Phishing to rodzaj przestępstwa internetowego, które wykorzystuje metody socjotechniczne, by wyłudzić poufne informacje, takie jak dane osobowe czy hasła do różnego rodzaju kont. Najczęstszą formą phishingu są e-maile wysyłane w imieniu organizacji czy serwisów, do których należy adresat, z prośbą o uaktualnienie lub potwierdzenie danych osobowych. Mogą być to wiadomości wysyłane w imieniu banków czy sklepów internetowych z odnośnikiem do fałszywej strony, która do złudzenia przypomina oryginalną. Tam niczego nieświadoma ofiara wypełnia formularz, podając złodziejowi swoje poufne dane.
Termin phishing powstał w 1996 roku i pochodzi z języka angielskiego. Tłumaczy się go jako zbitkę słowa fishing, oznaczającego łowienie, z phreaking, czyli oszukiwanie systemów telekomunikacyjnych bądź password harvesting – zbieranie haseł. Niekiedy pochodzenie pojęcia wiąże się z osobą Briana Phisha, który podobno był jednym z pierwszych wykorzystujących metody socjotechniczne do wykradania dostępu do rachunków bankowych. Inni twierdzą, że Phish to osoba nie istniejąca realnie, a jedynie pseudonim hakerów, którzy w ten sposób identyfikowali się w Sieci.
Pierwszy atak phishingowy miał miejsce w 1995 roku. Wtedy to cyberwłamywacz, podający się za członka jednego z największych amerykańskich dostawców internetu – American OnLine, uzyskał od swoich ofiar hasła dostępu do kont bankowych.
Phishing stosowany jest przede wszystkim w celu uzyskania korzyści majątkowej. Dlatego phisherzy najczęściej wyłudzają dane, podając się za instytucje finansowe, zwłaszcza banki. Internauta otrzymuje formularz do wypełnienia w witrynie internetowej, która jest niemal identyczna z oryginalną. W formularzu prosi się go o podanie prywatnych informacji. Phisher może w ten sposób uzyskać dostęp do rachunków bankowych swojej ofiary. Pozyskując cudze dane osobowe, może również posługiwać się nimi zaciągając kredyty, podpisując umowy zobowiązujące do świadczeń finansowych, a także wchodząc w konflikt z prawem.
Phishing bazuje na socjotechnice, a więc wykorzystuje znajomość ludzkich wad i słabości. Oszust doskonale wie, jaka forma przekazu trafia do odbiorcy. Stosuje techniki perswazyjne, by nakłonić swoją ofiarę do podania potrzebnych mu danych. Perswazja wzmocniona jest dodatkowo zaawansowanymi rozwiązaniami informatycznymi. Złodziej odpowiednio maskuje link, pod którym wyświetla się formularz osobowy. Tworzy witrynę wyglądającą bardzo podobnie do autentycznej strony serwisu, w imieniu którego występuje. Dzięki temu zyskuje zaufanie Internauty, który nie podejrzewając oszustwa, udostępnia poufne informacje o sobie.
W phishingu występują jednak pewne luki, które użytkownik jest w stanie dostrzec. Przede wszystkim warto zwrócić uwagę na pasek adresu. Jeśli użytkownik znajduje się na stronie, np. banku, oczywistym jest fakt, że adres, na który został przekierowany musi zawierać jego nazwę. Domena wykorzystywana przez oszusta nigdy nie będzie identyczna z oryginalną. Co więcej, należy pamiętać, że żadna instytucja finansowa nigdy nie będzie żądała podania tak poufnych danych jak hasła dostępu do kont.
Groźniejszą odmianą phishingu jest pharming. Ataki tego typu są niemal nie do wykrycia. Oszust powoduje zakłócenie pracy globalnych serwerów tak, aby za pośrednictwem oryginalnej strony serwisu uzyskać dostęp do danych swoich ofiar. Pharming to często także zawirusowywanie systemu operacyjnego. Wirus powoduje modyfikację lokalnych plików odpowiedzialnych za tłumaczenie adresów URL. System, dokonując niewłaściwego tłumaczenia, przekierowuje na fałszywe adresy bez wiedzy użytkownika.
Stosunkowo nową techniką phishingu jest tabnabbing. Oszuści wykorzystują tu system przeglądania kart w najpopularniejszych wyszukiwarkach internetowych i tworzą duplikaty stron najczęściej odwiedzanych serwisów, takich jak gmail, facebook czy hotmail. Użytkownik logując się w portalu podaje hasło, które jest widoczne dla oszustów. Po wprowadzeniu danych Internauta zostaje przekierowany na oryginalną stronę, nie domyślając się, że padł ofiarą przestępstwa.