금융기관 등의 웹사이트나 거기서 보내온 메일로 위장하여 개인의 인증번호나 신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 사기수법이다. 개인정보(private data)와 낚시(fishing)를 합성한 조어(造語)라고 하는 설과 그 어원은 fishing이지만 위장의 수법이 '세련되어 있다(sophisticated)'는 데서 철자를 'phishing'으로 쓰게 되었다는 설이 있다.
대표적인 수법으로 이메일의 발신자 이름을 금융기관의 창구 주소로 한 메일을 무차별적으로 보내는 것이 있다. 메일 본문에는 개인정보를 입력하도록 촉구하는 안내문과 웹사이트로의 링크가 기재되어 있는데, 링크를 클릭하면 그 금융기관의 정규 웹사이트와 개인정보입력용 팝업 윈도가 표시된다.
메인윈도에 표시되는 사이트는 '진짜'이지만, 팝업 페이지는 '가짜'이다. 진짜를 보고 안심한 사용자가 팝업에 표시된 입력란에 인증번호나 비밀번호, 신용카드번호 등의 비밀을 입력·송신하면 피싱을 하려는 자에게 정보가 송신된다.
URL에 사용되는 특수한 서식을 이용하여, 마치 진짜 도메인에 링크되어 있는 것처럼 보이게 하거나, 팝업 윈도의 어드레스바를 비표시로 하는 등 교묘한 수법을 이용하고 있어 피해자가 속출하고 있다.
2004년 10월, 정보통신부가 발표한 피싱 대응요령을 보면 다음과 같다. ① 은행, 카드사 등에 직접 전화를 걸어 이메일에서 안내한 사항이 사실인지를 확인한다. ② 이메일에 링크된 주소를 바로 클릭하지 말고, 해당 은행, 카드사 등의 홈페이지 주소를 인터넷창에 직접 입력해 접속한다. ③ 출처가 의심스러운 사이트에서 경품에 당첨됐음을 알리는 경우, 직접 전화를 걸어 확인하고 사실인 경우에도 가급적 중요한 개인정보는 제공하지 않는다. ④ 피싱이 의심되는 메일을 받았을 경우 해당 은행, 카드사 및 한국정보보호진흥원 등에 신고한다. ⑤ 은행, 신용카드, 현금카드 등의 내역을 정기적으로 확인한다.
