Phishing es una forma de engaño mediante la cual los atacantes envían un mensaje (anzuelo) a una o a varias personas, con el propósito de convencerlas de que revelen sus datos personales. Generalmente, esta información es utilizada luego para realizar acciones fraudulentas como transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otros comportamientos delictivos que requieren el empleo de tales datos.
El medio más utilizado actualmente por los atacantes para realizar una acometida de Phishing es el correo electrónico. Sus mensajes suelen ser muy convincentes, ya que simulan haber sido enviados por una entidad conocida y confiable para el usuario con la cual éste opera habitualmente, por ejemplo, un banco o una empresa con la que realiza transacciones comerciales a través de Internet.
En el mensaje se alegan motivos diversos, como problemas técnicos, actualización o revisión de los datos de una cuenta. A continuación, para –supuestamente- verificar o modificar sus datos personales, se le solicita que ingrese a un determinado sitio Web: su nombre completo, RUT, claves de acceso, etc. Dicha página Web es, en realidad, un sitio falsificado que simula ser el de la entidad en cuestión, pero como su diseño suele ser muy similar al de la organización de cuya identidad se han apropiado - a veces resulta prácticamente idéntico-, el usuario no puede percatarse del engaño.
En otros casos, la artimaña se basa en el parecido entre las direcciones Web del sitio auténtico y el apócrifo. En muchas ocasiones incluso, el texto del enlace escrito en el correo electrónico se corresponde con la dirección real del sitio Web y si el usuario hace clic en dicho enlace, se lo redirige a una página falsa, controlada por los atacantes.