El phishing es una forma de ingeniería social y una estafa en la que los atacantes engañan a las personas para que revelen información confidencial [1] o instalen malware como virus , gusanos , adware o ransomware . Los ataques de phishing se han vuelto cada vez más sofisticados y, a menudo, reflejan de forma transparente el sitio al que se dirigen, lo que permite al atacante observar todo mientras la víctima navega por el sitio y traspasa cualquier límite de seguridad adicional con la víctima. [2] A partir de 2020, es el tipo más común de ciberdelito , y el Centro de denuncias de delitos en Internet del FBI informa más incidentes de phishing que cualquier otro tipo de ciberdelito. [3]
El término "phishing" se registró por primera vez en 1995 en el kit de herramientas de cracking AOHell , pero es posible que se haya utilizado antes en la revista de hackers 2600. [ 4] [5] [6] Es una variación de fishing y se refiere al uso de señuelos para "pescar" información confidencial. [5] [7] [8]
Las medidas para prevenir o reducir el impacto de los ataques de phishing incluyen legislación, educación de los usuarios, concienciación pública y medidas de seguridad técnica. [9] La importancia de la concienciación sobre el phishing ha aumentado tanto en el ámbito personal como profesional, y los ataques de phishing entre las empresas aumentaron del 72 % en 2017 al 86 % en 2020. [10]
Tipos
Suplantación de identidad por correo electrónico
Los ataques de phishing, que suelen enviarse a través de correo no deseado , intentan engañar a las personas para que revelen información confidencial o credenciales de inicio de sesión. La mayoría de los ataques son "ataques masivos" que no están dirigidos y, en cambio, se envían de forma masiva a una amplia audiencia. [11] El objetivo del atacante puede variar, y los objetivos comunes incluyen instituciones financieras, proveedores de productividad en la nube y de correo electrónico y servicios de transmisión. [12] La información o el acceso robados pueden usarse para robar dinero, instalar malware o realizar phishing a otros dentro de la organización objetivo. [13] Las cuentas de servicios de transmisión comprometidas también pueden venderse en los mercados de la red oscura . [14]
Este tipo de ataque de ingeniería social puede implicar el envío de correos electrónicos o mensajes fraudulentos que parecen provenir de una fuente confiable, como un banco o una agencia gubernamental. Estos mensajes suelen redirigir a una página de inicio de sesión falsa en la que se solicita a los usuarios que ingresen sus credenciales.
Suplantación de identidad (spear phishing)
El phishing selectivo es un ataque de phishing dirigido que utiliza mensajes personalizados, especialmente correos electrónicos, [15] para engañar a una persona u organización específica y hacerla creer que es legítima. A menudo, utiliza información personal sobre el objetivo para aumentar las posibilidades de éxito. [16] [17] [18] [19] Estos ataques suelen tener como objetivo a ejecutivos o personas de departamentos financieros con acceso a datos y servicios financieros confidenciales. Las empresas de contabilidad y auditoría son particularmente vulnerables al phishing selectivo debido al valor de la información a la que tienen acceso sus empleados. [20]
El grupo de amenazas 4127 (Fancy Bear) (Unidad GRU 26165) dirigido por el gobierno ruso atacó la campaña presidencial de Hillary Clinton de 2016 con ataques de phishing dirigidos contra más de 1.800 cuentas de Google , utilizando el dominio accounts-google.com para amenazar a los usuarios seleccionados. [21] [22]
Un estudio sobre la susceptibilidad al phishing selectivo entre diferentes grupos de edad reveló que el 43% de los jóvenes de entre 18 y 25 años y el 58% de los usuarios mayores hicieron clic en enlaces de phishing simulados en correos electrónicos diarios durante 21 días. Las mujeres mayores presentaron la mayor susceptibilidad, mientras que la susceptibilidad en los usuarios jóvenes disminuyó durante el estudio, pero se mantuvo estable entre los usuarios mayores. [23]
Suplantación de identidad por voz (Vishing)
La voz sobre IP (VoIP) se utiliza en ataques de vishing o phishing de voz, [24] donde los atacantes realizan llamadas telefónicas automáticas a un gran número de personas, a menudo utilizando sintetizadores de texto a voz , alegando actividad fraudulenta en sus cuentas. Los atacantes falsifican el número de teléfono que llama para que parezca que proviene de un banco o institución legítimos. Luego, se le solicita a la víctima que ingrese información confidencial o se conecta con una persona real que usa tácticas de ingeniería social para obtener información. [24] El vishing se aprovecha de la menor conciencia y confianza del público en la telefonía de voz en comparación con el phishing por correo electrónico. [25]
Suplantación de identidad mediante SMS (smishing)
El phishing por SMS [26] o smishing [27] [28] es un tipo de ataque de phishing que utiliza mensajes de texto desde un teléfono celular o un teléfono inteligente para enviar un mensaje cebo. [29] Por lo general, se le pide a la víctima que haga clic en un enlace, llame a un número de teléfono o se comunique con una dirección de correo electrónico proporcionada por el atacante. Luego se le puede solicitar que proporcione información privada , como credenciales de inicio de sesión para otros sitios web. La dificultad para identificar enlaces ilegítimos puede verse agravada en los dispositivos móviles debido a la visualización limitada de URL en los navegadores móviles. [30] El smishing puede ser tan efectivo como el phishing por correo electrónico, ya que muchos teléfonos inteligentes tienen una conectividad rápida a Internet. Los mensajes de smishing también pueden provenir de números de teléfono inusuales. [31]
Secuestro de página
El secuestro de páginas implica redirigir a los usuarios a sitios web maliciosos o kits de explotación mediante la vulneración de páginas web legítimas, a menudo mediante secuencias de comandos entre sitios . Los piratas informáticos pueden insertar kits de explotación como MPack en sitios web vulnerados para explotar a los usuarios legítimos que visitan el servidor. El secuestro de páginas también puede implicar la inserción de marcos en línea maliciosos , lo que permite cargar kits de explotación. Esta táctica se utiliza a menudo junto con ataques de abrevadero contra objetivos corporativos. [32]
Quishing
Una tendencia relativamente nueva en la actividad de estafa en línea es el "quishing". El término se deriva de los códigos "QR" ( Quick Response ) y "phishing", ya que los estafadores aprovechan la conveniencia de los códigos QR para engañar a los usuarios para que proporcionen datos confidenciales, escaneando un código que contiene un enlace a un sitio web malicioso incrustado. A diferencia del phishing tradicional, que se basa en correos electrónicos o sitios web engañosos, el quishing utiliza códigos QR para eludir los filtros de correo electrónico [33] [34] y aumentar la probabilidad de que las víctimas caigan en la estafa, ya que las personas tienden a confiar en los códigos QR y pueden no examinarlos con tanto cuidado como una URL o un enlace de correo electrónico. Los códigos falsos pueden enviarse por correo electrónico, redes sociales o, en algunos casos, se colocan pegatinas impresas sobre códigos QR legítimos en cosas como carteles publicitarios y avisos de estacionamiento. [35] [36] Cuando las víctimas escanean el código QR con su teléfono o dispositivo, son redirigidas a un sitio web falso diseñado para robar información personal, credenciales de inicio de sesión o detalles financieros. [33]
A medida que los códigos QR se utilizan cada vez más para cosas como pagos, registro de eventos e información de productos, el quishing se está convirtiendo en una preocupación importante para la seguridad digital. Se recomienda a los usuarios que tengan cuidado al escanear códigos QR desconocidos y se aseguren de que proceden de fuentes fiables, aunque el Centro Nacional de Seguridad Cibernética del Reino Unido considera que el riesgo es mucho menor que otros tipos de señuelos. [37]
Técnicas
Manipulación de enlaces
Los ataques de phishing suelen implicar la creación de enlaces falsos que parecen proceder de una organización legítima. [38] Estos enlaces pueden utilizar URL mal escritas o subdominios para engañar al usuario. En la siguiente URL de ejemplo, http://www.yourbank.example.com/, puede parecer a simple vista que la URL llevará al usuario a la sección de ejemplo del sitio web yourbank ; esta URL apunta a la sección " yourbank " (es decir, el subdominio de phishing) del sitio web de ejemplo (el nombre de dominio del estafador). Otra táctica es hacer que el texto que se muestra para un enlace parezca confiable, mientras que el enlace real lleva al sitio del estafador. Para comprobar el destino de un enlace, muchos clientes de correo electrónico y navegadores web mostrarán la URL en la barra de estado cuando el ratón pase sobre ella. Sin embargo, algunos estafadores pueden ser capaces de eludir esta medida de seguridad. [39]
Los nombres de dominio internacionalizados (IDN) pueden ser explotados a través de suplantación de IDN [40] o ataques homógrafos [41] para permitir a los atacantes crear sitios web falsos con direcciones visualmente idénticas a las legítimas. Los estafadores han utilizado estos ataques para disfrazar URL maliciosas utilizando redireccionadores de URL abiertos en sitios web confiables. [42] [43] [44] Incluso los certificados digitales, como SSL , pueden no proteger contra estos ataques, ya que los estafadores pueden comprar certificados válidos y alterar el contenido para imitar sitios web genuinos o alojar sitios de phishing sin SSL. [45]
Ingeniería social
El phishing suele utilizar técnicas de ingeniería social para engañar a los usuarios y conseguir que realicen acciones como hacer clic en un enlace, abrir un archivo adjunto o revelar información confidencial. A menudo implica hacerse pasar por una entidad de confianza y crear una sensación de urgencia, [46] como amenazar con cerrar o confiscar la cuenta bancaria o de seguros de la víctima. [47]
Una técnica alternativa al phishing basado en la suplantación de identidad es el uso de artículos de noticias falsos para engañar a las víctimas y hacer que hagan clic en un enlace malicioso. Estos enlaces suelen llevar a sitios web falsos que parecen legítimos [48] , pero en realidad están dirigidos por atacantes que pueden intentar instalar malware o presentar notificaciones de "virus" falsas a la víctima [49] .
Historia
Historia temprana
Las primeras técnicas de phishing se remontan a la década de 1990, cuando los piratas informáticos de sombrero negro y la comunidad warez utilizaron AOL para robar información de tarjetas de crédito y cometer otros delitos en línea. Se dice que el término "phishing" fue acuñado por Khan C. Smith, un conocido spammer y hacker, [50] y su primera mención registrada se encontró en la herramienta de piratería AOHell , que se lanzó en 1994. AOHell permitía a los piratas informáticos hacerse pasar por personal de AOL y enviar mensajes instantáneos a las víctimas pidiéndoles que revelaran sus contraseñas. [51] [52] En respuesta, AOL implementó medidas para prevenir el phishing y finalmente cerró la escena warez en su plataforma. [53] [54]
Década de 2000
En la década de 2000, los ataques de phishing se volvieron más organizados y dirigidos. El primer intento directo conocido contra un sistema de pago, E-gold , ocurrió en junio de 2001, y poco después de los ataques del 11 de septiembre , siguió un ataque de phishing de "verificación de identidad posterior al 11 de septiembre". [55] El primer ataque de phishing conocido contra un banco minorista se informó en septiembre de 2003. [56] Entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de computadoras en los Estados Unidos sufrieron pérdidas causadas por phishing, por un total de aproximadamente US$929 millones . [57] El phishing fue reconocido como una parte completamente organizada del mercado negro, y surgieron especializaciones a escala global que proporcionaban software de phishing para pagos, que eran ensamblados e implementados en campañas de phishing por bandas organizadas. [58] [59] El sector bancario del Reino Unido sufrió ataques de phishing, y las pérdidas por fraude bancario en línea casi se duplicaron en 2005 en comparación con 2004. [60] [61] En 2006, casi la mitad de los robos de phishing fueron cometidos por grupos que operaban a través de la Red Empresarial Rusa con sede en San Petersburgo. [62] También se utilizaron estafas por correo electrónico haciéndose pasar por el Servicio de Impuestos Internos para robar datos confidenciales de los contribuyentes estadounidenses. [63] Los sitios de redes sociales son un objetivo principal del phishing, ya que los datos personales en dichos sitios pueden usarse para el robo de identidad ; [64] En 2007, 3,6 millones de adultos perdieron 3.200 millones de dólares estadounidenses debido a ataques de phishing. [65] El Grupo de Trabajo Anti-Phishing informó haber recibido 115.370 informes de correo electrónico de phishing de consumidores, y Estados Unidos y China albergaron más del 25% de las páginas de phishing cada uno en el tercer trimestre de 2009. [66]
Década de 2010
En la década de 2010, el número de ataques de phishing aumentó significativamente. En 2011, las claves maestras de los tokens de seguridad RSA SecurID fueron robadas mediante un ataque de phishing. [67] [68] Las campañas de phishing chinas también apuntaron a funcionarios de alto rango de los gobiernos y militares de Estados Unidos y Corea del Sur, así como a activistas políticos chinos. [69] [70] Según Ghosh, los ataques de phishing aumentaron de 187.203 en 2010 a 445.004 en 2012. En agosto de 2013, Outbrain sufrió un ataque de phishing selectivo [71] y en noviembre de 2013, se robaron 110 millones de registros de clientes y tarjetas de crédito de clientes de Target a través de una cuenta de subcontratista robada. [72] Posteriormente, el director ejecutivo y el personal de seguridad de TI fueron despedidos. [73] En agosto de 2014, las filtraciones de fotos de celebridades en iCloud se basaron en correos electrónicos de phishing enviados a las víctimas que parecían provenir de Apple o Google. [74] En noviembre de 2014, los ataques de phishing a la ICANN obtuvieron acceso administrativo al Sistema de Datos de la Zona Centralizada; también obtuvieron datos sobre los usuarios en el sistema y acceso a la wiki, blog y portal de información whois del Comité Asesor Gubernamental público de la ICANN. [75] Fancy Bear estuvo vinculado a ataques de phishing dirigido contra el sistema de correo electrónico del Pentágono en agosto de 2015, [76] [77] y el grupo utilizó un exploit de día cero de Java en un ataque de phishing dirigido a la Casa Blanca y la OTAN. [78] [79] Fancy Bear llevó a cabo ataques de phishing selectivo en direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer trimestre de 2016. [80] [81] En agosto de 2016, miembros del Bundestag y partidos políticos como el líder de la facción Linken , Sahra Wagenknecht , Junge Union y la CDU de Saarland fueron el objetivo de ataques de phishing selectivos que se sospecha fueron llevados a cabo por Fancy Bear. En agosto de 2016, la Agencia Mundial Antidopaje informó sobre la recepción de correos electrónicos de phishing enviados a usuarios de su base de datos que afirmaban ser oficiales de la AMA, pero que eran consistentes con el grupo de piratería ruso Fancy Bear. [82] [83] [84] En 2017, el 76% de las organizaciones experimentaron ataques de phishing, y casi la mitad de los profesionales de seguridad de la información encuestados informaron un aumento con respecto a 2016. En la primera mitad de 2017, las empresas y los residentes de Qatar se vieron afectados por más de 93.570 eventos de phishing en un lapso de tres meses. [85] En agosto de 2017, los clientes de AmazonAmazon se enfrentó al ataque de phishing del Amazon Prime Day, cuando los piratas informáticos enviaron ofertas aparentemente legítimas a los clientes de Amazon. Cuando los clientes de Amazon intentaron realizar compras utilizando las "ofertas", la transacción no se completó, lo que llevó a los clientes del minorista a ingresar datos que podrían verse comprometidos y ser robados. [86] En 2018, la empresa block.one, que desarrolló la cadena de bloques EOS.IO, fue atacada por un grupo de phishing que envió correos electrónicos de phishing a todos los clientes con el objetivo de interceptar la clave de la billetera de criptomonedas del usuario, y un ataque posterior tuvo como objetivo los tokens de airdrop. [87]
Década de 2020
Los ataques de phishing han evolucionado en la década de 2020 para incluir elementos de ingeniería social, como lo demostró la violación de Twitter del 15 de julio de 2020. En este caso, un hacker de 17 años y sus cómplices crearon un sitio web falso que se parecía al proveedor interno de VPN de Twitter utilizado por los empleados que trabajaban a distancia. Haciéndose pasar por personal del servicio de asistencia técnica, llamaron a varios empleados de Twitter y les indicaron que enviaran sus credenciales al sitio web de VPN falso. [88] Utilizando los datos proporcionados por los empleados desprevenidos, pudieron tomar el control de varias cuentas de usuario de alto perfil, incluidas las de Barack Obama , Elon Musk , Joe Biden y la cuenta de la empresa Apple Inc. Luego, los piratas informáticos enviaron mensajes a los seguidores de Twitter solicitando Bitcoin , prometiendo duplicar el valor de la transacción a cambio. Los piratas informáticos recolectaron 12,86 BTC (alrededor de $ 117.000 en ese momento). [89]
Antiphishing
Existen sitios web antiphishing que publican mensajes exactos que han estado circulando recientemente por Internet, como FraudWatch International y Millersmiles. Estos sitios suelen brindar detalles específicos sobre los mensajes en particular. [90] [91]
En 2007, las empresas que necesitaban proteger información personal y financiera no habían adoptado estrategias antiphishing. [92] Existen varias técnicas diferentes para combatir el phishing, incluidas leyes y tecnologías creadas específicamente para protegerse contra él. Estas técnicas incluyen medidas que pueden adoptar tanto las personas como las organizaciones. Ahora es posible denunciar a las autoridades el phishing por teléfono, sitio web y correo electrónico, como se describe a continuación.
Capacitación de usuarios
Una educación eficaz contra el phishing, que incluya conocimientos conceptuales [93] y retroalimentación [94] [95], es una parte importante de la estrategia antiphishing de cualquier organización. Si bien hay datos limitados sobre la eficacia de la educación para reducir la susceptibilidad al phishing [96] , hay mucha información sobre la amenaza disponible en línea [47] .
Las campañas de phishing simuladas , en las que las organizaciones ponen a prueba la formación de sus empleados mediante el envío de correos electrónicos de phishing falsos, se utilizan habitualmente para evaluar su eficacia. Un ejemplo es un estudio de la Biblioteca Nacional de Medicina, en el que una organización recibió 858.200 correos electrónicos durante un periodo de prueba de un mes, de los cuales 139.400 (16%) eran de marketing y 18.871 (2%) se identificaron como amenazas potenciales. Estas campañas se utilizan a menudo en el sector sanitario, ya que los datos sanitarios son un objetivo valioso para los piratas informáticos. Estas campañas son sólo una de las formas en que las organizaciones están trabajando para combatir el phishing. [97]
Casi todos los mensajes de correo electrónico legítimos que envían las empresas a sus clientes contienen algún dato que no está fácilmente disponible para los estafadores. Algunas empresas, como PayPal , siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, por lo que si un correo electrónico se dirige al destinatario de forma genérica ("Estimado cliente de PayPal") es probable que se trate de un intento de phishing. [98] Además, PayPal ofrece varios métodos para determinar los correos electrónicos falsos y recomienda a los usuarios que reenvíen los correos electrónicos sospechosos a su dominio [email protected] para investigar y advertir a otros clientes. Sin embargo, no es seguro asumir que la presencia de información personal por sí sola garantiza que un mensaje sea legítimo, [99] y algunos estudios han demostrado que la presencia de información personal no afecta significativamente la tasa de éxito de los ataques de phishing; [100] lo que sugiere que la mayoría de las personas no prestan atención a esos detalles.
Los correos electrónicos de los bancos y las compañías de tarjetas de crédito a menudo incluyen números de cuenta parciales, pero las investigaciones han demostrado que las personas tienden a no diferenciar entre el primer y el último dígito. [101]
Un estudio sobre ataques de phishing en entornos de juegos descubrió que los juegos educativos pueden educar eficazmente a los jugadores contra la divulgación de información y pueden aumentar la conciencia sobre el riesgo de phishing, mitigando así los riesgos. [102]
El Grupo de Trabajo Anti-Phishing , una de las organizaciones anti-phishing más grandes del mundo, produce informes periódicos sobre las tendencias en los ataques de phishing. [103]
Enfoques técnicos
Existe una amplia gama de enfoques técnicos disponibles para evitar que los ataques de phishing lleguen a los usuarios o para impedir que estos obtengan información confidencial.
Filtrado de correo de phishing
Los filtros de spam especializados pueden reducir la cantidad de correos electrónicos de phishing que llegan a las bandejas de entrada de sus destinatarios. Estos filtros utilizan una serie de técnicas, entre ellas el aprendizaje automático [104] y enfoques de procesamiento del lenguaje natural para clasificar los correos electrónicos de phishing [105] [106] y rechazar los correos electrónicos con direcciones falsificadas [107] .
Navegadores que alertan a los usuarios sobre sitios web fraudulentos
Otro método popular para combatir el phishing es mantener una lista de sitios de phishing conocidos y comprobar los sitios web en comparación con la lista. Uno de estos servicios es el servicio de Navegación Segura . [108] Los navegadores web como Google Chrome , Internet Explorer 7, Mozilla Firefox 2.0, Safari 3.2 y Opera contienen este tipo de medida anti-phishing. [109] [110] [111] [112] [113] Firefox 2 usaba el software anti-phishing de Google . Opera 9.1 usa listas negras en vivo de Phishtank , cyscon y GeoTrust , así como listas blancas en vivo de GeoTrust. Algunas implementaciones de este método envían las URL visitadas a un servicio central para que se verifiquen, lo que ha generado inquietudes sobre la privacidad . [114] Según un informe de Mozilla a fines de 2006, Firefox 2 resultó ser más efectivo que Internet Explorer 7 para detectar sitios fraudulentos en un estudio realizado por una empresa de prueba de software independiente. [115]
Un enfoque introducido a mediados de 2006 implica cambiar a un servicio DNS especial que filtra los dominios de phishing conocidos. [116]
Para mitigar el problema de los sitios de phishing que se hacen pasar por un sitio víctima mediante la incorporación de imágenes (como logotipos ), varios propietarios de sitios han alterado las imágenes para enviar un mensaje al visitante de que un sitio puede ser fraudulento. La imagen puede ser movida a un nuevo nombre de archivo y el original reemplazado permanentemente, o un servidor puede detectar que la imagen no fue solicitada como parte de la navegación normal y, en su lugar, enviar una imagen de advertencia. [117] [118]
Aumento de los inicios de sesión con contraseña
El sitio web del Bank of America [119] [120] fue uno de los varios que pedían a los usuarios que seleccionaran una imagen personal (comercializada como SiteKey ) y mostraba esta imagen seleccionada por el usuario con cualquier formulario que solicitara una contraseña. A los usuarios de los servicios en línea del banco se les indicaba que ingresaran una contraseña solo cuando vieran la imagen que seleccionaron. Desde entonces, el banco ha descontinuado el uso de SiteKey. Varios estudios sugieren que pocos usuarios se abstienen de ingresar sus contraseñas cuando no hay imágenes. [121] [122] Además, esta característica (como otras formas de autenticación de dos factores ) es susceptible a otros ataques, como los que sufrió el banco escandinavo Nordea a fines de 2005, [123] y Citibank en 2006. [124]
En otras instituciones financieras se utiliza un sistema similar, en el que se muestra a cada usuario del sitio web una "pista de identidad" generada automáticamente, consistente en una palabra coloreada dentro de un cuadro coloreado. [125]
Las máscaras de seguridad [126] [127] son una técnica relacionada que implica superponer una imagen seleccionada por el usuario en el formulario de inicio de sesión como una señal visual de que el formulario es legítimo. Sin embargo, a diferencia de los esquemas de imágenes basados en sitios web, la imagen en sí se comparte solo entre el usuario y el navegador, y no entre el usuario y el sitio web. El esquema también se basa en un protocolo de autenticación mutua , lo que lo hace menos vulnerable a los ataques que afectan a los esquemas de autenticación solo para usuarios.
Otra técnica se basa en una cuadrícula dinámica de imágenes que es diferente para cada intento de inicio de sesión. El usuario debe identificar las imágenes que se ajustan a las categorías preseleccionadas (como perros, automóviles y flores). Solo después de haber identificado correctamente las imágenes que se ajustan a sus categorías se le permite ingresar su contraseña alfanumérica para completar el inicio de sesión. A diferencia de las imágenes estáticas utilizadas en el sitio web del Bank of America, un método de autenticación dinámico basado en imágenes crea un código de acceso de un solo uso para el inicio de sesión, requiere la participación activa del usuario y es muy difícil que un sitio web de phishing lo replique correctamente porque necesitaría mostrar una cuadrícula diferente de imágenes generadas aleatoriamente que incluya las categorías secretas del usuario. [128]
Monitoreo y desmantelamiento
Varias empresas ofrecen a los bancos y otras organizaciones propensas a sufrir estafas de phishing servicios las 24 horas del día para monitorear, analizar y ayudar a cerrar sitios web de phishing. [129] La detección automática de contenido de phishing aún está por debajo de los niveles aceptados para la acción directa, y el análisis basado en contenido alcanza entre el 80% y el 90% de éxito [130], por lo que la mayoría de las herramientas incluyen pasos manuales para certificar la detección y autorizar la respuesta. [131] Las personas pueden contribuir informando sobre phishing tanto a grupos de voluntarios como de la industria, [132] como cyscon o PhishTank . [133] Las páginas web y los correos electrónicos de phishing se pueden informar a Google. [134] [135]
Autenticación multifactor
Las organizaciones pueden implementar autenticación de dos factores o multifactor (MFA), que requiere que un usuario use al menos dos factores al iniciar sesión. (Por ejemplo, un usuario debe presentar una tarjeta inteligente y una contraseña ). Esto mitiga algunos riesgos, en caso de que un ataque de phishing tenga éxito, la contraseña robada por sí sola no se puede reutilizar para violar aún más el sistema protegido. Sin embargo, existen varios métodos de ataque que pueden derrotar a muchos de los sistemas típicos. [136] Los esquemas MFA como WebAuthn abordan este problema por diseño.
Respuestas legales
El 26 de enero de 2004, la Comisión Federal de Comercio de Estados Unidos presentó la primera demanda contra un adolescente californiano sospechoso de phishing al crear una página web que imitaba a America Online y robar información de tarjetas de crédito. [137] Otros países han seguido este ejemplo al rastrear y arrestar a los phishers. Un capo del phishing, Valdir Paulo de Almeida, fue arrestado en Brasil por liderar una de las redes de delitos de phishing más grandes , que en dos años robó entre US$18 millones y US$37 millones . [138] Las autoridades del Reino Unido encarcelaron a dos hombres en junio de 2005 por su papel en una estafa de phishing, [139] en un caso relacionado con la Operación Firewall del Servicio Secreto de Estados Unidos , que tenía como objetivo sitios web notorios de "carder". [140] En 2006, la policía japonesa arrestó a ocho personas por crear sitios web falsos de Yahoo Japón, lo que les valió ¥100 millones ( US$870.000 ) [141] y el FBI detuvo a una banda de dieciséis personas en los EE. UU. y Europa en la Operación Cardkeeper. [142]
El senador Patrick Leahy presentó la Ley Anti-Phishing de 2005 al Congreso de los Estados Unidos el 1 de marzo de 2005. Este proyecto de ley tenía como objetivo imponer multas de hasta 250.000 dólares y penas de prisión de hasta cinco años a los delincuentes que utilizaran sitios web y correos electrónicos falsos para defraudar a los consumidores. [143] En el Reino Unido, la Ley de Fraude de 2006 [144] introdujo un delito general de fraude punible con hasta diez años de prisión y prohibió el desarrollo o posesión de kits de phishing con la intención de cometer fraude. [145]
Las empresas también se han sumado a la iniciativa de acabar con el phishing. El 31 de marzo de 2005, Microsoft presentó 117 demandas federales en el Tribunal de Distrito de los Estados Unidos para el Distrito Oeste de Washington . Las demandas acusan a los acusados de " John Doe " de obtener contraseñas e información confidencial. En marzo de 2005 también se produjo una asociación entre Microsoft y el gobierno australiano para enseñar a los funcionarios encargados de hacer cumplir la ley cómo combatir varios delitos cibernéticos, incluido el phishing. [146] Microsoft anunció que planeaba presentar 100 demandas más fuera de los Estados Unidos en marzo de 2006, [147] seguidas por el inicio, a partir de noviembre de 2006, de 129 demandas que combinan acciones penales y civiles. [148] AOL reforzó sus esfuerzos contra el phishing [149] a principios de 2006 con tres demandas [150] que buscaban un total de 18 millones de dólares estadounidenses en virtud de las enmiendas de 2005 a la Ley de Delitos Informáticos de Virginia, [151] [152] y Earthlink se ha sumado ayudando a identificar a seis hombres posteriormente acusados de fraude de phishing en Connecticut . [153]
En enero de 2007, Jeffrey Brett Goodin de California se convirtió en el primer acusado condenado por un jurado en virtud de las disposiciones de la Ley CAN-SPAM de 2003. Fue declarado culpable de enviar miles de correos electrónicos a usuarios de AOL , haciéndose pasar por el departamento de facturación de la empresa, lo que incitó a los clientes a enviar información personal y de tarjetas de crédito. Enfrentándose a una posible condena de 101 años de prisión por la violación de la ley CAN-SPAM y otros diez cargos, entre ellos fraude electrónico , uso no autorizado de tarjetas de crédito y uso indebido de la marca registrada de AOL, fue condenado a cumplir 70 meses. Goodin había estado detenido desde que no se presentó a una audiencia judicial anterior y comenzó a cumplir su pena de prisión de inmediato. [154] [155] [156] [157]
Software antiphishing : programas informáticos que intentan identificar contenido de phishing incluido en sitios web y correos electrónicos.Páginas que muestran descripciones de wikidata como alternativa
Robo de marca : suplantación de la identidad en línea de otra entidad
Typosquatting : forma de ciberocupación que se basa en errores al ingresar la dirección de un sitio web.
Referencias
^ Jansson, K.; von Solms, R. (9 de noviembre de 2011). "Phishing para concienciar sobre el phishing". Tecnología de la información y comportamiento . 32 (6): 584–593. doi :10.1080/0144929X.2011.632650. ISSN 0144-929X. S2CID 5472217.
^ Ramzan, Zulfikar (2010). "Ataques de phishing y contramedidas". En Stamp, Mark; Stavroulakis, Peter (eds.). Manual de seguridad de la información y las comunicaciones . Springer. ISBN978-3-642-04117-4.
^ "Informe sobre delitos en Internet 2020" (PDF) . Centro de denuncias de delitos en Internet del FBI . Oficina Federal de Investigaciones de EE. UU . . Consultado el 21 de marzo de 2021 .
^ Ollmann, Gunter. "La guía de phishing: comprensión y prevención de ataques de phishing". Información técnica . Archivado desde el original el 29 de junio de 2012. Consultado el 10 de julio de 2006 .
^ ab Wright, A; Aaron, S; Bates, DW (octubre de 2016). "El gran phishing: ciberataques contra los sistemas sanitarios de Estados Unidos". Revista de Medicina Interna General . 31 (10): 1115–8. doi : 10.1007/s11606-016-3741-z . ISSN 0884-8734. PMC 5023604 . PMID 27177913.
^ Stonebraker, Steve (enero de 2022). "AOL Underground". aolunderground.com (podcast). Anchor.fm.
^ Mitchell, Anthony (12 de julio de 2005). "A Leet Primer". TechNewsWorld. Archivado desde el original el 17 de abril de 2019. Consultado el 21 de marzo de 2021 .
^ "Phishing". Registro de idioma, 22 de septiembre de 2004. Archivado desde el original el 30 de agosto de 2006. Consultado el 21 de marzo de 2021 .
^ Jøsang, Audun; et al. (2007). "Principios de usabilidad de seguridad para análisis de vulnerabilidades y evaluación de riesgos". Actas de la Conferencia anual sobre aplicaciones de seguridad informática de 2007 (ACSAC'07) . Archivado desde el original el 2021-03-21 . Consultado el 2020-11-11 .
^ Lin, Tian; Capecci, Daniel E.; Ellis, Donovan M.; Rocha, Harold A.; Dommaraju, Sandeep; Oliveira, Daniela S.; Ebner, Natalie C. (septiembre de 2019). "Susceptibilidad a los correos electrónicos de phishing selectivo: efectos de la demografía de los usuarios de Internet y el contenido de los correos electrónicos". ACM Transactions on Computer-Human Interaction . 26 (5): 32. doi :10.1145/3336141. ISSN 1073-0516. PMC 7274040 . PMID 32508486.
^ "Informe de investigaciones sobre violaciones de datos de 2019" (PDF) . PhishingBox . Verizon Communications . Consultado el 21 de marzo de 2021 .
^ Furnell, Steven; Millet, Kieran; Papadaki, Maria (julio de 2019). "Quince años de phishing: ¿puede la tecnología salvarnos?". Computer Fraud & Security . 2019 (7): 11–16. doi :10.1016/S1361-3723(19)30074-0. S2CID 199578115 . Consultado el 21 de marzo de 2021 .
^ Suplantación de identidad y phishing Oficina Federal de Investigaciones
^ Waddell, Kaveh (11 de febrero de 2016). "El mercado negro de cuentas de Netflix". The Atlantic . Consultado el 21 de marzo de 2021 .
^ "Spear phishing". Centro de profesionales informáticos de Windows . Consultado el 4 de marzo de 2019 , a través de docs.microsoft.com.
^ Stephenson, Debbie (30 de mayo de 2013). "Spear phishing: ¿Quién está siendo atrapado?". Firmex.com . Archivado desde el original el 11 de agosto de 2014. Consultado el 27 de julio de 2014 .
^ "El hackeo de la NSA/GCHQ se vuelve personal: un criptógrafo belga en la mira". Revista Info Security . 3 de febrero de 2018. Consultado el 10 de septiembre de 2018 .
^ Leyden, John (4 de abril de 2011). «RSA explica cómo los atacantes vulneraron sus sistemas». The Register . Reino Unido . Consultado el 10 de septiembre de 2018 .
^ Winterford, Brett (7 de abril de 2011). "La brecha de Epsilon utilizó un ataque de hace cuatro meses" . Consultado el 10 de septiembre de 2018 en itnews.com.au.
^ O'Leary, Daniel E. (2019). "Lo que revelan los correos electrónicos de phishing: un análisis exploratorio de los intentos de phishing mediante análisis de texto". Revista electrónica SSRN . doi :10.2139/ssrn.3427436. ISSN 1556-5068. S2CID 239250225. SSRN 3427436. Archivado desde el original el 21 de marzo de 2021 . Consultado el 2 de noviembre de 2020 .
^ "Threat Group-4127 ataca cuentas de Google". secureworks.com . 26 de junio de 2016. Archivado desde el original el 2019-08-11 . Consultado el 2017-10-12 .
^ Nakashima, Ellen; Harris, Shane (13 de julio de 2018). «Cómo los rusos hackearon el DNC y pasaron sus correos electrónicos a WikiLeaks». The Washington Post . Archivado desde el original el 21 de marzo de 2021. Consultado el 22 de febrero de 2019 .
^ Alkhalil, Z. (2021). "Ataques de phishing: un estudio exhaustivo reciente y una nueva anatomía". Frontiers in Computer Science . 3 . doi : 10.3389/fcomp.2021.563060 .
^ ab Griffin, Slade E.; Rackley, Casey C. (2008). "Vishing". Actas de la quinta conferencia anual sobre desarrollo de currículos de seguridad de la información . págs. 33–35. doi :10.1145/1456625.1456635. ISBN9781605583334.
^ Wang, Xinyuan; Zhang, Ruishan; Yang, Xiaohui; Jiang, Xuxian; Wijesekera, Duminda (2008). "Ataque de pharming de voz y la confianza en VoIP". Actas de la 4.ª conferencia internacional sobre seguridad y privacidad en las redes de comunicación . págs. 1–11. doi :10.1145/1460877.1460908. ISBN.9781605582412.S2CID 7874236 .
^ "Phishing, smishing y vishing: ¿cuál es la diferencia?" (PDF) . belvoircreditunion.org . 1 de agosto de 2008. Archivado desde el original (PDF) el 1 de abril de 2015.
^ Vishing y smishing: el auge del fraude mediante ingeniería social Archivado el 21 de marzo de 2021 en Wayback Machine , BBC, Marie Keyworth, 1 de enero de 2016
^ Steinmetz, Kevin F.; Holt, Thomas J. (5 de agosto de 2022). "Caer en la ingeniería social: un análisis cualitativo de las recomendaciones de políticas de ingeniería social". Revista de informática de ciencias sociales . 41 (2): 592–607. doi :10.1177/08944393221117501. ISSN 0894-4393. S2CID 251420893.
^ "Artículo sobre phishing por SMS en ConsumerAffairs.com". 8 de noviembre de 2006. Archivado desde el original el 21 de marzo de 2021. Consultado el 29 de julio de 2020 .
^ Mishra, Sandhya; Soni, Devpriya (agosto de 2019). "Phishing por SMS y enfoques de mitigación". Duodécima Conferencia Internacional sobre Informática Contemporánea (IC3) de 2019. IEEE. págs. 1–5. doi :10.1109/ic3.2019.8844920. ISBN .978-1-7281-3591-5.S2CID202700726 .
^ "¿Qué es el smishing?". Symantec Corporation . Consultado el 18 de octubre de 2018 .
^ "¿Qué es un ataque de tipo Watering Hole?". Fortinet . Consultado el 18 de julio de 2024 .
^ ab Stacey, Stephanie (27 de octubre de 2024). "Los bancos y los reguladores advierten del aumento de las estafas de phishing con códigos QR". Financial Times . The Financial Times Ltd . Consultado el 5 de noviembre de 2024 . Los bancos y los reguladores advierten de que las estafas de phishing con códigos QR, también conocidas como "quishing", están eludiendo las ciberdefensas corporativas y engañando cada vez más a los clientes para que revelen sus datos financieros.
^ Lipson, Faye (19 de febrero de 2024). "5 estafas que debes conocer en 2024". ¿Cuál? . Consultado el 5 de noviembre de 2024. Los delincuentes se han dado cuenta de que tendemos a asumir que dichos códigos son genuinos y los escaneamos sin pensarlo dos veces.
^ Morris, Joanna (18 de noviembre de 2023). "Thornaby: una mujer fue blanco de una estafa con código QR en una estación de tren por valor de 13.000 libras". BBC News . Consultado el 5 de noviembre de 2024. Se cree que los estafadores ocultaron un código auténtico con uno propio en el aparcamiento de la estación de Thornaby.
^ Lipson, Faye (19 de febrero de 2024). "5 estafas que debes conocer en 2024". ¿Cuál? . Consultado el 5 de noviembre de 2024. Por ejemplo, en los últimos años, los códigos QR falsos pegados en los parquímetros por estafadores han dirigido a los conductores a aplicaciones de pago falsificadas, donde terminan inscribiéndose sin saberlo en costosas suscripciones mensuales.
^ C, David (11 de marzo de 2024). "Códigos QR: ¿cuál es el riesgo real?". Centro Nacional de Seguridad Cibernética . Consultado el 5 de noviembre de 2024. ...pero este tipo de estafa es relativamente pequeña en comparación con otros tipos de fraude cibernético.
^ "¡Sea inteligente con el phishing! ¡Aprenda a leer enlaces!". Archivado desde el original el 17 de diciembre de 2016 . Consultado el 11 de diciembre de 2016 .
^ Cimpanu, Catalin (15 de junio de 2016). "La redirección oculta de JavaScript hace que las páginas de phishing sean más difíciles de detectar". Centro de noticias de Softpedia . Softpedia. Archivado desde el original el 21 de marzo de 2021 . Consultado el 21 de mayo de 2017 . Pasar el cursor sobre los enlaces para ver su ubicación real puede ser un consejo de seguridad inútil en el futuro cercano si los estafadores se vuelven inteligentes con su modo de operación y siguen el ejemplo de un delincuente que recientemente logró eludir esta función de seguridad incorporada del navegador.
^ Johanson, Eric. "El estado de los ataques homógrafos Rev1.1". The Shmoo Group . Archivado desde el original el 23 de agosto de 2005. Consultado el 11 de agosto de 2005 .
^ Evgeniy Gabrilovich y Alex Gontmakher (febrero de 2002). "El ataque homógrafo" (PDF) . Comunicaciones de la ACM . 45 (2): 128. doi :10.1145/503124.503156. S2CID 73840. Archivado desde el original (PDF) el 2019-11-04 . Consultado el 2019-09-15 .
^ Leyden, John (15 de agosto de 2006). «Barclays scripting SNAFU exploited by phishers» (Un error de programación de Barclays explotado por phishers). The Register . Archivado desde el original el 13 de junio de 2019. Consultado el 10 de agosto de 2017 .
^ Levine, Jason. "Phishing con eBay". Q Daily News . Archivado desde el original el 26 de marzo de 2019. Consultado el 14 de diciembre de 2006 .
^ Leyden, John (12 de diciembre de 2007). «Los cibercriminales acechan en las sombras de los sitios web de renombre». The Register . Archivado desde el original el 23 de junio de 2019. Consultado el 10 de agosto de 2017 .
^ "Black Hat DC 2009". 15 de mayo de 2011. Archivado desde el original el 3 de enero de 2015. Consultado el 26 de julio de 2014 .
^ Cui, Xinyue; Ge, Yan; Qu, Weina; Zhang, Kan (2020). "Efectos de la información del destinatario y las señales de urgencia en la detección de phishing". HCI International 2020 - Pósteres . Comunicaciones en informática y ciencias de la información. Vol. 1226. págs. 520–525. doi :10.1007/978-3-030-50732-9_67. ISBN978-3-030-50731-2. Número de identificación del sujeto 220523895.
^ ab Williams, Emma J; Joinson, Adam N (1 de enero de 2020). "Desarrollo de una medida de búsqueda de información sobre phishing". Revista de ciberseguridad . 6 (1). doi : 10.1093/cybsec/tyaa001 . hdl : 1983/7ba801b9-f6b8-4fc1-8393-de5238e76b2f . ISSN 2057-2085.
^ Lin, Tian; Capecci, Daniel E.; Ellis, Donovan M.; Rocha, Harold A.; Dommaraju, Sandeep; Oliveira, Daniela S.; Ebner, Natalie C. (septiembre de 2019). "Susceptibilidad a los correos electrónicos de phishing selectivo: efectos de la demografía de los usuarios de Internet y el contenido de los correos electrónicos". ACM Transactions on Computer-Human Interaction . 26 (5). doi :10.1145/3336141. ISSN 1073-0516. PMC 7274040 . PMID 32508486.
^ Tomlinson, Kerry (27 de enero de 2017). "Las noticias falsas pueden envenenar tanto su computadora como su mente". archersecuritygroup.com. Archivado desde el original el 2 de febrero de 2017. Consultado el 28 de enero de 2017 .
^ "EarthLink gana una demanda de 25 millones de dólares contra un remitente de correo basura". Archivado desde el original el 22 de marzo de 2019. Consultado el 11 de abril de 2014 .
^ Langberg, Mike (8 de septiembre de 1995). "AOL actúa para frustrar a los piratas informáticos". San Jose Mercury News . Archivado desde el original el 29 de abril de 2016. Consultado el 14 de marzo de 2012 .
^ "Phishing". Word Spy . Archivado desde el original el 15 de octubre de 2014. Consultado el 28 de septiembre de 2006 .
^ "Historia de AOL Warez". Archivado desde el original el 6 de abril de 2011. Consultado el 28 de septiembre de 2006 .
^ "GP4.3 – Crecimiento y fraude — Caso n.° 3 – Suplantación de identidad". Criptografía financiera . 30 de diciembre de 2005. Archivado desde el original el 22 de enero de 2019. Consultado el 23 de febrero de 2007 .
^ Sangani, Kris (septiembre de 2003). "La batalla contra el robo de identidad". The Banker . 70 (9): 53–54.
^ Kerstein, Paul (19 de julio de 2005). "¿Cómo podemos detener las estafas de phishing y pharming?". CSO. Archivado desde el original el 24 de marzo de 2008.
^ "En 2005, el crimen organizado respaldará a los estafadores". Gestión de TI . 23 de diciembre de 2004. Archivado desde el original el 31 de diciembre de 2010.
^ Abad, Christopher (septiembre de 2005). «La economía del phishing: un estudio de las operaciones del mercado del phishing». Primer lunes . Archivado desde el original el 21 de noviembre de 2011. Consultado el 8 de octubre de 2010 .
^ "Las pérdidas por fraude de phishing en el Reino Unido se duplican". Finextra. 7 de marzo de 2006. Archivado desde el original el 19 de enero de 2009. Consultado el 20 de mayo de 2006 .
^ Richardson, Tim (3 de mayo de 2005). «Los británicos son víctimas del phishing». The Register . Archivado desde el original el 10 de junio de 2019. Consultado el 10 de agosto de 2017 .
^ Krebs, Brian (13 de octubre de 2007). "Shadowy Russian Firm Seen as Conduit for Cybercrime" (Una empresa rusa sospechosa vista como conducto para el cibercrimen). The Washington Post . Archivado desde el original el 11 de junio de 2019. Consultado el 8 de septiembre de 2017 .
^ "Correos electrónicos sospechosos y robo de identidad". Servicio de Impuestos Internos . Archivado desde el original el 21 de febrero de 2011. Consultado el 5 de julio de 2006 .
^ Kirk, Jeremy (2 de junio de 2006). "Estafa de phishing dirigida a MySpace.com". IDG Network. Archivado desde el original el 16 de junio de 2006.
^ McCall, Tom (17 de diciembre de 2007). "Una encuesta de Gartner muestra que los ataques de phishing aumentaron en 2007; más de 3 mil millones de dólares perdidos por estos ataques". Gartner. Archivado desde el original el 18 de noviembre de 2012. Consultado el 20 de diciembre de 2007 .
^ APWG. «Informe sobre tendencias de actividad de phishing» (PDF) . Archivado desde el original (PDF) el 3 de octubre de 2012. Consultado el 4 de noviembre de 2013 .
^ "Anatomía de un ataque RSA". RSA.com . RSA FraudAction Research Labs. Archivado desde el original el 6 de octubre de 2014 . Consultado el 15 de septiembre de 2014 .
^ Drew, Christopher; Markoff, John (27 de mayo de 2011). «Fallos de datos en una empresa de seguridad vinculados a un ataque a Lockheed». The New York Times . Archivado desde el original el 9 de julio de 2019. Consultado el 15 de septiembre de 2014 .
^ Keizer, Greg (13 de agosto de 2011). «Los usuarios de Gmail siguen siendo víctimas de ataques de phishing chinos sospechosos». Computerworld . Archivado desde el original el 21 de marzo de 2021. Consultado el 4 de diciembre de 2011 .
^ Ewing, Philip (22 de agosto de 2011). «Informe: documental de televisión chino revela travesuras cibernéticas». Dod Buzz . Archivado desde el original el 26 de enero de 2017. Consultado el 4 de diciembre de 2011 .
^ "Los piratas informáticos sirios utilizan Outbrain para atacar a The Washington Post, Time y CNN" Archivado el 19 de octubre de 2013 en Wayback Machine , Philip Bump, The Atlantic Wire , 15 de agosto de 2013. Consultado el 15 de agosto de 2013.
^ O'Connell, Liz. "Informe: estafa de phishing por correo electrónico condujo a una violación de seguridad de Target". Bring Me the News . Archivado desde el original el 15 de septiembre de 2014. Consultado el 15 de septiembre de 2014 .
^ Ausick, Paul. «Despido del director ejecutivo de Target». Archivado desde el original el 15 de septiembre de 2014. Consultado el 15 de septiembre de 2014 .
^ Los fiscales concluyen que la filtración de desnudos de celebridades en 'Fappening' no fue culpa de Apple Archivado el 18 de agosto de 2017 en Wayback Machine. 15 de marzo de 2016, Techcrunch
^ "ICANN en la mira de un ataque de phishing | Se implementaron medidas de seguridad mejoradas". icann.org . Archivado desde el original el 2019-08-07 . Consultado el 18 de diciembre de 2014 .
^ Kube, Courtney (7 de agosto de 2015). «Rusia hackea computadoras del Pentágono: NBC, citando fuentes». Archivado desde el original el 8 de agosto de 2019. Consultado el 7 de agosto de 2015 .
^ Starr, Barbara (7 de agosto de 2015). «Oficial: Rusia es sospechosa de intrusión en servidor de correo electrónico del Estado Mayor Conjunto». Archivado desde el original el 8 de agosto de 2019. Consultado el 7 de agosto de 2015 .
^ Doctorow, Cory (28 de agosto de 2015). "Spear phishers con presuntos vínculos con el gobierno ruso falsifican un dominio de la EFF y atacan la Casa Blanca". Boing Boing . Archivado desde el original el 22 de marzo de 2019 . Consultado el 29 de noviembre de 2016 .
^ Quintin, Cooper (27 de agosto de 2015). «Nueva campaña de phishing se hace pasar por EFF». EFF. Archivado desde el original el 7 de agosto de 2019. Consultado el 29 de noviembre de 2016 .
^ Sanger, David E.; Corasaniti, Nick (14 de junio de 2016). «DNC Says Russian Hackers Penetrated Its Files, Including Dossier on Donald Trump» (El Comité Nacional Demócrata afirma que piratas informáticos rusos penetraron en sus archivos, incluido un expediente sobre Donald Trump). The New York Times . Archivado desde el original el 25 de julio de 2019. Consultado el 26 de octubre de 2016 .
^ Economist, Staff of (24 de septiembre de 2016). «Bear on bear». The Economist. Archivado desde el original el 20 de mayo de 2017. Consultado el 25 de octubre de 2016 .
^ Hyacinth Mascarenhas (23 de agosto de 2016). "Los piratas informáticos rusos 'Fancy Bear' probablemente violaron la agencia de control de dopaje olímpica y el Comité Nacional Demócrata, dicen los expertos". International Business Times . Consultado el 13 de septiembre de 2016 .
^ "Lo que sabemos sobre el equipo de hackers de Fancy Bears". BBC News . 15 de septiembre de 2016. Archivado desde el original el 22 de marzo de 2019. Consultado el 17 de septiembre de 2016 .
^ Gallagher, Sean (6 de octubre de 2016). «Investigadores encuentran datos falsos en el antidopaje olímpico, Clinton desmiente Guccifer 2.0». Ars Technica. Archivado desde el original el 14 de julio de 2017. Consultado el 26 de octubre de 2016 .
^ "Qatar se enfrentó a 93.570 ataques de phishing en el primer trimestre de 2017". Gulf Times (en árabe). 12 de mayo de 2017. Archivado desde el original el 4 de agosto de 2018. Consultado el 28 de enero de 2018 .
^ "¡La estafa de phishing del Amazon Prime Day se está extendiendo ahora!". The Kim Komando Show . Archivado desde el original el 2019-05-27 . Consultado el 2018-01-28 .
^ "Los piratas informáticos de criptomonedas están robando 4 mil millones de dólares de la ICO de EOS mediante esta estafa furtiva". Jen Wieczner . Archivado desde el original el 2021-03-21 . Consultado el 2018-05-31 .
^ "Informe de investigación de Twitter - Departamento de Servicios Financieros". www.dfs.ny.gov . 2020-10-14 . Consultado el 2020-10-11 .
^ "Tres personas acusadas de su presunta participación en el hackeo de Twitter". justice.gov . Consultado el 23 de marzo de 2022 .
^ "Página de inicio de Millersmiles". Servicios de información de Oxford. Archivado desde el original el 11 de julio de 2007. Consultado el 3 de enero de 2010 .
^ "Página de inicio de FraudWatch International". FraudWatch International. Archivado desde el original el 16 de junio de 2019. Consultado el 3 de enero de 2010 .
^ Baker, Emiley; Wade Baker; John Tedesco (2007). "Las organizaciones responden al phishing: exploración de la caja de herramientas de las relaciones públicas". Communication Research Reports . 24 (4): 327. doi :10.1080/08824090701624239. S2CID 144245673.
^ Arachchilage, Nalin; Love, Steve; Scott, Michael (1 de junio de 2012). "Diseño de un juego móvil para enseñar conocimientos conceptuales sobre cómo evitar 'ataques de phishing'". Revista internacional de seguridad en el aprendizaje electrónico . 2 (1): 127–132. doi : 10.20533/ijels.2046.4568.2012.0016 .
^ Ponnurangam Kumaraguru; Yong Woo Rhee; Alessandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (noviembre de 2006). "Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System" (PDF) . Informe técnico CMU-CyLab-06-017, CyLab, Carnegie Mellon University . Archivado desde el original (PDF) el 30 de enero de 2007. Consultado el 14 de noviembre de 2006 .
^ Perrault, Evan K. (23 de marzo de 2017). "Uso de un cuestionario interactivo en línea para recalibrar las actitudes y las intenciones de comportamiento de los estudiantes universitarios sobre el phishing". Revista de investigación en informática educativa . 55 (8): 1154–1167. doi :10.1177/0735633117699232. S2CID 64269078.
^ Jampen, Daniel; Gür, Gürkan; Sutter, Thomas; Tellenbach, Bernhard (diciembre de 2020). "No haga clic: hacia una formación eficaz contra el phishing. Una revisión comparativa de la literatura". Human-centric Computing and Information Sciences . 10 (1): 33. doi : 10.1186/s13673-020-00237-7 . hdl : 11475/20346 . ISSN 2192-1962. S2CID 221084452.
^ Priestman, Ward; Anstis, Tony; Sebire, Isabel G; Sridharan, Shankar; Sebire, Neil J (4 de septiembre de 2019). "Phishing en organizaciones de atención médica: amenazas, mitigación y enfoques". BMJ Health & Care Informatics . 26 (1): e100031. doi :10.1136/bmjhci-2019-100031. ISSN 2632-1009. PMC 7062337 . PMID 31488498.
^ "Protéjase de los correos electrónicos fraudulentos". PayPal . Archivado desde el original el 6 de abril de 2011. Consultado el 7 de julio de 2006 .
^ Zeltser, Lenny (17 de marzo de 2006). "Los mensajes de phishing pueden incluir información altamente personalizada". The SANS Institute. Archivado desde el original el 2 de diciembre de 2006. Consultado el 20 de mayo de 2006 .
^ Markus Jakobsson y Jacob Ratkiewicz. "Designing Ethical Phishing Experiments" (Diseño de experimentos de phishing ético). WWW '06 . Archivado desde el original el 13 de enero de 2013. Consultado el 20 de agosto de 2007 .
^ Markus Jakobsson ; Alex Tsow; Ankur Shah; Eli Blevis; Youn-kyung Lim. "¿Qué infunde confianza? Un estudio cualitativo sobre el phishing" (PDF) . informatics.indiana.edu . Archivado desde el original (PDF) el 6 de marzo de 2007.
^ Fatima, Rubia; Yasin, Affan; Liu, Lin; Wang, Jianmin (11 de octubre de 2019). "¿Qué tan persuasivo es un correo electrónico de phishing? Un juego de phishing para generar conciencia sobre el phishing". Journal of Computer Security . 27 (6): 581–612. doi :10.3233/JCS-181253. S2CID 204538981.
^ "Informes de tendencias de ataques de phishing de APWG". APWG . Archivado desde el original el 21 de marzo de 2021 . Consultado el 12 de septiembre de 2018 .
^ Olivo, Cleber K.; Santin, Altair O.; Oliveira, Luiz S. (julio de 2011). "Obtención del modelo de amenaza para el phishing por correo electrónico". Applied Soft Computing . 13 (12): 4841–4848. doi :10.1016/j.asoc.2011.06.016.
^ Madhusudhanan Chandrasekaran; Krishnan Narayanan; Shambhu Upadhyaya (marzo de 2006). "Detección de correo electrónico de phishing basada en propiedades estructurales" (PDF) . Simposio sobre ciberseguridad del estado de Nueva York . Archivado desde el original (PDF) el 16 de febrero de 2008.
^ Ian Fette; Norman Sadeh; Anthony Tomasic (junio de 2006). "Aprender a detectar correos electrónicos de phishing" (PDF) . Informe técnico de la Universidad Carnegie Mellon CMU-ISRI-06-112 . Archivado (PDF) desde el original el 19 de junio de 2018. Consultado el 30 de noviembre de 2006 .
^ "Otro golpe contra el phishing por correo electrónico (Blog de seguridad en línea de Google)". Archivado desde el original el 6 de junio de 2012 . Consultado el 21 de junio de 2012 .
^ "Navegación segura de Google". Archivado desde el original el 1 de septiembre de 2017. Consultado el 30 de noviembre de 2017 .
^ "Navegación segura (blog de seguridad en línea de Google)". Archivado desde el original el 5 de marzo de 2016 . Consultado el 21 de junio de 2012 .
^ Franco, Rob (21 de noviembre de 2005). "Mejor identificación de sitios web y certificados de validación extendida en IE7 y otros navegadores". IEBlog . Archivado desde el original el 25 de enero de 2010. Consultado el 10 de febrero de 2020 .
^ "Bon Echo Anti-Phishing". Mozilla . Archivado desde el original el 24 de septiembre de 2006 . Consultado el 2 de junio de 2006 .
^ "Safari 3.2 finalmente obtiene protección contra phishing". Ars Technica . 13 de noviembre de 2008. Archivado desde el original el 9 de febrero de 2009 . Consultado el 15 de noviembre de 2008 .
^ "Gone Phishing: evaluación de herramientas antiphishing para Windows". 3Sharp. 27 de septiembre de 2006. Archivado desde el original el 14 de enero de 2008. Consultado el 20 de octubre de 2006 .
^ "Dos cosas que me molestan de la nueva extensión de Google para Firefox". Nitesh Dhanjani en O'Reilly ONLamp . Archivado desde el original el 22 de julio de 2014. Consultado el 1 de julio de 2007 .
^ "Prueba de eficacia de la protección contra phishing de Firefox 2". Archivado desde el original el 23 de enero de 2011. Consultado el 23 de enero de 2007 .
^ Higgins, Kelly Jackson. "DNS obtiene un gancho antiphishing". Dark Reading . Archivado desde el original el 18 de agosto de 2011. Consultado el 8 de octubre de 2006 .
^ Krebs, Brian (31 de agosto de 2006). "Uso de imágenes para combatir el phishing". Solución de seguridad. Archivado desde el original el 16 de noviembre de 2006.
^ Seltzer, Larry (2 de agosto de 2004). "Detección de phishing y respuesta de phishing". eWeek. Archivado desde el original el 5 de julio de 2019. Consultado el 14 de diciembre de 2006 .
^ Bank of America. "Cómo funciona Bank of America SiteKey para la seguridad de la banca en línea". Archivado desde el original el 20 de junio de 2009. Consultado el 23 de enero de 2007 .
^ Brubaker, Bill (14 de julio de 2005). «Bank of America personaliza la ciberseguridad». The Washington Post . Archivado desde el original el 8 de junio de 2019. Consultado el 8 de septiembre de 2017 .
^ Stone, Brad (5 de febrero de 2007). «Estudio concluye que la medida antifraude en la Web es ineficaz». The New York Times . Archivado desde el original el 11 de junio de 2019. Consultado el 5 de febrero de 2007 .
^ Stuart Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (mayo de 2007). "Los nuevos indicadores de seguridad del Emperador: una evaluación de la autenticación de sitios web y el efecto del juego de roles en los estudios de usabilidad" (PDF) . Simposio IEEE sobre seguridad y privacidad, mayo de 2007. Archivado desde el original (PDF) el 20 de julio de 2008. Consultado el 5 de febrero de 2007 .
^ "Los phishers atacan el sistema de contraseñas de un solo uso de Nordea". Finextra. 12 de octubre de 2005. Archivado desde el original el 18 de diciembre de 2005. Consultado el 20 de diciembre de 2005 .
^ Krebs, Brian (10 de julio de 2006). "Citibank Phish falsifica la autenticación de dos factores". Solución de seguridad. Archivado desde el original el 10 de noviembre de 2006.
^ Graham Titterington. "Más fatalidad para el phishing". Ovum Research, abril de 2006. Archivado desde el original el 10 de abril de 2008. Consultado el 8 de abril de 2009 .
^ Schneier, Bruce (julio de 2005). "Security Skins". Schneier on Security . Consultado el 3 de diciembre de 2006 .
^ Rachna Dhamija; JD Tygar (julio de 2005). "La batalla contra el phishing: máscaras de seguridad dinámicas" (PDF) . Simposio sobre privacidad y seguridad utilizables (SOUPS) 2005. Archivado desde el original (PDF) el 29 de junio de 2007. Consultado el 5 de febrero de 2007 .
^ "Tecnología de autenticación mutua dinámica para la lucha contra el phishing". Confidenttechnologies.com . Consultado el 9 de septiembre de 2012 .
^ "Grupo de trabajo antiphishing: soluciones de proveedores". Grupo de trabajo antiphishing . Archivado desde el original el 21 de enero de 2011. Consultado el 6 de julio de 2006 .
^ Xiang, Guang; Hong, Jason; Rose, Carolyn P.; Cranor, Lorrie (1 de septiembre de 2011). "CANTINA+: un marco de aprendizaje automático rico en funciones para detectar sitios web de phishing". ACM Transactions on Information and System Security . 14 (2): 21:1–21:28. doi :10.1145/2019599.2019606. ISSN 1094-9224. S2CID 6246617. Archivado desde el original el 21 de marzo de 2021 . Consultado el 25 de noviembre de 2020 .
^ Leite, Cristoffer; Gondim, Joao JC; Barreto, Priscila Solis; Alchieri, Eduardo A. (2019). "Waste Flooding: A Phishing Retaliation Tool" (Inundación de residuos: una herramienta de represalia por phishing). 2019 IEEE 18th International Symposium on Network Computing and Applications (NCA) (18.º Simposio Internacional sobre Computación en Red y Aplicaciones [NCA]) . Cambridge, MA, EE. UU.: IEEE. págs. 1–8. doi :10.1109/NCA.2019.8935018. ISBN.978-1-7281-2522-0. S2CID 209457656. Archivado desde el original el 21 de marzo de 2021. Consultado el 25 de noviembre de 2020 .
^ McMillan, Robert (28 de marzo de 2006). "Nuevos sitios permiten a los usuarios encontrar y denunciar ataques de phishing". LinuxWorld. Archivado desde el original el 19 de enero de 2009.
^ Schneier, Bruce (5 de octubre de 2006). "PhishTank". Schneier on Security . Archivado desde el original el 9 de enero de 2011. Consultado el 7 de diciembre de 2007 .
^ "Denunciar una página de phishing". Archivado desde el original el 19 de octubre de 2016. Consultado el 13 de septiembre de 2019 .
^ Cómo denunciar estafas de phishing a Google Archivado el 14 de abril de 2013 en archive.today Consumer Scams.org
^ Kan, Michael (7 de marzo de 2019). «Google: aumentan los ataques de phishing que pueden superar la autenticación de dos factores». PC Magazine . Archivado desde el original el 8 de marzo de 2019. Consultado el 9 de septiembre de 2019 .
^ Legon, Jeordan (26 de enero de 2004). "Las estafas de phishing se aprovechan de su identidad". CNN. Archivado desde el original el 6 de noviembre de 2018. Consultado el 8 de abril de 2006 .
^ Leyden, John (21 de marzo de 2005). «La policía brasileña atrapa al 'capo del phishing'». The Register . Archivado desde el original el 17 de abril de 2016. Consultado el 19 de agosto de 2005 .
^ Roberts, Paul (27 de junio de 2005). "Phishing en el Reino Unido capturado y guardado". eWEEK. Archivado desde el original el 5 de julio de 2019. Consultado el 3 de septiembre de 2005 .
^ "Diecinueve personas acusadas de conspiración para obtener tarjetas de identificación en Internet". justice.gov. Archivado desde el original el 22 de marzo de 2019. Consultado el 13 de octubre de 2015 .
^ "8 detenidos por sospecha de fraude de phishing". Yomiuri Shimbun . 31 de mayo de 2006.
^ "Banda de phishing detenida en Estados Unidos y Europa del Este tras investigación del FBI". Archivado desde el original el 6 de abril de 2011. Consultado el 14 de diciembre de 2006 .
^ "Los estafadores se enfrentarían a cinco años de cárcel bajo el nuevo proyecto de ley". InformationWeek . 2 de marzo de 2005. Archivado desde el original el 19 de febrero de 2008 . Consultado el 4 de marzo de 2005 .
^ "Ley de Fraude de 2006". Archivado desde el original el 27 de octubre de 2007. Consultado el 14 de diciembre de 2006 .
^ "Condenas de prisión para estafadores de phishing". The Register . 14 de noviembre de 2006. Archivado desde el original el 21 de junio de 2019 . Consultado el 10 de agosto de 2017 .
^ "Microsoft se asocia con las fuerzas del orden australianas para combatir el delito cibernético". Microsoft . Archivado desde el original el 3 de noviembre de 2005 . Consultado el 24 de agosto de 2005 .
^ Espiner, Tom (20 de marzo de 2006). «Microsoft lanza un ataque legal contra los estafadores». ZDNet. Archivado desde el original el 29 de agosto de 2008. Consultado el 20 de mayo de 2006 .
^ Leyden, John (23 de noviembre de 2006). «MS captura algunos mensajes de phishing perdidos». The Register . Archivado desde el original el 10 de junio de 2019. Consultado el 10 de agosto de 2017 .
^ "Una historia de liderazgo – 2006". Archivado desde el original el 22 de mayo de 2007.
^ "AOL lleva la lucha contra el robo de identidad a los tribunales y presenta demandas contra tres importantes bandas de phishing". Archivado desde el original el 31 de enero de 2007. Consultado el 8 de marzo de 2006 .
^ "HB 2471 Computer Crimes Act; changes in provisions, penalty" (Ley de Delitos Informáticos HB 2471; cambios en las disposiciones, sanciones) . Consultado el 8 de marzo de 2006 .
^ Brulliard, Karin (10 de abril de 2005). "Los legisladores de Virginia quieren atrapar a los ciberestafadores". The Washington Post . Archivado desde el original el 11 de junio de 2019. Consultado el 8 de septiembre de 2017 .
^ "La evidencia de Earthlink ayuda a cerrar la puerta a la red de spam de sitios de phishing". Archivado desde el original el 5 de julio de 2007. Consultado el 14 de diciembre de 2006 .
^ Prince, Brian (18 de enero de 2007). "Hombre declarado culpable de atacar a clientes de AOL en una estafa de phishing". Revista PC . Archivado desde el original el 21 de marzo de 2009. Consultado el 8 de septiembre de 2017 .
^ Leyden, John (17 de enero de 2007). "Declarado culpable un estafador de phishing de AOL". The Register . Archivado desde el original el 22 de marzo de 2019. Consultado el 10 de agosto de 2017 .
^ Leyden, John (13 de junio de 2007). «Un estafador de AOL recibe seis años de prisión». The Register . Archivado desde el original el 11 de junio de 2019. Consultado el 10 de agosto de 2017 .
^ Gaudin, Sharon (12 de junio de 2007). «Un hombre de California recibe una sentencia de seis años por phishing». InformationWeek . Archivado desde el original el 11 de octubre de 2007. Consultado el 1 de julio de 2007 .
Enlaces externos
Wikimedia Commons tiene medios relacionados con Phishing .
Grupo de trabajo antiphishing
Centro de gestión de identidad y protección de la información – Utica College