Penipuan phishing adalah penipuan pencurian identitas yang datang melalui email. Email tersebut tampaknya berasal dari sumber yang sah seperti bisnis atau lembaga keuangan tepercaya, dan mencakup permintaan mendesak untuk informasi pribadi yang biasanya memerlukan beberapa kebutuhan penting untuk segera memperbarui akun. Mengklik tautan yang disediakan dalam email akan mengarah ke situs web yang tampak resmi. Informasi pribadi yang diberikan ke situs ini, bagaimanapun, langsung menuju ke artis scam.
Penipuan adalah masalah yang berkembang di Internet karena orang ditipu untuk memberikan informasi pribadi termasuk nomor kartu kredit, kata sandi, nama gadis Ibu, nomor rekening bank, kode sandi ATM, dan nomor jaminan sosial. Pelindung virus dan firewall tidak menangkap sebagian besar penipuan phishing karena tidak mengandung kode yang dicurigai, sementara filter spam membiarkannya lewat karena tampaknya berasal dari sumber yang sah.
Tautan yang termasuk dalam penipuan phishing membawa orang yang tidak curiga ke situs web palsu yang dirancang untuk meniru hal yang sebenarnya, seringkali hingga ke detail terkecil termasuk pemberitahuan hak cipta, judul submenu, dan sebagainya. Hampir tidak mungkin bagi kebanyakan orang untuk mengatakan bahwa mereka adalah target phisher dengan melihat situsnya saja. Namun, petunjuk dalam alamat terkadang dapat mengungkapkan penipuan.
Karakter yang tampak serupa dapat diganti dalam ejaan tautan untuk karakter asli sehingga “1” (angka) digunakan sebagai pengganti huruf kecil “L.” Misalnya, phisher telah menggunakan paypa1.com daripada paypal.com. Di lain waktu alamat IP — alamat numerik — digunakan untuk menyembunyikan fakta bahwa tautan tidak membawa korban ke situs sebenarnya. Penipuan phishing telah menjadi sangat canggih, namun, phisher juga dapat terlihat menggunakan tautan yang sah, sampai ke sertifikat keamanan situs yang sebenarnya.
Cara terbaik agar seseorang dapat melindungi dirinya dari penipuan phishing adalah dengan menghindari memberikan informasi pribadi ke permintaan email. Jika permintaan tersebut mungkin sah, departemen layanan pelanggan perusahaan harus dipanggil untuk memverifikasi permintaan tersebut sebelum memberikan informasi apa pun; nomor telepon apa pun yang terdapat dalam email, jika ada, tidak boleh digunakan. Bahkan jika permintaan tersebut sah, seseorang harus memasukkan alamat yang diperlukan secara manual di browser daripada mengklik tautan, karena penipuan phisher dapat berjalan bersamaan dengan bisnis yang sah.
Misalnya, pada awal April 2005, email massal yang tampaknya berasal dari Microsoft Corporation mendesak penerima untuk mengunduh pembaruan keamanan yang sangat dinanti. Mereka yang mengeklik tautan dalam email akan dibawa ke situs yang tampak seperti situs pembaruan Microsoft yang sah. Namun, alih-alih memperbarui perangkat lunak mereka, mereka sebenarnya mengunduh kuda Trojan — program akses jarak jauh yang dapat mencuri informasi pribadi. Microsoft tidak menggunakan pemberitahuan email dengan cara ini, tetapi banyak pengguna tidak menyadarinya.
“Surat dari Nigeria” yang terkenal adalah jenis penipuan phishing lainnya. Jenis penipuan ini sangat umum, ia memiliki nama sendiri: 419 scam. Phisher berpura-pura menjadi pejabat Nigeria dalam kesulitan yang membutuhkan rekening bank AS untuk melepas uang. Orang yang mengizinkan penggunaan sementara akun mereka akan menerima hadiah yang bagus. Sebaliknya mereka yang memberikan informasi perbankan mereka menjadi korban pencurian.
Di AS, Federal Trade Commission (FTC) dan lainnya telah berkonsentrasi pada pendidikan publik untuk memerangi penipuan phishing, karena menangkap phisher itu sulit. Situs penipuan beroperasi untuk waktu yang sangat singkat dan penipuan sering dilakukan dari negara lain. Pada bulan Maret 2005, Microsoft mengajukan 117 tuntutan hukum phishing di Distrik Barat Washington dengan terdakwa yang tidak disebutkan namanya.
Kelompok Kerja Anti-Phishing (APWG) adalah organisasi sukarelawan internasional yang bekerja untuk melacak penipuan phishing. Situs web mereka menyimpan database online dari email penipuan yang dikirimkan kepada mereka. Anda dapat memeriksa situs ini untuk penipuan baru, atau mengirimi mereka email phisher yang Anda terima. APWG sebagian besar merupakan pusat informasi tetapi mereka menyediakan tautan ke sumber daya konsumen. FTC juga memiliki saran untuk konsumen, alamat email untuk melaporkan phishing, di situs web mereka.