In ultima vreme auzim din ce in ce mai des termenul de "phishing", insa nu toata lumea intelege la ce anume se refera si cum ne poate afecta acest tip de atac.
În domeniul de securitatea calculatoarelor, phishing reprezinta o forma de activitate criminala care consta in obtinerea datelor confidentiale, cum ar fi date de acces pentru aplicatii de tip bancar, aplicatii de trading (De exemplu: E-bay, PayPal) sau informatii referitoare la carti de credit, folosind tehnici de manipulare a identitatii unei persoane sau a unei institutii.
Un atac de tip phishing consta, în mod normal, în trimiterea de catre atacator a unui mesaj electronic, folosind programe de mesagerie instanta sau telefon, în care utilizatorul este sfatuit sa-si dea datele confidentiale pentru a câstiga anumite premii sau este informat ca acestea sunt necesare datorita unor erori tehnice care au dus la pierderea datelor originale. 

În mesajul electronic este indicata de obicei si o adresa de web care contine o copie a site-ului de web al institutiei financiare sau de trading. Anti Phishing Working Group, o organizatie creata de catre fortele de aparare a legii si organizatii comerciale, raporteaza o crestere permanenta a acestui tip de atacuri.

Tehnica de phishing a fost descrisa in detaliu inca din 1987 si prima data atestata cand termenul de phishin a fost folosit este 1996. Termenul este o varianta de jargon a cuvantului "fishing", care inseamna a pescui. Practic, phishing-ul informatic este un pescuit virtual dupa conturi de autentificare, numere de cont si de carti de credit, iar momeala este reprezentata de catre email-urile care pretind ca sunt trimise de anumite institutii financiare sau site-uri de plati electronice.

Instituriile financiare nu sunt singurele tinte ale atacatorilor, ci si site-uri de tip "social network" precum Myspace, Facebook, Hi5, s.a., aici scopul fiind aflarea de date personale ale utilizatorilor folosite in furturi de identitate.

Anatomia unui atac de tip phishing prin email:

a) hackerul isi alege o tinta reprezentata de o companie sau institutie financiara si construieste o pagina web sau mai multe care sa se asemene pana la detalii cu site-ul tintei; site-ul construit de hacker si care se aseamana cu cel original, va fi special conceput astfel incat va retine intr-un fisier sau intr-o baza de date datele personale introduse de victime
b) hackerul va colecta o lista de email-uri cu potentiali clienti ai companiei tinta; ca sa aiba cat mai mult succes, poate plati pe cineva din interiorul companiei tinta ca sa-i furnizeze o lista de clienti cu adresele de email
c) hackerul va trimite pe email potentialelor victime un mesaj in numele institutiei prin care ii informeaza ca din diverse motive, trebuie sa-si schimbe parola, sau sa se autentifice pe site intrucat le expira valabilitatea contului, etc. Hackerul le va da in loc de adresa site-ului companiei, pe cea a site-ului propriu
d) victima primeste emailul de la hacker - care la prima vedere este un mesaj autentic din partea companiei - si acceseaza site-ul facut de hacker, unde isi introduce userul si parola; deseori victima primeste un mesaj de eroare, ca si cum ar fi tastat gresit parola de prima data, apoi este redirectionat pe site-ul legitim al companiei unde dupa o alta incercare  reuseste sa intre in cont, fara sa banuiasca ce i s-a intamplat
c) hackerul se autentifica pe site-ul companiei cu credentialele victimei, de unde poate isi finalizeze atacul - de exemplu prin transferul banilor din contul victimei intr-un cont propriu, etc.