Una estafa de phishing es una estafa de robo de identidad que llega por correo electrónico. El correo electrónico parece provenir de una fuente legítima, como una empresa o institución financiera de confianza, e incluye una solicitud urgente de información personal que generalmente invoca alguna necesidad crítica de actualizar una cuenta de inmediato. Al hacer clic en un enlace proporcionado en el correo electrónico se accede a un sitio web oficial. Sin embargo, la información personal proporcionada a este sitio va directamente al estafador.

El fraude es un problema creciente en Internet, ya que se engaña a las personas para que proporcionen información personal, incluidos números de tarjetas de crédito, contraseñas, apellido de soltera de la madre, números de cuentas bancarias, códigos de acceso de cajeros automáticos y números de seguridad social. Los protectores de virus y los firewalls no detectan la mayoría de las estafas de phishing porque no contienen código sospechoso, mientras que los filtros de spam los dejan pasar porque parecen provenir de fuentes legítimas.

Los enlaces incluidos en las estafas de phishing llevan a la persona desprevenida a un sitio web fraudulento diseñado para imitar lo real, a menudo hasta el más mínimo detalle, incluidos avisos de derechos de autor, títulos de submenú, etc. Es prácticamente imposible para la mayoría de las personas decir que son el objetivo de un phisher mirando solo el sitio. Sin embargo, las pistas en la dirección a veces pueden revelar el engaño.

Se pueden sustituir caracteres similares en la ortografía del enlace para el carácter real de modo que se use un "1" (número uno) en lugar de una "L" minúscula. Por ejemplo, los phishers han usado paypa1.com en lugar de paypal.com. Otras veces, una dirección IP, una dirección numérica, se utiliza para ocultar el hecho de que el enlace no lleva a la víctima al sitio real. Sin embargo, las estafas de phishing se han vuelto tan sofisticadas que los phishers también pueden estar usando enlaces legítimos, hasta el certificado de seguridad del sitio real.

La mejor manera de que alguien pueda protegerse de las estafas de phishing es evitar el suministro de información personal a una solicitud por correo electrónico. Si la solicitud puede ser legítima, se debe llamar al departamento de servicio al cliente de la compañía para verificar la solicitud antes de proporcionar cualquier información; cualquier número de teléfono contenido en el correo electrónico, si está incluido, no debe usarse. Incluso si la solicitud es legítima, uno debe ingresar manualmente la dirección requerida en el navegador en lugar de hacer clic en un enlace, ya que una estafa de phisher podría ejecutarse simultáneamente con negocios legítimos.

Por ejemplo, a principios de abril de 2005, un correo electrónico masivo que parecía ser de Microsoft Corporation instó a los destinatarios a descargar una actualización de seguridad muy esperada. Los que hicieron clic en el enlace del correo electrónico fueron llevados a un sitio que parecía un sitio legítimo de actualización de Microsoft. Sin embargo, en lugar de actualizar su software, en realidad estaban descargando un caballo de Troya, un programa de acceso remoto que puede robar información personal. Microsoft no utiliza la notificación por correo electrónico de esta manera, pero muchos usuarios fueron sorprendidos sin darse cuenta.

La famosa "carta de Nigeria" fue otro tipo de estafa de phishing. Este tipo de estafa es tan frecuente que tiene su propio nombre: 419 estafa. El phisher pretende ser un funcionario nigeriano en apuros que requiere una cuenta bancaria estadounidense para descargar dinero. La persona que permitió el uso temporal de su cuenta recibiría una hermosa recompensa. En cambio, quienes proporcionaron su información bancaria se convierten en víctimas de robo.

En los Estados Unidos, la Comisión Federal de Comercio (FTC) y otros se han concentrado en la educación pública para combatir las estafas de phishing, ya que atrapar a los phishers es difícil. Los sitios fraudulentos operan por períodos muy cortos de tiempo y las estafas a menudo se ejecutan desde otros países. En marzo de 2005, Microsoft presentó 117 demandas de phishing en el Distrito Oeste de Washington con acusados no identificados .

El Anti-Phishing Working Group (APWG) es una organización internacional de voluntarios que trabajan para rastrear estafas de phishing. Su sitio web mantiene una base de datos en línea de correos electrónicos fraudulentos enviados a ellos. Puede consultar este sitio en busca de nuevas estafas o enviarles un correo electrónico de phisher que reciba. El APWG es en gran medida un centro de información, pero proporciona enlaces a recursos del consumidor. La FTC también tiene consejos para los consumidores, una dirección de correo electrónico para denunciar el phishing, en su sitio web.