Krađa identiteta odnosi se na prijevaru analognu ribolovu – otuda i naziv – u kojoj prevarant pokušava dobiti vrijedne informacije namamljenjem ili mamljenjem osobe autentičnom, ali lažnom komunikacijom koja stječe vjerodostojnost oponašajući dobro poznatu korporativnu marku kao što je ona banke, tvrtke za izdavanje kreditnih kartica, prodavača, web-mjesta društvenih medija ili web-mjesta za plaćanje. Pojam je nastao 1996. Spear phishing nastavlja analogiju i označava specifičan stil phishinga.
E-poruke o krađi identiteta šalju se širokoj publici i općenito daju strašno upozorenje, navodeći da se nešto loše može izbjeći samo ako primatelj potvrdi određene informacije. Informacije su obično osobne i kritične, poput broja socijalnog osiguranja ili broja vašeg računa i lozinke. Hiperveza u e-poruci primatelja vodi na web stranicu na kojoj se prikupljaju podaci, a rezultat je da primatelj gubi bankovni račun ili je žrtva krađe identiteta.
Spear phishing e-poruke se razlikuju od phishing e-pošte na nekoliko načina. Prvo, šalju se pažljivo ciljanoj publici, poput zaposlenika određene organizacije ili članova određene grupe. Drugo, čini se da e-poruka dolazi od kolege unutar organizacije ili grupe, a često su izrađene s više pažnje nego e-poruke za krađu identiteta, koje mogu pokazivati očite znakove lažiranja. Treće, cilj nije jednostavno dobiti ime, lozinku ili podatke o kreditnoj kartici od pojedinca, već infiltrirati se u računalnu mrežu tvrtke.
Jedan od najzapaženijih napada krađe identiteta, koji se zbog kalibra ciljane publike često naziva “lovom na kitove”, bio je dvostruki napad na oko 2008 viših korporativnih rukovoditelja iz 20,000. godine. Dvije tisuće palo je za prvi napad, ali samo 70 za drugi. Oba napada maskirana kao službeni sudski poziv za pojavljivanje pred federalnom velikom porotom, a klikanje na vezu na ono što je trebala biti potpunija kopija sudskog poziva zapravo je dovelo do stranice na kojoj je dodatni klik instalirao softver na njihovo računalo koje je omogućilo krađa vjerodajnica za prijavu. Zlonamjerni softver u prvom slučaju uhvatilo je samo osam od 35 najboljih anti-malware proizvoda, a modificirani zlonamjerni softver u drugom je napadu pokupilo samo njih 11.
Postoje koraci koje ljudi mogu poduzeti da izbjegnu prijevaru krađe identiteta. Ako netko posumnja na prijevaru, treba nazvati osobu od koje se čini da je e-mail. Nikada ne smijete kliknuti na bilo koju poveznicu u sumnjivoj e-pošti ili otvarati privitke. Također je dobra ideja nazvati svoj IT odjel ili davatelja internetskih usluga (ISP) za smjernice. Umjesto da samo izbrišete sumnjivu e-poštu koja bi mogla stići na posao, bilo bi bolje da je prijavite odgovarajućoj osobi u svojoj tvrtki.