Adathalászat

A Wikipédiából, a szabad enciklopédiából
Ugrás a navigációhoz Ugrás a kereséshez
Egy példa egy adathalász e-mailre, amelyet egy (fiktív) bank hivatalos e-mailjének álcáznak. A feladó arra próbálja rávenni a címzettet, hogy bizalmas információkat fedjen fel, és "megerősítse" azokat az adathalász weboldalán. Jól látható, hogy a received és az discrepancy szavakat rosszul írják recieved és discrepency szavaknak.

Az adathalászat egyfajta pszichológiai manipuláció (social engineering), amikor a támadó hamis („hamisított”) üzenetet küld, amelynek célja, hogy az emberi áldozatot rávegye arra, hogy érzékeny információkat fedjen fel a támadónak, vagy rosszindulatú szoftvert, például zsarolóprogramot telepítsen az áldozat eszközére. Az adathalász-támadások egyre kifinomultabbá váltak, és gyakran átláthatóan tükrözik a célzott webhelyet, lehetővé téve a támadó számára, hogy mindent megfigyeljen, miközben az áldozat navigál a webhelyen, és átlépjen minden további biztonsági korlátot az áldozattal.[1] 2020-tól az adathalászat messze a leggyakoribb támadás, amelyet a kiberbűnözők hajtanak végre, az FBI internetes bűnügyi panaszközpontja több mint kétszer annyi adathalász bejelentést regisztrált, mint bármely más típusú számítógépes bűncselekményt.[2]

A "phishing" kifejezés első feljegyzett használata a Koceilah Rekouche által 1995-ben létrehozott AOHell cracking toolkitben volt, azonban lehetséges, hogy a kifejezést már ezt megelőzően használták a 2600 hacker magazin nyomtatott kiadásában.[3][4] A szó a halászat leetspeak változata (a ph az f gyakori helyettesítője), valószínűleg a phreaking elnevezés után, és arra utal, hogy egyre kifinomultabb csalik segítségével "halásznak" a felhasználók érzékeny adataira.[4][5][6]

Az adathalász esetek megelőzésére vagy hatásainak mérséklésére tett kísérletek közé tartoznak a jogszabályok, a felhasználók képzése, a nyilvánosság tudatosítása és a technikai biztonsági intézkedések.[7]

Típusai[szerkesztés]

E-mail halászat[szerkesztés]

A legtöbb adathalász üzenetet e-mailben kézbesítik, és nem személyre szabottan vagy egy adott személynek vagy vállalatnak címezve - ezt nevezik "tömeges" adathalászatnak.[8] A tömeges adathalász üzenetek tartalma a támadó céljától függően széles körben változik - a megszemélyesítés gyakori célpontjai közé tartoznak a bankok és pénzügyi szolgáltatások, az e-mail és a felhőszolgáltatók, valamint a streamingszolgáltatások.[9] A támadók a megszerzett hitelesítő adatokat felhasználhatják arra, hogy közvetlenül pénzt lopjanak az áldozattól, bár a kompromittált fiókokat gyakran használják inkább kiindulópontként más támadások végrehajtásához, például tulajdonosi információk ellopásához, rosszindulatú programok telepítéséhez vagy a célpont szervezetén belül más személyek "szigonyozásához".[4] A kompromittált streaming szolgáltatási fiókokat általában közvetlenül a fogyasztóknak adják el a darknet piacokon.[10]

Szigonyozás[szerkesztés]

A szigonyozás más néven spear phishing során a támadó közvetlenül egy adott szervezetet vagy személyt céloz meg személyre szabott adathalász e-mailekkel.[11] Ez lényegében e-mailek létrehozását és elküldését jelenti egy adott személynek, hogy az illető azt higgye, az e-mail neki szól személyesen. A tömeges adathalászattal ellentétben a szigonyozást használó támadók gyakran gyűjtenek és használnak fel személyes információkat a célpontjukról, hogy növeljék a támadás sikerének valószínűségét.[12][13][14][15] A szigonyozás jellemzően olyan vezetőket vagy pénzügyi osztályokon dolgozókat céloz meg, akik hozzáféréssel rendelkeznek a szervezet érzékeny pénzügyi adataihoz és szolgáltatásaihoz. Egy 2019-es tanulmány kimutatta, hogy a könyvelő- és könyvvizsgáló cégek gyakori célpontjai a szigonyozásnak, mivel alkalmazottaik hozzáférnek olyan információkhoz, amelyek a bűnözők számára értékesek lehetnek.[16]

A Threat Group-4127 (Fancy Bear) szigonyozásos adathalász taktikát alkalmazott, hogy Hillary Clinton 2016-os elnökválasztási kampányához kapcsolódó e-mail fiókokat célozzon meg. Több mint 1800 Google-fiókot támadtak meg, és az accounts-google.com domaint vezették be a célzott felhasználók megtévesztésére.[17][18]

Bálnavadászat és CEO csalás[szerkesztés]

A bálnavadászat avagy whaling a kifejezetten felsővezetők és más kiemelt célpontok ellen irányuló szigonyozásos támadásokra utal.[19] A tartalom úgy van kialakítva, hogy a célzott személy vagy szerepkör számára érdekes legyen - például egy idézés vagy egy ügyfélpanasz.[20]

A CEO csalás gyakorlatilag a bálnavadászat ellentéte: hamisított e-maileket küldenek felsővezetőktől azzal a szándékkal, hogy a szervezet más alkalmazottait rávegyék egy adott művelet elvégzésére, általában pénz átutalására egy offshore számlára.[21] Bár a CEO csalás viszonylag alacsony sikerességi aránnyal rendelkezik, a bűnözők igen nagy összegeket nyerhetnek a kevés sikeres próbálkozásból.[22]

Klónozott adathalászat[szerkesztés]

A kónozotta dathalászat egy olyan típusú adathalász-támadás, amelynek során egy legitim, korábban kézbesített, mellékletet vagy linket tartalmazó e-mail tartalmát és a címzett címét (címeit) megszerezték, és egy majdnem azonos vagy klónozott e-mail létrehozásához használták fel. Az e-mailben található mellékletet vagy linket egy rosszindulatú változattal helyettesítik, majd egy olyan e-mail címről küldik el, amelyről úgy tűnik, hogy az eredeti feladótól származik. A levél azt állíthatja, hogy az eredeti vagy az eredeti frissített változata. Ehhez általában az szükséges, hogy vagy a feladó vagy a címzett fiókját már korábban feltörték, hogy a rosszindulatú harmadik fél megszerezze a személyes e-mailt.[23][24]

Hangalapú adathalászat[szerkesztés]

A hangalapú adathalászat vagy vishing[25] a telefonálás (gyakran VoIP-telefonálás) felhasználása adathalász-támadások végrehajtására. A támadók nagyszámú telefonszámot tárcsáznak, és olyan - gyakran szövegből beszédszintetizátorok segítségével készült - automatizált felvételeket játszanak le, amelyek hamis állításokat tesznek az áldozat bankszámláján vagy hitelkártyáján végzett csalásról. A hívó telefonszámot úgy hamisítják meg, hogy az a megszemélyesített bank vagy intézmény valódi számát mutatja. Az áldozatot ezután arra utasítják, hogy hívjon fel egy, a támadók által ellenőrzött számot, amely vagy automatikusan arra kéri, hogy adjon meg érzékeny adatokat a feltételezett csalás "megoldása" érdekében, vagy pedig élő személyhez kapcsolja, aki megpróbál pszichológiai manipuláció segítségével információkat szerezni.[25] A hangalapú adathalászat kihasználja, hogy a lakosság kevésbé ismeri az olyan technikákat, mint a hívószám-hamisítás és az automatikus tárcsázás, mint az e-mailes adathalászat megfelelői, és ezáltal sokan eredendően bíznak a hangalapú telefonálásban.[26]

SMS adathalászat[szerkesztés]

Az SMS adathalászat[27] vagy smishing[28] koncepcionálisan hasonló az e-mail adathalászathoz, azzal a különbséggel, hogy a támadók mobiltelefonos szöveges üzeneteket használnak a "csali" célba juttatására.[29] A smishing támadások jellemzően arra kérik a felhasználót, hogy kattintson egy linkre, hívjon fel egy telefonszámot, vagy lépjen kapcsolatba a támadó által SMS üzenetben megadott e-mail címmel. Az áldozatot ezután arra kérik, hogy adja meg személyes adatait; gyakran más webhelyek vagy szolgáltatások hitelesítő adatait. Ráadásul a mobilböngészők jellegéből adódóan az URL-címek nem mindig jelennek meg teljes egészében; ez megnehezítheti a jogtalan bejelentkezési oldal azonosítását.[30] Mivel a mobiltelefon-piac ma már telített okostelefonokkal, amelyek mindegyike gyors internetkapcsolattal rendelkezik, egy SMS-ben küldött rosszindulatú link ugyanolyan eredményt hozhat, mintha e-mailben küldenék. A smishing üzenetek érkezhetnek olyan telefonszámokról, amelyek furcsa vagy váratlan formátumúak.[31]

Webhely eltérítés[szerkesztés]

A webhely eltérítése a weboldalak kompromittálását jelenti, hogy a felhasználókat cross site scripting segítségével rosszindulatú weboldalra vagy exploit kitre irányítsák át. Egy hacker kompromittálhat egy weboldalt, és beilleszthet egy exploit kitet, például az MPack-et, hogy veszélyeztesse a törvényes felhasználókat, akik meglátogatják az immár fertőzött webszervereket. Az oldal eltérítésének egyik legegyszerűbb formája az, hogy egy weboldalt úgy módosítanak, hogy az tartalmazzon egy rosszindulatú inline keretet, amely lehetővé teszi egy exploit kit betöltését. Az oldal eltérítését gyakran használják a vállalati szervezetek elleni watering hole támadással együtt, hogy kompromittálják a célpontokat.

Technikák[szerkesztés]

Link manipuláció[szerkesztés]

Az adathalászat legtöbb típusa valamilyen technikai megtévesztést alkalmaz, amelynek célja, hogy az e-mailben található linket a támadók által megszemélyesített szervezethez tartozónak tüntessék fel.[32] Az adathalászok által gyakran használt trükkök közé tartoznak a rosszul írt URL-címek vagy az aldomainek használata. A következő példa URL-címén, http://www.yourbank.example.com/, a gyakorlatlan szem számára úgy tűnhet, mintha az URL-cím a yourbank weboldal példa szakaszára vezetné a felhasználót; valójában ez az URL-cím a "yourbank" (azaz adathalász) weboldal példa szakaszára mutat. Egy másik gyakori trükk az, hogy a link megjelenített szövege megbízható célpontot sugall, miközben az valójában az adathalászok oldalára vezet. Sok asztali e-mail kliens és webböngésző megjeleníti a link cél URL-címét az állapotsorban, ha mutatót a link fölé viszik. Ezt a viselkedést azonban bizonyos körülmények között az adathalász felülbírálhatja. Az ezzel egyenértékű mobilalkalmazások általában nem rendelkeznek ezzel az előnézeti funkcióval. Az előnézeti funkciót az adathalászok általában nem használják.[33]

A nemzetköziesített domainnevek (IDN-ek) támadhatók IDN-hamisítással[34] vagy homográf támadásokkal,[35] hogy olyan webcímeket hozzanak létre, amelyek vizuálisan megegyeznek egy létező oldallal, de ehelyett rosszindulatú verzióhoz vezetnek. Az adathalászok hasonló kockázatot használtak ki, amikor nyílt URL-átirányítókat használtak megbízható szervezetek weboldalain, hogy a rosszindulatú URL-eket megbízható domainnel álcázzák.[36][37][38] Még a digitális tanúsítványok sem oldják meg ezt a problémát, mivel könnyen előfordulhat, hogy egy adathalász megvásárol egy érvényes tanúsítványt, majd a tartalmat megváltoztatva hamisít egy valódi weboldalt, vagy egyáltalán SSL nélkül tárolja az adathalász webhelyet.[39]

Szűrő megkerülése[szerkesztés]

Az adathalászok néha képeket használtak szöveg helyett, hogy megnehezítsék az adathalászat elleni szűrők számára az adathalász e-mailekben általánosan használt szöveg felismerését.[40] Válaszul a kifinomultabb adathalászat elleni szűrők optikai karakterfelismerés (OCR) segítségével képesek a képekben elrejtett szöveget visszanyerni.[41] Ez leggyakrabban az áldozatok bank- vagy biztosítási számláival fordul elő.[42]

Pszichológiai manipuláció[szerkesztés]

Az adathalászat legtöbb típusa valamilyen pszihológiai tevékenységet foglal magában, amelynek során a felhasználókat pszichológiai manipulációval ráveszik egy művelet elvégzésére, például egy linkre való kattintásra, egy melléklet megnyitására vagy bizalmas információk átadására. Egy megbízható szervezet nyilvánvaló megszemélyesítése mellett a legtöbb adathalászat a sürgősség érzetét kelti - a támadók azt állítják, hogy a számlákat leállítják vagy lefoglalják, ha az áldozat nem tesz valamilyen lépést.[43] Ez is leggyakrabban az áldozatok bank- vagy biztosítási számláival fordul elő.[44]

A megszemélyesítésen alapuló adathalászat alternatív technikája a felháborodást kiváltani hivatott hamis hírek használata, amelyek arra késztetik az áldozatot, hogy rákattintson egy linkre anélkül, hogy megfelelően átgondolná, hová vezethet az. Ezeket a linkeket úgy tervezték, hogy egy professzionálisnak tűnő weboldalra vezessenek, amely pontosan úgy néz ki, mint a létező szervezet weboldala. A támadó weboldalára érve az áldozatokat hamisított "vírus"-értesítésekkel láthatják el, vagy olyan oldalakra irányíthatják át, amelyek a webböngésző sebezhetőségét próbálják kihasználni rosszindulatú programok telepítésére.[45]

Története[szerkesztés]

1980-as évek[szerkesztés]

Egy adathalász technikát részletesen leírtak egy 1987-ben az Interex nevű nemzetközi HP felhasználói csoportnak tartott előadásban és prezentációban.[46]

1990-es évek[szerkesztés]

Az "adathalászat" kifejezést állítólag a 90-es évek közepén a jól ismert spammer és hacker, Khan C. Smith alkotta meg.[47] A kifejezés első feljegyzett említése az AOHell nevű hackereszközben található (a készítője szerint), amely tartalmazott egy olyan funkciót, amellyel megpróbálták ellopni az America Online felhasználók jelszavait vagy pénzügyi adatait.[48]

Korai AOL adathalászat[szerkesztés]

Az AOL-on történő adathalászat szorosan kapcsolódott a warez közösséghez, amely licenc nélküli szoftvereket cserélt, valamint a fekete kalapos hackerekhez, akik hitelkártyacsalásokat és más online bűncselekményeket követtek el. Az AOL végrehajtó szervei figyelték az AOL csevegőszobákban használt szavakat, hogy felfüggesszék a szoftverhamisításban és a lopott accountok kereskedelmében részt vevő személyek fiókjait. A kifejezést azért használták, mert a "<><" a HTML egyetlen leggyakoribb tagje, amely természetesen minden chat-átiratban megtalálható volt, és mint ilyen, az AOL munkatársai nem tudták felismerni vagy kiszűrni. A <>< szimbólumot minden olyan megfogalmazásnál helyettesítették, amely lopott hitelkártyákra, számlákra vagy illegális tevékenységre utalt. Mivel a szimbólum úgy nézett ki, mint egy hal, ezért az adathalászat népszerűsége miatt "Phishing" néven adaptálták. Az 1995 elején megjelent AOHell egy olyan program volt, amelyet az AOL felhasználók feltörésére terveztek, lehetővé téve a támadó számára, hogy az AOL munkatársának adja ki magát, és azonnali üzenetet küldjön a potenciális áldozatnak, amelyben arra kéri, hogy fedje fel jelszavát.[49] Annak érdekében, hogy az áldozatot érzékeny adatok kiadására csábítsa, az üzenet olyan felszólításokokat is tartalmazhatott, mint "ellenőrizze a fiókját" vagy "erősítse meg a számlázási adatait".

Miután az áldozat felfedte a jelszót, a támadó hozzáférhetett az áldozat fiókjához, és főként illegális célokra használhatta azt. Mind az adathalászathoz, mind a warezinghez az AOL-on általában egyedi fejlesztésű programokra volt szükség, például az AOHellre. Az adathalászat annyira elterjedt az AOL-on, hogy az összes azonnali üzenethez hozzáadtak egy sort, amely szerint: "az AOL-nál senki sem fogja elkérni a jelszavát vagy a számlázási adatait". Az AIM-fiókot és egy internetszolgáltatótól származó AOL-fiókot egyszerre használó felhasználó viszonylag büntetlenül tudott adathalászni az AOL-tagok adataira, mivel az internetes AIM-fiókokat nem-AOL-tagok is használhatták, és nem lehetett ellenük intézkedni (azaz jelenteni az AOL TOS osztályának fegyelmi eljárás céljából),[50] hangzott el. 1995 végén az AOL crackerek a törvényes fiókok adathalászatához folyamodtak, miután az AOL 1995 végén intézkedéseket vezetett be annak megakadályozására, hogy hamis, algoritmikusan generált hitelkártyaszámokat használjanak a fiókok megnyitásához.[51] 1995 végén az AOL irányelvek betartatása miatt a szerzői jogok megsértése miatt az AOL szerverekről lekerültek a fiókok, és az AOL azonnal deaktiválta az adathalászatban érintett fiókokat, gyakran még mielőtt az áldozatok reagálhattak volna. Az AOL warez leállítása a legtöbb adathalászt a szolgáltatás elhagyására késztette.[52]

2000-es évek[szerkesztés]

  • 2001
    • Az első ismert, fizetési rendszer elleni közvetlen támadás 2001 júniusában érte az E-goldot, amelyet nem sokkal a szeptember 11-i World Trade Center elleni támadások után egy "post-9/11 id check" követett.[53]
  • 2003
    • Az első ismert, lakossági bank elleni adathalász támadásról a The Banker számolt be 2003 szeptemberében.[54]
  • 2004
    • Becslések szerint 2004 májusa és 2005 májusa között az Egyesült Államokban körülbelül 1,2 millió számítógép-felhasználó szenvedett el adathalászat okozta veszteségeket, összesen körülbelül 929 millió dollár értékben. Az Egyesült Államok vállalkozásai évente becslések szerint 2 milliárd dollárt veszítenek, mivel ügyfeleik áldozatokká válnak.[55]
    • Az adathalászatot a feketepiac teljesen szervezett részeként ismerik el. Világméretekben olyan szakosodások alakultak ki, amelyek fizetség ellenében adathalász szoftvereket biztosítottak, amelyeket szervezett bandák állítottak össze és valósítottak meg adathalász kampányokban.[56][57]
  • 2005
    • Az Egyesült Királyságban az internetes banki csalásokból - főként adathalászatból - származó veszteségek a 2004-es 12,2 millió angol fontról 2005-ben majdnem megduplázódtak, 23,2 millió angol fontra,[58] míg minden 20. számítógép-felhasználóból 1 állította, hogy 2005-ben adathalászat miatt vesztett.[59]
  • 2006
    • 2006-ban az adathalász támadások csaknem felét a szentpétervári székhelyű Russian Business Networkön keresztül működő csoportok követték el.[60]
    • A bankok vitatkoznak az ügyfelekkel az adathalász veszteségek miatt. Az APACS brit banki szervezet álláspontja szerint "az ügyfeleknek is ésszerű óvintézkedéseket kell tenniük, hogy ne legyenek kiszolgáltatottak a bűnözőknek."[61] Hasonlóképpen, amikor 2006 szeptemberében az első adathalász-támadássorozat elérte az Ír Köztársaság bankszektorát, a Bank of Ireland kezdetben elutasította az ügyfelei által elszenvedett veszteségek fedezését,[62] bár 113 000 euró értékű veszteséget sikerült megtéríteni.[63]
    • Az adathalászok a bankok és az online fizetési szolgáltatások ügyfeleit veszik célba. Állítólag az adóhivataltól érkező e-maileket használtak arra, hogy érzékeny adatokat gyűjtsenek össze amerikai adófizetőktől.[64] Míg az első ilyen példákat válogatás nélkül küldték el, arra számítva, hogy néhányat egy adott bank vagy szolgáltatás ügyfelei kapnak majd, a legújabb kutatások szerint az adathalászok elvileg képesek lehetnek meghatározni, hogy a potenciális áldozatok mely bankokat használják, és ennek megfelelően célozzák meg a hamis e-maileket.[65]
    • A közösségi oldalak az adathalászat elsődleges célpontjai, mivel az ilyen oldalakon található személyes adatok felhasználhatók a személyazonosság-lopáshoz.[66] 2006 végén egy számítógépes féreg átvette a MySpace oldalait, és a linkeket úgy módosította, hogy a szörfözőket bejelentkezési adatok ellopására szolgáló weboldalakra irányította.[67]
  • 2007
    • 3,6 millió ember 3,2 milliárd dollárt veszített a 2007 augusztusával végződő 12 hónapban.[68] A Microsoft azt állítja, hogy ezek a becslések erősen túlzóak, és 60 millió dollárra teszi az éves adathalász veszteséget az Egyesült Államokban.[69]
    • A támadók, akik betörtek a TD Ameritrade adatbázisába, és 6,3 millió e-mail címet szereztek meg (bár társadalombiztosítási számokat, számlaszámokat, neveket, címeket, születési dátumokat, telefonszámokat és kereskedési tevékenységet nem tudtak megszerezni), a számlák felhasználóneveit és jelszavait is akarták, ezért egy további szigonyos támadást indítottak.[70]
  • 2008
    • A RapidShare fájlmegosztó oldalt adathalászok célozták meg, hogy prémium fiókot szerezzenek, amely megszünteti a letöltések sebességkorlátozását, a feltöltések automatikus eltávolítását, a letöltésekre való várakozást és a feltöltések közötti kötelező időt.[71]
    • Az olyan kriptovaluták, mint a Bitcoin, megkönnyítik a rosszindulatú szoftverek értékesítését, mivel biztonságos és anonim tranzakciókat tesznek lehetővé.
  • 2009
    • 2009 januárjában egy adathalász-támadás következtében 1,9 millió USD jogosulatlan átutalása történt az Experi-Metal online bankszámláin keresztül.
    • 2009 harmadik negyedévében az Adathalászat Elleni Munkacsoport arról számolt be, hogy 115 370 adathalász e-mail bejelentést kapott a fogyasztóktól, és az USA és Kína ad otthont az adathalász oldalak több mint 25%-ának.[72]

2010-es évek[szerkesztés]

  • 2011
    • 2011 márciusában az RSA belső munkatársait sikeresen átverték,[73] ami az összes RSA SecureID biztonsági token mesterkulcsának ellopását jelentette, majd ezt követően az amerikai védelmi beszállítókhoz való betöréshez használták fel őket.[74]
    • Kínai adathalászkampányok az Egyesült Államok és Dél-Korea kormányának és hadseregének magas rangú tisztviselőinek, valamint kínai politikai aktivistáknak a Gmail fiókjait célozták meg.[75][76]
  • 2012
    • Ghosh szerint 2012-ben "445 004 támadás történt, szemben a 2011-es 258 461 és a 2010-es 187 203 támadással".
  • 2013
    • 2013 augusztusában az Outbrain hirdetési szolgáltatás szigonyos támadást szenvedett el, és a SEA átirányításokat helyezett el a The Washington Post, a Time és a CNN weboldalain.[77]
    • 2013 októberében ismeretlen számú címzettnek az American Express-től származónak mondott e-maileket küldtek.[78]
    • 2013 novemberében 110 millió ügyfél- és hitelkártyaadatot loptak el a Target ügyfeleitől, egy hamisított alvállalkozói fiókon keresztül.[79] Ezt követően a vezérigazgatót és az IT-biztonsági személyzetet elbocsátották.[80]
    • 2013 decemberére a Cryptolocker zsarolóprogram 250 000 számítógépet fertőzött meg. A Dell SecureWorks szerint a fertőzöttek legalább 0,4%-a valószínűleg beleegyezett a váltságdíjkövetelésbe.[81]
  • 2014
    • 2014 januárjában a Seculert Research Lab egy új célzott támadást azonosított, amely az Xtreme RAT-ot használta. Ez a támadás spear phishing e-maileket használt, hogy izraeli szervezeteket célozzon meg és telepítse a fejlett malware-t. Tizenöt gépet támadtak meg, köztük a Júdea és Szamaria polgári közigazgatásához tartozó gépeket.[82][83][84][85][86][87][88]
    • 2014 augusztusában kiderült, hogy a hírességek fotóinak iCloud kiszivárgása az áldozatoknak küldött adathalász e-maileken alapult, amelyek úgy tűntek, mintha az Apple-től vagy a Google-től érkeztek volna, és arra figyelmeztették az áldozatokat, hogy a fiókjukat veszélyeztethetik, és a fiókadataikat kérték.[89]
    • 2014 novemberében az ICANN elleni adathalász-támadások során adminisztratív hozzáférést szereztek a központi zónaadatrendszerhez; a rendszerben lévő felhasználókról szóló adatokat is megszerezték - és hozzáférést az ICANN nyilvános kormányzati tanácsadó bizottságának wikihez, blogjához és whois információs portáljához.[90]
  • 2015
    • Charles H. Eccleston bűnösnek vallotta magát,[91][92] egy spear-phishing kísérletben, amikor az Energiaügyi Minisztérium 80 alkalmazottjának számítógépét próbálta megfertőzni.
    • Eliot Higgins és más újságírók, akik a Bellingcat nevű, a Malaysia Airlines 17-es járatának Ukrajna feletti lelövését kutató csoporttal állnak kapcsolatban, számos spear phishing e-mail célpontjai voltak.[93][94]
    • 2015 augusztusában a Cozy Bear-t a Pentagon e-mail rendszere elleni spear-phishing kibertámadással hozták összefüggésbe, ami a vizsgálat idejére a teljes vezérkar nem titkosított e-mail rendszerének és internet-hozzáférésének leállítását okozta.[95][96]
    • 2015 augusztusában a Fancy Bear a Java egy nulladik napi exploitját használta fel egy spear phishing támadásban, amely az Electronic Frontier Foundationt hamisította meg, és támadást indított a Fehér Ház és a NATO ellen.[97][98]
  • 2016

Februárban az osztrák FACC AG repülőgépipari cégtől 42 millió eurót csaltak ki egy támadással - ezt követően kirúgták a pénzügyi igazgatót és a vezérigazgatót is.[99]

    • A Fancy Bear 2016 első negyedévében szigonyozásokat hajtott végre a Demokratikus Nemzeti Bizottsággal kapcsolatos e-mail címeken.[100][101]
    • A Wichita Eagle beszámolója szerint "A kansas-i egyetemi alkalmazottak adathalász átverés áldozatául estek és elveszítették a fizetésüket".[102]
    • A gyanú szerint a Fancy Bear áll a 2016 augusztusában a Bundestag tagjai és több politikai párt, például a Linken-frakció vezetője, Sahra Wagenknecht, a Junge Union és a Saar-vidéki CDU ellen indított spear phishing támadás mögött.[103][104][105][106]
    • 2016 augusztusában a Nemzetközi Doppingellenes Ügynökség arról számolt be, hogy adatbázisának felhasználóinak adathalász e-maileket küldtek, amelyek azt állították, hogy a WADA hivatalos tagjai. Azonban a Fancy Bear nevű orosz hackercsoport tagjai voltak[107][108]
    • A 2016-os amerikai választási eredmények után néhány órával orosz hackerek hamisított Harvard Egyetemi e-mail címekről küldtek e-maileket,[109] az adathalászathoz hasonló technikákat alkalmazva hamis híreket tettek közzé, amelyek az egyszerű amerikai szavazókat célozták meg.[110][111]
  • 2017
    • 2017-ben a szervezetek 76%-a tapasztalt adathalász támadást. A megkérdezett információbiztonsági szakemberek közel fele szerint a támadások aránya 2016-hoz képest nőtt.
    • Katarban 2017 első felében három hónap alatt több mint 93 570 adathalász támadás érte a vállalkozásokat és a lakosokat.[112]
    • Egy Google- és Facebook-felhasználóknak küldött adathalász e-mail sikeresen rávette az alkalmazottakat, hogy pénzt - 100 millió dollár értékben - utaljanak egy hacker ellenőrzése alatt álló tengerentúli bankszámlákra. A férfit azóta letartóztatták.[113]
    • 2017 augusztusában az Amazon ügyfelei szembesültek az Amazon Prime Day adathalász-támadással, amikor hackerek látszólag legitim ajánlatokat küldtek az Amazon ügyfeleinek. Amikor az Amazon ügyfelei megpróbáltak vásárolni az "ajánlatok" segítségével, a tranzakció nem zárult le, így a kiskereskedő ügyfelei olyan adatok megadására kényszerültek, amelyek kompromittálódhattak és ellophatták őket.[114]
  • 2018
    • 2018-ban az EOS.IO blokkláncot kifejlesztő block.one vállalatot megtámadta egy adathalász csoport, amely adathalász e-maileket küldött minden ügyfélnek, azzal a céllal, hogy elfogja a felhasználó kriptopénz tárca kulcsát; egy későbbi támadás pedig az airdrop tokeneket célozta meg.[115]
Az APWG szerint beérkezett egyedi adathalász jelentések (kampányok) száma összesen[116]
Év Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec Össz
2005 12 845 13 468 12 883 14 411 14 987 15 050 14 135 13 776 13 562 15 820 16 882 15 244 173 063
2006 17 877 17 163 18 480 17 490 20 109 28 571 23 670 26 150 22 136 26 877 25 816 23 787 268 126
2007 29 930 23 610 24 853 23 656 23 415 28 888 23 917 25 624 38 514 31 650 28 074 25 683 327 814
2008 29 284 30 716 25 630 24 924 23 762 28 151 24 007 33 928 33 261 34 758 24 357 23 187 335 965
2009 34 588 31 298 30 125 35 287 37 165 35 918 34 683 40 621 40 066 33 254 30 490 28 897 412 392
2010 29 499 26 909 30 577 24 664 26 781 33 617 26 353 25 273 22 188 23 619 23 017 21 020 313 517
2011 23 535 25 018 26 402 20 908 22 195 22 273 24 129 23 327 18 388 19 606 25 685 32 979 284 445
2012 25 444 30 237 29 762 25 850 33 464 24 811 30 955 21 751 21 684 23 365 24 563 28 195 320 081
2013 28 850 25 385 19 892 20 086 18 297 38 100 61 453 61 792 56 767 55 241 53 047 52 489 491 399
2014 53 984 56 883 60 925 57 733 60 809 53 259 55 282 54 390 53 661 68 270 66 217 62 765 704 178
2015 49 608 55 795 115 808 142 099 149 616 125 757 142 155 146 439 106 421 194 499 105 233 80 548 1 413 978
2016 99 384 229 315 229 265 121 028 96 490 98 006 93 160 66 166 69 925 51 153 64 324 95 555 1 313 771
2017 96 148 100 932 121 860 87 453 93 285 92 657 99 024 99 172 98 012 61 322 86 547 85 744 1 122 156
2018 89 250 89 010 84 444 91 054 82 547 90 882 93 078 89 323 88 156 87 619 64 905 87 386 1 040 654
2019 34 630 35 364 42 399 37 054 40 177 34 932 35 530 40 457 42 273 45 057 42 424 45 072 475 369

APWG Phishing Attack Trends Reports. (Hozzáférés: 2019. május 5.)

Adathalászat elleni védekezés[szerkesztés]

Vannak olyan adathalászat-ellenes weboldalak, amelyek pontosan azokat az üzeneteket teszik közzé, amelyek a közelmúltban az interneten keringtek, például a FraudWatch International és a Millersmiles. Az ilyen oldalak gyakran konkrét részleteket közölnek az egyes üzenetekről.[117][118]

Még 2007-ben is alacsony volt az adathalászat elleni stratégiák elfogadása a személyes és pénzügyi információk védelmét igénylő vállalkozások körében.[119] Ma már számos különböző technika létezik az adathalászat elleni küzdelemre, köztük a jogszabályokat és a kifejezetten az adathalászat elleni védelemre létrehozott technológiákat. Ezek a technikák olyan lépéseket tartalmaznak, amelyeket az egyének és a szervezetek is megtehetnek. A telefonos, weboldali és e-mailes adathalászatot ma már lehet jelenteni a hatóságoknak, az alábbiakban leírtak szerint.

Felhasználói képzés[szerkesztés]

Az amerikai Szövetségi Kereskedelmi Bizottság által készített animáció képkockája, amelynek célja az állampolgárok felvilágosítása az adathalász taktikákról.

Az embereket ki lehet képezni az adathalászkísérletek felismerésére, és arra, hogy különböző megközelítésekkel kezeljék őket. Az ilyen oktatás hatékony lehet, különösen ott, ahol a képzés a fogalmi ismeretekre helyezi a hangsúlyt,[120][121] és közvetlen visszajelzést biztosít[122]. Ezért bármely szervezet vagy intézmény adathalászat elleni stratégiájának lényeges része a felhasználók aktív oktatása, hogy azok habozás nélkül felismerjék az adathalász-csalásokat, és ennek megfelelően tudjanak cselekedni.[123]

Sok szervezet rendszeresen szimulált adathalászkampányokat futtat a munkatársait megcélozva, hogy mérjék a képzés hatékonyságát.

Az emberek a böngészési szokásaik kismértékű módosításával is tehetnek lépéseket az adathalászkísérletek elkerülésére.[124] Amikor egy fiók "ellenőrzésére" vonatkozó megkeresés (vagy bármely más, az adathalászok által használt téma) esetén ésszerű elővigyázatosság, hogy kapcsolatba lépjenek azzal a céggel, ahonnan az e-mail látszólag származik, és ellenőrizzék, hogy az e-mail valós. Alternatív megoldásként a böngésző címsorába be lehet írni azt a címet, amelyről az egyén tudja, hogy a vállalat valódi honlapja, és nem szabad megbízni a feltételezett adathalász üzenetben található hivatkozásokban.[125]

A vállalatok által az ügyfeleiknek küldött szinte minden törvényes e-mail üzenet tartalmaz egy olyan információt, amely az adathalászok számára nem könnyen hozzáférhető. Egyes vállalatok, például a PayPal, az e-mailekben mindig a felhasználónevükkel szólítják meg ügyfeleiket, így ha egy e-mail általános módon szólítja meg a címzettet ("Kedves PayPal-ügyfél"), az valószínűleg adathalász kísérletnek minősül.[126] A PayPal továbbá különböző módszereket kínál a hamisított e-mailek meghatározására, és azt tanácsolja a felhasználóknak, hogy a gyanús e-maileket továbbítsák a spoof@PayPal.com címre, hogy kivizsgálják és figyelmeztessék a többi ügyfelet. Nem biztonságos azonban azt feltételezni, hogy a személyes adatok jelenléte (például a fent említett, felhasználónéven való megszólítás) önmagában garantálja, hogy egy üzenet biztonságos,[127] és egyes tanulmányok szerint a személyes adatok jelenléte nem befolyásolja az adathalász-támadások sikerességi arányát;[128] ami arra utal, hogy a legtöbb ember nem figyel oda az ilyen részletekre.

A bankoktól és hitelkártya-társaságoktól érkező e-mailek gyakran tartalmaznak részleges számlaszámokat. A legújabb kutatások azonban kimutatták,[129] hogy a lakosság jellemzően nem tesz különbséget a számlaszám első és utolsó néhány számjegye között - ez jelentős probléma, mivel az első néhány számjegy gyakran ugyanaz egy adott pénzintézet minden ügyfele számára.

Az Anti-Phishing Working Group, aki a világ egyik legnagyobb adathalászat elleni szervezete, rendszeresen jelentést készít az újabb adathalász-támadások trendjeiről.[130]

A Google közzétett egy videót, amely bemutatja, hogyan lehet azonosítani és megvédeni magát a fehasználóknak az adathalász csalásoktól.[131]

Adathalász levelek kiszűrése[szerkesztés]

A speciális spamszűrők csökkenthetik az adathalász e-mailek számát, amelyek eljutnak a címzettek postaládájába. Ezek a szűrők számos technikát használnak, többek között gépi tanulási[132] és természetes nyelvi feldolgozási megközelítéseket az adathalász e-mailek osztályozására[133][134] és a hamisított címekkel ellátott e-mailek visszautasítására.[135]

A böngészők figyelmeztetése a hamis weboldalakra[szerkesztés]

Az adathalászat elleni küzdelem másik népszerű megközelítése az ismert adathalász webhelyek listájának vezetése, és a webhelyek ellenőrzése a lista alapján. Az egyik ilyen a Safe Browsing nevű szolgáltatás.[136] Az olyan webböngészők, mint a Google Chrome, az Internet Explorer 7, a Mozilla Firefox 2.0, a Safari 3.2 és az Opera mind tartalmaznak ilyen típusú adathalászat elleni funkciót.[137][138][139][140][141] A Firefox 2 a Google adathalászat elleni szoftverét használta. Az Opera 9.1 a Phishtank, a cyscon és a GeoTrust élő feketelistáit, valamint a GeoTrust élő fehérlistáit használja. E megközelítés egyes megvalósításai a meglátogatott URL-eket egy központi szolgáltatásnak küldik el ellenőrzésre, ami adatvédelmi aggályokat vetett fel.[142] A Mozilla 2006 végén készített jelentése szerint egy független szoftvertesztelő cég tanulmánya szerint a Firefox 2 hatékonyabbnak bizonyult a csaló oldalak felderítésében, mint az Internet Explorer 7.[143]

A 2006 közepén bevezetett megközelítés egy olyan speciális DNS-szolgáltatásra való áttérés, amely kiszűri az ismert adathalász tartományokat: ez bármely böngészővel működik,[144] és elvileg hasonló ahhoz, mintha egy hosts-fájlt használnánk a webes hirdetések blokkolására.

Annak a problémának a mérséklésére, hogy az adathalász webhelyek az áldozat webhelyét annak képeinek (például logóinak) beágyazásával megszemélyesítik, több webhelytulajdonos megváltoztatta a képeket, hogy üzenetet küldjön a látogatónak arról, hogy az adott webhely csaló lehet. A képet áthelyezhetik egy új fájlnévre, és az eredetit véglegesen lecserélhetik, vagy a szerver észlelheti, hogy a képet nem a normál böngészés részeként kérték, és helyette egy figyelmeztető képet küld.[145][146]

Jelszóval történő bejelentkezések kibővítése[szerkesztés]

A Bank of America honlapja[147][148] egyike azon honlapoknak, amelyek arra kérik a felhasználókat, hogy válasszanak egy személyes képet (SiteKey néven említik), és ezt a felhasználó által kiválasztott képet jelenítik meg minden olyan űrlapon, amely jelszót kér. A bank online szolgáltatásainak felhasználói csak akkor kapnak utasítást a jelszó megadására, amikor az általuk kiválasztott képet látják. Több tanulmány szerint azonban kevés felhasználó tartózkodik a jelszó megadásától, ha a kép nem jelenik meg[149][150] Emellett ez a funkció (a kétfaktoros hitelesítés más formáihoz hasonlóan) más támadásoknak is ki van téve, mint például 2005 végén a skandináv Nordea bankot[151] és 2006-ban a Citibankot ért támadások.[152]

Más pénzintézeteknél is használatban van egy hasonló rendszer, amelyben egy automatikusan generált "Identity Cue", -amely egy színes dobozban lévő színes szóból áll-, megjelenik minden weboldal felhasználójának.[153]

A biztonsági skinek[154][155] egy kapcsolódó technika, amelynek lényege, hogy a bejelentkezési űrlapra egy felhasználó által kiválasztott képet helyeznek vizuális jelként, hogy az űrlap biztonságos. A weboldal-alapú képsémáktól eltérően azonban maga a kép csak a felhasználó és a böngésző között kerül megosztásra, a felhasználó és a weboldal között nem. A rendszer egy kölcsönös hitelesítési protokollra is támaszkodik, ami kevésbé teszi sebezhetővé a csak a felhasználót érintő hitelesítési rendszereket érő támadásokkal szemben.

Egy másik technika a képek dinamikus rácsára támaszkodik, amely minden egyes bejelentkezési kísérletnél más és más. A felhasználónak azonosítania kell azokat a képeket, amelyek megfelelnek az előre kiválasztott kategóriáknak (például kutyák, autók és virágok). Csak miután helyesen azonosította a kategóriáinak megfelelő képeket, adhatja meg az alfanumerikus jelszót a bejelentkezés befejezéséhez. A Bank of America weboldalán használt statikus képekkel ellentétben a dinamikus képalapú hitelesítési módszer egyszeri jelszót hoz létre a bejelentkezéshez, aktív részvételt igényel a felhasználótól, és nagyon nehéz egy adathalász weboldalnak helyesen lemásolnia, mivel egy véletlenszerűen generált képekből álló, a felhasználó titkos kategóriáit tartalmazó, eltérő rácsot kellene megjelenítenie.[156]

Nyomon követés és eltávolítás[szerkesztés]

Számos vállalat kínál bankoknak és más, az adathalász-csalásoknak valószínűleg kitett szervezeteknek éjjel-nappal működő szolgáltatásokat az adathalász weboldalak megfigyelésére, elemzésére és az adathalász weboldalak leállításában való segítségnyújtásra.[157] A hamis tartalmak automatikus felismerése még mindig a közvetlen fellépéshez elfogadott szint alatt van, a tartalomalapú elemzés 80-90%-os sikert ér el,[158] ezért a legtöbb eszköz manuális lépéseket tartalmaz az észlelés igazolására és a válaszadás engedélyezésére.[159] Az egyének az adathalászatot önkéntes és iparági csoportok, például a cyscon vagy a PhishTank felé történő bejelentéssel járulhatnak hozzá[160] Az adathalász weboldalakat és e-maileket a Google-nak is lehet jelenteni.[161][162]

Többtényezős hitelesítés[szerkesztés]

A szervezetek kétfaktoros vagy többfaktoros hitelesítést (MFA) alkalmazhatnak, amely megköveteli, hogy a felhasználó legalább két tényezőt használjon a bejelentkezéskor. (Például a felhasználónak egy intelligens kártyát és egy jelszót is be kell mutatnia). Ez némileg csökkenti a kockázatot, egy sikeres adathalász-támadás esetén az ellopott jelszó önmagában nem használható fel újra a védett rendszer további feltörésére. Sok olyan támadási módszer létezik azonban, amely számos tipikus rendszert képes legyőzni.[163] Az olyan MFA-rendszerek, mint a WebAuthn, képesek kezelni ezt a problémát.

E-mail tartalmának szerkesztése[szerkesztés]

Azok a szervezetek, amelyek a kényelem helyett a biztonságot helyezik előtérbe, megkövetelhetik a számítógépek felhasználóitól, hogy olyan e-mail klienst használjanak, amely az URL-címeket törli az e-mail üzenetekből, így lehetetlenné téve, hogy az e-mail olvasója (akár véletlenül is) rákattintson egy linkre, vagy másoljon egy URL-címet. Bár ez kellemetlenséggel járhat, de szinte teljesen kiküszöböli az e-mailes adathalász-támadásokat.

Jogi reakciók[szerkesztés]

2004. január 26-án az Egyesült Államok Szövetségi Kereskedelmi Bizottsága benyújtotta az első pert egy feltételezett adathalász ellen. Az alperes, egy kaliforniai tinédzser, állítólag egy olyan weboldalt hozott létre, amely úgy nézett ki, mint az America Online weboldala, és azt használta hitelkártyaadatok ellopására.[164] Más országok is követték ezt a példát az adathalászok felkutatásával és letartóztatásával. Brazíliában letartóztattak egy adathalász-királyt, Valdir Paulo de Almeidát, aki az egyik legnagyobb adathalász-bűnszövetkezet vezetője volt, amely két év alatt 18 és 37 millió dollár közötti összeget lopott el.

Az Egyesült Államokban Patrick Leahy szenátor 2005. március 1-jén terjesztette elő a Kongresszusban a 2005. évi adathalászat elleni törvényt (Anti-Phishing Act of 2005). Ez a törvényjavaslat, ha törvénybe iktatták volna, akár 250 000 dollárig terjedő pénzbírsággal és öt évig terjedő börtönbüntetéssel sújtotta volna azokat a bűnözőket, akik hamis weboldalakat hoztak létre és hamis e-maileket küldtek a fogyasztók megtévesztése érdekében. Az Egyesült Királyság megerősítette az adathalászat elleni jogi arzenálját a 2006-os Fraud Act (csalásról szóló törvény),[165] amely bevezeti a csalás általános bűncselekményét, amely akár tízéves börtönbüntetéssel is sújtható, és tiltja az adathalász eszközök csalási szándékkal történő kifejlesztését vagy birtoklását.[166]

A vállalatok is csatlakoztak az adathalászat visszaszorítására irányuló erőfeszítésekhez. A Microsoft 2005. március 31-én 117 szövetségi pert nyújtott be a Washington nyugati kerületének amerikai kerületi bíróságán. A perek "John Doe" alpereseket vádolnak jelszavak és bizalmas információk megszerzésével. 2005 márciusában a Microsoft és az ausztrál kormány közötti partnerség keretében a bűnüldöző szervek tisztviselőit is kiképezték arra, hogyan küzdjenek a különböző kiberbűncselekmények, köztük az adathalászat ellen.[167] 2006 márciusában a Microsoft további 100, az Egyesült Államokon kívül tervezett pert jelentett be,[168] majd 2006 novemberétől 129, büntető- és polgári pereket vegyítő per indult.[169] Az AOL 2006 elején három perrel[170] erősítette meg az adathalászat elleni erőfeszítéseit,[171] amelyekben a Virginia Computer Crimes Act 2005-ös módosításai alapján összesen 18 millió dollárt követelnek,[172][173] és az Earthlink is csatlakozott, segítve hat férfi azonosítását, akiket később Connecticutban adathalász csalással vádoltak meg.[174]

2007 januárjában a kaliforniai Jeffrey Brett Goodin lett az első vádlott, akit a 2003-as CAN-SPAM törvény rendelkezései alapján az esküdtszék elítélt. Bűnösnek találták abban, hogy több ezer e-mailt küldött az America Online felhasználóinak, miközben az AOL számlázási részlege egyik munkatársának adta ki magát, ami arra késztette az ügyfeleket, hogy személyes és hitelkártyaadatokat adjanak meg. A CAN-SPAM-szabálysértésért és tíz másik vádpontért, köztük postai és távirati csalásért, a hitelkártyák jogosulatlan használatáért és az AOL védjegyével való visszaélésért kiszabható 101 év börtönbüntetéssel szemben 70 hónap letöltésére ítélték. Goodin azóta volt őrizetben, hogy nem jelent meg egy korábbi bírósági meghallgatáson, és azonnal megkezdte a börtönbüntetés letöltését.[175][176][177][178]

Jegyzetek[szerkesztés]

  1. Ramzan, Zulfikar. Phishing attacks and countermeasures, Handbook of Information and Communication Security. Springer (2010). ISBN 978-3-642-04117-4 
  2. Internet Crime Report 2020. FBI Internet Crime Complaint Centre . U.S. Federal Bureau of Investigation. (Hozzáférés: 2021. március 21.)
  3. Ollmann, Gunter: The Phishing Guide: Understanding and Preventing Phishing Attacks. Technical Info. [2011. január 31-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. július 10.)
  4. a b c (2016. október 1.) „The Big Phish: Cyberattacks Against U.S. Healthcare Systems.”. Journal of General Internal Medicine 31 (10), 1115–8. o. DOI:10.1007/s11606-016-3741-z. PMID 27177913.  
  5. Mitchell, Anthony. „A Leet Primer”, TechNewsWorld, 2005. július 12.. [2019. április 17-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2021. március 21.) 
  6. Phishing. Language Log, September 22, 2004. [2006. augusztus 30-i dátummal az eredetiből archiválva]. (Hozzáférés: 2021. március 21.)
  7. Jøsang, Audun: Security Usability Principles for Vulnerability Analysis and Risk Assessment.. Proceedings of the Annual Computer Security Applications Conference 2007 (ACSAC'07), 2007. [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2020. november 11.)
  8. 2019 Data Breach Investigations Report. PhishingBox . Verizon Communications. (Hozzáférés: 2021. március 21.)
  9. (2019. július 1.) „Fifteen years of phishing: can technology save us?”. Computer Fraud & Security 2019 (7), 11–16. o. DOI:10.1016/S1361-3723(19)30074-0. (Hozzáférés ideje: 2021. március 21.)  
  10. The Black Market for Netflix Accounts (angol nyelven). The Atlantic , 2016. február 11. (Hozzáférés: 2021. március 21.)
  11. Spear phishing. Windows IT Pro Center. (Hozzáférés: 2019. március 4.)
  12. Spear Phishing: Who's Getting Caught?. Firmex, 2013. május 30. [2014. augusztus 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2014. július 27.)
  13. NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted”, Info Security magazine, 2018. február 3. (Hozzáférés ideje: 2018. szeptember 10.) 
  14. RSA explains how attackers breached its systems”, The Register, 2011. április 4. (Hozzáférés ideje: 2018. szeptember 10.) 
  15. Epsilon breach used four-month-old attack”, itnews.com.au, 2011. április 7. (Hozzáférés ideje: 2018. szeptember 10.) 
  16. (2019) „What Phishing E-mails Reveal: An Exploratory Analysis of Phishing Attempts Using Text Analyzes”. SSRN Electronic Journal. DOI:10.2139/ssrn.3427436. ISSN 1556-5068. (Hozzáférés ideje: 2020. november 2.)  
  17. Threat Group-4127 Targets Google Accounts (angol nyelven). secureworks.com . [2019. augusztus 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2017. október 12.)
  18. How the Russians hacked the DNC and passed its emails to WikiLeaks”, The Washington Post, 2018. július 13.. [2021. március 21-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2019. február 22.) 
  19. Fake subpoenas harpoon 2,100 corporate fat cats. The Register. [2011. január 31-i dátummal az eredetiből archiválva]. (Hozzáférés: 2008. április 17.)
  20. What Is 'Whaling'? Is Whaling Like 'Spear Phishing'?. About Tech. [2011. október 18-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. március 28.)
  21. (2020. december 1.) „Fraud against businesses both online and offline: crime scripts, business characteristics, efforts, and benefits”. Crime Science 9 (1), 13. o. DOI:10.1186/s40163-020-00119-4.  
  22. Action Fraud warning after serious rise in CEO fraud. Action Fraud . (Hozzáférés: 2021. március 21.)
  23. Invoice scams affecting New Zealand businesses. NZCERT. (Hozzáférés: 2019. július 1.)
  24. House invoice scam leaves couple $53k out of pocket”, The New Zealand Herald, 2018. augusztus 18.. [2021. március 21-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2019. július 1.) 
  25. a b (2008. november 25.) „Vishing”. Proceedings of the 5th Annual Conference on Information Security Curriculum Development - InfoSecCD '08, 33. o. DOI:10.1145/1456625.1456635.  
  26. (2008. november 25.) „Voice pharming attack and the trust of VoIP”. Proceedings of the 4th International Conference on Security and Privacy in Communication Netowrks - SecureComm '08, 1. o. DOI:10.1145/1460877.1460908.  
  27. Phishing, Smishing, and Vishing: What's the Difference?. belvoircreditunion.org , 2008. augusztus 1. [2015. április 1-i dátummal az eredetiből archiválva].
  28. Vishing and smishing: The rise of social engineering fraud Archiválva 2021. március 21-i dátummal a Wayback Machine-ben., BBC, Marie Keyworth, 2016-01-01
  29. SMS phishing article at ConsumerAffairs.com. [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2020. július 29.)
  30. (2019. augusztus 1.) „SMS Phishing and Mitigation Approaches”. 2019 Twelfth International Conference on Contemporary Computing (IC3), 1–5. o, Kiadó: IEEE. DOI:10.1109/ic3.2019.8844920.  
  31. What is Smishing?. Symantec Corporation. (Hozzáférés: 2018. október 18.)
  32. Get smart on Phishing! Learn to read links!. [2016. december 11-i dátummal az eredetiből archiválva]. (Hozzáférés: 2016. december 11.)
  33. Hidden JavaScript Redirect Makes Phishing Pages Harder to Detect. Softpedia News Center . Softpedia, 2016. június 15. [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2017. május 21.) „Hovering links to see their true location may be a useless security tip in the near future if phishers get smart about their mode of operation and follow the example of a crook who recently managed to bypass this browser built-in security feature.”
  34. Johanson, Eric: The State of Homograph Attacks Rev1.1. The Shmoo Group. [2005. augusztus 23-i dátummal az eredetiből archiválva]. (Hozzáférés: 2005. augusztus 11.)
  35. (2002. február 1.) „The Homograph Attack”. Communications of the ACM 45 (2), 128. o. DOI:10.1145/503124.503156.  
  36. Leyden, John. „Barclays scripting SNAFU exploited by phishers”, The Register, 2006. augusztus 15.. [2019. június 13-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. augusztus 10.) 
  37. Levine, Jason: Goin' phishing with eBay. Q Daily News. [2019. március 26-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. december 14.)
  38. Leyden, John. „Cybercrooks lurk in shadows of big-name websites”, The Register, 2007. december 12.. [2019. június 23-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. augusztus 10.) 
  39. Black Hat DC 2009”, 2011. május 15.. [2015. január 3-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2014. július 26.) 
  40. Mutton, Paul: Fraudsters seek to make phishing sites undetectable by content filters. Netcraft. [2011. január 31-i dátummal az eredetiből archiválva].
  41. (2020. november 25.) „Effects of Recipient Information and Urgency Cues on Phishing Detection”. HCI International 2020 - Posters 1226, 520–525. o. DOI:10.1007/978-3-030-50732-9_67.  
  42. (2020. január 1.) „Developing a measure of information seeking about phishing”. Journal of Cybersecurity 6 (1). DOI:10.1093/cybsec/tyaa001. ISSN 2057-2085.  
  43. (2019. szeptember 1.) „Susceptibility to Spear-Phishing Emails: Effects of Internet User Demographics and Email Content”. ACM transactions on computer-human interaction : a publication of the Association for Computing Machinery 26 (5). DOI:10.1145/3336141. ISSN 1073-0516. PMID 32508486.  
  44. Fake news can poison your computer as well as your mind”, archersecuritygroup.com, 2017. január 27.. [2017. február 2-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. január 28.) 
  45. Fake news can poison your computer as well as your mind”, archersecuritygroup.com, 2017. január 27.. [2017. február 2-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. január 28.) 
  46. (1987. szeptember 1.) „System Security: A Hacker's Perspective”. 1987 Interex Proceedings 8, 6. o.  
  47. EarthLink wins $25 million lawsuit against junk e-mailer”. [2019. március 22-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2014. április 11.) 
  48. Langberg, Mike. „AOL Acts to Thwart Hackers”, San Jose Mercury News, 1995. szeptember 8.. [2016. április 29-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2012. március 14.) 
  49. Stutz, Michael. „AOL: A Cracker's Momma!”, Wired News, 1998. január 29.. [2005. december 14-i dátummal az eredetiből archiválva] 
  50. Phishing | History of Phishing. phishing.org . [2018. szeptember 9-i dátummal az eredetiből archiválva]. (Hozzáférés: 2019. szeptember 13.)
  51. Phishing. Word Spy. [2014. október 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. szeptember 28.)
  52. History of AOL Warez. [2011. január 31-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. szeptember 28.)
  53. GP4.3 – Growth and Fraud — Case #3 – Phishing. Financial Cryptography, 2005. december 30. [2019. január 22-i dátummal az eredetiből archiválva]. (Hozzáférés: 2007. február 23.)
  54. Sangani, Kris (2003. szeptember 1.). „The Battle Against Identity Theft”. The Banker 70 (9), 53–54. o.  
  55. Kerstein, Paul. „How Can We Stop Phishing and Pharming Scams?”, CSO, 2005. július 19.. [2008. március 24-i dátummal az eredetiből archiválva] 
  56. In 2005, Organized Crime Will Back Phishers. IT Management, 2004. december 23. [2011. január 31-i dátummal az eredetiből archiválva].
  57. Abad, Christopher: The economy of phishing: A survey of the operations of the phishing market. First Monday, 2005. szeptember 1. [2011. november 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. október 8.)
  58. UK phishing fraud losses double”, Finextra, 2006. március 7.. [2009. január 19-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2006. május 20.) 
  59. Richardson, Tim. „Brits fall prey to phishing”, The Register, 2005. május 3.. [2019. június 10-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. augusztus 10.) 
  60. Krebs, Brian. „Shadowy Russian Firm Seen as Conduit for Cybercrime”, 2007. október 13.. [2019. június 11-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. szeptember 8.) 
  61. Miller, Rich: Bank, Customers Spar Over Phishing Losses. Netcraft. (Hozzáférés: 2006. december 14.)
  62. Latest News. [2008. október 7-i dátummal az eredetiből archiválva].
  63. Bank of Ireland agrees to phishing refunds. vnunet.com. [2008. október 28-i dátummal az eredetiből archiválva].
  64. Suspicious e-Mails and Identity Theft. Internal Revenue Service. [2011. január 31-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. július 5.)
  65. Phishing for Clues”, Indiana University Bloomington, 2005. szeptember 15.. [2009. július 31-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2005. szeptember 15.) 
  66. Kirk, Jeremy. „Phishing Scam Takes Aim at MySpace.com”, IDG Network, 2006. június 2.. [2006. június 16-i dátummal az eredetiből archiválva] 
  67. Malicious Website / Malicious Code: MySpace XSS QuickTime Worm. Websense Security Labs. [2006. december 5-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. december 5.)
  68. McCall, Tom. „Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks”, Gartner, 2007. december 17.. [2012. november 18-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2007. december 20.) 
  69. A Profitless Endeavor: Phishing as Tragedy of the Commons. Microsoft. (Hozzáférés: 2008. november 15.)
  70. Torrent of spam likely to hit 6.3 million TD Ameritrade hack victims. [2009. május 5-i dátummal az eredetiből archiválva].
  71. 1-Click Hosting at RapidTec — Warning of Phishing!. [2008. április 30-i dátummal az eredetiből archiválva]. (Hozzáférés: 2008. december 21.)
  72. APWG: Phishing Activity Trends Report. [2012. október 3-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. november 4.)
  73. Anatomy of an RSA attack. RSA.com . RSA FraudAction Research Labs. [2014. október 6-i dátummal az eredetiből archiválva]. (Hozzáférés: 2014. szeptember 15.)
  74. Data Breach at Security Firm Linked to Attack on Lockheed”, The New York Times, 2011. május 27.. [2019. július 9-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2014. szeptember 15.) 
  75. Keizer, Greg: Suspected Chinese spear-phishing attacks continue to hit Gmail users. Computerworld, 2011. augusztus 13. [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. december 4.)
  76. Ewing, Philip: Report: Chinese TV doc reveals cyber-mischief. Dod Buzz, 2011. augusztus 22. [2017. január 26-i dátummal az eredetiből archiválva]. (Hozzáférés: 2011. december 4.)
  77. "Syrian hackers Use Outbrain to Target The Washington Post, Time, and CNN" Archiválva 2013. október 19-i dátummal a Wayback Machine-ben., Philip Bump, The Atlantic Wire, 15 August 2013. Retrieved 15 August 2013.
  78. Phishing Emails: The Unacceptable Failures of American Express. Email Answers. [2013. október 9-i dátummal az eredetiből archiválva]. (Hozzáférés: 2013. október 9.)
  79. Report: Email phishing scam led to Target breach. BringMeTheNews.com . [2014. szeptember 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2014. szeptember 15.)
  80. Target CEO Sack. [2014. szeptember 15-i dátummal az eredetiből archiválva]. (Hozzáférés: 2014. szeptember 15.)
  81. Kelion, Leo. „Cryptolocker ransomware has 'infected about 250,000 PCs'”, BBC, 2013. december 24.. [2019. március 22-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2013. december 24.) 
  82. Israeli defence computer hacked via tainted email -cyber firm”, Reuters, 2014. január 26.. [2015. szeptember 24-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. július 1.) 
  83. האקרים השתלטו על מחשבים ביטחוניים”, 2014. január 27.. [2021. március 21-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2016. november 29.) 
  84. Hackers break into Israeli defence computers, says security company. The Guardian. [2014. február 9-i dátummal az eredetiből archiválva].
  85. Israel defence computers hit by hack attack”, BBC News, 2014. január 27.. [2019. március 22-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2018. június 22.) 
  86. Israeli Defense Computer Hit in Cyber Attack: Data Expert | SecurityWeek.Com. securityweek.com . [2019. március 22-i dátummal az eredetiből archiválva]. (Hozzáférés: 2019. szeptember 13.)
  87. Israel to Ease Cyber-Security Export Curbs, Premier Says”, Bloomberg. [2014. március 4-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. március 11.) 
  88. Halpern, Micah D.. „Cyber Break-in @ IDF”, HuffPost. [2021. március 21-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2020. február 20.) 
  89. Prosecutors find that ‘Fappening’ celebrity nudes leak was not Apple’s fault Archiválva 2017. augusztus 18-i dátummal a Wayback Machine-ben. March 15, 2016, Techcrunch
  90. ICANN Targeted in Spear Phishing Attack | Enhanced Security Measures Implemented. icann.org . [2019. augusztus 7-i dátummal az eredetiből archiválva]. (Hozzáférés: 2014. december 18.)
  91. Eccleston Indictment, 2013. november 1. [2017. január 26-i dátummal az eredetiből archiválva]. (Hozzáférés: 2020. november 22.)
  92. Former U.S. Nuclear Regulatory Commission Employee Pleads Guilty to Attempted Spear-Phishing Cyber-Attack on Department of Energy Computers, 2016. február 2. [2019. augusztus 8-i dátummal az eredetiből archiválva]. (Hozzáférés: 2020. november 22.)
  93. Russian hackers harassed journalists who were investigating Malaysia Airlines plane crash”, The Washington Post, 2016. szeptember 28.. [2019. április 23-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2016. október 26.) 
  94. ThreatConnect reviews activity targeting Bellingcat, a key contributor in the MH17 investigation.. ThreatConnect , 2016. szeptember 28. (Hozzáférés: 2016. október 26.)
  95. Russia hacks Pentagon computers: NBC, citing sources”, 2015. augusztus 7.. [2019. augusztus 8-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2015. augusztus 7.) 
  96. Official: Russia suspected in Joint Chiefs email server intrusion”, 2015. augusztus 7.. [2019. augusztus 8-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2015. augusztus 7.) 
  97. Spear phishers with suspected ties to Russian government spoof fake EFF domain, attack White House”, Boing Boing, 2015. augusztus 28.. [2019. március 22-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2016. november 29.) 
  98. New Spear Phishing Campaign Pretends to be EFF. EFF, 2015. augusztus 27. [2019. augusztus 7-i dátummal az eredetiből archiválva]. (Hozzáférés: 2016. november 29.)
  99. Austria's FACC, hit by cyber fraud, fires CEO”, Reuters, 2016. május 26.. [2021. március 21-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2018. december 20.) 
  100. D.N.C. Says Russian Hackers Penetrated Its Files, Including Dossier on Donald Trump”, The New York Times, 2016. június 14.. [2019. július 25-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2016. október 26.) 
  101. Bear on bear”, 2016. szeptember 24.. [2017. május 20-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2016. október 25.) 
  102. KU employees fall victim to phishing scam, lose paychecks. [2019. március 22-i dátummal az eredetiből archiválva]. (Hozzáférés: 2016. október 6.)
  103. Hackers lurking, parliamentarians told. Deutsche Welle. (Hozzáférés: 2016. szeptember 21.)
  104. Hackerangriff auf deutsche Parteien”, 2016. szeptember 20. (Hozzáférés ideje: 2016. szeptember 21.) 
  105. Angeblich versuchter Hackerangriff auf Bundestag und Parteien. Heise. [2019. április 1-i dátummal az eredetiből archiválva]. (Hozzáférés: 2016. szeptember 21.)
  106. Wir haben Fingerabdrücke”, Frankfurter Allgemeine. [2019. március 22-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2016. szeptember 21.) 
  107. Hyacinth Mascarenhas: Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say. International Business Times, 2016. augusztus 23. (Hozzáférés: 2016. szeptember 13.)
  108. What we know about Fancy Bears hack team. BBC News, 2016. szeptember 15. [2019. március 22-i dátummal az eredetiből archiválva]. (Hozzáférés: 2016. szeptember 17.)
  109. Russian Hackers Launch Targeted Cyberattacks Hours After Trump's Win, 2016. november 10. [2017. január 27-i dátummal az eredetiből archiválva]. (Hozzáférés: 2016. november 28.)
  110. European Parliament Committee on Foreign Affairs (23 November 2016), MEPs sound alarm on anti-EU propaganda from Russia and Islamist terrorist groups, <http://www.europarl.europa.eu/pdfs/news/expert/infopress/20161118IPR51718/20161118IPR51718_en.pdf>. Hozzáférés ideje: 26 November 2016
  111. Lewis Sanders IV (11 October 2016), 'Divide Europe': European lawmakers warn of Russian propaganda, Deutsche Welle, <http://www.dw.com/en/divide-europe-european-lawmakers-warn-of-russian-propaganda/a-36016836>. Hozzáférés ideje: 24 November 2016
  112. Qatar faced 93,570 phishing attacks in first quarter of 2017”, Gulf Times, 2017. május 12.. [2018. augusztus 4-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2018. január 28.) (arab nyelvű) 
  113. Facebook and Google Were Victims of $100M Payment Scam”, Fortune. [2019. augusztus 8-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2018. január 28.) (angol nyelvű) 
  114. Amazon Prime Day phishing scam spreading now!”, The Kim Komando Show. [2019. május 27-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2018. január 28.) (amerikai angol nyelvű) 
  115. Cryptocurrency Hackers Are Stealing from EOS's $4 Billion ICO Using This Sneaky Scam (amerikai angol nyelven). Jen Wieczner. [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2018. május 31.)
  116. APWG Phishing Attack Trends Reports. [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2018. október 20.)
  117. Millersmiles Home Page. Oxford Information Services. [2007. július 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. január 3.)
  118. FraudWatch International Home Page. FraudWatch International. [2019. június 16-i dátummal az eredetiből archiválva]. (Hozzáférés: 2010. január 3.)
  119. Baker, Emiley (2007). „Organizations Respond to Phishing: Exploring the Public Relations Tackle Box”. Communication Research Reports 24 (4), 327. o. DOI:10.1080/08824090701624239.  
  120. Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System. Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University., 2006. november 1. [2007. január 30-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. november 14.)
  121. Perrault, Evan K. (2017. március 23.). „Using an Interactive Online Quiz to Recalibrate College Students' Attitudes and Behavioral Intentions About Phishing” (angol nyelven). Journal of Educational Computing Research 55 (8), 1154–1167. o. DOI:10.1177/0735633117699232.  
  122. (2012. június 1.) „Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks'”. International Journal for E-Learning Security 2 (1), 127–132. o. DOI:10.20533/ijels.2046.4568.2012.0016.  
  123. Jampen, Daniel (2020. december 1.). „Don’t click: towards an effective anti-phishing training. A comparative literature review” (angol nyelven). Human-centric Computing and Information Sciences 10 (1), 33. o. DOI:10.1186/s13673-020-00237-7. ISSN 2192-1962.  
  124. Steps to avoid phishing. [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2015. március 3.)
  125. Anti-Phishing Tips You Should Not Follow. HexView. [2008. március 20-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. június 19.)
  126. Protect Yourself from Fraudulent Emails. PayPal. [2011. április 6-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. július 7.)
  127. Zeltser, Lenny. „Phishing Messages May Include Highly-Personalized Information”, The SANS Institute, 2006. március 17.. [2006. december 2-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2006. május 20.) 
  128. Designing Ethical Phishing Experiments. WWW '06. [2011. január 31-i dátummal az eredetiből archiválva]. (Hozzáférés: 2007. augusztus 20.)
  129. What Instills Trust? A Qualitative Study of Phishing. informatics.indiana.edu . [2007. március 6-i dátummal az eredetiből archiválva].
  130. APWG Phishing Attack Trends Reports. APWG . [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2018. szeptember 12.)
  131. Google: Stay Safe from Phishing and Scams, 2017. június 25. [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2020. április 12.)
  132. (2011. július 1.) „Obtaining the Threat Model for E-mail Phishing”. Applied Soft Computing 13 (12), 4841–4848. o. DOI:10.1016/j.asoc.2011.06.016.  
  133. Phishing E-mail Detection Based on Structural Properties. NYS Cyber Security Symposium, 2006. március 1. [2008. február 16-i dátummal az eredetiből archiválva].
  134. Learning to Detect Phishing Emails. Carnegie Mellon University Technical Report CMU-ISRI-06-112, 2006. június 1. [2018. június 19-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. november 30.)
  135. Landing another blow against email phishing (Google Online Security Blog). [2012. június 6-i dátummal az eredetiből archiválva]. (Hozzáférés: 2012. június 21.)
  136. Google Safe Browsing. [2017. szeptember 1-i dátummal az eredetiből archiválva]. (Hozzáférés: 2017. november 30.)
  137. Safe Browsing (Google Online Security Blog). [2016. március 5-i dátummal az eredetiből archiválva]. (Hozzáférés: 2012. június 21.)
  138. Franco, Rob: Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers. IEBlog. [2010. január 17-i dátummal az eredetiből archiválva]. (Hozzáférés: 2020. február 10.)
  139. Bon Echo Anti-Phishing. Mozilla. [2011. augusztus 23-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. június 2.)
  140. Safari 3.2 finally gains phishing protection. Ars Technica, 2008. november 13. [2011. augusztus 23-i dátummal az eredetiből archiválva]. (Hozzáférés: 2008. november 15.)
  141. Gone Phishing: Evaluating Anti-Phishing Tools for Windows”, 3Sharp, 2006. szeptember 27.. [2008. január 14-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2006. október 20.) 
  142. Two Things That Bother Me About Google's New Firefox Extension. Nitesh Dhanjani on O'Reilly ONLamp. [2014. július 22-i dátummal az eredetiből archiválva]. (Hozzáférés: 2007. július 1.)
  143. Firefox 2 Phishing Protection Effectiveness Testing. [2011. január 31-i dátummal az eredetiből archiválva]. (Hozzáférés: 2007. január 23.)
  144. Higgins, Kelly Jackson: DNS Gets Anti-Phishing Hook. Dark Reading. [2011. augusztus 18-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. október 8.)
  145. Krebs, Brian. „Using Images to Fight Phishing”, Security Fix, 2006. augusztus 31.. [2006. november 16-i dátummal az eredetiből archiválva] 
  146. Seltzer, Larry. „Spotting Phish and Phighting Back”, eWeek, 2004. augusztus 2.. [2019. július 5-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2006. december 14.) 
  147. Bank of America: How Bank of America SiteKey Works For Online Banking Security. [2011. augusztus 23-i dátummal az eredetiből archiválva]. (Hozzáférés: 2007. január 23.)
  148. Brubaker, Bill. „Bank of America Personalizes Cyber-Security”, The Washington Post, 2005. július 14.. [2019. június 8-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. szeptember 8.) 
  149. Stone, Brad. „Study Finds Web Antifraud Measure Ineffective”, The New York Times, 2007. február 5.. [2019. június 11-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2007. február 5.) 
  150. The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies. IEEE Symposium on Security and Privacy, May 2007, 2007. május 1. [2008. július 20-i dátummal az eredetiből archiválva]. (Hozzáférés: 2007. február 5.)
  151. Phishers target Nordea's one-time password system”, Finextra, 2005. október 12.. [2005. december 18-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2005. december 20.) 
  152. Krebs, Brian. „Citibank Phish Spoofs 2-Factor Authentication”, Security Fix, 2006. július 10.. [2006. november 10-i dátummal az eredetiből archiválva] 
  153. Graham Titterington: More doom on phishing. Ovum Research, April 2006. [2008. április 10-i dátummal az eredetiből archiválva]. (Hozzáférés: 2009. április 8.)
  154. Schneier, Bruce: Security Skins. Schneier on Security. (Hozzáférés: 2006. december 3.)
  155. The Battle Against Phishing: Dynamic Security Skins. Symposium On Usable Privacy and Security (SOUPS) 2005, 2005. július 1. [2007. június 29-i dátummal az eredetiből archiválva]. (Hozzáférés: 2007. február 5.)
  156. Dynamic, Mutual Authentication Technology for Anti-Phishing. Confidenttechnologies.com. [2021. március 21-i dátummal az eredetiből archiválva]. (Hozzáférés: 2012. szeptember 9.)
  157. Anti-Phishing Working Group: Vendor Solutions. Anti-Phishing Working Group. [2011. január 31-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. július 6.)
  158. (2011. szeptember 1.) „CANTINA+: A Feature-Rich Machine Learning Framework for Detecting Phishing Web Sites”. ACM Transactions on Information and System Security 14 (2), 21:1–21:28. o. DOI:10.1145/2019599.2019606. ISSN 1094-9224. (Hozzáférés ideje: 2020. november 25.)  
  159. (2019. november 25.) „Waste Flooding: A Phishing Retaliation Tool”. 2019 IEEE 18th International Symposium on Network Computing and Applications (NCA), Cambridge, MA, USA, 1–8. o, Kiadó: IEEE. DOI:10.1109/NCA.2019.8935018. (Hozzáférés ideje: 2020. november 25.)  
  160. McMillan, Robert. „New sites let users find and report phishing”, LinuxWorld, 2006. március 28.. [2009. január 19-i dátummal az eredetiből archiválva] 
  161. Report a Phishing Page. [2016. október 19-i dátummal az eredetiből archiválva]. (Hozzáférés: 2019. szeptember 13.)
  162. How to report phishing scams to Google Archiválva 2013. április 14-i dátummal az Archive.is-en Consumer Scams.org
  163. Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise”, PC Magazine, 2019. március 7.. [2019. március 8-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2019. szeptember 9.) 
  164. Joseph Steinberg. „Why You Are at Risk of Phishing Attacks”, Forbes, 2014. augusztus 25.. [2019. július 14-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2014. november 14.) 
  165. Phishers Would Face 5 Years Under New Bill”, InformationWeek, 2005. március 2.. [2008. február 19-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2005. március 4.) 
  166. Prison terms for phishing fraudsters”, The Register, 2006. november 14.. [2019. június 21-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. augusztus 10.) 
  167. Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime. [2005. november 3-i dátummal az eredetiből archiválva]. (Hozzáférés: 2005. augusztus 24.)
  168. Espiner, Tom. „Microsoft launches legal assault on phishers”, ZDNet, 2006. március 20.. [2008. augusztus 29-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2006. május 20.) 
  169. Leyden, John. „MS reels in a few stray phish”, The Register, 2006. november 23.. [2019. június 10-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. augusztus 10.) 
  170. AOL Takes Fight Against Identity Theft To Court, Files Lawsuits Against Three Major Phishing Gangs. [2007. január 31-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. március 8.)
  171. A History of Leadership – 2006. [2007. május 22-i dátummal az eredetiből archiválva].
  172. HB 2471 Computer Crimes Act; changes in provisions, penalty.. (Hozzáférés: 2006. március 8.)
  173. Brulliard, Karin. „Va. Lawmakers Aim to Hook Cyberscammers”, The Washington Post, 2005. április 10.. [2019. június 11-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. szeptember 8.) 
  174. Earthlink evidence helps slam the door on phisher site spam ring. [2007. július 5-i dátummal az eredetiből archiválva]. (Hozzáférés: 2006. december 14.)
  175. Man Found Guilty of Targeting AOL Customers in Phishing Scam”, PC Magazine, 2007. január 18.. [2009. március 21-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. szeptember 8.) 
  176. AOL phishing fraudster found guilty”, The Register, 2007. január 17.. [2019. március 22-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. augusztus 10.) 
  177. AOL phisher nets six years' imprisonment”, The Register, 2007. június 13.. [2019. június 11-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2017. augusztus 10.) 
  178. California Man Gets 6-Year Sentence For Phishing”, InformationWeek, 2007. június 12.. [2007. október 11-i dátummal az eredetiből archiválva] (Hozzáférés ideje: 2007. július 1.) 

Fordítás[szerkesztés]

  • Ez a szócikk részben vagy egészben a Phishing című angol Wikipédia-szócikk ezen változatának fordításán alapul. Az eredeti cikk szerkesztőit annak laptörténete sorolja fel. Ez a jelzés csupán a megfogalmazás eredetét jelzi, nem szolgál a cikkben szereplő információk forrásmegjelöléseként.

További információk[szerkesztés]

Kapcsolódó szócikkek[szerkesztés]