Фи́шинг (англ. phishing от fishing «рыбная ловля, выуживание»[1]) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «подтверждение авторизации»

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

История

править

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet[2][3], хотя возможно его более раннее упоминание в хакерском журнале 2600[4].

Ранний фишинг на AOL

править

Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам[5].

Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль[6]. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку[7], и фишинг на серверах AOL постепенно сошёл на нет.

Переход к финансовым учреждениям

править

Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября[8]. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал[9].

Фишинг сегодня

править
 
Диаграмма роста числа зафиксированных случаев фишинга

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем.[10] В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках[11]. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку[12]. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях[13].

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей[14]: в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных[15]; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте[16][17]. По оценкам специалистов, более 70 % фишинговых атак в социальных сетях успешны[18].

Фишинг стремительно набирает свои обороты, но оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США[19], в 2006 году ущерб составил 2,8 млрд долларов[20], в 2007 — 3,2 миллиарда[21]; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек[20], к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов[22].

Техника фишинга

править

Социальная инженерия

править

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.

Веб-ссылки

править
 
Пример фишингового письма от платёжной системы Яндекс.Деньги, где внешне подлинная веб-ссылка ведёт на фишинговый сайт

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например https://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, https://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля[23]. Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer[24], а Mozilla Firefox[25] и Opera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML-теге <a> значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

Обход фильтров

править

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами[26]. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу[27]. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга[28].

Веб-сайты

править

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки[29]. Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным URL[30].

Злоумышленник может использовать уязвимости в скриптах подлинного сайта[31]. Этот вид мошенничества (известный как межсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё (от веб-адреса до сертификатов) выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношении PayPal в 2006 году[32].

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологии Flash. Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах[33].

Новые угрозы

править

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами[34]. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера[35][36]. Чаще всего злоумышленники выдают себя за сотрудников службы безопасности банка и сообщают жертве о зафиксированной попытке незаконного списания средств с его счёта. В конечном счёте, человека также попросят сообщить его учётные данные[37].

Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг»)[38]. Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передаёт их злоумышленникам[39]. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем»[40].

Борьба с фишингом

править

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

Обучение пользователей

править

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении[41].

Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например, PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга[42]. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали[43], что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения[44]. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали[45].

Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами[46]. Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы.

Технические методы

править

Браузеры, предупреждающие об угрозе фишинга

править

Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera[47][48][49][50]. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer[51].

В 2006 году появилась методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере[52] и близок использованию hosts-файла для блокировки рекламы.

Усложнение процедуры авторизации

править

Сайт Bank of America[53][54] предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля[55][56].

Борьба с фишингом в почтовых сообщениях

править

Специализированные спам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается на машинном обучении и обработке естественного языка при анализе фишинговых писем[57][58].

Услуги мониторинга

править

Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов[59]. Физические лица могут помогать подобным группам[60] (например, PhishTank[61]), сообщая о случаях фишинга.

Юридические меры

править

26 января 2004 года Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Ответчик, подросток из Калифорнии, обвинялся в создании веб-страницы, внешне схожей с сайтом AOL, и краже данных кредитных карт[62]. Другие страны последовали этому примеру и начали искать и арестовывать фишеров. Так, в Бразилии был арестован Вальдир Пауло де Альмейда, глава одной из крупнейших фишинговых преступных группировок, в течение двух лет укравшей от 18 до 37 миллионов долларов США[63]. В июне 2005 года власти Великобритании осудили двух участников интернет-мошенничества[64]. В 2006 году японской полицией было задержано восемь человек по подозрению в фишинге и краже 100 миллионов иен (870 000 долларов США)[65]. Аресты продолжались в 2006 году — в ходе спецоперации ФБР задержало банду из шестнадцати участников в Европе и США[66].

В Соединённых Штатах Америки 1 марта 2005 года сенатор Патрик Лехи представил Конгрессу проект Антифишингового закона. Если бы этот законопроект был принят, то преступники, создающие фальшивые веб-сайты и рассылающие поддельную электронную почту, подвергались бы штрафу до 250 тысяч долларов и лишению свободы сроком до пяти лет[67]. В Великобритании был принят Закон о мошенничестве 2006 года[68], предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества[69].

Компании также принимают участие в борьбе с фишингом. 31 марта 2005 года Microsoft подала 117 судебных исков в федеральный окружной суд США Западного округа, обвиняющих «Джона Доу» в получении паролей и конфиденциальной информации. Март 2005 года был отмечен началом партнёрства Microsoft и правительства Австралии по обучению сотрудников правоохранительных органов борьбе с различными киберпреступлениями, в том числе фишингом[70].

В январе 2007 года Джеффри Бретт Гудин из Калифорнии был признан виновным в рассылке тысяч сообщений электронной почты пользователям America Online от имени AOL, убеждая клиентов раскрыть конфиденциальную информацию. Имея шанс получить 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт, а также неправомерное использование товарных знаков AOL, он был приговорён к 70 месяцам заключения[71][72][73][74].

В Российской Федерации первое крупное дело против банды фишеров началось в сентябре 2009 года. По самым скромным оценкам мошенники похитили около 6 миллионов рублей. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере[75]. Отдельные процессы имели место и ранее: так, в 2006 году суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Мошенник был приговорен к 6 годам условного срока и возмещению компаниям ущерба в размере 3 миллионов рублей[76]. Но в целом правовая борьба в России ограничивается лишь незначительными судебными разбирательствами, редко оканчивающимися серьёзными приговорами.

Как считает ведущий специалист Следственного комитета при МВД по расследованию преступлений в сфере компьютерной информации и высоких технологий подполковник юстиции Игорь Яковлев, основная проблема в расследовании подобных преступлений в России заключается в нехватке специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело не только до суда, но и до обвинительного вердикта[77]. Руководитель подразделения Центра информационной безопасности ФСБ России Сергей Михайлов добавляет, что «в России самое лояльное законодательство по отношению к киберпреступности». Также плохо налажено сотрудничество с зарубежными структурами, что мешает скоординированной борьбе с преступниками[78].

См. также

править

Примечания

править
  1. Mark Liberman. Phishing (англ.). UPenn Language Log (22 сентября 2004). Дата обращения: 1 февраля 2019. Архивировано из оригинала 23 августа 2011 года.
  2. Cave Paintings. Phishing (англ.). Дата обращения: 21 ноября 2008. Архивировано из оригинала 23 августа 2011 года.
  3. Usenet (англ.). — 2 января 1996 г. Дата обращения: 21 ноября 2008. Архивировано 29 октября 2006 года.
  4. The Phishing Guide (англ.). Дата обращения: 21 ноября 2008. Архивировано из оригинала 31 января 2011 года.
  5. phishing (англ.) (1 августа 2003). Дата обращения: 21 ноября 2008. Архивировано из оригинала 5 декабря 2008 года.
  6. Michael Stutz. AOL: A Cracker's Paradise? (англ.) (29 января 1998). Дата обращения: 21 ноября 2008. Архивировано из оригинала 18 июня 2009 года.
  7. History of AOL Warez (англ.). Дата обращения: 21 ноября 2008. Архивировано из оригинала 31 января 2011 года.
  8. GP4.3 — Growth and Fraud — Case #3 — Phishing (англ.) (30 декабря 2005). Дата обращения: 21 ноября 2008. Архивировано 22 января 2019 года.
  9. Kate Stoodley. In 2005, Organized Crime Will Back Phishers (англ.) (23 декабря 2004). Дата обращения: 21 ноября 2008. Архивировано из оригинала 31 января 2011 года.
  10. МВД по Республике Коми настоятельно рекомендует гражданам не перезванивать на номера телефонов, указанных в смс-сообщениях о блокировке банковской карты. Дата обращения: 27 февраля 2016. Архивировано из оригинала 4 марта 2016 года.
  11. Suspicious e-Mails and Identity Theft (англ.). Internal Revenue System (13 июня 2008). Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
  12. Markus Jakobsson, Tom N. Jagatic, Sid Stamm. Phishing for Clues (англ.). Дата обращения: 21 ноября 2008. Архивировано из оригинала 10 марта 2010 года.
  13. Dan Goodin. Fake subpoenas harpoon 2,100 corporate fat cats (англ.) (16 апреля 2008). Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
  14. Jeremy Kirk. Phishing Scam Takes Aim at MySpace.com (англ.). IDG News Service. Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
  15. MySpace XSS QuickTime Worm (англ.) (12 января 2006). Дата обращения: 21 ноября 2008. Архивировано 24 декабря 2008 года.
  16. Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса. РИА Новости (16 мая 2008). Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
  17. В контакте с вирусом. Коммерсантъ (25 сентября 2008). Дата обращения: 21 ноября 2008. Архивировано 17 ноября 2014 года.
  18. Tom Jagatic, Nathaniel Johnson, Markus Jakobsson, Filippo Menczer. Social Phishing (англ.) (12 декабря 2005). Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
  19. Эльвира Кошкина. В США подсчитали ущерб от фишинга. Компьюлента (5 октября 2004). Дата обращения: 24 августа 2009. Архивировано из оригинала 31 января 2011 года.
  20. 1 2 К концу 2006 г. ущерб от фишеров составит $2,8 млрд. InformationSecurity (23 ноября 2006). Дата обращения: 24 августа 2009. Архивировано 6 июня 2007 года.
  21. Дебетовые карты стали самой популярной мишенью для мошенников. Bankir.Ru (20 декабря 2007). Дата обращения: 24 августа 2009. Архивировано 4 марта 2016 года.
  22. Количество фишинг-атак возросло на 40%. Astera (17 апреля 2009). Дата обращения: 24 августа 2009. Архивировано 4 марта 2016 года.
  23. Berners-Lee, Tim. Uniform Resource Locators (URL). IETF Network Working Group. Дата обращения: 28 января 2006. Архивировано из оригинала 31 января 2011 года.
  24. Microsoft. A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs. Microsoft Knowledgebase. Дата обращения: 28 августа 2005. Архивировано 31 января 2011 года.
  25. Fisher, Darin. Warn when HTTP URL auth information isn't necessary or when it's provided. Bugzilla. Дата обращения: 28 августа 2005. Архивировано 8 марта 2021 года.
  26. Mutton, Paul. Fraudsters seek to make phishing sites undetectable by content filters. Netcraft. Дата обращения: 10 июля 2006. Архивировано из оригинала 31 января 2011 года.
  27. Предотвратите попадание нежелательной почты в папку «Входящие». Microsoft (26 января 2007). Дата обращения: 27 сентября 2009. Архивировано 31 января 2011 года.
  28. Kaspersky Hosted Email Security. Лаборатория Касперского. Дата обращения: 27 сентября 2009. Архивировано 4 ноября 2011 года.
  29. Mutton, Paul. Phishing Web Site Methods. FraudWatch International. Дата обращения: 14 декабря 2006. Архивировано из оригинала 31 января 2011 года.
  30. "Phishing con hijacks browser bar". BBC News. 2004-04-08. Архивировано 27 марта 2009. Дата обращения: 7 января 2009.
  31. Krebs, Brian. Flaws in Financial Sites Aid Scammers. Security Fix. Дата обращения: 28 июня 2006. Архивировано 31 января 2011 года.
  32. Mutton, Paul. PayPal Security Flaw allows Identity Theft. Netcraft. Дата обращения: 19 июня 2006. Архивировано из оригинала 31 января 2011 года.
  33. Miller, Rich. Phishing Attacks Continue to Grow in Sophistication. Netcraft. Дата обращения: 19 декабря 2007. Архивировано из оригинала 27 сентября 2011 года.
  34. Gonsalves, Antone (2006-04-25). "Phishers Snare Victims With VoIP". Techweb. Архивировано 28 марта 2007. Дата обращения: 7 января 2009.
  35. "Identity thieves take advantage of VoIP". Silicon.com. 2005-05-23. Архивировано 17 апреля 2009. Дата обращения: 5 сентября 2009.
  36. New phishing scam uses fake caller ID numbers (англ.). scambusters.org (22 марта 2009). Дата обращения: 6 сентября 2009. Архивировано 31 января 2011 года.
  37. Charles H Green. Phishing and Financial Misdeeds: Trust Caller ID, Become a Crime Victim! (англ.) (8 июня 2009). Дата обращения: 6 сентября 2009. Архивировано 31 января 2011 года.
  38. Andrew R. Hickey. SMS phishing is here (англ.). SearchMobileComputing.com (6 сентября 2006). Дата обращения: 6 сентября 2009. Архивировано из оригинала 23 августа 2011 года.
  39. What are vishing, caller ID spoofing and SMS phishing scams? (англ.). Дата обращения: 31 января 2011. Архивировано 23 августа 2011 года.
  40. Text message (SMS) phishing (англ.). Дата обращения: 6 сентября 2009. Архивировано 31 января 2011 года.
  41. Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge. Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. (ноябрь 2006). Дата обращения: 14 ноября 2006. Архивировано из оригинала 30 января 2007 года.
  42. Protect Yourself from Fraudulent Emails. PayPal. Дата обращения: 7 июля 2006. Архивировано 6 апреля 2011 года.
  43. Markus Jakobsson, Alex Tsow, Ankur Shah, Eli Blevis, Youn-kyung Lim. What Instills Trust? A Qualitative Study of Phishing. (PDF). USEC '06. Дата обращения: 3 февраля 2009. Архивировано из оригинала 6 марта 2007 года.
  44. Zeltser, Lenny Phishing Messages May Include Highly-Personalized Information. The SANS Institute (17 марта 2006). Дата обращения: 2 февраля 2009. Архивировано 2 декабря 2006 года.
  45. Markus Jakobsson and Jacob Ratkiewicz. Designing Ethical Phishing Experiments. WWW '06. Дата обращения: 3 февраля 2009. Архивировано из оригинала 17 марта 2008 года.
  46. Kawamoto, Dawn Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats. CNet (4 августа 2005). Дата обращения: 31 января 2011. Архивировано 23 августа 2011 года.
  47. Franco, Rob. Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers. IEBlog. Дата обращения: 2 февраля 2009. Архивировано 23 августа 2011 года.
  48. Bon Echo Anti-Phishing. Mozilla. Дата обращения: 2 февраля 2009. Архивировано 23 августа 2011 года.
  49. Safari 3.2 finally gains phishing protection. Ars Technica (13 ноября 2008). Дата обращения: 2 февраля 2009. Архивировано 23 августа 2011 года.
  50. "Gone Phishing: Evaluating Anti-Phishing Tools for Windows". 3Sharp. 2006-09-27. Архивировано 14 января 2008. Дата обращения: 2 февраля 2009.
  51. Firefox 2 Phishing Protection Effectiveness Testing. Дата обращения: 2 февраля 2009. Архивировано 31 января 2011 года.
  52. Higgins, Kelly Jackson. DNS Gets Anti-Phishing Hook. Dark Reading. Дата обращения: 2 февраля 2009. Архивировано 18 августа 2011 года.
  53. Bank of America. How Bank of America SiteKey Works For Online Banking Security. Дата обращения: 2 февраля 2009. Архивировано из оригинала 23 августа 2011 года.
  54. Brubaker, Bill (2005-07-14). "Bank of America Personalizes Cyber-Security". Washington Post. Архивировано 8 июня 2019. Дата обращения: 1 октября 2017.
  55. Stone, Brad Study Finds Web Antifraud Measure Ineffective. New York Times (5 февраля 2007). Дата обращения: 2 февраля 2009. Архивировано 31 января 2011 года.
  56. Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer. The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (PDF). IEEE Symposium on Security and Privacy, May 2007 (May 2007). Дата обращения: 2 февраля 2009. Архивировано из оригинала 20 июля 2008 года.
  57. Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya. Phishing E-mail Detection Based on Structural Properties (PDF). NYS Cyber Security Symposium (март 2006). Дата обращения: 31 января 2011. Архивировано 23 августа 2011 года.
  58. Ian Fette, Norman Sadeh, Anthony Tomasic. Learning to Detect Phishing Emails (PDF). Carnegie Mellon University Technical Report CMU-ISRI-06-112 (июнь 2006). Дата обращения: 3 февраля 2009. Архивировано из оригинала 31 января 2011 года.
  59. Anti-Phishing Working Group: Vendor Solutions. Anti-Phishing Working Group. Дата обращения: 3 февраля 2009. Архивировано из оригинала 31 января 2011 года.
  60. McMillan, Robert (2006-03-28). "New sites let users find and report phishing". LinuxWorld. Архивировано 19 января 2009. Дата обращения: 3 февраля 2009.
  61. Schneier, Bruce PhishTank. Schneier on Security (5 октября 2006). Дата обращения: 3 февраля 2009. Архивировано 31 января 2011 года.
  62. Legon, Jeordan (2004-01-26). "'Phishing' scams reel in your identity". CNN. Архивировано 8 апреля 2006. Дата обращения: 3 февраля 2009.
  63. Leyden, John (2005-03-21). "Brazilian cops net 'phishing kingpin'". The Register. Архивировано 17 апреля 2016. Дата обращения: 3 февраля 2009.
  64. Roberts, Paul (2005-06-27). "UK Phishers Caught, Packed Away". eWEEK. Архивировано 1 июля 2019. Дата обращения: 3 февраля 2009.
  65. "8 held over suspected phishing fraud". The Daily Yomiuri. 2006-05-31.
  66. Phishing gang arrested in USA and Eastern Europe after FBI investigation. Дата обращения: 3 февраля 2009. Архивировано из оригинала 31 января 2011 года.
  67. "Phishers Would Face 5 Years Under New Bill". Information Week. 2005-03-02. Архивировано 19 февраля 2008. Дата обращения: 3 февраля 2009.
  68. Fraud Act 2006. Дата обращения: 3 февраля 2009. Архивировано 23 августа 2011 года.
  69. "Prison terms for phishing fraudsters". The Register. 2006-11-14. Архивировано 21 июня 2019. Дата обращения: 1 октября 2017.
  70. Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime. Дата обращения: 3 февраля 2009. Архивировано 3 ноября 2005 года.
  71. Prince, Brian (2007-01-18). "Man Found Guilty of Targeting AOL Customers in Phishing Scam". PCMag.com. Архивировано 21 марта 2009. Дата обращения: 1 октября 2017.
  72. Leyden, John (2007-01-17). "AOL phishing fraudster found guilty". The Register. Архивировано 22 марта 2019. Дата обращения: 1 октября 2017.
  73. Leyden, John (2007-06-13). "AOL phisher nets six years' imprisonment". The Register. Архивировано 11 июня 2019. Дата обращения: 1 октября 2017.
  74. Gaudin, Sharon (2007-06-12). "California Man Gets 6-Year Sentence For Phishing". InformationWeek. Архивировано 11 октября 2007. Дата обращения: 3 февраля 2009.
  75. Федосенко, Владимир Впервые у нас будут судить группу электронных взломщиков. Российская Газета (11 сентября 2009). Дата обращения: 22 сентября 2009. Архивировано 14 сентября 2009 года.
  76. Форманюк, Маша Неосторожность в Сети обойдется мошеннику в $100 тыс. Вебпланета (5 декабря 2006). Дата обращения: 22 сентября 2009. Архивировано 31 января 2011 года.
  77. Карачева, Екатерина И в МВД есть свои хакеры. Время новостей (17 апреля 2008). Дата обращения: 22 сентября 2009. Архивировано 5 октября 2009 года.
  78. ФСБ: «Россия наиболее лояльна к киберпреступникам». Вебпланета (15 мая 2009). Дата обращения: 22 сентября 2009. Архивировано 31 января 2011 года.