钓鱼式攻击是指企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。这些通信都声称(自己)来自
社交网站拍卖网站\u7f51络银行、电子支付网站\u6216网络管理者,以此来诱骗受害人的轻信。网钓通常是通过e-mail或者即时通讯进行。它常常导引用户到URL与界面外观与真正网站几无二致的假冒网站输入个人数据。就算使用强式加密的
SSL服务器认证,要侦测网站是否仿冒实际上仍很困难。
历史与现状
网钓技术早在在1987年,以论文与简报的方式描述交付给 Interex 系统下的国际惠普用户组。第一次提到“网钓”这个术语是在1996年1月2日于 alt.online-service.America-online Usenet 新闻组,虽然该术语可能在黑客杂志2600书面版本上更早出现。
早期网钓
美国在线(AOL)的网钓与交换盗版软件的 warez 社群密切相关。自从AOL于1995年底采取手段防止利用算法产生的伪造信用卡号来开立账号后,AOL破解者便诉诸网钓以取得合法账号。
网钓者可能乔装成AOL的工作人员,并对可能的受害者发送即时通讯,询问此人揭露其密码。为 了引诱受害者让出其个人敏感数据,通信内容
不可避免的有类似“确认您的账号”(verify your account)或者“核对您的帐单地址”(confirm billing information)。一旦发现受害人的密码,攻击者可以获取并利用受害人的账户进行
诈欺之用或发送垃圾邮件。网钓和 warez 两者在AOL一般需要自行开发应用程序,像AOHell即 是一例。由于在AOL上网钓变得如此普遍,该公司在其所有即时通讯上加了一行声明:“不会有任何AOL员工会询问您的密码或者帐单信息。(No one working at AOL will ask for your password or billing information)”。
1997年年后,AOL 注意到网钓与 Warez 并更加紧缩其政策施行,以强迫盗版软件与AOL服务器绝缘。AOL另一方面开发一种可迅速停用与网钓挂勾账号的系统,这常常在受害人可回应之前就达成了。 在AOL的warez后台关闭导致大部分网钓者离开该服务,许多网钓者 — 通常是年轻十几岁的青少年 — 长大后就戒除了这种坏习惯。
AOL转型
捕获的AOL账户信息可能导致网钓攻击者滥用信用卡信息,而且这些黑客认识到,攻击的在线支付系统是可行的。第一次已知直接尝试对付支付系统的攻击是在2001年6月,影响系统为E-gold,该事件发生后紧跟在九一一袭击事件之后不久的“
后911身分检查”。 当时的这两个攻击都被视为失败之作,不过可将它们看作是对付油水更多
主流银行的早期实验。到了2004年,网钓被认为是经济犯罪完全工业化的一部分:专业化在全球市场出现,它提供了找钱的基本组件,而这组件被拼装成最后完美的攻击。
网钓攻击
网钓者目标是针对银行和在线支付服务的客户。理应来自于美国国内税收服务(Internal Revenue service)电子邮件,已被用来收集来自美国纳税人的敏感数据。虽然第一次这样的例子被不分青
皂白的寄送,其目的是期望某些收到的客户会泄漏其银行或者服务数据,而最近的研究表明网钓攻击可能会基本上确定潜在受害者会使用哪些银行,并根据结果递送假冒电子邮件。有针对性的网钓版本已被称为
鱼叉网钓(spear phishing)。最近几个网钓攻击已经具体指向高层管理人员,以及其他企业大户,而术语“鲸钓”(whaling)一辞被创造出来描述这类型的攻击。
社交网站是网钓攻击的目标,因为在这些网站的个人数据明细可以用于身份盗窃;2006年年底一个计算机蠕虫接管MySpace上的网页,并修改链接以导引该网站的网民到设计好窃取注册表信息的网站。实验表明,针对社交网站的网钓成功率超过70%。
几乎有一半的网钓窃贼于2006年被确认是通过位于
圣彼得堡的俄罗斯商业网络集团所操控。
术语
点击通过综合症
然而,
浏览器对设置错误站点的警告继续,它并未被降低等级。如果证书本身有错(像域名匹配错误、过期等等),则浏览器一般都会弹出窗口警告用户。就是因为设置错误太过寻常,用户学会绕过警告。用户习惯同样的忽略所有警告,导致点击通过综合症。例如, Firefox 3 有个点击4次以加入例外网站的程序,但是研究显示老练的用户会忽略有
中间人攻击(Man-In-The-Middle,简称MITM) 的真正情况。即使在今天,因为绝大多数的警告是错误设置而非真正的中间人攻击,要避免点击通过综合症是相当困难。
缺乏兴趣
另一个潜在因素是缺乏
虚拟主机的支持。具体起因是缺乏对在传输层安全(Transport Layer Security,简称/下称TLS)网络服务器之服务器名指示(Server Name Indication,简称/下称SNI)的支持,以及获取证书费用和不便。结果是证书使用是太过罕见以至于除了特殊情况外它什么事都不能做。这导因对TLS认证普遍知识与资源缺乏,反过来意味着由浏览器供营商升级他们安全性用户界面的过程将是又慢又死气沉沉。
横向联系
浏览器的安全模型包括许多参与者如:用户、浏览器供营商、开发商、
证书管理机构、审计员、网络服务器供营商、电子商务站 点、立法者(即 FDIC)和安全标准委员会。介于不同制定安全模型小组间缺乏往来沟通。也就是说,虽然对认证的理解在IETF委员会协议水平是很够深的,这个信息并不表 示传达得到用户界面小组。网络服务器供应商并不会优先修正服务器名指示(TLS/SNI):它们不把这个问题当成保全修正,反而视其为新功能而推迟。实际上,所有的参与者碰到网钓出事时皆诿过给其他参与者,因此自我本身不会被
排上优先修正行列。
这事务随着一个包含浏览器供应商、审计员、以及
证书管理机构的团体: CAB 论坛推出有了一点改善。但是该团体并不是以开放的态度开始,因此导致其结果受到主要大户商业利益的影响,而且缺乏对所有参与者平等对待。即使在今天, CAB 论坛并不开放,而且它不为小型
证书管理机构、终端用户、电子商务站主等等弱势族群喉舌。
标准高压封锁
供营商对标准负责,导致当谈到安全时就是谈论其外包的结果。虽然有许多安全性
用户界面的改进,当中有有许多好的实验,因为他们不是标准,或者与标准间相抵触而未被采用。威胁模型可能在一个月内自我更新;安全标准调整需要大约10年。
令人敬畏的CA模型
浏览器供营商使用的 CA 控制机制本质上并没有更新;而威胁模型却常常翻修。对 CA 品质控管过程不足以对保护用户量身订做、以及针对实际与当前的威胁做出因应。在更新途中审计过程是迫切需要的。最近 EV 指南较详细地提供了当前模型,并且建立了一个好基准,但是并没有推动任何本质上急需进行的改变。
网钓技术
链接操控
大多数的网钓方法使用某种形式的技术欺骗,旨在使一个位于
一封电子邮件中的链接(和其连到的欺骗性网站)似乎属于真正合法的组织。拼写错误的网址或 使用子
网域是网钓所使用的常见伎俩。在下面的网址例子里,http://www.您的银行.范例.com/,网址似乎将带您到“您的银行”网站的“示例” 子
网域;实际上这个网址指向了“示例”网站的“您的银行”(即网钓)子网域。另一种常见的伎俩是使
锚文本链接似乎是合法的,实际上链接导引到网钓攻击站点。
另一种老方法是使用含有 '@' 符号的欺骗链接。原本这是用来作为一种包括用户名和密码(与标准对比)的自动登入方式。例如,可能欺骗偶然造访的网民,让他认为这将打开上的一个网页,而它实际上导引浏览器指向上的某页,以用户名该页面会正常开启,不管给定的用户名为何。这种网址在 Internet Explorer 中被禁用,而 Mozilla Firefox 与 Opera 会显示警告消息,并让用户选择继续到该站浏览或取消。
还有一个已发现的问题在网页浏览器如何处理
国际化域名 (International Domain Names,下称IDN),这可能使外观相同的网址,连到不同的、可能是恶意的网站上。尽管人尽皆知该称之为的
IDN欺骗 或者同形异义字攻击的漏洞,网钓者冒着类似的风险利用信誉良好网站上的
网域名称
转址服务来掩饰其恶意网址。
过滤器规避
网钓者使用图像代替文本,使反网钓过滤器更难侦测网钓电子邮件中常用的文本。
网站伪造
一旦受害者访问网钓网站,欺骗并没有到此退出。一些网钓诈骗使用 JavaScript 命令以改变地址栏。这由放一个合法网址的地址栏图片以盖住地址栏,或者关闭原来的地址栏并重开一个新的合法的URL达成。
攻击者甚至可以利用在信誉卓著网站自己的脚本漏洞对付受害者。这一类型攻击(也称为跨网站脚本)的问题尤其特别严重,因为它们导引用户直接在他们自己的银行或服务的网页登入,在这里从网络地址到
安全证书的一切似乎是正确的。而实际上,链接到该网站是经过摆弄来进行攻击,但它没有专业知识要发现是非常困难的。这样的漏洞于2006年曾被用来对付PayPal。
还有一种由RSA信息安全公司发现的万用中间人网钓包,它提供了一个简单易用的界面让网钓者以令人信服地
重制网站,并捕捉用户进入假网站的注册表细节。
为了避免被反网钓技术扫描到网钓有关的文本,网钓者已经开始利用 Flash 构建网站。 这些看起来很像真正的网站,但把文本隐藏在多媒体对象中。
电话网钓
并非所有的网钓攻击都需要个假网站。声称是从银行打来的消息告诉用户拨打某支电话号码以解决其银行账户的问题。一旦电话号码(网钓者拥有这支电话,并由IP电话服务提供)被拨通,该系统便提示用户键入他们的账号和密码。话钓 (Vishing,得名自英文 Voice Phishing,亦即语音网钓)有时使用假冒来电ID显示,使外观类似于来自一个值得信赖的组织。
热点网钓
网络黑客在公共场所设置一个假Wi-Fi热点,引人来连接上网,一旦用户用个人电脑或手机,登录了黑客设置的假Wi-Fi热点,那么个人数据和所有隐私,都会因此落入黑客手中。你在网络上的一举一动,完全逃不出黑客的眼睛,更恶劣的黑客,还会在别人的电脑里安装间谍软件,如影随形。
隐蔽漏洞
攻击者创建一个使用真实站点地址的弹出式登录窗口——而不是使用一个假的域名——以引诱上网者输入他们的个人信息。
黑客可利用该漏洞给钓鱼网站“变装”,用知名大型网站链接引诱用户登录钓鱼网站,壹旦用户访问钓鱼网站并成功登陆授权,黑客即可读取其在网站上存储的私密信息。
网钓例子
PayPal
在 PayPal 网钓示例里(见右),电子邮件里的拼写错误以及非 PayPal 网域链接的存在(显示在状态栏红 色框里)都是线索,指出这是一个网钓的企图。另一种网钓法是无个人问候的赠品,尽管显示的个人数据并不保证其正当性。一个合法的PayPal通信总是以用 户的真实姓名问候,而非一个普通的问候如: “敬启者”、“亲爱的用户”(Dear Accountholder)。其他的信息欺诈的迹象像是简单不过的字拼写错误、文法拙劣、以及威胁收信人若不遵照信息指示办理的话会遭账号停用的处分。
请注意,许多网络网钓电子邮件会如同来自PayPal的一封真正的电子邮件般包括一则永不将您的密码泄漏以防网钓攻击的重大警告。这些警告用户网钓 攻击的可能性,并提供链接到说明如何避免或辨识此种攻击的网站的种种,是使得该网钓电子邮件如此虚伪以便欺骗。在这个例子里,网钓电子邮件警告用 户,PayPal绝对不会要求您提供敏感信息。该信件言而有信不问您敏感信息,反而邀请用户点击一个链接,以“确认”其账户;这一步将导引这些受害人进一 步造访网钓网站,其设计看起来与PayPal网站很像。而在那里会问这些受害人的个人机密信息。
RapidShare
在RapidShare的网页主机,网钓是相当寻常以获得高级账号手段,从而移除下载速度限制、上传自动删除、下载前等候、以及下载间的时间间隔。
网钓者使用在warez站张贴到文件的链接以获得RapidShare高级账户。然而,利用链接别名工具如TinyURL, 他们可以伪装成实际上真正网页寄存在别的地方的网址,而这网页与RapidShare的“免费用户或高级用户 (free user or premium user)”页看来很像。如果受害人选择免费用户,网钓者只是将它们传递给真正的RapidShare网站。但是,如果他们选择的高级账户,那么网钓网站 的将在他们进行下载之前登记其登入信息。到此阶段,网钓者已从受害者偷走了高级账户信息。
钓来的RapidShare账户通常拿来转卖,售价比RapidShare的高级账户便宜。
鉴别一个RapidShare网钓网页的最简单方式是使用 Mozilla Firefox,右击别名页,并选择“This Frame” > “Show only this frame”。这将揭露真正的网页,您可以看到网址不是.
损失
网钓所造成的损害范围从拒绝访问电子邮件到巨大财务损失都有。这种形式的身份盗窃正在普及,因为给信任的人方便往往泄露个人信息给网钓者,这些信息包括信用卡号码、
社会安全号码 (美国)、身分证号码 (台湾)、和母亲婚前姓名。也有人担心身份窃贼仅仅通过访问公开纪录就可以添加此类信息到它们取得的知识库中。一旦这信息被取得了,网钓者可能会利用个人数据明细以受害者姓名创造假账号。然后他们可以毁掉受害者的信用,或者甚至让受害人无法访问自己的账户。
据估计,从2004年5月和2005年5月,大约120万计算机用户在美国遭受网钓所造成的损失,总计约92900万美元。随着为美国企业的客户成为受害者,该国企业估计每年损失20亿美元。 2007年网钓攻击升级。截至2007年8月前在美国360万成年人于12个月内失去32亿美元。在英国,网络银行诈骗的损失 — 大多来自网钓 — 几乎增加了一倍从2004年1220万英镑到2005年2320英镑,而在2005年,每20个计算机用户中就有一个声称因网钓造成的财务损失。
英国银行机构APACS采取的立场是:“客户还必须采取合理的预防措施
... ,如此对
罪犯而言他们才不会好欺负。”同样,2006年9月当第一次大量的网钓攻击登陆
爱尔兰银行业界时,爱尔兰银行起初拒绝补偿客户所遭受的损失(而且它仍然坚持认为,它的政策不应如此),虽然会补偿损失的金额上限定调为1万1300英镑还算不错。
社会回响
打击网钓攻击有许多不同的技术,包括设立专门的技术和立法以防范网钓。
打击网钓的策略之一,是试着培养人们辨识网钓,并教导怎样处理这些问题。教育可以是有效的,尤其是训练提供直接的回馈。一个被称为叉网钓 — 利用网络网钓电子邮件针对特定的公司 — 的较新网钓手法,已被用来迷惑在社会各个角落的人士,包括西点军校。 在2004年6月叉网钓的一次实验中,收到假电子邮件的500名西点军校学员中有80%被骗并泄露个人信息。
人们可以采取措施以避免网钓的企图,以稍稍修改其浏览习惯的方式。当接触某要求您“核对身分”(或任何其他网钓所使用的信件要旨)的信件或账号时, 明智之举是与该信件明显来源公司联络以检查该电子邮件是否合法。另外,个人所知道地址是该公司的真正的网站,可通过在浏览器网址栏输入拜访,而不是盲目相 信任何涉嫌诈骗邮件里的超级链接。
几乎所有从公司到其客户的合法电子邮件都起码包含一项信息是网钓者手头没有的。有些公司,例如 PayPal,总是在其电子邮件中以客户使用者名称称呼其客户,依此类推,如果一封电邮的收件人是以通用格式称呼(如 “亲爱的 PayPal 客户” )很可能是企图在网钓。从银行和信用卡公司来的电子邮件往往包括账户号码的部分。然而,最近的研究显 示,大众通常不区分账号头几个数字和尾几个数字,这是一个很严重的问题,因为头几个数字通常一个金融机构的所有客户都相同。人们可以接受训练来当如果邮件 不包含任何具体的个人信息时提高他们的怀疑。不过,在2006年年初,网钓企图利用个人化的信息,这使得列明个人信息保证邮件是合法的假设不安全。 此外,另一项最近的研究报告推断列明个人信息并不显著的影响网钓攻击的成功率,这表明大多数人并不注意这些细节。
一个行业和执法机构组成的反网钓工作组(Anti-Phishing Working Group,简称APWG)建议,随着人们越来越认识到网钓者所使用的社会工程学伎俩,传统的网钓欺诈技术可能在未来过时。他们预测,网址嫁接和其他利用流氓软件将变成窃取信息的常见工具。
技术对策
反网钓措施已经实现将其功能内嵌于浏览器,作为浏览器的扩展或工具栏,以及网站的注册表程序的一部分。下面是一些解决问题的主要方法。
协助辨识
大多数网钓盯上的网站都是保全站点,这意味着的SSL强加密用于服务器身份验证,并用来标示在该网站的网址。理论上,利用SSL认证来保证网站到用户端是可能的,并且这个过去是SSL第二版设计要求之一以及能在认证后保证保密浏览。不过实际上,这点很容易欺骗。
表面上的缺陷是浏览器的保全用户界面 (UI) 不足以应付今日强大的威胁。通过TLS与证书进行保全认证有三部分:显示连接在授权模式下、显示使用者连到哪个站、以及显示管理机构说它确实是这个站点。所有这三个都需齐备才能授权,并且需要被/送交用户确认。
安全连接:从1990年代中期到2000年代中期安全浏览的标准显示是个锁头,而这很容易被用户忽略。Mozilla于2005年使 用黄底的网址栏使得安全连接较容易辨认。不幸的是,这个发明后来被撤销,导因于EV证书:它代以对某些高价的证书显示绿色,而其他的证书显示蓝色 (译按:Mozilla Firefox 3.x版非EV证书的安全浏览网站皆显示蓝色)。
哪个站:用户应该确认在浏览器的网址栏的
网域名称是实际上他们要访问的地方。网址可能是过度复杂而不容易从语法上分析。用户通常不知道或者不会鉴别他们想要链接的正确网址,故鉴定真伪与否变得无意义。有 意义的服务器认证条件是让服务器的识别码对用户有意义;而许多电子商务网站变更其
网域名成为他们整体网站组合的其中之一 (译按:极端例子像 化妆零售部A.百货B.行销公司C.电视台这样子网域的架构),这种手段让困惑的机率增大。而一些反网钓工具条仅显示访问过
网站域名的做法是不够的。
另一种替代方法是 Firefox 的 宠物名(petname) 附加元件,这让用户键入他们自己的网站标签,因此他们可以在以后再度造访该站时认出。如果站点没有被认出,则软件会警告用户或彻底阻拦该站点。这代表了以用户为中心的服务器身份管理。某些人建议用户选定的图像会比宠物名效果要好。
随着 EV 证书的出现,浏览器一般以绿底白字显示机构名称,这让用户更加容易辨识并且与用户期望一致。不幸的是,浏览器
供应商选择仅限定EV证书可独享这突出的显示,其他种证书就留待用户自己自求多福了。
谁是管理机构:浏览器需要指出用户要求连到对象的管理机构是谁。在保全等级最低的阶段,不指名管理机构,因此就用户而言浏览器就是管理机构。浏览器供应商通过控制可接受的授权证书(Certification Authorities,简称/下称 CA)根名单来承担这个责任。这是标准做法。
这里的问题是不管浏览器供营商如何企图控制质量,市面上 CA 品质良莠不齐亦不实施检查。亦不是所有签署 CA 的公司行号取得该证书仅是为了认证电子商务组织的同一个模型和概念而已。制造证书(Certificate Manufacturing) 是颁给只用来递送信用卡与电子邮件送达确认的低交易额证书;这两者的用途都容易受到诈骗罪犯的扭曲。由此引申,一个高交易额的网站可能容易受到另一个可提 供的 CA 认证蒙混。这种情况可能会在 CA 位于世界的另一端,并且对高交易额电子商务站不熟悉,或者用户根本就不关心这件事。因为 CA 只负责保障它自己的客户,并不会管其他 CA 的客户,故这个漏洞在该模型是根深蒂固的。
对此漏洞的解决方案是浏览器应该显示,并且用户应该熟悉管理机构之名。这把 CA 当作是种品牌体现,并且让用户知悉在其所在国家和区段之内可联络到少数几个 CA。品牌的使用亦对 CA 供应商至关重要,借此刺激它们改进证书的审核:因为用户将知悉品牌差异并要求高交易额站点具备周延的检查。
本解决方案首度于早期 IE7 版本上实现。在当其显示 EV 证书时,发布的 CA 会被显示在网址区域。然而这只是个孤立的案例。CA 烙上浏览器面板仍存在阻力,导致只有上面所提最低最简单的保全等级可选:浏览器是用户交易的管理机构。
全球通过最高级别的
SSL证书来有效防范钓鱼攻击,通过全球可信的CA(
GlobalSign)给网站颁发
EVSSL证书,激活浏览器
绿色地址栏,实行256位安全加密,保证客户和网站之间的通信不被窃听,并醒目的表明网站自己经过认证之后的身份。
基础漏洞
改进保全用户界面的试验为用户带来便利,但是它也暴露了安全模型里的基本缺陷。过去在安全浏览中沿用之SSL认证失效的根本原因有许多种,它们之间纵横交错。
在威胁之前的保全:由于安全浏览发生在任何威胁出现之前,保全显示在早期浏览器的“房地产战争”里被牺牲掉了。网景浏览器的原始设计有个站点名称暨其 CA 名称的突出显示。用户现在常常习惯根本不检查保全信息。
浏览器提醒
还有一种打击网钓的流行作法是保持一份已知的网钓网站名单,并随时更新。微软的IE7的浏览器、Mozilla Firefox 2.0、和 Opera都包含这种类型的反网钓措施。 Firefox 2中使用 Google 反网钓软件。Opera 9.1 使用来自 PhishTank 和 GeoTrust的黑名单,以及即时来自 GeoTrust 的白名单。这个办法的某些软件实现会发送访问过的网址到中央服务器以供检查,这种方式引起了个人隐私的关注。据 Mozilla 基金会在2006年年底报告援引一项由某独立
软件测试公司的研究指出, Firefox 2 被认为比 Internet Explorer 7 发现诈欺性网站更为有效。
在2006年年中一种方法被倡议实施。该方法涉及切换到一种特殊的DNS服务,筛选掉已知的网钓
网域:这将与任何浏览器兼容,而且它使用类似利用Hosts文件来阻止网络广告的原理来达成目标。
为了减轻网钓网站通过内嵌受害人网站的图像(如商标)藉以冒充的问题,一些网站站主改变了图像传送消息给访客,某个网站可能是骗人的。图像可能移动成新的档名并且原来的被永久取代,或者一台服务器能侦测到的某图像在正常浏览情况下是不会被请求到,进而送出警告的图像。
密码注册表
美国银行的网站是众多要求用户选择的个人图像、并在任何要求输入密码的场合显示该用户选定图片的网站之一。该银行在线服务的用户被指示在只有当他们看到他们选择的图像才输入密码。然而,最近的一项研究表明仅有少数用户在图像不出现时不会键入他们的密码。此外,此功能(像其他形式的双因素认证)对其他攻击较脆弱,如2005年年底斯堪的纳维亚诺尔迪亚银行案,与2006年的花旗银行案。
保全外壳是 一种相关的技术,涉及到使用用户选定的图片覆盖上注册表窗体作为一种视觉提示以表明该窗体是否合法。然而,不像以网站为主的图像体系,图像本身是只在用户 和浏览器之间共享,而不是用户和网站间共享。该体系还依赖于相互认证协议,这使得它更不容易受到来自侵袭只认证用户体系的攻击。
消除网钓邮件
专门的垃圾邮件过滤器可以减少一些网钓电子邮件到达收件人的收件箱。这些方法依赖于
机器学习和自然语言处理办法来分类网钓电子邮件。
监测和移除
有几家公司提供银行和其他可能受到网钓诈骗的组织全天候的服务、监测、分析和协助关闭网钓网站。个人可以通过检举网钓到志愿者和产业集团,如 PhishTank 以做出贡献。
法律对策
在2004年1月26日,
美国联邦贸易委员会提交了涉嫌网钓者的第一次起诉。被告是个美国
加州少年,据说他设计建造了一个网页看起来像美国在线网站,并用它来窃取信用卡数据。其他国家援引了这一判例追踪并逮捕了网钓者。网钓大户瓦尔迪尔·保罗·迪·阿尔梅达在巴西被捕。他领导一个最大的网钓犯罪帮派,在两年之间做案估计偷走约1800万美元到3700万美元之间。英国当局在2005年6月收押两名男子以其在一项网钓欺诈活动扮演的脚色,而这宗案子与美国特勤处《防火墙行动》 (Operation Firewall,目标是当时最大最恶名昭彰的信用卡盗窃网站)有关。2006年8人在日本被逮捕,日本警方怀疑他们通过假造
雅虎日本网站网钓进行欺诈,保释赔款1亿日元(87万美元)。2006年美国联邦调查局逮捕行动继续,以代号《保卡人行动》 (CardKeeper) 在美国与欧洲扣押了一个16人的帮派。
在美国,参议员派崔克·莱希(Patrick Leahy)在2005年3月1日向美国国会提审2005反网钓法案。这项法案,如果它已成为法律,将向建立虚假网站、发送虚假电子邮件以诈欺消费者的罪犯求处罚款高达25万美金并且可监禁长达5年。英国在2006年以2006诈欺法强化了其打击仿冒欺诈的法律武器,该法案采用一般欺诈罪,可求刑监禁多达10年,并禁止开发或意图欺诈下拥有网钓软件包。
许多公司也加入全力打击网钓的行列。2005年3月31日,微软向美国华盛顿西部地方法院提交 117 起官司。这起诉讼指控“无名氏”的被告非法取得的密码信息和机密信息。2005年3月微软和澳大利亚政府间合作,向执法人员教学如何打击各种网络犯罪,包括网钓。在2006年3月,微软宣布计划进一步在美国境外地区起诉100案件,随后该公司信守承诺,截至2006年11月之前,共起诉了129件混合刑事和民事行动的犯罪案件。美国在线亦加强其打击网钓的努力,在2006年早期根据维吉尼亚计算机犯罪法2005年修订版起诉三起共求偿1800万美元,而 Earthlink 已加入帮助确定6名男子在
康涅狄格州的案子,这6名人士稍后被控以网钓欺诈。
2007年1月,杰弗瑞·布雷特·高汀被陪审团援引的2003年反垃圾邮件法(CAN-SPAM Act of 2003)将其定罪为加州第一位依此法被定罪的被告。他被判犯下对
美国在线的用户发送成千上万的电子邮件,并乔装成AOL的会计部门以催促客户提交个人和 信用卡数据的罪行。面对反垃圾邮件法的101年关押以及其他数十个包括
诈欺、未经授权使用信用卡、滥用AOL的商标,这部分他被判处70个月监禁。因为没 有出席较早的听证会,高汀已被拘留,并立即开始入监服刑。