Фишинг — это форма социальной инженерии и мошенничества , при которой злоумышленники обманывают людей, заставляя их раскрыть конфиденциальную информацию [1] или устанавливать вредоносное ПО, такое как вирусы , черви , рекламное ПО или программы-вымогатели . Фишинговые атаки становятся все более изощренными и часто прозрачно отражают целевой сайт, позволяя злоумышленнику наблюдать за всем, пока жертва перемещается по сайту, и пересекать любые дополнительные границы безопасности с жертвой. [2] По состоянию на 2020 год это наиболее распространенный тип киберпреступности , при этом Центр жалоб на интернет-преступления ФБР сообщает о большем количестве случаев фишинга, чем о любом другом типе киберпреступности. [3]
Термин «фишинг» впервые был зафиксирован в 1995 году в наборе инструментов для взлома AOHell , но, возможно, использовался ранее в хакерском журнале 2600. [4] [5] [6] Это разновидность рыболовства , подразумевающая использование приманок для «выуживания» конфиденциальной информации. [ 5] [7] [8]
Меры по предотвращению или снижению воздействия фишинговых атак включают законодательство, обучение пользователей, повышение осведомленности общественности и технические меры безопасности. [9] Важность осведомленности о фишинге возросла как в личных, так и в профессиональных условиях: количество фишинговых атак среди предприятий выросло с 72% в 2017 году до 86% в 2020 году. [10]
Фишинговые атаки, часто осуществляемые через спам по электронной почте , пытаются обманом заставить людей выдать конфиденциальную информацию или учетные данные для входа. Большинство атак являются «массовыми атаками», которые не являются целевыми и вместо этого рассылаются оптом широкой аудитории. [11] Цели злоумышленника могут быть разными, с общими целями, включая финансовые учреждения, поставщиков электронной почты и облачных услуг, а также потоковые сервисы. [12] Украденная информация или доступ могут быть использованы для кражи денег, установки вредоносного ПО или фишинга других лиц в целевой организации. [13] Скомпрометированные учетные записи потоковых сервисов также могут продаваться на рынках даркнета . [14]
Этот тип атаки социальной инженерии может включать отправку мошеннических писем или сообщений, которые кажутся исходящими из надежного источника, например банка или государственного учреждения. Такие сообщения обычно перенаправляют на поддельную страницу входа, где пользователям предлагается ввести свои учетные данные.
Целевой фишинг — это целевая фишинговая атака, которая использует персонализированные сообщения, особенно электронные письма, [15] чтобы обмануть определенное лицо или организацию, заставив их поверить в то, что они являются законными. Часто используется личная информация о цели, чтобы увеличить шансы на успех. [16] [17] [18] [19] Такие атаки часто нацелены на руководителей или сотрудников финансовых отделов, имеющих доступ к конфиденциальным финансовым данным и услугам. Бухгалтерские и аудиторские фирмы особенно уязвимы для целевого фишинга из-за ценности информации, к которой имеют доступ их сотрудники. [20]
Российское правительственное подразделение Threat Group-4127 (Fancy Bear) (подразделение ГРУ 26165) атаковало президентскую кампанию Хиллари Клинтон в 2016 году с помощью фишинговых атак на более чем 1800 аккаунтов Google , используя домен accounts-google.com для угроз целевым пользователям. [21] [22]
Исследование восприимчивости к фишингу среди разных возрастных групп показало, что 43% молодежи в возрасте 18–25 лет и 58% пользователей старшего возраста нажимали на ссылки-имитаторы фишинга в ежедневных электронных письмах в течение 21 дня. Женщины старшего возраста имели самую высокую восприимчивость, в то время как восприимчивость среди молодых пользователей снизилась в ходе исследования, но оставалась стабильной среди пользователей старшего возраста. [23]
Voice over IP (VoIP) используется в вишинговых или голосовых фишинговых атаках, [24] когда злоумышленники совершают автоматические телефонные звонки большому количеству людей, часто используя синтезаторы текста в речь , заявляя о мошеннической активности на их счетах. Злоумышленники подделывают номер телефона звонящего, чтобы он выглядел так, как будто он исходит из законного банка или учреждения. Затем жертве предлагается ввести конфиденциальную информацию или подключиться к живому человеку, который использует тактику социальной инженерии для получения информации. [24] Вишинг использует более низкую осведомленность и доверие общественности к голосовой телефонии по сравнению с фишингом по электронной почте. [25]
СМС-фишинг [26] или смишинг [27] [28] — это тип фишинговой атаки, при которой для доставки сообщения-приманки используются текстовые сообщения с мобильного телефона или смартфона . [29] Жертву обычно просят нажать на ссылку, позвонить по номеру телефона или связаться по адресу электронной почты , предоставленному злоумышленником. Затем их могут попросить предоставить личную информацию , например, учетные данные для входа на другие веб-сайты. Сложность определения незаконных ссылок может усугубляться на мобильных устройствах из-за ограниченного отображения URL-адресов в мобильных браузерах. [30] Смишинг может быть столь же эффективным, как и фишинг по электронной почте, поскольку многие смартфоны имеют быстрое подключение к Интернету. Сообщения смишинга также могут приходить с необычных телефонных номеров. [31]
Взлом страницы включает перенаправление пользователей на вредоносные веб-сайты или наборы эксплойтов через взлом легитимных веб-страниц, часто с использованием межсайтового скриптинга . Хакеры могут вставлять наборы эксплойтов, такие как MPack , в взломанные веб-сайты для эксплуатации легитимных пользователей, посещающих сервер. Взлом страницы может также включать в себя вставку вредоносных встроенных фреймов , что позволяет загружать наборы эксплойтов. Эта тактика часто используется в сочетании с атаками типа «водяная яма» на корпоративные цели. [32]
Относительно новая тенденция в мошенничестве в Интернете — «Quishing». Термин происходит от «QR» ( Quick Response ) кодов и «phishing», поскольку мошенники используют удобство QR-кодов, чтобы обманом заставить пользователей предоставить конфиденциальные данные, сканируя код, содержащий встроенную вредоносную ссылку на веб-сайт. В отличие от традиционного фишинга, который опирается на обманные электронные письма или веб-сайты, quishing использует QR-коды для обхода фильтров электронной почты [33] [34] и повышения вероятности того, что жертвы попадутся на удочку мошенничества, поскольку люди склонны доверять QR-кодам и могут не изучать их так тщательно, как URL или ссылку электронной почты. Поддельные коды могут быть отправлены по электронной почте, в социальных сетях или, в некоторых случаях, наклейками с бумажными копиями, которые размещаются поверх настоящих QR-кодов на таких вещах, как рекламные плакаты и уведомления о парковке. [35] [36] Когда жертвы сканируют QR-код с помощью своего телефона или устройства, они перенаправляются на поддельный веб-сайт, предназначенный для кражи личной информации, учетных данных для входа или финансовых данных. [33]
Поскольку QR-коды все шире используются для таких вещей, как платежи, регистрация на мероприятиях и информация о продуктах, кишинг становится серьезной проблемой для цифровой безопасности. Пользователям рекомендуется проявлять осторожность при сканировании незнакомых QR-кодов и убедиться, что они получены из надежных источников, хотя Национальный центр кибербезопасности Великобритании оценивает риск как гораздо более низкий, чем другие типы приманок. [37]
Фишинговые атаки часто включают создание поддельных ссылок , которые кажутся ссылками от законной организации. [38] Эти ссылки могут использовать неправильно написанные URL или поддомены , чтобы обмануть пользователя. В следующем примере URL, http://www.yourbank.example.com/
неопытному глазу может показаться, что URL перенаправит пользователя в раздел примера веб-сайта yourbank ; этот URL указывает на раздел « yourbank » (т. е. поддомен фишинга) веб-сайта примера (доменное имя мошенника). Другая тактика заключается в том, чтобы сделать отображаемый текст для ссылки заслуживающим доверия, в то время как фактическая ссылка ведет на сайт фишера. Чтобы проверить назначение ссылки, многие почтовые клиенты и веб-браузеры будут отображать URL в строке состояния, когда на него наводится мышь . Однако некоторые фишеры могут обойти эту меру безопасности. [39]
Интернационализированные доменные имена (IDN) могут быть использованы посредством подмены IDN [40] или атак с использованием омографов [41], чтобы позволить злоумышленникам создавать поддельные веб-сайты с визуально идентичными адресами законных. Эти атаки использовались фишерами для маскировки вредоносных URL-адресов с помощью открытых перенаправлений URL на доверенных веб-сайтах. [42] [43] [44] Даже цифровые сертификаты, такие как SSL , могут не защитить от этих атак, поскольку фишеры могут приобретать действительные сертификаты и изменять контент, чтобы имитировать настоящие веб-сайты или размещать фишинговые сайты без SSL. [45]
Фишинг часто использует методы социальной инженерии, чтобы обманом заставить пользователей выполнить действия, такие как щелчок по ссылке или открытие вложения, или раскрытие конфиденциальной информации. Часто это включает в себя притворство доверенным лицом и создание ощущения срочности, [46] например, угрозы закрыть или конфисковать банковский или страховой счет жертвы. [47]
Альтернативным методом фишинга, основанного на подражании, является использование фейковых новостных статей, чтобы обманом заставить жертв нажать на вредоносную ссылку. Эти ссылки часто ведут на фейковые веб-сайты, которые кажутся законными, [48], но на самом деле управляются злоумышленниками, которые могут попытаться установить вредоносное ПО или предоставить жертве фальшивые уведомления о «вирусе» . [49]
Ранние методы фишинга можно проследить до 1990-х годов, когда хакеры -нелегалы и сообщество варезного ПО использовали AOL для кражи информации о кредитных картах и совершения других онлайн-преступлений. Термин «фишинг», как говорят, был придуман Ханом С. Смитом, известным спамером и хакером, [50] и его первое зарегистрированное упоминание было найдено в хакерском инструменте AOHell , который был выпущен в 1994 году. AOHell позволял хакерам выдавать себя за сотрудников AOL и отправлять жертвам мгновенные сообщения с просьбой раскрыть их пароли. [51] [52] В ответ AOL приняла меры по предотвращению фишинга и в конечном итоге закрыла сцену варезного ПО на своей платформе. [53] [54]
В 2000-х годах фишинговые атаки стали более организованными и целенаправленными. Первая известная прямая попытка против платежной системы E-gold произошла в июне 2001 года, а вскоре после атак 11 сентября последовала фишинговая атака «post-9/11 id check». [55] Первая известная фишинговая атака против розничного банка была зарегистрирована в сентябре 2003 года. [56] В период с мая 2004 года по май 2005 года около 1,2 миллиона пользователей компьютеров в Соединенных Штатах понесли убытки, вызванные фишингом, на общую сумму около 929 миллионов долларов США . [57] Фишинг был признан полностью организованной частью черного рынка, и в глобальном масштабе появились специализации, которые предоставляли фишинговое программное обеспечение для оплаты, которое собиралось и внедрялось в фишинговые кампании организованными бандами. [58] [59] Банковский сектор Великобритании пострадал от фишинговых атак, при этом потери от мошенничества с веб-банкингом почти удвоились в 2005 году по сравнению с 2004 годом. [ 60] [61] В 2006 году почти половина фишинговых краж была совершена группами, действующими через Russian Business Network, базирующуюся в Санкт-Петербурге. [62] Мошенники по электронной почте, выдававшие себя за Службу внутренних доходов, также использовались для кражи конфиденциальных данных у налогоплательщиков США. [63] Сайты социальных сетей являются основной целью фишинга, поскольку личные данные на таких сайтах могут быть использованы для кражи личных данных ; [64] В 2007 году 3,6 миллиона взрослых потеряли 3,2 миллиарда долларов США из-за фишинговых атак. [65] Рабочая группа по борьбе с фишингом сообщила о получении 115 370 отчетов о фишинговых письмах от потребителей, при этом в США и Китае размещалось более 25% фишинговых страниц в третьем квартале 2009 года. [66]
Фишинг в 2010-х годах значительно увеличил количество атак. В 2011 году с помощью фишинговой атаки были украдены главные ключи для токенов безопасности RSA SecurID. [67] [68] Китайские фишинговые кампании также были нацелены на высокопоставленных чиновников в правительствах США и Южной Кореи и военных, а также на китайских политических активистов. [69] [70] По словам Гоша, количество фишинговых атак возросло с 187 203 в 2010 году до 445 004 в 2012 году. В августе 2013 года Outbrain подверглась целевой фишинговой атаке, [71] а в ноябре 2013 года у клиентов Target было украдено 110 миллионов записей о клиентах и кредитных картах через фишинговую учетную запись субподрядчика. [72] Генеральный директор и сотрудники службы ИТ-безопасности впоследствии были уволены. [73] В августе 2014 года утечки фотографий знаменитостей из iCloud были основаны на фишинговых электронных письмах, отправленных жертвам, которые выглядели так, как будто они были отправлены Apple или Google. [74] В ноябре 2014 года фишинговые атаки на ICANN получили административный доступ к централизованной системе данных зоны; также были получены данные о пользователях в системе - и доступ к публичному вики-сайту Правительственного консультативного комитета ICANN, блогу и информационному порталу Whois. [75] Fancy Bear был связан с фишинговыми атаками на систему электронной почты Пентагона в августе 2015 года, [76] [77] и группа использовала эксплойт нулевого дня Java в фишинговой атаке на Белый дом и НАТО. [78] [79] Fancy Bear осуществила фишинговые атаки на адреса электронной почты, связанные с Демократическим национальным комитетом, в первом квартале 2016 года. [80] [81] В августе 2016 года члены Бундестага и политические партии, такие как лидер фракции Linken Сара Вагенкнехт , Юнге Юнион и ХДС Саара , подверглись фишинговым атакам, предположительно осуществленным Fancy Bear. В августе 2016 года Всемирное антидопинговое агентство сообщило о получении фишинговых писем, отправленных пользователям его базы данных, которые якобы были официальными письмами WADA, но соответствовали российской хакерской группе Fancy Bear. [82] [83] [84] В 2017 году 76% организаций подверглись фишинговым атакам, причем почти половина опрошенных специалистов по информационной безопасности сообщили об увеличении их числа по сравнению с 2016 годом. В первой половине 2017 года предприятия и жители Катара подверглись более чем 93 570 фишинговым атакам за трехмесячный период. [85] В августе 2017 года клиенты Amazonстолкнулись с фишинговой атакой Amazon Prime Day, когда хакеры отправляли клиентам Amazon, казалось бы, законные предложения. Когда клиенты Amazon пытались совершать покупки, используя «предложения», транзакция не завершалась, побуждая клиентов ритейлера вводить данные, которые могли быть скомпрометированы и украдены. [86] В 2018 году компания block.one, разработавшая блокчейн EOS.IO, подверглась атаке фишинговой группы, которая отправляла фишинговые письма всем клиентам, направленные на перехват ключа криптовалютного кошелька пользователя, а более поздняя атака была нацелена на токены airdrop. [87]
Фишинговые атаки эволюционировали в 2020-х годах, включив в себя элементы социальной инженерии, как показал взлом Twitter 15 июля 2020 года . В этом случае 17-летний хакер и его сообщники создали поддельный веб-сайт, напоминающий внутреннего VPN- провайдера Twitter, используемого удаленными сотрудниками. Выдавая себя за сотрудников службы поддержки, они позвонили нескольким сотрудникам Twitter, поручив им отправить свои учетные данные на поддельный веб-сайт VPN. [88] Используя данные, предоставленные ничего не подозревающими сотрудниками, они смогли захватить контроль над несколькими известными учетными записями пользователей, включая учетные записи Барака Обамы , Илона Маска , Джо Байдена и компании Apple Inc. Затем хакеры отправили подписчикам Twitter сообщения с просьбой заплатить биткоины , обещая взамен удвоить стоимость транзакции. Хакеры собрали 12,86 BTC (около 117 000 долларов на тот момент). [89]
Существуют антифишинговые веб-сайты, которые публикуют точные сообщения, которые недавно циркулировали в Интернете, такие как FraudWatch International и Millersmiles. Такие сайты часто предоставляют конкретные детали о конкретных сообщениях. [90] [91]
Еще в 2007 году принятие антифишинговых стратегий компаниями, которым необходимо защищать личную и финансовую информацию, было низким. [92] Существует несколько различных методов борьбы с фишингом, включая законодательство и технологии, созданные специально для защиты от фишинга. Эти методы включают шаги, которые могут быть предприняты как отдельными лицами, так и организациями. О фишинге по телефону, веб-сайту и электронной почте теперь можно сообщать властям, как описано ниже.
Эффективное обучение фишингу, включая концептуальные знания [93] и обратную связь, [94] [95] является важной частью антифишинговой стратегии любой организации. Хотя имеются ограниченные данные об эффективности обучения в снижении восприимчивости к фишингу, [96] много информации об угрозе доступно в Интернете. [47]
Имитационные фишинговые кампании, в которых организации проверяют подготовку своих сотрудников, отправляя поддельные фишинговые письма, обычно используются для оценки их эффективности. Одним из примеров является исследование Национальной медицинской библиотеки, в котором организация получила 858 200 писем в течение месячного периода тестирования, из которых 139 400 (16%) были маркетинговыми, а 18 871 (2%) были идентифицированы как потенциальные угрозы. Эти кампании часто используются в сфере здравоохранения, поскольку данные здравоохранения являются ценной целью для хакеров. Эти кампании являются лишь одним из способов, с помощью которых организации борются с фишингом. [97]
Почти все законные электронные письма от компаний своим клиентам содержат элемент информации, который недоступен для фишеров. Некоторые компании, например PayPal , всегда обращаются к своим клиентам по имени пользователя в электронных письмах, поэтому если электронное письмо обращается к получателю в общей манере («Уважаемый клиент PayPal»), это, скорее всего, попытка фишинга. [98] Кроме того, PayPal предлагает различные методы определения поддельных писем и советует пользователям пересылать подозрительные письма на свой домен [email protected] для расследования и предупреждения других клиентов. Однако небезопасно предполагать, что наличие личной информации само по себе гарантирует, что сообщение является законным, [99] и некоторые исследования показали, что наличие личной информации не оказывает существенного влияния на успешность фишинговых атак; [100] что говорит о том, что большинство людей не обращают внимания на такие детали.
Письма от банков и кредитных компаний часто содержат частичные номера счетов, но исследования показали, что люди, как правило, не различают первую и последнюю цифры. [101]
Исследование фишинговых атак в игровых средах показало, что образовательные игры могут эффективно информировать игроков о нераскрытии информации и повышать осведомленность о риске фишинга, тем самым снижая риски. [102]
Рабочая группа по борьбе с фишингом , одна из крупнейших антифишинговых организаций в мире, регулярно публикует отчеты о тенденциях фишинговых атак. [103]
Существует широкий спектр технических подходов, позволяющих предотвратить фишинговые атаки на пользователей или помешать им успешно перехватить конфиденциальную информацию.
Специализированные спам-фильтры могут сократить количество фишинговых писем, которые попадают в почтовые ящики своих адресатов. Эти фильтры используют ряд методов, включая машинное обучение [104] и подходы обработки естественного языка для классификации фишинговых писем, [105] [106] и отклонения писем с поддельными адресами. [107]
Другой популярный подход к борьбе с фишингом — ведение списка известных фишинговых сайтов и проверка веб-сайтов по списку. Одной из таких служб является служба Safe Browsing . [108] Такие веб-браузеры, как Google Chrome , Internet Explorer 7, Mozilla Firefox 2.0, Safari 3.2 и Opera , содержат этот тип мер по борьбе с фишингом. [109] [110] [111] [112] [113] Firefox 2 использовал антифишинговое программное обеспечение Google . Opera 9.1 использует живые черные списки от Phishtank , cyscon и GeoTrust , а также живые белые списки от GeoTrust. Некоторые реализации этого подхода отправляют посещенные URL-адреса в центральную службу для проверки, что вызывает опасения по поводу конфиденциальности . [114] Согласно отчету Mozilla, опубликованному в конце 2006 года, Firefox 2 оказался более эффективным, чем Internet Explorer 7 , в обнаружении мошеннических сайтов в исследовании, проведенном независимой компанией по тестированию программного обеспечения. [115]
Подход, представленный в середине 2006 года, предполагает переключение на специальную службу DNS, которая отфильтровывает известные фишинговые домены. [116]
Чтобы смягчить проблему фишинговых сайтов, выдающих себя за сайт жертвы путем внедрения его изображений (например, логотипов ), несколько владельцев сайтов изменили изображения, чтобы отправить посетителю сообщение о том, что сайт может быть мошенническим. Изображение может быть перемещено в новое имя файла, а исходное навсегда заменено, или сервер может обнаружить, что изображение не было запрошено как часть обычного просмотра, и вместо этого отправить предупреждающее изображение. [117] [118]
Веб-сайт Bank of America [119] [120] был одним из нескольких, которые просили пользователей выбрать персональное изображение (рекламируемое как SiteKey ) и отображали это выбранное пользователем изображение с любыми формами, запрашивающими пароль. Пользователям онлайн-сервисов банка было поручено вводить пароль только тогда, когда они видели выбранное ими изображение. С тех пор банк прекратил использование SiteKey. Несколько исследований показывают, что немногие пользователи воздерживаются от ввода своих паролей, когда изображения отсутствуют. [121] [122] Кроме того, эта функция (как и другие формы двухфакторной аутентификации ) подвержена другим атакам, таким как те, от которых пострадал скандинавский банк Nordea в конце 2005 года [123] и Citibank в 2006 году [124].
Подобная система, в которой автоматически генерируемый «Идентификационный код», состоящий из цветного слова в цветном поле, отображается каждому пользователю веб-сайта, используется и в других финансовых учреждениях. [125]
Защитные оболочки [126] [127] — это родственная техника, которая включает наложение выбранного пользователем изображения на форму входа в качестве визуального сигнала о том, что форма является легитимной. Однако в отличие от схем изображений на основе веб-сайтов, само изображение передается только пользователю и браузеру, а не пользователю и веб-сайту. Схема также опирается на протокол взаимной аутентификации , что делает ее менее уязвимой для атак, которые затрагивают схемы аутентификации только пользователя.
Еще один метод основан на динамической сетке изображений, которая отличается для каждой попытки входа в систему. Пользователь должен определить изображения, которые соответствуют его предварительно выбранным категориям (например, собаки, автомобили и цветы). Только после того, как он правильно определил изображения, соответствующие его категориям, ему разрешается ввести свой буквенно-цифровой пароль для завершения входа в систему. В отличие от статических изображений, используемых на веб-сайте Bank of America, метод аутентификации на основе динамических изображений создает одноразовый код доступа для входа в систему, требует активного участия пользователя и очень сложен для корректного копирования фишинговым веб-сайтом, поскольку ему нужно будет отобразить другую сетку случайно сгенерированных изображений, которая включает секретные категории пользователя. [128]
Несколько компаний предлагают банкам и другим организациям, которые могут пострадать от фишинговых мошенничеств, круглосуточные услуги по мониторингу, анализу и оказанию помощи в закрытии фишинговых веб-сайтов. [129] Автоматизированное обнаружение фишингового контента все еще ниже приемлемого уровня для прямого действия, при этом анализ на основе контента достигает от 80% до 90% успеха [130], поэтому большинство инструментов включают ручные шаги для подтверждения обнаружения и авторизации ответа. [131] Отдельные лица могут вносить свой вклад, сообщая о фишинге как волонтерским, так и отраслевым группам, [132] таким как cyscon или PhishTank . [133] Фишинговые веб-страницы и электронные письма можно сообщать в Google. [134] [135]
Организации могут реализовать двухфакторную или многофакторную аутентификацию (MFA), которая требует от пользователя использовать как минимум 2 фактора при входе в систему. (Например, пользователь должен предоставить смарт-карту и пароль ). Это снижает некоторые риски, в случае успешной фишинговой атаки украденный пароль сам по себе не может быть повторно использован для дальнейшего взлома защищенной системы. Однако существует несколько методов атаки, которые могут обойти многие типичные системы. [136] Схемы MFA, такие как WebAuthn, решают эту проблему по своей сути.
26 января 2004 года Федеральная торговая комиссия США подала первый иск против подростка из Калифорнии, подозреваемого в фишинге путем создания веб-страницы, имитирующей America Online , и кражи данных кредитных карт. [137] Другие страны последовали этому примеру, отслеживая и арестовывая фишеров. Главный фишинговый авторитет Валдир Пауло де Алмейда был арестован в Бразилии за руководство одной из крупнейших фишинговых преступных группировок , которая за два года украла от 18 до 37 миллионов долларов США . [138] Власти Великобритании заключили в тюрьму двух мужчин в июне 2005 года за их роль в фишинговой афере, [139] в деле, связанном с операцией Секретной службы США «Брандмауэр», которая была нацелена на печально известные «кардерские» веб-сайты. [140] В 2006 году японская полиция арестовала восемь человек за создание поддельных сайтов Yahoo Japan, заработав 100 миллионов иен ( 870 000 долларов США ) [141] , а ФБР задержало банду из шестнадцати человек в США и Европе в ходе операции Cardkeeper. [142]
Сенатор Патрик Лихи представил Закон о борьбе с фишингом 2005 года в Конгресс США 1 марта 2005 года. Этот законопроект был направлен на введение штрафов в размере до 250 000 долларов США и тюремного заключения сроком до пяти лет для преступников, которые использовали поддельные веб-сайты и электронные письма для обмана потребителей. [143] В Великобритании Закон о мошенничестве 2006 года [144] ввел общее преступление мошенничества, наказуемое тюремным заключением сроком до десяти лет, и запретил разработку или хранение фишинговых наборов с целью совершения мошенничества. [145]
Компании также присоединились к усилиям по борьбе с фишингом. 31 марта 2005 года Microsoft подала 117 федеральных исков в Окружной суд США по Западному округу Вашингтона . В исках обвиняются ответчики « Джона Доу » в получении паролей и конфиденциальной информации. В марте 2005 года также было начато партнерство между Microsoft и австралийским правительством по обучению сотрудников правоохранительных органов методам борьбы с различными киберпреступлениями, включая фишинг. [146] Microsoft объявила о запланированных дополнительных 100 исках за пределами США в марте 2006 года, [147] за которыми последовало начало, по состоянию на ноябрь 2006 года, 129 исков, совмещающих уголовные и гражданские иски. [148] AOL усилила свои усилия по борьбе с фишингом [149] в начале 2006 года, подав три иска [150] на общую сумму 18 миллионов долларов США в соответствии с поправками 2005 года к Закону Вирджинии о компьютерных преступлениях [151] [152] и Earthlink присоединилась к ним, помогая идентифицировать шесть человек, впоследствии обвиненных в фишинге в Коннектикуте . [153]
В январе 2007 года Джеффри Бретт Гудин из Калифорнии стал первым обвиняемым, осужденным присяжными в соответствии с положениями Закона CAN-SPAM 2003 года . Он был признан виновным в отправке тысяч электронных писем пользователям AOL , выдавая себя за отдел выставления счетов компании, что побуждало клиентов предоставлять личную и кредитную информацию. Ему грозило 101 год тюрьмы за нарушение CAN-SPAM и десять других обвинений, включая мошенничество с использованием электронных средств связи , несанкционированное использование кредитных карт и неправомерное использование товарного знака AOL, и он был приговорен к 70 месяцам лишения свободы. Гудин находился под стражей с тех пор, как не явился на более раннее судебное заседание, и начал отбывать свой тюремный срок немедленно. [154] [155] [156] [157]
Банки и регуляторы предупреждают, что мошенничество с использованием QR-кодов «quishing» проскальзывает сквозь корпоративную киберзащиту и все чаще обманывает клиентов, заставляя их раскрывать свои финансовые данные.
Преступники поняли, что мы склонны считать такие коды подлинными и сканируют их, не задумываясь.
Предполагается, что мошенники скрыли настоящий код под своим собственным на парковке станции Торнаби.
Например, в последние годы поддельные QR-коды, прикрепляемые мошенниками к паркоматам, перенаправляли водителей на поддельные платежные приложения, где они в конечном итоге невольно подписывались на дорогостоящие ежемесячные подписки.
...но этот тип мошенничества относительно невелик по сравнению с другими типами кибермошенничества.
курсора на ссылки для просмотра их истинного местоположения может оказаться бесполезным советом по безопасности в ближайшем будущем, если фишеры поймут, как действовать, и последуют примеру мошенника, которому недавно удалось обойти эту встроенную функцию безопасности браузера.