Il phishing è un tentativo di frode messo in pratica attraverso Internet che ha come unico scopo quello di carpire informazioni riservate e sensibili quali, ad esempio, username, password, codici di accesso, numeri del conto corrente o dati della carta di credito. Non a caso phishing deriva dal termine inglese fishing che significa ''pescare''. Per mettere in pratica questo tentativo di frode, i malintenzionati che si avvalgono delle tecniche di phishing non utilizzano però virus, spyware, malware o altre tipologie di software malevolo, ma si limitano ad usare tecniche di ingegneria sociale, attraverso le quali vengono studiate ed analizzate le abitudini delle vittime.

La tecnica preferita per portare a termine un attacco di phishing consiste nell'inviare delle normali email, sotto forma di messaggi di spam, con sembianze e caratteristiche molto simili a quelle riscontrabili su siti web autorevoli e particolarmente diffusi come, ad esempio, istituti bancari, istituti postali, e servizi di pagamento online. Oltre a questa tecnica particolarmente diffusa, ne esistono però diverse altre, che sono meno frequenti ma pur sempre efficaci, quali lo spear phishing, l'invio di particolari SMS ingannevoli, talvolta anche delle semplici telefonate.

Si articola in diverse fasi. La prima di queste, consiste nell'inviare alle potenziali vittime dei messaggi di posta elettronica contenenti delle informazioni, e magari anche dei loghi, tali da sembrare, allo stesso tempo, il più possibile familiari e allettanti. Per far sì di essere credibile, il messaggio fraudolento informa l'utente, guarda caso non chiamandolo mai con il proprio nome, simulando delle situazioni che possono in realtà verificarsi per davvero. Ad esempio, un tipico messaggio di phishing potrebbe riguardare:

• la scadenza di una determinata password;
• l’accettazione dei cambiamenti delle condizioni contrattuali;
• il potenziale rinnovo della carta prepagata o della carta di credito, tipo Postepay, CartaSi, Visa o MasterCard;
• dei potenziali problemi inerenti accrediti, addebiti o trasferimenti di denaro su determinati conti online, tipo PayPal, MoneyGram o Western Union;
• la mancata, incompleta o errata presenza di informazioni, che magari riguardano Poste Italiane e/o gli account di Google, Facebook o Twitter;
• la presenza di offerte di lavoro particolarmente allettanti, che magari invitano ad inserire le coordinate bancarie per far sì di esser tra i primi a beneficiarne;

Una volta catturata l'attenzione dell' utente, il messaggio, contenente un apposito allegato o un semplice collegamento ipertestuale, permetterà di effettuare l'accesso al sito Internet in questione, che assomiglierà il più possibile a quello ufficiale, con la speranza che l'utente inserisca username, password e/o altre potenziali informazioni che possano rivelarsi utili in qualche modo. Se a questo punto l'utente di turno "abbocca all'amo", il phisher potrà disporre come gli pare e piace dei dati in suo possesso.

Oltre al phishing, esiste anche un'altra tecnica che viene talvolta utilizzata per avere accesso a potenziali informazioni riservate e delicate. Questa tecnica viene chiamata pharming ed ha, praticamente, lo stesso scopo del phishing. A differenza del phishing, la tecnica del pharming viene però attuata sfruttando altri metodi: o variando i server DNS dell'ISP utilizzato, oppure utilizzando dei particolari programmi conosciuti come trojan.

Per difenderti dal phishing e/o dal pharming bisogna seguire alcuni consigli:

1. innanzitutto, verifica la provenienza del messaggio e leggilo attentamente poichè potrebbero anche esserci degli errori grammaticali, di formattazione o di traduzione che dovrebbero quindi già farti insospettire in qualche modo;
2. non cliccare mai sui collegamenti contenuti nel messaggio fraudolento e non scaricare/aprire mai eventuali allegati in esso presenti. Inoltre, se proprio vuoi contattare o raggiungere la presunta fonte del messaggio, fallo direttamente e mai attraverso il messaggio fraudolento che ti è stato inviato;
3. controlla sempre l'URL del sito che compare nella barra degli indirizzi del tuo browser preferito e non lasciare mai troppe tab aperte in quest'ultimo, altrimenti potresti anche essere vittima di una tecnica conosciuta come tabnabbing;
4. verifica periodicamente i movimenti del tuo conto corrente e, se è possibile, attiva il servizio di SMS alert che ti informerà non appena avverranno dei movimenti di denaro sul tuo conto;
5. blocca subito eventuali pagamenti sospetti e non riscuotere mai per nessun motivo degli accrediti che non hai mai richiesto, altrimenti potresti essere persino accusato di riciclaggio;
6. infine, se noti la presenza di email sospette, segnalalo al proprietario del servizio di posta elettronica contrassegnando il messaggio come spam. Se invece noti la presenza di siti sospetti sarebbe il caso di fare una denuncia alle autorità competenti, o quanto meno informare la vera fonte in questione.