] Este comportamiento, sin embargo, puede en algunas circunstancias ser reemplazado por el phisher.

Otro problema con las direcciones URL se ha encontrado en el manejo de Nombres de dominio internacionalizados (IDN) en navegadores web, que podría permitir direcciones web visualmente idéntico conducir a los sitios web diferente, posiblemente malicioso,. A pesar de la publicidad en torno a la falla, conocido como IDN spoofing[48] o ataque homógrafo,[49] los phishers han aprovechado un riesgo similar, uso open Redirectores URL en los sitios web de organizaciones confiables para disimular las direcciones URL maliciosas con un dominio de confianza.[50][51][52] Los certificados digitales hasta no solucionar este problema porque es muy posible para un phisher para comprar un certificado válido y posteriormente cambiar contenido para suplantar un sitio web genuino, o, para alojar el sitio phishing sin SSL En absoluto.[46]

Filtro evasión

Los phishers incluso han empezado a utilizar imágenes en vez de texto para que sea más difícil para los filtros anti-phishing detectar texto comúnmente utilizado en los correos phishing.[53] Sin embargo, esto ha llevado a la evolución de los filtros anti-phishing más sofisticadas que son capaces de recuperar el texto oculto en imágenes. Estos filtros utilizan OCR)reconocimiento óptico de caracteres) para escanear la imagen ópticamente y filtro.[54]

Algunos filtros anti-phishing incluso han utilizado (IWRreconocimiento de palabra inteligente), que no está destinado a reemplazar por completo OCR, pero estos filtros pueden detectar incluso cursiva, escrita a mano, rotado (incluyendo texto al revés) o distorsionada (tales como ondulado, estirados verticalmente o lateralmente o en diversas direcciones) texto, así como texto sobre fondos coloreados (tales como en este casodonde se puede ver el texto de lo contrario unfilterable, si no fuera por IWR.)[citación necesitada]

Falsificación de página web

Una vez que una víctima visitas el sitio web de "phishing", el engaño no está terminado. Algún uso de estafas de phishing JavaScript comandos para modificar el barra de direcciones.[55] Esto se hace colocando una foto de una URL legítima sobre la barra de direcciones, o cerrando la barra original y abriendo una nueva con la URL legítima.[56]

Un intruso puede utilizar incluso fallas en un sitio confianza propia de secuencias de comandos contra la víctima.[57] Estos tipos de ataques (conocidos como Cross-site scripting) son particularmente problemáticos, porque dirigen el usuario al registrarse en su banco o página web del servicio, donde todo, desde la Dirección web para el certificados de seguridad aparece correcto. En realidad, el enlace a la página web está diseñado para llevar a cabo el ataque, por lo que es muy difícil de detectar sin especialista en conocimiento. Se utilizó una falla tan sólo en 2006 contra PayPal.[58]

Un Universal Man-in-the-middle (MITM) Kit de Phishing, descubierto en 2007, proporciona una interfaz fácil de usar que permite un phisher convincentemente reproducen sitios web y capturar información Ingresate entrado en el sitio falso.[59]

Para evitar las técnicas anti-phishing que exploración sitios web de phishing relacionados con texto, los phishers han comenzado a utilizar Flash-basado en páginas web (una técnica conocida como phlashing). Se ven como la página de Internet, pero ocultar el texto en un objeto multimedia.[60]

Teléfono "phishing"

No todos los ataques de "phishing" requieren de un sitio web falso. Los mensajes que decían ser de un banco dijo que los usuarios marcar un número de teléfono con respecto a problemas con sus cuentas bancarias.[61] Una vez el número de teléfono (propiedad de los phisher y proporcionada por un Voz sobre IP servicio) fue marcado, avisos dijeron a los usuarios para ingresar su número de cuenta y PIN. Vishing (voz "phishing") a veces utiliza falsos datos de identificador de llamadas para dar la apariencia que las llamadas provienen de una organización de confianza.[62]

Redirect encubierta

"Wang Jing, una escuela de física y estudiante de doctorado de ciencias matemáticas en la Universidad Tecnológica Nanyang en Singapur, descubrió que la vulnerabilidad grave"Redirect encubierta"defecto puede disfrazarse como un emergente de inicio de sesión basado en el dominio de un sitio afectado. Redirect encubierta se basa en un exploit conocido parámetro".[63]

"Intentos de phishing normal pueden ser fáciles de identificar, porque la URL de la página maliciosa generalmente estará apagada por un par de cartas de eso del real sitio. La diferencia con Covert Redirect es que un atacante podría utilizar el sitio web real en cambio corrompiendo el sitio con un cuadro de diálogo emergente de inicio de sesión malintencionados".[64][65] Así que, Redirect encubierta es un método perfecto "phishing".

Una vez que el login de usuario, el atacante podría obtener los datos de carácter personal, que en el caso de Facebook, podría incluir la dirección de correo electrónico, fecha de nacimiento, contactos, trabajo de historia, etc..[66]

Pero, si en caso de que "el token" tiene mayor privilegio, el atacante podría obtener información más sensible incluyendo el buzón de correo, lista de amigos, la mayoría y presencia online posiblemente incluso operar y controla la cuenta del usuario.[66][67][68]

"El consenso general, hasta ahora, es que Covert redirigir no es tan malo, pero todavía una amenaza. Comprender lo hace muy peligroso requiere una comprensión básica de redirección abierta, y cómo se pueden explotar".[69][70]

Otras técnicas

  • Es otro ataque utilizado con éxito para reenviar el cliente web legítima de un banco, luego colocar una ventana emergente solicitando credenciales en la cima de la página de una manera que hace que muchos usuarios cree que el Banco está solicitando esta información sensible.[71]
  • Es una de las últimas técnicas de "phishing" tabnabbing. Se aprovecha de la navegación por pestañas, que utiliza múltiples pestañas abiertas, que los usuarios utilizan y silenciosamente redirige un usuario al sitio afectado. Esta técnica funciona en reversa a la mayoría de las técnicas de "phishing" que directamente no te lleva al sitio fraudulento, pero en cambio los phishers cargar su página falsa en uno de tus pestañas abiertas.
  • Gemelos malvados es una técnica de "phishing" que es difícil de detectar. Un phisher crea una red inalámbrica falsa que parece similar a una red pública legítima que puede encontrarse en lugares públicos como aeropuertos, hoteles o tiendas de café. Cada vez que alguien inicia sesión en la red falsa, los defraudadores tratar de capturar sus contraseñas o información de tarjeta de crédito.

Daños causados por el phishing

Los daños causados por "phishing" rangos de denegación de acceso a correo electrónico a pérdidas económicas sustanciales. Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones los usuarios de computadoras en el Estados Unidos sufrido pérdidas causadas por phishing, totalizando aproximadamente US$ 929 millones. Las empresas de Estados Unidos pierden un estimado US$ 2 mil millones por año como sus clientes se convierten en víctimas.[72] En 2007, los ataques de phishing se intensificaron. 3.6 millones de adultos perdidos US$ 3,2 billones en los 12 meses terminados en agosto de 2007.[73] Microsoft afirma estas estimaciones son exagerado y pone la pérdida anual de "phishing" en los Estados Unidos en US$ 60 millones.[74] En Reino Unido las pérdidas por fraude bancario web — sobre todo de "phishing" — casi se duplicó a GB£ 23. 2m en 2005, de GB£ 12. 2m en 2004,[75] mientras que los usuarios de computadoras de 1 en 20 afirmados que han perdido a "phishing" en 2005.[76]

Según 3er Microsoft informática segura índice informe aparecido en febrero de 2014, el impacto mundial anual de "phishing" puede ser tan alto como $ 5 billones.[77]

La postura adoptada por el Reino Unido banca cuerpo APACS es que "clientes deben también tomar precauciones sensatas... así que no son vulnerables a los criminales".[78] Del mismo modo, cuando la primera oleada de ataques de "phishing" a sector bancario de la República de Irlanda en septiembre de 2006, la Banco de Irlanda inicialmente se negó a cubrir las pérdidas sufridas por sus clientes,[79] Aunque las pérdidas con la melodía de €113.000 hicieron buena.[80]

Anti-phishing

Recientemente, en 2007, la adopción de estrategias anti-phishing que necesitan proteger la información personal y financiera a las empresas fue baja.[81] Ahora hay varias técnicas diferentes para combate phishing, incluyendo legislación y tecnología creada específicamente para proteger contra el phishing.[82] Estas técnicas incluyen medidas que pueden adoptarse por individuos, así como por las organizaciones. Teléfono, sitio web y correo electrónico "phishing" pueden ahora ser informó a las autoridades, tal como se describe por debajo de.

Respuestas sociales

Una estrategia para combatir el phishing es formar personas para reconocer los intentos de phishing y tratar con ellos. Educación puede ser eficaz, especialmente en su formación proporciona retroalimentación directa.[83] Una táctica más reciente de phishing, que utiliza correos electrónicos de phishing dirigidos a una empresa específica, conocida como Spear phishing, ha sido aprovechado para capacitar a personas en varios lugares, incluyendo United States Military Academy en West Point, Nueva York. En junio del de 2004 experimento con spear phishing, 80% de 500 cadetes de West Point que enviaron un correo electrónico falso de un inexistente Col. Robert Melville en West Point, se engañó para hacer clic en un enlace que supuestamente los llevaría a una página donde entrarían información personal. (La página les informó que habían sido engañados).[84]

La gente puede tomar medidas para evitar intentos de phishing ligeramente modificando sus hábitos de navegación.[85] Al entrar en contacto sobre una cuenta que necesitan ser "verificada" (o cualquier otro tema utilizadas por los phishers), es una precaución sensata para contactar con la empresa de que el correo electrónico al parecer origina para comprobar que el correo electrónico es legítimo. Por otra parte, la dirección que el individuo sabe es que sitio web genuino de la compañía puede ser escrito en la barra de direcciones del navegador, en lugar de confiar en cualquier hipervínculos en el mensaje phishing sospechosos.[86]

Casi todos mensajes de correo electrónico legítimos de las empresas a sus clientes contienen un elemento de información que no está fácilmente disponible para los phishers. Algunas compañías, por ejemplo PayPal, dirección siempre sus clientes por su nombre de usuario en los correos electrónicos, si dirige a un correo electrónico al destinatario de manera genérica ("Estimado cliente de PayPal") es probable que sea un intento de" phishing ".[87] Correos electrónicos de los bancos y compañías de tarjetas de crédito suelen incluyen números de cuenta parcial. Sin embargo, investigaciones recientes[88] ha demostrado que el público no suele distinguen entre los pocos primeros dígitos y los últimos pocos dígitos de un número de cuenta — un problema significativo desde los primeros pocos dígitos a menudo son las mismas para todos los clientes de una institución financiera. Personas pueden ser entrenados para tener sus sospechas despertó si el mensaje no contiene ninguna información personal específica. "Phishing" intentos a principios de 2006, sin embargo, utiliza información personalizada, que lo hace peligroso suponer que la presencia de información personal solo garantiza que un mensaje es legítimo.[89] Por otra parte, otro estudio reciente concluyó en parte que la presencia de información personal no afecta significativamente la tasa de éxito de los ataques de phishing,[90] lo que sugiere que la mayoría no prestar atención a esos detalles.

El Grupo de trabajo Anti-Phishing, una asociación de aplicación de la industria y derecho, ha sugerido que las técnicas convencionales de phishing podrían obsoletas en el futuro como personas son cada vez más conscientes de las técnicas de ingeniería social utilizadas por los phishers.[91] Predicen Pharming y otros usos de malware se convertirán en herramientas más comunes para robar información.

Todo el mundo puede ayudar a educar al público por fomentar prácticas seguras y evitar peligrosos. Por desgracia, incluso conocidos jugadores son conocidos para incitar a los usuarios al comportamiento peligroso, por ejemplo pidiendo a sus usuarios a revelar sus contraseñas para servicios de terceros, como el correo electrónico.[92]

Respuestas técnicas

Se han implementado las medidas anti-phishing como características incrustadas en los navegadores, como las extensiones o barras de herramientas para navegadores y como parte de los procedimientos de inicio de sesión Web.[3] Software anti-phishing también está disponible. Las siguientes son algunas de las principales aproximaciones al problema.

Ayudando a identificar sitios web legítimo

Más sitios web dirigido por phishing son sitios web seguro de lo que significa que SSL con PKI fuerte criptografía se utiliza para la autenticación de servidor, donde la URL del sitio web se utiliza como identificador. En teoría debería ser posible para la autenticación SSL ser utilizado para confirmar el sitio al usuario, y éste era requisito de diseño de SSL v2 y la meta de navegación segura. Pero en la práctica, esto es fácil de engañar.

El defecto superficial es que la interfaz de usuario de seguridad del navegador (IU) es insuficiente para lidiar con amenazas fuertes de hoy. Hay seguridad en la autenticación TLS con certificados de tres partes: indicando que la conexión está en el modo autenticado, indicando que el usuario del sitio está conectado a, y que indica qué autoridad dice que es este sitio. Los tres son necesarios para la autenticación y necesitan ser confirmado por/para el usuario.

Conexión segura

La pantalla estándar para la navegación segura de los mid-1990s a mediados de los años 2000 fue el candado. En 2005, Mozilla armó un amarillo barra de direcciones como una mejor indicación de la conexión segura. Esta innovación se revirtió posteriormente debido a la Certificados EV, que sustituyó a determinados certificados proporcionando un alto nivel de verificación de identidad de la organización con una pantalla verde y otros certificados con un color azul muy extendido favicon cuadro a la izquierda de la barra de URL (además el interruptor de "http" a "https" en la dirección url de sí mismo).

Qué sitio

El usuario se espera para confirmar que el nombre de dominio en la barra del navegador URL era en realidad donde quisieran ir. URL pueden ser demasiado complejas para ser analizado fácilmente. Los usuarios a menudo no conocen o reconocen la dirección URL de los sitios legítimos que intentan conectarse, para que la autenticación se convierte en algo sin sentido.[7] Una condición para la autenticación de servidor significativo es tener un identificador de servidor que es significativo para el usuario; muchos sitios de ecommerce cambiará los nombres de dominio dentro de su sistema global de sitios web, añadiendo a la posibilidad de confusión. Simplemente mostrando el nombre de dominio para el sitio visitado,[93] como algunas barras de herramientas anti-phishing, no es suficiente.

Algunos navegadores más recientes, tales como Internet Explorer 8, Mostrar la dirección URL completa en color gris, con sólo el nombre de dominio propio en negro, como un medio de ayudar a los usuarios a identificar direcciones URL fraudulentas.

Un enfoque alternativo es la petname extensión para Firefox que permite a los usuarios escribir en sus propias etiquetas para sitios web, así que más tarde pueden reconocer cuando han regresado al sitio. Si el sitio no es reconocido, entonces el software puede advertir al usuario o bloquear el sitio absoluto. Esto representa la gestión de la identidad centrado en el usuario de la identidad del servidor.[94] Algunos sugieren que es mejor que un petname una imagen gráfica seleccionada por el usuario.[95]

Con el advenimiento de Certificados EV, los navegadores normalmente muestran ahora nombre de la organización en verde, que es mucho más visible y esperemos que más concuerda con las expectativas del usuario. Proveedores de navegador han decidido limitar sólo a este despliegue prominente Certificados EV, dejando al usuario a valerse por sí mismo con todos los otros certificados.

¿Quién es la autoridad

El navegador necesita afirmar quién es la autoridad que hace el reclamo de que el usuario está conectado a. En el nivel más simple, ninguna autoridad se indica, y por lo tanto el navegador es la autoridad, en cuanto se refiere al usuario. Los vendedores de navegador asumieran esta responsabilidad mediante el control de un lista de raíz de CAs aceptable. Esta es la práctica estándar actual.

El problema con esto es que no todas las autoridades de certificación (CAs) emplean igualmente bien ni aplicable comprobando, independientemente de los intentos por vendedores de navegador para controlar la calidad. Ni hacer suscribir CAs todos del mismo modelo y concepto que son certificados de autenticación de ecommerce organizaciones. Certificado de fabricación es el nombre dado a los certificados de bajo valor que se entregan en una tarjeta de crédito y una confirmación por correo electrónico; en ambos casos son fácilmente pervertidas por los defraudadores.[citación necesitada] Por lo tanto, un sitio de alto valor puede ser fácilmente falseado por un certificado válido proporcionado por otro CA. Esto podría ser porque el CA está en otra parte del mundo y está familiarizado con los sitios de comercio electrónico de alto valor, o podría ser que no se tiene cuidado en absoluto. Como la CA sólo es acusado de proteger a sus propios clientes y no los clientes de otras CAs, esta falla es inherente en el modelo.

La solución a esto es que el navegador debe mostrar, y el usuario debe estar familiarizado con el nombre de la autoridad. Esto presenta la CA como una marca y permite al usuario conocer el puñado de CAs que es probable que entren en contacto dentro de su país y su sector. El uso de la marca también es crítico para la CA proporciona un incentivo para mejorar su control, como el usuario aprenderá la marca y la demanda buena buscando sitios de alto valor.[citación necesitada]

Esta solución primero se puso en práctica en las primeras versiones de IE7, al Mostrar Certificados EV.[96] En esta pantalla, se muestra la entidad emisora. Esto era un caso aislado, sin embargo. Hay resistencia a CAs se marca en el cromo, resultando en una suplencia hasta el nivel más simple anterior: el navegador es la autoridad del usuario.[citación necesitada]

Defectos fundamentales en el modelo de seguridad de la navegación segura

Experimentos para mejorar la seguridad de interfaz de usuario se han traducido en beneficios, pero también han expuesto fallas fundamentales en el modelo de seguridad. Las causas del fracaso de la autenticación SSL emplear correctamente en navegación segura son muchos y entrelazan.

Los usuarios tienden a no comprobar la información de seguridad, incluso cuando se muestra explícitamente a ellos. Por ejemplo, la gran mayoría de advertencias para los sitios para configuraciones incorrectas, no es un ataque Man-in-the-middle (MITM). Los usuarios han aprendido a eludir las advertencias y tratar todas las advertencias con el mismo desdén, resultando en síndrome de clics. Por ejemplo, Firefox 3 tiene un proceso 4-Haga clic para agregar una excepción, pero se ha demostrado para ser ignorada por un usuario experimentado en un caso real de MITM.

Otro factor subyacente es la falta de apoyo de hosting virtual. Las causas específicas son la falta de apoyo para Indicación de nombre de servidor en los servidores web TLS, gastos y molestias de la adquisición de los certificados. El resultado es que el uso de la autenticación es demasiado raro para ser otra cosa que un caso especial. Esto ha provocado una falta general de conocimientos y recursos en autenticación dentro de TLS, que a su vez ha significado que los intentos por vendedores de navegador para actualizar sus interfaces de seguridad han sido lentos y deslucido.

El modelo de seguridad para el navegador seguro incluye muchos de los participantes: usuario, proveedor de navegador, desarrolladores, CA, auditor, proveedor de web server, sitio de comercio electrónico, los reguladores (por ejemplo, FDIC) y comités de estándares de seguridad. Hay una falta de comunicación entre los diferentes grupos que están comprometidos con el modelo de seguridad. Por ejemplo, aunque la comprensión de la autenticación es fuerte a nivel de protocolo de los comités de IETF, este mensaje no llega el grupo de IU. Proveedores de servidores web no priorizar el Indicación de nombre de servidor Fix (TLS/SNI), no lo veo como un parche de seguridad sino más bien una nueva característica. En la práctica, todos los participantes miran a los demás como el origen de las fallas principales de "phishing", por lo tanto no se priorizan las soluciones locales.

Asuntos mejoraron levemente con el foro del CAB, como ese grupo incluye navegador vendedores, auditores y CAs.[citación necesitada] Pero el grupo no salió de una manera abierta y el resultado sufrió de los intereses comerciales de los primeros jugadores, así como la falta de paridad entre los participantes.[citación necesitada] Incluso hoy en día, Foro de taxi no está abierto y no incluye representación de pequeñas CAs, los usuarios finales, los dueños del comercio electrónico, etc..[citación necesitada]

Los vendedores se comprometen a estándares, que se traduce en un efecto de subcontratación cuando se trata de seguridad. Aunque ha habido muchos y buenos experimentos en la mejora de la seguridad de interfaz de usuario, estos no se han adoptado porque no son estándar, o chocan con las normas. Modelos de amenazas pueden reinventarse a sí mismos en alrededor de un mes; Normas de seguridad toma alrededor de 10 años para ajustar.[citación necesitada]

Los mecanismos de control empleados por los vendedores del navegador sobre el CAs no han sido actualizados substancialmente; el modelo de amenaza tiene.[citación necesitada] El proceso de control y calidad sobre CAs escaso está sintonizado con la protección de los usuarios y el direccionamiento de las amenazas reales y actuales.[citación necesitada] Los procesos de auditoría están en gran necesidad de actualización.[citación necesitada] Las recientes directrices EV documentado el modelo actual con mayor detalle y establecido un buen punto de referencia, pero no empujó para que cualquier cambio sustancial a realizarse.[citación necesitada]

Navegadores alertando a los usuarios a sitios web fraudulentos

Otro enfoque popular a la lucha contra el "phishing" es mantener una lista de sitios de phishing conocidos y visitar sitios en la lista. Navegador IE7 de Microsoft, Mozilla Firefox 2.0, Safari 3.2, y Ópera todos contienen este tipo de medidas anti-phishing.[3][97][98][99][100] Firefox 2 usado Google software anti-phishing. Opera 9.1 utiliza vivo listas negras De PhishTank y GeoTrust, así como vivo listas blancas De GeoTrust. Algunas implementaciones de este enfoque envían las URL visitadas a un servicio central para comprobar, que ha expresado su preocupación sobre la privacidad.[101] Según un informe de Mozilla a finales de 2006, Firefox 2 fue encontrado para ser más eficaz que el Internet Explorer 7 para detectar sitios fraudulentos en un estudio por un compañía de pruebas de software independiente.[102]

Un enfoque introducido a mediados de 2006 consiste en cambiar a un servicio especial de DNS que filtra el phishing conocidos dominios: esto funciona con cualquier navegador,[103] y es similar en principio al uso de un archivo hosts para bloquear anuncios web.

Para mitigar el problema de los sitios de "phishing" haciéndose pasar por un sitio víctima incrustando sus imágenes (por ejemplo, logotipos), varios propietarios de sitios han alterado las imágenes para enviar un mensaje al visitante que un sitio puede ser fraudulento. La imagen puede ser desplazada a un nuevo nombre de archivo y el original sustituidos permanentemente, o un servidor puede detectar que la imagen no fue solicitada como parte de la navegación normal y en su lugar enviar una imagen de advertencia.[104][105]

Aumento de inicios de sesión de contraseña

El Bank of Americadel sitio web[106][107] es uno de varios que preguntar a los usuarios seleccionar una imagen personal y mostrar esta imagen seleccionados por el usuario con formularios que solicite una contraseña. Los usuarios de servicios en línea del banco han sido instruidos para introducir una contraseña sólo cuando ven la imagen que seleccionaron. Sin embargo, varios estudios sugieren que algunos usuarios se abstengan de ingresar sus contraseñas cuando imágenes están ausentes.[108][109] Además, esta característica (como otras formas de autenticación de dos factores) es susceptible a otros ataques, como los sufridos por Banco escandinavo Nordea a finales de 2005,[110] y Citibank en el año 2006.[111]

Un sistema similar, en el cual aparece un generado automáticamente "identidad Cue" que consta de una palabra color dentro de una caja de color a cada usuario del sitio web, está en uso en otras instituciones financieras.[112]

Aspectos de seguridad[113][114] son una técnica relacionada que consiste en superponer una imagen seleccionados por el usuario en el formulario de login como una señal visual que la forma es legítima. A diferencia de los esquemas de imagen basado en Web, sin embargo, la propia imagen es compartida entre el usuario y el navegador y no entre el usuario y el sitio Web. El plan también se basa en un autenticación mutua Protocolo, lo que hace que sea menos vulnerable a los ataques que afectan a esquemas de autenticación de usuario.

Todavía otra técnica se basa en una red dinámica de imágenes que es diferente para cada intento de inicio de sesión. El usuario debe identificar las imágenes que se ajustan sus categorías preseleccionados (como perros, coches y flores). Sólo después de que se han identificado correctamente las imágenes que se ajustan sus categorías se les permite ingresar su contraseña alfanumérica para completar el inicio de sesión. A diferencia de las imágenes estáticas en el sitio web de Bank of America, un método de autenticación basado en imágenes dinámicas crea una clave única para el inicio de sesión, requiere la participación activa del usuario y es muy difícil para un sitio web de "phishing" replicar correctamente porque tendría que mostrar una cuadrícula diferente de imágenes generadas al azar que incluye categorías secreta del usuario.[115]

Eliminar correo phishing

Especializada filtros de spam puede reducir el número de correos electrónicos de phishing que llegan a las bandejas de entrada de sus destinatarios. Estos enfoques se basan en aprendizaje automático[116] y procesamiento del lenguaje natural enfoques para clasificar los correos phishing.[117][118] Autenticación de la dirección de correo electrónico es un nuevo enfoque.[4]

Monitoreo y takedown

Varias empresas ofrecen los bancos y otras organizaciones propensas a sufrir de estafas de phishing servicios las 24 horas para monitorear, analizar y ayudar a cerrar sitios web de phishing.[119] Los individuos pueden contribuir informando "phishing" a grupos de voluntarios y la industria,[120] tales como PhishTank.[121] Los individuos también pueden contribuir al reportar intentos de phishing teléfono teléfono Phishing, Comisión Federal de comercio.[122] Correos electrónicos y páginas web de phishing pueden notificarse a Google.[123][124] El Tablón de anuncios de Internet crimen Complaint Center lleva phishing y ransomware alertas.

Verificación de transacciones y firma

También han surgido soluciones utilizando el teléfono móvil[125] (teléfono inteligente) como un segundo canal para la verificación y autorización de transacciones bancarias.

Limitaciones de las respuestas técnicas

Un artículo publicado en Forbes en agosto de 2014 argumenta que los problemas de "phishing" razón persisten incluso después de una década de tecnologías anti-phishing se venden es que "phishing" es "un medio tecnológico para explotar las debilidades humanas" y que la tecnología no puede compensar completamente las debilidades humanas.[126]

Respuestas jurídicas

El 26 de enero de 2004, Estados Unidos Comisión Federal de comercio presentó la primera demanda contra un phisher sospechoso. El acusado, un Californiano adolescente, supuestamente creó una página web diseñada para parecerse a la America Online sitio web y lo usó para robar información de tarjetas de crédito.[127] Otros países han seguido esta pista por localizar y arrestar a los phishers. Un phishing kingpin, Valdir Paulo de Almeida, fue detenido en Brasil para conducir una de la más grande "phishing" anillos de crimen, que en dos años robó entre US$ 18 millones y US$ 37 millones.[128] Autoridades británicas encarcelan a dos hombres en junio de 2005 por su papel en una estafa de "phishing",[129] en un caso conectado a la Servicio secreto de Estados Unidos Operación Firewall, dirigida a sitios web notorios "Cardador".[130] En 2006 ocho personas fueron arrestados por la policía japonesa por sospecha de fraude "phishing" creando falsos sitios Web de Yahoo Japan, propios de la red (¥ 100 millonesUS$ 870.000).[131] Los arrestos continuaron en 2006 con el FBI Operación Cardkeeper detener a una banda de 16 años en los Estados Unidos y Europa.[132]

En Estados Unidos, Senador Patrick Leahy introdujo el Ley Anti-Phishing de 2005 en Congreso en 01 de marzo de 2005. Esto proyecto de ley, si se había promulgado la ley, habría sometido criminales que crean sitios web falsos y enviaron correos electrónicos falsos para defraudar a los consumidores a multas de hasta US$ 250.000 y penas de hasta cinco años de prisión.[133] El Reino Unido reforzar su arsenal jurídico contra el phishing con el Fraude ley 2006,[134] que introduce un delito general de fraude que puede transportar hasta a diez años de prisión y prohíbe el desarrollo o la posesión de phishing kits con intención de cometer fraude.[135]

Las empresas han sumado al esfuerzo para reprimir "phishing". El 31 de marzo de 2005, Microsoft presentado 117 demandas federales en el Tribunal de distrito de Estados Unidos para el distrito occidental de Washington. Acusan a las demandas"John Doe"acusados de obtener contraseñas e información confidencial. Marzo de 2005 también vio una alianza entre Microsoft y el Gobierno australiano enseñando a los funcionarios policiales combatir diversos delitos cibernéticos, incluyendo "phishing".[136] Microsoft anunció un previsto más de 100 demandas fuera de Estados Unidos en marzo de 2006[137] seguido por el comienzo, a partir de noviembre de 2006, de 129 demandas mezcla acciones penales y civiles.[138] AOL reforzado sus esfuerzos contra el phishing[139] a principios de 2006 con tres pleitos[140] buscando un total de US$ 18 millones en las 2005 las enmiendas a la ley de delitos informáticos de Virginia,[141][142] y Earthlink se ha unido en ayudando a identificar seis hombres posteriormente acusados de fraude "phishing" en Connecticut.[143]

En enero de 2007, Jeffrey Brett Goodin de California se convirtió en el primer acusado declarado culpable por un jurado bajo las disposiciones de la CAN-SPAM Act de 2003. Fue encontrado culpable de enviar miles de correos electrónicos a los usuarios de America Online, mientras posando como Departamento de facturación, que incitó a los clientes a enviar personal de AOL y la información de tarjeta de crédito. Frente a un posible 101 años de prisión por la violación de CAN-SPAM y diez otros cuenta incluyendo fraude electrónico, el uso no autorizado de tarjetas de crédito y el uso indebido de la marca registrada de AOL, fue sentenciado a 70 meses de servir. Goodin había estado en custodia desde fallando comparecer para una audiencia de la corte anterior y empezó a cumplir su condena inmediatamente.[144][145][146][147]

Véase también

Portal icon Portal de tecnología de información
Portal icon Portal de justicia penal
  • SMiShing
  • Amenaza persistente avanzada
  • Brandjacking
  • Clickjacking
  • Autoridad de certificación
  • Estafa
  • Hacker (seguridad informática)
  • Durante la sesión "phishing"
  • Fraude en Internet
  • Ensayo de penetración
  • SiteKey
  • Espía-phishing
  • Delitos
  • Typosquatting

Notas

  1. ^ Ramzan, Zulfikar (2010). "Los ataques de Phishing y contramedidas". En sello de marca & Stavroulakis, Peter. Manual de información y seguridad de las comunicaciones. Springer. ISBN9783642041174.
  2. ^ Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), las características y responsabilidades involucradosen en un ataque de Phishing, invierno International Symposium on Information and Communication Technologies, ciudad del cabo, enero de 2005.
  3. ^ a b c "Safe Browsing (Google Online Security Blog)". 21 de junio, 2012.
  4. ^ a b "El aterrizaje otro golpe contra el phishing de correo electrónico (Google Online Security Blog)". 21 de junio, 2012.
  5. ^ Tan, Koontorm Center. "Phishing y spam vía IM (SPIM)". 5 de diciembre, 2006.
  6. ^ Microsoft Corporation. "¿Qué es la ingeniería social?". 22 de agosto 2007.
  7. ^ a b Jøsang, Audun et al. "Seguridad usabilidad principios para el análisis de vulnerabilidad y evaluación de riesgos". (PDF). Actas de la Conferencia de aplicaciones de seguridad informática anual 2007 (ACSAC'07). Recuperado 2007.
  8. ^ Felix, Jerry y Hauck, Chris (septiembre de 1987). "Sistema de seguridad: perspectiva de un Hacker". 1987 interex procedimientos 8:: 6.
  9. ^ Langberg, Mike (08 de septiembre de 1995). "Actos de AOL para frustrar a los Hackers". San Jose Mercury News.
  10. ^ Rekouche, Koceilah (2011). "Phishing temprano". arXiv:1106.4692[CS.CR].
  11. ^ Keizer, Greg. "Presuntos chinos lanza-phishing ataques siguen a los usuarios de Gmail". Mundo de la informática. 4 de diciembre, 2011.
  12. ^ Ewing, Philip. "Informe: doc TV China revela cyber-travesura". DoD Buzz. 4 de diciembre, 2011.
  13. ^ "Phishing". Palabra espía. 28 de septiembre, 2006.
  14. ^ Stutz, Michael (29 de enero de 1998). "AOL: mamá de una galleta!". Noticias por cable.
  15. ^ "Historia de AOL Warez". Programa archivado de la original en 2011-01-31. 28 de septiembre, 2006.
  16. ^ "EarthLink gana demanda de $ 25 millones contra persona basura".
  17. ^ "GP4.3 - crecimiento y fraude — caso #3 - Phishing". Criptografía financiera. 30 de diciembre de 2005.
  18. ^ Sangani, Kris (septiembre de 2003). "La batalla contra el robo de identidad". El banquero 70 (9): 53-54.
  19. ^ "En 2005, el crimen organizado se"hacia atrás los Phishers. Administración de ti. 23 de diciembre de 2004. Programa archivado de la original en 2011-01-31.
  20. ^ Abad, Christopher (Septiembre de 2005). "La economía de" phishing ": un estudio de las operaciones del mercado de" phishing "". Primer lunes.
  21. ^ O ' Connell, Liz. "Informe: Email phishing scam conducido a incumplimiento objetivo". BringMeTheNews.com. 15 de septiembre 2014.
  22. ^ Ausick, Paul. "Saco blanco CEO". 15 de septiembre 2014.
  23. ^ "Anatomía de un ataque RSA". RSA.com. RSA FraudAction Research Labs. 15 de septiembre 2014.
  24. ^ Drew, Christopher; Markoff, John (27 de mayo de 2011). "Violación de datos en la empresa de seguridad ligada al ataque a Lockheed". El New York Times. 15 de septiembre 2014.
  25. ^ Krebs, Brian. "Datos: casi todos US Home Depot tiendas golpeó". Krebs en seguridad. 15 de septiembre 2014.
  26. ^ Caruso, Joe. "Violación de datos phising". Análisis forense Digital global. 15 de septiembre 2014.
  27. ^ "ICANN blanco de ataque de Phishing lanza | Mejorado las medidas de seguridad implementadas". https://www.icann.org/news. 18 de diciembre 2014.
  28. ^ "E-mails sospechosos y robo de identidad". Servicio de impuestos internos. Programa archivado de la original en 2011-01-31. El 5 de julio 2006.
  29. ^ "" Phishing "pistas". Indiana University Bloomington. 15 de septiembre de 2005.
  30. ^ Kirk, Jeremy (02 de junio de 2006). "Phishing Scam apunta en MySpace.com". Red de IDG.
  31. ^ "Web / malicioso código: MySpace XSS QuickTime Worm". Websense Security Labs. Archivado de el original en 05 de diciembre de 2006. 5 de diciembre, 2006.
  32. ^ Jagatic, Tom; Markus Jakobsson (Octubre de 2007). "" Phishing "social". Communications of the ACM 50 (10): 94 – 100. Doi:10.1145/1290958.1290968.
  33. ^ "1-haga clic en Hosting en RapidTec — advertencia de" phishing "!". Archivado de el original en 2008-04-30. El 21 de diciembre, 2008.
  34. ^ "Torrente de spam probable a 6,3 millones TD Ameritrade hackear víctimas". Archivado de el original el 2009-05-05.
  35. ^ Firma rusa sombría vista como conducto para Ciberdelincuencia, por Brian Krebs, Poste de Washington, 13 de octubre de 2007
  36. ^ APWG. "Informe de tendencias" phishing "actividad". 4 de noviembre, 2013.
  37. ^ "Página de inicio de Millersmiles". Servicios de información de Oxford. Programa archivado de la original en 2007-07-21. 2010-01-03.
  38. ^ "FraudWatch International Home Page". FraudWatch internacional. 2010-01-03.
  39. ^ «61 super Phisher». 2011-03-19.
  40. ^ Kelion, Leo (24 de diciembre de 2013). "Ransomware Cryptolocker ha ' unos 250.000 ordenadores infectados'". BBC. 24 dic 2013.
  41. ^ Paul, Andrew. "Los correos Phishing: los fracasos inaceptables de American Express". Respuestas de correo electrónico. 9 de octubre 2013.
  42. ^ "¿Qué es spear phishing"?. Microsoft Security en casa. 11 de junio, 2011.
  43. ^ Stephenson, Debbie. "Spear Phishing: ¿Quién es atrapado?". Firmex. 27 de julio 2014.
  44. ^ "Falsas citaciones arpón 2.100 peces gordos corporativos". El registro. Programa archivado de la original en 2011-01-31. 17 de abril 2008.
  45. ^ '¿Qué es 'la caza de ballenas'? Es la caza de ballenas como 'Spear Phishing'? ". Acerca de Tech. Programa archivado de la original en 28 / 03 / 2015. 28 de marzo, 2015.
  46. ^ a b "Sombrero negro DC 2009". 15 de mayo de 2011.
  47. ^ "HSBC seguridad y fraude Center – fraudes de Phishing, protección contra fraudes". Hsbcusa.com. 2012-09-09.
  48. ^ Johanson, Eric. "El estado de Homograph ataques Rev1.1". El Shmoo Group. 11 de agosto, 2005.
  49. ^ Evgeniy Gabrilovich y Alex Gontmakher (febrero de 2002). "El ataque homógrafo" (PDF). Communications of the ACM 45 (2): 128. Doi:10.1145/503124.503156.
  50. ^ Leyden, John (15 de agosto de 2006). "Barclays SNAFU explotado por los phishers de secuencias de comandos". El registro.
  51. ^ Levine, Jason. "Goin ' phishing con eBay". Q daily News. 14 de diciembre, 2006.
  52. ^ Leyden, John (12 de diciembre de 2007). "Ciber delincuentes acechan en las sombras de los sitios web". El registro.
  53. ^ Cordero, Paul. "Los estafadores buscan hacer sitios phishing indetectable por filtros de contenidos". Netcraft. Programa archivado de la original en 2011-01-31.
  54. ^ El uso de software de reconocimiento óptico de caracteres OCR de filtrado antispam - PowerPoint PPT Presentation
  55. ^ Cordero, Paul. "Métodos de" phishing"sitio Web". FraudWatch internacional. Programa archivado de la original en 2011-01-31. 14 de diciembre, 2006.
  56. ^ "Phishing secuestra con barra de navegador". Noticias de BBC. 08 de abril de 2004.
  57. ^ Krebs, Brian. "Fallas en sitios financieros ayuda estafadores". Parche de seguridad. Programa archivado de la original en 2011-01-31. 28 de junio, 2006.
  58. ^ Cordero, Paul. "El fallo de seguridad de PayPal permite el robo de identidad". Netcraft. Programa archivado de la original en 2011-01-31. 19 de junio, 2006.
  59. ^ Hoffman, Patrick (10 de enero de 2007). "RSA capturas Financial Phishing Kit". eWeek.
  60. ^ Miller, ricos. "Los ataques de Phishing a seguir creciendo en sofisticación". Netcraft. Programa archivado de la original en 2011-01-31. 19 de diciembre, 2007.
  61. ^ Gonsalves, Antone (25 de abril de 2006). "Las víctimas de los Phishers trampa con VoIP". TechWeb.
  62. ^ "Los ladrones de identidad tomar ventaja de VoIP". Silicon.com. 21 de marzo de 2005. Archivado de el original el 24 de marzo de 2005.
  63. ^ "Fallo de seguridad grave en OAuth, OpenID descubierto". CNET. 02 de mayo de 2014. 10 de noviembre 2014.
  64. ^ "Facebook, los usuarios de Google amenazados por nueva falla de seguridad". FOX NEWS. 05 de mayo de 2014. 10 de noviembre 2014.
  65. ^ "Facebook, los usuarios de Google amenazados por nueva falla de seguridad". Guid de Tom. 02 de mayo de 2014. 11 de noviembre 2014.
  66. ^ a b "Vulnerabilidad Redirect secretas relacionada con OAuth 2.0 y OpenID". Tetraph. 01 de mayo de 2014. 10 de noviembre 2014.
  67. ^ "Nasty Covert redirigir vulnerabilidad encontrada en OAuth y OpenID". Las noticias de Hacker. 03 de mayo de 2014. 10 de noviembre 2014.
  68. ^ "Facebook, los usuarios de Google amenazados por nueva falla de seguridad". Yahoo. 02 de mayo de 2014. 10 de noviembre 2014.
  69. ^ "'Redirect encubierta ' vulnerabilidad afecta 2.0 OAuth, OpenID ". SC Magazine. 02 de mayo de 2014. 10 de noviembre 2014.
  70. ^ "Defecto redirigir encubierta en OAuth no es el siguiente Heartbleed". Symantec. 03 de mayo de 2014. 10 de noviembre 2014.
  71. ^ "El ataque de Phishing objetivo banca por Internet". Servicio de policía metropolitana. 2005-06-03. archivado desde el original 2010-02-18. 2009-03-22.
  72. ^ Kerstein, Paul (19 de julio de 2005). "¿Cómo podemos dejar de Phishing y Pharming estafas?". CSO. Archivado de el original en 2008-03-24.
  73. ^ McCall, Tom (17 de diciembre de 2007). "Gartner encuesta muestra los ataques de Phishing se extendieron en 2007; Más de $ 3 billones perdió ante estos ataques". Gartner.
  74. ^ "Un esfuerzo inútil: Phishing como la tragedia de los comunes" (PDF). Microsoft. 15 de noviembre, 2008.
  75. ^ «UK phishing fraude pérdidas dobles». Finextra. 07 de marzo de 2006.
  76. ^ Richardson, Tim (03 de mayo de 2005). "Los británicos presa del" phishing"". El registro.
  77. ^ "Los indios 20% son víctimas de los ataques de phishing en línea: Microsoft". IANS. News.biharprabha.com. 11 de febrero 2014.
  78. ^ Miller, ricos. "Banco clientes Spar sobre" phishing "pérdidas". Netcraft. 14 de diciembre, 2006.
  79. ^ "Últimas noticias". Archivado de el original el 07 de octubre de 2008.
  80. ^ "Bank of Ireland se compromete a" phishing "reembolsos". vnunet.com. archivado desde el original el 28 de octubre de 2008.
  81. ^ Baker, Emiley; Wade Baker; John Tedesco (2007). "Las organizaciones responden al" phishing ": explorando las relaciones públicas abordar caja". Informes de investigación de la comunicación 24 (4): 327. Doi:10.1080/08824090701624239.
  82. ^ "Proteger a las personas contra el phishing". 2015-02-03.
  83. ^ Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong y Elizabeth Nunge (noviembre de 2006). "Proteger a la gente de" phishing ": el diseño y evaluación de un entrenamiento integrado sistema de correo electrónico" (PDF). Informe técnico CMU-CyLab-06-017, CyLab, Carnegie Mellon University. 14 de noviembre, 2006.
  84. ^ Banco, David (17 de agosto de 2005). "Spear Phishing pruebas educar a la gente sobre fraudes en línea". El Wall Street Journal.
  85. ^ Hendric, William. "Medidas para evitar el" phishing "". 2015-03-03.
  86. ^ "Anti-Phishing consejos que no debe seguir". HexView. Archivado de el original en 2008-03-20. 19 de junio, 2006.
  87. ^ "Protéjase de correos electrónicos fraudulentos". PayPal. El 7 de julio 2006.
  88. ^ Markus Jakobsson, Alex Tsow, Ankur Shah, Eli Blevis, Youn-kyung Lim. 171850/https://www.informatics.indiana.edu/markus/papers/trust_USEC.pdf "Qué confianza Instills? Un estudio cualitativo de Phishing". (PDF). USEC ' 06. Archivado de el original en 06 de marzo de 2007.
  89. ^ Zeltser, Lenny (17 de marzo de 2006). "Los mensajes de Phishing pueden incluir información altamente personalizado". El SANS Institute.
  90. ^ Markus Jakobsson y Jacob Ratkiewicz. "Diseño de experimentos de" phishing "éticos". WWW ' 06. Programa archivado de la original en 2011-01-31.
  91. ^ Kawamoto, Dawn (04 de agosto de 2005). "Frente a un aumento del llamado pharming y ataques de crimeware, el grupo de trabajo Anti-Phishing ampliará su carta para incluir estas amenazas emergentes".. ZDNet India.
  92. ^ "El sitio de redes sociales enseña las prácticas inseguras contraseña". Blog.Anta.net. 2008-11-09. ISSN1797-1993. 2008-11-09.
  93. ^ Brandt, Andrew. "Reloj de privacidad: Protéjase con una barra de herramientas Antiphishing". PC World – reloj de privacidad. 25 de septiembre, 2006.
  94. ^ Jøsangm Audun y papa, Simon. "Gestión de identidad centrado en el usuario" (PDF). Actas de AusCERT 2005. de 2008.
  95. ^ ""Phishing" - Qué es y cómo eventualmente será tratado con"por Ian Grigg 2005
  96. ^ "Asuntos de marca (IE7, Skype, VonageMozilla) "Ian Grigg
  97. ^ Franco, Rob. "Mejor sitio web identificación y certificados de validación extendida en IE7 y otros navegadores". IEBlog. Programa archivado de la original en 2010-01-16. El 20 de mayo 2006.
  98. ^ "Bon Echo Anti-Phishing". Mozilla. Programa archivado de la original en 2011-08-23. 2 de junio, 2006.
  99. ^ "Safari 3.2 finalmente gana protección contra phishing". Ars Technica. 13 de noviembre de 2008. Programa archivado de la original en 2011-08-23. 15 de noviembre, 2008.
  100. ^ "Ido" phishing ": evaluar herramientas Anti-Phishing para Windows". 3Sharp. 27 de septiembre de 2006. Archivado de el original el 2008-01-14. 2006-10-20.
  101. ^ "Dos cosas que Me molestan acerca nueva extensión de Google de Firefox". Nitesh Dhanjani en ONLamp o ' Reilly. 1 de julio, 2007.
  102. ^ "Prueba de eficacia de protección de Phishing de Firefox 2". Programa archivado de la original en 2011-01-31. 23 de enero, 2007.
  103. ^ Higgins, Kelly Jackson. "DNS tiene gancho de Anti-Phishing". Lectura oscuro. Programa archivado de la original en 2011-08-18. 8 de octubre, 2006.
  104. ^ Krebs, Brian (31 de agosto de 2006). "Utilizar imágenes para luchar contra Phishing". Parche de seguridad.
  105. ^ Seltzer, Larry (02 de agosto de 2004). "Manchas Phish y Phighting atrás". eWeek.
  106. ^ Bank of America. "Bank of America SiteKey funciona para la seguridad de banca en línea". Programa archivado de la original en 2011-08-23. 23 de enero, 2007.
  107. ^ Brubaker, Bill (14 de julio de 2005). "Bank of America Personaliza la ciberseguridad". Washington Post.
  108. ^ Piedra, Brad (05 de febrero de 2007). "Estudio hallazgos Web antifraude medida ineficaz". New York Times. 5 de febrero, 2007.
  109. ^ Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer (mayo de 2007). "Nuevos indicadores de seguridad del emperador: una evaluación de autenticación Web y el efecto del rol en estudios de usabilidad" (PDF). IEEE Simposio sobre seguridad y privacidad, mayo 2007. Archivado de el original en 2008-04-06. 5 de febrero, 2007.
  110. ^ "Sistema de contraseña temporal de los Phishers objetivo Nordea". Finextra. 12 de octubre de 2005.
  111. ^ Krebs, Brian (10 de julio de 2006). "Citibank parodias Phish 2-Factor Authentication". Parche de seguridad.
  112. ^ Graham Titterington. "Doom más sobre phishing". Óvulo Research, abril de 2006.
  113. ^ Schneier, Bruce. "Aspectos de seguridad". Schneier sobre seguridad. 3 de diciembre, 2006.
  114. ^ Rachna Dhamija, J.D. Tygar (julio de 2005). "La batalla contra el Phishing: pieles de seguridad dinámica" (PDF). Simposio sobre privacidad Usable y seguridad (sopas) 2005. Archivado de el original en 2008-04-06. 5 de febrero, 2007.
  115. ^ "Tecnología dinámica de autenticación mutua para Anti-Phishing". Confidenttechnologies.com. 2012-09-09.
  116. ^ K. Cleber, Olivo, Altair O., Santin, Luiz S., Oliveira (julio de 2011). "Obtener el modelo de amenazas por correo electrónico" phishing "" (PDF). Aplica Soft Computing. Archivado de el original en 2011-07-08.
  117. ^ Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya (marzo de 2006). "Detección de Phishing E-mail basada en las propiedades estructurales" (PDF). NYS Cyber Security Symposium. Archivado de el original en 2008-02-16.
  118. ^ Ian Fette, Norman Sadeh, Anthony Tomasic (junio de 2006). "Aprender a detectar los correos Phishing" (PDF). Informe técnico de la Universidad Carnegie Mellon CMU-ISRI-06-112.
  119. ^ "Grupo de trabajo anti-Phishing: soluciones". Grupo de trabajo Anti-Phishing. Programa archivado de la original en 2011-01-31. 6 de julio, 2006.
  120. ^ McMillan, Robert (28 de marzo de 2006). "Nuevos sitios permiten a los usuarios encontrar y reportar phishing". LinuxWorld.
  121. ^ Schneier, Bruce (2006-10-05). "PhishTank". Schneier sobre seguridad. Programa archivado de la original en 2011-01-31. 2007-12-07.
  122. ^ "Comisión Federal de comercio". Comisión Federal de comercio. 6 de mar, 2009.
  123. ^ "Informe phishing" página, Google
  124. ^ Cómo reportar fraudes de phishing a Google Scams.org del consumidor
  125. ^ Usando el smartphone para verificar y firmar las transacciones bancarias en línea, SafeSigner.
  126. ^ Joseph Steinberg. "Por qué está usted en riesgo de" phishing "ataca". Forbes. 14 de noviembre, 2014.
  127. ^ Legon, Jeordan (26 de enero de 2004). "Fraudes de Phishing carrete en su identidad". CNN.
  128. ^ Leyden, John (21 de marzo de 2005). "Policía brasileña neta ' Capo de" phishing "'". El registro.
  129. ^ Roberts, Paul (27 de junio de 2005). "Reino Unido los Phishers Caught, empacada". eWEEK.
  130. ^ "Diecinueve individuos acusados en Internet 'Cardado' conspiración". El 20 de noviembre 2005.[link muerto]
  131. ^ "8 sostuvo sobre fraudes de" phishing "sospechosos". El diario Yomiuri. 31 de mayo de 2006.
  132. ^ "La banda de" phishing"detenida en Estados Unidos y Europa tras la investigación del FBI". Programa archivado de la original en 2011-01-31. 14 de diciembre, 2006.
  133. ^ "Los Phishers enfrentaría 5 años bajo la nueva ley". Semana de información. 02 de marzo de 2005.
  134. ^ "Acto de fraude 2006". Programa archivado de la original en 2011-08-23. 14 de diciembre, 2006.
  135. ^ "Penas de prisión para los estafadores de phishing". El registro. 14 de noviembre de 2006.
  136. ^ "Microsoft se asocia con australiano policiales para combatir el delito cibernético". Archivado de el original el 03 de noviembre de 2005. 24 de agosto, 2005.
  137. ^ Espiner, Tom (20 de marzo de 2006). "Microsoft lanza asalto legal a los phishers". ZDNet.
  138. ^ Leyden, John (23 de noviembre de 2006). "MS carretes en unos phish callejeros". El registro.
  139. ^ "Una historia de liderazgo - 2006". Archivado de el original en 2007-05-22.
  140. ^ "AOL lleva lucha contra robo de identidad a los tribunales, archivos pleitos contra tres grandes bandas de Phishing". Archivado de el original en 2007-01-31. 8 de marzo, 2006.
  141. ^ "HB 2471 delitos informáticos actuar; cambios en las disposiciones, pena. ". 8 de marzo, 2006.
  142. ^ Brulliard, Karin (10 de abril de 2005). "Virginia los legisladores pretenden gancho Cyberscammers". Washington Post.
  143. ^ "Evidencia de Earthlink ayuda a cerrarle la puerta en anillo phisher sitio spam". Archivado de el original en 2007-07-05. 14 de diciembre, 2006.
  144. ^ Príncipe, Brian (18 de enero de 2007). "El hombre hallado culpable de dirigidos a los clientes de AOL en Phishing Scam". PCMag.com.
  145. ^ Leyden, John (17 de enero de 2007). "Defraudador de AOL" phishing"culpable". El registro.
  146. ^ Leyden, John (13 de junio de 2007). "AOL phisher redes de prisión seis años de". El registro.
  147. ^ Gaudin, Sharon (12 de junio de 2007). "Hombre de California recibe condena de 6 años con respecto a Phishing". InformationWeek.

Referencias

  • Ghosh, Ayush (2013). "Seclayer: un plugin para prevenir los ataques de phishing". IUP Journal of Information Technology, 4, 9, 52-64.

Enlaces externos

  • Grupo de trabajo Anti-Phishing
  • Centro de gestión de la identidad y protección de la información—Utica College
  • Tapando el agujero de "phishing": legislación versus tecnología—Duke Law & Technology Review
  • Conoce a tu enemigo: Phishing—Proyecto Honeynet estudio de caso
  • Un esfuerzo inútil: Phishing como la tragedia de los comunes— Microsoft Corporation
  • Base de datos para obtener información sobre los sitios de phishing registrados por el público— PhishTank
  • El impacto de los incentivos en el aviso y desmontaje − Laboratorio de computación, Universidad de Cambridge (PDF, 344 kB)
  • Información y archivo de los correos Phishing—Scamdex.com

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=phishing&oldid=655047244"