Фишинг

Эта статья — о преступлении. О судебной тактике см. Выуживание.

Фи́шинг (англ. phishing от fishing «рыбная ловля, выуживание»^[1]) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «подтверждение авторизации»

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

История

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet^[2][3], хотя возможно его более раннее упоминание в хакерском журнале 2600^[4].

Ранний фишинг на AOL

Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам^[5].

Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль^[6]. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку^[7], и фишинг на серверах AOL постепенно сошёл на нет.

Переход к финансовым учреждениям

Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября^[8]. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал^[9].

Фишинг сегодня

Диаграмма роста числа зафиксированных случаев фишинга

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем.^[10] В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках^[11]. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку^[12]. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях^[13].

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей^[14]: в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных^[15]; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте^[16][17]. По оценкам специалистов, более 70 % фишинговых атак в социальных сетях успешны^[18].

Фишинг стремительно набирает свои обороты, но оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США^[19], в 2006 году ущерб составил 2,8 млрд долларов^[20], в 2007 — 3,2 миллиарда^[21]; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек^[20], к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов^[22].

Техника фишинга

Социальная инженерия

Основная статья: Социальная инженерия

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.

Веб-ссылки

Пример фишингового письма от платёжной системы Яндекс.Деньги, где внешне подлинная веб-ссылка ведёт на фишинговый сайт

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например https://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, https://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля^[23]. Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer^[24], а Mozilla Firefox^[25] и Opera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML-теге <a> значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

Обход фильтров

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами^[26]. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу^[27]. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга^[28].

Веб-сайты

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки^[29]. Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным URL^[30].

Злоумышленник может использовать уязвимости в скриптах подлинного сайта^[31]. Этот вид мошенничества (известный как межсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё (от веб-адреса до сертификатов) выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношении PayPal в 2006 году^[32].

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологии Flash. Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах^[33].

Новые угрозы

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами^[34]. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера^[35][36]. Чаще всего злоумышленники выдают себя за сотрудников службы безопасности банка и сообщают жертве о зафиксированной попытке незаконного списания средств с его счёта. В конечном счёте, человека также попросят сообщить его учётные данные^[37].

Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг»)^[38]. Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передаёт их злоумышленникам^[39]. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем»^[40].

Борьба с фишингом

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

Обучение пользователей

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении^[41].

Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например, PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга^[42]. Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали^[43], что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения^[44]. Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали^[45].

Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами^[46]. Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы.

Технические методы

Браузеры, предупреждающие об угрозе фишинга

Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera^{[47][48][49][50]}. Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer^[51].

В 2006 году появилась методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере^[52] и близок использованию hosts-файла для блокировки рекламы.

Усложнение процедуры авторизации

Сайт Bank of America^[53][54] предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля^[55][56].

Борьба с фишингом в почтовых сообщениях

Специализированные спам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается на машинном обучении и обработке естественного языка при анализе фишинговых писем^[57][58].

Услуги мониторинга

Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов^[59]. Физические лица могут помогать подобным группам^[60] (например, PhishTank^[61]), сообщая о случаях фишинга.

Юридические меры

26 января 2004 года Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Ответчик, подросток из Калифорнии, обвинялся в создании веб-страницы, внешне схожей с сайтом AOL, и краже данных кредитных карт^[62]. Другие страны последовали этому примеру и начали искать и арестовывать фишеров. Так, в Бразилии был арестован Вальдир Пауло де Альмейда, глава одной из крупнейших фишинговых преступных группировок, в течение двух лет укравшей от 18 до 37 миллионов долларов США^[63]. В июне 2005 года власти Великобритании осудили двух участников интернет-мошенничества^[64]. В 2006 году японской полицией было задержано восемь человек по подозрению в фишинге и краже 100 миллионов иен (870 000 долларов США)^[65]. Аресты продолжались в 2006 году — в ходе спецоперации ФБР задержало банду из шестнадцати участников в Европе и США^[66].

В Соединённых Штатах Америки 1 марта 2005 года сенатор Патрик Лехи представил Конгрессу проект Антифишингового закона. Если бы этот законопроект был принят, то преступники, создающие фальшивые веб-сайты и рассылающие поддельную электронную почту, подвергались бы штрафу до 250 тысяч долларов и лишению свободы сроком до пяти лет^[67]. В Великобритании был принят Закон о мошенничестве 2006 года^[68], предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества^[69].

Компании также принимают участие в борьбе с фишингом. 31 марта 2005 года Microsoft подала 117 судебных исков в федеральный окружной суд США Западного округа, обвиняющих «Джона Доу» в получении паролей и конфиденциальной информации. Март 2005 года был отмечен началом партнёрства Microsoft и правительства Австралии по обучению сотрудников правоохранительных органов борьбе с различными киберпреступлениями, в том числе фишингом^[70].

В январе 2007 года Джеффри Бретт Гудин из Калифорнии был признан виновным в рассылке тысяч сообщений электронной почты пользователям America Online от имени AOL, убеждая клиентов раскрыть конфиденциальную информацию. Имея шанс получить 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт, а также неправомерное использование товарных знаков AOL, он был приговорён к 70 месяцам заключения^{[71][72][73][74]}.

В Российской Федерации первое крупное дело против банды фишеров началось в сентябре 2009 года. По самым скромным оценкам мошенники похитили около 6 миллионов рублей. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере^[75]. Отдельные процессы имели место и ранее: так, в 2006 году суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Мошенник был приговорен к 6 годам условного срока и возмещению компаниям ущерба в размере 3 миллионов рублей^[76]. Но в целом правовая борьба в России ограничивается лишь незначительными судебными разбирательствами, редко оканчивающимися серьёзными приговорами.

Как считает ведущий специалист Следственного комитета при МВД по расследованию преступлений в сфере компьютерной информации и высоких технологий подполковник юстиции Игорь Яковлев, основная проблема в расследовании подобных преступлений в России заключается в нехватке специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело не только до суда, но и до обвинительного вердикта^[77]. Руководитель подразделения Центра информационной безопасности ФСБ России Сергей Михайлов добавляет, что «в России самое лояльное законодательство по отношению к киберпреступности». Также плохо налажено сотрудничество с зарубежными структурами, что мешает скоординированной борьбе с преступниками^[78].

См. также

• Выуживание — фишинг в гражданских процессах в странах общего права
• Вишинг

Примечания

1. Mark Liberman. Phishing (англ.). UPenn Language Log (22 сентября 2004). Дата обращения: 1 февраля 2019. Архивировано из оригинала 23 августа 2011 года.
2. Cave Paintings. Phishing (англ.). Дата обращения: 21 ноября 2008. Архивировано из оригинала 23 августа 2011 года.
3. Usenet (англ.). — 2 января 1996 г. Дата обращения: 21 ноября 2008. Архивировано 29 октября 2006 года.
4. The Phishing Guide (англ.). Дата обращения: 21 ноября 2008. Архивировано из оригинала 31 января 2011 года.
5. phishing (англ.) (1 августа 2003). Дата обращения: 21 ноября 2008. Архивировано из оригинала 5 декабря 2008 года.
6. Michael Stutz. AOL: A Cracker's Paradise? (англ.) (29 января 1998). Дата обращения: 21 ноября 2008. Архивировано из оригинала 18 июня 2009 года.
7. History of AOL Warez (англ.). Дата обращения: 21 ноября 2008. Архивировано из оригинала 31 января 2011 года.
8. GP4.3 — Growth and Fraud — Case #3 — Phishing (англ.) (30 декабря 2005). Дата обращения: 21 ноября 2008. Архивировано 22 января 2019 года.
9. Kate Stoodley. In 2005, Organized Crime Will Back Phishers (англ.) (23 декабря 2004). Дата обращения: 21 ноября 2008. Архивировано из оригинала 31 января 2011 года.
10. МВД по Республике Коми настоятельно рекомендует гражданам не перезванивать на номера телефонов, указанных в смс-сообщениях о блокировке банковской карты  (неопр.). Дата обращения: 27 февраля 2016. Архивировано из оригинала 4 марта 2016 года.
11. Suspicious e-Mails and Identity Theft (англ.). Internal Revenue System (13 июня 2008). Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
12. Markus Jakobsson, Tom N. Jagatic, Sid Stamm. Phishing for Clues (англ.). Дата обращения: 21 ноября 2008. Архивировано из оригинала 10 марта 2010 года.
13. Dan Goodin. Fake subpoenas harpoon 2,100 corporate fat cats (англ.) (16 апреля 2008). Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
14. Jeremy Kirk. Phishing Scam Takes Aim at MySpace.com (англ.). IDG News Service. Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
15. MySpace XSS QuickTime Worm (англ.) (12 января 2006). Дата обращения: 21 ноября 2008. Архивировано 24 декабря 2008 года.
16. Пользователи сайта "В Контакте.Ру" стали жертвами компьютерного вируса  (неопр.). РИА Новости (16 мая 2008). Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
17. В контакте с вирусом  (неопр.). Коммерсантъ (25 сентября 2008). Дата обращения: 21 ноября 2008. Архивировано 17 ноября 2014 года.
18. Tom Jagatic, Nathaniel Johnson, Markus Jakobsson, Filippo Menczer. Social Phishing (англ.) (12 декабря 2005). Дата обращения: 21 ноября 2008. Архивировано 31 января 2011 года.
19. Эльвира Кошкина. В США подсчитали ущерб от фишинга  (неопр.). Компьюлента (5 октября 2004). Дата обращения: 24 августа 2009. Архивировано из оригинала 31 января 2011 года.
20. К концу 2006 г. ущерб от фишеров составит $2,8 млрд  (неопр.). InformationSecurity (23 ноября 2006). Дата обращения: 24 августа 2009. Архивировано 6 июня 2007 года.
21. Дебетовые карты стали самой популярной мишенью для мошенников  (неопр.). Bankir.Ru (20 декабря 2007). Дата обращения: 24 августа 2009. Архивировано 4 марта 2016 года.
22. Количество фишинг-атак возросло на 40%  (неопр.). Astera (17 апреля 2009). Дата обращения: 24 августа 2009. Архивировано 4 марта 2016 года.
23. Berners-Lee, Tim. Uniform Resource Locators (URL)  (неопр.). IETF Network Working Group. Дата обращения: 28 января 2006. Архивировано из оригинала 31 января 2011 года.
24. Microsoft. A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs  (неопр.). Microsoft Knowledgebase. Дата обращения: 28 августа 2005. Архивировано 31 января 2011 года.
25. Fisher, Darin. Warn when HTTP URL auth information isn't necessary or when it's provided  (неопр.). Bugzilla. Дата обращения: 28 августа 2005. Архивировано 8 марта 2021 года.
26. Mutton, Paul. Fraudsters seek to make phishing sites undetectable by content filters  (неопр.). Netcraft. Дата обращения: 10 июля 2006. Архивировано из оригинала 31 января 2011 года.
27. Предотвратите попадание нежелательной почты в папку «Входящие»  (неопр.). Microsoft (26 января 2007). Дата обращения: 27 сентября 2009. Архивировано 31 января 2011 года.
28. Kaspersky Hosted Email Security  (неопр.). Лаборатория Касперского. Дата обращения: 27 сентября 2009. Архивировано 4 ноября 2011 года.
29. Mutton, Paul. Phishing Web Site Methods  (неопр.). FraudWatch International. Дата обращения: 14 декабря 2006. Архивировано из оригинала 31 января 2011 года.
30. "Phishing con hijacks browser bar". BBC News. 2004-04-08. Архивировано 27 марта 2009. Дата обращения: 7 января 2009.
31. Krebs, Brian. Flaws in Financial Sites Aid Scammers  (неопр.). Security Fix. Дата обращения: 28 июня 2006. Архивировано 31 января 2011 года.
32. Mutton, Paul. PayPal Security Flaw allows Identity Theft  (неопр.). Netcraft. Дата обращения: 19 июня 2006. Архивировано из оригинала 31 января 2011 года.
33. Miller, Rich. Phishing Attacks Continue to Grow in Sophistication  (неопр.). Netcraft. Дата обращения: 19 декабря 2007. Архивировано из оригинала 27 сентября 2011 года.
34. Gonsalves, Antone (2006-04-25). "Phishers Snare Victims With VoIP". Techweb. Архивировано 28 марта 2007. Дата обращения: 7 января 2009.
35. "Identity thieves take advantage of VoIP". Silicon.com. 2005-05-23. Архивировано 17 апреля 2009. Дата обращения: 5 сентября 2009.
36. New phishing scam uses fake caller ID numbers (англ.). scambusters.org (22 марта 2009). Дата обращения: 6 сентября 2009. Архивировано 31 января 2011 года.
37. Charles H Green. Phishing and Financial Misdeeds: Trust Caller ID, Become a Crime Victim! (англ.) (8 июня 2009). Дата обращения: 6 сентября 2009. Архивировано 31 января 2011 года.
38. Andrew R. Hickey. SMS phishing is here (англ.). SearchMobileComputing.com (6 сентября 2006). Дата обращения: 6 сентября 2009. Архивировано из оригинала 23 августа 2011 года.
39. What are vishing, caller ID spoofing and SMS phishing scams? (англ.). Дата обращения: 31 января 2011. Архивировано 23 августа 2011 года.
40. Text message (SMS) phishing (англ.). Дата обращения: 6 сентября 2009. Архивировано 31 января 2011 года.
41. Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge. Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System  (неопр.) (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. (ноябрь 2006). Дата обращения: 14 ноября 2006. Архивировано из оригинала 30 января 2007 года.
42. Protect Yourself from Fraudulent Emails  (неопр.). PayPal. Дата обращения: 7 июля 2006. Архивировано 6 апреля 2011 года.
43. Markus Jakobsson, Alex Tsow, Ankur Shah, Eli Blevis, Youn-kyung Lim. What Instills Trust? A Qualitative Study of Phishing.  (неопр.) (PDF). USEC '06. Дата обращения: 3 февраля 2009. Архивировано из оригинала 6 марта 2007 года.
44. Zeltser, Lenny Phishing Messages May Include Highly-Personalized Information  (неопр.). The SANS Institute (17 марта 2006). Дата обращения: 2 февраля 2009. Архивировано 2 декабря 2006 года.
45. Markus Jakobsson and Jacob Ratkiewicz. Designing Ethical Phishing Experiments  (неопр.). WWW '06. Дата обращения: 3 февраля 2009. Архивировано из оригинала 17 марта 2008 года.
46. Kawamoto, Dawn Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats.  (неопр.) CNet (4 августа 2005). Дата обращения: 31 января 2011. Архивировано 23 августа 2011 года.
47. Franco, Rob. Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers  (неопр.). IEBlog. Дата обращения: 2 февраля 2009. Архивировано 23 августа 2011 года.
48. Bon Echo Anti-Phishing  (неопр.). Mozilla. Дата обращения: 2 февраля 2009. Архивировано 23 августа 2011 года.
49. Safari 3.2 finally gains phishing protection  (неопр.). Ars Technica (13 ноября 2008). Дата обращения: 2 февраля 2009. Архивировано 23 августа 2011 года.
50. "Gone Phishing: Evaluating Anti-Phishing Tools for Windows". 3Sharp. 2006-09-27. Архивировано 14 января 2008. Дата обращения: 2 февраля 2009.
51. Firefox 2 Phishing Protection Effectiveness Testing  (неопр.). Дата обращения: 2 февраля 2009. Архивировано 31 января 2011 года.
52. Higgins, Kelly Jackson. DNS Gets Anti-Phishing Hook  (неопр.). Dark Reading. Дата обращения: 2 февраля 2009. Архивировано 18 августа 2011 года.
53. Bank of America. How Bank of America SiteKey Works For Online Banking Security  (неопр.). Дата обращения: 2 февраля 2009. Архивировано из оригинала 23 августа 2011 года.
54. Brubaker, Bill (2005-07-14). "Bank of America Personalizes Cyber-Security". Washington Post. Архивировано 8 июня 2019. Дата обращения: 1 октября 2017.
55. Stone, Brad Study Finds Web Antifraud Measure Ineffective  (неопр.). New York Times (5 февраля 2007). Дата обращения: 2 февраля 2009. Архивировано 31 января 2011 года.
56. Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer. The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies  (неопр.) (PDF). IEEE Symposium on Security and Privacy, May 2007 (May 2007). Дата обращения: 2 февраля 2009. Архивировано из оригинала 20 июля 2008 года.
57. Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya. Phishing E-mail Detection Based on Structural Properties  (неопр.) (PDF). NYS Cyber Security Symposium (март 2006). Дата обращения: 31 января 2011. Архивировано 23 августа 2011 года.
58. Ian Fette, Norman Sadeh, Anthony Tomasic. Learning to Detect Phishing Emails  (неопр.) (PDF). Carnegie Mellon University Technical Report CMU-ISRI-06-112 (июнь 2006). Дата обращения: 3 февраля 2009. Архивировано из оригинала 31 января 2011 года.
59. Anti-Phishing Working Group: Vendor Solutions  (неопр.). Anti-Phishing Working Group. Дата обращения: 3 февраля 2009. Архивировано из оригинала 31 января 2011 года.
60. McMillan, Robert (2006-03-28). "New sites let users find and report phishing". LinuxWorld. Архивировано 19 января 2009. Дата обращения: 3 февраля 2009.
61. Schneier, Bruce PhishTank  (неопр.). Schneier on Security (5 октября 2006). Дата обращения: 3 февраля 2009. Архивировано 31 января 2011 года.
62. Legon, Jeordan (2004-01-26). "'Phishing' scams reel in your identity". CNN. Архивировано 8 апреля 2006. Дата обращения: 3 февраля 2009.
63. Leyden, John (2005-03-21). "Brazilian cops net 'phishing kingpin'". The Register. Архивировано 17 апреля 2016. Дата обращения: 3 февраля 2009.
64. Roberts, Paul (2005-06-27). "UK Phishers Caught, Packed Away". eWEEK. Архивировано 1 июля 2019. Дата обращения: 3 февраля 2009.
65. "8 held over suspected phishing fraud". The Daily Yomiuri. 2006-05-31.
66. Phishing gang arrested in USA and Eastern Europe after FBI investigation  (неопр.). Дата обращения: 3 февраля 2009. Архивировано из оригинала 31 января 2011 года.
67. "Phishers Would Face 5 Years Under New Bill". Information Week. 2005-03-02. Архивировано 19 февраля 2008. Дата обращения: 3 февраля 2009.
68. Fraud Act 2006  (неопр.). Дата обращения: 3 февраля 2009. Архивировано 23 августа 2011 года.
69. "Prison terms for phishing fraudsters". The Register. 2006-11-14. Архивировано 21 июня 2019. Дата обращения: 1 октября 2017.
70. Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime  (неопр.). Дата обращения: 3 февраля 2009. Архивировано 3 ноября 2005 года.
71. Prince, Brian (2007-01-18). "Man Found Guilty of Targeting AOL Customers in Phishing Scam". PCMag.com. Архивировано 21 марта 2009. Дата обращения: 1 октября 2017.
72. Leyden, John (2007-01-17). "AOL phishing fraudster found guilty". The Register. Архивировано 22 марта 2019. Дата обращения: 1 октября 2017.
73. Leyden, John (2007-06-13). "AOL phisher nets six years' imprisonment". The Register. Архивировано 11 июня 2019. Дата обращения: 1 октября 2017.
74. Gaudin, Sharon (2007-06-12). "California Man Gets 6-Year Sentence For Phishing". InformationWeek. Архивировано 11 октября 2007. Дата обращения: 3 февраля 2009.
75. Федосенко, Владимир Впервые у нас будут судить группу электронных взломщиков  (неопр.). Российская Газета (11 сентября 2009). Дата обращения: 22 сентября 2009. Архивировано 14 сентября 2009 года.
76. Форманюк, Маша Неосторожность в Сети обойдется мошеннику в $100 тыс.  (неопр.) Вебпланета (5 декабря 2006). Дата обращения: 22 сентября 2009. Архивировано 31 января 2011 года.
77. Карачева, Екатерина И в МВД есть свои хакеры  (неопр.). Время новостей (17 апреля 2008). Дата обращения: 22 сентября 2009. Архивировано 5 октября 2009 года.
78. ФСБ: «Россия наиболее лояльна к киберпреступникам»  (неопр.). Вебпланета (15 мая 2009). Дата обращения: 22 сентября 2009. Архивировано 31 января 2011 года.