钓鱼式攻击
钓鱼式攻击(英語:Phishing,與英語fishing發音一樣;又名网络钓鱼,简称網釣)是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。這些通信都聲稱(自己)來自於風行的社交網站(YouTube、Facebook、MySpace)、拍賣網站(eBay)、網路銀行、電子支付網站(PayPal)、或網路管理者(雅虎、互聯網服務供應商、公司機關),以此來誘騙受害人的輕信。網釣通常是透過e-mail或者即時通訊進行[1]。它常常導引用戶到URL與介面外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL伺服器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例[2]。它憑恃的是現行網路安全技術的低親和度。[3]種種對抗日漸增多網釣案例的嘗試涵蓋立法層面、用戶培訓層面、宣傳層面、與技術保全措施層面。
網釣技術最早於1987年問世,而首度使用“網釣”這個術語是在1996年。該辭是英文單詞釣魚(fishing)的變種之一[4],大概是受到“飛客”(phreaking)一詞影響[5][6],意味著放線釣魚以「釣」取受害人財務資料和密碼。
網釣的歷史與現狀
網釣技術早在1987年,以論文與簡報的方式描述交付給Interex系統下的國際惠普用戶組[7]。第一次提到“網釣”這個術語是在1996年1月2日於alt.online-service.America-online Usenet新聞群組[8],雖然該術語可能在駭客雜誌2600書面版本上更早出現。[9]
早期在AOL的網釣
美國在線(AOL)的網釣與交換盜版軟件的warez社群密切相關。自從AOL於1995年底採取手段防止利用演算法產生的偽造信用卡號來開立帳號後,AOL破解者便訴諸網釣以取得合法帳號。[10]
網釣者可能喬裝成AOL的工作人員,並對可能的受害者發送即時通訊,詢問此人揭露其密碼。[11]為了引誘受害者讓出其個人敏感資料,通信內容不可避免的有類似「確認您的帳號」(verify your account)或者「核對您的帳單資訊」(confirm billing information)。一旦發現受害人的密碼,攻擊者可以獲取並利用受害人的帳戶進行詐欺之用或發送垃圾郵件。網釣和warez兩者在AOL一般需要自行開發應用程式,像AOHell即是一例。由於在AOL上網釣變得如此普遍,該公司在其所有即時通訊上加了一行聲明:「不會有任何AOL員工會詢問您的密碼或者帳單資訊。(No one working at AOL will ask for your password or billing information)」。
1997年年後,AOL注意到網釣與Warez並更加緊縮其政策施行,以強迫盜版軟件與AOL伺服器絕緣。AOL另一方面開發一種可立即停用與網釣掛勾帳號的系統,這常常在受害人可回應之前就達成了。在AOL的warez後台關閉導致大部分網釣者離開該服務,許多網釣者通常是年輕十幾歲的青少年,他们長大後就戒除了這種壞習慣[12]。
從AOL到金融機構的轉型
捕獲的AOL帳戶信息可能導致網釣攻擊者濫用信用卡信息,而且這些駭客認識到,攻擊在線支付系統是可行的。第一次已知直接嘗試對付支付系統的攻擊是在2001年6月,影響系統為E-gold,該事件發生後緊跟在九一一袭击事件之後不久的「後911身分檢查」。[13]當時的這兩個攻擊都被視為失敗之作,不過現在可將它們看作是對付油水更多主流銀行的早期實驗。到了2004年,網釣被認為是經濟犯罪完全工業化的一部分:專業化在全球市場出現,它提供了找錢的基本組件,而這組件被拼裝成最後完美的攻擊。[14][15]
近來網釣的攻擊
網釣者目標是針對銀行和在線支付服務的客戶。理應來自於美國國稅局(Internal Revenue service)電子郵件,已被用來收集來自美國納稅人的敏感資料。[16]雖然第一次這樣的例子被不分青皂白的寄送,其目的是期望某些收到的客戶會洩漏其銀行或者服務資料,而最近的研究表明網釣攻擊可能會基本上確定潛在受害者會使用哪些銀行,並根據結果遞送假冒電子郵件。[17]有針對性的網釣版本已被稱為魚叉網釣(spear phishing)。[18]最近幾個網釣攻擊已經具體指向高層管理人員,以及其他企業大戶,而術語「鯨釣」(whaling)一辭被創造出來描述這類型的攻擊。[19]
社交網站是網釣攻擊的目標,因為在這些網站的個人資料明細可以用於身份盜竊;[20] 2006年年底一個電腦蠕虫接管MySpace上的網頁,並修改連結以導引該網站的網民到設計好竊取登錄信息的網站。[21]實驗表明,針對社交網站的網釣成功率超過70%。[22]
幾乎有一半的網釣竊賊於2006年被確認是透過位於聖彼得堡的俄羅斯商業網路集團所操控。[23]
隨著2008年比特幣及其他加密貨幣的興起,許多區塊鏈與加密貨幣亦成為了釣魚集團的目標,有黑客於Steemit平台表示他使用非常簡單的釣魚網站毫無難度地於於一天盜取了價值8000美元的比特幣。[24]
2018年,開發EOS.IO區塊鏈的公司block.one遭受釣魚集團攻擊,黑客入侵block.one使用的Zendesk電郵系統,並使用該系統冒認公司客服而向所有客戶發出釣魚電郵。當用戶打開電郵內的超連結,便會訪問一個截取用戶加密貨幣錢包密鑰的頁面,黑客會透過密鑰打開加密貨幣錢包及盜取用戶的數字資產。[25][26]
同年,EOS.IO區塊鏈上的空投代幣亦多次遭受釣魚攻擊,比如EOS Black曾遭受攻擊,黑客集團模仿EOS Black網站原型製作相似度相當高的釣魚網站,網站要求用戶輸入密鑰以領取空投代幣,黑客透過密鑰可以盜取用戶的數字資產。[27]
網釣技術
鏈接操控
大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位於一封電子郵件中的鏈接(和其連到的欺騙性網站)似乎屬於真正合法的組織。拼寫錯誤的網址或使用子網域是網釣所使用的常見伎倆。在下面的網址例子裡,http://www. 您的銀行.範例.com/,網址似乎將帶您到「您的銀行」網站的「範例」子網域;實際上這個網址指向了「範例」網站的「您的銀行」(即網釣)子網域。另一種常見的伎倆是使錨文本鏈接似乎是合法的,實際上連結導引到網釣攻擊站點。下面的連結範例:誠實,似乎將您導引到條目「誠實」,點進後實際上它將帶你到條目「謊言」。
另一種老方法是使用含有'@'符號的欺騙鏈接。原本這是用來作為一種包括用戶名和密碼(與標準對比)的自動登入方式。[28]例如,鏈接http://www.google.com@members.tripod.com/可能欺騙偶然造訪的網民,讓他認為這將打開www.google.com上的一個網頁,而它實際上導引瀏覽器指向members.tripod.com上的某頁,以用戶名www.google.com。該頁面會正常開啟,不管給定的用戶名為何。這種網址在Internet Explorer中被禁用,[29]而Mozilla Firefox[30]與Opera會顯示警告訊息,並讓用戶選擇繼續到該站瀏覽或取消。
還有一個已發現的問題在網頁瀏覽器如何處理國際化域名(International Domain Names,下稱IDN),這可能使外觀相同的網址,連到不同的、可能是惡意的網站上。儘管人盡皆知該稱之為的IDN欺騙[31]或者同形異義字攻擊[32]的漏洞,網釣者冒著類似的風險利用信譽良好網站上的網域名稱轉址服務來掩飾其惡意網址。[33][34][35]
過濾器規避
網釣者使用圖像代替文字,使反網釣過濾器更難偵測網釣電子郵件中常用的文字。[36]
網站偽造
一旦受害者訪問網釣網站,欺騙並沒有到此結束。一些網釣詐騙使用JavaScript命令以改變位址欄。[37]這由放一個合法網址的地址欄圖片以蓋住位址欄,或者關閉原來的地址欄並重開一個新的合法的URL達成。[38]
攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。[39]這一類型攻擊(也稱為跨網站指令碼)的問題尤其特別嚴重,因為它們導引用戶直接在他們自己的銀行或服務的網頁登入,在這裡從網絡位址到安全證書的一切似乎是正確的。而實際上,鏈接到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。這樣的漏洞於2006年曾被用來對付PayPal。[40]
還有一種由RSA信息安全公司發現的萬用中間人網釣包,它提供了一個簡單易用的界面讓網釣者以令人信服地重製網站,並捕捉用戶進入假網站的登錄細節。[41]
為了避免被反網釣技術掃描到網釣有關的文字,網釣者已經開始利用Flash構建網站。這些看起來很像真正的網站,但把文字隱藏在多媒體對象中。[42]
電話網釣
並非所有的網釣攻擊都需要個假網站。聲稱是從銀行打來的訊息告訴用戶撥打某支電話號碼以解決其銀行帳戶的問題。[43]一旦電話號碼(網釣者擁有這支電話,並由IP電話服務提供)被撥通,該系統便提示用戶鍵入他們的賬號和密碼。話釣 (Vishing,得名自英文Voice Phishing,亦即語音網釣)有時使用假冒來電ID顯示,使外觀類似於來自一個值得信賴的組織。[44]
WIFI免費熱點網釣
網路駭客在公共場所設定一個假Wi-Fi熱點,引人來連線上網,一旦使用者用個人電腦或手機,登入了駭客設定的假Wi-Fi熱點,那麼個人資料和所有隱私,都會因此落入駭客手中。你在網路上的一舉一動,完全逃不出駭客的眼睛,更惡劣的駭客,還會在別人的電腦裡安裝間諜軟體,如影隨形。[45]
隱蔽重定向漏洞
2014年5月,新加坡南洋理工大學壹位名叫王晶(Wang Jing)的物理和數學科學學院博士生,發現了OAuth和OpenID開源登錄工具的"隱蔽重定向漏洞"(英語:Covert Redirect)][46][47]。
攻擊者創建一個使用真實站點地址的彈出式登錄窗口——而不是使用一個假的域名——以引誘上網者輸入他們的個人信息[48][49]。
黑客可利用該漏洞給釣魚網站“變裝”,用知名大型網站鏈接引誘用戶登錄釣魚網站,壹旦用戶訪問釣魚網站並成功登陸授權,黑客即可讀取其在網站上存儲的私密信息[50][51]。
網釣的例子
PayPal網釣
在PayPal網釣範例裡(見右),電子郵件裡的拼寫錯誤以及非PayPal網域鏈接的存在(顯示在狀態列紅色框裡)都是線索,指出這是一個網釣的企圖。另一種網釣法是無個人問候的贈品,儘管顯示的個人資料並不保證其正當性。一個合法的PayPal通信總是以用戶的真實姓名問候,而非一個普通的問候如:“敬啟者”、“親愛的用戶”(Dear Accountholder)。其他的信息欺詐的跡象像是簡單不過的字拼寫錯誤、文法拙劣、以及威脅收信人若不遵照信息指示辦理的話會遭帳號停用的處分。
請注意,許多網絡網釣電子郵件會如同來自PayPal的一封真正的電子郵件般包括一則永不將您的密碼洩漏以防網釣攻擊的重大警告。這些警告用戶網釣攻擊的可能性,並提供鏈接到說明如何避免或辨識此種攻擊的網站的種種,是使得該網釣電子郵件如此虛偽以便欺騙。在這個例子裡,網釣電子郵件警告用戶,PayPal絕對不會要求您提供敏感信息。該信件言而有信不問您敏感信息,反而邀請用戶點擊一個鏈接,以“確認”其帳戶;這一步將導引這些受害人進一步造訪網釣網站,其設計看起來與PayPal網站很像。而在那裡會問這些受害人的個人機密資訊。
RapidShare網釣
在RapidShare的網頁主機,網釣是相當尋常以獲得高級帳號的手段,從而移除下載速度限制、上傳自動刪除、下載前等候、以及下載間的時間間隔。
網釣者使用在warez站張貼到檔案的連結以獲得RapidShare高級帳戶。然而,利用連結別名工具如TinyURL,他們可以偽裝成實際上真正網頁寄存在別的地方的網址,而這網頁與RapidShare的「免費用戶或高級用戶 (free user or premium user)」頁看來很像。如果受害人選擇免費用戶,網釣者只是將它們傳遞給真正的RapidShare網站。但是,如果他們選擇的高級帳戶,那麼網釣網站的將在他們進行下載之前登記其登入信息。到此階段,網釣者已從受害者偷走了高級帳戶信息。
釣來的RapidShare帳戶通常拿來轉賣,售價比RapidShare的高級帳戶便宜。
鑑別一個RapidShare網釣網頁的最簡單方式是使用Mozilla Firefox,右擊別名頁,並選擇“This Frame”>“Show only this frame”。這將揭露真正的網頁,您可以看到網址將不是rapidshare.com。
FACEBOOK網釣
曾在2012年間常出現偽裝成facebook登入畫面的網站騙取使用者帳號密碼
轉址網釣
- 中獎:在網頁上刊登使用者為第100萬次瀏覽用戶領取免費禮物
- 宣稱裝置中毒/可優化:動畫方式呈現安裝不明程式可以優化裝置
網釣造成的損失
網釣所造成的損害範圍從拒絕訪問電子郵件到巨大財務損失都有。這種形式的身份盜竊正在普及,因為給信任的人方便往往洩露個人信息給網釣者,這些信息包括信用卡號碼、社會安全號碼(美國)、身分證號碼(台灣)、和母親婚前姓名。也有人擔心身份竊賊僅僅透過存取公開紀錄就可以添加此類信息到它們取得的知識庫中。[52]一旦這信息被取得了,網釣者可能會利用個人資料明細以受害者姓名創造假帳號。然後他們可以毀掉受害者的信用,或者甚至讓受害人無法存取自己的帳戶。[53]
據估計,從2004年5月和2005年5月,大約120萬電腦用戶在美國遭受網釣所造成的損失,總計約92900萬美元。隨著為美國企業的客戶成為受害者,該國企業估計每年損失20億美元。[54] 2007年網釣攻擊升級。截至2007年8月前在美國360萬成年人於12個月內失去32億美元。[55]在英國,網絡銀行詐騙的損失—大多來自網釣—幾乎增加了一倍從2004年1220萬英鎊到2005年2320英鎊,[56]而在2005年,每20個電腦用戶中就有一個聲稱因網釣造成的財務損失。[57]
英國銀行機構APACS採取的立場是:「客戶還必須採取合理的預防措施...,如此對罪犯而言他們才不會好欺負。」[58]同樣,2006年9月當第一次大量的網釣攻擊登陸愛爾蘭銀行業界時,愛爾蘭銀行起初拒絕補償客戶所遭受的損失(而且它仍然堅持認為,它的政策不應如此[59]),雖然會補償損失的金額上限定調為1萬1300英鎊還算不錯。[60]
反網釣
打擊網釣攻擊有許多不同的技術,包括設立專門的技術和立法以防範網釣。
社會迴響
打擊網釣的策略之一,是試著培養人們辨識網釣,並教導怎樣處理這些問題。教育可以是有效的,尤其是訓練提供直接的回饋。[61]一個被稱為叉網釣—利用網絡網釣電子郵件針對特定的公司—的較新網釣手法,已被用來迷惑在社會各個角落的人士,包括西點軍校。在2004年6月魚叉網釣的一次實驗中,收到假電子郵件的500名西點軍校學員中有80%被騙並洩露個人信息。[62]
人們可以採取措施以避免網釣的企圖,以稍稍修改其瀏覽習慣的方式。當接觸某要求您“核對身分”(或任何其他網釣所使用的信件要旨)的信件或帳號時,明智之舉是與該信件明顯來源公司聯絡以檢查該電子郵件是否合法。另外,個人所知道地址是該公司的真正的網站,可透過在瀏覽器網址欄輸入拜訪,而不是盲目相信任何涉嫌詐騙郵件裡的超連結。[63]
幾乎所有從公司到其客戶的合法電子郵件都起碼包含一項資訊是網釣者手頭沒有的。有些公司,例如PayPal,總是在其電子郵件中以客戶使用者名稱稱呼其客戶,依此類推,如果一封電郵的收件人是以通用格式稱呼(如“親愛的PayPal客戶”)很可能是企圖在網釣。[64]從銀行和信用卡公司來的電子郵件往往包括賬戶號碼的部分。然而,最近的研究[65]顯示,大眾通常不區分帳號頭幾個數字和尾幾個數字,這是一個很嚴重的問題,因為頭幾個數字通常一個金融機構的所有客戶都相同。人們可以接受訓練來當如果郵件不包含任何具體的個人信息時提高他們的懷疑。不過,在2006年年初,網釣企圖利用個人化的信息,這使得列明個人信息保證郵件是合法的假設不安全。[66]此外,另一項最近的研究報告推斷列明個人信息並不顯著的影響網釣攻擊的成功率,[67]這表明大多數人並不注意這些細節。
一個行業和執法機構組成的反網釣工作組(Anti-Phishing Working Group,簡稱APWG)建議,隨著人們越來越認識到網釣者所使用的社會工程學技倆,傳統的網釣欺詐技術可能在未來過時。[68]他們預測,網址嫁接和其他利用流氓軟件將變成竊取信息的常見工具。
技術對策
反網釣措施已經實現將其功能內嵌於瀏覽器,作為瀏覽器的擴展或工具欄,以及網站的登錄程序的一部分。下面是一些解決問題的主要方法。
協助辨識合法網站
大多數網釣盯上的網站都是保全站點,這意味著的SSL強加密用於伺服器身份驗證,並用來標示在該網站的網址。理論上,利用SSL認證來保證網站到用戶端是可能的,並且這個過去是SSL第二版設計要求之一以及能在認證後保證保密瀏覽。不過實際上,這點很容易欺騙。
表面上的缺陷是瀏覽器的保全使用者介面 (UI)不足以應付今日強大的威脅。透過TLS與證書進行保全認證有三部分:顯示連線在授權模式下、顯示使用者連到哪個站、以及顯示管理機構說它確實是這個站點。所有這三個都需齊備才能授權,並且需要被/送交用戶確認。
安全連線:從1990年代中期到2000年代中期安全瀏覽的標準顯示是個鎖頭,而這很容易被用戶忽略。Mozilla於2005年使用黃底的網址欄使得安全連線較容易辨認。不幸的是,這個發明後來被撤銷,導因於EV證書:它代以對某些高價的證書顯示綠色,而其他的證書顯示藍色 (譯按:Mozilla Firefox 3.x版非EV證書的安全瀏覽網站皆顯示藍色)。
哪個站:用戶應該確認在瀏覽器的網址欄的網域名稱是實際上他們要訪問的地方。網址可能是過度複雜而不容易從語法上分析。用戶通常不知道或者不會鑑別他們想要連結的正確網址,故鑑定真偽與否變得無意義。[3]有意義的伺服器認證條件是讓伺服器的識別碼對用戶有意義;而許多電子商務網站變更其網域名成為他們整體網站組合的其中之一 (譯按:極端例子像 化妝零售部A.百貨B.行銷公司C.電視台D.com這樣子網域的架構),這種手段讓困惑的機率增大。而一些反網釣工具條僅顯示訪問過網站[69]域名的做法是不夠的。
另一種替代方法是Firefox的寵物名(petname)附加元件,這讓用户鍵入他們自己的網站標籤,因此他們可以在以後再度造訪該站時認出。如果站點沒有被認出,则軟件會警告用戶或徹底阻攔該站點。這代表了以用戶為中心的伺服器身份管理[70]。某些人建議用戶選定的圖像會比寵物名效果要好[71]。
隨著EV證書的出現,瀏覽器一般以綠底白字顯示機構名稱,這讓用戶更加容易辨識并且與用戶期望一致。不幸的是,瀏覽器供應商選擇僅限定EV證書可獨享這突出的顯示,其他種證書就留待用戶自己自求多福了。
誰是管理機構:瀏覽器需要指出用戶要求連到對象的管理機構是誰。在保全等級最低的階段,不指名管理機構,因此就用戶而言瀏覽器就是管理機構。瀏覽器供應商透過控制可接受的授權證書(Certification Authorities,簡稱/下稱CA)根名單來承擔這個責任。這是目前的標準做法。
這裡的問題是不管瀏覽器供營商如何企圖控制質量,市面上CA品質良莠不齊亦不實施檢查。亦不是所有簽署CA的公司行號取得該證書仅是為了認證電子商務组织的同一個模型和概念而已。製造證書(Certificate Manufacturing)是頒給只用來遞送信用卡與電子郵件送達確認的低交易額證書;這兩者的用途都容易受到詐騙罪犯的扭曲。由此引申,一個高交易額的網站可能容易受到另一個可提供的CA認證蒙混。這種情況可能會在CA位於世界的另一端,並且對高交易額電子商務站不熟悉,或者用戶根本就不關心這件事。因為CA只負責保障它自己的客戶,並不會管其他CA的客戶,故這個漏洞在該模型是根深蒂固的。
對此漏洞的解決方案是瀏覽器應該显示,并且用戶應該熟悉管理機構之名。這把CA當作是種品牌呈現,並且讓用戶知悉在其所在國家和區段之內可聯絡到少數幾個CA。品牌的使用亦對CA供應商至關重要,藉此刺激它們改進證書的稽核:因為用戶將知悉品牌差異並要求高交易額站點具備周延的檢查。
本解決方案首度於早期IE7版本上實現。在當其顯示EV證書時,發佈的CA會被顯示在網址區域。[72]然而這只是個孤立的案例。CA烙上瀏覽器面板仍存在阻力,導致只有上面所提最低最簡單的保全等級可選:瀏覽器是用戶交易的管理機構。
安全瀏覽的保全模型基礎漏洞
改进保全使用者介面的試驗為用戶帶來便利,但是它也暴露了安全模型裡的基本缺陷。過去在安全瀏覽中沿用之SSL認證失效的根本原因有許多種,它們之間縱橫交錯。
在威脅之前的保全:由于安全瀏覽發生在任何威脅出現之前,保全顯示在早期瀏覽器的「房地產戰爭」裡被犧牲掉了。網景瀏覽器的原始設計有個站點名稱暨其CA名稱的突出顯示。用戶現在常常習慣根本不檢查保全信息。
點擊通過綜合症:然而,瀏覽器對設定錯誤站點的警告繼續,它並未被降低等級。如果證書本身有錯(像域名匹配錯誤、過期等等),则瀏覽器一般都會彈出窗口警告用戶。就是因為設定錯誤太過尋常,用戶學會繞過警告。目前,用戶習慣同樣的忽略所有警告,導致點擊通過綜合症。例如,Firefox 3有個點擊4次以加入例外網站的程序,但是研究顯示老練的用戶會忽略有中間人攻擊(Man-In-The-Middle,簡稱MITM)的真正情況。即使在今天,因为绝大多數的警告是錯誤設定而非真正的中間人攻擊,要避免點擊通過綜合症是相當困難。
缺乏興趣:另一個潛在因素是缺乏虛擬主機的支持。具體起因是缺乏對在傳輸層安全(Transport Layer Security,簡稱/下稱TLS)網絡伺服器之伺服器名指示(Server Name Indication,簡稱/下稱SNI)的支持,以及獲取證書費用和不便。結果是證書使用是太過罕見以至于除了特殊情况外它什麼事都不能做。這導因對TLS認證普遍知識與資源缺乏,反過來意味着由瀏覽器供營商升級他們安全性使用者介面的過程將是又慢又死氣沉沉。
横向联系:瀏覽器的安全模型包括許多參與者如:用戶、瀏覽器供營商、開發商、證書管理機構、審計員、網絡伺服器供營商、电子商务站点、立法者(即FDIC)和安全标准委员会。介於不同制定安全模型小組間缺乏往來溝通。也就是說,雖然對認證的理解在IETF委員會協議水平是很夠深的 (页面存档备份,存于互联网档案馆),這個信息並不表示傳達得到使用者介面小組。網路伺服器供應商並不會優先修正伺服器名指示(TLS/SNI):它們不把這個問題當成保全修正,反而視其為新功能而推遲。實際上,所有的參與者碰到網釣出事時皆諉過給其他參與者,因此自我本身不會被排上優先修正行列。
這情況隨著一個包含瀏覽器供應商、審計員、以及證書管理機構的團體:CAB論壇推出有了一點改善。但是該團體並不是以開放的態度開始,因此導致其結果受到主要大戶商業利益的影響,而且缺乏對所有參與者平等對待。即使在今天,CAB論壇並不開放,而且它不為小型證書管理機構、終端用戶、電子商務站主等等弱勢族群喉舌。
標準高壓封鎖:供營商對標準負責,导致當談到安全時就是談論其外包的結果。雖然有許多安全性用戶介面的改進,當中有有許多好的實驗,因為他們不是標準,或者與標準間相牴觸而未被採用。威脅模型可能在一個月內自我更新;安全標準調整需要大约10年。
令人敬畏的CA模型:瀏覽器供營商使用的CA控制机制本質上並沒有更新;而威脅模型卻常常翻修。对CA品質控管過程不足以對保護用戶量身訂做、以及針對實際與當前的威脅做出因應。在更新途中審計過程是迫切需要的。最近EV指南較詳細地提供了當前模型,并且建立了一個好基準,但是並沒有推動任何本質上急需進行的改變。
瀏覽器提醒用戶欺詐網站
還有一種打擊網釣的流行作法是保持一份已知的網釣網站名單,並隨時更新。微軟的IE7的瀏覽器、Mozilla Firefox 2.0、和Opera都包含這種類型的反網釣措施。[73][74][75] Firefox 2中使用Google反網釣軟件。Opera 9.1使用來自PhishTank和GeoTrust的黑名單,以及即時來自GeoTrust的白名單。這個辦法的某些軟體實現會發送訪問過的網址到中央伺服器以供檢查,這種方式引起了個人隱私的關注。[76]據Mozilla基金會在2006年年底報告援引一項由某獨立軟件測試公司的研究指出,Firefox 2被認為比Internet Explorer 7發現詐欺性網站更為有效。[77]
在2006年年中一種方法被倡議實施。該方法涉及切換到一種特殊的DNS服務,篩選掉已知的網釣網域:這將與任何瀏覽器相容,[78]而且它使用類似利用Hosts文件來阻止網絡廣告的原理來達成目標。
為了減輕網釣網站透過內嵌受害人網站的圖像(如商標)藉以冒充的問題,一些網站站主改變了圖像傳送訊息給訪客,某個網站可能是騙人的。圖像可能移動成新的檔名並且原來的被永久取代,或者一台伺服器能偵測到的某圖像在正常瀏覽情況下是不會被請求到,進而送出警告的圖像。[79][80]
增加密碼登錄
美國銀行的網站[81][82]是眾多要求用戶選擇的個人圖像、並在任何要求輸入密碼的場合顯示該用戶選定圖片的網站之一。該銀行在線服務的用戶被指示在只有當他們看到他們選擇的圖像才輸入密碼。然而,最近的一項研究表明僅有少數用戶在圖像不出現時不會鍵入他們的密碼。[83][84]此外,此功能(像其他形式的雙因素認證)對其他攻擊較脆弱,如2005年年底斯堪的納維亞諾爾迪亞銀行案,[85]與2006年的花旗銀行案。[86]
保全外殼[87][88]是一種相關的技術,涉及到使用用戶選定的圖片覆蓋上登錄表單作為一種視覺提示以表明該表單是否合法。然而,不像以網站為主的圖像體系,圖像本身是只在用戶和瀏覽器之間共享,而不是用戶和網站間共享。該體系還依賴於相互認證協議,這使得它更不容易受到來自侵襲只認證用戶體系的攻擊。
消除網釣郵件
專門的垃圾郵件過濾器可以減少一些網釣電子郵件到達收件人的收件箱。這些方法依賴於機器學習和自然語言處理辦法來分類網釣電子郵件。[89][90]
監測和移除
有幾家公司提供銀行和其他可能受到網釣詐騙的組織全天候的服務、監測、分析和協助關閉網釣網站。[91]個人可以透過檢舉網釣到志願者和產業集團,[92]如PhishTank以做出貢獻。[93]
法律對策
在2004年1月26日,美國聯邦貿易委員會提交了涉嫌網釣者的第一次起訴。被告是個美國加州少年,據說他設計建造了一個網頁看起來像美國在線網站,並用它來竊取信用卡資料。[94]其他國家援引了這一判例追蹤並逮捕了網釣者。網釣大戶瓦爾迪爾·保羅·迪·阿爾梅達在巴西被捕。他領導一個最大的網釣犯罪幫派,在兩年之間做案估計偷走約1800萬美元到3700萬美元之間。[95]英國當局在2005年6月收押兩名男子以其在一項網釣欺詐活動扮演的腳色,[96]而這宗案子與美国特勤处《防火牆行動》 (Operation Firewall,目標是當時最大最惡名昭彰的信用卡盜竊網站)有關。[97] 2006年8人在日本被逮捕,日本警方懷疑他們透過假造雅虎日本網站網釣進行欺詐,保釋賠款1億日元(87萬美元)。[98] 2006年美國聯邦調查局逮捕行動繼續,以代號《保卡人行動》 (CardKeeper)在美國與歐洲扣押了一個16人的幫派。[99]
在美國,參議員派崔克·萊希(Patrick Leahy)在2005年3月1日向美國國會提審2005反網釣法案。這項法案,如果它已成為法律,將向建立虛假網站、發送虛假電子郵件以詐欺消費者的罪犯求處罰款高達25萬美元並且可監禁長達5年。[100]英國在2006年以《2006年欺詐罪法令》(Fraud Act 2006)強化了其打擊仿冒欺詐的法律武器,[101]該法令採用一般欺詐罪,可求刑監禁多達10年,並禁止開發或意圖欺詐下擁有網釣軟體包。[102]
許多公司也加入全力打擊網釣的行列。2005年3月31日,微軟向美國華盛頓西部地方法院提交117起官司。這起訴訟指控“無名氏”的被告非法取得的密碼信息和機密信息。2005年3月微軟和澳大利亞政府間合作,向執法人員教學如何打擊各種網絡犯罪,包括網釣。[103]在2006年3月,微軟宣布計劃進一步在美國境外地區起訴100案件,[104]隨後該公司信守承諾,截至2006年11月之前,共起訴了129件混合刑事和民事行動的犯罪案件。[105] 美國在線亦加強其打擊網釣的努力[106],在2006年早期根據維吉尼亞計算機犯罪法2005年修訂版[107][108]起訴三起[109]共求償1800萬美元,而Earthlink已加入幫助確定6名男子在康涅狄格州的案子,這6名人士稍後被控以網釣欺詐。[110]
2007年1月,傑弗瑞·布雷特·高汀被陪審團援引的2003年反垃圾郵件法(CAN-SPAM Act of 2003)將其定罪為加州第一位依此法被定罪的被告。他被判犯下對美國在線的用戶發送成千上萬的電子郵件,並喬裝成AOL的會計部門以催促客戶提交個人和信用卡資料的罪行。面對反垃圾郵件法的101年關押以及其他數十個包括詐欺、未經授權使用信用卡、濫用AOL的商標,這部分他被判處70個月監禁。因為沒有出席較早的聽證會,高汀已被拘留,並立即開始入監服刑。[111][112][113][114]
參見
參考資料
- ^ Tan, Koon. Phishing and Spamming via IM (SPIM). Internet Storm Center. [2006-12-05]. (原始内容存档于2019-07-01).
- ^ Microsoft Corporation. What is social engineering?. [2007-08-22]. (原始内容存档于2012-04-19).
- ^ 3.0 3.1 Jøsang, Audun; et al. Security Usability Principles for Vulnerability Analysis and Risk Assessment.. Proceedings of the Annual Computer Security Applications Conference 2007 (ACSAC'07). [2007]. (原始内容 (PDF)存档于2018-08-31).
- ^ Spam Slayer: Do You Speak Spam?. PCWorld.com. [2006-08-16]. (原始内容存档于2007-09-30).
- ^ "phishing, n." OED Online, March 2006, Oxford University Press.. Oxford English Dictionary Online. [2006-08-09]. (原始内容存档于2020-03-28).
- ^ Phishing. Language Log, September 22, 2004. [2006-08-09]. (原始内容存档于2011-08-27).
- ^ Felix, Jerry and Hauck, Chris. System Security: A Hacker's Perspective. 1987 Interex Proceedings. 1987年9月, 1: 6.
- ^ "phish, v." OED Online, March 2006, Oxford University Press.. Oxford English Dictionary Online. [2006-08-09]. (原始内容存档于2008-11-20).
- ^ Ollmann, Gunter. The Phishing Guide: Understanding and Preventing Phishing Attacks. Technical Info. [2006-07-10]. (原始内容存档于2011-01-31).
- ^ Phishing. Word Spy. [2006-09-28]. (原始内容存档于2014-10-15).
- ^ Stutz, Michael. AOL: A Cracker's Paradise?. Wired News. 1998年1月29日. (原始内容存档于2005年12月14日).
- ^ History of AOL Warez. [2006-09-28]. (原始内容存档于2011-01-31).
- ^ GP4.3 - Growth and Fraud - Case #3 - Phishing. Financial Cryptography. 2005年12月30日 [2008年11月3日]. (原始内容存档于2019年1月22日).
- ^ In 2005, Organized Crime Will Back Phishers. IT Management. 2004年12月23日. (原始内容存档于2011年1月31日).
- ^ The economy of phishing: A survey of the operations of the phishing market. First Monday. 2005年9月 [2008-11-03]. (原始内容存档于2012-11-24).
- ^ Suspicious e-Mails and Identity Theft. 美國國稅局. [2006-07-05]. (原始内容存档于2011-02-21).
- ^ Phishing for Clues. 印第安那大學布魯明頓校區. 2005年9月15日 [2008年11月3日]. (原始内容存档于2009年7月31日).
- ^ What is spear phishing?. Microsoft Security At Home. [2006-07-10]. (原始内容存档于2007-02-08).
- ^ Goodin, Dan. Fake subpoenas harpoon 2,100 corporate fat cats. The Register. 2008年4月17日 [2008年11月3日]. (原始内容存档于2011年3月13日).
- ^ Kirk, Jeremy. Phishing Scam Takes Aim at MySpace.com. IDG Network. 2006年6月2日. (原始内容存档于2006年6月16日).
- ^ Malicious Website / Malicious Code: MySpace XSS QuickTime Worm. Websense Security Labs. [2006-12-05]. (原始内容存档于2006-12-05).
- ^ Tom Jagatic and Nathan Johnson and Markus Jakobsson and Filippo Menczer. Social Phishing (PDF). To appear in the CACM (October 2007). [2006-06-03]. (原始内容 (PDF)存档于2006-06-05).
- ^ Shadowy Russian Firm Seen as Conduit for Cybercrime (页面存档备份,存于互联网档案馆), Brian Krebs, 華盛頓郵報,於2007年10月13日查閱
- ^ 新浪财经综合. 腾讯安全报告:区块链地下黑客仅半年便获利20亿美元. finance.sina.com.cn. 2018-09-04 [2019-02-01]. (原始内容存档于2019-06-03).
- ^ Hackers Are Stealing From This $4 Billion Cryptocurrency ICO Using This Sneaky Scam. Fortune. [2019-02-01]. (原始内容存档于2021-04-13) (英语).
- ^ Phishing Email Statement. Block.one. [2019-02-01]. (原始内容存档于2021-03-21) (美国英语).
- ^ EOS Black Community Hit by Phishing Attack. UNHASHED. 2018-10-11 [2019-02-11]. (原始内容存档于2020-11-09) (美国英语).
- ^ Berners-Lee, Tim. Uniform Resource Locators (URL). IETF Network Working Group. [2006-01-28]. (原始内容存档于2010-12-25).
- ^ Microsoft. A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs. Microsoft Knowledgebase. [2005-08-28]. (原始内容存档于2011-01-22).
- ^ Fisher, Darin. Warn when HTTP URL auth information isn't necessary or when it's provided. Bugzilla. [2005-08-28]. (原始内容存档于2021-03-08).
- ^ Johanson, Eric. The State of Homograph Attacks Rev1.1. The Shmoo Group. [2005-08-11]. (原始内容存档于2005-08-23).
- ^ Evgeniy Gabrilovich and Alex Gontmakher. The Homograph Attack (PDF). Communications of the ACM. February 2002, 45(2): 128 [2008-11-03]. (原始内容 (PDF)存档于2006-01-30).
- ^ Leyden, John. Barclays scripting SNAFU exploited by phishers. The Register. 2006年8月15日 [2008年11月3日]. (原始内容存档于2019年6月13日).
- ^ Levine, Jason. Goin' phishing with eBay. Q Daily News. [2006-12-14]. (原始内容存档于2019-03-26).
- ^ Leyden, John. Cybercrooks lurk in shadows of big-name websites. The Register. 2007年12月12日 [2008年11月3日]. (原始内容存档于2019年6月23日).
- ^ Mutton, Paul. Fraudsters seek to make phishing sites undetectable by content filters. Netcraft. [2006-07-10]. (原始内容存档于2011-02-24).
- ^ Mutton, Paul. Phishing Web Site Methods. FraudWatch International. [2006-12-14]. (原始内容存档于2011-01-31).
- ^ Phishing con hijacks browser bar. BBC News. 2004年4月8日 [2008年11月3日]. (原始内容存档于2009年3月27日).
- ^ Krebs, Brian. Flaws in Financial Sites Aid Scammers. Security Fix. [2006-06-28]. (原始内容存档于2011-01-31).
- ^ Mutton, Paul. PayPal Security Flaw allows Identity Theft. Netcraft. [2006-06-19]. (原始内容存档于2011-01-28).
- ^ Hoffman, Patrick. RSA Catches Financial Phishing Kit. eWeek. 2007年1月10日 [2008年11月3日]. (原始内容存档于2019年7月1日).
- ^ Miller, Rich. Phishing Attacks Continue to Grow in Sophistication. Netcraft. [2007-12-19]. (原始内容存档于2011-09-27).
- ^ Gonsalves, Antone. Phishers Snare Victims With VoIP. Techweb. 2006年4月25日. (原始内容存档于2007年3月28日).
- ^ Identity thieves take advantage of VoIP. Silicon.com. 2005年3月21日. (原始内容存档于2005年3月24日).
- ^ Wi-Fi假熱點 駭客竊旅客個資 (页面存档备份,存于互联网档案馆)翁如玫.[2010-12-16]
- ^ Covert Redirect. Tetraph. 2014-05-01 [2014-11-10]. (原始内容存档于2016-03-10).
- ^ Facebook, Google Users Threatened by New Security Flaw. Yahoo. 2014-05-02 [2014-11-10]. (原始内容存档于2021-01-21).
- ^ 兩款互聯網登錄系統曝出重大漏洞 短期內或無法修復. 鳳凰網. 5月 03 2014. [2014-11-11]. (原始内容存档于2014-11-08).
- ^ OAuth與OpenID登錄工具曝出重大漏洞. 網易. 5月 03 2014. [2014-11-11]. (原始内容存档于2014-11-08).
- ^ Facebook, Google users threatened by new security flaw. FOX NEWS. 2014-05-05 [2014-11-10]. (原始内容存档于2015-09-24).
- ^ Nasty Covert Redirect Vulnerability found in OAuth and OpenID. The Hacker News. 2014-05-03 [2014-11-10]. (原始内容存档于2014-11-08).
- ^ Virgil Griffith and Markus Jakobsson. Messin' with Texas, Deriving Mother's Maiden Names Using Public Records (PDF). ACNS '05. [2006-07-07]. (原始内容 (PDF)存档于2006-07-05).
- ^ Krebs, Brian. Phishing Schemes Scar Victims. 華盛頓郵報. 2004年12月18日 [2008年11月3日]. (原始内容存档于2020年3月28日).
- ^ Kerstein, Paul. How Can We Stop Phishing and Pharming Scams?. CSO. 2005年7月19日. (原始内容存档于2008年3月24日).
- ^ McCall, Tom. Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks. Gartner. 2007年12月17日 [2008年11月3日]. (原始内容存档于2012年11月18日).
- ^ UK phishing fraud losses double. Finextra. 2006年3月7日. (原始内容存档于2006年6月12日).
- ^ Richardson, Tim. Brits fall prey to phishing. The Register. 2005年5月3日 [2008年11月3日]. (原始内容存档于2020年5月12日).
- ^ Miller, Rich. Bank, Customers Spar Over Phishing Losses. Netcraft. [2006-12-14]. (原始内容存档于2021-03-22).
- ^ Latest News 互联网档案馆的存檔,存档日期2008-10-07.
- ^ Bank of Ireland agrees to phishing refunds – vnunet.com
- ^ Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge. Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System (PDF). 科技報告CMU-CyLab-06-017, CyLab,卡内基梅隆大学. 2006年11月 [2006-11-14]. (原始内容 (PDF)存档于2007-01-30).
- ^ Bank, David. 'Spear Phishing' Tests Educate People About Online Scams. The Wall Street Journal. 2005年8月17日 [2008年11月3日]. (原始内容存档于2011年4月6日).
- ^ Anti-Phishing Tips You Should Not Follow. HexView. [2006-06-19]. (原始内容存档于2008-03-20).
- ^ Protect Yourself from Fraudulent Emails. PayPal. [2006-07-07]. (原始内容存档于2011-04-06).
- ^ Markus Jakobsson, Alex Tsow, Ankur Shah, Eli Blevis, Youn-kyung Lim. What Instills Trust? A Qualitative Study of Phishing. (PDF). USEC '06. (原始内容 (PDF)存档于2007-03-06).
- ^ Zeltser, Lenny. Phishing Messages May Include Highly-Personalized Information. The SANS Institute. 2006年3月17日 [2008年11月3日]. (原始内容存档于2006年12月2日).
- ^ Markus Jakobsson and Jacob Ratkiewicz. Designing Ethical Phishing Experiments. WWW '06. [2008-11-03]. (原始内容存档于2008-03-17).
- ^ Kawamoto, Dawn. Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats.. ZDNet India. 2005年8月4日. (原始内容存档于2005年11月30日).
- ^ Brandt, Andrew. Privacy Watch: Protect Yourself With an Antiphishing Toolbar. PC World – Privacy Watch. [2006-09-25]. (原始内容存档于2011-06-05).
- ^ Jøsangm Audun and Pope, Simon. User Centric Identity Management (PDF). Proceedings of AusCERT 2005. [2008].[失效連結]
- ^ "Phishing - What it is and How it Will Eventually be Dealt With" 互联网档案馆的存檔,存档日期2008-10-28. by Ian Grigg 2005
- ^ "Brand matters (IE7, Skype, Vonage, Mozilla)" (页面存档备份,存于互联网档案馆) Ian Grigg
- ^ Franco, Rob. Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers. IEBlog. [2006-05-20]. (原始内容存档于2010-01-25).
- ^ Bon Echo Anti-Phishing. Mozilla. [2006-06-02]. (原始内容存档于2011-08-11).
- ^ Gone Phishing: Evaluating Anti-Phishing Tools for Windows. 3Sharp. 2006年9月27日 [2006-10-20]. (原始内容存档于2008年1月14日).
- ^ Two Things That Bother Me About Google’s New Firefox Extension. Nitesh Dhanjani on O'Reilly ONLamp. [2007-06-01]. (原始内容存档于2007-10-15).
- ^ Firefox 2 Phishing Protection Effectiveness Testing. [2007-01-23]. (原始内容存档于2011-01-23).
- ^ Higgins, Kelly Jackson. DNS Gets Anti-Phishing Hook. Dark Reading. [2006-10-08]. (原始内容存档于2011-08-18).
- ^ Krebs, Brian. Using Images to Fight Phishing. Security Fix. 2006年8月31日. (原始内容存档于2006年11月16日).
- ^ Seltzer, Larry. Spotting Phish and Phighting Back. eWeek. 2004年8月2日 [2008年11月3日]. (原始内容存档于2019年7月5日).
- ^ Bank of America. How Bank of America SiteKey Works For Online Banking Security. [2007-01-23]. (原始内容存档于2009-06-20).
- ^ Brubaker, Bill. Bank of America Personalizes Cyber-Security. 華盛頓郵報. 2005年7月14日 [2008年11月3日]. (原始内容存档于2019年6月8日).
- ^ Stone, Brad. Study Finds Web Antifraud Measure Ineffective. 紐約時報. 2007年2月5日 [2007-02-05]. (原始内容存档于2021-04-13).
- ^ Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer. The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (PDF). IEEE Symposium on Security and Privacy, May 2007. 2007年5月 [2007-02-05]. (原始内容 (PDF)存档于2008-07-20).
- ^ Phishers target Nordea's one-time password system. Finextra. 2005年10月12日. (原始内容存档于2005年12月18日).
- ^ Krebs, Brian. Citibank Phish Spoofs 2-Factor Authentication. Security Fix. 2006年7月10日. (原始内容存档于2006年11月10日).
- ^ Schneier, Bruce. Security Skins. Schneier on Security. [2006-12-03]. (原始内容存档于2021-03-22).
- ^ Rachna Dhamija, J.D. Tygar. The Battle Against Phishing: Dynamic Security Skins (PDF). Symposium On Usable Privacy and Security (SOUPS) 2005. 2005年7月 [2007-02-05]. (原始内容 (PDF)存档于2007-06-29).
- ^ Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya. Phishing E-mail Detection Based on Structural Properties (PDF). NYS Cyber Security Symposium. 2006年3月. (原始内容 (PDF)存档于2008-02-16).
- ^ Ian Fette, Norman Sadeh, Anthony Tomasic. Learning to Detect Phishing Emails (PDF). Carnegie Mellon University Technical Report CMU-ISRI-06-112. 2006年6月 [2008-11-03]. (原始内容 (PDF)存档于2018-06-19).
- ^ Anti-Phishing Working Group: Vendor Solutions. Anti-Phishing Working Group. [2006-07-06]. (原始内容存档于2011-01-31).
- ^ McMillan, Robert. New sites let users find and report phishing. LinuxWorld. 2006年3月28日. (原始内容存档于2009年1月19日).
- ^ Schneier, Bruce. PhishTank. Schneier on Security. 2006年10月5日 [2007-12-07]. (原始内容存档于2011-01-09).
- ^ Legon, Jeordan. 'Phishing' scams reel in your identity. CNN. 2004年1月26日 [2006年4月8日]. (原始内容存档于2006年4月8日).
- ^ Leyden, John. Brazilian cops net 'phishing kingpin'. The Register. 2005年3月21日 [2008年11月3日]. (原始内容存档于2016年4月17日).
- ^ Roberts, Paul. UK Phishers Caught, Packed Away. eWEEK. 2005年6月27日 [2008年11月3日]. (原始内容存档于2019年7月1日).
- ^ Nineteen Individuals Indicted in Internet 'Carding' Conspiracy. [2005-11-20]. (原始内容存档于2005-11-03).
- ^ 8 held over suspected phishing fraud. 讀賣新聞. 2006年5月31日.
- ^ Phishing gang arrested in USA and Eastern Europe after FBI investigation. [2006-12-14]. (原始内容存档于2011-01-31).
- ^ Phishers Would Face 5 Years Under New Bill. 資訊週刊. 2005年3月2日. (原始内容存档于2005年12月21日).
- ^ Fraud Act 2006. [2006-12-14]. (原始内容存档于2007-10-27).
- ^ Prison terms for phishing fraudsters. The Register. 2006年12月14日 [2008年11月3日]. (原始内容存档于2019年11月2日).
- ^ Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime. [2005-08-24]. (原始内容存档于2005-11-03).
- ^ Espiner, Tom. Microsoft launches legal assault on phishers. ZDNet. 2006年3月20日 [2008年11月3日]. (原始内容存档于2008年8月29日).
- ^ Leyden, John. MS reels in a few stray phish. The Register. 2006年11月23日 [2008年11月3日]. (原始内容存档于2019年11月2日).
- ^ A History of Leadership - 2006. (原始内容存档于2007-05-22).
- ^ HB 2471 Computer Crimes Act; changes in provisions, penalty.. [2006-03-08]. (原始内容存档于2021-03-22).
- ^ Brulliard, Karin. Va. Lawmakers Aim to Hook Cyberscammers. 華盛頓郵報. 2005年4月10日 [2008年11月3日]. (原始内容存档于2020年12月21日).
- ^ AOL Takes Fight Against Identity Theft To Court, Files Lawsuits Against Three Major Phishing Gangs. [2006-03-08]. (原始内容存档于2007-01-31).
- ^ Earthlink evidence helps slam the door on phisher site spam ring. [2006-12-14]. (原始内容存档于2007-07-05).
- ^ Prince, Brian. Man Found Guilty of Targeting AOL Customers in Phishing Scam. PCMag.com. 2007年1月18日 [2008年11月3日]. (原始内容存档于2009年3月21日).
- ^ Leyden, John. AOL phishing fraudster found guilty. The Register. 2007年1月17日 [2008年11月3日]. (原始内容存档于2019年11月2日).
- ^ Leyden, John. AOL phisher nets six years' imprisonment. The Register. 2007年6月13日 [2008年11月3日]. (原始内容存档于2019年11月2日).
- ^ Gaudin, Sharon. California Man Gets 6-Year Sentence For Phishing. 資訊週刊. 2007年6月12日. (原始内容存档于2007年9月5日).
外部連結
- 反網釣工作組
- 線上銀行安全 (页面存档备份,存于互联网档案馆)–給身處於英國客戶的建議
- 身分管理暨資訊保護中心 (页面存档备份,存于互联网档案馆)– Utica大學
- 電子詐騙暨警示更新 (页面存档备份,存于互联网档案馆)–美國聯邦調查局
- 環球網釣摘要報告 (页面存档备份,存于互联网档案馆)–即時網釣活動資料庫
- 網釣罪犯實際上如何運作– Ha.ckers.org應用程式安全實驗室
- 一探「網釣」之門:立法對決科技 (页面存档备份,存于互联网档案馆)– 杜克法學暨科技評論
- 了解你的敵人:網釣– Honeynet project案例導讀
- SecurityFocus (页面存档备份,存于互联网档案馆) –網釣攻擊的電腦法學檢驗
- 網釣指南:了解並防止網釣攻擊(页面存档备份,存于互联网档案馆)– TechnicalInfo.net
- 如何辨別釣魚網站 (页面存档备份,存于互联网档案馆) - 榮友科技
- Anti Phising Phil (页面存档备份,存于互联网档案馆)–幫助用戶鑑別網釣企圖的遊戲。