피싱

Phishing
낚시나 피싱과 혼동해서는안 된다.
(Fictional) 은행의 공식 전자 메일로 가장한 피싱 전자 메일의 예.발신자는 피셔의 웹사이트에서 "확인"하여 수신자에게 기밀을 누설하도록 속이고 있다.수신된 단어의 철자 오류와 불일치를 각각 수신된 단어와 수신되지 않은 단어로 기록해 두십시오.
다음에 대한 시리즈 일부
정보 보안
vectorial version
관련 보안 카테고리
위협
방어

피싱은 공격자가 사람을 속여 공격자에게 민감한 정보를 노출시키거나 랜섬웨어와 같은 피해자의 인프라에 악성 소프트웨어를 배치하도록 고안된 사기(예: 스푸핑, 가짜 또는 기타 기만) 메시지를 보내는 사회공학의 일종이다.피싱 공격은 점점 더 정교해지고 종종 공격자가 공격 대상 사이트를 투명하게 미러링하여 공격자가 사이트를 탐색하는 동안 모든 것을 관찰할 수 있게 하고, 공격자와 추가 보안 경계를 넘나들게 한다.[1]2020년 현재, 피싱은 단연코 사이버 범죄자들에 의해 행해지는 가장 흔한 공격이며, FBI인터넷 범죄 민원 센터는 어떤 종류의 컴퓨터 범죄보다 피싱 사건이 두 배 이상 많은 것을 기록하고 있다.[2]

'피싱'이라는 용어가 처음 기록된 것은 1995년 코실라 레쿠슈가 만든 크래킹 툴킷 AOHell에 있었지만, 해커 잡지 2600의 인쇄판에서는 이보다 앞서 이 용어가 사용되었을 가능성이 있다.[3][4]이 단어는 리츠피크 낚시의 변형이다(phf의 일반적인 대체품일 가능성이 높으며, 사용자의 민감한 정보를 위해 점점 더 정교한 유인물을 "fish"[4][5][6]에 사용하는 것을 암시한다.

피싱 사고의 영향을 예방하거나 완화하기 위한 시도는 입법, 사용자 교육, 대중의 인식, 기술적 보안 조치를 포함한다.[7]가정과 직장에서 피싱에 대한 인식이 필수적이 되고 있다.예를 들어 2017년부터 2020년까지 피싱 공격이 기업 중 72%에서 86%로 늘었다.[8]

종류들

이메일 피싱

대부분의 피싱 메시지는 전자우편을 통해 전달되며, 개인화되거나 특정 개인 또는 회사를 대상으로 하지 않으며, 이를 "불크(bulk)" 피싱이라고 한다.[9]대량 피싱 메시지의 내용은 공격자의 목표에 따라 크게 달라진다. 일반적인 가장 대상에는 은행 및 금융 서비스, 전자 메일 및 클라우드 생산성 제공업체, 스트리밍 서비스 등이 포함된다.[10]공격자는 피해자에게서 직접 돈을 훔치기 위해 획득한 자격 증명을 사용할 수 있지만, 손상된 계정은 독점 정보 도난, 멀웨어 설치 또는 대상 조직의 다른 사람의 스피어 피싱과 같은 다른 공격을 수행하기 위한 도약 지점으로 대신 사용되는 경우가 많다.[4]손상된 스트리밍 서비스 계정은 보통 다크넷 시장에서 소비자에게 직접 판매된다.[11]

스피어 피싱

스피어 피싱은 공격자가 특정 조직이나 맞춤형 피싱 통신을 가진 사람을 직접 겨냥하는 것을 포함한다.[12]이것은 본질적으로 특정인에게 이메일을 생성하여 보내는 것으로, 그 사람이 그 이메일이 합법적이라고 생각하도록 하는 것이다.대량 피싱과 달리 스피어 피싱 공격자는 공격 성공 가능성을 높이기 위해 목표물에 대한 개인정보를 수집해 이용하는 경우가 많다.[13][14][15][16]스피어 피싱은 일반적으로 조직의 민감한 재무 데이터와 서비스에 접근할 수 있는 임원이나 금융 부서에서 일하는 임원들을 대상으로 한다.2019년 한 연구에서는 회계 및 감사 회사가 범죄자에게 가치가 있을 수 있는 정보에 직원들이 접근하기 때문에 빈번하게 스피어 피싱의 대상이 되고 있는 것으로 나타났다.[17]

위협그룹-4127(Fancy Bear)은 스피어 피싱 전술을 사용해 힐러리 클린턴의 2016년 대선 캠페인과 연계된 이메일 계정을 공략했다.그들은 1,800개가 넘는 구글 계정을 공격했고 accounts-google.com 도메인을 구현하여 표적 사용자를 위협했다.[18][19]

최근의 한 연구는 특정 연령층의 창 낚시에 대한 민감성을 시험했다.총 100명의 젊은 사용자들과 58명의 노년 사용자들이 21일 동안 매일 모의 피싱 이메일을 받았다.브라우저 플러그인은 전자 메일에 있는 링크를 클릭하는 것을 탐지 가능성의 지표로 기록하였다.모의 피싱 이메일에 대한 사용자들의 43%가 넘어갔고, 나이든 여성들이 가장 민감성을 보였다.젊은 사용자들의 민감성은 연구 전반에 걸쳐 감소했지만, 나이든 사용자들의 민감성은 여전히 안정적이었다.[20]

포경 및 CEO 사기

포경(포경)은 특히 고위 간부들과 다른 고위층 대상들을 겨냥한 스피어 피싱 공격을 말한다.[21]내용은 소환장이나 고객 불만 사항과 같이 대상자나 역할에 관심을 갖도록 제작될 가능성이 높다.[22]

CEO 사기는 사실상 고래잡이의 반대다; 그것은 조직의 다른 직원들이 특정한 행동을 하도록 하기 위해, 보통 해외 계좌로 돈을 송금하도록 의도하는 것으로 알려진 고위 경영진으로부터 스푸핑된 이메일을 만드는 것을 포함한다.[23]CEO 사기는 상당히 낮은 성공률을 가지고 있지만, 범죄자들은 성공한 몇 번의 시도에서 매우 많은 돈을 벌 수 있다.이러한 공격으로 수천만 달러의 손실을 입은 조직은 여러 번 있었다.[24]

클론 피싱

클론 피싱은 합법적이고 이전에 배달된 첨부 파일이나 링크가 포함된 전자 메일에 의해 내용 및 수신자 주소를 가져와서 거의 동일하거나 복제된 전자 메일을 만드는 데 사용하는 피싱 공격의 한 유형이다.전자 메일의 첨부 파일 또는 링크는 악의적인 버전으로 대체된 다음 원본 보낸 사람으로부터 온 것처럼 보이도록 스푸핑된 전자 메일 주소에서 전송된다.그것은 원본의 재전송 또는 원본의 갱신된 버전이라고 주장할 수 있다.일반적으로 이것은 송신자나 수신자가 악의적인 제3자가 합법적인 이메일을 얻기 위해 이전에 해킹을 당했을 것을 요구한다.[25][26]

보이스피싱

주요 기사:보이스피싱

보이스피싱(Voice phishing) 또는 바이싱([27]vishing)은 전화(Voice over IP 전화)를 이용하여 피싱 공격을 실시하는 것이다.공격자들은 다량의 전화번호를 누르고 피해자의 은행 계좌나 신용카드에 사기 행각을 주장하는 거짓 주장을 하는 자동 녹음기를 재생할 것이다.전화번호는 은행이나 기관의 실제 번호를 표시하기 위해 스푸핑될 것이다.그런 다음 피해자는 공격자들에 의해 통제된 번호로 전화를 걸도록 지시된다. 이 번호들은 그들이 예상된 사기 행각을 "해결"하기 위해 민감한 정보를 입력하도록 자동으로 유도하거나, 또는 정보를 얻기 위해 사회 공학을 이용하려고 시도하는 살아있는 사람에게 연결된다.[27]보이스피싱은 발신자 ID 스푸핑, 자동 다이얼링과 같은 기술에 대한 일반 대중들의 인식이 이메일 피싱과 동등한 것에 비해 낮기 때문에 음성 전화에 대한 많은 사람들이 가지고 있는 고유한 신뢰감을 이용한다.[28]

SMS 피싱

SMS 피싱이나[29] 스미싱[30] 개념적으로 이메일 피싱과 유사하지만 공격자는 "배달"을 위해 휴대폰 문자 메시지를 사용한다.[31]스미싱 공격은 일반적으로 사용자가 링크를 클릭하거나 전화 번호를 부르거나 SMS 메시지를 통해 공격자가 제공한 이메일 주소로 연락하도록 유도한다.그런 다음 피해자를 초대하여 자신의 개인 데이터(흔히 다른 웹사이트나 서비스에 대한 자격 증명)를 제공한다.또한 모바일 브라우저의 특성상 URL이 완전히 표시되지 않을 수 있으며, 이로 인해 불법 로그온 페이지를 식별하기가 더 어려워질 수 있다.[32]휴대전화 시장은 모두 인터넷 연결이 빠른 스마트폰으로 포화상태여서 SMS를 통해 전송되는 악성 링크도 e메일로 전송했을 때와 같은 결과를 낳을 수 있다.스미싱 메시지는 이상하거나 예상치 못한 형식의 전화 번호에서 나올 수 있다.[33]

페이지 하이잭킹

페이지 가로채기란 사이트 간 스크립팅을 통해 사용자를 악의적인 웹 사이트 또는 공격 키트로 리디렉션하기 위해 합법적인 웹 페이지를 절충하는 것을 포함한다.해커는 현재 손상된 웹 서버를 방문하는 합법적인 사용자를 손상시키기 위해 웹사이트를 손상시키고 MPack와 같은 공격 키트를 삽입할 수 있다.가장 간단한 형태의 페이지 가로채기 중 하나는 공격 키트로드할 수 있는 악의적인 인라인 프레임을 포함하도록 웹 페이지를 변경하는 것이다.페이지 가로채기는 목표물을 타협하기 위해 기업체에 대한 물뿌리개 공격과 함께 자주 사용된다.[citation needed]

캘린더 피싱

캘린더 피싱은 피싱 링크가 캘린더 초대를 통해 전달되는 것을 말한다.캘린더 초대가 전송되며, 기본적으로 캘린더에 자동으로 추가된다.이러한 초대장은 종종 RSVP와 다른 일반적인 이벤트 요청의 형식을 취한다.[34]옛 구글 클릭 사기 황제 수먼 고세마줌더는 이런 형태의 사기 행위가 증가하고 있다고 믿고 있으며, 새로운 초대장을 자동으로 추가하지 않도록 달력 설정을 변경할 것을 권고하고 있다.[35]

기술

링크 조작

대부분의 피싱 유형은 전자 메일의 링크를 공격자가 가장하고 있는 조직에 속한 것처럼 보이게 하기 위해 고안된 기술적 속임수의 형태를 사용한다.[36]철자가 틀린 URL이나 서브도메인의 사용은 피싱자들이 흔히 사용하는 수법이다.다음 예시 URL에서,http://www.yourbank.example.com/이 URL은 마치 사용자를 은행 웹 사이트의 예시 섹션으로 안내하는 것처럼 훈련되지 않은 눈으로 나타날 수 있다. 실제로 이 URL은 예시 웹 사이트의 "yourbank"(즉, 피싱) 섹션을 가리킨다.또 다른 일반적인 방법은 링크가 실제로 피셔 사이트로 갈 때 링크에 표시된 텍스트가 신뢰할 수 있는 목적지를 제안하도록 하는 것이다.많은 데스크톱 전자 메일 클라이언트와 웹 브라우저가 상태 표시줄에 링크의 대상 URL을 표시하며 마우스를 그 위로 이동시킨다.그러나 이러한 행동은 어떤 상황에서는 피셔에 의해 무시될 수 있다.[37]동급 모바일 앱은 일반적으로 이 미리보기 기능이 없다.[citation needed]

국제화된 도메인 이름[38](IDN)은 IDN 스푸핑이나 호모그래프 공격을 통해 악용되어 합법적인 사이트와 시각적으로 동일한 웹 주소를 만들 수 있으며,[39] 대신 악성 버전으로 이어질 수 있다.피셔는 신뢰할 수 있는 조직의 웹사이트에서 열린 URL 리디렉터를 사용하여 악의적인 URL을 신뢰할 수 있는 도메인으로 위장하는 등 유사한 위험을 이용했다.[40][41][42]피싱자가 유효한 인증서를 구입하여 콘텐츠를 변경하여 정품 웹 사이트를 스푸핑하거나 SSL 없이 피싱 사이트를 호스팅하는 것이 가능하기 때문에 디지털 인증서도 이 문제를 해결하지 못한다.[43]

필터탈루

피싱 방지 필터는 피싱 전자 메일에 흔히 사용되는 텍스트를 탐지하기 어렵게 하기 위해 때때로 텍스트 대신 이미지를 사용해 왔다.[44]이에 보다 정교한 안티피싱 필터는 광학문자인식(OCR)을 이용해 영상의 숨겨진 텍스트를 복구할 수 있다.[45]

사회 공학

대부분의 피싱은 사용자가 링크를 클릭하거나 첨부 파일을 열거나 기밀 정보를 누설하는 등의 행동을 하도록 심리적으로 조작되는 일종의 사회 공학을 포함한다.대부분의 피싱은 신뢰할 수 있는 실체를 사칭하는 명백한 행위 외에도 긴급한 느낌의 조성을 수반한다. 공격자는 피해자가 조치를 취하지 않는 한 계정을 폐쇄하거나 압류할 것이라고 주장한다.[46]이것은 피해 은행이나 보험 계좌에서 가장 자주 발생한다.[47]

사칭 기반 피싱의 대체 기법은 격분을 일으키도록 고안된 가짜 뉴스 기사를 이용해 피해자가 어디로 이끌 수 있는지 제대로 고려하지 않고 링크를 클릭하게 하는 것이다.이 링크는 당신을 합법적인 조직의 웹사이트와 똑같이 생긴 전문 웹사이트로 안내하기 위해 고안되었다.[48]공격자의 웹사이트에 접속하면, 피해자에게 모방 "바이러스" 알림을 제공하거나 웹 브라우저 취약점을 이용하여 악성코드를 설치하려는 페이지로 리디렉션할 수 있다.[49]

역사

1980년대

피싱 기법은 1987년 국제 HP 사용자 그룹인 Intrex에 전달된 논문과 프레젠테이션에 자세히 설명되었다.[50]

1990년대

'피싱'이라는 용어는 90년대 중반 잘 알려진 스팸메일 발송자와 해커 칸 C에 의해 만들어졌다고 한다.스미스.[51] 이 용어에 대한 최초의 기록된 언급은 아메리카 온라인 사용자의 비밀번호나 금융 정보를 훔치려고 시도하는 기능이 포함된 해킹 도구 AOHell에서 찾을 수 있다.[52][53]

조기 AOL 피싱

AOL에서의 피싱은 무면허 소프트웨어를 주고받은 웨어즈 커뮤니티와 신용카드 사기 등 온라인 범죄를 저지른 블랙햇 해킹 장면과 밀접한 관련이 있다.AOL 집행 기관은 AOL 채팅방에서 소프트웨어 위조와 도난 계좌 거래에 관련된 개인들의 계정을 정지시키기 위해 사용되는 단어들을 탐지할 것이다.이 용어는 "<<<>"가 모든 대화록에서 자연스럽게 발견된 가장 일반적인 HTML의 단일 태그여서 AOL 직원이 감지하거나 필터링할 수 없기 때문에 사용되었다.도둑맞은 신용카드, 계좌, 또는 불법 행위를 가리키는 모든 문구를 기호 <<>로 대체했다.기호가 물고기처럼 생겼고, 가짜가 유행했기 때문에 "피싱"으로 각색되었다.1995년 초 공개된 AOHell은 공격자가 AOL 스태프 행세를 할 수 있게 해 AOL 사용자를 해킹하고, 잠재적인 피해자에게 비밀번호를 공개해 달라는 내용의 즉석 메시지를 보내도록 고안된 프로그램이다.[54]피해자를 유인해 민감한 정보를 포기하도록 유도하기 위해 메시지에는 '계좌 확인'이나 '청구 정보 확인' 같은 필수 사항이 포함될 수 있다.[citation needed]

일단 피해자가 비밀번호를 공개하면, 공격자는 피해자의 계정에 접속해 사기 목적으로 사용할 수 있었다.AOL 상의 피싱과 웨어하우징 모두 일반적으로 AOHell과 같은 사용자 지정 작성 프로그램이 필요했다.피싱은 AOL에서 널리 퍼졌고, 그들은 모든 인스턴트 메시지에 "AOL에서 일하는 사람은 당신의 비밀번호나 청구 정보를 묻지 않을 것"이라고 선을 그었다.ISP의 AIM 계정과 AOL 계정을 동시에 사용하는 사용자는 비 AOL 인터넷 회원에 의해 인터넷 AIM 계정을 사용할 수 있고 조치를 취할 수 없으므로(즉, 징계처분을 위해 AOL TOS 부서에 보고됨)[55][tone] AOL 회원에 대해 상대적인 책임을 지울 수 있다.1995년 말, AOL 크래커들은 AOL이 1995년 말 알고리즘으로 생성된 가짜 신용카드 번호를 계좌 개설에 사용하지 못하도록 하는 조치를 취하자 합법적인 계좌를 피싱에 의존했다.[56]결국, AOL의 정책 집행으로 저작권 침해가 AOL 서버에 강제 퇴거되었고, AOL은 종종 피해자들이 대응하기도 전에 피싱에 관련된 계정을 즉시 비활성화한다.AOL의 와레즈 장면이 폐쇄되면서 대부분의 피싱맨들이 서비스를 떠났다.[57]

2000년대

  • 2001
    • 2001년 6월 처음으로 알려진 결제 시스템에 대한 직접적인 시도가 E-골드에 영향을 미쳤고, 9.11 테러 직후 "9/11 이후 ID 확인"이 뒤따랐다.[58]
  • 2003
    • 소매 은행에 대한 최초의 피싱 공격은 2003년 9월에 The Banker에 의해 보고되었다.[59]
  • 2004
    • 2004년 5월부터 2005년 5월까지 미국의 약 120만 명의 컴퓨터 사용자가 피싱으로 인한 손실을 입었으며, 총액은 약 9억 2900만 달러인 것으로 추정된다.미국 기업들은 그들의 고객이 희생자가 되면서 연간 20억 달러의 손실을 보고 있다.[60]
    • 피싱은 암시장에서 완전히 조직화된 부분으로 인식되고 있다.조직폭력배들이 피싱 캠페인으로 모아 시행한 지불용 피싱 소프트웨어(이하 아웃소싱 리스크)를 제공하는 전문화가 세계적 규모로 등장했다.[61][62]
  • 2005
    • 영국에서는 웹 뱅킹 사기(대부분 피싱)로 인한 손실이 2004년 12.2m에서 2005년 23.2m로 거의 두 배 증가했으며,[63] 컴퓨터 사용자 20명 중 1명은 2005년 피싱으로 패했다고 주장했다.[64]
  • 2006
    • 2006년 피싱 절도사건의 거의 절반은 러시아 비즈니스 네트워크를 통해 활동하는 단체들에 의해 저질러졌다. 페테르부르크.[65]
    • 은행들은 피싱 손실을 놓고 고객들과 분쟁을 벌인다.영국 은행단체 APACS가 채택한 입장은 "고객들도 범인에게 취약하지 않도록 분별 있는 예방조치를 취해야 한다"는 것이다.[66]마찬가지로 2006년 9월 아일랜드 공화국의 은행업계에 피싱 공격이 처음 발생했을 때, 아일랜드 은행은 비록 11만 3천 유로의 손실이 발생했지만,[67] 처음에는 고객이 입은 손실을 보상하기를 거부했다.[68]
    • 피셔들은 은행과 온라인 결제 서비스의 고객들을 겨냥하고 있다.국세청에서 온 으로 추정되는 이메일은 미국 납세자들의 민감한 자료를 수집하는 데 이용되어 왔다.[69]첫 번째 그러한 예들은 특정 은행이나 서비스의 고객들에게 일부는 받을 것이라는 기대에서 무차별적으로 보내졌지만, 최근의 연구는 피셔들이 원칙적으로 잠재적 피해자들이 어떤 은행을 이용할지를 결정하고 그에 따라 가짜 이메일을 목표로 삼을 수 있다는 것을 보여주었다.[70]
    • 소셜 네트워킹 사이트는 피싱의 주요 표적이다. 이러한 사이트들의 개인 정보는 신분 도용에 사용될 수 있기 때문이다;[71] 2006년 말 컴퓨터 웜은 마이 스페이스의 페이지를 넘겨받아 로그인 세부 정보를 훔치도록 설계된 웹사이트로 서퍼들을 안내하는 링크를 변경했다.[72]
  • 2007
    • 2007년 8월에 끝난 12개월 동안 360만 명의 성인들이 32억 달러의 손실을 보았다.[73]마이크로소프트는 이러한 추정치가 엄청나게 과장되었다고 주장하며 미국의 연간 피싱 손실액을 6천만 달러로 추산하고 있다.[74]
    • TD아메리트레이드의 데이터베이스에 침입해 630만 개의 이메일 주소를 가져간 공격자(사회보장번호, 계좌번호, 이름, 주소, 생년월일, 전화번호, 거래활동 등을 얻을 수 없었지만)도 계정 사용자명과 비밀번호를 원해 후속 스피어피싱 공격에 나섰다.[75]
  • 2008
    • RapidShare 파일 공유 사이트는 다운로드 속도 제한을 없애고, 업로드를 자동 제거하며, 다운로드 시 대기하고, 업로드 간 시간을 냉각하는 프리미엄 계정을 얻기 위해 피싱의 대상이 되었다.[76]
    • 비트코인과 같은 가상화폐는 악성 소프트웨어 판매를 촉진해 거래를 안전하고 익명으로 만든다.[citation needed]
  • 2009
    • 2009년 1월, 피싱 공격으로 Experi-Metal의 온라인 뱅킹 계정을 통해 190만 달러의 무단 송금이 발생했다.
    • 2009년 3/4분기에 피싱 방지 워킹 그룹은 미국과 중국이 각각 25% 이상의 피싱 페이지를 호스팅하는 소비자들로부터 115,370건의 피싱 이메일 보고를 받았다고 보고했다.[77]

2010년대

연도별 고유한 피싱 보고서
연도 캠페인
2005
173,063
2006
268,126
2007
327,814
2008
335,965
2009
412,392
2010
313,517
2011
284,445
2012
320,081
2013
491,399
2014
704,178
2015
1,413,978
  • 2011
    • 2011년 3월,[79] 내부 RSA 직원이 성공적으로 피싱되어 모든 RSA Secure의 마스터 키로 연결됨ID 보안 토큰이 도난당한 후, 이후 미국 방산업체에 침입하는 데 사용되었다.[80]
    • 중국 피싱 캠페인은 중국 정치 활동가뿐만 아니라 미국과 한국 정부 및 군 고위 관계자의 Gmail 계정을 타깃으로 삼았다.[81][82]
  • 2012
    • 고쉬에 따르면 "2011년 25만8461건, 2010년 18만7203건에 비해 2012년 44만5004건의 공격이 있었다"고 밝혔다.
  • 2013
    • 2013년 8월 광고 서비스 아웃브레인(Outbrain)은 창 피싱 공격을 당했고 SEA는 워싱턴포스트(WP), 타임(Time),[83] CNN(CNN)의 웹사이트로 리디렉션했다.
    • 2013년 10월 아메리칸 익스프레스에서 온 것으로 알려진 이메일이 알려지지 않은 수신자에게 발송되었다.[84]
    • 2013년 11월, 대상 고객으로부터 위조된 하청업체 계정을 통해 1억 1천만 건의 고객 및 신용카드 기록이 도난당했다.[85]CEO와 IT 보안 담당자는 그 후 해고되었다.[86]
    • 2013년 12월까지 크립톨로커 랜섬웨어는 25만대의 컴퓨터를 감염시켰다.델 SecureWorks에 따르면 감염자 중 0.4% 이상이 몸값 요구에 동의할 가능성이 높다고 한다.[87]
  • 2014
    • 2014년 1월, Seculert Research Lab은 Xtreme RAT를 사용한 새로운 표적형 공격을 확인했다.이번 공격은 스피어 피싱 이메일을 이용해 이스라엘 조직을 공략하고 첨단 악성코드를 구축했다.유대와 사마리아 민청 소속 기계 등 15대가 절충됐다.[88][89][90][91][92][93][94]
    • 아이클라우드 연예인 사진 유출은 2014년 8월 애플이나 구글에서 온 것처럼 보이는 피해자에게 보낸 피싱 이메일을 토대로 계좌가 훼손될 수 있다고 경고하고 계좌 내역을 요구한 것으로 드러났다.[95]
    • 2014년 11월, 인터넷 주소 관리 기구에 대한 피싱 공격은 중앙 집중화된 구역 데이터 시스템에 대한 관리 접근 권한을 얻었고, 또한 시스템 내 사용자들에 대한 데이터, 인터넷 주소 관리 기구의 정부 자문 위원회 위키, 블로그, 그리고 정보 포털인 who에 대한 접근 권한을 얻었다.[96]
  • 2015
  • 2016
  • 지난 2월 오스트리아의 항공우주 회사인 FACC AG는 BEC 공격을 통해 4,200만 유로(4,700만 달러)의 사기 행각을 벌였고, 그 후 CFO와 CEO를 모두 해고했다.[105]
  • 2017
    • 2017년에는 조직의 76%가 피싱 공격을 경험했다.조사 대상 정보보안 전문가 중 절반 가까이가 2016년보다 공격 비율이 증가했다고 응답했다.
    • 2017년 상반기 카타르 기업과 주민들은 3개월여 동안 9만3570건이 넘는 피싱 사건이 발생했다.[119]
    • 구글과 페이스북 사용자들에게 보낸 피싱 이메일이 해커의 통제 하에 해외 은행 계좌로 1억 달러(미화 약 1억 달러)까지 직원들을 성공적으로 송금하도록 유도했다.그는 그 후 미국 법무부에 체포되었다.[120]
    • 2017년 8월 아마존 프라임데이 피싱 공격에 직면한 아마존 고객들은 해커들이 합법적으로 보이는 거래를 아마존 고객들에게 발송했다.아마존 고객이 '딜'을 이용해 구매를 시도했을 때 거래가 성사되지 않아 유통업체 고객들이 절충되고 도난당할 수 있는 데이터를 입력하게 됐다.[121]
  • 2018
    • 2018년에는 EOS를 개발한 company block.one.모든 고객에게 피싱 이메일을 보낸 피싱 그룹의 공격을 받은 IO 블록체인은 사용자의 암호화폐 지갑 키 가로채기, 이후 공격 대상 에어드롭 토큰의 공격을 받았다.[122]

2020년대

  • 2020
    • 2020년 7월 15일 트위터사회공학(보안)과 피싱의 요소를 결합한 침해사건을 겪었다.17세의 해커와 공범들이 원격으로 일하는 직원들이 사용하는 트위터 내부 VPN 제공자를 닮은 가짜 웹사이트를 개설했다.헬프데스크 직원 행세를 한 개인들은 트위터 직원 여러 명에게 전화를 걸어 가짜 VPN 사이트에 자격 증명을 제출하라고 지시했다.[123] 알 수 없는 직원들이 제공한 세부 정보를 사용하여, 그들은 그 후 버락 오바마, 일론 머스크, 조 바이든, 그리고 애플의 회사 계정을 포함한 몇몇 유명 사용자 계정을 장악할 수 있었다.해커들은 트위터 팔로워들에게 비트코인을 상대로 거래대금의 2배를 약속하는 메시지를 보내며 처음 3시간 동안 약 11만7000달러를 모았다.[citation needed]
APWG[78] 따르면 받은 총 고유 피싱 보고서(캠페인) 수
연도 2월 3월 4월 5월 줄리 8월 9월 10월 11월 12월 합계
2005 12,845 13,468 12,883 14,411 14,987 15,050 14,135 13,776 13,562 15,820 16,882 15,244 173,063
2006 17,877 17,163 18,480 17,490 20,109 28,571 23,670 26,150 22,136 26,877 25,816 23,787 268,126
2007 29,930 23,610 24,853 23,656 23,415 28,888 23,917 25,624 38,514 31,650 28,074 25,683 327,814
2008 29,284 30,716 25,630 24,924 23,762 28,151 24,007 33,928 33,261 34,758 24,357 23,187 335,965
2009 34,588 31,298 30,125 35,287 37,165 35,918 34,683 40,621 40,066 33,254 30,490 28,897 412,392
2010 29,499 26,909 30,577 24,664 26,781 33,617 26,353 25,273 22,188 23,619 23,017 21,020 313,517
2011 23,535 25,018 26,402 20,908 22,195 22,273 24,129 23,327 18,388 19,606 25,685 32,979 284,445
2012 25,444 30,237 29,762 25,850 33,464 24,811 30,955 21,751 21,684 23,365 24,563 28,195 320,081
2013 28,850 25,385 19,892 20,086 18,297 38,100 61,453 61,792 56,767 55,241 53,047 52,489 491,399
2014 53,984 56,883 60,925 57,733 60,809 53,259 55,282 54,390 53,661 68,270 66,217 62,765 704,178
2015 49,608 55,795 115,808 142,099 149,616 125,757 142,155 146,439 106,421 194,499 105,233 80,548 1,413,978
2016 99,384 229,315 229,265 121,028 96,490 98,006 93,160 66,166 69,925 51,153 64,324 95,555 1,313,771
2017 96,148 100,932 121,860 87,453 93,285 92,657 99,024 99,172 98,012 61,322 86,547 85,744 1,122,156
2018 89,250 89,010 84,444 91,054 82,547 90,882 93,078 89,323 88,156 87,619 64,905 87,386 1,040,654
2019 34,630 35,364 42,399 37,054 40,177 34,932 35,530 40,457 42,273 45,057 42,424 45,072 475,369

"APWG Phishing Attack Trends Reports". Retrieved May 5, 2019.

안티피싱

최근 인터넷에 유포되고 있는 정확한 메시지를 발표하는 피싱 방지 사이트인 FraudWatch International, Millersmiles 등이 있다.그러한 사이트들은 종종 특정 메시지에 대한 구체적인 세부사항을 제공한다.[124][125]

2007년까지만 해도 개인 및 금융 정보를 보호할 필요가 있는 기업에 의한 피싱 방지 전략의 채택은 저조했다.[126]이제 피싱과 싸우기 위한 몇 가지 다른 기술들이 있는데, 여기에는 피싱으로부터 보호하기 위해 특별히 만들어진 입법과 기술이 포함된다.이러한 기술에는 조직뿐만 아니라 개인이 취할 수 있는 단계가 포함된다.전화, 웹사이트, 이메일 피싱은 이제 아래 설명된 대로 당국에 신고될 수 있다.

사용자 교육

미국 연방무역위원회가 시민들에게 피싱 전술에 대해 교육하기 위해 만든 애니메이션 액자.

피싱 시도를 인지하고 다양한 접근법을 통해 대처하는 훈련을 받을 수 있다.그러한 교육은 특히 훈련이 개념적 지식을[127] 강조하고 직접적인 피드백을 제공하는 경우에 효과적일 수 있다.[128][129]따라서 어느 조직이나 기관이나 피싱 방지 전략의 필수적인 부분은 사용자가 피싱 사기를 주저 없이 식별하고 그에 따라 행동할 수 있도록 적극적으로 교육하는 것이다.[130]현재 교육 지침과 기타 정보 기반 개입이 피싱에 대한 민감성을 성공적으로 감소시켰다는 것을 보여주는 데이터와 기록 이력이 부족하지만, 피싱 위협과 관련된 많은 양의 정보를 인터넷에서 이용할 수 있다.[47]

많은 조직이 직원을 대상으로 정기적인 모의 피싱 캠페인을 실시하여 교육의 효과를 측정한다.예를 들어, 이러한 현상은 의료 데이터가 해커의 잠재적 타겟으로 상당한 가치를 가지고 있기 때문에 의료 산업에서 종종 발생한다.국립 의학 도서관이 실시한 최근 연구에서 평가는 직원 이메일을 통한 다중 자격 증명 수집 접근방식을 사용하여 지정된 시험 기간 동안 사이버 보안 활동의 일부로 수행되었다.테스트 기간 1개월 동안 조직은 139 400개(16%) 마케팅, 18871개(2%) 등 858건의 이메일을 받았다.이것은 의료 분야에서의 피싱과 싸우기 위해 취해진 많은 조치의 한 예일 뿐이다.[131]

사람들은 그들의 검색 습관을 약간 수정함으로써 피싱 시도를 피하기 위한 조치를 취할 수 있다.[132]"검증"이 필요한 계정(또는 피싱자가 사용하는 다른 항목)에 대해 연락할 때, 이메일이 합법적인지 확인하기 위해 이메일이 발신된 회사에 연락하는 것이 현명한 예방책이다.또는 개인이 회사의 정품 웹사이트라고 알고 있는 주소를 피싱 의심 메시지의 하이퍼링크를 신뢰하지 않고 브라우저의 주소창에 입력할 수 있다.[133]

회사에서 고객에게 보내는 거의 모든 합법적인 전자 메일 메시지에는 발신자가 쉽게 이용할 수 없는 정보의 항목이 포함되어 있다.예를 들어 PayPal과 같은 일부 회사들은 항상 그들의 고객들에게 이메일로 주소를 알려주기 때문에 만약 이메일이 수신자에게 일반적인 방식으로 주소를 준다면, 그것은 피싱의 시도일 가능성이 높다.[134]게다가, PayPal은 스푸핑 이메일을 결정하기 위한 다양한 방법을 제공하고 사용자들에게 의심스러운 이메일을 그들의 spoof@PayPal.com 도메인으로 보내 다른 고객들을 조사하고 경고하라고 조언한다.그러나 개인 정보의 존재만으로도 메시지가 합법적이라고 보장한다고 가정하는 것은 안전하지 않으며,[135] 일부 연구에서는 개인 정보의 존재가 피싱 공격의 성공률에 큰 영향을 미치지 않는다는 것을 보여주었는데,[136] 이는 대부분의 사람들이 그러한 세부사항에 주의를 기울이지 않는다는 것을 보여준다.

은행이나 카드사로부터 온 이메일에는 부분 계좌번호가 포함되는 경우가 많다.그러나 최근 연구에[137] 따르면 일반인들은 일반적으로 계좌 번호의 처음 몇 자리와 마지막 몇 자리 숫자를 구분하지 않는 것으로 나타났다. 이는 처음 몇 자리 숫자가 금융 기관의 모든 고객에게 동일한 경우가 많기 때문에 심각한 문제인 것이다.

세계 최대 안티피싱 조직 중 하나인 안티피싱 워킹그룹이 피싱 공격 동향에 대한 정기 보고서를 작성한다.[138]

구글은 피싱 사기로부터 자신을 식별하고 보호하는 방법을 보여주는 동영상을 올렸다.[139]

기술적 접근 방식

사용자에게 접근하는 피싱 공격을 방지하거나 중요한 정보를 성공적으로 포착하지 못하도록 하는 광범위한 기술적 접근법을 이용할 수 있다.

피싱 메일 필터링

특수 스팸 필터는 수취인의 받은 편지함에 도달하는 피싱 전자 메일의 수를 줄일 수 있다.이 필터들은 기계 학습[140] 자연 언어 처리 접근법을 포함한 많은 기술을 사용하여 피싱 전자 메일을 분류하고 위조 주소가 있는 전자 메일을 거부한다.[141][142][143]

사기성 웹 사이트에 대해 사용자에게 경고하는 브라우저

Firefox 2.0.0.1 피싱 의심 사이트 경고 스크린샷

피싱 퇴치에 대한 또 다른 인기 있는 접근법은 알려진 피싱 사이트의 목록을 유지하고 웹사이트를 목록과 대조해 확인하는 것이다.그러한 서비스 중 하나는 안전한 브라우징 서비스다.[144]구글 크롬, 인터넷 익스플로러 7, 모질라 파이어폭스 2.0, 사파리 3.2, 오페라 등 웹 브라우저에는 모두 이런 유형의 피싱 방지책이 들어 있다.[145][146][147][148][149]파이어폭스 2구글 안티피싱 소프트웨어를 사용했다.오페라 9.1은 피시탱크, 시스콘, 지오트러스트의 라이브 블랙리스트와 지오트러스트의 라이브 화이트리스트를 사용한다.이 접근방식의 일부 구현에서는 방문한 URL을 확인할 중앙 서비스로 전송하며, 이로 인해 개인 정보 보호에 대한 우려가 제기되었다.[150]2006년 말 모질라의 보고서에 따르면, 파이어폭스 2는 독립 소프트웨어 테스트 회사의 연구에서 인터넷 익스플로러 7보다 사기 사이트를 탐지하는 데 더 효과적인 것으로 밝혀졌다.[151]

2006년 중반에 도입된 접근방식은 알려진 피싱 도메인을 걸러내는 특별한 DNS 서비스로 전환하는 것을 포함한다: 이것은 모든 브라우저에서 작동하며,[152] 원칙적으로 웹 광고를 차단하기 위해 호스트 파일을 사용하는 것과 유사하다.

피해 사이트의 이미지(로고 등)를 삽입해 피해 사이트를 사칭하는 피싱 사이트의 문제를 완화하기 위해 여러 사이트 소유자가 이미지를 변경해 방문자에게 사이트가 사기일 수 있다는 메시지를 보냈다.이미지는 새로운 파일 이름으로 이동되고 원본은 영구적으로 대체되거나, 서버는 이미지가 정상적인 검색의 일부로 요청되지 않았음을 감지하고 대신 경고 이미지를 전송할 수 있다.[153][154]

암호 로그인을 늘리는 중

뱅크오브아메리카(Bank of America) 웹사이트는[155][156] 사용자에게 개인 이미지(SiteKey로 마케팅됨)를 선택하도록 요청하는 여러 사이트 중 하나이며, 사용자가 선택한 이 이미지를 비밀번호를 요청하는 모든 양식과 함께 표시한다.은행의 온라인 서비스 이용자는 자신이 선택한 이미지를 볼 때만 비밀번호를 입력하라는 지시를 받는다.하지만 몇몇 연구에서는 이미지가 없을 때 비밀번호 입력을 자제하는 사용자가 거의 없다고 한다.[157][158]또한 이 기능(다른 형태의 2요소 인증과 마찬가지로)은 2005년 말 스칸디나비아 은행 노르데아나,[159] 2006년 씨티은행 등과 같은 다른 공격에 취약하다.[160]

유색상자 내 컬러 워드로 구성된 자동 생성 '아이덴티티 큐'가 각 웹 사이트 사용자에게 표시되는 유사한 시스템이 다른 금융기관에서 사용되고 있다.[161]

보안 스킨은[162][163] 양식이 합법적이라는 시각적 신호로 사용자가 선택한 이미지를 로그인 양식에 오버레이하는 것을 포함하는 관련 기법이다.그러나 웹 사이트 기반의 이미지 구성과는 달리 이미지 자체는 사용자와 웹 사이트 간에 공유되지 않고 사용자와 브라우저 간에만 공유된다.이 체계는 상호 인증 프로토콜에 의존하므로 사용자 전용 인증 체계에 영향을 미치는 공격에 덜 취약해진다.

여전히 또 다른 기술은 로그인 시도마다 다른 동적 이미지 그리드에 의존한다.사용자는 자신의 초선 전 범주(개, 자동차, 꽃 등)에 맞는 그림을 식별해야 한다.자신의 범주에 맞는 사진을 정확히 식별한 후에야 영숫자 암호를 입력해 로그인을 완료할 수 있다.뱅크오브아메리카(Bank of America) 웹사이트에서 사용되는 정적 이미지와 달리 동적 이미지 기반 인증 방법은 로그인을 위한 일회성 패스코드를 생성하고 사용자의 적극적인 참여를 요구하며 피싱 웹사이트가 정확하게 복제하는 것은 매우 어렵다. 왜냐하면 무작위로 생성된 이미지들의 다른 그리드를 표시해야 하기 때문이다.사용자의 비밀 범주를 [164]속이다

모니터링 및 테이크다운

몇몇 회사들은 은행과 다른 조직들이 24시간 피싱 사기를 당하기 쉬운 서비스를 제공함으로써 피싱 웹사이트를 감시, 분석, 폐쇄하는 것을 돕는다.[165]피싱 콘텐츠의 자동 검색은 콘텐츠 기반 분석이 80%~90%에[166] 달할 정도로 직접 행동에 대해 여전히 허용되는 수준 이하여서 대부분의 툴에는 탐지를 인증하고 응답을 승인하는 수동 단계가 포함되어 있다.[167]개인들은 피싱을 시스콘이나 피시탱크[168]같은 자원 봉사 단체와 산업 단체 모두에 신고함으로써 기여할 수 있다.[169]피싱 웹페이지와 이메일은 구글에 보고할 수 있다.[170][171]

거래 확인 및 서명

휴대전화[172](스마트폰)를 은행거래의 검증과 인가를 위한 제2의 창구로 활용하는 솔루션도 등장했다.

다요소 인증

조직은 두 가지 요소 또는 다중 요소 인증(MFA)을 구현할 수 있는데, 이는 사용자가 로그인할 때 최소한 두 가지 요소를 사용해야 하는 것이다. (예를 들어, 사용자는 스마트 카드와 암호를 모두 제시해야 한다.)이렇게 하면 어느 정도 위험이 완화되는데, 피싱 공격이 성공하면 도난당한 암호를 스스로 재사용하여 보호 시스템을 더 이상 침해할 수 없다.그러나, 많은 전형적인 시스템을 물리칠 수 있는 몇 가지 공격 방법이 있다.[173]WebAuthn과 같은 MFA 체계는 설계로 이 문제를 다룬다.

전자 메일 내용 수정

편리함보다 보안을 우선시하는 조직은 컴퓨터 사용자에게 전자 메일 메시지로부터 URL을 수정하는 전자 메일 클라이언트를 사용하도록 요구할 수 있으며, 따라서 전자 메일의 리더가 링크를 클릭하거나 URL을 복사하는 것을 불가능하게 할 수 있다.이로 인해 불편을 겪을 수도 있지만, 전자 메일 피싱 공격을 거의 없앨 수 있다.

기술 응답의 제한 사항

2014년 8월 포브스의 한 기사는 피싱 방지 기술이 팔리고도 피싱 문제가 지속되는 이유는 피싱이 "인간의 약점을 이용하기 위한 기술적 매개체"라며 기술이 인간의 약점을 완전히 보완할 수 없기 때문이라고 주장한다.[174]

법적대응

연방무역위원회에 제소하는 방법에 대한 비디오 지침

2004년 1월 26일 미국 연방무역위원회는 피싱 혐의자를 상대로 첫 소송을 제기했다.캘리포니아의 10대인 피고는 미국 온라인 웹사이트처럼 보이게 디자인된 웹 페이지를 만들어 신용카드 정보를 훔치는 데 사용했다고 한다.[175]다른 나라들은 피싱범을 추적하고 체포하는 등 이 같은 선례를 따랐다.브라질에서는 2년 만에 1800만~3700만 달러를 가로챈 피싱 킹핀 발디르 파울로 데 알메이다가 가장 큰 피싱 범죄조직 중 한 곳을 주도한 혐의로 체포됐다.[176]영국 당국은 2005년 6월, 악명 높은 "카더" 웹사이트를 목표로 한 미국 비밀 서비스 운영 방화벽과 관련된 사건에서 피싱 사기 행각을 벌인 혐의로 두 명의 남성을 수감했다.[177][178]2006년에는 8명이 가짜 야후 재팬 웹사이트를 만들어 1억 달러(87만 달러)를 벌어들인 피싱 사기 혐의로 일본 경찰에 체포됐다.[179]체포는 2006년 FBI 작전 카드 관리인이 미국과 유럽에서 16명의 갱단을 억류하면서 계속되었다.[180]

미국에서는 패트릭 레이히 상원의원2005년 3월 1일 의회에서 피싱 방지법을 도입했다.만약 이 법안이 법으로 제정되었다면, 소비자들을 25만 달러 이하의 벌금과 5년 이하의 징역에 속이기 위해 가짜 웹사이트를 만들고 가짜 이메일을 보낸 범죄자들을 처벌했을 것이다.[181]영국은 최대 징역 10년형을 선고받을 수 있는 일반적인 사기 범죄를 도입하고,[182] 사기 행각을 하려는 의도로 피싱 키트를 개발하거나 소지하는 것을 금지하는 '사기법 2006'으로 피싱에 대한 법적 무기력을 강화했다.[183]

기업들도 피싱 단속 노력에 동참했다.2005년 3월 31일 마이크로소프트미국 지방법원에 117건의 연방 소송을 워싱턴 서부지구에 제기했다.이 소송은 "존" 피고인들이 비밀번호와 기밀 정보를 입수했다고 비난하고 있다.2005년 3월에도 마이크로소프트와 호주 정부가 피싱을 포함한 다양한 사이버 범죄에 대처하는 법을 가르치는 법을 가르치는 협력관계를 보였다.[184]마이크로소프트는 2006년 3월 미국 이외의 지역에서 100건의 추가 소송을 계획하고 있으며,[185] 이어 2006년 11월 현재 형사소송과 민사소송을 혼합한 129건의 소송이 개시되었다.[186]AOL은 2005년 버지니아 컴퓨터 범죄법 개정에 따라 총 1800만 달러를 청구하는 3건의[188] 소송으로 2006년 초 피싱에[187] 대한 노력을 강화했으며,[189][190] 어스링크는 이후 코네티컷 주에서 피싱 사기로 기소된 남성 6명의 신원을 확인하는 데 일조했다.[191]

2007년 1월, 캘리포니아의 제프리 브렛 구딘은 2003년 CAN-S팸법의 규정에 따라 배심원단에 의해 유죄 판결을 받은 첫 번째 피고인이 되었다.그는 AOL의 청구서 부서를 사칭하면서 수천 건의 이메일을 아메리카 온라인 사용자들에게 보낸 혐의로 유죄판결을 받았고, 이로 인해 고객들은 개인 및 신용카드 정보를 제출하게 되었다.는 CAN-SAMP 위반으로 101년의 징역과 유선 사기, 신용카드 무단 사용, AOL의 상표권 남용 등 10가지 혐의로 징역 70개월을 선고받았다.구딘은 앞서 열린 법원의 심리에 출석하지 않은 이후 구금되어 있다가 곧바로 복역하기 시작했다.[192][193][194][195]

주목할 만한 사건

참고 항목

참조

  1. ^ Ramzan, Zulfikar (2010). "Phishing attacks and countermeasures". In Stamp, Mark; Stavroulakis, Peter (eds.). Handbook of Information and Communication Security. Springer. ISBN 978-3-642-04117-4.
  2. ^ "Internet Crime Report 2020" (PDF). FBI Internet Crime Complaint Centre. U.S. Federal Bureau of Investigation. Retrieved 21 March 2021.
  3. ^ Ollmann, Gunter. "The Phishing Guide: Understanding and Preventing Phishing Attacks". Technical Info. Archived from the original on 2011-01-31. Retrieved 2006-07-10.
  4. ^ a b c Wright, A; Aaron, S; Bates, DW (October 2016). "The Big Phish: Cyberattacks Against U.S. Healthcare Systems". Journal of General Internal Medicine. 31 (10): 1115–8. doi:10.1007/s11606-016-3741-z. PMC 5023604. PMID 27177913.
  5. ^ Mitchell, Anthony (July 12, 2005). "A Leet Primer". TechNewsWorld. Archived from the original on April 17, 2019. Retrieved 2021-03-21.
  6. ^ "Phishing". Language Log, September 22, 2004. Archived from the original on 2006-08-30. Retrieved 2021-03-21.
  7. ^ Jøsang, Audun; et al. (2007). "Security Usability Principles for Vulnerability Analysis and Risk Assessment". Proceedings of the Annual Computer Security Applications Conference 2007 (ACSAC'07). Archived from the original on 2021-03-21. Retrieved 2020-11-11.
  8. ^ Lin, Tian; Capecci, Daniel E.; Ellis, Donovan M.; Rocha, Harold A.; Dommaraju, Sandeep; Oliveira, Daniela S.; Ebner, Natalie C. (September 2019). "Susceptibility to Spear-Phishing Emails: Effects of Internet User Demographics and Email Content". ACM Transactions on Computer-Human Interaction. 26 (5): 32. doi:10.1145/3336141. ISSN 1073-0516. PMC 7274040. PMID 32508486.
  9. ^ "2019 Data Breach Investigations Report" (PDF). PhishingBox. Verizon Communications. Retrieved 21 March 2021.
  10. ^ Furnell, Steven; Millet, Kieran; Papadaki, Maria (July 2019). "Fifteen years of phishing: can technology save us?". Computer Fraud & Security. 2019 (7): 11–16. doi:10.1016/S1361-3723(19)30074-0. S2CID 199578115. Retrieved 21 March 2021.
  11. ^ Waddell, Kaveh (11 February 2016). "The Black Market for Netflix Accounts". The Atlantic. Retrieved 21 March 2021.
  12. ^ "Spear phishing". Windows IT Pro Center. Retrieved March 4, 2019.
  13. ^ Stephenson, Debbie (2013-05-30). "Spear Phishing: Who's Getting Caught?". Firmex. Archived from the original on 2014-08-11. Retrieved July 27, 2014.
  14. ^ "NSA/GCHQ Hacking Gets Personal: Belgian Cryptographer Targeted". Info Security magazine. 3 February 2018. Retrieved 10 September 2018.
  15. ^ Leyden, John (4 April 2011). "RSA explains how attackers breached its systems". The Register. Retrieved 10 September 2018.
  16. ^ Winterford, Brett (7 April 2011). "Epsilon breach used four-month-old attack". itnews.com.au. Retrieved 10 September 2018.
  17. ^ O'Leary, Daniel E. (2019). "What Phishing E-mails Reveal: An Exploratory Analysis of Phishing Attempts Using Text Analyzes". SSRN Electronic Journal. doi:10.2139/ssrn.3427436. ISSN 1556-5068. S2CID 239250225. Archived from the original on 2021-03-21. Retrieved 2020-11-02.
  18. ^ "Threat Group-4127 Targets Google Accounts". secureworks.com. Archived from the original on 2019-08-11. Retrieved 2017-10-12.
  19. ^ Nakashima, Ellen; Harris, Shane (July 13, 2018). "How the Russians hacked the DNC and passed its emails to WikiLeaks". The Washington Post. Archived from the original on March 21, 2021. Retrieved February 22, 2019.
  20. ^ Alkhalil, Z (2021). "Phishing attacks: A recent comprehensive study and a new anatomy". Frontiers in Computer Science. 3. doi:10.3389/fcomp.2021.563060.
  21. ^ "Fake subpoenas harpoon 2,100 corporate fat cats". The Register. Archived from the original on January 31, 2011. Retrieved April 17, 2008.
  22. ^ "What Is 'Whaling'? Is Whaling Like 'Spear Phishing'?". About Tech. Archived from the original on October 18, 2011. Retrieved March 28, 2015.
  23. ^ Junger, Marianne; Wang, Victoria; Schlömer, Marleen (December 2020). "Fraud against businesses both online and offline: crime scripts, business characteristics, efforts, and benefits". Crime Science. 9 (1): 13. doi:10.1186/s40163-020-00119-4.
  24. ^ "Action Fraud warning after serious rise in CEO fraud". Action Fraud. Retrieved 21 March 2021.
  25. ^ "Invoice scams affecting New Zealand businesses". NZCERT. Retrieved 1 July 2019.
  26. ^ Parker, Tamsyn (18 August 2018). "House invoice scam leaves couple $53k out of pocket". The New Zealand Herald. Archived from the original on 21 March 2021. Retrieved 1 July 2019.
  27. ^ a b Griffin, Slade E.; Rackley, Casey C. (2008). "Vishing". Proceedings of the 5th Annual Conference on Information Security Curriculum Development - InfoSecCD '08: 33. doi:10.1145/1456625.1456635. ISBN 9781605583334.
  28. ^ Wang, Xinyuan; Zhang, Ruishan; Yang, Xiaohui; Jiang, Xuxian; Wijesekera, Duminda (2008). "Voice pharming attack and the trust of VoIP". Proceedings of the 4th International Conference on Security and Privacy in Communication Netowrks - SecureComm '08: 1. doi:10.1145/1460877.1460908. ISBN 9781605582412. S2CID 7874236.
  29. ^ "Phishing, Smishing, and Vishing: What's the Difference?" (PDF). belvoircreditunion.org. August 1, 2008. Archived from the original (PDF) on 2015-04-01.
  30. ^ 비싱 및 스미싱: 사회공학 사기의 증가 2021-03-21 Wayback Machine, BBC, Marie Keyworth, 2016-01-01에 보관
  31. ^ "SMS phishing article at ConsumerAffairs.com". 8 November 2006. Archived from the original on 2021-03-21. Retrieved 2020-07-29.
  32. ^ Mishra, Sandhya; Soni, Devpriya (August 2019). "SMS Phishing and Mitigation Approaches". 2019 Twelfth International Conference on Contemporary Computing (IC3). IEEE: 1–5. doi:10.1109/ic3.2019.8844920. ISBN 978-1-7281-3591-5. S2CID 202700726.
  33. ^ "What is Smishing?". Symantec Corporation. Retrieved 18 October 2018.
  34. ^ Newman, Lily Hay. "Tricky Scam Plants Phishing Links in Your Google Calendar". Wired. ISSN 1059-1028. Retrieved 2021-11-11.
  35. ^ By (2019-08-27). "Scammers are targeting your calendar—here's how to stop them". Popular Science. Retrieved 2021-11-11.
  36. ^ "Get smart on Phishing! Learn to read links!". Archived from the original on December 11, 2016. Retrieved December 11, 2016.
  37. ^ Cimpanu, Catalin (June 15, 2016). "Hidden JavaScript Redirect Makes Phishing Pages Harder to Detect". Softpedia News Center. Softpedia. Archived from the original on March 21, 2021. Retrieved May 21, 2017. Hovering links to see their true location may be a useless security tip in the near future if phishers get smart about their mode of operation and follow the example of a crook who recently managed to bypass this browser built-in security feature.
  38. ^ Johanson, Eric. "The State of Homograph Attacks Rev1.1". The Shmoo Group. Archived from the original on August 23, 2005. Retrieved August 11, 2005.
  39. ^ Evgeniy Gabrilovich & Alex Gontmakher (February 2002). "The Homograph Attack" (PDF). Communications of the ACM. 45 (2): 128. doi:10.1145/503124.503156. S2CID 73840. Archived from the original (PDF) on 2019-11-04. Retrieved 2019-09-15.
  40. ^ Leyden, John (August 15, 2006). "Barclays scripting SNAFU exploited by phishers". The Register. Archived from the original on June 13, 2019. Retrieved August 10, 2017.
  41. ^ Levine, Jason. "Goin' phishing with eBay". Q Daily News. Archived from the original on March 26, 2019. Retrieved December 14, 2006.
  42. ^ Leyden, John (December 12, 2007). "Cybercrooks lurk in shadows of big-name websites". The Register. Archived from the original on June 23, 2019. Retrieved August 10, 2017.
  43. ^ "Black Hat DC 2009". May 15, 2011. Archived from the original on January 3, 2015. Retrieved July 26, 2014.
  44. ^ Mutton, Paul. "Fraudsters seek to make phishing sites undetectable by content filters". Netcraft. Archived from the original on January 31, 2011.
  45. ^ "The use of Optical Character Recognition OCR software in spam filtering". PowerShow. Archived from the original on 2021-03-21. Retrieved 2019-09-13.
  46. ^ Cui, Xinyue; Ge, Yan; Qu, Weina; Zhang, Kan (2020). "Effects of Recipient Information and Urgency Cues on Phishing Detection". HCI International 2020 - Posters. Communications in Computer and Information Science. 1226: 520–525. doi:10.1007/978-3-030-50732-9_67. ISBN 978-3-030-50731-2. S2CID 220523895.
  47. ^ a b Williams, Emma J; Joinson, Adam N (2020-01-01). "Developing a measure of information seeking about phishing". Journal of Cybersecurity. 6 (1). doi:10.1093/cybsec/tyaa001. ISSN 2057-2085.
  48. ^ Lin, Tian; Capecci, Daniel E.; Ellis, Donovan M.; Rocha, Harold A.; Dommaraju, Sandeep; Oliveira, Daniela S.; Ebner, Natalie C. (September 2019). "Susceptibility to Spear-Phishing Emails: Effects of Internet User Demographics and Email Content". ACM Transactions on Computer-Human Interaction. 26 (5). doi:10.1145/3336141. ISSN 1073-0516. PMC 7274040. PMID 32508486.
  49. ^ Tomlinson, Kerry (27 January 2017). "Fake news can poison your computer as well as your mind". archersecuritygroup.com. Archived from the original on 2 February 2017. Retrieved 28 January 2017.
  50. ^ Felix, Jerry & Hauck, Chris (September 1987). "System Security: A Hacker's Perspective". 1987 Interex Proceedings. 8: 6.
  51. ^ "EarthLink wins $25 million lawsuit against junk e-mailer". Archived from the original on 2019-03-22. Retrieved 2014-04-11.
  52. ^ Langberg, Mike (September 8, 1995). "AOL Acts to Thwart Hackers". San Jose Mercury News. Archived from the original on April 29, 2016. Retrieved March 14, 2012.
  53. ^ Rekouche, Koceilah (2011). "Early Phishing". arXiv:1106.4692 [cs.CR].
  54. ^ Stutz, Michael (January 29, 1998). "AOL: A Cracker's Momma!". Wired News. Archived from the original on December 14, 2005.
  55. ^ "Phishing History of Phishing". phishing.org. Archived from the original on 2018-09-09. Retrieved 2019-09-13.
  56. ^ "Phishing". Word Spy. Archived from the original on October 15, 2014. Retrieved September 28, 2006.
  57. ^ "History of AOL Warez". Archived from the original on January 31, 2011. Retrieved September 28, 2006.
  58. ^ "GP4.3 – Growth and Fraud — Case #3 – Phishing". Financial Cryptography. December 30, 2005. Archived from the original on January 22, 2019. Retrieved February 23, 2007.
  59. ^ Sangani, Kris (September 2003). "The Battle Against Identity Theft". The Banker. 70 (9): 53–54.
  60. ^ Kerstein, Paul (July 19, 2005). "How Can We Stop Phishing and Pharming Scams?". CSO. Archived from the original on March 24, 2008.
  61. ^ "In 2005, Organized Crime Will Back Phishers". IT Management. December 23, 2004. Archived from the original on January 31, 2011.
  62. ^ Abad, Christopher (September 2005). "The economy of phishing: A survey of the operations of the phishing market". First Monday. Archived from the original on 2011-11-21. Retrieved 2010-10-08.
  63. ^ "UK phishing fraud losses double". Finextra. March 7, 2006. Archived from the original on January 19, 2009. Retrieved May 20, 2006.
  64. ^ Richardson, Tim (May 3, 2005). "Brits fall prey to phishing". The Register. Archived from the original on June 10, 2019. Retrieved August 10, 2017.
  65. ^ Krebs, Brian (October 13, 2007). "Shadowy Russian Firm Seen as Conduit for Cybercrime". The Washington Post. Archived from the original on June 11, 2019. Retrieved September 8, 2017.
  66. ^ Miller, Rich. "Bank, Customers Spar Over Phishing Losses". Netcraft. Retrieved December 14, 2006.
  67. ^ "Latest News". Archived from the original on October 7, 2008.
  68. ^ "Bank of Ireland agrees to phishing refunds". vnunet.com. Archived from the original on October 28, 2008.
  69. ^ "Suspicious e-Mails and Identity Theft". Internal Revenue Service. Archived from the original on January 31, 2011. Retrieved July 5, 2006.
  70. ^ "Phishing for Clues". Indiana University Bloomington. September 15, 2005. Archived from the original on July 31, 2009. Retrieved September 15, 2005.
  71. ^ Kirk, Jeremy (June 2, 2006). "Phishing Scam Takes Aim at MySpace.com". IDG Network. Archived from the original on June 16, 2006.
  72. ^ "Malicious Website / Malicious Code: MySpace XSS QuickTime Worm". Websense Security Labs. Archived from the original on December 5, 2006. Retrieved December 5, 2006.
  73. ^ McCall, Tom (December 17, 2007). "Gartner Survey Shows Phishing Attacks Escalated in 2007; More than $3 Billion Lost to These Attacks". Gartner. Archived from the original on November 18, 2012. Retrieved December 20, 2007.
  74. ^ "A Profitless Endeavor: Phishing as Tragedy of the Commons" (PDF). Microsoft. Retrieved November 15, 2008.
  75. ^ "Torrent of spam likely to hit 6.3 million TD Ameritrade hack victims". Archived from the original on May 5, 2009.
  76. ^ "1-Click Hosting at RapidTec — Warning of Phishing!". Archived from the original on April 30, 2008. Retrieved December 21, 2008.
  77. ^ APWG. "Phishing Activity Trends Report" (PDF). Archived from the original (PDF) on October 3, 2012. Retrieved November 4, 2013.
  78. ^ a b "APWG Phishing Attack Trends Reports". Archived from the original on March 21, 2021. Retrieved October 20, 2018.
  79. ^ "Anatomy of an RSA attack". RSA.com. RSA FraudAction Research Labs. Archived from the original on October 6, 2014. Retrieved September 15, 2014.
  80. ^ Drew, Christopher; Markoff, John (May 27, 2011). "Data Breach at Security Firm Linked to Attack on Lockheed". The New York Times. Archived from the original on July 9, 2019. Retrieved September 15, 2014.
  81. ^ Keizer, Greg (2011-08-13). "Suspected Chinese spear-phishing attacks continue to hit Gmail users". Computerworld. Archived from the original on 2021-03-21. Retrieved December 4, 2011.
  82. ^ Ewing, Philip (2011-08-22). "Report: Chinese TV doc reveals cyber-mischief". Dod Buzz. Archived from the original on January 26, 2017. Retrieved December 4, 2011.
  83. ^ "시리아 해커들은 아웃브레인(outbrain) 사용하여 워싱턴 포스트, 시간, CNN을 공략한다" 2013년 10월 19일 The Atlantic Wire, Philip Bump, The Atlantic Wire, 2013년 8월 15일 웨이백 머신에서 보관되었다.2013년 8월 15일 검색됨
  84. ^ Paul, Andrew. "Phishing Emails: The Unacceptable Failures of American Express". Email Answers. Archived from the original on October 9, 2013. Retrieved October 9, 2013.
  85. ^ O'Connell, Liz. "Report: Email phishing scam led to Target breach". BringMeTheNews.com. Archived from the original on September 15, 2014. Retrieved September 15, 2014.
  86. ^ Ausick, Paul. "Target CEO Sack". Archived from the original on September 15, 2014. Retrieved September 15, 2014.
  87. ^ Kelion, Leo (December 24, 2013). "Cryptolocker ransomware has 'infected about 250,000 PCs'". BBC. Archived from the original on March 22, 2019. Retrieved December 24, 2013.
  88. ^ "Israeli defence computer hacked via tainted email -cyber firm". Reuters. 2014-01-26. Archived from the original on 2015-09-24. Retrieved 2017-07-01.
  89. ^ לוי, רויטרס ואליאור (27 January 2014). "האקרים השתלטו על מחשבים ביטחוניים". Ynet. Archived from the original on 21 March 2021. Retrieved 29 November 2016.
  90. ^ "Hackers break into Israeli defence computers, says security company". The Guardian. Archived from the original on 2014-02-09.
  91. ^ "Israel defence computers hit by hack attack". BBC News. 2014-01-27. Archived from the original on 2019-03-22. Retrieved 2018-06-22.
  92. ^ "Israeli Defense Computer Hit in Cyber Attack: Data Expert SecurityWeek.Com". securityweek.com. Archived from the original on 2019-03-22. Retrieved 2019-09-13.
  93. ^ "Israel to Ease Cyber-Security Export Curbs, Premier Says". Bloomberg. Archived from the original on 2014-03-04. Retrieved 2017-03-11.
  94. ^ Halpern, Micah D. "Cyber Break-in @ IDF". HuffPost. Archived from the original on 2021-03-21. Retrieved 2020-02-20.
  95. ^ 검찰은 '파핑' 연예인 누드 유출이 애플의 잘못이 아니라고 밝혀 2016년 3월 15일 웨이백머신에 2017-08-18, 테크크런치
  96. ^ "ICANN Targeted in Spear Phishing Attack Enhanced Security Measures Implemented". icann.org. Archived from the original on 2019-08-07. Retrieved December 18, 2014.
  97. ^ "Eccleston Indictment". November 1, 2013. Archived from the original on January 26, 2017. Retrieved November 22, 2020.
  98. ^ "Former U.S. Nuclear Regulatory Commission Employee Pleads Guilty to Attempted Spear-Phishing Cyber-Attack on Department of Energy Computers". 2016-02-02. Archived from the original on 2019-08-08. Retrieved 2020-11-22.
  99. ^ Nakashima, Ellen (28 September 2016). "Russian hackers harassed journalists who were investigating Malaysia Airlines plane crash". The Washington Post. Archived from the original on 23 April 2019. Retrieved 26 October 2016.
  100. ^ ThreatConnect (2016-09-28). "ThreatConnect reviews activity targeting Bellingcat, a key contributor in the MH17 investigation". ThreatConnect. Retrieved 26 October 2016.
  101. ^ Kube, Courtney (7 August 2015). "Russia hacks Pentagon computers: NBC, citing sources". Archived from the original on 8 August 2019. Retrieved 7 August 2015.
  102. ^ Starr, Barbara (7 August 2015). "Official: Russia suspected in Joint Chiefs email server intrusion". Archived from the original on 8 August 2019. Retrieved 7 August 2015.
  103. ^ Doctorow, Cory (August 28, 2015). "Spear phishers with suspected ties to Russian government spoof fake EFF domain, attack White House". Boing Boing. Archived from the original on March 22, 2019. Retrieved November 29, 2016.
  104. ^ Quintin, Cooper (August 27, 2015). "New Spear Phishing Campaign Pretends to be EFF". EFF. Archived from the original on August 7, 2019. Retrieved November 29, 2016.
  105. ^ "Austria's FACC, hit by cyber fraud, fires CEO". Reuters. 26 May 2016. Archived from the original on 21 March 2021. Retrieved 20 December 2018.
  106. ^ Sanger, David E.; Corasaniti, Nick (14 June 2016). "D.N.C. Says Russian Hackers Penetrated Its Files, Including Dossier on Donald Trump". The New York Times. Archived from the original on 25 July 2019. Retrieved 26 October 2016.
  107. ^ Economist, Staff of (24 September 2016). "Bear on bear". Economist. Archived from the original on 20 May 2017. Retrieved 25 October 2016.
  108. ^ "KU employees fall victim to phishing scam, lose paychecks". Archived from the original on 2019-03-22. Retrieved 2016-10-06.
  109. ^ "Hackers lurking, parliamentarians told". Deutsche Welle. Retrieved 21 September 2016.
  110. ^ Pinkert, Georg Heil; Berlin, Nicolas Richter (2016-09-20). "Hackerangriff auf deutsche Parteien". Süddeutsche Zeitung. Retrieved 21 September 2016.
  111. ^ Holland, Martin. "Angeblich versuchter Hackerangriff auf Bundestag und Parteien". Heise. Archived from the original on 1 April 2019. Retrieved 21 September 2016.
  112. ^ Hemicker, Lorenz; Alto, Palo. "Wir haben Fingerabdrücke". Frankfurter Allgemeine Zeitung. Frankfurter Allgemeine. Archived from the original on 22 March 2019. Retrieved 21 September 2016.
  113. ^ Hyacinth Mascarenhas (August 23, 2016). "Russian hackers 'Fancy Bear' likely breached Olympic drug-testing agency and DNC, experts say". International Business Times. Retrieved September 13, 2016.
  114. ^ "What we know about Fancy Bears hack team". BBC News. 2016-09-15. Archived from the original on 2019-03-22. Retrieved 17 September 2016.
  115. ^ Gallagher, Sean (6 October 2016). "Researchers find fake data in Olympic anti-doping, Guccifer 2.0 Clinton dumps". Ars Technica. Archived from the original on 14 July 2017. Retrieved 26 October 2016.
  116. ^ "Russian Hackers Launch Targeted Cyberattacks Hours After Trump's Win". 2016-11-10. Archived from the original on 2017-01-27. Retrieved 2016-11-28.
  117. ^ European Parliament Committee on Foreign Affairs (23 November 2016), "MEPs sound alarm on anti-EU propaganda from Russia and Islamist terrorist groups" (PDF), European Parliament, archived (PDF) from the original on 8 August 2019, retrieved 26 November 2016
  118. ^ Lewis Sanders IV (11 October 2016), 'Divide Europe': European lawmakers warn of Russian propaganda, Deutsche Welle, archived from the original on 25 March 2019, retrieved 24 November 2016
  119. ^ "Qatar faced 93,570 phishing attacks in first quarter of 2017". Gulf Times (in Arabic). 2017-05-12. Archived from the original on 2018-08-04. Retrieved 2018-01-28.
  120. ^ "Facebook and Google Were Victims of $100M Payment Scam". Fortune. Archived from the original on 2019-08-08. Retrieved 2018-01-28.
  121. ^ "Amazon Prime Day phishing scam spreading now!". The Kim Komando Show. Archived from the original on 2019-05-27. Retrieved 2018-01-28.
  122. ^ "Cryptocurrency Hackers Are Stealing from EOS's $4 Billion ICO Using This Sneaky Scam". Jen Wieczner. Archived from the original on 2021-03-21. Retrieved 2018-05-31.
  123. ^ "Twitter Investigation Report - Department of Financial Services". www.dfs.ny.gov. 2020-10-14. Retrieved 2020-10-11.
  124. ^ "Millersmiles Home Page". Oxford Information Services. Archived from the original on July 21, 2007. Retrieved January 3, 2010.
  125. ^ "FraudWatch International Home Page". FraudWatch International. Archived from the original on June 16, 2019. Retrieved January 3, 2010.
  126. ^ Baker, Emiley; Wade Baker; John Tedesco (2007). "Organizations Respond to Phishing: Exploring the Public Relations Tackle Box". Communication Research Reports. 24 (4): 327. doi:10.1080/08824090701624239. S2CID 144245673.
  127. ^ Arachchilage, Nalin; Love, Steve; Scott, Michael (June 1, 2012). "Designing a Mobile Game to Teach Conceptual Knowledge of Avoiding 'Phishing Attacks'". International Journal for E-Learning Security. 2 (1): 127–132. doi:10.20533/ijels.2046.4568.2012.0016.
  128. ^ Ponnurangam Kumaraguru; Yong Woo Rhee; Alessandro Acquisti; Lorrie Cranor; Jason Hong; Elizabeth Nunge (November 2006). "Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System" (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. Archived from the original (PDF) on January 30, 2007. Retrieved November 14, 2006.
  129. ^ Perrault, Evan K. (2017-03-23). "Using an Interactive Online Quiz to Recalibrate College Students' Attitudes and Behavioral Intentions About Phishing". Journal of Educational Computing Research. 55 (8): 1154–1167. doi:10.1177/0735633117699232. S2CID 64269078.
  130. ^ Jampen, Daniel; Gür, Gürkan; Sutter, Thomas; Tellenbach, Bernhard (December 2020). "Don't click: towards an effective anti-phishing training. A comparative literature review". Human-centric Computing and Information Sciences. 10 (1): 33. doi:10.1186/s13673-020-00237-7. ISSN 2192-1962. S2CID 221084452.
  131. ^ Priestman, Ward; Anstis, Tony; Sebire, Isabel G; Sridharan, Shankar; Sebire, Neil J (2019-09-04). "Phishing in healthcare organisations: threats, mitigation and approaches". BMJ Health & Care Informatics. 26 (1): e100031. doi:10.1136/bmjhci-2019-100031. ISSN 2632-1009. PMC 7062337. PMID 31488498.
  132. ^ Hendric, William. "Steps to avoid phishing". Archived from the original on March 21, 2021. Retrieved March 3, 2015.
  133. ^ "Anti-Phishing Tips You Should Not Follow". HexView. Archived from the original on March 20, 2008. Retrieved June 19, 2006.
  134. ^ "Protect Yourself from Fraudulent Emails". PayPal. Archived from the original on April 6, 2011. Retrieved July 7, 2006.
  135. ^ Zeltser, Lenny (March 17, 2006). "Phishing Messages May Include Highly-Personalized Information". The SANS Institute. Archived from the original on December 2, 2006. Retrieved May 20, 2006.
  136. ^ Markus Jakobsson & Jacob Ratkiewicz. "Designing Ethical Phishing Experiments". WWW '06. Archived from the original on January 31, 2011. Retrieved August 20, 2007.
  137. ^ Markus Jakobsson; Alex Tsow; Ankur Shah; Eli Blevis; Youn-kyung Lim. "What Instills Trust? A Qualitative Study of Phishing" (PDF). informatics.indiana.edu. Archived from the original (PDF) on March 6, 2007.
  138. ^ "APWG Phishing Attack Trends Reports". APWG. Archived from the original on 21 March 2021. Retrieved 12 September 2018.
  139. ^ Google (June 25, 2017). "Stay Safe from Phishing and Scams". Archived from the original on 21 March 2021. Retrieved 12 April 2020 – via YouTube. {{cite web}}: last=일반 이름 포함(도움말)
  140. ^ Olivo, Cleber K.; Santin, Altair O.; Oliveira, Luiz S. (July 2011). "Obtaining the Threat Model for E-mail Phishing". Applied Soft Computing. 13 (12): 4841–4848. doi:10.1016/j.asoc.2011.06.016.
  141. ^ Madhusudhanan Chandrasekaran; Krishnan Narayanan; Shambhu Upadhyaya (March 2006). "Phishing E-mail Detection Based on Structural Properties" (PDF). NYS Cyber Security Symposium. Archived from the original (PDF) on February 16, 2008.
  142. ^ Ian Fette; Norman Sadeh; Anthony Tomasic (June 2006). "Learning to Detect Phishing Emails" (PDF). Carnegie Mellon University Technical Report CMU-ISRI-06-112. Archived (PDF) from the original on 2018-06-19. Retrieved 2006-11-30.
  143. ^ "Landing another blow against email phishing (Google Online Security Blog)". Archived from the original on June 6, 2012. Retrieved June 21, 2012.
  144. ^ "Google Safe Browsing". Archived from the original on 2017-09-01. Retrieved 2017-11-30.
  145. ^ "Safe Browsing (Google Online Security Blog)". Archived from the original on March 5, 2016. Retrieved June 21, 2012.
  146. ^ Franco, Rob. "Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers". IEBlog. Archived from the original on January 17, 2010. Retrieved Feb 10, 2020.
  147. ^ "Bon Echo Anti-Phishing". Mozilla. Archived from the original on August 23, 2011. Retrieved June 2, 2006.
  148. ^ "Safari 3.2 finally gains phishing protection". Ars Technica. November 13, 2008. Archived from the original on August 23, 2011. Retrieved November 15, 2008.
  149. ^ "Gone Phishing: Evaluating Anti-Phishing Tools for Windows". 3Sharp. September 27, 2006. Archived from the original on January 14, 2008. Retrieved October 20, 2006.
  150. ^ "Two Things That Bother Me About Google's New Firefox Extension". Nitesh Dhanjani on O'Reilly ONLamp. Archived from the original on July 22, 2014. Retrieved July 1, 2007.
  151. ^ "Firefox 2 Phishing Protection Effectiveness Testing". Archived from the original on January 31, 2011. Retrieved January 23, 2007.
  152. ^ Higgins, Kelly Jackson. "DNS Gets Anti-Phishing Hook". Dark Reading. Archived from the original on August 18, 2011. Retrieved October 8, 2006.
  153. ^ Krebs, Brian (August 31, 2006). "Using Images to Fight Phishing". Security Fix. Archived from the original on November 16, 2006.
  154. ^ Seltzer, Larry (August 2, 2004). "Spotting Phish and Phighting Back". eWeek. Archived from the original on July 5, 2019. Retrieved December 14, 2006.
  155. ^ Bank of America. "How Bank of America SiteKey Works For Online Banking Security". Archived from the original on August 23, 2011. Retrieved January 23, 2007.
  156. ^ Brubaker, Bill (July 14, 2005). "Bank of America Personalizes Cyber-Security". The Washington Post. Archived from the original on June 8, 2019. Retrieved September 8, 2017.
  157. ^ Stone, Brad (February 5, 2007). "Study Finds Web Antifraud Measure Ineffective". The New York Times. Archived from the original on June 11, 2019. Retrieved February 5, 2007.
  158. ^ Stuart Schechter; Rachna Dhamija; Andy Ozment; Ian Fischer (May 2007). "The Emperor's New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies" (PDF). IEEE Symposium on Security and Privacy, May 2007. Archived from the original (PDF) on July 20, 2008. Retrieved February 5, 2007.
  159. ^ "Phishers target Nordea's one-time password system". Finextra. October 12, 2005. Archived from the original on December 18, 2005. Retrieved December 20, 2005.
  160. ^ Krebs, Brian (July 10, 2006). "Citibank Phish Spoofs 2-Factor Authentication". Security Fix. Archived from the original on November 10, 2006.
  161. ^ Graham Titterington. "More doom on phishing". Ovum Research, April 2006. Archived from the original on 2008-04-10. Retrieved 2009-04-08.
  162. ^ Schneier, Bruce. "Security Skins". Schneier on Security. Retrieved December 3, 2006.
  163. ^ Rachna Dhamija; J.D. Tygar (July 2005). "The Battle Against Phishing: Dynamic Security Skins" (PDF). Symposium On Usable Privacy and Security (SOUPS) 2005. Archived from the original (PDF) on June 29, 2007. Retrieved February 5, 2007.
  164. ^ "Dynamic, Mutual Authentication Technology for Anti-Phishing". Confidenttechnologies.com. Archived from the original on March 21, 2021. Retrieved September 9, 2012.
  165. ^ "Anti-Phishing Working Group: Vendor Solutions". Anti-Phishing Working Group. Archived from the original on January 31, 2011. Retrieved July 6, 2006.
  166. ^ Xiang, Guang; Hong, Jason; Rose, Carolyn P.; Cranor, Lorrie (2011-09-01). "CANTINA+: A Feature-Rich Machine Learning Framework for Detecting Phishing Web Sites". ACM Transactions on Information and System Security. 14 (2): 21:1–21:28. doi:10.1145/2019599.2019606. ISSN 1094-9224. S2CID 6246617. Archived from the original on 2021-03-21. Retrieved 2020-11-25.
  167. ^ Leite, Cristoffer; Gondim, Joao J. C.; Barreto, Priscila Solis; Alchieri, Eduardo A. (2019). "Waste Flooding: A Phishing Retaliation Tool". 2019 IEEE 18th International Symposium on Network Computing and Applications (NCA). Cambridge, MA, USA: IEEE: 1–8. doi:10.1109/NCA.2019.8935018. ISBN 978-1-7281-2522-0. S2CID 209457656. Archived from the original on 2021-03-21. Retrieved 2020-11-25.
  168. ^ McMillan, Robert (March 28, 2006). "New sites let users find and report phishing". LinuxWorld. Archived from the original on January 19, 2009.
  169. ^ Schneier, Bruce (October 5, 2006). "PhishTank". Schneier on Security. Archived from the original on January 31, 2011. Retrieved December 7, 2007.
  170. ^ "Report a Phishing Page". Archived from the original on 2016-10-19. Retrieved 2019-09-13.
  171. ^ 보관소에서 Google Archive 2013-04-14에 피싱 사기를 보고하는 방법.오늘 소비자 Scams.org
  172. ^ 스마트폰을 사용하여 온라인 뱅킹 거래 확인 서명 웨이백 머신에 2017-08-23 보관, SafeSigner.
  173. ^ Kan, Michael (7 March 2019). "Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise". PC Magazine. Archived from the original on 8 March 2019. Retrieved 9 September 2019.
  174. ^ Joseph Steinberg (August 25, 2014). "Why You Are at Risk of Phishing Attacks". Forbes. Archived from the original on July 14, 2019. Retrieved November 14, 2014.
  175. ^ Legon, Jeordan (January 26, 2004). "Phishing scams reel in your identity". CNN. Archived from the original on November 6, 2018. Retrieved April 8, 2006.
  176. ^ Leyden, John (March 21, 2005). "Brazilian cops net 'phishing kingpin'". The Register. Archived from the original on April 17, 2016. Retrieved August 19, 2005.
  177. ^ Roberts, Paul (June 27, 2005). "UK Phishers Caught, Packed Away". eWEEK. Archived from the original on July 5, 2019. Retrieved September 3, 2005.
  178. ^ "Nineteen Individuals Indicted in Internet 'Carding' Conspiracy". justice.gov. Archived from the original on March 22, 2019. Retrieved October 13, 2015.
  179. ^ "8 held over suspected phishing fraud". Yomiuri Shimbun. May 31, 2006.
  180. ^ "Phishing gang arrested in USA and Eastern Europe after FBI investigation". Archived from the original on January 31, 2011. Retrieved December 14, 2006.
  181. ^ "Phishers Would Face 5 Years Under New Bill". InformationWeek. March 2, 2005. Archived from the original on February 19, 2008. Retrieved March 4, 2005.
  182. ^ "Fraud Act 2006". Archived from the original on August 23, 2011. Retrieved December 14, 2006.
  183. ^ "Prison terms for phishing fraudsters". The Register. November 14, 2006. Archived from the original on June 21, 2019. Retrieved August 10, 2017.
  184. ^ "Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime". Microsoft. Archived from the original on November 3, 2005. Retrieved August 24, 2005.
  185. ^ Espiner, Tom (March 20, 2006). "Microsoft launches legal assault on phishers". ZDNet. Archived from the original on August 29, 2008. Retrieved May 20, 2006.
  186. ^ Leyden, John (November 23, 2006). "MS reels in a few stray phish". The Register. Archived from the original on June 10, 2019. Retrieved August 10, 2017.
  187. ^ "A History of Leadership – 2006". Archived from the original on May 22, 2007.
  188. ^ "AOL Takes Fight Against Identity Theft To Court, Files Lawsuits Against Three Major Phishing Gangs". Archived from the original on January 31, 2007. Retrieved March 8, 2006.
  189. ^ "HB 2471 Computer Crimes Act; changes in provisions, penalty". Retrieved March 8, 2006.
  190. ^ Brulliard, Karin (April 10, 2005). "Va. Lawmakers Aim to Hook Cyberscammers". The Washington Post. Archived from the original on June 11, 2019. Retrieved September 8, 2017.
  191. ^ "Earthlink evidence helps slam the door on phisher site spam ring". Archived from the original on July 5, 2007. Retrieved December 14, 2006.
  192. ^ Prince, Brian (January 18, 2007). "Man Found Guilty of Targeting AOL Customers in Phishing Scam". PC Magazine. Archived from the original on March 21, 2009. Retrieved September 8, 2017.
  193. ^ Leyden, John (January 17, 2007). "AOL phishing fraudster found guilty". The Register. Archived from the original on March 22, 2019. Retrieved August 10, 2017.
  194. ^ Leyden, John (June 13, 2007). "AOL phisher nets six years' imprisonment". The Register. Archived from the original on June 11, 2019. Retrieved August 10, 2017.
  195. ^ Gaudin, Sharon (June 12, 2007). "California Man Gets 6-Year Sentence For Phishing". InformationWeek. Archived from the original on October 11, 2007. Retrieved July 1, 2007.

외부 링크