Phishing

Ir a: navegación, búsqueda de
No debe confundirse con Pesca o Phising.
Para obtener más información acerca de intentos de phishing relacionados con Copro, vea Correo electrónico Copro:phishing
Un ejemplo de un correo electrónico fraudulento, disfrazado como un oficial de Correo electrónico de un banco (ficticio). El remitente está intentando engañar al destinatario para que revele información confidencial por "confirmar" en la página del phisher. Nota la falta de ortografía de las palabras recibió y discrepancia como recibió y contraste. También tenga en cuenta que aunque el URL del Banco Página Web parece ser legítimo, que el hipervínculo realmente ser señalado en la página del phisher.

Phishing es el intento de obtener información sensible como nombres de usuario, contraseñas, y tarjeta de crédito detalles (e, indirectamente, dinero), a menudo para malicioso razones, por disfrazar como una entidad confiable en una comunicación electrónica.[1][2] La palabra es un neologismo creado como un [editar] de pesca debido a la semejanza del uso de un cebo en un intento por atrapar a una víctima. Según el 3 º Microsoft informática seguro índice informe lanzado en febrero de 2014, el impacto a nivel mundial anual de phishing podría ser tan alto como $ 5 billones.[3]

Phishing por lo general se lleva a cabo por correo electrónico de suplantación de identidad[4] o mensajería instantánea,[5] y a menudo dirige a los usuarios que ingresen información personal en un sitio web falso, el apariencia de los cuales son casi idénticos a la legítima. Comunicaciones que pretenden ser de sitios web sociales, sitios de subastas, bancos, procesadores de pago en línea o los administradores de ti a menudo se utilizan para atraer a las víctimas. Correos electrónicos de phishing pueden contener enlaces a sitios web que está infectada con malware.[6]

Phishing es un ejemplo de ingeniería social técnicas utilizadas para engañar a los usuarios y explota las debilidades en la seguridad de web actual.[7] Intentos de lidiar con el creciente número de incidentes de phishing reportados incluyen legislación, formación de usuarios, sensibilización y medidas de seguridad técnica. Muchos sitios web ha creado herramientas secundarias para aplicaciones, como mapas para juegos, pero deben ser claramente marcados como a quien las escribió, y usuarios no deben utilizar las mismas contraseñas en cualquier lugar en internet.

Contenido

  • 1 Técnicas de
    • 1.1 Tipos de phishing
      • 1.1.1 Spear phishing
      • 1.1.2 Clon de phishing
      • 1.1.3 Caza de ballenas
    • 1.2 Manipulación de enlace
    • 1.3 Evasión del filtro
    • 1.4 Falsificación de página web
    • 1.5 Redirect encubierta
    • 1.6 Ingeniería social
    • 1.7 Teléfono phishing
    • 1.8 Otras técnicas de
  • 2 Historia
    • 2.1 década de 1980
    • 2.2 década de 1990
      • 2.2.1 Phishing de AOL temprano
    • 2.3 década de 2000
    • 2.4 década de los 2010
  • 3 Anti-phishing
    • 3.1 Respuestas sociales
      • 3.1.1 Navegadores alertando a los usuarios a sitios web fraudulentos
      • 3.1.2 Aumentar el acceso de la contraseña
      • 3.1.3 Eliminar correo de phishing
      • 3.1.4 Monitoreo y takedown
      • 3.1.5 Verificación de transacciones y firma
      • 3.1.6 Limitaciones de las respuestas técnicas
    • 3.2 Respuestas legales
  • 4 Véase también
  • 5 Notas
  • 6 Referencias
  • 7 Acoplamientos externos

Técnicas de

Tipos de phishing

Spear phishing

Intentos de phishing dirigidos a determinadas personas o empresas han sido llamados Spear phishing.[8] Los atacantes pueden recopilar información personal acerca de su objetivo de aumentar su probabilidad de éxito. Esta técnica es, por lejos, el más exitoso en la internet, representando el 91% de ataques.[9]

Clon de phishing

Clon de phishing es un tipo de ataque de phishing que legítima y previamente entregados, que contenga un archivo adjunto de correo electrónico o enlace tiene su contenido y dirección destinatario tomado y usado para crear un correo electrónico casi idéntico o clonado. El apego o vínculo en el correo electrónico es reemplazado con una versión maliciosa y enviado desde una dirección de correo electrónico falseada para parecen venir del remitente original. Puede presumir de ser un reenvío de la original o una versión actualizada de la original. Esta técnica podría utilizarse para pivote (indirectamente) de un equipo previamente infectado y hacerse un hueco en otra máquina, explotando la confianza social asociada a la conexión deducida por ambas partes recibe el correo electrónico original.

Caza de ballenas

Varios ataques de phishing se han dirigido específicamente a directivos y otros objetivos de alto perfil dentro de empresas y el término caza de ballenas ha sido acuñado para este tipo de ataques.[10] En el caso de ballenas, el página web o correo electrónico enmascarado tendrá una forma más grave de nivel ejecutivo. El contenido será elaborado para un administrador superior y el papel de la persona en la empresa. El contenido de un correo electrónico de ataques de pesca de ballenas se escribe a menudo como una citación legal, queja del cliente o tema Ejecutivo. Correos electrónicos de estafa de caza de ballenas están diseñados para disfrazarse como un correo de crítica para el negocio, enviado de una autoridad de negocios legítimos. El contenido pretende adaptar a la alta dirección y usualmente involucra a algún tipo de preocupación de toda la empresa falsificado. Ballenera phishermen también han forjado oficial busca FBI citación mensajes de correo electrónico y afirmó que el gerente tiene que haga clic en un vínculo e instalar software especial para ver la citación.[11]

Manipulación de enlace

Mayoría de los métodos de phishing utiliza alguna forma de engaño técnico diseñado para hacer un enlace en un correo electrónico (y de la sitio web simulado conduce a) parecen pertenecer a la organización de este tipo.[12] Errores de ortografía Direcciones URL o el uso de subdominios son trucos comunes utilizados por los phishers. En la siguiente URL de ejemplo, https://www.yourbank.example.com/, parece que el enlace le llevará a la ejemplo sección de la subanco sitio web; realmente esta dirección URL señala a la "subanco"(es decir, phishing) sección de la ejemplo sitio Web. Otro truco común es hacer que el texto mostrado para un enlace (el texto entre la < a > tags) sugieren un destino confiable, cuando el vínculo se va realmente al sitio de los phishers. Muchos clientes de correo electrónico o los navegadores web se muestran previsualizaciones de donde un enlace llevará al usuario en la parte inferior izquierda de la pantalla, mientras que al pasar el cursor del ratón sobre un enlace.[13] Este comportamiento, sin embargo, puede en algunas circunstancias ser reemplazado por el phisher.

Otro problema con las URL se ha encontrado en el manejo de nombres de dominio internacionalizados (IDN) en navegadores web, que podría permitir direcciones web visualmente idénticos conducir a sitios web diferentes, posiblemente malicioso. A pesar de la publicidad que rodea el defecto, conocido como IDN spoofing[14] o ataque homógrafo,[15] los phishers han aprovechado un riesgo similar, el uso open Redirectores de URL en los sitios web de organizaciones confiables para disfrazar las URL maliciosas con un dominio de confianza.[16][17][18] Certificados digitales aun no solucionan este problema porque es bastante posible para un phisher comprar un certificado válido y posteriormente cambiar el contenido para suplantar un sitio web genuino, o, para alojar el sitio de phishing sin SSL En absoluto.[19]

Evasión del filtro

Los phishers incluso han comenzado a utilizar imágenes en vez de texto para que sea más difícil para los filtros anti-phishing detectar texto comúnmente utilizado en los correos electrónicos de phishing.[20] Sin embargo, esto ha llevado a la evolución de los filtros anti-phishing más sofisticados que son capaces de recuperar texto oculto en imágenes. Estos filtros utilizan OCR (reconocimiento óptico de caracteres) y ópticamente la imagen filtrarla.[21]

Algunos filtros anti-phishing incluso han utilizado (IWRreconocimiento inteligente de la palabra), que no pretende reemplazar por completo OCR, pero estos filtros pueden detectar incluso cursiva, escrita a mano, girado (incluyendo texto boca abajo) o distorsionada (tales como ondulado, estirados verticalmente o lateralmente o en diferentes direcciones) texto, así como el texto sobre fondos de color.

Falsificación de página web

Una vez que la víctima visita la Web de phishing, el engaño no es más. Algunos uso de estafas de phishing JavaScript comandos para modificar el barra de direcciones.[22] Esto se hace colocando una imagen de una URL legítima sobre la barra de direcciones, o cerrando la barra original y abriendo una nueva con la URL legítima.[23]

Un atacante puede utilizar incluso defectos en una web de confianza propios scripts contra la víctima.[24] Estos tipos de ataques (conocidos como cross-site scripting) son particularmente problemáticos, ya que dirigen al usuario a registrarse en su banco o página de web del servicio, donde todo, desde la Dirección web a la certificados de seguridad aparece correcto. En realidad, el enlace a la página web está diseñado para llevar a cabo el ataque, lo que es muy difícil de detectar sin especialista en conocimiento. Tal defecto se utilizó en 2006 contra PayPal.[25]

Un Universal Man in the middle (MITM) Kit de Phishing, descubierto en 2007, proporciona una interfaz simple de usar que permite un phisher convincentemente reproducir páginas y capturar datos de registro entrados en el sitio falso.[26]

Para evitar técnicas de anti-phishing que escanean los sitios web de texto relacionados con el phishing, los phishers han comenzado a utilizar Flash-basado en páginas web (una técnica conocida como phlashing). Estos look mucho como el sitio web de real, pero ocultar el texto en un objeto multimedia.[27]

Redirect encubierta

Redirect encubierta es un método sutil para realizar phishing ataques que hace enlaces parecen legítimas, pero realmente redirección a una víctima a la Página Web de un atacante. El defecto es generalmente enmascarado bajo un emergente de inicio de sesión basado en el dominio de un sitio afectado.[28] Puede afectar a OAuth 2.0 y OpenID basado en parámetros de explotación conocido así. Esto a menudo hace uso de redirección abierta y XSS vulnerabilidades en los sitios de aplicación de terceros.[29]

Intentos de phishing normal pueden ser fáciles de identificar porque la página maliciosa URL generalmente será diferente desde el enlace de real sitio. Para redirigir encubierta, un atacante podría utilizar una página web real en cambio corrompiendo el sitio con un cuadro de diálogo emergente de inicio de sesión malintencionados. Esto hace que covert redirigir diferente de los demás.[30][31]

Por ejemplo, supongamos que una víctima hace clic en un enlace malicioso de phishing comienzan con Facebook. Una ventana emergente de Facebook te preguntará si la víctima desea autorizar la aplicación. Si la víctima decide autorizar la aplicación, se enviará un "token" al atacante y pudiera estar expuesto información sensible personal de la víctima. Estas información puede incluir la dirección de correo electrónico, fecha de nacimiento, contactos y trabajo historia.[29] En caso de que el "token" tiene mayor privilegio, el atacante podría obtener más información incluyendo el buzón, presencia en Internet y la lista de amigos. Peor aún, el atacante posiblemente puede controlar y operar el usuario cuenta.[32] Incluso si la víctima decide no autorizar la aplicación, él o ella será todavía consigue redireccionada a un sitio web controlado por el atacante. Esto podría comprometer aún más la víctima.[33]

Esta vulnerabilidad fue descubierta por Wang Jing, estudiante de doctorado de matemáticas en la escuela de ciencias físicas y matemáticas en Universidad Tecnológica de Nanyang en Singapur.[34] Redirect encubierta es una falla de seguridad notable, aunque no es una amenaza para la Internet vale la pena considerable atención.[35]

Ingeniería social

Los usuarios pueden ser incentivados para hacer clic en varios tipos de contenido inesperado para una variedad de razones técnicas y sociales. Por ejemplo, un accesorio que puede disfrazarse como un doc de Google vinculado benigno.[36]

Alternativamente los usuarios podrían ser escandalizados por una noticias falsas historia, haga clic en un vínculo y se infectan.[37]

Teléfono phishing

No todos los ataques de phishing requieren un sitio web falso. Mensajes que decían ser de un banco dijo los usuarios marcar un número de teléfono con respecto a problemas con sus cuentas bancarias.[38] Una vez el número de teléfono (propiedad de lo phisher y realizado por un voz sobre IP servicio) marcó, avisos dijo a los usuarios para ingresar sus números de cuenta y PIN. Vishing (voz de phishing) a veces utiliza falsos datos de identificador de llamadas para dar la apariencia que las llamadas provienen de una organización de confianza.[39] SMS phishing utiliza mensajes de texto de teléfono celular para inducir a la gente para divulgar su información personal.[40]

Otras técnicas de

  • Otro ataque con éxito es remitir al cliente a un legítimo sitio web del Banco, entonces para colocar una ventana emergente solicitando credenciales en la cima de la página de una manera que hace que muchos usuarios piensan que el Banco está solicitando esta información sensible.[41]
  • Tabnabbing aprovecha las ventajas de la navegación por pestañas, con múltiples pestañas abiertas. Este método silenciosamente redirige al usuario al sitio afectado. Esta técnica funciona en sentido contrario a la mayoría de las técnicas phishing no toma directamente el usuario en el sitio fraudulento, pero en cambio se carga la página falsa en una de las pestañas abiertas del navegador.
  • Gemelo malvado es una técnica de phishing difícil de detectar. Un phisher crea una falsa red inalámbrica que tiene un aspecto similar a una red pública legítima que puede encontrarse en lugares públicos como aeropuertos, hoteles o cafeterías. Cada vez que alguien inicia sesión en la red falsa, los estafadores intentan capturar sus contraseñas o información de tarjeta de crédito.

Historia

década de 1980

Una técnica de phishing fue descrita en detalle en un papel y la presentación entregada a la Internacional de 1987 HP Grupo de usuarios, Interex.[42]

década de 1990

El término 'phishing' se dice que se han acuñado por hacker en el mid-90s, Khan C Smith los remitentes de spam conocidos.[43] La primera mención registrada del término se encuentra en la herramienta de hacking AOHell (según su creador), que incluye una función para intentar robar las contraseñas o los detalles financieros de los usuarios de America Online.[44][45]

Phishing de AOL temprano

Phishing en AOL estaba estrechamente asociado con el warez comunidad que intercambia software sin licencia y de la sombrero negro escena de hacking que perpetró el fraude y otros delitos en línea. Aplicación AOL detectar palabras que se utilizan en salas de chat de AOL para suspender a los individuos cuentas implicados en falsificación de software y robo de cuentas de trading. El término fue utilizado porque ' <> <' es la única etiqueta más comun de HTML que se encontró en todas las transcripciones de chat naturalmente y como tal podría no ser detectado o filtrada por personal de AOL. El símbolo <> < fue substituido para cualquier texto que se refiere a tarjetas de crédito robadas, cuentas o actividad ilegal. Puesto que el símbolo se veía como un pez y debido a la popularidad de phreaking fue adaptado como 'Phishing'. AOHell, lanzado a comienzos de 1995, fue un programa diseñado para hackear usuarios de AOL por que permite al atacante hacerse pasar por un miembro del personal de AOL y enviar un mensaje instantáneo a una víctima potencial, pidiéndole que revele su contraseña.[46] Para engañar a la víctima en dar información sensible, el mensaje podría incluir imperativos tales como "Verifique su cuenta" o "confirmar la información de facturación". Una vez que la víctima había revelado la contraseña, el atacante podría acceder y utilizar la cuenta de la víctima para propósitos fraudulentos. Phishing y warezing en AOL generalmente requieren programas de medida, tales como AOHell. Phishing se convirtió tan frecuente en AOL que agregaron una línea en mensajes instantáneos todos diciendo: "nadie a AOL a pedir su contraseña o información de facturación", aunque esto no[tono] evitar que algunas personas regalando sus contraseñas e información personal si leyó y creyó el IM primero. Un usuario con una cuenta AIM y una cuenta de AOL desde un ISP podría simultáneamente miembros de phish AOL con relativa impunidad como el internet objetivo cuentas podría ser utilizadas por miembros de AOL no internet y no podía ser accionadas (es decir, informó al Departamento de AOL TOS medidas disciplinarias).[47][tono]. A finales de 1995, galletas de AOL recurren al phishing para cuentas legítimas después de AOL traída en medidas a fines de 1995 para evitar usar falsos, generados algorítmicamente tarjeta de crédito para abrir cuentas.[48] Eventualmente, aplicación de la política de AOL había obligado infracción de copyright de los servidores de AOL y AOL inmediatamente desactivar cuentas de phishing, a menudo antes de que las víctimas podrían responder. El cierre de la escena de warez en AOL causó los estafadores más dejar el servicio.[49]

década de 2000

  • 2001
    • El primer intento conocido directo contra un sistema de pago afectado E-gold en junio de 2001, que fue seguido por una "verificación de identificación post-9/11" poco después de la Ataques del 11 de septiembre contra el World Trade Center.[50]
  • 2003
    • El primer ataque conocido de phishing contra un banco por menor fue reportado por El banquero en septiembre de 2003.[51]
  • 2004
    • Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones los usuarios de computadoras en el Estados Unidos sufrido pérdidas causadas por el phishing, por un total de aproximadamente US$ 929 millones. Empresas de Estados Unidos pierden un estimado US$ 2 mil millones por año como sus clientes se convierten en víctimas.[52]
    • Phishing es reconocido como una parte totalmente organizada del mercado negro. Especializaciones surgieron en una escala global que phishing software pago (riesgo de tal modo outsourcing), montado y puesto en ejecución en campañas de phishing por bandas organizadas.[53][54]
  • 2005
    • En Reino Unido pérdidas de web banca fraude — sobre todo de phishing — casi se duplicó a GB£ 23. 2m en 2005, de GB£ 12. 2m en 2004,[55] mientras que 1 de cada 20 usuarios afirmados haber perdido hacia fuera a phishing en 2005.[56]
  • 2006
    • Casi la mitad de phishing robos en 2006 fueron comprometida por grupos que operan a través de la Red de negocios ruso con base en San Petersburgo.[57]
    • Bancos de diferencias con los clientes sobre las pérdidas de phishing. La postura adoptada por el Reino Unido banca cuerpo APACS es que "los clientes también deben tener precauciones sensatas... para que no sean vulnerables a los criminales."[58] Del mismo modo, cuando la primera oleada de ataques de phishing golpe banca de la República de Irlanda en septiembre de 2006, el Banco de Irlanda inicialmente se negó a cubrir las pérdidas sufridas por sus clientes,[59] Aunque las pérdidas con la melodía de €113.000 hicieron buena.[60]
    • Los phishers están dirigidos a los clientes de los bancos y servicios de pago en línea. Correos electrónicos, supuestamente de la Servicio de rentas internas, se han utilizado para recoger datos de los contribuyentes de Estados Unidos.[61] Mientras que el primero estos ejemplos fueron enviados indiscriminadamente en la expectativa de que algunos serían recibidas por los clientes de un banco determinado o servicio, recientes investigaciones han demostrado que los phishers pueden en principio ser capaces de determinar que las víctimas potenciales de los bancos utiliza y falsos mensajes de correo electrónico de destino en consecuencia.[62]
    • Sitios de redes sociales son el primer objetivo de phishing, ya que los datos personales en estos sitios pueden ser utilizados en robo de identidad;[63] a finales de 2006 un gusano de la computadora asumió el control de páginas en MySpace y vínculos alterados a surfistas a sitios web diseñados para robar datos de acceso.[64] Experimentos muestran una tasa de éxito de más del 70% para ataques de phishing en redes sociales.[65]
  • 2007
    • 3.6 millones de adultos perdidos US$ 3,2 billones en los 12 meses terminados en agosto de 2007.[66] Microsoft afirma estas estimaciones son muy exagerados y pone la pérdida anual de phishing en los Estados Unidos en US$ 60 millones.[67]
    • Atacantes que irrumpieron en TD Ameritradetuvo 6,3 millones de direcciones de correo electrónico (aunque no fueron capaces de obtener y de la base de datos números de seguro socialcuenta números, nombres, direcciones, fechas de nacimiento, números de teléfono y actividad comercial) también quería los nombres de cuenta y contraseñas, así que lanzaron un ataque de phishing lanza seguimiento.[68]
  • 2008
    • El RapidShare sitio para compartir archivos ha sido blanco de phishing para obtener una cuenta premium, que quita tapas de velocidad de descargas, retiro de auto de uploads, espera en descargas y enfriar veces entre cargas.[69]
    • Cryptocurrencies como Bitcoin, introducido a finales de 2008, facilitar la venta de software malintencionado, realizar transacciones seguras y anónimas.
  • 2009
    • En enero de 2009, un ataque de phishing dio lugar a transferencias no autorizadas de US$ 1,9 millones a través de cuentas de banca en línea de experiencia-Metal.
    • En el 3er trimestre de 2009, el Grupo de trabajo Anti-Phishing denunció haber recibido informes de correo electrónico de phishing 115.370 de los consumidores con Estados Unidos y China acoger más del 25% de las páginas de phishing cada.[70]

década de los 2010

Informes de phishing único por año [71]
Año Campañas de
2005
173.063
2006
268.126
2007
327.814
2008
335.965
2009
412.392
2010
313.517
2011
284.445
2012
320.081
2013
491.399
2014
704.178
2015
1.413.978
  • 2011
    • En marzo de 2011, RSA interna personal phished con éxito,[72] entonces conduce a las teclas del maestro para todos los tokens de seguridad RSA SecureID robadas, posteriormente utilizado en proveedores de defensa de Estados Unidos.[73]
    • Campaña de phishing chino había dirigido a cuentas de Gmail de funcionarios altamente ordenadas de los gobiernos de Estados Unidos y Corea del sur y militares, así como activistas políticos chinos.[74] El gobierno chino negó las acusaciones de participar en ataques cibernéticos desde dentro de sus fronteras, pero no hay evidencia de que la Ejército popular de liberación ha ayudado en la codificación de software de ataque cibernético.[75]
    • En noviembre de 2011, 110 millones registros de clientes y tarjetas de crédito fueron robados de Blanco clientes, a través de una cuenta del subcontratista phished.[76] CEO y personal de seguridad, posteriormente despedido.[77]
  • 2012
    • Según Ghosh, allí fueron "445.004 ataques en 2012 en comparación con 258.461 en 2011 y 187.203 en 2010", demostrando que phishing ha estado amenazando cada vez más personas.
  • 2013
    • En agosto de 2013, servicio de publicidad Outbrain sufrió un ataque de spearphishing y mar puesto redirecciones en los sitios web de The Washington Post, el tiempo y CNN.[78]
    • En octubre de 2013, los correos electrónicos que pretenden ser de American Express fueron enviados a un número indeterminado de destinatarios. Un simple DNS el cambio se podría haber hecho para frustrar este correo falsificado, pero American Express no se pudo hacer los cambios.[79]
    • En diciembre de 2013, Cryptolocker ransomware infectados 250.000 ordenadores personales por primeras empresas objetivos utilizando un accesorio de archivo Zip que pretendía ser una queja del cliente y más tarde dirigido a público en general mediante un enlace en un correo electrónico con respecto a un problema de compensación de un cheque. El ransomware codifica y cerraduras de archivos en el equipo y pide el dueño hacer un pago a cambio de la clave de desbloqueo y descifrar los archivos. Según SecureWorks Dell, 0.4% o más de los infectados es probable que de acuerdo a la demanda de rescate.[80]
  • 2014
    • En enero de 2014, el laboratorio de investigación de Seculert identificó un nuevo ataque dirigido que Xtreme RATA. Este ataque utilizada Spear phishing correos electrónicos para apuntar las organizaciones israelíes y desplegar la pieza de malware avanzado. Hasta la fecha, han sido comprometidas 15 máquinas los pertenecientes a incluyendo la Administración civil de Judea y Samaria.[81][82][83][84][85][86][87]
    • Según 3 Microsoft informática seguro índice informe publicado en febrero de 2014, el impacto a nivel mundial anual de phishing podría ser tan alto como $ 5 billones.[3]
    • En agosto de 2014, iCloud de filtraciones de fotos de famosos -Durante la investigación, se encontró phished Collins por enviar correos electrónicos a las víctimas que parecían que venían de Apple o Google, atención a las víctimas que sus cuentas podrían ser comprometidas y pidiendo los datos de su cuenta. Las víctimas entraría su contraseña, y Collins ganado acceso a sus cuentas, descargar correos electrónicos y copias de seguridad de iCloud.[88]
    • En septiembre de 2014, personal y datos de tarjeta de crédito de 100 millones de compradores de 2200 todos Home Depot tiendas publicadas a la venta en sitios web de hacking.[89]
    • En noviembre de 2014, ataques de phishing en ICANN. En particular, se ganó el acceso administrativo al sistema de datos centralizado zona, permitiendo al atacante obtener los archivos de zona, y datos sobre los usuarios del sistema, como sus nombres reales, información de contacto y salados hashes de sus contraseñas. Acceso fue también ganado y wiki público de Comité asesor gubernamental de ICANN, blog, portal de información de whois.[90]
  • 2015
    • Charles H. Eccleston declararse culpable[91] a un cargo de intento de "acceso no autorizado y daños intencionales a un ordenador protegido"[92] en el intento lanza-Phishing ciberataque en 15 de enero de 2015 cuando trató de infectar ordenadores de los 80 trabajadores del Departamento de energía.
    • Eliot Higgins y otros periodistas asociados con Bellingcat, un grupo investigando el brote hacia abajo de Malasia Airlines Vuelo 17 en Ucrania, fueron blanco de numerosos correos electrónicos de spearphishing. Los mensajes eran falsos avisos de seguridad de Gmail con Bit.ly y TinyCC acortar URLs. Según ThreatConnect, algunos de los phishing emails habían originado desde los servidores que llevan lujo había utilizado en anteriores ataques en otros lugares. Bellingcat es conocida por haber acusado a Rusia de ser culpable de derribar MH17 y con frecuencia es ridiculizado en los medios de comunicación rusos.[93][94]
    • En agosto de 2015 acogedor Oso estaba ligado a un lanza-phishing ataque cibernético contra la Pentágono Correo electrónico sistema provocando el cierre abajo de todo el personal de conjunto sin clasificar correo electrónico sistema y acceso a Internet durante la investigación.[95][96]
    • En agosto de 2015, tener lujo utiliza un exploit de día cero de Java, suplantación de identidad el Electronic Frontier Foundation y el lanzamiento de ataques en la Casa blanca y OTAN. Los hackers utilizan un ataque de phishing lanza, dirigir correos electrónicos a la falsa electronicfrontierfoundation.org de url.[97][98]
  • 2016
    • Oso de lujo realizado lanza ataques de phishing en direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer trimestre de 2016.[99] El 15 de abril, que en Rusia era una fiesta en honor de los servicios de guerra electrónica del ejército, los hackers parecen ser inactivo para el día.[100] Otro sofisticado hacking grupo atribuido a la Federación de Rusia, apodada Acogedor oso, también estuvo presente en los servidores de la DNC a la vez. Sin embargo los dos grupos parecen ser conscientes de la otra, como cada uno independientemente robó las contraseñas mismo y si no duplica sus esfuerzos. Acogedor oso parece ser una agencia diferente, uno más interesados en el espionaje a largo plazo tradicional.[100]
    • El águila de Wichita registrados"KU empleados víctimas de estafa, perder cheques" [101]
    • Oso de lujo se sospecha que detrás de un spearphishing ataque en agosto de 2016 en los miembros de la Bundestag y varios partidos políticos tales como Linken-Jefe de la facción Sahra Wagenknecht, Unión de Junge y de la CDU de Saarland.[102][103][104][105] Las autoridades temen que podría recopilarse información sensible por los hackers para después manipular el público antes de las elecciones como la próxima elección federal de Alemania en septiembre de 2017.[102]
    • En agosto de 2016, el Agencia antidopaje mundial informó de la recepción de correos de phishing a usuarios de su base de datos alegando que comunicaciones oficiales ama solicitando sus datos de inicio de sesión. Después de revisar los dos dominios proporcionados por la ama, se encontró que las webs registro y hospedaje de información eran constantes con el grupo hacking ruso oso de lujo.[106][107] Según WADA, algunos de los datos de los hackers liberados habían sido falsificados.[108]
    • En horas de la Elecciones de Estados Unidos de 2016 resultados, e-mails de hackers ruso enviados que contiene archivos zip sucio de falsa La Universidad de Harvard direcciones de correo electrónico.[109] Los rusos utilizan técnicas similares al phishing para publicar noticias falsas dirigido a los votantes americanos comunes y corrientes.[110][111]
Número total de informes únicos de phishing (campañas) recibidos, según APWG [71]
Año Jan Feb Mar Apr Mayo Jun Julio Aug Sep Oct Noviembre Dec Total
2005 12845 13468 12883 14411 14987 15050 14135 13776 13562 15820 16882 15244 173063
2006 17877 17163 18480 17490 20109 28571 23670 26150 22136 26877 25816 23787 268126
2007 29930 23610 24853 23656 23415 28888 23917 25624 38514 31650 28074 25683 327814
2008 29284 30716 25630 24924 23762 28151 24007 33928 33261 34758 24357 23187 335965
2009 34588 31298 30125 35287 37165 35918 34683 40621 40066 33254 30490 28897 412392
2010 29499 26909 30577 24664 26781 33617 26353 25273 22188 23619 23017 21020 313517
2011 23535 25018 26402 20908 22195 22273 24129 23327 18388 19606 25685 32979 284445
2012 25444 30237 29762 25850 33464 24811 30955 21751 21684 23365 24563 28195 320081
2013 28850 25385 19892 20086 18297 38100 61453 61792 56767 55241 53047 52489 491399
2014 53984 56883 60925 57733 60809 53259 55282 54390 53661 68270 66217 62765 704178
2015 49608 55795 115808 142099 149616 125757 142155 146439 106421 194499 105233 80548 1413978
2016 99384 229315 229265 121028 96490 98006 93160 66166 69925 89232 118928 69533 1380432

Anti-phishing

Hay sitios de anti-phishing que publican mensajes exactos que han sido recientemente circulando el internet, tales como FraudWatch internacional y Millersmiles. Estos sitios a menudo proporcionan detalles específicos acerca de los mensajes.[112][113] Para evitar tratar directamente con el código fuente de páginas web, los hackers utilizan cada vez más una herramienta de phishing llamada Phisher Super que facilita el trabajo en comparación con métodos manuales de creación de sitios web de phishing.[114]

Tan recientemente como 2007, la adopción de estrategias de anti-phishing por empresas que necesitan proteger la información personal y financiera fue baja.[115] Ahora hay varias técnicas diferentes de combate phishing, incluyendo legislación y tecnología creada específicamente para proteger contra el phishing. Estas técnicas incluyen medidas que pueden ser tomadas por los individuos, así como por las organizaciones. Teléfono, Web y correo electrónico de phishing pueden ahora declarar a las autoridades, como se describe por debajo de.

Respuestas sociales

Fotograma de una animación por la Comisión de Comercio Federal de Estados Unidos pretende educar a los ciudadanos acerca de tácticas de phishing.

Una estrategia para combatir el phishing es formar personas para reconocer los intentos de phishing y tratar con ellos. Educación puede ser eficaz, especialmente en formación hace hincapié en conocimientos conceptuales[116] y la retroalimentación directa.[117] Una nueva táctica de phishing, que utiliza correos electrónicos de phishing dirigidos a una empresa específica, conocida como Spear phishing, ha sido aprovechado para entrenar a personas en varios lugares, incluyendo Academia militar de Estados Unidos en West Point, Nueva York. En junio de 2004 el experimento con spear phishing, 80% de los 500 cadetes de West Point que enviaron un email falso de una inexistente Col. Roberto Melville en West Point fueron engañados para hacer clic en un enlace que supuestamente llevaría a una página donde entran información personal. (La página les informó que había sido engañados.)[118]

Las personas pueden tomar medidas para evitar intentos de phishing modificando ligeramente sus hábitos de navegación.[119] Cuando sobre una cuenta que necesitan ser "verificada" (o cualquier otro tema utilizado por los estafadores), es una precaución básica, que en contacto con la empresa de que el correo electrónico se origina aparentemente para comprobar que el correo electrónico es legítimo. Por otra parte, la dirección que el individuo sabe es que su auténtico sitio web se puede escribir en la barra de direcciones del navegador, en lugar de confiar en cualquier hipervínculos en el mensaje de phishing sospechoso.[120]

Casi todos los mensajes de correo electrónico legítimo de las empresas a sus clientes contienen un elemento de información que no está disponible para los phishers. Algunas empresas, por ejemplo PayPal, siempre dirección sus clientes por su nombre de usuario en los correos electrónicos, por lo que si trata de un correo electrónico el destinatario de una manera genérica ("Estimado cliente de PayPal") es probable que sea un intento de phishing.[121] Correos electrónicos de los bancos y compañías de tarjetas de crédito a menudo incluyen números de cuenta parcial. Sin embargo, investigaciones recientes[122] ha demostrado que el público no suelen distinguir entre los pocos primeros dígitos y los últimos pocos dígitos de un número de cuenta — un problema importante ya que los primeros pocos dígitos a menudo son los mismos para todos los clientes de una institución financiera. Personas pueden ser entrenadas a tener sus sospechas de que si el mensaje no contiene ninguna información personal específica. Phishing intentos a principios de 2006, sin embargo, utiliza información personalizada, lo que es seguro asumir que la presencia de información personal solo garantiza que un mensaje es legítimo.[123] Además, otro estudio reciente llegó a la conclusión en parte que la presencia de información personal no afecta significativamente la tasa de éxito de ataques de phishing,[124] que indica que mayoría de la gente no preste atención a tales detalles.

El Grupo de trabajo Anti-Phishing, una asociación de aplicación industrial y el derecho, ha sugerido que las técnicas convencionales de phishing podrían convertirse en obsoletas en el futuro como las personas son cada vez más conscientes de las técnicas de ingeniería social utilizadas por los phishers.[125] Ellos predicen que Pharming y otros usos de malware se convertirá en herramientas más comunes para robar información.

Todo el mundo puede ayudar a educar al público por fomentar prácticas seguras y evitando peligrosos. Por desgracia, incluso conocidos jugadores conocen a incitan a los usuarios comportamiento peligroso, por ejemplo, solicitando a sus usuarios para revelar sus contraseñas de servicios de terceros, tales como correo electrónico.[126]

Navegadores alertando a los usuarios a sitios web fraudulentos

Captura de pantalla de Firefox 2.0.0.1 ADVERTENCIA de sitio sospechoso de phishing

Otro método popular para la lucha contra el phishing es mantener una lista de sitios phishing conocidos y comprobar sitios web con la lista. Navegador de IE7 de Microsoft, Mozilla Firefox 2.0, Safari 3.2, y Opera todos contienen este tipo de medidas anti-phishing.[6][127][128][129][130] Firefox 2 utiliza Google software de anti-phishing. Opera 9.1 utiliza vivo listas negras De PhishTank, cyscon y GeoTrust, así como en listas blancas De GeoTrust. Algunas implementaciones de ello envían las URLs visitadas a un servicio central para comprobar, que ha generado preocupaciones sobre la privacidad.[131] Según un informe de Mozilla a finales de 2006, Firefox 2 fue encontrado para ser más eficaz que Internet Explorer 7 en la detección de sitios fraudulentos en un estudio por un compañía de pruebas de software independiente.[132]

Un enfoque introducido a mediados de 2006 consiste en cambiar a un servicio DNS especial que filtra el phishing conocidos dominios: esto funciona con cualquier navegador,[133] y es similar en principio al uso de un archivo hosts bloquear anuncios de la web.

Para mitigar el problema de los sitios de phishing suplantando a un sitio de víctima incrustando sus imágenes (por ejemplo, logotipos), varios dueños del sitio han alterado las imágenes para enviar un mensaje a los visitantes que un sitio puede ser fraudulento. La imagen puede ser desplazada a un nuevo nombre de archivo y los originales sustituidos permanentemente, o un servidor puede detectar que la imagen no se solicitado como parte de la navegación normal y en su lugar enviar una imagen de advertencia.[134][135]

Aumentar el acceso de la contraseña

El Bank of Americadel sitio web[136][137] es uno de varios que piden los usuarios seleccionar una imagen personal (comercializada como SiteKey) y mostrar esta imagen seleccionada por el usuario con los formularios que solicitan una contraseña. Mandan a los usuarios de los servicios del Banco en línea para entrar una contraseña sólo cuando ven la imagen que seleccionaron. Sin embargo, varios estudios indican que pocos usuarios abstengan de introducir sus contraseñas cuando faltan imágenes.[138][139] Además, esta característica (como otras formas de autenticación de dos factores) es susceptible a otros ataques, como los sufridos por el Banco escandinavo Nordea a finales de 2005,[140] y Citibank en el año 2006.[141]

Un sistema similar, en el que se muestra un generados automáticamente "identidad Cue", que consta de una palabra color dentro de una caja de color a cada usuario del sitio web, está en uso en otras instituciones financieras.[142]

Aspectos de seguridad[143][144] son una técnica relacionada que consiste en superponer una imagen seleccionada por el usuario en el formulario de inicio de sesión como una referencia visual que la forma es legítima. A diferencia de los esquemas de imagen basadas en Web, sin embargo, la propia imagen es compartida sólo entre el usuario y el navegador y no entre el usuario y el sitio Web. El plan también se basa en un autenticación mutua Protocolo, que hace menos vulnerable a los ataques que afectan a esquemas de autenticación de usuario.

Otra técnica se basa en una dinámica red de imágenes que es diferente para cada intento de inicio de sesión. El usuario debe identificar las imágenes que se ajustan sus categorías previamente solicitadas (como perros, coches y flores). Sólo después de que se han identificado correctamente las imágenes que sus categorías se les permite entrar su contraseña alfanumérica para completar el inicio de sesión. A diferencia de las estáticas imágenes utilizadas en el sitio web de Bank of America, un método de autenticación basado en imágenes dinámica crea una contraseña única para el inicio de sesión requiere participación activa del usuario y es muy difícil para un sitio de phishing replicar correctamente porque tendría que mostrar una cuadrícula diferente de imágenes generados aleatoriamente que incluye categorías secreta del usuario.[145]

Eliminar correo de phishing

Especializada filtros de spam puede reducir el número de correos electrónicos de phishing que llegan a los buzones de sus destinatarios, o proporcionar corrección después de la entrega, analizar y eliminar lanza ataques de phishing a la entrega a través de la integración del nivel de proveedor de correo electrónico. Estos enfoques se basan en aprender de máquina[146] y procesamiento del lenguaje natural enfoques para clasificar los correos electrónicos de phishing.[147][148] Autenticación de la dirección de correo electrónico es otro nuevo enfoque.[4]

Monitoreo y takedown

Varias empresas ofrecen los bancos y otras organizaciones que sufren estafas de phishing servicios las 24 horas para monitorear, analizar y ayudar a cerrar sitios web de phishing.[149] Los individuos pueden contribuir al reportar phishing a grupos voluntarios y la industria,[150] tales como cyscon o PhishTank.[151] Individuos también pueden contribuir al reportar intentos de phishing teléfono teléfono Phishing, Comisión Federal de comercio.[152] Páginas web de phishing y correos electrónicos pueden indicarse a Google.[153][154] El Tablón de anuncios del centro de denuncia de delitos de Internet lleva phishing y ransomware alertas.

Verificación de transacciones y firma

También han surgido soluciones de usar el teléfono móvil[155] (teléfono inteligente) como un segundo canal para la verificación y autorización de transacciones bancarias.

Limitaciones de las respuestas técnicas

Un artículo en Forbes en agosto de 2014 argumenta que los problemas de phishing razón persisten incluso después de una década de las tecnologías de anti-phishing se vende que el phishing es "un medio tecnológico para explotar las debilidades humanas" y que la tecnología no puede compensar totalmente las debilidades humanas.[156]

Respuestas legales

File:Scam Watch 1280x720.ogv Reproducir archivos multimedia
Video instrucciones sobre cómo presentar una queja ante la Comisión Federal de comercio

En 26 de enero de 2004, los Estados Unidos. Comisión Federal de comercio presentó la primera demanda contra un phisher sospechoso. El acusado, un Californiano adolescente, supuestamente creó una página web diseñada para parecerse a la America Online sitio web y lo usó para robar información de tarjetas de crédito.[157] Otros países han seguido esta rastreando y arrestando a los estafadores. Un phishing kingpin, Valdir Paulo de Almeida, fue detenido en Brasil para el uno del phishing más grande anillos del crimen, que en dos años robó entre US$ 18 millones y US$ 37 millones.[158] Autoridades del Reino Unido encarcelan a dos hombres en junio de 2005 por su papel en una estafa de phishing,[159] en un caso conectado a la Servicio secreto de Estados Unidos Operación Firewall, que sitios web notorios "carder".[160] En 2006 ocho personas fueron detenidas por policía japonesa bajo sospecha de fraude de phishing mediante la creación de falsos sitios Web de Yahoo Japan, la red se ¥ 100 millones (US$ 870.000).[161] Las detenciones continuaron en 2006 con la FBI Operación Cardkeeper detuvieron a una banda de 16 años en los Estados Unidos y Europa.[162]

En Estados Unidos, Senador Patrick Leahy introdujo el Ley Anti-Phishing de 2005 en Congreso en 01 de marzo de 2005. Esto proyecto de ley, si había sido promulgada la ley, habría sometido criminales que crean sitios web falsos y enviaron correos electrónicos falsos para defraudar a los consumidores a multas de hasta US$ 250.000 y penas de hasta cinco años de prisión.[163] El Reino Unido consolidó su arsenal legal contra el phishing con el Fraude ley 2006,[164] que introduce un delito general de fraude que puede llevar hasta una pena de prisión de diez años y prohíbe el desarrollo o la posesión de kits de phishing con intención de cometer fraude.[165]

Las empresas han sumado el esfuerzo de acabar con el phishing. En 31 de marzo de 2005, Microsoft presentado 117 demandas federales en la Corte de districto de Estados Unidos para el districto occidental de Washington. Las demandas acusan"John Doe"acusados de obtener contraseñas e información confidencial. Marzo de 2005 también vio una alianza entre Microsoft y el Gobierno de Australia enseña a las autoridades combatir diversos delitos cibernéticos, incluyendo phishing.[166] Microsoft anunció un previsto más de 100 demandas fuera de Estados Unidos en marzo de 2006[167] seguido por el comienzo, a partir de noviembre de 2006, 129 pleitos mezcla acciones penales y civiles.[168] AOL reforzado sus esfuerzos contra el phishing[169] a principios de 2006 con tres demandas[170] buscando un total de US$ 18 millones bajo las enmiendas de 2005 a la ley de delitos informáticos de Virginia,[171][172] y Earthlink se ha unido en ayudando a identificar seis hombres posteriormente acusados de fraude de phishing en Connecticut.[173]

En enero de 2007, Jeffrey Brett Goodin de California se convirtió en el primer acusado declarado culpable por un jurado de conformidad con las disposiciones de la CAN-SPAM Act de 2003. Él fue declarado culpable de enviar miles de correos electrónicos a los usuarios de America Online, mientras haciéndose pasar por el Departamento de facturación, que llevaron a los clientes para enviar personal y tarjeta de crédito información de AOL. Frente a un posible 101 años de prisión por la violación de CAN-SPAM y diez otros cuenta incluyendo fraude del alambre, el uso no autorizado de tarjetas de crédito y el mal uso de la marca registrada de AOL, fue sentenciado a 70 meses. Goodin había estado en custodia desde no aparece para una audiencia anterior y comenzó a servir su prisión inmediatamente.[174][175][176][177]

Véase también

  • Amenaza persistente avanzada
  • Brandjacking
  • Autoridad de certificación
  • Clickjacking
  • Truco de la confianza
  • Secuestro de DNS
  • Hacker (seguridad informática)
  • Phishing en sesión
  • Fraude en Internet
  • Ensayo de penetración
  • Rock Phish
  • SiteKey
  • SMS phishing
  • Typosquatting
  • Crimen blanco del collar

Notas

  1. ^ Ramzan, Zulfikar (2010). "Phishing ataques y contramedidas". En el sello, marca y Stavroulakis, Peter. Manual de información y seguridad de las comunicaciones. Springer. ISBN 9783642041174. 
  2. ^ Van der Merwe, A J, Loock, M, Dabrowski, M. (2005), características y responsabilidades involucrados en un ataque de Phishing, invierno Simposio Internacional en tecnologías de información y comunicación, ciudad del cabo, enero de 2005.
  3. ^ a b "indios del 20% son víctimas de ataques de phishing en línea: Microsoft". IANS. News.biharprabha.com. 11 de febrero, 2014. 
  4. ^ a b "Aterrizaje otro golpe contra el phishing de correo electrónico (Google Online Security Blog)". 21 de junio, 2012. 
  5. ^ Tan, Koontorm centro. "Phishing y spam por mensajería instantánea (SPIM)". 5 de diciembre, 2006. 
  6. ^ a b "Caja fuerte navegación (Google Online Security Blog)". 21 de junio, 2012. 
  7. ^ Jøsang, Audun; et al (2007). "Principios de usabilidad del seguridad para análisis de vulnerabilidad y evaluación del riesgo". (PDF). Actas de la Conferencia de aplicaciones de seguridad informática anual 2007 (ACSAC'07). 
  8. ^ "¿Qué es spear phishing?. Microsoft seguridad en casa. 11 de junio, 2011. 
  9. ^ Stephenson, Debbie. "spear Phishing: que es ser atrapado?". Firmex. 27 de julio, 2014. 
  10. ^ "Falsos arpón de citaciones 2.100 negocios gordos". El registro. Programa archivado de la original en 31 de enero de 2011. 17 de abril 2008. 
  11. ^ '¿Qué es 'ballenas'? Es la caza de ballenas como "Spear Phishing"? ". Acerca de Tech. Programa archivado de la original en 18 de octubre de 2011. 28 de marzo, 2015. 
  12. ^ "sabios en Phishing! Aprender a leer enlaces!". Programa archivado de la original en 11 de diciembre de 2016. 11 de diciembre, 2016. 
  13. ^ "Seguridad HSBC y fraude centro – estafas con Phishing, protección contra fraudes". Hsbcusa.com. 9 de septiembre, 2012. 
  14. ^ Johanson, Eric. "El estado de homógrafo ataques Rev1.1". El grupo de Shmoo. 11 de agosto, 2005. 
  15. ^ Evgeniy Gabrilovich & Alex Gontmakher (febrero de 2002). "El ataque homógrafo" (PDF). Comunicaciones del ACM. 45 (2): 128. doi:10.1145/503124.503156. 
  16. ^ Leyden, John (15 de agosto de 2006). "Barclays SNAFU explotado por los phishers de secuencias de comandos". El registro. 
  17. ^ Levine, Jason. "Goin ' phishing con eBay". Q noticias. 14 de diciembre, 2006. 
  18. ^ Leyden, John (12 de diciembre de 2007). "Ciberdelincuentes acechan en las sombras de los grandes sitios web". El registro. 
  19. ^ "Negro sombrero DC 2009". 15 de mayo de 2011. 
  20. ^ Cordero, Paul. "Los defraudadores buscan hacer sitios phishing indetectable por filtros de contenidos". Netcraft. Programa archivado de la original en 31 de enero de 2011. 
  21. ^ "El uso de software de reconocimiento óptico de caracteres OCR en el filtrado de spam". 
  22. ^ Cordero, Paul. "Métodos de sitio Web de Phishing". FraudWatch internacional. Programa archivado de la original en 31 de enero de 2011. 14 de diciembre, 2006. 
  23. ^ "Phishing secuestra con barra de navegador". Noticias de BBC. 08 de abril de 2004. 
  24. ^ Krebs, Brian. "Defectos en sitios financieros ayuda estafadores". Parche de seguridad. Programa archivado de la original en 31 de enero de 2011. 28 de junio, 2006. 
  25. ^ Cordero, Paul. "Falla de seguridad de PayPal permite el robo de identidad". Netcraft. Programa archivado de la original en 31 de enero de 2011. 19 de junio, 2006. 
  26. ^ Hoffman, Patrick (10 de enero de 2007). "RSA capturas Financial Phishing Kit". eWeek. 
  27. ^ Miller, Rich. "Ataques de Phishing continúan creciendo en sofisticación". Netcraft. Programa archivado de la original en 31 de enero de 2011. 19 de diciembre, 2007. 
  28. ^ «fallo de seguridad grave en OAuth, OpenID descubierto». CNET. 02 de mayo de 2014. 10 de noviembre, 2014. 
  29. ^ a b "Vulnerabilidad de redirección encubierta relacionada con OpenID y OAuth 2.0". Tetraph. 01 de mayo de 2014. 10 de noviembre, 2014. 
  30. ^ "Facebook, los usuarios de Google amenazados por nueva falla de seguridad". Guid de Tom. 02 de mayo de 2014. 11 de noviembre, 2014. 
  31. ^ "Facebook, los usuarios de Google amenazados por nueva falla de seguridad". NOTICIAS DEL ZORRO. 05 de mayo de 2014. 10 de noviembre, 2014. 
  32. ^ "Desagradable Covert redirigir vulnerabilidad en OAuth y OpenID". Las noticias de Hacker. 03 de mayo de 2014. 10 de noviembre, 2014. 
  33. ^ "Facebook, los usuarios de Google amenazados por nueva falla de seguridad". Yahoo. 02 de mayo de 2014. 10 de noviembre, 2014. 
  34. ^ "'Redirect encubierta ' vulnerabilidad impacto 2.0 OAuth, OpenID ". SC Magazine. 02 de mayo de 2014. 10 de noviembre, 2014. 
  35. ^ "Defecto redirigir encubierta en OAuth no es el siguiente Heartbleed". Symantec. 03 de mayo de 2014. 10 de noviembre, 2014. 
  36. ^ Graham, Meg (19 de enero de 2017). "este ataque de phishing de Gmail es engañar a expertos. Aquí es cómo evitarlo".. 28 de enero 2017. 
  37. ^ Tomlinson, Kerry (27 de enero de 2017). "Noticias falsas pueden intoxicar tu ordenador como tu mente". 28 de enero 2017. 
  38. ^ Gonsalves, Antone (25 de abril de 2006). "Víctimas de la trampa de los estafadores con VoIP". TechWeb. 
  39. ^ "Los ladrones de identidad aprovechan VoIP". Silicon.com. 21 de marzo de 2005. Archivado de el original en 24 de marzo de 2005. 
  40. ^ Phishing, Smishing y Vishing: ¿Cuál es la diferencia? 01 de agosto de 2008
  41. ^ "Banca por Internet objeto de ataque de Phishing" (PDF). Servicio de Policía Metropolitana. 03 de junio de 2005. Archivado de el original (PDF) en 18 de febrero de 2010. 22 de marzo, 2009. 
  42. ^ Felix, Jerry & Hauck, Chris (septiembre de 1987). "sistema de seguridad: perspectiva de un Hacker". Procedimientos de interex 1987. 8: 6. 
  43. ^ "EarthLink gana pleito de $ 25 millones contra el remitente de correo no deseado". 
  44. ^ Langberg, Mike (08 de septiembre de 1995). «Actos de AOL para frustrar los Hackers». San Jose Mercury News. 
  45. ^ Rekouche, Koceilah (2011). "Phishing temprano". arXiv:1106.4692Freely accessible [CS. CR]. 
  46. ^ Stutz, Michael (29 de enero de 1998). "AOL: mamá una galleta!". Noticias por cable. 
  47. ^ "Historia de Phishing - Phishing.org". 
  48. ^ "Phishing". Espía de la palabra. 28 de septiembre 2006. 
  49. ^ "Historia de AOL Warez". Programa archivado de la original en 31 de enero de 2011. 28 de septiembre 2006. 
  50. ^ «GP4.3 – crecimiento y fraude: caso #3 – Phishing». Criptografía financiera. 30 de diciembre de 2005. 
  51. ^ Sangani, Kris (septiembre de 2003). "La batalla contra el robo de identidad". El banquero. 70 (9): 53 – 54. 
  52. ^ Kerstein, Paul (19 de julio de 2005). "¿Cómo podemos detener el Phishing y Pharming estafas?". OSC. Archivado de el original en 24 de marzo de 2008. 
  53. ^ "en 2005, el crimen organizado se"hacia atrás los Phishers. Gestión de TI. 23 de diciembre de 2004. Programa archivado de la original en 31 de enero de 2011. 
  54. ^ Abad, Christopher (Septiembre de 2005). "la economía de phishing: un estudio de las operaciones del mercado de phishing". Primer lunes. 
  55. ^ «UK phishing fraude pérdidas doble». Finextra. 07 de marzo de 2006. 
  56. ^ Richardson, Tim (03 de mayo de 2005). "Británicos caen víctimas de phishing". El registro. 
  57. ^ Krebs, Brian (13 de octubre de 2007). "Sombra firma rusa vista como conducto para la ciberdelincuencia". Poste de Washington. 
  58. ^ Miller, Rich. "Banco de clientes Spar sobre pérdidas de Phishing". Netcraft. 14 de diciembre, 2006. 
  59. ^ "Últimas noticias". Archivado de el original en 07 de octubre de 2008. 
  60. ^ "Banco de Irlanda acepta reembolsos de phishing". vnunet.com. archivado de la el original en 28 de octubre de 2008. 
  61. ^ «Correos electrónicos sospechosos y robo de identidad». Servicio de rentas internas. Programa archivado de la original en 31 de enero de 2011. 5 de julio, 2006. 
  62. ^ "Phishing de pistas". Universidad de Indiana Bloomington. 15 de septiembre de 2005. 
  63. ^ Kirk, Jeremy (02 de junio de 2006). "Estafa tiene como objetivo en MySpace.com". Red IDG. 
  64. ^ "Web / malicioso código: MySpace XSS QuickTime Worm". Websense Security Labs. Archivado de el original en 05 de diciembre de 2006. 5 de diciembre, 2006. 
  65. ^ Jagatic, Tom; Markus Jakobsson (Octubre de 2007). "Social Phishing". Comunicaciones del ACM. 50 (10): 94 – 100. doi:10.1145/1290958.1290968. 
  66. ^ McCall, Tom (17 de diciembre de 2007). "encuesta de Gartner muestran ataques de Phishing se intensificó en 2007; Más de $ 3 billones perdidos a estos ataques". Gartner. 
  67. ^ "un esfuerzo improductivo: Phishing como tragedia de los comunes" (PDF). Microsoft. 15 de noviembre, 2008. 
  68. ^ "Torrente de spam probable golpear a 6,3 millones de TD Ameritrade hackear las víctimas". Archivado de el original en 05 de mayo de 2009. 
  69. ^ "1-click Hosting en RapidTec — ADVERTENCIA de Phishing!". Archivado de el original en 30 de abril de 2008. 21 de diciembre, 2008. 
  70. ^ APWG. "Informe de tendencias de actividad de Phishing" (PDF). 4 de noviembre, 2013. 
  71. ^ a b "El ataque de Phishing APWG tendencias informes". 21 de abril 2015. 
  72. ^ "Anatomía de un ataque RSA". RSA.com. RSA FraudAction Research Labs. 15 de septiembre, 2014. 
  73. ^ Drew, Christopher; Markoff, John (27 de mayo de 2011). "Violación de datos en empresa de seguridad vinculado a ataque a Lockheed". El New York Times. 15 de septiembre, 2014. 
  74. ^ Keizer, Greg. "Presuntos ataques de lanza-phishing chino seguir a los usuarios de Gmail". Mundo de la informática. 4 de diciembre, 2011. 
  75. ^ Ewing, Felipe. "Informe: doc TV chino revela cyber-travesura". DoD Buzz. 4 de diciembre, 2011. 
  76. ^ O ' Connell, Liz. "Informe: estafa a incumplimiento objetivo por correo electrónico". BringMeTheNews.com. 15 de septiembre, 2014. 
  77. ^ Ausick, Paul. "Saco de objetivo Director General". 15 de septiembre, 2014. 
  78. ^ "Hackers sirios uso Outbrain Target The Washington Post, CNN y", Philip Bump, El cable Atlántico, 15 de agosto de 2013. Obtenido 15 de agosto de 2013.
  79. ^ Paul, Andrew. «Correos Phishing: los fracasos inaceptables de American Express». Respuestas de correo electrónico. 9 de octubre, 2013. 
  80. ^ Kelion, Leo (24 de diciembre de 2013). «ransomware Cryptolocker ha ' infectados unos 250.000 PC'". BBC. 24 de diciembre, 2013. 
  81. ^ "equipo de la defensa israelí hackeado mediante firma de correo electrónico contaminado - cyber". Reuters. 2014-01-26. 
  82. ^ ""האקרים השתלטו על מחשבים ביטחוניים"". 27 de enero de 2014 – vía Ynet. 
  83. ^ "Lo sentimos - esta página ha sido eliminada." – a través de los tutores. 
  84. ^ "Equipos de defensa de Israel ataque hack". Noticias de BBC. 27 / 01 / 2014. 
  85. ^ "equipo de la defensa israelí golpeó en ataque cibernético: experto de datos - SecurityWeek.Com". 
  86. ^ "Israel para facilitar la seguridad cibernética exportación bordillos, dice Premier". Bloomberg. 
  87. ^ Halpern, D. Miqueas "Ciber robo @ IDF". The Huffington Post. 
  88. ^ Los fiscales encuentran que pérdida de desnudos de celebridades 'Fappening' no fue culpa de Apple 15 de marzo de 2016, Techcrunch
  89. ^ Invierno, Michael. "datos: casi todos los Estados Unidos Home Depot tiendas Hit". Los E.e.u.u. hoy. 16 de marzo, 2016. 
  90. ^ "ICANN en lanza ataque de Phishing | Mejorado las medidas de seguridad aplicadas". ICANN.org. 18 de diciembre, 2014. 
  91. ^ https://www.Justice.gov/File/Eccleston-indictment/download
  92. ^ "Comisión Reguladora Nuclear de Estados Unidos ex empleado se declara culpable de intento de Spear-Phishing de Cyber-ataque en el Departamento de energía de los ordenadores". 
  93. ^ Nakashima, Ellen (28 de septiembre de 2016). "los hackers rusos acosaron periodistas que investigaban el accidente de avión de líneas aéreas de Malasia". Poste de Washington. 26 de octubre 2016. 
  94. ^ ThreatConnect. «ThreatConnect comentarios actividad dirigida a Bellingcat, un colaborador clave en la investigación de MH17.». ThreatConnect. 26 de octubre 2016. 
  95. ^ Kube, Courtney (07 de agosto de 2015). "Rusia hacks ordenadores del Pentágono: NBC, citando fuentes". 7 de agosto 2015. 
  96. ^ Starr, Barbara (07 de agosto de 2015). «oficial: Rusia sospechada en conjunto jefes correo electrónico servidor intrusión». 7 de agosto 2015. 
  97. ^ Doctorow, Cory (28 de agosto de 2015). "Lanza los estafadores con presuntos vínculos con dominio EFF falso gobierno ruso spoof, atacar la casa blanca". Boing Boing. 
  98. ^ Quintín, Cooper (27 de agosto de 2015). "Nuevo Spear Phishing campaña pretende ser EFF". EFF. 
  99. ^ Sanger, David E.; Corasaniti, Nick (14 de junio de 2016). "D.N.C. dice Hackers rusos penetraron sus archivos, incluyendo Dossier de Donald Trump". Tiempos de Nueva York. 26 de octubre 2016. 
  100. ^ a b Economista, personal de (24 de septiembre de 2016). "El oso el oso". Economista. 25 de octubre 2016. 
  101. ^ «KU empleados víctimas de estafa, perder cheques». 
  102. ^ a b "Los piratas al acecho, parlamentarios dijeron". Deutsche Welle. 21 de septiembre 2016. 
  103. ^ "Deutsche Parteien del auf de Hackerangriff". Süddeutsche Zeitung. 21 de septiembre 2016. 
  104. ^ Holanda, Martin. "Angeblich versuchter Hackerangriff auf Bundestag und Parteien". Heise. 21 de septiembre 2016. 
  105. ^ ""Wir haben Fingerabdrücke"". Frankfurter Allgemeine. 21 de septiembre 2016. 
  106. ^ Jacinto Mascarenhas (23 de agosto de 2016). "Los hackers rusos 'Lujo Bear' probable fisura olímpico pruebas de drogas Agencia y DNC, dicen expertos". International Business Times. 13 de septiembre, 2016. 
  107. ^ "Lo que sabemos sobre osos fantasia hack team". Noticias de BBC. 17 de septiembre 2016. 
  108. ^ Gallagher, Sean (06 de octubre de 2016). "los investigadores encuentran datos falsos en la olímpico contra el dopaje, Guccifer 2.0 Clinton descargas". Ars Technica. 26 de octubre 2016. 
  109. ^ "Los Hackers rusos lanzan ciberataques dirigidos horas después de la victoria del triunfo". 
  110. ^ Parlamento Europeo Comisión de relaciones exteriores (23 2016 de noviembre), "Los diputados sonido alarma anti-UE la propaganda de los grupos terroristas Rusia e islamista" (PDF), Parlamento Europeo, obtenido 26 de noviembre 2016 
  111. ^ Lewis Sanders IV (11 de octubre de 2016), "'Europa ': advierten a los legisladores europeos de propaganda rusa ", Deutsche Welle, obtenido 24 de noviembre 2016 
  112. ^ «Página de inicio de Millersmiles». Servicios de información de Oxford. Programa archivado de la original en 21 de julio de 2007. 3 de enero, 2010. 
  113. ^ «Página de inicio de internacional de FraudWatch». FraudWatch internacional. 3 de enero, 2010. 
  114. ^ «61 super Phisher». 19 de marzo, 2011. 
  115. ^ Baker, Emiley; Panadero de Wade; John Tedesco (2007). "las organizaciones responden a Phishing: exploración de las relaciones públicas frente a caja". Informes de investigación de la comunicación. 24 (4): 327. doi:10.1080/08824090701624239. 
  116. ^ Arachchilage, Nalin; Amor, Steve; Scott, Michael (01 de junio de 2012). "diseñar un juego para móviles para enseñar conocimiento Conceptual de evitar" ataques de Phishing'". Revista Internacional de seguridad de e-Learning. Infonomics sociedad. 2 (1): 127 – 132. 1 de abril, 2016. 
  117. ^ Ponnurangam Kumaraguru; Yong Woo Rhee; Alessandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (noviembre de 2006). "Proteger a las personas de Phishing: el diseño y evaluación de un entrenamiento integrado sistema de correo electrónico" (PDF). Informe técnico CMU-CyLab-06-017, CyLab, de Carnegie Mellon University. 14 de noviembre, 2006. 
  118. ^ Banco, David (17 de agosto de 2005). "Spear Phishing pruebas educar a la gente sobre fraudes en línea". El Wall Street Journal. 
  119. ^ Hendric, Guillermo. "Medidas para evitar el phishing". 3 de marzo, 2015. 
  120. ^ "Consejos anti-Phishing que no debe seguir". HexView. Archivado de el original en 20 de marzo de 2008. 19 de junio, 2006. 
  121. ^ "Protéjase de correos electrónicos fraudulentos". PayPal. 7 de julio, 2006. 
  122. ^ Markus Jakobsson; Alex Tsow; Ankur Shah; Blevis Eli; Youn-kyung Lim. ¿"lo que infunde confianza? Un estudio cualitativo de Phishing" (PDF). informatics.Indiana.edu. Archivado de el original (PDF) en 06 de marzo de 2007. 
  123. ^ Zeltser, Lenny (17 de marzo de 2006). "Mensajes de Phishing pueden incluir información muy personalizada". El SANS Institute. 
  124. ^ Markus Jakobsson y Jacob Ratkiewicz. "Diseño de experimentos éticos Phishing". WWW ' 06. Programa archivado de la original en 31 de enero de 2011. 
  125. ^ Kawamoto, amanecer (04 de agosto de 2005). "Frente a un aumento de la denominada pharming y el crimeware ataques, el grupo de trabajo Anti-Phishing ampliará su carta para incluir estas nuevas amenazas.". ZDNet India. 
  126. ^ "Sitio de red social enseña prácticas contraseña insegura". Blog.Anta.net. 09 de noviembre de 2008. ISSN 1797-1993. 9 de noviembre, 2008. 
  127. ^ Franco, Rob. "Mejor sitio web identificación y certificados de validación extendida en IE7 y otros navegadores". IEBlog. Programa archivado de la original en 17 de enero de 2010. 20 de mayo, 2006. 
  128. ^ "Bon Echo Anti-Phishing". Mozilla. Programa archivado de la original en 23 de agosto de 2011. 2 de junio, 2006. 
  129. ^ "Safari 3.2 finalmente gana protección contra phishing". Ars Technica. 13 de noviembre de 2008. Programa archivado de la original en 23 de agosto de 2011. 15 de noviembre, 2008. 
  130. ^ "ido Phishing: evaluar Herramientas Anti-Phishing para Windows". 3Sharp. 27 de septiembre de 2006. Archivado de el original en 14 de enero de 2008. 20 de octubre, 2006. 
  131. ^ "Dos cosas que Me molestan sobre la nueva extensión de Firefox de Google". Nitesh Dhanjani en ONLamp de o ' Reilly. 1 de julio, 2007. 
  132. ^ "Pruebas de efectividad de protección de Phishing de Firefox 2". Programa archivado de la original en 31 de enero de 2011. 23 de enero, 2007. 
  133. ^ Higgins, Kelly Jackson. "DNS consigue gancho de Anti-Phishing". Lectura oscura. Programa archivado de la original en 18 de agosto de 2011. 8 de octubre, 2006. 
  134. ^ Krebs, Brian (31 de agosto de 2006). "Usando imágenes para lucha contra el Phishing". Parche de seguridad. 
  135. ^ Seltzer, Larry (02 de agosto de 2004). "Manchas Phish y espalda de Phighting". eWeek. 
  136. ^ Bank of America. "Como Banco de América SiteKey trabaja para la seguridad de banca en línea". Programa archivado de la original en 23 de agosto de 2011. 23 de enero, 2007. 
  137. ^ Brubaker, Bill (14 de julio de 2005). "Bank of America Personaliza ciber-seguridad". Washington Post. 
  138. ^ Piedra, Brad (05 de febrero de 2007). "Estudio hallazgos Web antifraude medida ineficaz". Tiempos de Nueva York. 5 de febrero, 2007. 
  139. ^ Stuart Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (mayo de 2007). "Nuevos indicadores de seguridad del emperador: una evaluación de la autenticación de sitio web y el efecto de rol en estudios de usabilidad" (PDF). Simposio de IEEE sobre seguridad y privacidad, mayo de 2007. Archivado de el original (PDF) en 20 de julio de 2008. 5 de febrero, 2007. 
  140. ^ "Los estafadores objetivo sistema de contraseña única de Nordea". Finextra. 12 de octubre de 2005. 
  141. ^ Krebs, Brian (10 de julio de 2006). "Citibank Phish parodias 2 autentificación". Parche de seguridad. 
  142. ^ Graham Titterington. "Doom más sobre phishing". Investigación de óvulo, abril de 2006. 
  143. ^ Schneier, Bruce. "Aspectos de seguridad". Schneier en seguridad. 3 de diciembre, 2006. 
  144. ^ Rachna Dhamija; J.D. Tygar (julio de 2005). "la batalla contra el Phishing: aspectos de seguridad dinámica" (PDF). Simposio sobre uso privacidad y seguridad (sopas) 2005. Archivado de el original (PDF) en 29 de junio de 2007. 5 de febrero, 2007. 
  145. ^ "Tecnología de la autenticación mutua y dinámica para Anti-Phishing". Confidenttechnologies.com. 9 de septiembre, 2012. 
  146. ^ K. Cleber, Olivo, Altair O., Santin, Luiz S., Oliveira (julio de 2011). "Obtener el modelo de amenaza de Phishing de correo electrónico" (PDF). Aplica Soft Computing. Archivado de el original (PDF) en 08 de julio de 2011. 
  147. ^ Madhusudhanan Chandrasekaran; Narayanan Krishnan; Shambhu Upadhyaya (marzo de 2006). "Detección de correo electrónico de Phishing basado en propiedades estructurales" (PDF). Simposio de seguridad de Cyber NYS. Archivado de el original (PDF) en 16 de febrero de 2008. 
  148. ^ Ian Fette; Norman Sadeh; Anthony Tomasic (junio de 2006). "Aprendiendo a detectar correos Phishing" (PDF). Informe técnico de la Universidad Carnegie Mellon CMU-ISRI-06-112. 
  149. ^ "Grupo de trabajo anti-Phishing: proveedor de soluciones". Grupo de trabajo Anti-Phishing. Programa archivado de la original en 31 de enero de 2011. 6 de julio, 2006. 
  150. ^ McMillan, Robert (28 de marzo de 2006). «nuevos sitios permiten a los usuarios encontrar y reportar phishing». LinuxWorld. 
  151. ^ Schneier, Bruce (5 de octubre de 2006). "PhishTank". Schneier en seguridad. Programa archivado de la original en 31 de enero de 2011. 7 de diciembre, 2007. 
  152. ^ "Comisión Federal de comercio". Comisión Federal de comercio. 6 de marzo, 2009. 
  153. ^ "Informe de una página de Phishing". 
  154. ^ Cómo reportar fraudes de phishing a Google Consumidor Scams.org
  155. ^ Con el smartphone para verificar y firmar las transacciones bancarias en línea, SafeSigner.
  156. ^ José Steinberg. "por qué estás en riesgo de Phishing Attacks". Forbes. 14 de noviembre, 2014. 
  157. ^ Legon, Jeordan (26 de enero de 2004). "carrete de timos de Phishing en su identidad". CNN. 
  158. ^ Leyden, John (21 de marzo de 2005). "Policías brasileños netos ' phishing kingpin'". El registro. 
  159. ^ Roberts, Paul (27 de junio de 2005). "UK Phishers atrapados, embalado lejos". eWEEK. 
  160. ^ "Diecinueve individuos acusados en Internet 'Cardar' conspiración". Justice.gov. 13 de octubre, 2015. 
  161. ^ «8 llevó a cabo sobre fraude de phishing sospechoso». El diario Yomiuri. 31 de mayo de 2006. 
  162. ^ "Phishing banda detenido en Estados Unidos y Europa oriental después de la investigación del FBI". Programa archivado de la original en 31 de enero de 2011. 14 de diciembre, 2006. 
  163. ^ "Los estafadores enfrentan 5 años bajo la nueva ley". Semana de la información. 02 de marzo de 2005. 
  164. ^ "Acto 2006 del fraude". Programa archivado de la original en 23 de agosto de 2011. 14 de diciembre, 2006. 
  165. ^ "Penas de prisión para los estafadores de phishing". El registro. 14 de noviembre de 2006. 
  166. ^ "Microsoft se asocia con Australia policiales para combatir el delito cibernético". Archivado de el original en 03 de noviembre de 2005. 24 de agosto, 2005. 
  167. ^ Espiner, Tom (20 de marzo de 2006). «Microsoft lanza asalto legal a los estafadores». ZDNet. 
  168. ^ Leyden, John (23 de noviembre de 2006). "MS carretes en unos phish callejeros". El registro. 
  169. ^ "Una historia de liderazgo – 2006". Archivado de el original en 22 de mayo de 2007. 
  170. ^ "AOL lleva lucha contra robo de identidad a los tribunales, archivos demandas contra tres grandes pandillas de Phishing". Archivado de el original en 31 de enero de 2007. 8 de marzo, 2006. 
  171. ^ "ley de delitos informáticos de HB 2471; cambios en provisiones, pena. ". 8 de marzo, 2006. 
  172. ^ Brulliard, Karin (10 de abril de 2005). "Virginia los legisladores pretenden Cyberscammers gancho". Washington Post. 
  173. ^ "Evidencia de Earthlink ayuda a golpe de la puerta en anillo del phisher sitio spam". Archivado de el original en 05 de julio de 2007. 14 de diciembre, 2006. 
  174. ^ Príncipe, Brian (18 de enero de 2007). "Hombre culpable de dirigidos a los clientes de AOL estafa". PCMag.com. 
  175. ^ Leyden, John (17 de enero de 2007). "Estafador de phishing AOL culpable". El registro. 
  176. ^ Leyden, John (13 de junio de 2007). "AOL phisher redes de prisión seis años". El registro. 
  177. ^ Gaudin, Sharon (12 de junio de 2007). "California hombre obtiene 6 años de prisión por Phishing". InformationWeek. 

Referencias

  • Ghosh, Ayush (2013). "Seclayer: un plugin para evitar ataques de phishing". IUP diario de tecnología de la información, 9.4, 52-64.

Acoplamientos externos

  • Grupo de trabajo Anti-Phishing
  • Centro de gestión de la identidad y protección de la información – Universidad de Utica
  • Tapando el agujero de "phishing": legislación versus tecnología – Duke Law & Technology Review
  • Conoce a tu enemigo: Phishing – Proyecto Honeynet estudio de caso
  • Un esfuerzo improductivo: Phishing como tragedia de los comunes -Microsoft Corporation
  • Base de datos para obtener información sobre sitios de phishing reportados por el público – PhishTank
  • El impacto de los incentivos de notificación y desmontaje − Laboratorio de computación, Universidad de Cambridge (PDF, 344 kB)

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=phishing&oldid=775126727"