Phishing
Phishing (někdy převáděno do češtiny jako rhybaření) je podvodná technika používaná na Internetu k získávání citlivých údajů (hesla, čísla kreditních karet apod.) v elektronické komunikaci. K nalákání důvěřivé veřejnosti komunikace předstírá, že pochází z populárních sociálních sítí, aukčních webů, on-line platebních portálů, úřadů státní správy nebo od IT administrátorů.
Principem phishingu je typicky rozesílání e-mailových zpráv nebo instant messaging, které často vyzývají adresáta k zadání osobních údajů na falešnou stránku, jejíž podoba je takřka identická s tou oficiální. Stránka může například napodobovat přihlašovací okno internetového bankovnictví nebo e-mailové schránky. Uživatel do něj zadá své přihlašovací jméno a heslo. Tím tyto údaje prozradí útočníkům, kteří je mohou zneužít (např. mu z účtu vykrást peníze nebo z jeho e-mailu rozesílat další podvodné e-maily). Obdobně může prozradit jiné citlivé (osobní) údaje, které pak útočníci mohou zneužít (např. vzít si půjčku na jméno oběti).
Phishing je příkladem techniky sociálního inženýrství používané k oklamání uživatelů za využití slabých míst současných bezpečnostních technologií (jejich implementací). Ochrana proti rostoucímu množství nahlášených případů phishingu zahrnuje legislativu, trénování uživatelů, veřejnou osvětu a technická opatření.
Název
Anglické slovo fishing znamená rybaření, rybolov, což v tomto kontextu označuje rozesílání „návnady“ (e-mailových zpráv) v naději, že „se chytí“ některé oběti. Náhrada prvního f za homofonní ph má několik vysvětlení; nejpravděpodobnější je přirovnání k tzv. phreakingu, resp. obecně je záměna f za ph běžná v tzv. leetspeaku, slangu používaném v jisté internetové subkultuře.[1] Objevuje se i teorie[2] s významem zkratky password harvesting fishing, tzn. zhruba „rybolov sklízením hesel“, ta je však chybná.
V češtině se slovo používá velmi často neupravené, případně se používá „počeštěná“ varianta rhybaření, případně rhybhaření, rhybolov, rhybholov. Inspirací pro českou variantu se stal Kantůrkův překlad jazyka zeměplošských Igorů, který češtinu komolí podobným způsobem jako originál angličtinu.
Historie
Technika phishingu byla detailně popsána v roce 1987 v práci a prezentaci předané International HP Users Group, Interex.[3] Poprvé byl termín phishing použit v usenetové skupině alt.online-service.america-online dne 2. ledna 1996,[4] ačkoli se označení mohlo objevit již dříve v tištěném magazínu 2600: The Hacker Quarterly.[5]
Začátky phishingu na AOL
Phishing na AOL byl úzce spjat s warez komunitou, jež si vyměňovala pirátský software, a scénou crackerů, která padělala kreditní karty a páchala jiné internetové zločiny.
Phisher (původce phishingu) se mohl vydávat za pracovníka AOL a odeslat zprávu potenciální oběti, ve které žádal odhalení jejího tajného hesla. Ve zprávě byly většinou žádosti jako „ověřit účet“, nebo „potvrdit informace“, což by vedlo samozřejmě k prozrazení choulostivých informací oběti. Jestliže se útočník dozvěděl heslo, mohl disponovat účtem oběti, nebo rozesílat nevyžádanou poštu (spam). Oboje, jak phishing, tak warez na AOL, obecně vyžadovaly programy napsané uživateli, jako například AOHell. Phishing začal být tak častý, že byl do všech zpráv přidán řádek: „Žádný pracovník AOL se vás nemůže nikdy ptát na heslo, ani údaje ohledně vašeho účtu.“
Po roce 1997 AOL zpřísnila svůj pohled na phishing a warez, tudíž všechen pirátský software odstranila ze svých serverů. Současně vyvinula AOL systém pro okamžitou deaktivaci účtů spojených s phishingem, aniž by oběti mohly nějakým způsobem odpovědět. Zakázaní warez scény vedlo k tomu, že většina phisherů opustila služby AOL.
Přechod z AOL na finanční instituce
Zmocnění se informací z AOL účtu mohlo vést útočníky ke zneužití informací z kreditních karet. Tím si útočníci uvědomili, že jsou proveditelné i útoky na platební systémy.
První známka o přímém pokusu napadnout platební systém je z června 2001, kdy se cílem stal e-gold. Tento pokus byl následován „post-9/11 ID kontrolou“ krátce po útocích 11. září 2001 na Světové obchodní centrum.[6] Oba pokusy prakticky ztroskotaly, ale lze na ně pohlížet jako na prvotní pokusy vůči následným plodnějším útokům na přední banky.
K roku 2004 byl již phishing považován za plně rozvinutou ekonomiku zločinu, která poskytovala za hotovost součásti, které byly shromažďovány na konečný útok. Odhaduje se, že mezi květnem 2004 a květnem 2005 se vinou phishingu ztratilo 929 milionů USD. Z té doby je známá spousta různých technik.[7][8][9]
Příklady útoků
Útočníci se převážně zaměřují na zákazníky bank a on-line platebních služeb. E-maily zdánlivě od IRS (finanční úřad USA) sbíraly citlivá data amerických daňových poplatníků.[10] Zatímco první takové pokusy byly rozesílány náhodně s očekáváním, že některé přijdou zákazníkům dané banky nebo služby, novodobý výzkum ukazuje, že útočníci v principu dokáží rozpoznat, jaké banky potenciální oběti používají a příslušně falešné e-maily přizpůsobují.[11] Takto cílenému phishingu se říká spear phishing (podle spear fishing, tedy rybaření harpunou).[12] Jsou známé případy útoků směřovaných specificky na nejvyšší management a jiné vysoké cíle z hlediska byznysu. Pro takový druh útoků se ustálil pojem whaling (tedy lov velryb).[13]
Jedním z hlavních cílů současného phishingu jsou služby sociálních sítí, neboť osobní detaily z těchto sítí mohou být použity k odcizení identity;[14] koncem roku 2006 počítačový červ převzal kontrolu nad službou MySpace a pozměnil odkazy, aby přesměrovaly návštěvníky na adresu navrženou k odcizení přihlašovacích údajů.[15] Experimentální phishing na sociální sítě ukazuje úspěšnost přesahující 70 %.[16]
Phishing se zaměřil i na stránky služby pro sdílení souborů RapidShare, aby tak získával prémiové účty, které odstraňují rychlostní omezení během stahování, automatické odstraňování nahraných souborů, čekání na spuštění stahování a časové prodlevy mezi stahováními.[17]
Následující e-mail obdrželo velké množství českých uživatelů na začátku října 2006:[18]
Dobry den vazeni klienti! Leto roku 2006 bylo pro Banku nejzavaznejsim z hlediska poctu nelegalnich operaci. Cim dal vice maji podvodnici zajem o duvernou informaci nasich zakazniku. Velke mnozstvi lidi se na nas obraci s zadosti zamezit vzniku nebezpeci ztraty peneznich prostredku z uctu. S ohledem na soucasny stav vyhlasuje Banka nasledujici mesic za mesic boje s frodem. Do 1. listopadu musi vsechny nasi klienti aktivovat novy system bezpecnosti vlastnich uctu. Provedli jsme velkou praci pro zlepseni bezpecnosti. System byl zkontrolovan uznavanymi odborniky v oboru elektronickych plateb, a vsechny nezavisli experti potvrdili ucinnost systemu proti frodu. Z duvodu nebezpeci mozneho zneuziti techto udaju podvodniky nejsou tyto data zverejnena v otevrenych zdrojich. Vy jste byl(a) zvolen(a) jako jeden z ucastniku finalniho stadia testovani systemu. V soucasne dobe Vam navrhujeme vyuzit odkaz podvržený odkaz a standardnim zpusobem prihlaseni do Internet bankingu aktivovat novy bezpecnostni system. V aktualnim stadiu provozu jsou mozne nektere nesrovnalosti. Pripoustime jejich existenci, a proto prosim nezasilejte dodatecne popisy vznikajicich potizi, prace na jejich odstraneni jiz probihaji. Musime Vas informovat o bezpodminecnem pouziti noveho systemu od listopadu, v opacnem pripade budou Vase ucty zablokovany do okamziku uplne identifikace Vasi osoby. Proto doporucujeme v nejkratsi mozne dobe prejit na novy bezpecnostni standard. S pozdravem, Oddeleni Banky pro ochranu pred frodem.
Techniky phishingu
Hacking sdíleného virtuálního serveru
Každoročně vznikají nové a nové taktiky útoků, které drasticky ovlivňují statistiky. V roce 2011 dominuje taktika, která je ve skutečnosti stará, avšak do té doby spíše povrchní. V tomto případě útočník vnikne do webového serveru, který hostuje mnoho domén - tzv. sdílený virtuální server. Jakmile je útočník uvnitř takového serveru, namísto vložení své „návnady“ (stránka s falešným obsahem) napřed na server nahraje svůj obsah. Následně změní konfiguraci serveru tak, aby všechny obsažené weby začaly jeho obsah zobrazovat. To je standardní schopnost webových serverů, která umožňuje administrátorům nastavovat sdílené informační stránky, administrační zařízení a chybové stránky („stránka nenalezena“ a další).
Takže místo nabourávání se do jedné stránky po druhé, útočník může infikovat stovky až tisíce webů naráz, podle velikosti daného serveru. V první polovině roku 2011 bylo identifikováno přes 40.000 unikátních útoků používajících tuto taktiku. Každý z nich pomocí jiné domény. To je 37 % všech útoků celosvětově. Hromadných útoků bylo identifikováno celkem 122, každý zahrnující minimálně 50 domén. Útoky zahrnovaly jen 25 institucí; z toho nejčastější byly PayPal (přes 23.000 domén/útoků) a Wells Fargo (přes 6.500 domén/útoků).[19]
Využití poddomén
Většina metod phishingu využívá některou z forem technického oklamání navrženého tak, aby odkazy v e-mailech (a příslušné falešné stránky) vypadaly, že náleží falšované organizaci. Následující odkaz http://www.konkretnibanka.novasluzba.cz/ vypadá, jako by vedl na sekci nová služba na webu konkrétní banky; ve skutečnosti tento odkaz míří na sekci „konkrétní banka“ (tedy phishing) stránky „nová služba“.
Překlepy a zkreslení odkazů
Běžným trikem bývají překlepy v odkazech. Dalším běžným trikem je, aby text odkazu vypadal jinak, než skutečný odkaz. Následující odkaz http://cs.wikipedia.org/wiki/Radost vypadá, že vede na stránku „Radost“, avšak ve skutečnosti vede na stránku „Smutek“. V levém dolním rohu většiny prohlížečů se zobrazuje skutečný cíl daného odkazu, na který právě ukazuje myš.[20]
Využití slabin IDN
Další problém s odkazy vznikl v souvislosti se zpracováním internacionalizovaných doménových jmen (IDN). Ve webových prohlížečích je možné docílit, aby vizuálně identické adresy vedly na různé, potenciálně nebezpečné, weby. Některá písmenka vypadají totiž skoro (nebo úplně) stejně a rozdíl adres nemusí být patrný. Jindy se může jednat o adresu s diakritikou - přičemž v originále diakritiku postrádá.
Navzdory publicitě této vady známé jako IDN spoofing[21] či homografový útok,[22] zneužívají útočníci tohoto rizika použitím otevřeného URL přesměrování na stránkách důvěryhodné organizace k zamaskování škodlivého obsahu s důvěryhodnou doménou.[23][24][25] Ani digitální certifikát neřeší tento problém, protože pro útočníka je možné si pro tyto účely pořídit platný certifikát a následně měnit obsah, aby důvěryhodnou stránku zfalšoval.
Zkracování domén
Zkracování domén je taženo popularitou Twitteru a dalších sociálních sítí a mobilních telefonů a dalších zařízení. Uživatelé těchto služeb mohou získat velmi krátký odkaz pro vložení do svých (znakově omezených) zpráv, které automaticky přesměrují návštěvníka na o mnoho delší „skrytý“ odkaz.
Někteří poskytovatelé zkracování agresivně zbrojí proti škodlivému přesměrování a vydávají pravidla, kterými komplikují případné zneužití jejich systému. Řada poskytovatelů zkracování domén však je na černé listině.
Unikání filtrům
Útočníci začali používat obrázky místo textů, aby tak zkomplikovali anti-phishingovým filtrům detekovat běžně používané texty nebezpečných e-mailů.[26]
Padělání stránek
Navštívením podvržené stránky klamání nekončí. Některé podvodné stránky používají JavaScript pro změnu adresního řádku.[27] Toho je docíleno buďto umístěním obrázku legitimní adresy přes adresní řádek nebo zavřením původního adresního řádku a otevření nového s legitimní adresou.[28]
Útočník může dokonce využít chyby ve skriptu důvěryhodné stránky proti oběti.[29] Tento typ útoku (známý jako cross-site scripting) je částečně problematický, protože nabádají uživatele k přihlášení na stránce banky nebo služby, kde se všechno od webové adresy po bezpečnostní certifikát jeví korektně. Ve skutečnosti je však odkaz na stránku vytvořený tak, aby provedl útok. Bez specializovaných znalostí je velmi obtížné útok vystopovat. Právě taková vada byla použita v roce 2006 proti společnosti PayPal.[30]
V roce 2007 byl odhalen univerzální balíček Man in the middle (MITM) Phishing Kit, poskytující jednoduše použitelné rozhraní, díky kterému útočník přesvědčivě zreplikuje webové stránky a zaznamená přihlašovací údaje vložené na falešné stránce.[31]
Aby se vyhnuli technikám skenujícím weby pro odhalování phishingu, začali útočníci vytvářet falešné stránky v technologii Flash. Ty vypadají jako skutečné stránky, ale skrývají text v multimediálním objektu.[32]
Telefonický phishing
Ne všechny metody phishingu vyžadují falešné stránky. Zprávy, které tvrdí, že jsou z banky nabádaly uživatele, aby zavolali na určité číslo s odvoláním na problémy s jejich bankovními účty.[33] Jakmile klient zavolal na uvedené číslo (vlastněné útočníkem a poskytované službou Voice over IP), byl vyzván k vložení čísla účtu a PINu.
Takzvaný Vishing (z anglického voice phishing) jsou podvodné praktiky telefonování nebo zanechání hlasových zpráv, které předstírají, že pocházejí od renomovaných společností, s cílem přimět jednotlivce k prozrazení osobních údajů, jako jsou bankovní údaje a čísla kreditních karet.[34] V roce 2021 zaznamenala Česká republika vlnu vishingu cílícího na zákazníky lokálních bank. Útočníci se vydávali za zaměstnance banky nebo policii.[35][36]
Další techniky phishingu
- Úspěšně se používá přesměrování klienta na legitimní stránku banky s následným otevřením vyskakovacího okna požadujícího přihlašovací údaje. Okno vyskočí na povrchu stránky s bankou, takže vzniká dojem, že citlivé údaje požaduje banka.[37]
- Technika tabnabbing zneužívá záložek, které oběť používá a tiše přesměruje uživatele na falešnou stránku.
- Technika Evil twin (wireless networks) se těžko detekuje. Útočník vytvoří falešnou bezdrátovou síť, která vypadá stejně jako legitimní veřejná síť, kterou je možné najít na veřejných místech jako jsou letiště, hotely nebo kavárny. Kdykoli se někdo připojí do této sítě, podvodníci se pokusí zachytit jejich důvěrné informace.
Příklad phishingové stránky
Na stránkách připomínajících stránky kulinářské společnosti se nacházel dotazník, návštěvník stránky byl k vyplnění dotazníku motivován šancí získat Iphone z nejnovější řady.[38] Na podvodný formulář přesměrovávaly české stránky používající redakční systém WordPress.[38] Stránky používaly protokol https, a aby přesměrování nebylo nápadné, docházelo k němu pouze občas.[38] URL stránky s dotazníkem, na kterou se přesměrovávalo, byla platná pouze hodinu.[38] Dotazník obsahoval čtyři otázky a byl personalizovaný městem uživatele a prohlížečem, který uživatel používal.[38] Po odeslání dotazníku byl uživatel přesměrován na stránku, která oznamovala, že dochází k ověřování odpovědí, IP adresy uživatele a ověřování, zda jsou dostupné ještě nějaké dárky.[38]
Na uživatele vždy zbyl jeden iphone a pro jeho získání bylo nutné zaplatit pouze 25 Kč místo původní ceny 40 460 Kč.[38] Pod oznámením o výhře bylo několik komentářů imitující komentáře z Facebooku, které se uživatele snažily přesvědčit o důvěryhodnosti celé akce.[38] Po určitém časovém intervalu se objevovaly nové komentáře.[38]
Po stisku velkého zeleného tlačítka Klikněte zde byl uživatel přesměrován na stránku, která se z uživatele snažila vylákat osobní údaje.[38] Stránka používala https, certifikát ke stránce byl vydaný certifikační autoritou Comodo.[38] Záznam o vydaném certifikátu se nacházel v Certificate Transparency.[38] Stránka obsahovala kontakt a možnost refundace peněz a byla v pořádku indexována vyhledávačem Google.[38]
Po vyplnění osobních údajů byl uživatel přesměrován na stránku imitující platební bránu.[38] Stránka obsahovala text Bezpečná platba a loga Verified by VISA a MasterCard SecureCode.[38] Po zadání jakéhokoliv čísla platební karty vygenerované pomocí PayPal Credit Card Generatoru byl výsledek vždy, že „Platba byla zamítnuta. Zkuste to prosím znovu nebo použijte jinou kartu“.[38] Hlavní stránka domény, na které byla falešná platební brána, byla prázdná, obsahovala pouze kód pro Google Analytics.[38]
Stránka s formulářem pro zadání osobních údajů běžela na několika doménách, které byly zabezpečeny důvěryhodným certifikátem.[38] Na hlavních stránkách na jednotlivých doménách byl různorodý obsah, např. stránky nabízející psí žrádlo, populární knihy, potřeby pro miminka, stránky přepravní společnosti, stránky pro nákup kadeřnických nástrojů a jiné.[38] Na všech doménách ale bylo uvedené stejné VAT.[38] Na některých doménách byly uvedeny i kontaktní údaje, ale tak, aby se uživateli zobrazily ve správné podobě, ale vyhledávač je zaindexoval tak, jak požadoval autor stránek.[38] Kontaktní údaje proto byly vloženy do stránky buď jako obrázek nebo jako zrcadlově obrácený text pro zobrazení transformovaný pomocí CSS vlastností direction: rtl
a unicode-bidi: bidi-override
.[38] Na všech doménách byly v patičce uvedena loga Visa a MasterCard.[38]
Boj s phishingem
Existuje několik úrovní boje s phishingem: na uživatelské úrovni zejména osvěta a dodržování bezpečnostních pravidel, na softwarové úrovni je možné používat specializované nástroje, které phishingové útoky umožňují detekovat a upozorňovat na ně. Také existují organizace, které se bojem s phishingem zabývají cíleně a stránky využívané k těmto útokům odstraňují. Některé státy už dokonce vytvořily specializovanou legislativu zaměřenou na phishing.[39] Jeden z největších poskytovatelů antivirových řešení ESET z dlouhodobé zkušenosti a testování doporučuje běžným uživatelům tři jednoduché kroky k předcházení phishingových útokům.
- Snažte se co nejméně poskytovat citlivé údaje.
- Pečlivě čtěte emailové adresy i domény. Podvodné stránky mají často jen drobné odchylky.
- Udržujte ve svých zařízeních kvalitní a aktualizovaný antivirový program, který dokáže odhalit rafinované techniky phishingu.
Odkazy
Reference
- Anti-Phishing Working Group: Origins of the Word „Phishing“ Archivováno 4. 10. 2006 na Wayback Machine. Navštíveno 13. 10. 2006
- Know your Enemy: Phishing Archivováno 20. 3. 2018 na Wayback Machine, The Honeynet Project & Research Alliance. Navštíveno 13. 10. 2006
- Felix, Jerry and Hauck, Chris. System Security: A Hacker's Perspective. 1987 Interex Proceedings. September 1987, roč. 1, s. 6.
- "phish, v." OED Online, March 2006, Oxford University Press. [online]. [cit. 2006-08-09]. (Oxford English Dictionary Online). Dostupné online.
- Ollmann, Gunter. The Phishing Guide: Understanding and Preventing Phishing Attacks [online]. [cit. 2006-07-10]. (Technical Info). Dostupné online.
- GP4.3 - Growth and Fraud — Case #3 - Phishing [online]. Financial Cryptography, December 30, 2005. Dostupné online.
- IT Management [online]. December 23, 2004 [cit. 2011-11-11]. Dostupné v archivu pořízeném dne 2011-01-31.
- Abad, Christopher. First Monday [online]. September 2005 [cit. 2011-11-11]. Dostupné v archivu pořízeném dne 2011-11-21.
- A Brief History of Phishing [online]. Phishing & Scams, May 24, 2011. Dostupné online.
- Internal Revenue Service [online]. [cit. 2006-07-05]. Dostupné v archivu pořízeném dne 2011-11-18.
- Phishing for Clues. www.browser-recon.info. Indiana University Bloomington, September 15, 2005. Dostupné v archivu pořízeném z originálu. (anglicky)
- What is spear phishing? [online]. Microsoft Security At Home [cit. 2011-06-11]. Dostupné online.
- GOODIN, Dan. Fake subpoenas harpoon 2,100 corporate fat cats. www.theregister.co.uk. The Register, April 17, 2008. Dostupné v archivu pořízeném z originálu dne 2011-01-31. (anglicky)
- KIRK, Jeremy. Phishing Scam Takes Aim at MySpace.com. www.pcworld.com. IDG Network, June 2, 2006. Dostupné v archivu pořízeném dne 2006-06-16. (anglicky)
- Websense Security Labs [online]. [cit. 2006-12-05]. Dostupné v archivu pořízeném dne 2006-12-05.
- Tom Jagatic and Nathan Johnson and Markus Jakobsson and Filippo Menczer. To appear in the CACM (October 2007) [PDF]. Social Phishing [cit. 2006-06-03]. Dostupné online.
- 1-Click Hosting at RapidTec — Warning of Phishing! [online]. [cit. 2008-12-21]. Dostupné v archivu pořízeném dne 2008-04-30.
- iDnes: Falešný e-mail z České spořitelny láká čísla účtů. Nikdo nebyl poškozen. Navštíveno 13. 10. 2006
- Rod Rasmussen, Greg Aaron. Global Phishing Survey: Trends and Domain Name Use in 1H2011 [online]. An APWG Industry Advisory [cit. 2011-11-07]. [www.antiphishing.org/reports/APWG_GlobalPhishingSurvey_1H2011.pdf Dostupné online].
- HSBCUSA.com. www.hsbcusa.com [online]. [cit. 2011-11-11]. Dostupné v archivu pořízeném dne 2012-10-25.
- Johanson, Eric. The Shmoo Group [online]. [cit. 2005-08-11]. Dostupné v archivu pořízeném dne 2005-08-23.
- Evgeniy Gabrilovich and Alex Gontmakher. The Homograph Attack. Communications of the ACM. 2002, s. 128. Dostupné v archivu pořízeném dne 2006-01-30. (anglicky) Archivovaná kopie. www.cs.technion.ac.il [online]. [cit. 2011-11-11]. Dostupné v archivu pořízeném z originálu dne 2006-01-30.
- LEYDEN, John. Barclays scripting SNAFU exploited by phishers. www.theregister.co.uk. The Register, August 15, 2006. Dostupné online. (anglicky)
- Levine, Jason. Goin' phishing with eBay [online]. Q Daily News [cit. 2006-12-14]. Dostupné online.
- LEYDEN, John. Cybercrooks lurk in shadows of big-name websites. www.theregister.co.uk. The Register, December 12, 2007. Dostupné online. (anglicky)
- Mutton, Paul. Netcraft [online]. [cit. 2022-07-10]. Dostupné v archivu pořízeném dne 2011-09-27.
- Mutton, Paul. FraudWatch International [online]. [cit. 2006-12-14]. Dostupné v archivu pořízeném dne 2011-01-31.
- Phishing con hijacks browser bar. news.bbc.co.uk. BBC News, April 8, 2004. Dostupné online. (anglicky)
- Krebs, Brian. Security Fix [online]. [cit. 2006-06-28]. Dostupné v archivu pořízeném dne 2011-11-26.
- Mutton, Paul. Netcraft [online]. [cit. 2006-06-19]. Dostupné v archivu pořízeném dne 2011-11-05.
- HOFFMAN, Patrick. RSA Catches Financial Phishing Kit. www.eweek.com. eWeek, January 10, 2007. Dostupné v archivu pořízeném dne 2019-07-01. (anglicky)
- Miller, Rich. Netcraft [online]. [cit. 2007-12-19]. Dostupné v archivu pořízeném dne 2011-09-27.
- GONSALVES, Antone. Phishers Snare Victims With VoIP. www.techweb.com. Techweb, April 25, 2006. Dostupné v archivu pořízeném z originálu. (anglicky)
- Identity thieves take advantage of VoIP. www.silicon.com. Silicon.com, March 21, 2005. Dostupné v archivu pořízeném z originálu. (anglicky)
- VOŘÍŠEK, Lukáš. Pozor na vishing: Jak poznat podvodné hovory z čísel bank?. insmart.cz [online]. [cit. 2021-06-15]. Dostupné online.
- ČSOB. Vishing – pozor na podvodné telefonáty [online]. 4. 11. 2021 [cit. 2021-12-12]. Dostupné online.
- Internet Banking Targeted Phishing Attack [online]. Metropolitan Police Service, 2005-06-03 [cit. 2009-03-22]. Dostupné v archivu pořízeném dne 2012-01-19.
- ŠEBELA, Martin. Kam vás dovede dotazník z podvodné stránky?. root.cz [online]. 11. 2. 2019. Dostupné online. ISSN 1212-8309.
- InformationWeek: Phishers Would Face 5 Years Under New Bill. Navštíveno 13. 10. 2006
Související články
Externí odkazy
- Obrázky, zvuky či videa k tématu Phishing na Wikimedia Commons
- Slovníkové heslo phishing ve Wikislovníku
- Anti-Phishing Working Group (anglicky)
- PhishTank, databáze odhalených pokusů o phishing (anglicky)
- Phishing na serveru HOAX.cz
- Daniel Dočekal: Jak se dělá phishing, Lupa.cz
- Kamil Kopecký: Prevíti na síti #01 – Phishing (video na YouTube)