(ang. password fishing) – metoda podstępnego uzyskiwania haseł dostępu do internetowych kont bankowych użytkownika za pośrednictwem e-maili. Przestępca zwykle podszywa się pod przedstawiciela finansowych instytucji próbując nakłonić odbiorców e-maili do przesłania im haseł oraz innych danych osobowych, bądź pilnej aktualizacji swoich danych na spreparowanej fałszywej stronie internetowej banku, która zbiera nasze dane dostępowe do prawdziwej witryny instytucji finansowej.
Aby uchronić się przed phishingiem należy zawsze ignorować e-maile wzywające do wprowadzenia danych potrzebnych do logowania, nawet jeżeli ich autorzy grożą zablokowaniem konta i podobnymi konsekwencjami. Żadna poważna instytucja finansowa nie żąda nigdy podania swoich danych lub ich aktualizacji tą drogą! Ktoś, kto chce mieć całkowitą pewność, powinien zadzwonić do banku lub sklepu internetowego (ale nie pod numer podany w e-mailu!) i dowiedzieć się osobiście, czy e-mail faktycznie pochodzi od tej instytucji, a jeśli tak, to o co chodzi z aktualizacją danych na żądanie.
Oczywiście warto także stosować rozwiązania zabezpieczające przeciw atakom „phisingowym” – istnieje wiele programów oraz dodatków do przeglądarek, które rozpoznają fałszywe strony internetowe i ostrzegają użytkownika zanim ten poda swoje dane.
Można wyróżnić kilka różnych sposobów zachęcania użytkowników do odwiedzania fałszywych stron WWW:
Technika spamowa polegająca na wysyłaniu wiadomości e-mail imitujących prawdziwą korespondencję wysyłaną przez różne instytucje.