Suplantación de identidad

Forma de ingeniería social

Un ejemplo de correo electrónico de phishing, disfrazado de correo electrónico oficial de un banco (ficticio). El remitente intenta engañar al destinatario para que revele información confidencial solicitándole que la "confirme" en el sitio web del phisher. El correo electrónico escribe mal deliberadamente algunas palabras.

El phishing es una forma de ingeniería social y estafa en la que los atacantes engañan a las personas para que revelen información confidencial ^[1] o instalen malware como ransomware . Los ataques de phishing se han vuelto cada vez más sofisticados y a menudo reflejan de forma transparente el sitio objetivo, lo que permite al atacante observar todo mientras la víctima navega por el sitio y cruzar cualquier límite de seguridad adicional con la víctima. ^[2] A partir de 2020, es el tipo más común de delito cibernético, y el Centro de Denuncias de Delitos en Internet del FBI informa más incidentes de phishing que cualquier otro tipo de delito informático. ^[3]

El término "phishing" se registró por primera vez en 1995 en el kit de herramientas de craqueo AOHell , pero es posible que se haya utilizado antes en la revista de hackers 2600 . ^{[4] [5] [6]} Es una variación de la pesca y se refiere al uso de señuelos para "pescar" información confidencial. ^{[5] [7] [8]}

Las medidas para prevenir o reducir el impacto de los ataques de phishing incluyen legislación, educación de los usuarios, concientización pública y medidas técnicas de seguridad. ^[9] La importancia de la concienciación sobre el phishing ha aumentado tanto en entornos personales como profesionales, y los ataques de phishing entre empresas aumentaron del 72 % al 86 % entre 2017 y 2020. ^[10]

Tipos

Phishing por correo electrónico

Los ataques de phishing, a menudo enviados a través de correo no deseado , intentan engañar a las personas para que proporcionen información confidencial o credenciales de inicio de sesión. La mayoría de los ataques son "ataques masivos" que no están dirigidos a un objetivo sino que se envían en masa a una amplia audiencia. ^[11] El objetivo del atacante puede variar, con objetivos comunes que incluyen instituciones financieras, proveedores de correo electrónico y productividad en la nube, y servicios de streaming. ^[12] La información o el acceso robados pueden usarse para robar dinero, instalar malware o realizar phishing a otros dentro de la organización objetivo. ^[5] Las cuentas de servicios de streaming comprometidas también pueden venderse en los mercados de la red oscura . ^[13]

Este tipo de ataque de ingeniería social puede implicar el envío de correos electrónicos fraudulentos o mensajes que parecen provenir de una fuente confiable, como un banco o una agencia gubernamental. Estos mensajes normalmente redirigen a una página de inicio de sesión falsa donde se solicita al usuario que ingrese sus credenciales de inicio de sesión.

Phishing de lanza

Spear phishing es un ataque de phishing dirigido que utiliza correos electrónicos personalizados ^[14] para engañar a un individuo u organización específica haciéndole creer que son legítimos. A menudo utiliza información personal sobre el objetivo para aumentar las posibilidades de éxito. ^{[15] [16] [17] [18]} Estos ataques a menudo se dirigen a ejecutivos o personas de departamentos financieros con acceso a datos y servicios financieros confidenciales. Las empresas de contabilidad y auditoría son particularmente vulnerables al phishing debido al valor de la información a la que tienen acceso sus empleados. ^[19]

El Threat Group-4127 (Fancy Bear) (Unidad GRU 26165), dirigido por el gobierno ruso, atacó la campaña presidencial de Hillary Clinton en 2016 con ataques de phishing en más de 1.800 cuentas de Google , utilizando el dominio cuentas-google.com para amenazar a los usuarios específicos. ^{[20] [21]}

Un estudio sobre la susceptibilidad al phishing dirigido entre diferentes grupos de edad encontró que el 43% de 100 usuarios jóvenes y el 58% de los mayores hicieron clic en enlaces de phishing simulados en correos electrónicos diarios durante 21 días. Las mujeres mayores tuvieron la mayor susceptibilidad, mientras que la susceptibilidad entre los usuarios jóvenes disminuyó durante el estudio, pero se mantuvo estable en los usuarios mayores. ^[22]

La caza de ballenas y el fraude de los directores ejecutivos

Los ataques de caza de ballenas utilizan técnicas de phishing dirigido a altos ejecutivos y otras personas de alto perfil ^[23] con contenido personalizado, a menudo relacionado con una citación o queja de un cliente. ^[24]

El fraude de los directores ejecutivos implica el envío de correos electrónicos falsos de altos ejecutivos para engañar a los empleados para que envíen dinero a una cuenta en el extranjero. ^[25] Tiene una baja tasa de éxito, pero puede provocar que las organizaciones pierdan grandes sumas de dinero. ^[26]

Clonar phishing

El phishing clonado es un tipo de ataque en el que se copia y modifica un correo electrónico legítimo con un archivo adjunto o enlace para que contenga contenido malicioso. Luego, el correo electrónico modificado se envía desde una dirección falsa que parece ser del remitente original. El ataque puede parecer un reenvío o una actualización del correo electrónico original. A menudo depende de que el remitente o el destinatario hayan sido pirateados previamente para que el atacante pueda acceder al correo electrónico legítimo. ^{[27] [28]}

Phishing de voz

La voz sobre IP (VoIP) se utiliza en ataques de vishing o phishing de voz , ^[29] en los que los atacantes realizan llamadas telefónicas automáticas a un gran número de personas, a menudo utilizando sintetizadores de texto a voz , alegando actividad fraudulenta en sus cuentas. Los atacantes falsifican el número de teléfono que llama para que parezca que proviene de un banco o institución legítimo. Luego se le solicita a la víctima que ingrese información confidencial o se la conecta con una persona viva que utiliza tácticas de ingeniería social para obtener información. ^[29] El vishing aprovecha el menor conocimiento y confianza del público en la telefonía de voz en comparación con el phishing por correo electrónico. ^[30]

phishing por SMS

El phishing por SMS ^[31] o smishing ^{[32] [33]} es un tipo de ataque de phishing que utiliza mensajes de texto desde un teléfono celular o teléfono inteligente para entregar un mensaje cebo. ^[34] Generalmente se le pide a la víctima que haga clic en un enlace, llame a un número de teléfono o se comunique con una dirección de correo electrónico proporcionada por el atacante. Luego se les puede pedir que proporcionen información privada , como credenciales de inicio de sesión para otros sitios web. La dificultad para identificar enlaces ilegítimos puede agravarse en los dispositivos móviles debido a la visualización limitada de las URL en los navegadores móviles. ^[35] El smishing puede ser tan efectivo como el phishing por correo electrónico, ya que muchos teléfonos inteligentes tienen una rápida conectividad a Internet. Los mensajes smishing también pueden provenir de números de teléfono inusuales. ^[36]

Secuestro de página

El secuestro de páginas implica redirigir a los usuarios a sitios web maliciosos o kits de explotación comprometiendo páginas web legítimas, a menudo utilizando secuencias de comandos entre sitios . Los piratas informáticos pueden insertar kits de explotación como MPack en sitios web comprometidos para explotar a los usuarios legítimos que visitan el servidor. El secuestro de páginas también puede implicar la inserción de marcos en línea maliciosos , lo que permite que se carguen kits de exploits. Esta táctica se utiliza a menudo junto con ataques de abrevadero contra objetivos corporativos. ^{[ cita necesaria ]}

Phishing de calendario

El phishing de calendario implica el envío de invitaciones de calendario falsas con enlaces de phishing. Estas invitaciones a menudo imitan solicitudes de eventos comunes y se pueden agregar fácilmente a los calendarios de forma automática. ^[37] Para protegerse contra esta forma de fraude, el ex zar del fraude de clics de Google, Shuman Ghosemajumder, recomienda cambiar la configuración del calendario para no agregar automáticamente nuevas invitaciones. ^[38]

quishing

Los códigos QR se han utilizado de forma maliciosa en ataques de phishing. ^[39] El término " quishing " implica engañar a las personas haciéndoles creer que un código QR es inofensivo mientras que la verdadera intención es maliciosa, con el objetivo de acceder a información confidencial. ^[39] Los ciberdelincuentes aprovechan la confianza depositada en los códigos QR, especialmente en los teléfonos móviles, que son más vulnerables a los ataques en comparación con los sistemas operativos de escritorio . ^[39] Los ataques de Quishing a menudo implican el envío de códigos QR por correo electrónico, incitando a los usuarios a escanearlos para verificar las cuentas, lo que lleva a un posible compromiso del dispositivo. ^[39] Se recomienda tener precaución y evitar escanear códigos QR a menos que se verifique la fuente. ^[39]

Técnicas

Manipulación de enlaces

Los ataques de phishing suelen implicar la creación de enlaces falsos que parecen proceder de una organización legítima. ^[40] Estos enlaces pueden utilizar URL o subdominios mal escritos para engañar al usuario. En la siguiente URL de ejemplo, http://www.yourbank.example.com/puede parecerle al ojo inexperto como si la URL llevara al usuario a la sección de ejemplo del sitio web de yourbank ; en realidad, esta URL apunta a la sección " yourbank " (es decir, subdominio de phishing) del sitio web de ejemplo (nombre de dominio del estafador). Otra táctica es hacer que el texto mostrado de un vínculo parezca confiable, mientras que el vínculo real dirige al sitio del phisher. Para comprobar el destino de un enlace, muchos clientes de correo electrónico y navegadores web mostrarán la URL en la barra de estado cuando pase el ratón sobre ella. Sin embargo, algunos phishers pueden eludir esta medida de seguridad. ^[41]

Los nombres de dominio internacionalizados (IDN) pueden explotarse mediante suplantación de IDN ^[42] o ataques homógrafos ^[43] para permitir a los atacantes crear sitios web falsos con direcciones visualmente idénticas a las legítimas. Los phishers han utilizado estos ataques para disfrazar URL maliciosas mediante redirectores de URL abiertos en sitios web confiables. ^{[44] [45] [46]} Incluso los certificados digitales, como SSL , pueden no proteger contra estos ataques, ya que los phishers pueden comprar certificados válidos y alterar el contenido para imitar sitios web genuinos o alojar sitios de phishing sin SSL. ^[47]

Evasión de filtros

En ocasiones, los phishers han utilizado imágenes en lugar de texto para dificultar que los filtros antiphishing detecten el texto comúnmente utilizado en los correos electrónicos de phishing. ^[48] ​​En respuesta, filtros antiphishing más sofisticados pueden recuperar texto oculto en imágenes mediante el reconocimiento óptico de caracteres (OCR). ^[49]

Ingeniería social

Una notificación de virus falsa

El phishing a menudo utiliza técnicas de ingeniería social para engañar a los usuarios para que realicen acciones como hacer clic en un enlace, abrir un archivo adjunto o revelar información confidencial. A menudo implica fingir ser una entidad confiable y crear una sensación de urgencia, ^[50] como amenazar con cerrar o embargar la cuenta bancaria o de seguro de la víctima. ^[51]

Una técnica alternativa al phishing basado en suplantación de identidad es el uso de artículos de noticias falsos para engañar a las víctimas para que hagan clic en un enlace malicioso. Estos enlaces a menudo conducen a sitios web falsos que parecen legítimos, ^[52] pero que en realidad son administrados por atacantes que pueden intentar instalar malware o presentar notificaciones de "virus" falsas a la víctima. ^[53]

Historia

Historia temprana

Las primeras técnicas de phishing se remontan a la década de 1990, cuando los hackers de sombrero negro y la comunidad warez utilizaban AOL para robar información de tarjetas de crédito y cometer otros delitos en línea. Se dice que el término "phishing" fue acuñado por Khan C. Smith, un conocido spammer y hacker, ^[54] y su primera mención registrada se encontró en la herramienta de hacking AOHell , que fue lanzada en 1995. AOHell permitía a los hackers para hacerse pasar por personal de AOL y enviar mensajes instantáneos a las víctimas pidiéndoles que revelen sus contraseñas. ^{[55] [56]} En respuesta, AOL implementó medidas para prevenir el phishing y finalmente cerró la escena warez en su plataforma. ^{[57] [58]}

2000

En la década de 2000, los ataques de phishing se volvieron más organizados y dirigidos. El primer intento directo conocido contra un sistema de pago, E-gold , ocurrió en junio de 2001, y poco después de los ataques del 11 de septiembre , siguió un ataque de phishing "después del 11 de septiembre". ^[59] El primer ataque de phishing conocido contra un banco minorista se informó en septiembre de 2003. ^[60] Entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios de computadoras en los Estados Unidos sufrieron pérdidas causadas por phishing, por un total aproximado de 929 millones de dólares estadounidenses . ^[61] El phishing fue reconocido como una parte totalmente organizada del mercado negro, y surgieron especializaciones a escala global que proporcionaban software de phishing a cambio de pago, que fueron ensamblados e implementados en campañas de phishing por bandas organizadas. ^{[62] [63]} El sector bancario del Reino Unido sufrió ataques de phishing, y las pérdidas por fraude bancario web casi se duplicaron en 2005 en comparación con 2004. ^{[64] [65]} En 2006, casi la mitad de los robos de phishing fueron cometidos por grupos que operaban a través de la Red Empresarial Rusa con sede en San Petersburgo. ^[66] También se utilizaron estafas por correo electrónico haciéndose pasar por el Servicio de Impuestos Internos para robar datos confidenciales de los contribuyentes estadounidenses. ^[67] Los sitios de redes sociales son un objetivo principal del phishing, ya que los datos personales contenidos en dichos sitios pueden utilizarse para el robo de identidad ; ^[68] En 2007, 3,6 millones de adultos perdieron 3.200 millones de dólares debido a ataques de phishing. ^[69] El Grupo de Trabajo Anti-Phishing informó haber recibido 115.370 informes de correo electrónico de phishing de consumidores; EE. UU. y China albergaron más del 25% de las páginas de phishing cada uno en el tercer trimestre de 2009. ^[70]

década de 2010

El phishing en la década de 2010 experimentó un aumento significativo en el número de ataques. En 2011, las claves maestras de los tokens de seguridad RSA SecurID fueron robadas mediante un ataque de phishing. ^{[71] [72]} Las campañas de phishing chinas también se dirigieron a funcionarios de alto rango de los gobiernos y militares de EE. UU. y Corea del Sur, así como a activistas políticos chinos. ^{[73] [74]} Según Ghosh, los ataques de phishing aumentaron de 187.203 en 2010 a 445.004 en 2012. En agosto de 2013, Outbrain sufrió un ataque de phishing ^[75] y en noviembre de 2013, 110 millones de registros de clientes y tarjetas de crédito fueron robado a clientes de Target a través de una cuenta de subcontratista fraudulenta. ^[76] Posteriormente, el director ejecutivo y el personal de seguridad de TI fueron despedidos. ^[77] En agosto de 2014, las filtraciones de iCloud de fotos de celebridades se basaron en correos electrónicos de phishing enviados a las víctimas que parecían provenir de Apple o Google. ^[78] En noviembre de 2014, ataques de phishing a la ICANN obtuvieron acceso administrativo al Sistema de Datos de la Zona Centralizada; También se obtuvieron datos sobre los usuarios del sistema y acceso a la wiki pública del Comité Asesor Gubernamental, al blog y al portal de información whois de la ICANN. ^[79] Fancy Bear estuvo vinculado a ataques de phishing contra el sistema de correo electrónico del Pentágono en agosto de 2015, ^{[80] [81]} y el grupo utilizó un exploit de día cero de Java en un ataque de phishing contra la Casa Blanca y la OTAN. . ^{[82] [83]} Fancy Bear llevó a cabo ataques de phishing en direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer trimestre de 2016. ^{[84] [85]} En agosto de 2016, miembros del Bundestag y partidos políticos como Linken - La líder de la facción Sahra Wagenknecht , Junge Union y la CDU de Sarre fueron objeto de ataques de phishing que se sospechaba que fueron llevados a cabo por Fancy Bear. En agosto de 2016, la Agencia Mundial Antidopaje informó la recepción de correos electrónicos de phishing enviados a usuarios de su base de datos que afirmaban ser oficiales de la AMA, pero consistentes con el grupo de piratería ruso Fancy Bear. ^{[86] [87] [88]} En 2017, el 76 % de las organizaciones experimentaron ataques de phishing, y casi la mitad de los profesionales de seguridad de la información encuestados informaron un aumento con respecto a 2016. En la primera mitad de 2017, las empresas y los residentes de Qatar se vieron afectados por más de 93.570 eventos de phishing en un lapso de tres meses. ^[89] En agosto de 2017, los clientes de Amazonenfrentó el ataque de phishing de Amazon Prime Day, cuando los piratas informáticos enviaron ofertas aparentemente legítimas a los clientes de Amazon. Cuando los clientes de Amazon intentaron realizar compras utilizando las "ofertas", la transacción no se completó, lo que llevó a los clientes del minorista a ingresar datos que podrían verse comprometidos y robados. ^[90] En 2018, la empresa block.one, que desarrolló la cadena de bloques EOS.IO, fue atacada por un grupo de phishing que envió correos electrónicos de phishing a todos los clientes con el objetivo de interceptar la clave de la billetera de criptomonedas del usuario, y un ataque posterior tuvo como objetivo los tokens de lanzamiento aéreo. ^[91]

2020

Los ataques de phishing han evolucionado en la década de 2020 para incluir elementos de ingeniería social, como lo demostró la violación de Twitter del 15 de julio de 2020 . En este caso, un hacker de 17 años y sus cómplices crearon un sitio web falso que se asemeja al proveedor de VPN interno de Twitter utilizado por los empleados que trabajan a distancia. Haciéndose pasar por personal del servicio de asistencia técnica, llamaron a varios empleados de Twitter y les indicaron que enviaran sus credenciales al sitio web falso de VPN. ^[92] Utilizando los detalles proporcionados por los empleados desprevenidos, pudieron tomar el control de varias cuentas de usuarios de alto perfil, incluidas las de Barack Obama , Elon Musk , Joe Biden y la cuenta de la empresa Apple Inc. Luego, los piratas informáticos enviaron mensajes a los seguidores de Twitter solicitando Bitcoin , prometiendo a cambio duplicar el valor de la transacción. Los piratas informáticos recolectaron 12,86 BTC (alrededor de 117.000 dólares en ese momento). ^[93]

Antiphishing

Hay sitios web antiphishing que publican mensajes exactos que han estado circulando recientemente por Internet, como FraudWatch International y Millersmiles. Estos sitios suelen proporcionar detalles específicos sobre mensajes concretos. ^{[94] [95]}

Tan recientemente como 2007, la adopción de estrategias antiphishing por parte de empresas que necesitaban proteger información personal y financiera era baja. ^[96] Ahora existen varias técnicas diferentes para combatir el phishing, incluida la legislación y la tecnología creadas específicamente para proteger contra el phishing. Estas técnicas incluyen pasos que pueden ser tomados tanto por individuos como por organizaciones. Ahora se puede denunciar a las autoridades el phishing telefónico, de sitios web y de correo electrónico, como se describe a continuación.

Entrenamiento de usuario

Fotograma de una animación de la Comisión Federal de Comercio de EE. UU. destinada a educar a los ciudadanos sobre las tácticas de phishing

La educación eficaz sobre phishing, incluido el conocimiento conceptual ^[97] y la retroalimentación, ^{[98] [99]} es una parte importante de la estrategia anti-phishing de cualquier organización. Si bien hay datos limitados sobre la eficacia de la educación para reducir la susceptibilidad al phishing, ^[100] mucha información sobre la amenaza está disponible en línea. ^[51]

Para evaluar su eficacia se utilizan habitualmente campañas de phishing simuladas , en las que las organizaciones prueban la formación de sus empleados enviando correos electrónicos de phishing falsos. Un ejemplo es un estudio de la Biblioteca Nacional de Medicina, en el que una organización recibió 858.200 correos electrónicos durante un período de prueba de 1 mes, de los cuales 139.400 (16%) eran de marketing y 18.871 (2%) se identificaron como amenazas potenciales. Estas campañas se utilizan a menudo en la industria de la salud, ya que los datos de atención médica son un objetivo valioso para los piratas informáticos. Estas campañas son sólo una de las formas en que las organizaciones están trabajando para combatir el phishing. ^[101]

Para evitar intentos de phishing, las personas pueden modificar sus hábitos de navegación ^[102] y tener cuidado con los correos electrónicos que afirman ser de una empresa y solicitan "verificar" una cuenta. Es mejor ponerse en contacto con la empresa directamente o escribir manualmente la dirección de su sitio web en lugar de hacer clic en cualquier hipervínculo en correos electrónicos sospechosos. ^[103]

Casi todos los mensajes de correo electrónico legítimos de las empresas a sus clientes contienen información que no está fácilmente disponible para los phishers. Algunas empresas, por ejemplo PayPal , siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, por lo que si un correo electrónico se dirige al destinatario de forma genérica (" Estimado cliente de PayPal "), es probable que se trate de un intento de phishing. ^[104] Además, PayPal ofrece varios métodos para determinar correos electrónicos falsos y aconseja a los usuarios reenviar correos electrónicos sospechosos a su dominio [email protected] para investigar y advertir a otros clientes. Sin embargo, no es seguro asumir que la presencia de información personal por sí sola garantiza que un mensaje sea legítimo, ^[105] y algunos estudios han demostrado que la presencia de información personal no afecta significativamente la tasa de éxito de los ataques de phishing; ^[106] lo que sugiere que la mayoría de las personas no prestan atención a estos detalles.

Los correos electrónicos de bancos y compañías de tarjetas de crédito a menudo incluyen números de cuenta parciales, pero las investigaciones ^[107] han demostrado que las personas tienden a no diferenciar entre el primer y el último dígito. Esto es un problema porque los primeros dígitos suelen ser los mismos para todos los clientes de una institución financiera.

Un estudio sobre ataques de phishing en entornos de juego encontró que los juegos educativos pueden educar eficazmente a los jugadores contra la divulgación de información y pueden aumentar la conciencia sobre el riesgo de phishing, mitigándolos así. ^[108] Este es un ejemplo de cómo se puede capacitar a los usuarios a través de modelos basados ​​en juegos.

El Grupo de Trabajo Anti-Phishing , que es una de las organizaciones anti-phishing más grandes del mundo, produce informes periódicos sobre las tendencias en los ataques de phishing. ^[109]

Google publicó un vídeo que muestra cómo identificarse y protegerse de las estafas de phishing. ^[110]

Enfoques técnicos

Se encuentra disponible una amplia gama de enfoques técnicos para evitar que los ataques de phishing lleguen a los usuarios o para evitar que capturen información confidencial con éxito.

Filtrar el correo de phishing

Los filtros de spam especializados pueden reducir la cantidad de correos electrónicos de phishing que llegan a las bandejas de entrada de sus destinatarios. Estos filtros utilizan una serie de técnicas que incluyen aprendizaje automático ^[111] y enfoques de procesamiento de lenguaje natural para clasificar correos electrónicos de phishing, ^{[112] [113]} y rechazar correos electrónicos con direcciones falsificadas. ^[114]

Los navegadores alertan a los usuarios sobre sitios web fraudulentos

Captura de pantalla de Firefox 2.0.0.1 Advertencia de sitio sospechoso de phishing

Otro enfoque popular para combatir el phishing es mantener una lista de sitios de phishing conocidos y comparar los sitios web con la lista. Uno de esos servicios es el servicio de Navegación segura . ^[115] Los navegadores web como Google Chrome , Internet Explorer 7, Mozilla Firefox 2.0, Safari 3.2 y Opera contienen este tipo de medida antiphishing. ^{[116] [117] [118] [119] [120]} Firefox 2 utilizó el software antiphishing de Google . Opera 9.1 utiliza listas negras activas de Phishtank , cyscon y GeoTrust , así como listas blancas activas de GeoTrust. Algunas implementaciones de este enfoque envían las URL visitadas a un servicio central para su verificación, lo que ha generado preocupaciones sobre la privacidad . ^[121] Según un informe de Mozilla de finales de 2006, se descubrió que Firefox 2 era más eficaz que Internet Explorer 7 para detectar sitios fraudulentos en un estudio realizado por una empresa independiente de pruebas de software. ^[122]

Un enfoque introducido a mediados de 2006 implica cambiar a un servicio DNS especial que filtra los dominios de phishing conocidos: esto funcionará con cualquier navegador, ^[123] y es similar en principio a usar un archivo hosts para bloquear anuncios web.

Para mitigar el problema de los sitios de phishing que se hacen pasar por un sitio víctima incrustando sus imágenes (como logotipos ), varios propietarios de sitios han alterado las imágenes para enviar un mensaje al visitante de que un sitio puede ser fraudulento. La imagen puede moverse a un nuevo nombre de archivo y reemplazarse el original de forma permanente, o un servidor puede detectar que la imagen no fue solicitada como parte de la navegación normal y, en su lugar, enviar una imagen de advertencia. ^{[124] [125]}

Aumentar los inicios de sesión con contraseña

El sitio web de Bank of America ^{[126] [127]} es uno de varios que solicita a los usuarios que seleccionen una imagen personal (comercializada como SiteKey ) y muestra esta imagen seleccionada por el usuario con cualquier formulario que solicite una contraseña. Los usuarios de los servicios en línea del banco deben ingresar una contraseña solo cuando ven la imagen que seleccionaron. Sin embargo, varios estudios sugieren que pocos usuarios se abstienen de ingresar sus contraseñas cuando no hay imágenes. ^{[128] [129]} Además, esta característica (al igual que otras formas de autenticación de dos factores ) es susceptible a otros ataques, como los sufridos por el banco escandinavo Nordea a finales de 2005, ^[130] y Citibank en 2006. ^[131]

En otras instituciones financieras se utiliza un sistema similar, en el que se muestra a cada usuario del sitio web una "señal de identidad" generada automáticamente que consiste en una palabra coloreada dentro de un cuadro coloreado. ^[132]

Los aspectos de seguridad ^{[133] [134]} son ​​una técnica relacionada que implica superponer una imagen seleccionada por el usuario en el formulario de inicio de sesión como una señal visual de que el formulario es legítimo. Sin embargo, a diferencia de los esquemas de imágenes basados ​​en sitios web, la imagen en sí se comparte sólo entre el usuario y el navegador, y no entre el usuario y el sitio web. El esquema también se basa en un protocolo de autenticación mutua , lo que lo hace menos vulnerable a ataques que afectan los esquemas de autenticación exclusivos del usuario.

Otra técnica más se basa en una cuadrícula dinámica de imágenes que es diferente para cada intento de inicio de sesión. El usuario debe identificar las imágenes que se ajustan a sus categorías preseleccionadas (como perros, coches y flores). Sólo después de haber identificado correctamente las imágenes que se ajustan a sus categorías se les permite ingresar su contraseña alfanumérica para completar el inicio de sesión. A diferencia de las imágenes estáticas utilizadas en el sitio web del Bank of America, un método de autenticación dinámico basado en imágenes crea un código de acceso de un solo uso para el inicio de sesión, requiere la participación activa del usuario y es muy difícil de replicar correctamente para un sitio web de phishing porque Es necesario mostrar una cuadrícula diferente de imágenes generadas aleatoriamente que incluya las categorías secretas del usuario. ^[135]

Monitoreo y eliminación

Varias empresas ofrecen a los bancos y otras organizaciones susceptibles de sufrir estafas de phishing servicios las 24 horas del día para monitorear, analizar y ayudar a cerrar sitios web de phishing. ^[136] La detección automatizada de contenido de phishing aún está por debajo de los niveles aceptados para la acción directa, y el análisis basado en contenido alcanza entre el 80 % y el 90 % de éxito ^[137] por lo que la mayoría de las herramientas incluyen pasos manuales para certificar la detección y autorizar la respuesta. . ^[138] Las personas pueden contribuir denunciando phishing tanto a grupos de voluntarios como de la industria, ^[139] como cyscon o PhishTank . ^[140] Las páginas web y los correos electrónicos de phishing pueden denunciarse a Google. ^{[141] [142]}

Verificación y firma de transacciones

También han surgido soluciones utilizando el teléfono móvil ^[143] (smartphone) como segundo canal de verificación y autorización de transacciones bancarias.

Autenticación multifactor

Las organizaciones pueden implementar autenticación de dos factores o de múltiples factores (MFA), que requiere que un usuario utilice al menos 2 factores al iniciar sesión (por ejemplo, un usuario debe presentar una tarjeta inteligente y una contraseña ). Esto mitiga cierto riesgo: en caso de un ataque de phishing exitoso, la contraseña robada por sí sola no se puede reutilizar para violar aún más el sistema protegido. Sin embargo, existen varios métodos de ataque que pueden derrotar a muchos de los sistemas típicos. ^[144] Los sistemas de ayuda macrofinanciera como WebAuthn abordan esta cuestión desde su diseño.

Redacción de contenido de correo electrónico

Las organizaciones que priorizan la seguridad sobre la conveniencia pueden requerir que los usuarios de sus computadoras utilicen un cliente de correo electrónico que elimine las URL de los mensajes de correo electrónico, haciendo imposible que el lector del correo electrónico haga clic en un enlace o incluso copie una URL. Si bien esto puede resultar inconveniente, casi elimina los ataques de phishing por correo electrónico.

Limitaciones de las respuestas técnicas.

Un artículo publicado en Forbes en agosto de 2014 sostiene que la razón por la que los problemas de phishing persisten incluso después de una década de venta de tecnologías anti-phishing es que el phishing es "un medio tecnológico para explotar las debilidades humanas" y que la tecnología no puede compensar completamente las debilidades humanas. ^{[145] [146]}

Respuestas organizacionales

Los académicos han descubierto que la inversión en factores tecnológicos y organizativos puede afectar la protección contra el phishing. Los estudios encontraron que las organizaciones pueden mejorar la educación técnica de sus empleados si incluyen factores sociotécnicos en su formación. ^[147]

Respuestas legales

Instrucciones en video de la Comisión Federal de Comercio de EE. UU. sobre cómo presentar una queja ante la Comisión Federal de Comercio

El 26 de enero de 2004, la Comisión Federal de Comercio de Estados Unidos presentó la primera demanda contra un adolescente californiano sospechoso de phishing al crear una página web que imitaba America Online y robar información de tarjetas de crédito. ^[148] Otros países han seguido este ejemplo rastreando y arrestando a phishers. Un capo del phishing, Valdir Paulo de Almeida, fue arrestado en Brasil por liderar una de las mayores redes criminales de phishing , que en dos años robó entre 18 y 37 millones de dólares . ^[149] Las autoridades del Reino Unido encarcelaron a dos hombres en junio de 2005 por su papel en una estafa de phishing, ^[150] en un caso relacionado con la Operación Firewall del Servicio Secreto de EE. UU ., que tenía como objetivo notorios sitios web "carder". ^[151] En 2006, la policía japonesa arrestó a ocho personas por crear sitios web falsos de Yahoo Japón, ganando 100 millones de yenes ( 870.000 dólares estadounidenses ) ^[152] y el FBI detuvo a una banda de dieciséis en los EE. UU. y Europa en la Operación Cardkeeper. ^[153]

El senador Patrick Leahy presentó la Ley Anti-Phishing de 2005 al Congreso de los Estados Unidos el 1 de marzo de 2005. Este proyecto de ley tenía como objetivo imponer multas de hasta 250.000 dólares y penas de prisión de hasta cinco años a los delincuentes que utilizaran sitios web y correos electrónicos falsos para defraudar a los consumidores. ^[154] En el Reino Unido, la Ley de Fraude de 2006 ^[155] introdujo un delito general de fraude punible con hasta diez años de prisión y prohibió el desarrollo o posesión de kits de phishing con la intención de cometer fraude. ^[156]

Las empresas también se han sumado al esfuerzo para acabar con el phishing. El 31 de marzo de 2005, Microsoft presentó 117 demandas federales en el Tribunal de Distrito de los Estados Unidos para el Distrito Oeste de Washington . Las demandas acusan a los acusados ​​de " John Doe " de obtener contraseñas e información confidencial. En marzo de 2005 también se produjo una asociación entre Microsoft y el gobierno australiano para enseñar a los funcionarios encargados de hacer cumplir la ley cómo combatir diversos delitos cibernéticos, incluido el phishing. ^[157] Microsoft anunció otros 100 juicios previstos fuera de los EE. UU. en marzo de 2006, ^[158] seguidos por el inicio, en noviembre de 2006, de 129 juicios que mezclaban acciones penales y civiles. ^[159] AOL reforzó sus esfuerzos contra el phishing ^[160] a principios de 2006 con tres demandas ^[161] solicitando un total de 18 millones de dólares estadounidenses en virtud de las enmiendas de 2005 a la Ley de Delitos Informáticos de Virginia, ^{[162] [163]} y Earthlink se ha sumado a ayudando a identificar a seis hombres acusados ​​posteriormente de fraude de phishing en Connecticut . ^[164]

En enero de 2007, Jeffrey Brett Goodin de California se convirtió en el primer acusado condenado por un jurado en virtud de las disposiciones de la Ley CAN-SPAM de 2003 . Fue declarado culpable de enviar miles de correos electrónicos a usuarios de AOL , haciéndose pasar por el departamento de facturación de la empresa, lo que incitaba a los clientes a enviar información personal y de tarjetas de crédito. Enfrentando posibles 101 años de prisión por la violación CAN-SPAM y otros diez cargos que incluyen fraude electrónico , uso no autorizado de tarjetas de crédito y uso indebido de la marca registrada AOL, fue sentenciado a cumplir 70 meses. Goodin había estado detenido desde que no se presentó a una audiencia judicial anterior y comenzó a cumplir su pena de prisión de inmediato. ^{[165] [166] [167] [168]}

Incidentes notables

• 2016-2021 robos de phishing literario

Ver también

• portal de derecho

• Software antiphishing  : programas informáticos que intentan identificar contenido de phishing contenido en sitios web y correos electrónicos.Páginas que muestran descripciones de wikidata como alternativa
• Brandjacking  : asumir la identidad en línea de otra entidad
• pesca de gato
• secuestro de clics
• Phishing durante la sesión  : tipo de ataque de phishing
• Fraude en Internet  : fraude o engaño a través de Internet
• Granja de enlaces
• Lista de sesgos cognitivos  : patrones sistemáticos de desviación de la norma o la racionalidad en el juicio, muchos de los cuales se puede abusar mediante phishing
• ratonera
• Prueba de penetración  : ciberataque autorizado con fines de prueba
• SiteKey  : servicio de autenticación basado en web
• Caballo de Troya
• Rango de confianza
• Typosquatting  : forma de ciberocupación que se basa en errores al ingresar la dirección de un sitio web

Referencias

1. Jansson, K.; von Solms, R. (9 de noviembre de 2011). "Phishing para concienciar sobre el phishing". Comportamiento y tecnología de la información . 32 (6): 584–593. doi :10.1080/0144929X.2011.632650. ISSN  0144-929X. S2CID  5472217.
2. Ramzan, Zulfikar (2010). "Ataques de phishing y contramedidas". En Sello, Marca; Stavroulakis, Peter (eds.). Manual de Seguridad de la Información y las Comunicaciones . Saltador. ISBN 978-3-642-04117-4.
3. "Informe sobre delitos en Internet 2020" (PDF) . Centro de denuncias de delitos en Internet del FBI . Oficina Federal de Investigaciones de EE. UU . Consultado el 21 de marzo de 2021 .
4. Ollmann, Gunter. "La guía de phishing: comprensión y prevención de ataques de phishing". Información técnica . Archivado desde el original el 31 de enero de 2011 . Consultado el 10 de julio de 2006 .
5. Wright, A; Aarón, S; Bates, DW (octubre de 2016). "El gran phishing: ciberataques contra los sistemas sanitarios de EE. UU.". Revista de Medicina Interna General . 31 (10): 1115–8. doi : 10.1007/s11606-016-3741-z . PMC 5023604 . PMID  27177913. 
6. Stonebraker, Steve (enero de 2022). "Metro de AOL". aolunderground.com (Pódcast). Ancla.fm.
7. Mitchell, Anthony (12 de julio de 2005). "Una introducción a Leet". TechNewsWorld. Archivado desde el original el 17 de abril de 2019 . Consultado el 21 de marzo de 2021 .
8. "Suplantación de identidad". Registro de idiomas, 22 de septiembre de 2004 . Archivado desde el original el 30 de agosto de 2006 . Consultado el 21 de marzo de 2021 .
9. Jøsang, Audun; et al. (2007). "Principios de usabilidad de seguridad para el análisis de vulnerabilidades y la evaluación de riesgos". Actas de la Conferencia Anual de Aplicaciones de Seguridad Informática 2007 (ACSAC'07) . Archivado desde el original el 21 de marzo de 2021 . Consultado el 11 de noviembre de 2020 .
10. Lin, Tian; Capecci, Daniel E.; Ellis, Donovan M.; Rocha, Harold A.; Dommaraju, Sandeep; Oliveira, Daniela S.; Ebner, Natalie C. (septiembre de 2019). "Susceptibilidad a los correos electrónicos de phishing: efectos de la demografía de los usuarios de Internet y el contenido del correo electrónico". Transacciones ACM sobre la interacción computadora-humano . 26 (5): 32. doi : 10.1145/3336141. ISSN  1073-0516. PMC 7274040 . PMID  32508486. 
11. "Informe de investigaciones de vulneración de datos de 2019" (PDF) . Caja de phishing . Comunicaciones de Verizon . Consultado el 21 de marzo de 2021 .
12. Furnell, Steven; Mijo, Kieran; Papadaki, María (julio de 2019). "Quince años de phishing: ¿puede salvarnos la tecnología?". Fraude informático y seguridad . 2019 (7): 11-16. doi :10.1016/S1361-3723(19)30074-0. S2CID  199578115 . Consultado el 21 de marzo de 2021 .
13. Waddell, Kaveh (11 de febrero de 2016). "El mercado negro de cuentas de Netflix". El Atlántico . Consultado el 21 de marzo de 2021 .
14. "Suplantación de identidad" . Centro profesional de TI de Windows . Consultado el 4 de marzo de 2019 .
15. Stephenson, Debbie (30 de mayo de 2013). "Spear Phishing: ¿A quién atrapan?". Firmex. Archivado desde el original el 11 de agosto de 2014 . Consultado el 27 de julio de 2014 .
16. "El pirateo de la NSA/GCHQ se vuelve personal: el criptógrafo belga apunta a". Revista Información Seguridad . 3 de febrero de 2018 . Consultado el 10 de septiembre de 2018 .
17. Leyden, John (4 de abril de 2011). "RSA explica cómo los atacantes violaron sus sistemas". El registro . Consultado el 10 de septiembre de 2018 .
18. Winterford, Brett (7 de abril de 2011). "La brecha de Epsilon utilizó un ataque de cuatro meses". itnews.com.au . Consultado el 10 de septiembre de 2018 .
19. O'Leary, Daniel E. (2019). "Lo que revelan los correos electrónicos de phishing: un análisis exploratorio de los intentos de phishing mediante análisis de texto". Revista Electrónica SSRN . doi :10.2139/ssrn.3427436. ISSN  1556-5068. S2CID  239250225. Archivado desde el original el 21 de marzo de 2021 . Consultado el 2 de noviembre de 2020 .
20. "Grupo de amenazas-4127 apunta a cuentas de Google". Secureworks.com . 26 de junio de 2016. Archivado desde el original el 11 de agosto de 2019 . Consultado el 12 de octubre de 2017 .
21. Nakashima, Elena; Harris, Shane (13 de julio de 2018). "Cómo los rusos piratearon el Comité Nacional Demócrata y pasaron sus correos electrónicos a WikiLeaks". El Washington Post . Archivado desde el original el 21 de marzo de 2021 . Consultado el 22 de febrero de 2019 .
22. Alkhalil, Z (2021). "Ataques de phishing: un estudio exhaustivo reciente y una nueva anatomía". Fronteras en Ciencias de la Computación . 3 . doi : 10.3389/fcomp.2021.563060 .
23. "Citaciones falsas arponean a 2.100 peces gordos corporativos". El registro . Archivado desde el original el 13 de marzo de 2011 . Consultado el 17 de abril de 2008 .
24. "¿Qué es la 'caza de ballenas'? ¿Es la caza de ballenas como el 'Spear Phishing'?". Acerca de la tecnología. Archivado desde el original el 18 de octubre de 2011 . Consultado el 28 de marzo de 2015 .
25. Jünger, Marianne; Wang, Victoria; Schlömer, Marleen (diciembre de 2020). "Fraude contra empresas tanto online como offline: guiones de delitos, características empresariales, esfuerzos y beneficios". Ciencia del crimen . 9 (1): 13. doi : 10.1186/s40163-020-00119-4 .
26. "Advertencia de fraude en acción después de un grave aumento en el fraude de directores ejecutivos". Fraude de acción . Consultado el 21 de marzo de 2021 .
27. "Estafas de facturas que afectan a las empresas de Nueva Zelanda". NZCERT . Consultado el 1 de julio de 2019 .
28. Parker, Tamsyn (18 de agosto de 2018). "La estafa de la factura de la casa deja a una pareja $ 53 mil de su bolsillo". El Heraldo de Nueva Zelanda . Archivado desde el original el 21 de marzo de 2021 . Consultado el 1 de julio de 2019 .
29. Griffin, Slade E.; Rackley, Casey C. (2008). "Vishing". Actas de la quinta conferencia anual sobre desarrollo curricular de seguridad de la información . págs. 33–35. doi :10.1145/1456625.1456635. ISBN 9781605583334.
30. Wang, Xinyuan; Zhang, Ruishan; Yang, Xiaohui; Jiang, Xuxian; Wijesekera, Duminda (2008). "Ataque de pharming de voz y confianza en VoIP". Actas de la 4ª conferencia internacional sobre Seguridad y privacidad en las redes de comunicación . págs. 1–11. doi :10.1145/1460877.1460908. ISBN 9781605582412. S2CID  7874236.
31. "Phishing, smishing y vishing: ¿cuál es la diferencia?" (PDF) . belvoircreditunion.org . 1 de agosto de 2008. Archivado desde el original (PDF) el 1 de abril de 2015.
32. Vishing y smishing: el aumento del fraude de ingeniería social Archivado el 21 de marzo de 2021 en Wayback Machine , BBC, Marie Keyworth, 1 de enero de 2016
33. Steinmetz, Kevin F.; Holt, Thomas J. (5 de agosto de 2022). "Caer en la ingeniería social: un análisis cualitativo de las recomendaciones de políticas de ingeniería social". Revisión informática de ciencias sociales : 089443932211175. doi : 10.1177/08944393221117501. ISSN  0894-4393. S2CID  251420893.
34. "Artículo de phishing por SMS en ConsumerAffairs.com". 8 de noviembre de 2006. Archivado desde el original el 21 de marzo de 2021 . Consultado el 29 de julio de 2020 .
35. Mishra, Sandhya; Soni, Devpriya (agosto de 2019). "Enfoques de mitigación y phishing por SMS". 2019 Duodécima Conferencia Internacional sobre Computación Contemporánea (IC3) . IEEE. págs. 1 a 5. doi : 10.1109/ic3.2019.8844920. ISBN 978-1-7281-3591-5. S2CID  202700726.
36. "¿Qué es Smishing?". Corporación Symantec . Consultado el 18 de octubre de 2018 .
37. Newman, Lily Hay. "Tricky Scam coloca enlaces de phishing en su calendario de Google". Cableado . ISSN  1059-1028 . Consultado el 11 de noviembre de 2021 .
38. Por (27 de agosto de 2019). "Los estafadores se dirigen a su calendario; aquí le mostramos cómo detenerlos". Ciencia popular . Consultado el 11 de noviembre de 2021 .
39. Wallen, Jack (26 de octubre de 2023). "Quishing es el nuevo phishing: lo que necesita saber". ZDNET . Consultado el 14 de noviembre de 2023 .
40. "¡Sea inteligente con el phishing! ¡Aprenda a leer enlaces!". Archivado desde el original el 17 de diciembre de 2016 . Consultado el 11 de diciembre de 2016 .
41. Cimpanu, Catalin (15 de junio de 2016). "El redireccionamiento de JavaScript oculto hace que las páginas de phishing sean más difíciles de detectar". Centro de noticias de Softpedia . Softpedia. Archivado desde el original el 21 de marzo de 2021 . Consultado el 21 de mayo de 2017 . Pasar el cursor por los enlaces para ver su verdadera ubicación puede ser un consejo de seguridad inútil en el futuro cercano si los phishers se vuelven inteligentes acerca de su modo de operación y siguen el ejemplo de un delincuente que recientemente logró eludir esta característica de seguridad incorporada en el navegador.
42. Johanson, Eric. "El estado de los ataques homógrafos Rev1.1". El grupo Shmoo . Archivado desde el original el 23 de agosto de 2005 . Consultado el 11 de agosto de 2005 .
43. Evgeniy Gabrilovich y Alex Gontmakher (febrero de 2002). "El ataque homógrafo" (PDF) . Comunicaciones de la ACM . 45 (2): 128. doi : 10.1145/503124.503156. S2CID  73840. Archivado desde el original (PDF) el 4 de noviembre de 2019 . Consultado el 15 de septiembre de 2019 .
44. Leyden, John (15 de agosto de 2006). "Barclays scripting SNAFU explotado por phishers". El registro . Archivado desde el original el 13 de junio de 2019 . Consultado el 10 de agosto de 2017 .
45. Levine, Jason. "Hacer phishing con eBay". Q Noticias diarias . Archivado desde el original el 26 de marzo de 2019 . Consultado el 14 de diciembre de 2006 .
46. Leyden, John (12 de diciembre de 2007). "Los ciberdelincuentes acechan en las sombras de los sitios web de renombre". El registro . Archivado desde el original el 23 de junio de 2019 . Consultado el 10 de agosto de 2017 .
47. "Sombrero negro DC 2009". 15 de mayo de 2011. Archivado desde el original el 3 de enero de 2015 . Consultado el 26 de julio de 2014 .
48. Mutton, Paul (12 de mayo de 2005). "Los estafadores buscan hacer que los sitios de phishing sean indetectables mediante filtros de contenido". Netcraft . Archivado desde el original el 24 de febrero de 2011.
49. "El uso del software OCR de reconocimiento óptico de caracteres en el filtrado de spam". PowerShow . Archivado desde el original el 21 de marzo de 2021 . Consultado el 13 de septiembre de 2019 .
50. Cui, Xinyue; Ge, Yan; Qu, Weina; Zhang, Kan (2020). "Efectos de la información del destinatario y las señales de urgencia en la detección de phishing". HCI Internacional 2020 - Pósteres . Comunicaciones en Informática y Ciencias de la Información. vol. 1226, págs. 520–525. doi :10.1007/978-3-030-50732-9_67. ISBN 978-3-030-50731-2. S2CID  220523895.
51. Williams, Emma J; Joinson, Adam N (1 de enero de 2020). "Desarrollo de una medida de búsqueda de información sobre phishing". Revista de Ciberseguridad . 6 (1). doi : 10.1093/cybsec/tyaa001 . hdl : 1983/7ba801b9-f6b8-4fc1-8393-de5238e76b2f . ISSN  2057-2085.
52. Lin, Tian; Capecci, Daniel E.; Ellis, Donovan M.; Rocha, Harold A.; Dommaraju, Sandeep; Oliveira, Daniela S.; Ebner, Natalie C. (septiembre de 2019). "Susceptibilidad a los correos electrónicos de phishing: efectos de la demografía de los usuarios de Internet y el contenido del correo electrónico". Transacciones ACM sobre la interacción computadora-humano . 26 (5). doi :10.1145/3336141. ISSN  1073-0516. PMC 7274040 . PMID  32508486. 
53. Tomlinson, Kerry (27 de enero de 2017). "Las noticias falsas pueden envenenar tanto tu computadora como tu mente". archersecuritygroup.com. Archivado desde el original el 2 de febrero de 2017 . Consultado el 28 de enero de 2017 .
54. "EarthLink gana una demanda de 25 millones de dólares contra un remitente de correo electrónico no deseado". Archivado desde el original el 22 de marzo de 2019 . Consultado el 11 de abril de 2014 .
55. Langberg, Mike (8 de septiembre de 1995). "AOL actúa para frustrar a los piratas informáticos". Noticias del Mercurio de San José . Archivado desde el original el 29 de abril de 2016 . Consultado el 14 de marzo de 2012 .
56. Rekouche, Koceilah (2011). "Suplantación de identidad temprana". arXiv : 1106.4692 [cs.CR].
57. "Suplantación de identidad". Palabra espía . Archivado desde el original el 15 de octubre de 2014 . Consultado el 28 de septiembre de 2006 .
58. "Historia de AOL Warez". Archivado desde el original el 6 de abril de 2011 . Consultado el 28 de septiembre de 2006 .
59. "GP4.3 - Crecimiento y fraude - Caso n.º 3 - Phishing". Criptografía financiera . 30 de diciembre de 2005. Archivado desde el original el 22 de enero de 2019 . Consultado el 23 de febrero de 2007 .
60. Sangani, Kris (septiembre de 2003). "La batalla contra el robo de identidad". El banquero . 70 (9): 53–54.
61. Kerstein, Paul (19 de julio de 2005). "¿Cómo podemos detener las estafas de phishing y pharming?". OSC. Archivado desde el original el 24 de marzo de 2008.
62. "En 2005, el crimen organizado respaldará a los phishers". Gestión de TI . 23 de diciembre de 2004. Archivado desde el original el 31 de diciembre de 2010.
63. Abad, Christopher (septiembre de 2005). "La economía del phishing: un estudio de las operaciones del mercado del phishing". Primer lunes . Archivado desde el original el 21 de noviembre de 2011 . Consultado el 8 de octubre de 2010 .
64. "Las pérdidas por fraude de phishing en el Reino Unido se duplican". Finextra. 7 de marzo de 2006. Archivado desde el original el 19 de enero de 2009 . Consultado el 20 de mayo de 2006 .
65. Richardson, Tim (3 de mayo de 2005). "Los británicos son víctimas del phishing". El registro . Archivado desde el original el 10 de junio de 2019 . Consultado el 10 de agosto de 2017 .
66. Krebs, Brian (13 de octubre de 2007). "La oscura empresa rusa es vista como un conducto para el ciberdelito". El Washington Post . Archivado desde el original el 11 de junio de 2019 . Consultado el 8 de septiembre de 2017 .
67. "Correos electrónicos sospechosos y robo de identidad". Servicio de ingresos internos . Archivado desde el original el 21 de febrero de 2011 . Consultado el 5 de julio de 2006 .
68. Kirk, Jeremy (2 de junio de 2006). "La estafa de phishing apunta a MySpace.com". Red IDG. Archivado desde el original el 16 de junio de 2006.
69. McCall, Tom (17 de diciembre de 2007). "La encuesta de Gartner muestra que los ataques de phishing se intensificaron en 2007; se perdieron más de 3 mil millones de dólares debido a estos ataques". Garner. Archivado desde el original el 18 de noviembre de 2012 . Consultado el 20 de diciembre de 2007 .
70. APWG. "Informe de tendencias de actividad de phishing" (PDF) . Archivado desde el original (PDF) el 3 de octubre de 2012 . Consultado el 4 de noviembre de 2013 .
71. "Anatomía de un ataque RSA". RSA.com . Laboratorios de investigación RSA FraudAction. Archivado desde el original el 6 de octubre de 2014 . Consultado el 15 de septiembre de 2014 .
72. Dibujó, Cristóbal; Markoff, John (27 de mayo de 2011). "Violación de datos en una empresa de seguridad vinculada a un ataque a Lockheed". Los New York Times . Archivado desde el original el 9 de julio de 2019 . Consultado el 15 de septiembre de 2014 .
73. Keizer, Greg (13 de agosto de 2011). "Los presuntos ataques chinos de phishing continúan afectando a los usuarios de Gmail". Mundo de la informática . Archivado desde el original el 21 de marzo de 2021 . Consultado el 4 de diciembre de 2011 .
74. Ewing, Philip (22 de agosto de 2011). "Informe: documental de televisión chino revela travesuras cibernéticas". Dod Buzz . Archivado desde el original el 26 de enero de 2017 . Consultado el 4 de diciembre de 2011 .
75. "Los piratas informáticos sirios utilizan Outbrain para atacar al Washington Post, Time y CNN" Archivado el 19 de octubre de 2013 en Wayback Machine , Philip Bump, The Atlantic Wire , 15 de agosto de 2013. Consultado el 15 de agosto de 2013.
76. O'Connell, Liz. "Informe: Estafa de phishing por correo electrónico provocó una infracción de Target". Tráeme las noticias . Archivado desde el original el 15 de septiembre de 2014 . Consultado el 15 de septiembre de 2014 .
77. Ausick, Paul. "Saco del director ejecutivo objetivo". Archivado desde el original el 15 de septiembre de 2014 . Consultado el 15 de septiembre de 2014 .
78. Los fiscales descubren que la filtración de desnudos de celebridades 'Fappening' no fue culpa de Apple Archivado el 18 de agosto de 2017 en Wayback Machine el 15 de marzo de 2016, Techcrunch
79. "ICANN objetivo de ataque de phishing | Se implementaron medidas de seguridad mejoradas". www.icann.org . Archivado desde el original el 7 de agosto de 2019 . Consultado el 18 de diciembre de 2014 .
80. Kube, Courtney (7 de agosto de 2015). "Rusia piratea las computadoras del Pentágono: NBC, citando fuentes". Archivado desde el original el 8 de agosto de 2019 . Consultado el 7 de agosto de 2015 .
81. Starr, Barbara (7 de agosto de 2015). "Oficial: Rusia sospechosa de intrusión en el servidor de correo electrónico del Estado Mayor Conjunto". Archivado desde el original el 8 de agosto de 2019 . Consultado el 7 de agosto de 2015 .
82. Doctorow, Cory (28 de agosto de 2015). "Los phishers con presuntos vínculos con el gobierno ruso falsifican el dominio EFF falso y atacan la Casa Blanca". Boing Boing . Archivado desde el original el 22 de marzo de 2019 . Consultado el 29 de noviembre de 2016 .
83. Quintin, Cooper (27 de agosto de 2015). "La nueva campaña de Spear Phishing pretende ser EFF". EFF. Archivado desde el original el 7 de agosto de 2019 . Consultado el 29 de noviembre de 2016 .
84. Sanger, David E.; Corasaniti, Nick (14 de junio de 2016). "El Comité Nacional Demócrata dice que los piratas informáticos rusos penetraron en sus archivos, incluido el expediente sobre Donald Trump". Los New York Times . Archivado desde el original el 25 de julio de 2019 . Consultado el 26 de octubre de 2016 .
85. Economista, personal de (24 de septiembre de 2016). "Oso sobre oso". Economista. Archivado desde el original el 20 de mayo de 2017 . Consultado el 25 de octubre de 2016 .
86. Jacinto Mascarenhas (23 de agosto de 2016). "Los piratas informáticos rusos 'Fancy Bear' probablemente violaron la agencia olímpica de pruebas de drogas y el Comité Nacional Demócrata, dicen los expertos". Tiempos de negocios internacionales . Consultado el 13 de septiembre de 2016 .
87. "Lo que sabemos sobre el equipo de piratería de Fancy Bears". Noticias de la BBC . 2016-09-15. Archivado desde el original el 22 de marzo de 2019 . Consultado el 17 de septiembre de 2016 .
88. Gallagher, Sean (6 de octubre de 2016). "Los investigadores encuentran datos falsos en el antidopaje olímpico, Guccifer 2.0 Clinton descarta". Ars Técnica. Archivado desde el original el 14 de julio de 2017 . Consultado el 26 de octubre de 2016 .
89. "Qatar enfrentó 93.570 ataques de phishing en el primer trimestre de 2017". Tiempos del Golfo (en árabe). 2017-05-12. Archivado desde el original el 4 de agosto de 2018 . Consultado el 28 de enero de 2018 .
90. "¡La estafa de phishing de Amazon Prime Day se está extendiendo ahora!". El show de Kim Komando . Archivado desde el original el 27 de mayo de 2019 . Consultado el 28 de enero de 2018 .
91. "Los piratas informáticos de criptomonedas están robando la ICO de $ 4 mil millones de EOS utilizando esta estafa furtiva". Jen Wieczner . Archivado desde el original el 21 de marzo de 2021 . Consultado el 31 de mayo de 2018 .
92. "Informe de investigación de Twitter - Departamento de Servicios Financieros". www.dfs.ny.gov . 2020-10-14 . Consultado el 11 de octubre de 2020 .
93. "Tres personas acusadas de presuntos roles en el hackeo de Twitter". justicia.gov . Consultado el 23 de marzo de 2022 .
94. "Página de inicio de Millersmiles". Servicios de información de Oxford. Archivado desde el original el 11 de julio de 2007 . Consultado el 3 de enero de 2010 .
95. "Página de inicio internacional de FraudWatch". FraudWatch Internacional. Archivado desde el original el 16 de junio de 2019 . Consultado el 3 de enero de 2010 .
96. Panadero, Emily; Wade panadero; John Tedesco (2007). "Las organizaciones responden al phishing: exploración de la caja de aparejos de relaciones públicas". Informes de investigación en comunicación . 24 (4): 327. doi : 10.1080/08824090701624239. S2CID  144245673.
97. Arachchilage, Nalin; Con cariño, Steve; Scott, Michael (1 de junio de 2012). "Diseño de un juego móvil para enseñar conocimientos conceptuales sobre cómo evitar 'ataques de phishing'". Revista internacional de seguridad del aprendizaje electrónico . 2 (1): 127–132. doi : 10.20533/ijels.2046.4568.2012.0016 .
98. Ponnurangam Kumaraguru; Yong Woo Rhee; Alejandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (noviembre de 2006). "Proteger a las personas del phishing: el diseño y la evaluación de un sistema de correo electrónico de capacitación integrado" (PDF) . Informe técnico CMU-CyLab-06-017, CyLab, Universidad Carnegie Mellon . Archivado desde el original (PDF) el 30 de enero de 2007 . Consultado el 14 de noviembre de 2006 .
99. Perrault, Evan K. (23 de marzo de 2017). "Uso de un cuestionario interactivo en línea para recalibrar las actitudes y las intenciones de comportamiento de los estudiantes universitarios sobre el phishing". Revista de investigación en informática educativa . 55 (8): 1154-1167. doi :10.1177/0735633117699232. S2CID  64269078.
100. Jampen, Daniel; Gür, Gürkan; Sutter, Thomas; Tellenbach, Bernhard (diciembre de 2020). "No hagas clic: hacia una formación anti-phishing eficaz. Una revisión comparativa de la literatura". Ciencias de la Información y Computación centradas en el ser humano . 10 (1): 33. doi : 10.1186/s13673-020-00237-7 . ISSN  2192-1962. S2CID  221084452.
101. Sacerdote, barrio; Anstis, Tony; Sebire, Isabel G; Sridharan, Shankar; Sebire, Neil J (4 de septiembre de 2019). "Phishing en organizaciones sanitarias: amenazas, mitigación y enfoques". BMJ Informática de salud y atención . 26 (1): e100031. doi :10.1136/bmjhci-2019-100031. ISSN  2632-1009. PMC 7062337 . PMID  31488498. 
102. Hendric, William. "Pasos para evitar el phishing". Archivado desde el original el 21 de marzo de 2021 . Consultado el 3 de marzo de 2015 .
103. "Consejos antiphishing que no debes seguir". Vista hexagonal . Archivado desde el original el 20 de marzo de 2008 . Consultado el 19 de junio de 2006 .
104. "Protéjase de correos electrónicos fraudulentos". Paypal . Archivado desde el original el 6 de abril de 2011 . Consultado el 7 de julio de 2006 .
105. Zeltser, Lenny (17 de marzo de 2006). "Los mensajes de phishing pueden incluir información altamente personalizada". El Instituto SANS. Archivado desde el original el 2 de diciembre de 2006 . Consultado el 20 de mayo de 2006 .
106. Markus Jakobsson y Jacob Ratkiewicz. "Diseño de experimentos de phishing éticos". WWW'06 . Archivado desde el original el 31 de enero de 2011 . Consultado el 20 de agosto de 2007 .
107. Markus Jakobsson ; Alex Tsow; Ankur Shah; Eli Blevis; You-kyung Lim. "¿Qué infunde confianza? Un estudio cualitativo del phishing" (PDF) . informatics.indiana.edu . Archivado desde el original (PDF) el 6 de marzo de 2007.
108. Fátima, Rubia; Yasin, Affan; Liu, Lin; Wang, Jianmin (11 de octubre de 2019). "¿Qué tan persuasivo es un correo electrónico de phishing? Un juego de phishing para concienciar sobre el phishing". Revista de seguridad informática . 27 (6): 581–612. doi :10.3233/JCS-181253. S2CID  204538981.
109. "Informes de tendencias de ataques de phishing de APWG". APWG . Archivado desde el original el 21 de marzo de 2021 . Consultado el 12 de septiembre de 2018 .
110. Google (25 de junio de 2017). "Manténgase a salvo del phishing y las estafas". Archivado desde el original el 21 de marzo de 2021 . Consultado el 12 de abril de 2020 a través de YouTube. {{cite web}}: |last=tiene nombre genérico ( ayuda )
111. Olivo, Cleber K.; Santín, Altair O.; Oliveira, Luiz S. (julio de 2011). "Obtención del modelo de amenazas para el phishing por correo electrónico". Computación blanda aplicada . 13 (12): 4841–4848. doi :10.1016/j.asoc.2011.06.016.
112. Madhusudhanan Chandrasekaran; Krishnan Narayanan; Shambhu Upadhyaya (marzo de 2006). "Detección de correos electrónicos de phishing basada en propiedades estructurales" (PDF) . Simposio de seguridad cibernética del Estado de Nueva York . Archivado desde el original (PDF) el 16 de febrero de 2008.
113. Ian Fette; Norman Sadeh; Anthony Tomasic (junio de 2006). "Aprender a detectar correos electrónicos de phishing" (PDF) . Informe técnico de la Universidad Carnegie Mellon CMU-ISRI-06-112 . Archivado (PDF) desde el original el 19 de junio de 2018 . Consultado el 30 de noviembre de 2006 .
114. "Dando otro golpe contra el phishing por correo electrónico (Blog de seguridad en línea de Google)". Archivado desde el original el 6 de junio de 2012 . Consultado el 21 de junio de 2012 .
115. "Navegación segura de Google". Archivado desde el original el 1 de septiembre de 2017 . Consultado el 30 de noviembre de 2017 .
116. "Navegación segura (Blog de seguridad en línea de Google)". Archivado desde el original el 5 de marzo de 2016 . Consultado el 21 de junio de 2012 .
117. Franco, Rob (21 de noviembre de 2005). "Mejor identificación de sitios web y certificados de validación extendida en IE7 y otros navegadores". IEBlog . Archivado desde el original el 25 de enero de 2010 . Consultado el 10 de febrero de 2020 .
118. "Bon Echo Anti-Phishing". Mozilla . Archivado desde el original el 24 de septiembre de 2006 . Consultado el 2 de junio de 2006 .
119. "Safari 3.2 finalmente obtiene protección contra phishing". Ars Técnica . 13 de noviembre de 2008. Archivado desde el original el 9 de febrero de 2009 . Consultado el 15 de noviembre de 2008 .
120. "Gone Phishing: evaluación de herramientas anti-phishing para Windows". 3Afilado. 27 de septiembre de 2006. Archivado desde el original el 14 de enero de 2008 . Consultado el 20 de octubre de 2006 .
121. "Dos cosas que me molestan sobre la nueva extensión para Firefox de Google". Nitesh Dhanjani en O'Reilly ONLamp . Archivado desde el original el 22 de julio de 2014 . Consultado el 1 de julio de 2007 .
122. "Prueba de eficacia de la protección contra phishing de Firefox 2". Archivado desde el original el 23 de enero de 2011 . Consultado el 23 de enero de 2007 .
123. Higgins, Kelly Jackson. "DNS obtiene un gancho antiphishing". Lectura oscura . Archivado desde el original el 18 de agosto de 2011 . Consultado el 8 de octubre de 2006 .
124. Krebs, Brian (31 de agosto de 2006). "Uso de imágenes para luchar contra el phishing". Solución de seguridad. Archivado desde el original el 16 de noviembre de 2006.
125. Seltzer, Larry (2 de agosto de 2004). "Detección de phishing y contraataque". Semana electrónica. Archivado desde el original el 5 de julio de 2019 . Consultado el 14 de diciembre de 2006 .
126. Banco de América. "Cómo funciona Bank of America SiteKey para la seguridad de la banca en línea". Archivado desde el original el 20 de junio de 2009 . Consultado el 23 de enero de 2007 .
127. Brubaker, Bill (14 de julio de 2005). "Bank of America personaliza la ciberseguridad". El Washington Post . Archivado desde el original el 8 de junio de 2019 . Consultado el 8 de septiembre de 2017 .
128. Stone, Brad (5 de febrero de 2007). "Un estudio encuentra ineficaz la medida antifraude web". Los New York Times . Archivado desde el original el 11 de junio de 2019 . Consultado el 5 de febrero de 2007 .
129. Estuardo Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (mayo de 2007). "Los nuevos indicadores de seguridad del emperador: una evaluación de la autenticación de sitios web y el efecto del juego de roles en los estudios de usabilidad" (PDF) . Simposio IEEE sobre seguridad y privacidad, mayo de 2007 . Archivado desde el original (PDF) el 20 de julio de 2008 . Consultado el 5 de febrero de 2007 .
130. "Los phishers apuntan al sistema de contraseña de un solo uso de Nordea". Finextra. 12 de octubre de 2005. Archivado desde el original el 18 de diciembre de 2005 . Consultado el 20 de diciembre de 2005 .
131. Krebs, Brian (10 de julio de 2006). "Citibank Phish falsifica la autenticación de dos factores". Solución de seguridad. Archivado desde el original el 10 de noviembre de 2006.
132. Graham Titterington. "Más fatalidad para el phishing". Ovum Research, abril de 2006 . Archivado desde el original el 10 de abril de 2008 . Consultado el 8 de abril de 2009 .
133. Schneier, Bruce. "Pieles de seguridad". Schneier sobre seguridad . Consultado el 3 de diciembre de 2006 .
134. Rachna Dhamija; JD Tygar (julio de 2005). "La batalla contra el phishing: máscaras de seguridad dinámicas" (PDF) . Simposio sobre privacidad y seguridad utilizables (SOUPS) 2005 . Archivado desde el original (PDF) el 29 de junio de 2007 . Consultado el 5 de febrero de 2007 .
135. "Tecnología de autenticación mutua dinámica para antiphishing". Confidenttechnologies.com . Consultado el 9 de septiembre de 2012 .
136. "Grupo de trabajo antiphishing: soluciones para proveedores". Grupo de trabajo antiphishing . Archivado desde el original el 21 de enero de 2011 . Consultado el 6 de julio de 2006 .
137. Xiang, Guang; Hong, Jason; Rosa, Carolyn P.; Cranor, Lorrie (1 de septiembre de 2011). "CANTINA+: un marco de aprendizaje automático rico en funciones para detectar sitios web de phishing". Transacciones ACM sobre Seguridad de la Información y Sistemas . 14 (2): 21:1–21:28. doi :10.1145/2019599.2019606. ISSN  1094-9224. S2CID  6246617. Archivado desde el original el 21 de marzo de 2021 . Consultado el 25 de noviembre de 2020 .
138. Leite, Cristoffer; Gondim, Joao JC; Barreto, Priscila Solís; Alchieri, Eduardo A. (2019). "Inundaciones de residuos: una herramienta de represalia por phishing". 2019 IEEE 18.º Simposio internacional sobre aplicaciones y computación en red (NCA) . Cambridge, MA, EE.UU.: IEEE. págs. 1–8. doi :10.1109/NCA.2019.8935018. ISBN 978-1-7281-2522-0. S2CID  209457656. Archivado desde el original el 21 de marzo de 2021 . Consultado el 25 de noviembre de 2020 .
139. McMillan, Robert (28 de marzo de 2006). "Los nuevos sitios permiten a los usuarios encontrar y denunciar phishing". Mundo Linux. Archivado desde el original el 19 de enero de 2009.
140. Schneier, Bruce (5 de octubre de 2006). "Tanque de phishing". Schneier sobre seguridad . Archivado desde el original el 9 de enero de 2011 . Consultado el 7 de diciembre de 2007 .
141. "Informar una página de phishing". Archivado desde el original el 19 de octubre de 2016 . Consultado el 13 de septiembre de 2019 .
142. Cómo denunciar estafas de phishing a Google Archivado el 14 de abril de 2013 en archive.today Consumer Scams.org
143. Uso del teléfono inteligente para verificar y firmar transacciones bancarias en línea Archivado el 23 de agosto de 2017 en Wayback Machine , SafeSigner.
144. Kan, Michael (7 de marzo de 2019). "Google: los ataques de phishing que pueden superar los dos factores están aumentando". Revista PC . Archivado desde el original el 8 de marzo de 2019 . Consultado el 9 de septiembre de 2019 .
145. Joseph Steinberg (25 de agosto de 2014). "Por qué corre el riesgo de sufrir ataques de phishing". Forbes . Archivado desde el original el 14 de julio de 2019 . Consultado el 14 de noviembre de 2014 .
146. Abroshan, Hossein; Devos, enero; Poels, Geert; Laermans, Eric (2021). "El phishing ocurre más allá de la tecnología: los efectos de los comportamientos humanos y la demografía en cada paso de un proceso de phishing". Acceso IEEE . 9 : 44928–44949. Código Bib : 2021IEEEA...944928A. doi : 10.1109/ACCESS.2021.3066383 . hdl : 1854/LU-8702902 . S2CID  232372568.
147. "https://csu-sfsu.primo.exlibrisgroup.com/discovery/fulldisplay?docid=cdi_proquest_journals_2592765513&context=PC&vid=01CALS_SFR:01CALS_SFR&lang=en&search_scope=Everything_RAPIDO&adaptor=Primo%20Central&tab=Everything&query=any,contains,phishing%2 0ataques y compensación = 0" . csu-sfsu.primo.exlibrisgroup.com . Consultado el 22 de septiembre de 2023 . {{cite web}}: Enlace externo en |title=( ayuda )
148. Legon, Jeordan (26 de enero de 2004). "Las estafas de phishing afectan su identidad". CNN. Archivado desde el original el 6 de noviembre de 2018 . Consultado el 8 de abril de 2006 .
149. Leyden, John (21 de marzo de 2005). "La policía brasileña captura al capo del phishing'". El registro . Archivado desde el original el 17 de abril de 2016 . Consultado el 19 de agosto de 2005 .
150. Roberts, Paul (27 de junio de 2005). "Phishers del Reino Unido atrapados y encerrados". eSEMANA. Archivado desde el original el 5 de julio de 2019 . Consultado el 3 de septiembre de 2005 .
151. "Diecinueve personas acusadas de conspiración de 'tarjetas' en Internet". justicia.gov. Archivado desde el original el 22 de marzo de 2019 . Consultado el 13 de octubre de 2015 .
152. "8 retenidos por presunto fraude de phishing". Yomiuri Shimbun . 31 de mayo de 2006.
153. "Banda de phishing arrestada en EE. UU. y Europa del Este después de una investigación del FBI". Archivado desde el original el 6 de abril de 2011 . Consultado el 14 de diciembre de 2006 .
154. "Los phishers se enfrentarían a 5 años según el nuevo proyecto de ley". Semana de la Información . 2 de marzo de 2005. Archivado desde el original el 19 de febrero de 2008 . Consultado el 4 de marzo de 2005 .
155. "Ley de fraude de 2006". Archivado desde el original el 27 de octubre de 2007 . Consultado el 14 de diciembre de 2006 .
156. "Condenas de prisión para estafadores de phishing". El registro . 14 de noviembre de 2006. Archivado desde el original el 21 de junio de 2019 . Consultado el 10 de agosto de 2017 .
157. "Microsoft se asocia con agencias de aplicación de la ley australianas para combatir el delito cibernético". Microsoft . Archivado desde el original el 3 de noviembre de 2005 . Consultado el 24 de agosto de 2005 .
158. Espiner, Tom (20 de marzo de 2006). "Microsoft lanza un ataque legal contra los phishers". ZDNet. Archivado desde el original el 29 de agosto de 2008 . Consultado el 20 de mayo de 2006 .
159. Leyden, John (23 de noviembre de 2006). "MS detecta algunos casos de phishing perdidos". El registro . Archivado desde el original el 10 de junio de 2019 . Consultado el 10 de agosto de 2017 .
160. "Una historia de liderazgo - 2006". Archivado desde el original el 22 de mayo de 2007.
161. "AOL lleva la lucha contra el robo de identidad a los tribunales y presenta demandas contra tres importantes bandas de phishing". Archivado desde el original el 31 de enero de 2007 . Consultado el 8 de marzo de 2006 .
162. "Ley de Delitos Informáticos HB 2471; cambios en disposiciones, sanción" . Consultado el 8 de marzo de 2006 .
163. Brulliard, Karin (10 de abril de 2005). "Los legisladores de Virginia pretenden enganchar a los ciberestafadores". El Washington Post . Archivado desde el original el 11 de junio de 2019 . Consultado el 8 de septiembre de 2017 .
164. "La evidencia de Earthlink ayuda a cerrar la puerta a la red de spam de sitios de phisher". Archivado desde el original el 5 de julio de 2007 . Consultado el 14 de diciembre de 2006 .
165. Príncipe, Brian (18 de enero de 2007). "Hombre declarado culpable de atacar a clientes de AOL en una estafa de phishing". Revista PC . Archivado desde el original el 21 de marzo de 2009 . Consultado el 8 de septiembre de 2017 .
166. Leyden, John (17 de enero de 2007). "El estafador de phishing de AOL declarado culpable". El registro . Archivado desde el original el 22 de marzo de 2019 . Consultado el 10 de agosto de 2017 .
167. Leyden, John (13 de junio de 2007). "El phisher de AOL recibe seis años de prisión". El registro . Archivado desde el original el 11 de junio de 2019 . Consultado el 10 de agosto de 2017 .
168. Gaudin, Sharon (12 de junio de 2007). "Un hombre de California recibe una sentencia de seis años por phishing". Semana de la Información . Archivado desde el original el 11 de octubre de 2007 . Consultado el 1 de julio de 2007 .

enlaces externos

• Grupo de trabajo antiphishing
• Centro para la gestión de identidad y protección de la información - Utica College
• Tapar el agujero del "phishing": legislación versus tecnología Archivado el 28 de diciembre de 2005 en Wayback Machine - Duke Law & Technology Review
• Ejemplo de un intento de phishing con capturas de pantalla y explicaciones – StrategicRevenue.com
• Un esfuerzo inútil: el phishing como tragedia de los comunes – Microsoft Corporation
• Base de datos para información sobre sitios de phishing reportados por el público – PhishTank
• El impacto de los incentivos en la notificación y la retirada: Laboratorio de informática, Universidad de Cambridge (PDF, 344 kB)