Oszustwo phishingowe to oszustwo polegające na kradzieży tożsamości, które jest wysyłane za pośrednictwem poczty e-mail. Wiadomość e-mail wydaje się pochodzić z legalnego źródła, takiego jak zaufana firma lub instytucja finansowa, i zawiera pilną prośbę o podanie danych osobowych, zwykle powołującą się na krytyczną potrzebę natychmiastowej aktualizacji konta. Kliknięcie w link podany w e-mailu prowadzi do oficjalnej strony internetowej. Dane osobowe podane na tej stronie trafiają jednak bezpośrednio do oszusta.
Oszustwa to rosnący problem w Internecie, ponieważ ludzie są oszukiwani w celu podania danych osobowych, w tym numerów kart kredytowych, haseł, nazwiska panieńskiego matki, numerów kont bankowych, kodów dostępu do bankomatów i numerów ubezpieczenia społecznego. Ochrona antywirusowa i zapory ogniowe nie wyłapują większości oszustw phishingowych, ponieważ nie zawierają podejrzanego kodu, podczas gdy filtry spamu przepuszczają je, ponieważ wydają się pochodzić z legalnych źródeł.
Odsyłacze zawarte w oszustwach phishingowych prowadzą niczego niepodejrzewającą osobę do fałszywej witryny zaprojektowanej w celu naśladowania prawdziwej rzeczy, często z najdrobniejszymi szczegółami, takimi jak informacje o prawach autorskich, tytuły podmenu i tak dalej. Większość ludzi nie jest w stanie stwierdzić, że jest celem phishera, patrząc na samą stronę. Wskazówki w adresie mogą jednak czasami ujawnić oszustwo.
Podobnie wyglądające znaki można zastąpić w pisowni linku prawdziwym znakiem, tak aby zamiast małej litery „L” użyto „1” (cyfra). Na przykład phisherzy używali strony paypa1.com zamiast paypal.com. Innym razem adres IP — adres liczbowy — służy do ukrycia faktu, że łącze nie prowadzi ofiary do prawdziwej witryny. Oszustwa phishingowe stały się jednak tak wyrafinowane, że phisherzy mogą również wykorzystywać legalne łącza, łącznie z certyfikatem bezpieczeństwa prawdziwej witryny.
Najlepszym sposobem, aby ktoś mógł chronić się przed oszustwami typu phishing, jest unikanie podawania danych osobowych w wiadomości e-mail. Jeśli żądanie może być uzasadnione, należy zadzwonić do działu obsługi klienta firmy w celu zweryfikowania żądania przed przekazaniem jakichkolwiek informacji; nie należy używać żadnych numerów telefonów zawartych w wiadomości e-mail, jeśli są one dołączone. Nawet jeśli żądanie jest uzasadnione, należy ręcznie wprowadzić wymagany adres w przeglądarce, zamiast klikać łącze, ponieważ oszustwo phishingowe może działać równolegle z legalną działalnością.
Na przykład na początku kwietnia 2005 r. masowa wiadomość e-mail, która wydawała się pochodzić od firmy Microsoft Corporation, zachęcała odbiorców do pobrania długo oczekiwanej aktualizacji zabezpieczeń. Osoby, które kliknęły łącze w wiadomości e-mail, zostały przeniesione do witryny, która wyglądała jak legalna witryna aktualizacji firmy Microsoft. Jednak zamiast aktualizować swoje oprogramowanie, w rzeczywistości pobierali konia trojańskiego — program zdalnego dostępu, który może kraść dane osobowe. Microsoft nie wykorzystuje w ten sposób powiadomień e-mail, ale wielu użytkowników zostało przyłapanych na nieświadomości.
Słynny „list z Nigerii” był kolejnym rodzajem oszustwa phishingowego. Ten rodzaj oszustwa jest tak powszechny, że ma swoją własną nazwę: oszustwo 419. Phisher udaje nigeryjskiego urzędnika w potrzebie, który potrzebuje konta bankowego w USA, aby przelać pieniądze. Osoba, która zezwoli na tymczasowe korzystanie ze swojego konta, otrzyma sowitą nagrodę. Zamiast tego ci, którzy dostarczyli swoje dane bankowe, stają się ofiarami kradzieży.
W Stanach Zjednoczonych Federalna Komisja Handlu (FTC) i inne instytucje skoncentrowały się na edukacji publicznej w celu zwalczania oszustw phishingowych, ponieważ łapanie phisherów jest trudne. Fałszywe witryny działają przez bardzo krótki czas, a oszustwa są często przeprowadzane z innych krajów. W marcu 2005 r. firma Microsoft złożyła 117 pozwów o phishing w Zachodniej Dystrykcie Waszyngtonu z niewymienionymi z nazwiska oskarżonymi.
Anti-Phishing Working Group (APWG) to międzynarodowa organizacja zrzeszająca wolontariuszy zajmujących się śledzeniem oszustw phishingowych. Ich witryna internetowa prowadzi internetową bazę danych fałszywych wiadomości e-mail przesłanych do nich. Możesz sprawdzić tę witrynę pod kątem nowych oszustw lub wysłać im otrzymaną wiadomość phisher. APWG jest w dużej mierze centrum informacyjnym, ale udostępnia linki do zasobów konsumenckich. FTC ma również porady dla konsumentów, adres e-mail do zgłaszania phishingu, na swojej stronie internetowej.