Phishing ist der kriminelle Versuch, über Websites, E-Mails oder Kurznachrichten an persönliche Daten eines Users zu gelangen, um so Konten zu plündern, eine Identität zu stehlen oder auch schädliche Software zu installieren. Beim Phishing wird dem potenziellen Opfer vorgetäuscht, der Angreifer sei ein glaubwürdiger Kommunikationspartner, der lediglich, etwa im klassischen E-Mail-Kundenverkehr, informieren oder helfen wolle.
Besonders bekannt ist ein Phishing-Verfahren, bei dem User eine gefälschte Mail ihrer Bank zugeschickt bekommen und aufgefordert werden, wegen angeblicher Sicherheitszwecke hochsensible Kontodaten zum Abgleich einzugeben. Die Anschreiben sind meist im Stil des CD und der Corporate Language der Bank gehalten, also mit gleichen Schriftarten, Farben etc., so dass die Empfänger auf Anhieb keinen Verdacht schöpfen. Die so erhaltenen Daten nutzen Betrüger, um das Konto des potenziell Geschädigten zu plündern. Wurden solche betrügerischen Verfahren früher meist über das Telefon oder direkt an der Haustür ausgeführt, so wie bis heute noch der unselige Enkeltrick, erfolgt das moderne Phishing fast ausschließlich über digitale Kanäle. Vorsicht ist immer dann geboten, wenn statt des Namens nur eine anonyme Anrede oder schlechte bzw. falsche Formulierungen benutzt werden, die sich von den schlechten Übersetzerprogrammen der oftmals im Ausland ansässigen Betrüger ableiten.
Heute wird neben dieser doch sehr direkten und auch plumpen Aufforderung vermehrt versucht, Schadprogramme auf den Rechner zu installieren, die technische weniger versierte User schlecht identifizieren oder entfernen können. Sie setzen sich genau zwischen die Kommunikation der Bankkunden und der Bank und greifen dadurch Daten ab. So ist es Cyber-Kriminellen und Black-Hat-SEOs möglich, selbst recht moderne und sichere Systeme wie iTAN-Verfahren mit indizierten Transaktionsnummern zu überwinden und einen hohen Schaden anzurichten. Meist geht es bei dieser Form des Datendiebstahls, u. a. beim Online-Banking und bei Online-Bezahldienstleistern, um monetäre Beute. Immer häufiger kommt es auch zu (über ein fremdes, ausgespähtes Kundenkonto) bestellten und dann gestohlenen Warensendungen, die anschließend weiterverkauft werden.
Betroffene Unternehmen wehren sich zwar mit technischem Equipment und intensiver Aufklärung ihrer Kunden und Mitarbeiter, doch auch die Kriminellen verfeinern ihre Phishing-Methoden und passen sich den Vorsichtsmaßnahmen an – sei es mit dem genaueren Spear-Fishing oder dem Pharming, das auf der Manipulation der DNS-Anfragen von Webbrowsern basiert.