Phishing-attacker, eller nätfiskeattacker, är ett sätt att övertala potentiella offer att lämna ut känslig information, till exempel autentiseringsuppgifter eller bank- och kreditkortsuppgifter. Det handlar om en kombination av social engineering (sociala manipuleringstekniker) och bedrägeri. Attacken sker vanligtvis i form av skräppost, skadliga webbplatser, e-postmeddelanden eller snabbmeddelanden som ser ut att komma från en legitim källa, till exempel en bank eller ett socialt nätverk. Angriparna använder ofta skrämseltaktik eller brådskande förfrågningar för att locka mottagarna att svara, och dessa bedrägliga meddelanden är vanligtvis inte personliga utan kan ha liknande generiska egenskaper.
Spear phishing är en mer sofistikerad och detaljerad version av phishing. Den riktar in sig på specifika organisationer eller individer och syftar till att ge obehörig åtkomst till konfidentiella uppgifter. Precis som vid vanlig phishing utger sig angriparna i spear phishing-attacker för att vara betrodda källor. Dessutom är attackerna personliga och taktiker som att låtsas vara avsändaren används.
Angriparna kan använda offentlig information som finns på sociala medier som LinkedIn eller Facebook och anpassa sitt meddelande eller låtsas vara användare så att spear phishing-meddelandet blir tillräckligt troligt och användarna känner sig tvingade att reagera på det.
(Spear) Phishing sker i form av oönskade, fräcka meddelanden. De kan verka för bra för att vara sanna, eller är helt enkelt oväntade, och språket är ofta överdrivet formellt eller fullt av stavfel.