Phishing ist eine besondere Art des Spam. Der Begriff Phishing setzt sich zusammen aus “Password” und “Fishing” (fischen). Er spielt darauf an, dass Angreifer versuchen, die Passwörter eines Anwenders zu fischen (angeln). Dies erfolgt zumeist über gefälsche E-Mails und / oder Internetseiten.
Beispielsweise erhält ein Anwender eine E-Mail, die angeblich von seiner Bank stammt. Absendername (das Kreditinstitut) und optische Gestaltung einer solchen Phishing-Mail stimmen in der Regel mit denen einer Originalmail von dessen Bank überein. Allerdings führen die in der Phishing-Mail enthaltenen Links (z.B. zur Anmeldeseite des Online-Bankings) nicht zum Internetauftritt der Bank, sondern zu einer Internetadresse des Angreifers. Die dort hinterlegte Internetseite ist ein Nachbau der originalen Bankseite und auch deren Internetadresse (URL) ist eng an die der originalen Bank-URL angelehnt (z.B. meinebank.de statt meine-bank.de). Dadurch nehmen viele Anwender den Unterschied nicht bewußt wahr.
Mit gezielten, psychologischen Manipulationen wird der Empfänger einer solchen Phishing-Mail dazu verleitet, den darin enthaltenen Link zum “Online-Banking” anzuklicken und sich mit seinen Zugangsdaten anzumelden. Beispielsweise könnte ihm vorgekaukelt werden, dass er bei sofortiger Anmeldung an seinem Online-Banking über den in der Phishing-Mail enthaltenen Link an einem Gewinnspiel teilnimmt.
Gibt der so getäuschte Nutzer auf dieser gefälschten Bankseite nun seine Zugangsdaten zum Online-Banking ein, landen diese direkt in den Händen des Angreifers, welcher diese dazu verwendet, oft schon wenige Minuten später die Konten der “gefishten” Opfer zu leeren.
Während Phishing-Angriffe ungezielt erfolgen (sprich man versucht irgendwen anzugreifen), sind Spear-Phishing-Angriffe zielgerichtet und auf eine bestimmte Person / Personengruppe ausgelegt.