Um golpe de phishing é um roubo de identidade que chega por email. O email parece vir de uma fonte legítima, como uma empresa financeira ou instituição financeira confiável, e inclui uma solicitação urgente de informações pessoais, geralmente invocando uma necessidade crítica de atualizar uma conta imediatamente. Clicar em um link fornecido no e-mail leva a um site oficial. As informações pessoais fornecidas neste site, no entanto, vão diretamente para o scam artist.

A fraude é um problema crescente na Internet, pois as pessoas são induzidas a fornecer informações pessoais, incluindo números de cartão de crédito, senhas, nome de solteira da mãe, números de contas bancárias, códigos de passe em caixas eletrônicos e números de segurança social. Protetores de vírus e firewalls não capturam a maioria dos golpes de phishing porque não contêm código suspeito, enquanto os filtros de spam os deixam passar porque parecem vir de fontes legítimas.

Os links incluídos nos golpes de phishing levam a pessoa desavisada a um site fraudulento projetado para imitar o que é real, geralmente até os mínimos detalhes, incluindo avisos de direitos autorais, títulos de submenus e assim por diante. É praticamente impossível para a maioria das pessoas dizer que são o alvo de um phisher olhando apenas o site. Pistas no endereço, às vezes, podem revelar o engano.

Caracteres de aparência semelhante podem ser substituídos na ortografia do link pelo caractere real, de modo que um "1" (número numérico) seja usado no lugar de um "L" minúsculo Por exemplo, phishers usaram paypa1.com em vez de paypal.com. Outras vezes, um endereço IP - um endereço numérico - é usado para ocultar o fato de que o link não está levando a vítima ao site real. Os golpes de phishing tornaram-se tão sofisticados, no entanto, que os phishers também podem parecer estar usando links legítimos, até o certificado de segurança do site real.

A melhor maneira de alguém se proteger de golpes de phishing é evitar o fornecimento de informações pessoais a uma solicitação de email. Se a solicitação puder ser legítima, o departamento de atendimento ao cliente da empresa deve ser chamado para verificar a solicitação antes de fornecer qualquer informação; quaisquer números de telefone contidos no e-mail, se houver algum, não devem ser usados. Mesmo que a solicitação seja legítima, deve-se inserir manualmente o endereço necessário no navegador, em vez de clicar em um link, pois um golpe de phisher pode ser executado simultaneamente com negócios legítimos.

Por exemplo, no início de abril de 2005, um email em massa que parecia ser da Microsoft Corporation instou os destinatários a baixar uma atualização de segurança muito esperada. Aqueles que clicaram no link no email foram levados para um site que parecia um site legítimo de atualização da Microsoft. Em vez de atualizar o software, no entanto, eles estavam baixando um cavalo de Tróia - um programa de acesso remoto que pode roubar informações pessoais. A Microsoft não usa a notificação por email dessa maneira, mas muitos usuários foram pegos de surpresa.

A famosa "carta da Nigéria" era outro tipo de golpe de phishing. Esse tipo de fraude é tão prevalente que tem seu próprio nome: 419 fraude. O phisher finge ser um funcionário nigeriano em perigo, exigindo que uma conta bancária dos EUA descarregue dinheiro. A pessoa que permitisse o uso temporário de sua conta receberia uma recompensa considerável. Em vez disso, aqueles que forneceram suas informações bancárias tornam-se vítimas de roubo.

Nos EUA, a Federal Trade Commission (FTC) e outras empresas se concentraram na educação pública para combater os golpes de phishing, já que é difícil capturar phishers. Sites fraudulentos operam por períodos muito curtos, e os golpes geralmente são executados em outros países. Em março de 2005, a Microsoft entrou com 117 processos de phishing no Distrito Oeste de Washington com réus sem nome .

O Grupo de Trabalho Anti-Phishing (APWG) é uma organização internacional de voluntários que trabalham para rastrear golpes de phishing. O site deles mantém um banco de dados on-line de e-mails fraudulentos enviados a eles. Você pode verificar este site em busca de novos golpes ou enviar um e-mail de phisher que você recebe. O APWG é amplamente um hub de informações, mas fornece links para recursos do consumidor. A FTC também oferece conselhos aos consumidores, um endereço de e-mail para denunciar phishing, em seu site.