phishing prijevara je prijevara s krađom identiteta koja stiže putem e-pošte. Čini se da e-pošta dolazi iz legitimnog izvora kao što je pouzdana tvrtka ili financijska institucija, a uključuje hitan zahtjev za osobnim podacima koji obično poziva na kritičnu potrebu za trenutnim ažuriranjem računa. Klikom na vezu navedenu u e-poruci vodi se na web stranicu službenog izgleda. Međutim, osobni podaci navedeni na ovoj stranici idu izravno prevarantu.
Prijevara je sve veći problem na Internetu jer su ljudi prevareni da daju osobne podatke uključujući brojeve kreditnih kartica, lozinke, majčino djevojačko prezime, brojeve bankovnih računa, pristupne kodove bankomata i brojeve socijalnog osiguranja. Zaštitnici od virusa i vatrozidovi ne hvataju većinu phishing prijevara jer ne sadrže sumnjivi kod, dok ih filteri za neželjenu poštu propuštaju jer se čini da dolaze iz legitimnih izvora.
Poveznice uključene u phishing prijevare vode nesuđenu osobu na lažnu web stranicu dizajniranu da oponaša pravu stvar, često do najsitnijih detalja, uključujući obavijesti o autorskim pravima, naslove podizbornika i tako dalje. Gotovo je nemoguće za većinu ljudi reći da su meta phishera samo gledajući stranicu. Međutim, tragovi u adresi ponekad mogu otkriti prijevaru.
Znakovi sličnog izgleda mogu se zamijeniti u pravopisu veze za pravi znak tako da se “1” (broj jedan) koristi umjesto malog slova “L”. Na primjer, phisheri su koristili paypa1.com umjesto paypal.com. Drugi put se IP adresa – brojčana adresa – koristi za skrivanje činjenice da poveznica ne vodi žrtvu na pravu stranicu. Međutim, prijevare s krađa identiteta postale su toliko sofisticirane da se može činiti da phisheri koriste legitimne veze, sve do sigurnosnog certifikata prave stranice.
Najbolji način da se netko zaštiti od krađe identiteta jest izbjegavanje slanja osobnih podataka u zahtjev e-pošte. Ako je zahtjev legitiman, treba pozvati odjel za korisničku podršku tvrtke da provjeri zahtjev prije pružanja bilo kakvih informacija; bilo koji telefonski brojevi sadržani u e-pošti, ako su uključeni, ne smiju se koristiti. Čak i ako je zahtjev legitiman, potrebno je ručno unijeti potrebnu adresu u preglednik, a ne kliknuti na vezu, budući da bi se prijevara za krađu identiteta mogla pokrenuti istodobno s legitimnim poslovanjem.
Na primjer, početkom travnja 2005. masovna e-poruka za koju se činilo da je od Microsoft Corporation potaknula primatelje da preuzmu dugo očekivano sigurnosno ažuriranje. Oni koji su kliknuli na vezu u e-poruci odvedeni su na web-mjesto koje je izgledalo kao legitimno Microsoftovo mjesto za ažuriranje. Međutim, umjesto da ažuriraju svoj softver, oni su zapravo preuzimali trojanskog konja — program za daljinski pristup koji može ukrasti osobne podatke. Microsoft ne koristi obavijest putem e-pošte na ovaj način, ali mnogi su korisnici uhvaćeni nesvjesni.
Poznato “pismo iz Nigerije” bilo je još jedna vrsta phishing prijevare. Ova vrsta prijevare je toliko rasprostranjena da ima svoje ime: 419 prijevara. Prevarant se pretvara da je nigerijski dužnosnik u nevolji kojemu je potreban račun u američkoj banci da bi prenio novac. Osoba koja je dozvolila privremeno korištenje svog računa dobila bi lijepu nagradu. Umjesto toga, oni koji su dali svoje bankovne podatke postaju žrtve krađe.
U SAD-u, Federal Trade Commission (FTC) i drugi usredotočili su se na obrazovanje javnosti kako bi se borili protiv phishing prijevara, jer je teško uhvatiti phishere. Prijevarne stranice rade vrlo kratko, a prijevare se često vode iz drugih zemalja. U ožujku 2005. Microsoft je podnio 117 tužbi za krađu identiteta u zapadnom okrugu Washingtona s neimenovanim optuženicima.
Anti-Phishing Working Group (APWG) međunarodna je organizacija volontera koji rade na praćenju phishing prijevara. Njihova web stranica čuva online bazu podataka lažnih e-poruka koje su im poslane. Možete provjeriti ovu stranicu za nove prijevare ili im poslati phisher e-poštu koju primite. APWG je uglavnom informacijsko središte, ali pruža veze s potrošačkim resursima. FTC također ima savjete za potrošače, adresu e-pošte za prijavu krađe identiteta, na svojoj web stranici.