Nelle truffe di phishing e pharming, i ladri usano e-mail e siti Web fasulli per prendere il posto di organizzazioni legittime. I messaggi di phishing sembrano provenire da società legittime come PayPal, Poste Italiane, UPS, istituti bancari. Solitamente contengono messaggi allarmanti (del genere "Verifica il tuo account" oppure "Se non rispondi il tuo account sarà chiuso in 48 ore), spesso in un italiano poco corretto, perchè scritti in inglese e tradotti con strumenti web, che invitano a inserire informazioni personali e credenziali web.
L'utente che clicca nel link viene reindirizzato su un sito fasullo e spinto a immettere le informazioni relative al proprio account, con conseguente furto di identità. Una volta effettuato il login sul sito-copia, i dati sono archiviati nel database del server di chi ha condotto l'attacco, che potrà disporne a proprio piacimento. Può accadere, inoltre, che visitando il portale fasullo si sia infettati da trojan horse e malware di vario tipo.
Quali sono le armi di difesa?
Le armi di difesa degli utenti contro questa forma di truffa informatica si basano sul buon senso: un’istituzione seria non chiederà mai i dati personali di un utente tramite email. Per questo bisogna controllare scrupolosamente che l'indirizzo del mittente e il link corrispondano perfettamente al sito web ufficiale e non contengano qualche "errore di battitura", inoltre bisogna evitare di accedere al proprio account tramite il link presente nel messaggio di posta elettronica.
Con il passare degli anni e il crescere dei tentativi di attacco phishing, i provider di posta elettronica e le software house che sviluppano client email hanno dotato i loro prodotti di filtri antispam e antiphishing che proteggono l'incolumità dell'internauta. Non sempre, però, le maglie dei sistemi di sicurezza riescono a intercettare le email truffaldine: il superamento dei sistemi di sicurezza non è affatto sinonimo della veridicità del mittente.