Terminem „phishing” określa się działania przestępcze, obejmujące stosowanie socjotechnik (manipulowanie użytkownikami w celu uzyskania poufnych informacji). Działania takie są podejmowane z myślą o uzyskaniu dostępu do prywatnych danych, np. numerów kont bankowych, kodów PIN itp.

Dostęp jest zwykle uzyskiwany poprzez wysłanie wiadomości e-mail i podszycie się w niej pod osobę lub firmę godną zaufania (instytucję finansową, towarzystwo ubezpieczeniowe). Wiadomość taka jest łudząco podobna do oryginalnej, ponieważ zawiera materiały graficzne i tekstowe mogące pochodzić ze źródła, pod które podszywa się nadawca. W tego typu wiadomości znajduje się prośba o wprowadzenie (pod dowolnym pretekstem, np. weryfikacji danych, operacji finansowych) pewnych danych osobowych — numerów kont bankowych lub nazw użytkownika i haseł. Wszystkie dane tego typu mogą zostać po wysłaniu bez trudu przechwycone i wykorzystane do działań na szkodę użytkownika.

Należy zauważyć, że banki, towarzystwa ubezpieczeniowe i inne wiarygodne firmy nigdy nie proszą o podanie nazwy użytkownika i hasła w wiadomościach e-mail przesyłanych bez uprzedzenia.