Er en teknik, hvor en it-kriminel via en forfalsket webside udgiver sig for at være en betroet virksomhed eller organisation. Formålet er at aflure sensitiv personlig information fra offeret, såsom kreditkort-informationer. Denne form for kriminel aktivitet benytter sig af social engineering (se social engineering) teknikker, hvor offeret lokkes til den falske webside via en mail eller instant messenger besked. Afsenderen fremstår oftest som en betroet person eller virksomhed. Eller afsenderadressen kan forfalskes til at fremstå, som om beskeden kommer fra en ven eller bekendt.
Således lokkes offeret til at svare beskeden eller følge linket til den falske webside, som den it-kriminelle kontrollerer.
Oftest konstrueres den falske webside til at ligne websiden til et pengeinstitut, betalings-/pengeoverføringsfirma eller anden betroet virksomhed, hvor offeret kan lokkes til at oplyse kreditkort-informationer.
Phishing-mailen som udsendes har til formål at virke lokkende eller troværdig nok til at få folk til at følge linket. Langt størstedelen ignorerer og sletter mailen - men udsendes den til tilstrækkelig mange personer, er der en chance for, at nogle vil lade sig lokke til at følge linket, og dermed har den it-kriminelle opnået det ønskede resultat.
Phishing kan også ske ved at brugeren tilfældigt skriver en forkert adresse i browseren, og derved lander på en phishing side (for eksempel "danske-bank.dk" i stedet for "danskebank.dk") (se typosquatting).