Suplantación de identidad

El phishing es un tipo de ingeniería social en el que un atacante envía un mensaje fraudulento ("falsificado") diseñado para engañar a una víctima humana para que revele información confidencial al atacante o para implementar software malicioso en la infraestructura de la víctima, como ransomware . Los ataques de phishing se han vuelto cada vez más sofisticados y, a menudo, reflejan de manera transparente el sitio al que se dirige, lo que permite al atacante observar todo mientras la víctima navega por el sitio y traspasar cualquier límite de seguridad adicional con la víctima. [1] A partir de 2020, el phishing es, con mucho, el ataque más común realizado por los ciberdelincuentes, con el Centro de Quejas de Delitos en Internet del FBI .registrar más del doble de incidentes de phishing que cualquier otro tipo de delito informático. [2]

Un ejemplo de correo electrónico de phishing, disfrazado de correo electrónico oficial de un banco (ficticio). El remitente está intentando engañar al destinatario para que revele información confidencial "confirmándola" en el sitio web del phisher. Tenga en cuenta la falta de ortografía de las palabras recibidas y la discrepancia según se recibió y la discrepancia , respectivamente.

El primer uso registrado del término "phishing" fue en el kit de herramientas de craqueo AOHell creado por Koceilah Rekouche en 1995, [3] sin embargo, es posible que el término se haya utilizado antes en una edición impresa de la revista de hackers 2600 . [4] La palabra es una variante leetspeak de la pesca ( ph es un reemplazo común de f [5] ), probablemente influenciada por phreaking , [6] y alude al uso de señuelos cada vez más sofisticados para "pescar" la información confidencial de los usuarios. . [3]

Los intentos de prevenir o mitigar el impacto de los incidentes de phishing incluyen legislación , capacitación de usuarios, conciencia pública y medidas técnicas de seguridad. [7]

Phishing de correo electrónico

La mayoría de los mensajes de phishing se envían por correo electrónico y no están personalizados ni dirigidos a una persona o empresa específica; esto se denomina phishing "masivo". [8] El contenido de un mensaje de phishing masivo varía ampliamente según el objetivo del atacante; los objetivos comunes para la suplantación de identidad incluyen bancos y servicios financieros, proveedores de productividad de correo electrónico y nube y servicios de transmisión. [9] Los atacantes pueden usar las credenciales obtenidas para robarle dinero directamente a una víctima, aunque las cuentas comprometidas a menudo se usan como un punto de partida para realizar otros ataques, como el robo de información privada, la instalación de malware o spear phishing de otras personas dentro de la organización del objetivo. [3] Las cuentas de servicios de streaming comprometidas suelen venderse directamente a los consumidores en los mercados de la red oscura . [10]

Spear phishing

Spear phishing implica que un atacante se dirija directamente a una organización o persona específica con correos electrónicos de phishing personalizados. [11] A diferencia del phishing masivo, los atacantes de spear phishing a menudo recopilan y utilizan información personal sobre su objetivo para aumentar la probabilidad de éxito del ataque. [12] [13] [14] [15] El spear phishing generalmente se dirige a ejecutivos o aquellos que trabajan en departamentos financieros que tienen acceso a los datos y servicios financieros confidenciales de la organización. Un estudio de 2019 mostró que las empresas de contabilidad y auditoría son objetivos frecuentes del spear phishing debido al acceso de sus empleados a información que podría ser valiosa para los delincuentes. [dieciséis]

Threat Group-4127 (Fancy Bear) utilizó tácticas de spear phishing para atacar cuentas de correo electrónico vinculadas a la campaña presidencial de Hillary Clinton en 2016. Atacaron más de 1.800 cuentas de Google e implementaron el dominio accounts-google.com para amenazar a los usuarios objetivo. [17] [18]

Caza de ballenas y fraude de directores ejecutivos

La caza de ballenas se refiere a los ataques de spear phishing dirigidos específicamente a altos ejecutivos y otros objetivos de alto perfil. [19] Es probable que el contenido esté diseñado para ser de interés para la persona o el rol objetivo, como una citación o una queja de un cliente. [20]

El fraude de los directores ejecutivos es efectivamente lo opuesto a la caza de ballenas; Implica la elaboración de correos electrónicos falsificados supuestamente de altos ejecutivos con la intención de que otros empleados de una organización realicen una acción específica, generalmente la transferencia de dinero a una cuenta en el extranjero. [21] Si bien el fraude de los directores ejecutivos tiene una tasa de éxito razonablemente baja, los delincuentes pueden obtener grandes sumas de dinero con los pocos intentos que tienen éxito. Ha habido múltiples casos de organizaciones que han perdido decenas de millones de dólares por tales ataques. [22]

Clonar phishing

El phishing de clonación es un tipo de ataque de phishing mediante el cual un correo electrónico legítimo y enviado previamente que contiene un archivo adjunto o un enlace ha tenido su contenido y direcciones de destinatario tomadas y utilizadas para crear un correo electrónico casi idéntico o clonado. El archivo adjunto o enlace dentro del correo electrónico se reemplaza con una versión maliciosa y luego se envía desde una dirección de correo electrónico falsificada para que parezca provenir del remitente original. Puede afirmar que es un reenvío del original o una versión actualizada del original. Por lo general, esto requiere que el remitente o el destinatario hayan sido pirateados previamente para que un tercero malintencionado obtenga el correo electrónico legítimo. [23] [24]

Phishing de voz

El phishing de voz , o vishing , [25] es el uso de telefonía (a menudo, telefonía de voz sobre IP ) para realizar ataques de phishing. Los atacantes marcarán una gran cantidad de números de teléfono y reproducirán grabaciones automatizadas, a menudo realizadas con texto en sintetizadores de voz , que hacen afirmaciones falsas de actividad fraudulenta en las cuentas bancarias o tarjetas de crédito de la víctima. El número de teléfono que llama se falsificará para mostrar el número real del banco o institución suplantados. A continuación, se indica a la víctima que llame a un número controlado por los atacantes, que les pedirá automáticamente que ingresen información confidencial para "resolver" el supuesto fraude, o que los conecte con una persona en vivo que intentará utilizar la ingeniería social para obtener información. [25] El phishing de voz aprovecha la menor conciencia del público en general sobre técnicas como la suplantación de identidad de llamadas y la marcación automática, en comparación con los equivalentes del phishing por correo electrónico y, por lo tanto, la confianza inherente que muchas personas tienen en la telefonía de voz. [26]

Phishing por SMS

El phishing por SMS [27] o smishing [28] es conceptualmente similar al phishing por correo electrónico, excepto que los atacantes usan mensajes de texto de teléfonos celulares para entregar el "cebo". [29] Los ataques de smishing suelen invitar al usuario a hacer clic en un enlace, llamar a un número de teléfono o ponerse en contacto con una dirección de correo electrónico proporcionada por el atacante a través de un mensaje SMS. A continuación, se invita a la víctima a que proporcione sus datos privados; a menudo, credenciales de otros sitios web o servicios. Además, debido a la naturaleza de los navegadores móviles, es posible que las URL no se muestren por completo; esto puede dificultar la identificación de una página de inicio de sesión ilegítima. [30] Dado que el mercado de la telefonía móvil está ahora saturado de teléfonos inteligentes, todos con conectividad rápida a Internet, un enlace malicioso enviado por SMS puede producir el mismo resultado que si se enviara por correo electrónico . Los mensajes smishing pueden provenir de números de teléfono que tienen un formato extraño o inesperado. [31]

Secuestro de página

El secuestro de páginas implica comprometer páginas web legítimas para redirigir a los usuarios a un sitio web malicioso o un kit de explotación mediante secuencias de comandos entre sitios . Un pirata informático puede poner en peligro un sitio web e insertar un kit de explotación como MPack para comprometer a los usuarios legítimos que visitan el servidor web ahora comprometido. Una de las formas más simples de secuestro de páginas consiste en alterar una página web para que contenga un marco en línea malicioso que puede permitir que se cargue un kit de explotación . El secuestro de páginas se usa con frecuencia junto con un ataque de abrevadero en entidades corporativas para comprometer los objetivos.

Manipulación de enlaces

La mayoría de los tipos de phishing utilizan algún tipo de engaño técnico diseñado para hacer que un enlace en un correo electrónico parezca pertenecer a la organización a la que se hacen pasar los atacantes. [32] Las URL mal escritas o el uso de subdominios son trucos comunes utilizados por los phishers. En la siguiente URL de ejemplo, http://www.yourbank.example.com/puede parecerle a un ojo inexperto que la URL llevará al usuario a la sección de ejemplo del sitio web de yourbank ; en realidad, esta URL apunta a la sección " yourbank " (es decir, phishing) del sitio web de ejemplo . Otro truco común es hacer que el texto mostrado para un enlace sugiera un destino confiable, cuando el enlace en realidad va al sitio de los phishers. Muchos clientes de correo electrónico de escritorio y navegadores web mostrarán la URL de destino de un enlace en la barra de estado al pasar el mouse sobre él. Este comportamiento, sin embargo, puede ser anulado en algunas circunstancias por el phisher. [33] Las aplicaciones móviles equivalentes generalmente no tienen esta función de vista previa.

Los nombres de dominio internacionalizados (IDN) pueden explotarse mediante suplantación de IDN [34] o ataques homógrafos , [35] para crear direcciones web visualmente idénticas a un sitio legítimo, que en su lugar conducen a una versión maliciosa. Los phishers se han aprovechado de un riesgo similar, utilizando redirectores de URL abiertos en los sitios web de organizaciones confiables para disfrazar URL maliciosas con un dominio confiable. [36] [37] [38] Incluso los certificados digitales no resuelven este problema porque es muy posible que un phisher compre un certificado válido y luego cambie el contenido para falsificar un sitio web genuino, o para alojar el sitio de phish sin SSL en todas. [39]

Evasión de filtros

Los phishers a veces han utilizado imágenes en lugar de texto para dificultar que los filtros anti-phishing detecten el texto que se usa comúnmente en los correos electrónicos de phishing. [40] En respuesta, los filtros antiphishing más sofisticados pueden recuperar texto oculto en imágenes mediante el reconocimiento óptico de caracteres (OCR). [41]

Ingeniería social

La mayoría de los tipos de phishing involucran algún tipo de ingeniería social , en la que los usuarios son manipulados psicológicamente para que realicen una acción como hacer clic en un enlace, abrir un archivo adjunto o divulgar información confidencial. Además de la obvia suplantación de una entidad de confianza, la mayoría de la suplantación de identidad implica la creación de un sentido de urgencia: los atacantes afirman que las cuentas serán cerradas o confiscadas a menos que la víctima tome una acción. [42]

Una técnica alternativa al phishing basado en la suplantación de identidad es el uso de artículos de noticias falsos diseñados para provocar indignación, lo que hace que la víctima haga clic en un enlace sin considerar adecuadamente a dónde podría conducir. Una vez en el sitio web del atacante, las víctimas pueden recibir notificaciones de "virus" de imitación o ser redirigidas a páginas que intentan explotar las vulnerabilidades del navegador web para instalar malware. [43]

Decenio de 1980

Una técnica de phishing se describió en detalle en un documento y una presentación entregados al Grupo Internacional de Usuarios de HP de 1987 , Interex. [44]

Decenio de 1990

Se dice que el término "phishing" fue acuñado por el conocido spammer y hacker a mediados de los 90, Khan C. Smith. [45] La primera mención registrada del término se encuentra en la herramienta de piratería AOHell (según su creador), que incluía una función para intentar robar las contraseñas o los datos financieros de los usuarios de America Online. [46] [47]

Phishing temprano de AOL

El phishing en AOL estaba estrechamente asociado con la comunidad warez que intercambiaba software sin licencia y la escena de piratería de sombrero negro que perpetraba fraudes con tarjetas de crédito y otros delitos en línea. La aplicación de AOL detectaría palabras utilizadas en las salas de chat de AOL para suspender las cuentas de las personas involucradas en la falsificación de software y el comercio de cuentas robadas. El término se utilizó porque "<> <" es la etiqueta más común de HTML que se encuentra en todas las transcripciones de chat de forma natural y, como tal, no puede ser detectada ni filtrada por el personal de AOL. El símbolo <> Dado que el símbolo parecía un pez, y debido a la popularidad del phreaking , se adaptó como "Phishing". AOHell , lanzado a principios de 1995, era un programa diseñado para piratear a los usuarios de AOL al permitir que el atacante se hiciera pasar por un miembro del personal de AOL y enviara un mensaje instantáneo a una víctima potencial, pidiéndole que revelara su contraseña. [48] Con el fin de atraer a la víctima para que brinde información confidencial, el mensaje puede incluir imperativos como "verificar su cuenta" o "confirmar la información de facturación".

Una vez que la víctima había revelado la contraseña, el atacante podía acceder y utilizar la cuenta de la víctima con fines fraudulentos. Tanto el phishing como el warezing en AOL generalmente requerían programas personalizados, como AOHell . El phishing se volvió tan frecuente en AOL que agregaron una línea en todos los mensajes instantáneos que decía: "nadie que trabaje en AOL le pedirá su contraseña o información de facturación". Un usuario que use una cuenta AIM y una cuenta AOL de un ISP simultáneamente podría suplantar a los miembros de AOL con relativa impunidad, ya que las cuentas de AIM de Internet podrían ser utilizadas por miembros de Internet que no pertenecen a AOL y no podrían ser procesadas (es decir, reportadas al departamento de TOS de AOL para medidas disciplinarias). acción). [49] [ tono ] . A finales de 1995, los crackers de AOL recurrieron al phishing para obtener cuentas legítimas después de que AOL introdujera medidas a finales de 1995 para evitar el uso de números de tarjetas de crédito falsos generados mediante algoritmos para abrir cuentas. [50] Finalmente, la aplicación de la política de AOL forzó la infracción de derechos de autor de los servidores de AOL, y AOL desactivó rápidamente las cuentas involucradas en el phishing, a menudo antes de que las víctimas pudieran responder. El cierre de la escena warez en AOL provocó que la mayoría de los phishers abandonaran el servicio. [51]

2000

  • 2001
    • El primer intento directo conocido contra un sistema de pago afectó a E-gold en junio de 2001, al que siguió una "verificación de identidad posterior al 11 de septiembre " poco después de los ataques del 11 de septiembre al World Trade Center . [52]
  • 2003
    • El primer ataque de phishing conocido contra un banco minorista fue informado por The Banker en septiembre de 2003. [53]
  • 2004
    • Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1.2 millones de usuarios de computadoras en los Estados Unidos sufrieron pérdidas causadas por el phishing, por un total de aproximadamente US $ 929 millones . Las empresas estadounidenses pierden aproximadamente 2 mil millones de dólares al año cuando sus clientes se convierten en víctimas. [54]
    • El phishing se reconoce como una parte totalmente organizada del mercado negro. Surgieron especializaciones a escala global que proporcionaron software de phishing para pagos (por lo tanto, subcontrataron el riesgo), que fueron ensamblados e implementados en campañas de phishing por bandas organizadas. [55] [56]
  • 2005
    • En el Reino Unido, las pérdidas por fraude bancario web, principalmente por suplantación de identidad (phishing), casi se duplicaron a 23,2 millones de libras esterlinas en 2005, desde 12,2 millones de libras esterlinas en 2004, [57] mientras que 1 de cada 20 usuarios de ordenadores afirmó haber perdido frente al phishing en 2005 . [58]
  • 2006
    • Casi la mitad de los robos de phishing en 2006 fueron cometidos por grupos que operan a través de la Russian Business Network con sede en San Petersburgo . [59]
    • Los bancos disputan con los clientes las pérdidas por phishing. La postura adoptada por el organismo bancario británico APACS es que "los clientes también deben tomar precauciones sensatas ... para no ser vulnerables a los delincuentes". [60] Del mismo modo, cuando la primera serie de ataques de phishing afectó al sector bancario de la República de Irlanda en septiembre de 2006, el Banco de Irlanda se negó inicialmente a cubrir las pérdidas sufridas por sus clientes, [61] aunque se compensaron pérdidas por valor de 113.000 euros. . [62]
    • Los phishers se dirigen a los clientes de los bancos y los servicios de pago en línea. Los correos electrónicos, supuestamente del Servicio de Impuestos Internos , se han utilizado para recopilar datos confidenciales de los contribuyentes estadounidenses. [63] Si bien los primeros ejemplos de este tipo se enviaron indiscriminadamente con la expectativa de que algunos serían recibidos por los clientes de un banco o servicio determinado, investigaciones recientes han demostrado que los phishers pueden, en principio, determinar qué bancos usan las víctimas potenciales y apuntar a los falsos correos electrónicos en consecuencia. [64]
    • Los sitios de redes sociales son un objetivo principal del phishing, ya que los datos personales de dichos sitios pueden utilizarse en el robo de identidad ; [65] A finales de 2006, un gusano informático se apoderó de las páginas de MySpace y modificó los enlaces para dirigir a los navegantes a sitios web diseñados para robar datos de inicio de sesión. [66]
  • 2007
    • 3,6 millones de adultos perdieron 3.200 millones de dólares en los 12 meses que terminaron en agosto de 2007. [67] Microsoft afirma que estas estimaciones son extremadamente exageradas y sitúa la pérdida anual por phishing en los EE.UU. en 60 millones de dólares . [68]
    • Los atacantes que irrumpieron en la base de datos de TD Ameritrade y tomaron 6.3 millones de direcciones de correo electrónico (aunque no pudieron obtener números de seguro social, números de cuenta, nombres, direcciones, fechas de nacimiento, números de teléfono y actividad comercial) también querían los nombres de usuario de la cuenta y contraseñas, por lo que lanzaron un ataque de suplantación de identidad (spear phishing) de seguimiento. [69]
  • 2008
    • El sitio de intercambio de archivos RapidShare ha sido atacado por phishing para obtener una cuenta premium, que elimina los límites de velocidad en las descargas, la eliminación automática de cargas, las esperas en las descargas y los tiempos de enfriamiento entre cargas. [70]
    • Las criptomonedas como Bitcoin facilitan la venta de software malicioso, haciendo que las transacciones sean seguras y anónimas. [ cita requerida ]
  • 2009
    • En enero de 2009, un ataque de phishing provocó transferencias bancarias no autorizadas de 1,9 millones de dólares estadounidenses a través de las cuentas bancarias en línea de Experi-Metal.
    • En el tercer trimestre de 2009, el Grupo de Trabajo Anti-Phishing informó haber recibido 115,370 informes de phishing por correo electrónico de consumidores, con EE.UU. y China que albergan más del 25% de las páginas de phishing cada uno. [71]

2010

Informes únicos de phishing por año [72]
Año Campañas
2005
173.063
2006
268,126
2007
327,814
2008
335,965
2009
412,392
2010
313,517
2011
284,445
2012
320.081
2013
491,399
2014
704,178
2015
1,413,978
  • 2011
    • En marzo de 2011, el personal interno de RSA fue objeto de suplantación de identidad con éxito [73], lo que provocó el robo de las claves maestras de todos los tokens de seguridad RSA SecureID, que luego se utilizaron para ingresar a proveedores de defensa de EE. [74]
    • Las campañas de phishing chinas tenían como objetivo cuentas de Gmail de funcionarios de alto rango de los gobiernos y militares de Estados Unidos y Corea del Sur, así como de activistas políticos chinos. [75] [76]
  • 2012
    • Según Ghosh, hubo "445.004 ataques en 2012 en comparación con 258.461 en 2011 y 187.203 en 2010".
  • 2013
    • En agosto de 2013, el servicio de publicidad Outbrain sufrió un ataque de spear-phishing y SEA colocó redireccionamientos a los sitios web de The Washington Post, Time y CNN. [77]
    • En octubre de 2013, se enviaron correos electrónicos que supuestamente eran de American Express a un número desconocido de destinatarios. [78]
    • En noviembre de 2013, se robaron 110 millones de registros de clientes y tarjetas de crédito de los clientes de Target , a través de una cuenta de subcontratista fraudulenta. [79] Consejero delegado y personal de seguridad de TI posteriormente despedidos. [80]
    • En diciembre de 2013, el ransomware Cryptolocker había infectado 250.000 equipos. Según Dell SecureWorks , el 0,4% o más de los infectados probablemente aceptaron la demanda de rescate. [81]
  • 2014
    • En enero de 2014, el Seculert Research Lab identificó un nuevo ataque dirigido que usaba Xtreme RAT . Este ataque utilizó correos electrónicos de spear phishing para apuntar a organizaciones israelíes e implementar el malware avanzado. Quince máquinas se vieron comprometidas, incluidas las que pertenecen a la Administración Civil de Judea y Samaria . [82] [83] [84] [85] [86] [87] [88]
    • En agosto de 2014, se descubrió que las filtraciones de iCloud de fotos de celebridades se basaban en correos electrónicos de phishing enviados a las víctimas que parecían provenir de Apple o Google, advirtiendo a las víctimas que sus cuentas podrían estar comprometidas y solicitando los detalles de su cuenta. [89]
    • En noviembre de 2014, los ataques de phishing contra ICANN obtuvieron acceso administrativo al Sistema de datos de zona centralizado; también se obtuvieron datos sobre los usuarios en el sistema, y ​​acceso a la wiki, blog y portal de información whois del Comité Asesor Gubernamental público de la ICANN. [90]
  • 2015
    • Charles H. Eccleston se declaró culpable [91] [92] en un intento de spear-phishing cuando intentó infectar las computadoras de 80 empleados del Departamento de Energía.
    • Eliot Higgins y otros periodistas asociados con Bellingcat, un grupo que investiga el derribo del vuelo 17 de Malaysia Airlines sobre Ucrania, fueron blanco de numerosos correos electrónicos de spear phishing. [93] [94]
    • En agosto de 2015, Cozy Bear fue vinculado a un ciberataque de phishing contra el sistema de correo electrónico del Pentágono que provocó el cierre de todo el sistema de correo electrónico no clasificado del Estado Mayor Conjunto y el acceso a Internet durante la investigación. [95] [96]
    • En agosto de 2015, Fancy Bear utilizó un exploit de día cero de Java , en un ataque de spear phishing que falsificó a la Electronic Frontier Foundation y lanzó ataques contra la Casa Blanca y la OTAN . [97] [98]
  • 2016
  • En febrero, la empresa aeroespacial austriaca FACC AG fue defraudada en 42 millones de euros (47 millones de dólares) a través de un ataque de BEC y, posteriormente, despidió al director financiero y al director ejecutivo. [99]
    • Fancy Bear llevó a cabo ataques de spear phishing en direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer trimestre de 2016. [100] [101]
    • El Wichita Eagle informó que "los empleados de KU son víctimas de una estafa de phishing, pierden sus cheques de pago" [102]
    • Se sospecha que Fancy Bear está detrás de un ataque de phishing con lanza en agosto de 2016 contra miembros del Bundestag y múltiples partidos políticos como la líder de la facción Linken , Sahra Wagenknecht , Junge Union y la CDU de Saarland . [103] [104] [105] [106]
    • En agosto de 2016, la Agencia Mundial Antidopaje informó sobre la recepción de correos electrónicos de phishing enviados a usuarios de su base de datos que afirmaban ser oficiales de la AMA, pero en consonancia con el grupo de piratería ruso Fancy Bear. [107] [108] Según WADA, algunos de los datos que los piratas informáticos publicaron habían sido falsificados. [109]
    • A las pocas horas de los resultados de las elecciones estadounidenses de 2016 , los piratas informáticos rusos enviaron correos electrónicos desde direcciones de correo electrónico falsificadas de la Universidad de Harvard , [110] utilizando técnicas similares al phishing para publicar noticias falsas dirigidas a votantes estadounidenses comunes. [111] [112]
  • 2017
    • En 2017, el 76% de las organizaciones experimentaron ataques de phishing. Casi la mitad de los profesionales de seguridad de la información encuestados dijeron que la tasa de ataques aumentó desde 2016.
    • En la primera mitad de 2017, las empresas y los residentes de Qatar se vieron afectados por más de 93.570 eventos de phishing en un lapso de tres meses. [113]
    • Un correo electrónico de suplantación de identidad a los usuarios de Google y Facebook indujo a los empleados a transferir dinero (hasta un monto de US $ 100 millones) a cuentas bancarias en el extranjero bajo el control de un hacker. Desde entonces ha sido arrestado por el Departamento de Justicia de Estados Unidos. [114]
    • En agosto de 2017, los clientes de Amazon se enfrentaron al ataque de phishing de Amazon Prime Day, cuando los piratas informáticos enviaron ofertas aparentemente legítimas a los clientes de Amazon. Cuando los clientes de Amazon intentaron realizar compras utilizando las "ofertas", la transacción no se completó, lo que provocó que los clientes del minorista ingresaran datos que podrían verse comprometidos y robados. [115]
  • 2018
    • En 2018, la empresa block.one, que desarrolló la cadena de bloques EOS.IO , fue atacada por un grupo de phishing que envió correos electrónicos de phishing a todos los clientes, con el objetivo de interceptar la clave de la billetera de criptomonedas del usuario; y un ataque posterior apuntó a tokens de lanzamiento aéreo. [116]
  • 2020
    • En 2020, KTH Royal Institute of Technology realizó un estudio sobre ¿Por qué el phishing sigue funcionando? [117] . En este experimento, se prepararon ocho versiones falsificadas de sitios web populares y nueve sitios web legítimos. Luego, estas 17 páginas se presentaron en un orden aleatorio y se pidió a los usuarios con diversos antecedentes técnicos y experiencia que decidieran si la página que estaban viendo es falsa o legítima. En resumen, la gente tuvo dificultades para descubrir cuáles son reales y cuáles falsos. Solo al mirar el diseño de la página y otras características cosméticas, las personas obtuvieron más errores que aciertos. La mejor estrategia fue mirar la URL del sitio en combinación con los indicadores de seguridad integrados en el navegador.
Número total de informes de suplantación de identidad únicos (campañas) recibidos, según APWG [72]
Año ene feb mar abr Mayo jun jul ago sep oct nov dic Total
2005 12,845 13,468 12,883 14,411 14,987 15.050 14.135 13,776 13,562 15,820 16.882 15,244 173.063
2006 17,877 17.163 18,480 17.490 20,109 28.571 23,670 26,150 22,136 26,877 25,816 23,787 268,126
2007 29,930 23,610 24,853 23.656 23,415 28,888 23,917 25,624 38,514 31,650 28,074 25.683 327,814
2008 29.284 30,716 25.630 24,924 23,762 28,151 24,007 33,928 33,261 34,758 24,357 23.187 335,965
2009 34.588 31.298 30,125 35.287 37,165 35,918 34,683 40,621 40,066 33,254 30,490 28,897 412,392
2010 29.499 26,909 30.577 24,664 26,781 33,617 26,353 25.273 22.188 23,619 23,017 21,020 313,517
2011 23,535 25.018 26,402 20,908 22,195 22,273 24,129 23,327 18,388 19.606 25.685 32,979 284,445
2012 25,444 30,237 29,762 25.850 33,464 24,811 30,955 21,751 21,684 23,365 24,563 28.195 320.081
2013 28,850 25,385 19,892 20,086 18.297 38,100 61.453 61,792 56,767 55,241 53,047 52,489 491,399
2014 53,984 56,883 60,925 57.733 60,809 53,259 55,282 54,390 53.661 68,270 66,217 62,765 704,178
2015 49,608 55,795 115,808 142,099 149,616 125,757 142,155 146,439 106,421 194,499 105,233 80.548 1,413,978
2016 99,384 229,315 229,265 121,028 96,490 98,006 93,160 66.166 69,925 51,153 64,324 95,555 1.313.771
2017 96.148 100,932 121,860 87,453 93,285 92.657 99.024 99.172 98,012 61,322 86,547 85,744 1.122.156
2018 89,250 89,010 84,444 91,054 82,547 90,882 93.078 89,323 88,156 87,619 64,905 87,386 1.040.654
2019 34,630 35,364 42,399 37,054 40,177 34,932 35,530 40,457 42,273 45,057 42,424 45,072 475,369

"Informes de tendencias de ataques de phishing APWG" . Consultado el 5 de mayo de 2019 .

Hay sitios web anti-phishing que publican mensajes exactos que han estado circulando recientemente en Internet, como FraudWatch International y Millersmiles. Estos sitios a menudo proporcionan detalles específicos sobre los mensajes en particular. [118] [119]

Tan recientemente como en 2007, la adopción de estrategias anti-phishing por parte de las empresas que necesitan proteger la información personal y financiera fue baja. [120] Ahora existen varias técnicas diferentes para combatir el phishing, incluida la legislación y la tecnología creadas específicamente para proteger contra el phishing. Estas técnicas incluyen pasos que pueden ser tomados tanto por individuos como por organizaciones. El phishing por teléfono, sitio web y correo electrónico ahora se puede informar a las autoridades, como se describe a continuación .

Entrenamiento de usuario

Fotograma de una animación de la Comisión Federal de Comercio de EE. UU. Destinada a educar a los ciudadanos sobre las tácticas de phishing.

Se puede capacitar a las personas para que reconozcan los intentos de suplantación de identidad y para hacerles frente a través de una variedad de enfoques. Esta educación puede ser eficaz, especialmente cuando la formación enfatiza el conocimiento conceptual [121] y proporciona retroalimentación directa. [122] [123]

Muchas organizaciones llevan a cabo campañas de phishing simuladas con regularidad dirigidas a su personal para medir la eficacia de su formación.

Las personas pueden tomar medidas para evitar los intentos de phishing modificando ligeramente sus hábitos de navegación. [124] Cuando se le contacta sobre una cuenta que necesita ser "verificada" (o cualquier otro tema utilizado por los phishers), es una precaución sensata ponerse en contacto con la empresa de la que aparentemente se origina el correo electrónico para comprobar que el correo electrónico es legítimo. Alternativamente, la dirección que el individuo conoce es el sitio web genuino de la compañía se puede escribir en la barra de direcciones del navegador, en lugar de confiar en los hipervínculos en el mensaje sospechoso de phishing. [125]

Casi todos los mensajes de correo electrónico legítimos de las empresas a sus clientes contienen un elemento de información que no está fácilmente disponible para los phishers. Algunas empresas, como PayPal , siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, por lo que si un correo electrónico se dirige al destinatario de forma genérica (" Estimado cliente de PayPal "), es probable que se trate de un intento de suplantación de identidad. [126] Además, PayPal ofrece varios métodos para determinar correos electrónicos falsos y aconseja a los usuarios que reenvíen correos electrónicos sospechosos a su dominio [email protected] para investigar y advertir a otros clientes. Sin embargo, no es seguro asumir que la presencia de información personal por sí sola garantiza que un mensaje es legítimo, [127] y algunos estudios han demostrado que la presencia de información personal no afecta significativamente la tasa de éxito de los ataques de phishing; [128] lo que sugiere que la mayoría de las personas no prestan atención a esos detalles.

Los correos electrónicos de bancos y compañías de tarjetas de crédito a menudo incluyen números de cuenta parciales. Sin embargo, investigaciones recientes [129] han demostrado que el público no suele distinguir entre los primeros dígitos y los últimos dígitos de un número de cuenta, un problema importante ya que los primeros dígitos suelen ser los mismos para todos los clientes de una institución financiera. .

El Grupo de trabajo Anti-Phishing produce informes periódicos sobre las tendencias en los ataques de phishing. [130]

Google publicó un video que demuestra cómo identificarse y protegerse de las estafas de phishing. [131]

Enfoques técnicos

Hay una amplia gama de enfoques técnicos disponibles para evitar que los ataques de phishing lleguen a los usuarios o para evitar que capturen información confidencial con éxito.

Filtrar correo de phishing

Los filtros de spam especializados pueden reducir la cantidad de correos electrónicos de phishing que llegan a las bandejas de entrada de sus destinatarios. Estos filtros utilizan una serie de técnicas que incluyen el aprendizaje automático [132] y enfoques de procesamiento del lenguaje natural para clasificar los correos electrónicos de phishing [133] [134] y rechazar los correos electrónicos con direcciones falsificadas. [135]

Navegadores que alertan a los usuarios sobre sitios web fraudulentos

Captura de pantalla de la advertencia de sitio sospechoso de phishing de Firefox 2.0.0.1

Otro enfoque popular para combatir el phishing es mantener una lista de sitios de phishing conocidos y comparar los sitios web con la lista. Uno de esos servicios es el servicio de Navegación segura . [136] Los navegadores web como Google Chrome , Internet Explorer 7, Mozilla Firefox 2.0, Safari 3.2 y Opera contienen todos este tipo de medida anti-phishing. [137] [138] [139] [140] [141] Firefox 2 utilizó el software anti-phishing de Google . Opera 9.1 utiliza listas negras en vivo de Phishtank , cyscon y GeoTrust , así como listas blancas en vivo de GeoTrust. Algunas implementaciones de este enfoque envían las URL visitadas a un servicio central para su verificación, lo que ha generado preocupaciones sobre la privacidad. [142] Según un informe de Mozilla a finales de 2006, se descubrió que Firefox 2 era más eficaz que Internet Explorer 7 en la detección de sitios fraudulentos en un estudio realizado por una empresa de pruebas de software independiente. [143]

Un enfoque introducido a mediados de 2006 implica cambiar a un servicio DNS especial que filtra los dominios de phishing conocidos: esto funcionará con cualquier navegador, [144] y es similar en principio a usar un archivo de hosts para bloquear anuncios web.

Para mitigar el problema de los sitios de phishing que se hacen pasar por el sitio de una víctima incrustando sus imágenes (como logotipos), varios propietarios de sitios han alterado las imágenes para enviar un mensaje al visitante de que un sitio puede ser fraudulento. La imagen se puede mover a un nuevo nombre de archivo y el original se reemplaza permanentemente, o un servidor puede detectar que la imagen no se solicitó como parte de la navegación normal y, en su lugar, enviar una imagen de advertencia. [145] [146]

Aumento de los inicios de sesión con contraseña

El sitio web de Bank of America [147] [148] es uno de varios que pide a los usuarios que seleccionen una imagen personal (comercializada como SiteKey ) y muestra esta imagen seleccionada por el usuario con cualquier formulario que solicite una contraseña. Los usuarios de los servicios en línea del banco deben ingresar una contraseña solo cuando vean la imagen que seleccionaron. Sin embargo, varios estudios sugieren que pocos usuarios se abstienen de ingresar sus contraseñas cuando no hay imágenes. [149] [150] Además, esta característica (al igual que otras formas de autenticación de dos factores ) es susceptible de otros ataques, como los sufridos por el banco escandinavo Nordea a finales de 2005, [151] y Citibank en 2006. [152]

Un sistema similar, en el que se muestra a cada usuario del sitio web una "señal de identidad" generada automáticamente que consiste en una palabra de color dentro de un cuadro de color, está en uso en otras instituciones financieras. [153]

Los aspectos de seguridad [154] [155] son una técnica relacionada que implica superponer una imagen seleccionada por el usuario en el formulario de inicio de sesión como una señal visual de que el formulario es legítimo. Sin embargo, a diferencia de los esquemas de imágenes basados ​​en sitios web, la imagen en sí se comparte solo entre el usuario y el navegador, y no entre el usuario y el sitio web. El esquema también se basa en un protocolo de autenticación mutua , lo que lo hace menos vulnerable a los ataques que afectan los esquemas de autenticación solo para usuarios.

Otra técnica más se basa en una cuadrícula dinámica de imágenes que es diferente para cada intento de inicio de sesión. El usuario debe identificar las imágenes que se ajustan a sus categorías preseleccionadas (como perros, autos y flores). Solo después de haber identificado correctamente las imágenes que se ajustan a sus categorías, se les permite ingresar su contraseña alfanumérica para completar el inicio de sesión. A diferencia de las imágenes estáticas que se utilizan en el sitio web de Bank of America, un método de autenticación basado en imágenes dinámicas crea un código de acceso único para el inicio de sesión, requiere la participación activa del usuario y es muy difícil para un sitio web de phishing replicar correctamente porque lo haría. necesita mostrar una cuadrícula diferente de imágenes generadas aleatoriamente que incluya las categorías secretas del usuario. [156]

Monitoreo y eliminación

Varias empresas ofrecen a los bancos y otras organizaciones que puedan sufrir estafas de phishing servicios las 24 horas del día para supervisar, analizar y ayudar a cerrar los sitios web de phishing. [157] La detección automatizada de contenido de phishing aún se encuentra por debajo de los niveles aceptados para la acción directa, y el análisis basado en contenido alcanza entre el 80 y el 90% de éxito [158], por lo que la mayoría de las herramientas incluyen pasos manuales para certificar la detección y autorizar la respuesta. [159] Las personas pueden contribuir informando el phishing tanto a grupos de voluntarios como de la industria, [160] como cyscon o PhishTank . [161] Las páginas web y los correos electrónicos de phishing se pueden informar a Google. [162] [163]

Verificación y firma de transacciones

También han surgido soluciones utilizando el teléfono móvil [164] (teléfono inteligente) como segundo canal para la verificación y autorización de transacciones bancarias.

Autenticación multifactor

Las organizaciones pueden implementar la autenticación de dos factores o de múltiples factores (MFA), que requiere que un usuario use al menos 2 factores al iniciar sesión (por ejemplo, un usuario debe presentar una tarjeta inteligente y una contraseña ). Esto mitiga algunos riesgos, en el caso de un ataque de phishing exitoso, la contraseña robada por sí sola no se puede reutilizar para violar aún más el sistema protegido. Sin embargo, existen varios métodos de ataque que pueden derrotar a muchos de los sistemas típicos. [165] Los esquemas de AMF como WebAuthn abordan esta cuestión desde el diseño.

Redacción de contenido de correo electrónico

Las organizaciones que priorizan la seguridad sobre la conveniencia pueden requerir que los usuarios de sus computadoras utilicen un cliente de correo electrónico que redacte las URL de los mensajes de correo electrónico, lo que hace imposible que el lector del correo electrónico haga clic en un enlace o incluso copie una URL. Si bien esto puede resultar en un inconveniente, elimina casi por completo los ataques de phishing por correo electrónico.

Limitaciones de las respuestas técnicas

Un artículo en Forbes en agosto de 2014 sostiene que la razón por la que los problemas de phishing persisten incluso después de una década de venta de tecnologías anti-phishing es que el phishing es "un medio tecnológico para explotar las debilidades humanas" y que la tecnología no puede compensar por completo las debilidades humanas. [166]

Respuestas legales

"> Reproducir medios
Instrucciones en video sobre cómo presentar una queja ante la Comisión Federal de Comercio

El 26 de enero de 2004, la Comisión Federal de Comercio de EE. UU. Presentó la primera demanda contra un sospechoso de suplantación de identidad. El acusado, un adolescente californiano , supuestamente creó una página web diseñada para parecerse al sitio web America Online y la usó para robar información de tarjetas de crédito. [167] Otros países han seguido este ejemplo rastreando y deteniendo a los phishers. Un capo del phishing, Valdir Paulo de Almeida, fue arrestado en Brasil por liderar una de las mayores redes de delitos de phishing , que en dos años robó entre US $ 18 millones y US $ 37 millones . [168] Las autoridades del Reino Unido encarcelaron a dos hombres en junio de 2005 por su participación en una estafa de phishing, [169] en un caso relacionado con la Operación Firewall del Servicio Secreto de Estados Unidos , que tenía como objetivo sitios web notorios "carders". [170] En 2006, la policía japonesa arrestó a ocho personas bajo sospecha de fraude de suplantación de identidad al crear sitios web falsos de Yahoo Japón, lo que les permitió obtener 100 millones de yenes ( 870.000 dólares estadounidenses ). [171] Los arrestos continuaron en 2006 cuando la Operación Cardkeeper del FBI detuvo a una banda de dieciséis personas en Estados Unidos y Europa. [172]

En los Estados Unidos , el senador Patrick Leahy presentó la Ley Anti-Phishing de 2005 en el Congreso el 1 de marzo de 2005. Este proyecto de ley , si se hubiera promulgado como ley, habría sometido a los delincuentes que crearon sitios web falsos y enviaron correos electrónicos falsos en orden defraudar a los consumidores con multas de hasta 250.000 dólares y penas de prisión de hasta cinco años. [173] El Reino Unido fortaleció su arsenal legal contra el phishing con la Ley de Fraude de 2006 , [174] que introduce un delito general de fraude que puede conllevar hasta diez años de prisión y prohíbe el desarrollo o posesión de kits de phishing con intención. cometer fraude. [175]

Las empresas también se han unido al esfuerzo para acabar con el phishing. El 31 de marzo de 2005, Microsoft presentó 117 demandas federales en el Tribunal de Distrito de EE. UU. Para el Distrito Oeste de Washington . Las demandas acusan a los acusados ​​de " John Doe " de obtener contraseñas e información confidencial. En marzo de 2005 también se produjo una asociación entre Microsoft y el gobierno australiano para enseñar a los funcionarios encargados de hacer cumplir la ley cómo combatir varios delitos cibernéticos, incluido el phishing. [176] Microsoft anunció otros 100 juicios previstos fuera de los EE. UU. En marzo de 2006, [177] seguidos por el inicio, en noviembre de 2006, de 129 juicios que combinan acciones penales y civiles. [178] AOL reforzó sus esfuerzos contra el phishing [179] a principios de 2006 con tres demandas [180] por un total de 18 millones de dólares estadounidenses en virtud de las enmiendas de 2005 a la Ley de delitos informáticos de Virginia, [181] [182] y Earthlink se unió ayudando a identificar a seis hombres acusados ​​posteriormente de fraude de phishing en Connecticut . [183]

En enero de 2007, Jeffrey Brett Goodin de California se convirtió en el primer acusado condenado por un jurado en virtud de las disposiciones de la Ley CAN-SPAM de 2003 . Fue declarado culpable de enviar miles de correos electrónicos a usuarios de America Online, mientras se hacía pasar por el departamento de facturación de AOL, lo que incitaba a los clientes a enviar información personal y de tarjetas de crédito. Enfrentando una posible pena de 101 años de prisión por la violación de CAN-SPAM y otros diez cargos, incluido el fraude electrónico , el uso no autorizado de tarjetas de crédito y el uso indebido de la marca comercial de AOL, fue sentenciado a cumplir 70 meses. Goodin había estado detenido desde que no se presentó a una audiencia judicial anterior y comenzó a cumplir su condena de prisión de inmediato. [184] [185] [186] [187]

  • Software anti-phishing
  • Brandjacking
  • Phishing en sesión  : tipo de ataque de phishing
  • Fraude en Internet  : un tipo de fraude o engaño que utiliza Internet para defraudar a las víctimas.
  • Prueba de penetración  : método para evaluar la seguridad de la red y la computadora mediante la simulación de un ciberataque
  • SiteKey  : servicio de autenticación basado en web
  • Phishing por SMS
  • Typosquatting  : forma de ciberocupación que se basa en errores al ingresar la dirección de un sitio web
  • Lista de sesgos cognitivos  : patrones sistemáticos de desviación de la norma o la racionalidad en el juicio, muchos de los cuales se pueden abusar mediante el phishing.
  • Granja de enlaces
  • Trampa para ratones
  • TrustRank
  • Clickjacking

  1. ^ Ramzan, Zulfikar (2010). "Ataques y contramedidas de phishing" . En Stamp, Mark; Stavroulakis, Peter (eds.). Manual de Seguridad de la Información y las Comunicaciones . Saltador. ISBN 978-3-642-04117-4.
  2. ^ "Informe sobre delitos en Internet 2020" (PDF) . Centro de quejas de delitos en Internet del FBI . Oficina Federal de Investigaciones de EE. UU . Consultado el 21 de marzo de 2021 .
  3. ^ a b c Wright, A; Aaron, S; Bates, DW (octubre de 2016). "The Big Phish: ciberataques contra los sistemas sanitarios de Estados Unidos" . Revista de Medicina Interna General . 31 (10): 1115–8. doi : 10.1007 / s11606-016-3741-z . PMC  5023604 . PMID  27177913 .
  4. ^ Ollmann, Gunter. "La guía de phishing: comprensión y prevención de ataques de phishing" . Información técnica . Archivado desde el original el 31 de enero de 2011 . Consultado el 10 de julio de 2006 .
  5. ^ Mitchell, Anthony (12 de julio de 2005). "A Leet Primer" . TechNewsWorld. Archivado desde el original el 17 de abril de 2019 . Consultado el 21 de marzo de 2021 .
  6. ^ "Phishing" . Language Log, 22 de septiembre de 2004 . Archivado desde el original el 30 de agosto de 2006 . Consultado el 21 de marzo de 2021 .
  7. ^ Jøsang, Audun; et al. (2007). "Principios de usabilidad de seguridad para análisis de vulnerabilidad y evaluación de riesgos" . Actas de la Conferencia Anual de Aplicaciones de Seguridad Informática 2007 (ACSAC'07) . Archivado desde el original el 21 de marzo de 2021 . Consultado el 11 de noviembre de 2020 .
  8. ^ "Informe de investigaciones de violación de datos de 2019" (PDF) . PhishingBox . Comunicaciones de Verizon . Consultado el 21 de marzo de 2021 .
  9. ^ Furnell, Steven; Mijo, Kieran; Papadaki, Maria (julio de 2019). "Quince años de phishing: ¿puede la tecnología salvarnos?" . Fraude informático y seguridad . 2019 (7): 11–16. doi : 10.1016 / S1361-3723 (19) 30074-0 . Consultado el 21 de marzo de 2021 .
  10. ^ Waddell, Kaveh (11 de febrero de 2016). "El mercado negro de las cuentas de Netflix" . El Atlántico . Consultado el 21 de marzo de 2021 .
  11. ^ "Spear phishing" . Centro de profesionales de TI de Windows . Consultado el 4 de marzo de 2019 .
  12. ^ Stephenson, Debbie (30 de mayo de 2013). "Spear Phishing: ¿Quién está siendo atrapado?" . Firmex. Archivado desde el original el 11 de agosto de 2014 . Consultado el 27 de julio de 2014 .
  13. ^ "Hacking NSA / GCHQ se vuelve personal: criptógrafo belga dirigido" . Revista Info Security . 3 de febrero de 2018 . Consultado el 10 de septiembre de 2018 .
  14. ^ Leyden, John (4 de abril de 2011). "RSA explica cómo los atacantes violaron sus sistemas" . El registro . Consultado el 10 de septiembre de 2018 .
  15. ^ Winterford, Brett (7 de abril de 2011). "Epsilon breach utilizó ataque de cuatro meses" . itnews.com.au . Consultado el 10 de septiembre de 2018 .
  16. ^ O'Leary, Daniel E. (2019). "Lo que revelan los correos electrónicos de phishing: un análisis exploratorio de los intentos de phishing utilizando análisis de texto" . Diario electrónico SSRN . doi : 10.2139 / ssrn.3427436 . ISSN  1556-5068 . Archivado desde el original el 21 de marzo de 2021 . Consultado el 2 de noviembre de 2020 .
  17. ^ "Threat Group-4127 se dirige a cuentas de Google" . secureworks.com . Archivado desde el original el 11 de agosto de 2019 . Consultado el 12 de octubre de 2017 .
  18. ^ Nakashima, Ellen; Harris, Shane (13 de julio de 2018). "Cómo los rusos piratearon el DNC y pasaron sus correos electrónicos a WikiLeaks" . The Washington Post . Archivado desde el original el 21 de marzo de 2021 . Consultado el 22 de febrero de 2019 .
  19. ^ "Citaciones falsas arponean 2.100 gatos gordos corporativos" . El registro . Archivado desde el original el 31 de enero de 2011 . Consultado el 17 de abril de 2008 .
  20. ^ "¿Qué es la 'caza de ballenas'? ¿Es la caza de ballenas como el 'spear phishing'?" . Acerca de Tech. Archivado desde el original el 18 de octubre de 2011 . Consultado el 28 de marzo de 2015 .
  21. ^ Junger, Marianne; Wang, Victoria; Schlömer, Marleen (diciembre de 2020). "Fraude contra empresas tanto online como offline: guiones delictivos, características empresariales, esfuerzos y beneficios" . Ciencia del crimen . 9 (1): 13. doi : 10.1186 / s40163-020-00119-4 .
  22. ^ "Advertencia de fraude de acción después de un aumento grave en el fraude de CEO" . Fraude de acción . Consultado el 21 de marzo de 2021 .
  23. ^ "Estafas de facturas que afectan a las empresas de Nueva Zelanda" . NZCERT . Consultado el 1 de julio de 2019 .
  24. ^ Parker, Tamsyn (18 de agosto de 2018). "La estafa de la factura de la casa deja a la pareja $ 53k de su bolsillo" . The New Zealand Herald . Archivado desde el original el 21 de marzo de 2021 . Consultado el 1 de julio de 2019 .
  25. ^ a b Griffin, Slade E .; Rackley, Casey C. (2008). "Vishing". Actas de la 5ª Conferencia Anual sobre Desarrollo de Currículos de Seguridad de la Información - InfoSecCD '08 : 33. doi : 10.1145 / 1456625.1456635 . ISBN 9781605583334.
  26. ^ Wang, Xinyuan; Zhang, Ruishan; Yang, Xiaohui; Jiang, Xuxian; Wijesekera, Duminda (2008). "Ataque de pharming de voz y la confianza de VoIP". Actas de la 4ª Conferencia Internacional sobre Seguridad y Privacidad en las Redes de Comunicación - SecureComm '08 : 1. doi : 10.1145 / 1460877.1460908 . ISBN 9781605582412. S2CID  7874236 .
  27. ^ "Phishing, Smishing y Vishing: ¿Cuál es la diferencia?" (PDF) . belvoircreditunion.org . 1 de agosto de 2008. Archivado desde el original (PDF) el 1 de abril de 2015.
  28. ^ Vishing y smishing: el aumento del fraude de ingeniería social Archivado 2021-03-21 en Wayback Machine , BBC, Marie Keyworth, 2016-01-01
  29. ^ "Artículo de phishing por SMS en ConsumerAffairs.com" . Archivado desde el original el 21 de marzo de 2021 . Consultado el 29 de julio de 2020 .
  30. ^ Mishra, Sandhya; Soni, Devpriya (agosto de 2019). "Enfoques de mitigación y phishing por SMS". 2019 Duodécimo Congreso Internacional de Computación Contemporánea (IC3) . IEEE: 1–5. doi : 10.1109 / ic3.2019.8844920 . ISBN 978-1-7281-3591-5. S2CID  202700726 .
  31. ^ "¿Qué es Smishing?" . Symantec Corporation . Consultado el 18 de octubre de 2018 .
  32. ^ "¡Sea inteligente con el phishing! ¡Aprenda a leer enlaces!" . Archivado desde el original el 11 de diciembre de 2016 . Consultado el 11 de diciembre de 2016 .
  33. ^ Cimpanu, Catalin (15 de junio de 2016). "La redirección de JavaScript oculta hace que las páginas de phishing sean más difíciles de detectar" . Centro de noticias de Softpedia . Softpedia. Archivado desde el original el 21 de marzo de 2021 . Consultado el 21 de mayo de 2017 . Colocar el cursor sobre los enlaces para ver su verdadera ubicación puede ser un consejo de seguridad inútil en el futuro cercano si los phishers se vuelven inteligentes sobre su modo de operación y siguen el ejemplo de un delincuente que recientemente logró eludir esta función de seguridad incorporada en el navegador.
  34. ^ Johanson, Eric. "El estado de los ataques homógrafos Rev1.1" . El grupo Shmoo . Archivado desde el original el 23 de agosto de 2005 . Consultado el 11 de agosto de 2005 .
  35. ^ Evgeniy Gabrilovich y Alex Gontmakher (febrero de 2002). "El ataque homógrafo" (PDF) . Comunicaciones de la ACM . 45 (2): 128. doi : 10.1145 / 503124.503156 . S2CID  73840 .
  36. ^ Leyden, John (15 de agosto de 2006). "Barclays scripting SNAFU explotado por phishers" . El registro . Archivado desde el original el 13 de junio de 2019 . Consultado el 10 de agosto de 2017 .
  37. ^ Levine, Jason. "Haciendo phishing con eBay" . Q Noticias diarias . Archivado desde el original el 26 de marzo de 2019 . Consultado el 14 de diciembre de 2006 .
  38. ^ Leyden, John (12 de diciembre de 2007). "Los ciberdelincuentes acechan en las sombras de los sitios web de renombre" . El registro . Archivado desde el original el 23 de junio de 2019 . Consultado el 10 de agosto de 2017 .
  39. ^ "Black Hat DC 2009" . 15 de mayo de 2011. Archivado desde el original el 3 de enero de 2015 . Consultado el 26 de julio de 2014 .
  40. ^ Cordero, Paul. "Los estafadores buscan hacer que los sitios de phishing no sean detectables por los filtros de contenido" . Netcraft . Archivado desde el original el 31 de enero de 2011.
  41. ^ "El uso del software OCR de reconocimiento óptico de caracteres en el filtrado de spam" . PowerShow . Archivado desde el original el 21 de marzo de 2021 . Consultado el 13 de septiembre de 2019 .
  42. ^ Cui, Xinyue; Ge, Yan; Qu, Weina; Zhang, Kan (2020). "Efectos de la información del destinatario y las señales de urgencia en la detección de phishing". HCI International 2020 - Carteles . Comunicaciones en Informática y Ciencias de la Información. 1226 : 520–525. doi : 10.1007 / 978-3-030-50732-9_67 . ISBN 978-3-030-50731-2.
  43. ^ Tomlinson, Kerry (27 de enero de 2017). "Las noticias falsas pueden envenenar su computadora y su mente" . archersecuritygroup.com. Archivado desde el original el 2 de febrero de 2017 . Consultado el 28 de enero de 2017 .
  44. ^ Felix, Jerry & Hauck, Chris (septiembre de 1987). "Seguridad del sistema: la perspectiva de un hacker". 1987 Actas de Interex . 8 : 6.
  45. ^ "EarthLink gana una demanda de $ 25 millones contra correo electrónico no deseado" . Archivado desde el original el 22 de marzo de 2019 . Consultado el 11 de abril de 2014 .
  46. ^ Langberg, Mike (8 de septiembre de 1995). "AOL actúa para frustrar a los piratas informáticos" . Noticias de San José Mercury . Archivado desde el original el 29 de abril de 2016 . Consultado el 14 de marzo de 2012 .
  47. ^ Rekouche, Koceilah (2011). "Phishing temprano". arXiv : 1106,4692 [ cs.CR ].
  48. ^ Stutz, Michael (29 de enero de 1998). "AOL: ¡La mamá de un galleta!" . Noticias por cable. Archivado desde el original el 14 de diciembre de 2005.
  49. ^ "Phishing | Historia del phishing" . phishing.org . Archivado desde el original el 9 de septiembre de 2018 . Consultado el 13 de septiembre de 2019 .
  50. ^ "Phishing" . Palabra espía . Archivado desde el original el 15 de octubre de 2014 . Consultado el 28 de septiembre de 2006 .
  51. ^ "Historia de AOL Warez" . Archivado desde el original el 31 de enero de 2011 . Consultado el 28 de septiembre de 2006 .
  52. ^ "GP4.3 - Crecimiento y fraude - Caso n. ° 3 - Phishing" . Criptografía financiera . 30 de diciembre de 2005. Archivado desde el original el 22 de enero de 2019 . Consultado el 23 de febrero de 2007 .
  53. ^ Sangani, Kris (septiembre de 2003). "La batalla contra el robo de identidad". El banquero . 70 (9): 53–54.
  54. ^ Kerstein, Paul (19 de julio de 2005). "¿Cómo podemos detener las estafas de phishing y pharming?" . CSO. Archivado desde el original el 24 de marzo de 2008.
  55. ^ "En 2005, el crimen organizado respaldará a los phishers" . Gestión de TI . 23 de diciembre de 2004. Archivado desde el original el 31 de enero de 2011.
  56. ^ Abad, Christopher (septiembre de 2005). "La economía del phishing: una encuesta de las operaciones del mercado de phishing" . Primer lunes . Archivado desde el original el 21 de noviembre de 2011 . Consultado el 8 de octubre de 2010 .
  57. ^ "Las pérdidas por fraude de phishing en el Reino Unido se duplican" . Finextra. 7 de marzo de 2006. Archivado desde el original el 19 de enero de 2009 . Consultado el 20 de mayo de 2006 .
  58. ^ Richardson, Tim (3 de mayo de 2005). "Los británicos son víctimas del phishing" . El registro . Archivado desde el original el 10 de junio de 2019 . Consultado el 10 de agosto de 2017 .
  59. ^ Krebs, Brian (13 de octubre de 2007). "Firma rusa en la sombra vista como conducto para el delito cibernético" . The Washington Post . Archivado desde el original el 11 de junio de 2019 . Consultado el 8 de septiembre de 2017 .
  60. ^ Miller, Rich. "Banco, los clientes se enfrentan a las pérdidas de phishing" . Netcraft . Consultado el 14 de diciembre de 2006 .
  61. ^ "Últimas noticias" . Archivado desde el original el 7 de octubre de 2008.
  62. ^ "El Banco de Irlanda acepta reembolsos por phishing" . vnunet.com. Archivado desde el original el 28 de octubre de 2008.
  63. ^ "Correos electrónicos sospechosos y robo de identidad" . Servicio de Impuestos Internos . Archivado desde el original el 31 de enero de 2011 . Consultado el 5 de julio de 2006 .
  64. ^ "Phishing en busca de pistas" . Universidad de Indiana en Bloomington. 15 de septiembre de 2005. Archivado desde el original el 31 de julio de 2009 . Consultado el 15 de septiembre de 2005 .
  65. ^ Kirk, Jeremy (2 de junio de 2006). "Estafa de phishing apunta a MySpace.com" . Red IDG. Archivado desde el original el 16 de junio de 2006.
  66. ^ "Sitio web malicioso / código malicioso: MySpace XSS QuickTime Worm" . Laboratorios de seguridad de Websense . Archivado desde el original el 5 de diciembre de 2006 . Consultado el 5 de diciembre de 2006 .
  67. ^ McCall, Tom (17 de diciembre de 2007). "La encuesta de Gartner muestra que los ataques de phishing se intensificaron en 2007; más de $ 3 mil millones perdidos por estos ataques" . Gartner. Archivado desde el original el 18 de noviembre de 2012 . Consultado el 20 de diciembre de 2007 .
  68. ^ "Un esfuerzo sin fines de lucro: el phishing como tragedia de los bienes comunes" (PDF) . Microsoft . Consultado el 15 de noviembre de 2008 .
  69. ^ "Es probable que el torrente de spam llegue a 6,3 millones de víctimas de ataques de TD Ameritrade" . Archivado desde el original el 5 de mayo de 2009.
  70. ^ "Alojamiento con 1 clic en RapidTec: ¡advertencia de phishing!" . Archivado desde el original el 30 de abril de 2008 . Consultado el 21 de diciembre de 2008 .
  71. ^ APWG. "Informe de tendencias de la actividad de phishing" (PDF) . Archivado desde el original (PDF) el 3 de octubre de 2012 . Consultado el 4 de noviembre de 2013 .
  72. ^ a b "Informes de tendencias de ataques de phishing APWG" . Archivado desde el original el 21 de marzo de 2021 . Consultado el 20 de octubre de 2018 .
  73. ^ "Anatomía de un ataque RSA" . RSA.com . Laboratorios de investigación de RSA FraudAction. Archivado desde el original el 6 de octubre de 2014 . Consultado el 15 de septiembre de 2014 .
  74. ^ Dibujó, Christopher; Markoff, John (27 de mayo de 2011). "Violación de datos en la empresa de seguridad vinculada al ataque a Lockheed" . The New York Times . Archivado desde el original el 9 de julio de 2019 . Consultado el 15 de septiembre de 2014 .
  75. ^ Keizer, Greg (13 de agosto de 2011). "Los presuntos ataques chinos de spear-phishing continúan afectando a los usuarios de Gmail" . Computerworld . Archivado desde el original el 21 de marzo de 2021 . Consultado el 4 de diciembre de 2011 .
  76. ^ Ewing, Philip (22 de agosto de 2011). "Informe: documento de televisión chino revela travesuras cibernéticas" . Dod Buzz . Archivado desde el original el 26 de enero de 2017 . Consultado el 4 de diciembre de 2011 .
  77. ^ "Los piratas informáticos sirios usan Outbrain para apuntar a The Washington Post, Time y CNN" Archivado el19 de octubre de 2013en Wayback Machine , Philip Bump, The Atlantic Wire , 15 de agosto de 2013. Consultado el 15 de agosto de 2013.
  78. ^ Paul, Andrew. "Correos electrónicos de phishing: los fallos inaceptables de American Express" . Respuestas por correo electrónico. Archivado desde el original el 9 de octubre de 2013 . Consultado el 9 de octubre de 2013 .
  79. ^ O'Connell, Liz. "Informe: estafa de phishing por correo electrónico condujo a una infracción de Target" . BringMeTheNews.com . Archivado desde el original el 15 de septiembre de 2014 . Consultado el 15 de septiembre de 2014 .
  80. ^ Ausick, Paul. "Target CEO Sack" . Archivado desde el original el 15 de septiembre de 2014 . Consultado el 15 de septiembre de 2014 .
  81. ^ Kelion, Leo (24 de diciembre de 2013). "Cryptolocker ransomware ha 'infectado alrededor de 250.000 PC ' " . BBC. Archivado desde el original el 22 de marzo de 2019 . Consultado el 24 de diciembre de 2013 .
  82. ^ "Equipo de defensa israelí pirateado a través de correo electrónico contaminado - ciberfirma" . Reuters . 2014-01-26. Archivado desde el original el 24 de septiembre de 2015 . Consultado el 1 de julio de 2017 .
  83. ^ לוי, רויטרס ואליאור (27 de enero de 2014). "האקרים השתלטו על מחשבים ביטחוניים" . Ynet . Archivado desde el original el 21 de marzo de 2021 . Consultado el 29 de noviembre de 2016 .
  84. ^ "Los piratas informáticos irrumpen en las computadoras de defensa israelíes, dice la empresa de seguridad" . The Guardian . Archivado desde el original el 9 de febrero de 2014.
  85. ^ "Equipos de defensa de Israel golpeados por ataque de piratería" . BBC News . 2014-01-27. Archivado desde el original el 22 de marzo de 2019 . Consultado el 22 de junio de 2018 .
  86. ^ "Golpe de equipo de defensa israelí en ataque cibernético: experto en datos | SecurityWeek.Com" . securityweek.com . Archivado desde el original el 22 de marzo de 2019 . Consultado el 13 de septiembre de 2019 .
  87. ^ "Israel para aliviar las restricciones a la exportación de ciberseguridad, dice Premier" . Bloomberg . Archivado desde el original el 4 de marzo de 2014 . Consultado el 11 de marzo de 2017 .
  88. ^ Halpern, Micah D. "Cyber ​​Break-in @ IDF" . HuffPost . Archivado desde el original el 21 de marzo de 2021 . Consultado el 20 de febrero de 2020 .
  89. ^ Los fiscales encuentran que los desnudos de celebridades 'Fappening' fuga no era culpa de Apple Archivado 18/08/2017 en la Wayback Machine 15 de marzo de, 2016, Techcrunch
  90. ^ "ICANN dirigido a ataques de spear phishing | Implementadas medidas de seguridad mejoradas" . icann.org . Archivado desde el original el 7 de agosto de 2019 . Consultado el 18 de diciembre de 2014 .
  91. ^ "Acusación de Eccleston" . 1 de noviembre de 2013. Archivado desde el original el 26 de enero de 2017 . Consultado el 22 de noviembre de 2020 .
  92. ^ "El ex empleado de la Comisión Reguladora Nuclear de Estados Unidos se declara culpable de un intento de ciberataque de spear-phishing en computadoras del Departamento de energía" . 2016-02-02. Archivado desde el original el 8 de agosto de 2019 . Consultado el 22 de noviembre de 2020 .
  93. ^ Nakashima, Ellen (28 de septiembre de 2016). "Los piratas informáticos rusos acosaron a los periodistas que estaban investigando el accidente de avión de Malaysia Airlines" . The Washington Post . Archivado desde el original el 23 de abril de 2019 . Consultado el 26 de octubre de 2016 .
  94. ^ ThreatConnect (28 de septiembre de 2016). "ThreatConnect revisa la actividad dirigida a Bellingcat, un colaborador clave en la investigación del MH17" . ThreatConnect . Consultado el 26 de octubre de 2016 .
  95. ^ Kube, Courtney (7 de agosto de 2015). "Rusia piratea computadoras del Pentágono: NBC, citando fuentes" . Archivado desde el original el 8 de agosto de 2019 . Consultado el 7 de agosto de 2015 .
  96. ^ Starr, Barbara (7 de agosto de 2015). "Oficial: Rusia sospecha de intrusión en el servidor de correo electrónico del Estado Mayor Conjunto" . Archivado desde el original el 8 de agosto de 2019 . Consultado el 7 de agosto de 2015 .
  97. ^ Doctorow, Cory (28 de agosto de 2015). "Spear phishers con presuntos vínculos con el gobierno ruso falsifican el dominio EFF falso, atacan la Casa Blanca" . Boing Boing . Archivado desde el original el 22 de marzo de 2019 . Consultado el 29 de noviembre de 2016 .
  98. ^ Quintin, Cooper (27 de agosto de 2015). "Nueva campaña de Spear Phishing pretende ser EFF" . EFF. Archivado desde el original el 7 de agosto de 2019 . Consultado el 29 de noviembre de 2016 .
  99. ^ "La FACC de Austria, golpeada por el fraude cibernético, despide al CEO" . Reuters . 26 de mayo de 2016. Archivado desde el original el 21 de marzo de 2021 . Consultado el 20 de diciembre de 2018 .
  100. ^ Sanger, David E .; Corasaniti, Nick (14 de junio de 2016). "DNC dice que los piratas informáticos rusos penetraron sus archivos, incluido el expediente sobre Donald Trump" . The New York Times . Archivado desde el original el 25 de julio de 2019 . Consultado el 26 de octubre de 2016 .
  101. ^ Economista, Staff de (24 de septiembre de 2016). "Bear on bear" . Economista. Archivado desde el original el 20 de mayo de 2017 . Consultado el 25 de octubre de 2016 .
  102. ^ "Los empleados de KU son víctimas de una estafa de phishing, pierden cheques de pago" . Archivado desde el original el 22 de marzo de 2019 . Consultado el 6 de octubre de 2016 .
  103. ^ "Hackers al acecho, dijeron los parlamentarios" . Deutsche Welle . Consultado el 21 de septiembre de 2016 .
  104. ^ Pinkert, Georg Heil; Berlín, Nicolas Richter (20 de septiembre de 2016). "Hackerangriff auf deutsche Parteien" . Süddeutsche Zeitung . Consultado el 21 de septiembre de 2016 .
  105. ^ Holanda, Martín. "Angeblich versuchter Hackerangriff auf Bundestag und Parteien" . Heise. Archivado desde el original el 1 de abril de 2019 . Consultado el 21 de septiembre de 2016 .
  106. ^ Hemicker, Lorenz; Alto, Palo. "Wir haben Fingerabdrücke" . Frankfurter Allgemeine Zeitung . Frankfurter Allgemeine. Archivado desde el original el 22 de marzo de 2019 . Consultado el 21 de septiembre de 2016 .
  107. ^ Hyacinth Mascarenhas (23 de agosto de 2016). "Los hackers rusos 'Fancy Bear' probablemente violaron la agencia olímpica de pruebas de drogas y DNC, dicen los expertos" . Tiempos de negocios internacionales . Consultado el 13 de septiembre de 2016 .
  108. ^ "Lo que sabemos sobre el equipo de hackeo de Fancy Bears" . BBC News . 2016-09-15. Archivado desde el original el 22 de marzo de 2019 . Consultado el 17 de septiembre de 2016 .
  109. ^ Gallagher, Sean (6 de octubre de 2016). "Los investigadores encuentran datos falsos en antidopaje olímpico, vertederos de Guccifer 2.0 Clinton" . Ars Technica. Archivado desde el original el 14 de julio de 2017 . Consultado el 26 de octubre de 2016 .
  110. ^ "Hackers rusos lanzan ciberataques dirigidos horas después de la victoria de Trump" . 2016-11-10. Archivado desde el original el 27 de enero de 2017 . Consultado el 28 de noviembre de 2016 .
  111. ^ Comisión de Asuntos Exteriores del Parlamento Europeo (23 de noviembre de 2016), "Los eurodiputados hacen sonar la alarma sobre la propaganda contra la UE de Rusia y los grupos terroristas islamistas" (PDF) , Parlamento Europeo , archivado (PDF) del original el 8 de agosto de 2019 , consultado el 26 de noviembre 2016
  112. ^ Lewis Sanders IV (11 de octubre de 2016), 'Divide Europe': los legisladores europeos advierten sobre la propaganda rusa , Deutsche Welle , archivado desde el original el 25 de marzo de 2019 , consultado el 24 de noviembre de 2016
  113. ^ "Qatar enfrentó 93.570 ataques de phishing en el primer trimestre de 2017" . Gulf Times (en árabe). 2017-05-12. Archivado desde el original el 4 de agosto de 2018 . Consultado el 28 de enero de 2018 .
  114. ^ "Facebook y Google fueron víctimas de una estafa de pago de $ 100 millones" . Fortuna . Archivado desde el original el 8 de agosto de 2019 . Consultado el 28 de enero de 2018 .
  115. ^ "¡La estafa de phishing de Amazon Prime Day se está extendiendo ahora!" . El show de Kim Komando . Archivado desde el original el 27 de mayo de 2019 . Consultado el 28 de enero de 2018 .
  116. ^ "Los piratas informáticos de criptomonedas están robando de $ 4 mil millones ICO de EOS usando esta estafa disimulada" . Jen Wieczner . Archivado desde el original el 21 de marzo de 2021 . Consultado el 31 de mayo de 2018 .
  117. ^ Loxdal, Joakim; Andersson, Måns; Hacks, Simon; Lagerström, Robert (enero de 2021). "Por qué funciona el phishing en teléfonos inteligentes: un estudio preliminar" . Actas de la 54ª Conferencia Internacional de Ciencias de Sistemas de Hawái . Proc. de la 54ª Conferencia Internacional de Ciencias de Sistemas de Hawái (HICSS). doi : 10.24251 / HICSS.2021.863 . ISBN 978-0-9981331-4-0. Consultado el 29 de abril de 2021 .
  118. ^ "Página de inicio de Millersmiles" . Servicios de información de Oxford. Archivado desde el original el 21 de julio de 2007 . Consultado el 3 de enero de 2010 .
  119. ^ "Página de inicio de FraudWatch International" . FraudWatch International. Archivado desde el original el 16 de junio de 2019 . Consultado el 3 de enero de 2010 .
  120. ^ Baker, Emiley; Wade Baker; John Tedesco (2007). "Las organizaciones responden al phishing: exploración de la caja de abordaje de relaciones públicas". Informes de investigación en comunicación . 24 (4): 327. doi : 10.1080 / 08824090701624239 . S2CID  144245673 .
  121. ^ Arachchilage, Nalin; Con amor, Steve; Scott, Michael (1 de junio de 2012). "Diseño de un juego móvil para enseñar el conocimiento conceptual de cómo evitar 'ataques de phishing ' " . Revista internacional para la seguridad del aprendizaje electrónico . 2 (1): 127-132. doi : 10.20533 / ijels.2046.4568.2012.0016 .
  122. ^ Ponnurangam Kumaraguru; Yong Woo Rhee; Alessandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (noviembre de 2006). "Protección de las personas contra el phishing: el diseño y la evaluación de un sistema de correo electrónico de formación integrado" (PDF) . Informe técnico CMU-CyLab-06-017, CyLab, Universidad Carnegie Mellon . Archivado desde el original (PDF) el 30 de enero de 2007 . Consultado el 14 de noviembre de 2006 .
  123. ^ Perrault, Evan K. (23 de marzo de 2017). "Uso de un cuestionario interactivo en línea para recalibrar las actitudes y las intenciones de comportamiento de los estudiantes universitarios sobre el phishing". Revista de Investigación en Computación Educativa . 55 (8): 1154-1167. doi : 10.1177 / 0735633117699232 . S2CID  64269078 .
  124. ^ Hendric, William. "Pasos para evitar el phishing" . Archivado desde el original el 21 de marzo de 2021 . Consultado el 3 de marzo de 2015 .
  125. ^ "Consejos anti-phishing que no debe seguir" . HexView . Archivado desde el original el 20 de marzo de 2008 . Consultado el 19 de junio de 2006 .
  126. ^ "Protéjase de correos electrónicos fraudulentos" . PayPal . Archivado desde el original el 6 de abril de 2011 . Consultado el 7 de julio de 2006 .
  127. ^ Zeltser, Lenny (17 de marzo de 2006). "Los mensajes de phishing pueden incluir información altamente personalizada" . El Instituto SANS. Archivado desde el original el 2 de diciembre de 2006 . Consultado el 20 de mayo de 2006 .
  128. ^ Markus Jakobsson y Jacob Ratkiewicz. "Diseño de experimentos de phishing ético" . WWW '06 . Archivado desde el original el 31 de enero de 2011 . Consultado el 20 de agosto de 2007 .
  129. ^ Markus Jakobsson; Alex Tsow; Ankur Shah; Eli Blevis; Youn-kyung Lim. "¿Qué inculca la confianza? Un estudio cualitativo de phishing" (PDF) . informatics.indiana.edu . Archivado desde el original (PDF) el 6 de marzo de 2007.
  130. ^ "Informes de tendencias de ataques de phishing APWG" . APWG . Archivado desde el original el 21 de marzo de 2021 . Consultado el 12 de septiembre de 2018 .
  131. ^ Google (25 de junio de 2017). "Manténgase a salvo del phishing y las estafas" . Archivado desde el original el 21 de marzo de 2021 . Consultado el 12 de abril de 2020 , a través de YouTube.
  132. ^ Olivo, Cleber K .; Santin, Altair O .; Oliveira, Luiz S. (julio de 2011). "Obtención del modelo de amenazas para el phishing por correo electrónico". Soft Computing aplicado . 13 (12): 4841–4848. doi : 10.1016 / j.asoc.2011.06.016 .
  133. ^ Madhusudhanan Chandrasekaran; Krishnan Narayanan; Shambhu Upadhyaya (marzo de 2006). "Detección de correo electrónico de suplantación de identidad basada en propiedades estructurales" (PDF) . Simposio de seguridad cibernética del estado de Nueva York . Archivado desde el original (PDF) el 16 de febrero de 2008.
  134. ^ Ian Fette; Norman Sadeh; Anthony Tomasic (junio de 2006). "Aprendiendo a detectar correos electrónicos de phishing" (PDF) . Informe técnico de la Universidad Carnegie Mellon CMU-ISRI-06-112 . Archivado (PDF) desde el original el 19 de junio de 2018 . Consultado el 30 de noviembre de 2006 .
  135. ^ "Dar otro golpe contra el phishing por correo electrónico (Blog de seguridad online de Google)" . Archivado desde el original el 6 de junio de 2012 . Consultado el 21 de junio de 2012 .
  136. ^ "Navegación segura de Google" . Archivado desde el original el 1 de septiembre de 2017 . Consultado el 30 de noviembre de 2017 .
  137. ^ "Navegación segura (Blog de seguridad en línea de Google)" . Archivado desde el original el 5 de marzo de 2016 . Consultado el 21 de junio de 2012 .
  138. ^ Franco, Rob. "Mejor identificación de sitios web y certificados de validación extendida en IE7 y otros navegadores" . IEBlog . Archivado desde el original el 17 de enero de 2010 . Consultado el 10 de febrero de 2020 .
  139. ^ "Bon Echo Anti-Phishing" . Mozilla . Archivado desde el original el 23 de agosto de 2011 . Consultado el 2 de junio de 2006 .
  140. ^ "Safari 3.2 finalmente obtiene protección contra phishing" . Ars Technica . 13 de noviembre de 2008. Archivado desde el original el 23 de agosto de 2011 . Consultado el 15 de noviembre de 2008 .
  141. ^ "Gone Phishing: evaluación de herramientas anti-phishing para Windows" . 3 Afilado. 27 de septiembre de 2006. Archivado desde el original el 14 de enero de 2008 . Consultado el 20 de octubre de 2006 .
  142. ^ "Dos cosas que me molestan sobre la nueva extensión de Firefox de Google" . Nitesh Dhanjani en O'Reilly ONLamp . Archivado desde el original el 22 de julio de 2014 . Consultado el 1 de julio de 2007 .
  143. ^ "Prueba de eficacia de protección contra phishing de Firefox 2" . Archivado desde el original el 31 de enero de 2011 . Consultado el 23 de enero de 2007 .
  144. ^ Higgins, Kelly Jackson. "DNS obtiene gancho anti-phishing" . Lectura oscura . Archivado desde el original el 18 de agosto de 2011 . Consultado el 8 de octubre de 2006 .
  145. ^ Krebs, Brian (31 de agosto de 2006). "Uso de imágenes para combatir el phishing" . Corrección de seguridad. Archivado desde el original el 16 de noviembre de 2006.
  146. ^ Seltzer, Larry (2 de agosto de 2004). "Detectar phishing y phighting Back" . eWeek. Archivado desde el original el 5 de julio de 2019 . Consultado el 14 de diciembre de 2006 .
  147. ^ Banco de America. "Cómo funciona SiteKey de Bank of America para la seguridad de la banca en línea" . Archivado desde el original el 23 de agosto de 2011 . Consultado el 23 de enero de 2007 .
  148. ^ Brubaker, Bill (14 de julio de 2005). "Bank of America personaliza la seguridad cibernética" . The Washington Post . Archivado desde el original el 8 de junio de 2019 . Consultado el 8 de septiembre de 2017 .
  149. ^ Stone, Brad (5 de febrero de 2007). "Estudio encuentra ineficaz medida antifraude web" . The New York Times . Archivado desde el original el 11 de junio de 2019 . Consultado el 5 de febrero de 2007 .
  150. ^ Stuart Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (mayo de 2007). "Los nuevos indicadores de seguridad del emperador: una evaluación de la autenticación de sitios web y el efecto del juego de roles en los estudios de usabilidad" (PDF) . Simposio de IEEE sobre seguridad y privacidad, mayo de 2007 . Archivado desde el original (PDF) el 20 de julio de 2008 . Consultado el 5 de febrero de 2007 .
  151. ^ "Los phishers apuntan al sistema de contraseña de un solo uso de Nordea" . Finextra. 12 de octubre de 2005. Archivado desde el original el 18 de diciembre de 2005 . Consultado el 20 de diciembre de 2005 .
  152. ^ Krebs, Brian (10 de julio de 2006). "Citibank Phish Spoofs Autenticación de 2 factores" . Corrección de seguridad. Archivado desde el original el 10 de noviembre de 2006.
  153. ^ Graham Titterington. "Más perdición en el phishing" . Ovum Research, abril de 2006 . Archivado desde el original el 10 de abril de 2008 . Consultado el 8 de abril de 2009 .
  154. ^ Schneier, Bruce. "Máscaras de seguridad" . Schneier sobre seguridad . Consultado el 3 de diciembre de 2006 .
  155. ^ Rachna Dhamija; JD Tygar (julio de 2005). "La batalla contra el phishing: máscaras de seguridad dinámica" (PDF) . Simposio sobre privacidad y seguridad utilizables (SOUPS) 2005 . Archivado desde el original (PDF) el 29 de junio de 2007 . Consultado el 5 de febrero de 2007 .
  156. ^ "Tecnología de autenticación mutua dinámica para anti-phishing" . Confidenttechnologies.com. Archivado desde el original el 21 de marzo de 2021 . Consultado el 9 de septiembre de 2012 .
  157. ^ "Grupo de trabajo Anti-Phishing: Soluciones de proveedores" . Grupo de Trabajo Anti-Phishing . Archivado desde el original el 31 de enero de 2011 . Consultado el 6 de julio de 2006 .
  158. ^ Xiang, Guang; Hong, Jason; Rose, Carolyn P .; Cranor, Lorrie (1 de septiembre de 2011). "CANTINA +: un marco de aprendizaje automático rico en funciones para detectar sitios web de phishing" . Transacciones ACM sobre seguridad de la información y del sistema . 14 (2): 21: 1–21: 28. doi : 10.1145 / 2019599.2019606 . ISSN  1094-9224 . S2CID  6246617 . Archivado desde el original el 21 de marzo de 2021 . Consultado el 25 de noviembre de 2020 .
  159. ^ Leite, Cristoffer; Gondim, Joao JC; Barreto, Priscila Solis; Alchieri, Eduardo A. (2019). "Inundación de residuos: una herramienta de represalia por phishing" . 2019 IEEE 18th International Symposium on Network Computing and Applications (NCA) . Cambridge, MA, EE.UU .: IEEE: 1–8. doi : 10.1109 / NCA.2019.8935018 . ISBN 978-1-7281-2522-0. S2CID  209457656 . Archivado desde el original el 21 de marzo de 2021 . Consultado el 25 de noviembre de 2020 .
  160. ^ McMillan, Robert (28 de marzo de 2006). "Los nuevos sitios permiten a los usuarios encontrar y denunciar el phishing" . LinuxWorld. Archivado desde el original el 19 de enero de 2009.
  161. ^ Schneier, Bruce (5 de octubre de 2006). "PhishTank" . Schneier sobre seguridad . Archivado desde el original el 31 de enero de 2011 . Consultado el 7 de diciembre de 2007 .
  162. ^ "Informar una página de phishing" . Archivado desde el original el 19 de octubre de 2016 . Consultado el 13 de septiembre de 2019 .
  163. ^ Cómo informar las estafas de phishing a Google Archivado el 14 de abril de 2013en archive.today Consumer Scams.org
  164. ^ Uso del teléfono inteligente para verificar y firmar transacciones bancarias en línea. Archivado 2017-08-23 en Wayback Machine , SafeSigner.
  165. ^ Kan, Michael (7 de marzo de 2019). "Google: los ataques de phishing que pueden vencer a dos factores están en aumento" . Revista de PC . Archivado desde el original el 8 de marzo de 2019 . Consultado el 9 de septiembre de 2019 .
  166. ^ Joseph Steinberg (25 de agosto de 2014). "Por qué corre el riesgo de sufrir ataques de phishing" . Forbes . Archivado desde el original el 14 de julio de 2019 . Consultado el 14 de noviembre de 2014 .
  167. ^ Legon, Jeordan (26 de enero de 2004). "Fraude informático carrete en su identidad" . CNN. Archivado desde el original el 6 de noviembre de 2018 . Consultado el 8 de abril de 2006 .
  168. ^ Leyden, John (21 de marzo de 2005). "La policía brasileña red 'capo del phishing ' " . El registro . Archivado desde el original el 17 de abril de 2016 . Consultado el 19 de agosto de 2005 .
  169. ^ Roberts, Paul (27 de junio de 2005). "Phishers del Reino Unido atrapados, empaquetados" . eWEEK. Archivado desde el original el 5 de julio de 2019 . Consultado el 3 de septiembre de 2005 .
  170. ^ "Diecinueve personas acusadas de conspiración de 'tarjetas' de Internet" . justice.gov. Archivado desde el original el 22 de marzo de 2019 . Consultado el 13 de octubre de 2015 .
  171. ^ "8 detenidos por sospecha de fraude de phishing". Yomiuri Shimbun . 31 de mayo de 2006.
  172. ^ "Pandilla de phishing arrestada en Estados Unidos y Europa del Este después de la investigación del FBI" . Archivado desde el original el 31 de enero de 2011 . Consultado el 14 de diciembre de 2006 .
  173. ^ "Los phishers se enfrentarían a 5 años con un nuevo proyecto de ley" . InformationWeek . 2 de marzo de 2005. Archivado desde el original el 19 de febrero de 2008 . Consultado el 4 de marzo de 2005 .
  174. ^ "Ley de Fraude de 2006" . Archivado desde el original el 23 de agosto de 2011 . Consultado el 14 de diciembre de 2006 .
  175. ^ "Penas de prisión para defraudadores de phishing" . El registro . 14 de noviembre de 2006. Archivado desde el original el 21 de junio de 2019 . Consultado el 10 de agosto de 2017 .
  176. ^ "Microsoft se asocia con agencias de aplicación de la ley australianas para combatir el crimen cibernético" . Archivado desde el original el 3 de noviembre de 2005 . Consultado el 24 de agosto de 2005 .
  177. ^ Espiner, Tom (20 de marzo de 2006). "Microsoft lanza un asalto legal a los phishers" . ZDNet. Archivado desde el original el 29 de agosto de 2008 . Consultado el 20 de mayo de 2006 .
  178. ^ Leyden, John (23 de noviembre de 2006). "MS se tambalea en algunos phish callejeros" . El registro . Archivado desde el original el 10 de junio de 2019 . Consultado el 10 de agosto de 2017 .
  179. ^ "Una historia de liderazgo - 2006" . Archivado desde el original el 22 de mayo de 2007.
  180. ^ "AOL lleva la lucha contra el robo de identidad a los tribunales, presenta demandas contra tres grandes bandas de phishing" . Archivado desde el original el 31 de enero de 2007 . Consultado el 8 de marzo de 2006 .
  181. ^ "Ley de delitos informáticos HB 2471; cambios en las disposiciones, sanción" . Consultado el 8 de marzo de 2006 .
  182. ^ Brulliard, Karin (10 de abril de 2005). "Va. Legisladores apuntan a enganchar Cyberscammers" . The Washington Post . Archivado desde el original el 11 de junio de 2019 . Consultado el 8 de septiembre de 2017 .
  183. ^ "La evidencia de Earthlink ayuda a cerrar la puerta al anillo de spam del sitio phisher" . Archivado desde el original el 5 de julio de 2007 . Consultado el 14 de diciembre de 2006 .
  184. ^ Prince, Brian (18 de enero de 2007). "Hombre declarado culpable de apuntar a clientes de AOL en estafa de phishing" . Revista de PC . Archivado desde el original el 21 de marzo de 2009 . Consultado el 8 de septiembre de 2017 .
  185. ^ Leyden, John (17 de enero de 2007). "Estafador de phishing de AOL declarado culpable" . El registro . Archivado desde el original el 22 de marzo de 2019 . Consultado el 10 de agosto de 2017 .
  186. ^ Leyden, John (13 de junio de 2007). "El phisher de AOL redes de seis años de prisión" . El registro . Archivado desde el original el 11 de junio de 2019 . Consultado el 10 de agosto de 2017 .
  187. ^ Gaudin, Sharon (12 de junio de 2007). "Hombre de California obtiene sentencia de 6 años por phishing" . InformationWeek . Archivado desde el original el 11 de octubre de 2007 . Consultado el 1 de julio de 2007 .

  • Grupo de trabajo Anti-Phishing
  • Centro de Gestión de Identidad y Protección de la Información - Utica College
  • Tapar el agujero del "phishing": legislación versus tecnología Archivado 2005-12-28 en Wayback Machine - Duke Law & Technology Review
  • Ejemplo de un intento de phishing con capturas de pantalla y explicaciones - StrategicRevenue.com
  • Un esfuerzo sin fines de lucro: el phishing como tragedia de los bienes comunes - Microsoft Corporation
  • Base de datos para información sobre sitios de phishing reportados por el público - PhishTank
  • El impacto de los incentivos en el aviso y la eliminación - Laboratorio de computación, Universidad de Cambridge (PDF, 344 kB)