Phishing is een vorm van internetfraude. Het bestaat erin mensen op te lichten door ze naar een nepwebsite te lokken, een kopie van de echte website, om ze – nietsvermoedend – in te laten loggen met hun inlognaam en wachtwoord of hun creditcardnummer. Hierdoor heeft de fraudeur toegang tot deze gegevens met alle gevolgen van dien. De fraudeur doet zich voor als een vertrouwde autoriteit, zoals een bank. De meeste vormen van phishing gebeuren via e-mail. Hierbij worden de slachtoffers per e-mail naar deze nepwebsite gelokt. De mail bevat een link naar de (nep) website met het verzoek “check de inloggegevens”.
Bij phishing wordt vaak URL-spoofing gebruikt. Dit is het nabootsen van de URL van bijvoorbeeld een bank, zodat de gebruiker denkt de echte site te bezoeken, terwijl de URL die van de cheater is.
Geïnternationaliseerde domeinnamen
Sinds het gebruik van het IDN-systeem (Internationalized domain name), waarin niet-ASCII-tekens kunnen worden gebruikt in domeinnamen, kan phishing hiervan gebruik maken door een echte domeinnaam te simuleren met equivalente buitenlandse tekens, zodat de gebruiker niet merkt dat de adres klopt niet.
Zelfs met een gewone ASCII-URL is valsspelen mogelijk: het adres www.googIe.com, waar de kleine letter l is vervangen door een hoofdletter i (I), lijkt sterk op www.google.com, en het kan afhankelijk van het lettertype, zelfs exact dezelfde look.
De meeste banken gebruiken tegenwoordig een Extended Validation-certificaat: in moderne internetbrowsers wordt het eerste deel van de adresbalk weergegeven met een groene achtergrond, zodat de gebruiker zeker weet dat hij op de echte pagina staat.
Meestal krijgt het slachtoffer een e-mail waarin hij wordt gevraagd zijn rekening bij bijvoorbeeld een bank te controleren en te bevestigen. Ook wordt er gebruik gemaakt van instant messaging, soms is telefonisch contact inbegrepen. Fraudeurs maken veelvuldig gebruik van nepwebsites van financiële instellingen, eBay en PayPal. Phishing is moeilijk te achterhalen, mensen op internet moeten opletten en nooit reageren op een mailverzoek waarin om persoonlijke (financiële) gegevens wordt gevraagd; zoals bankrekeningnummer, pincode, BSN of creditcardgegevens. Het eerste geval van phishing dateert uit 1996.