Nella storia del crimine, durante i secoli, la possibilità di assumere l'identità di altre persone è sempre stata molto importante: appropriandosi dei dati di un'altra persona infatti, un criminale è in grado di portare a termine il suo piano praticamente in maniera anonima.

Oggi, il furto dell'identità elettronica puo avvenire in moltissimi modi, e talvolta, sfruttando l'ingenuità delle vittime, è molto semplice.

Il nome è phishing, risale circa al 1981 ed è una storpiatura del termine fishing (pescare), originariamente indicava il furto di password (i pesci o phish, nel gergo) di account del provider internet AOL.
Oggi indica l'azione di ottenere, tramite tecniche di circonvenzione (Il termine inglese è social engineering, o ingegneria sociale) dati riservati da parte di utenti di organizzazioni, istituti di credito, banche, ovviamente a scopo criminoso.
Gli attacchi di phishing hanno mostrato una escalation notevole, non solo in quanto a quantità, ma soprattutto nella sofisticazione delle tecniche utilizzate: secondo Gartner, a metà dell'anno scorso, ben 57 milioni di persone avaevano ricevuto una email di questo tipo, e cosa ben più grave, circa 1.7 milioni di persone ne erano state vittima, fornendo dati personali riservati.

Il principio alla base di questa nuova truffa è semplice: i truffatori inviano email falsificate che sembrano provenire da società affidabili, come banche, provider di servizi Internet o siti di e-commerce. I destinatari vengono scelti a caso tra gli indirizzi rastrellati sul Web, e e le email vengono inviate sfruttando gli stessi canali usati dagli spammer.

I truffatori prendono ogni accorgimento per far sì che il messaggio sembri il più vero possibile: il logo e l'indirizzo e-mail di provenienza vengono camuffati, che si preoccupano persino di creare un sito (mirror) il più possibile simile a quello originale.

La truffa inizia con la ricezione di un e-mail da parte della vittima. Il messaggio invita l'utente di Internet ad andare sul sito fasullo per aggiornare i propri dati personali (relativi a un conto bancario o a un servizio on-line di altro genere).
I truffatori accennano a "problemi di sicurezza, o richiesta di aggiornamento dati" come pretesto per richiedere la convalida delle informazioni. L'utente deve infine "confermare" il proprio numero di telefono o di carta di credito, o addirittura la propria password di accesso al sito. I truffatori raccolgono quindi queste informazioni per poi utilizzarle per fare acquisti sul Web o accedere gratuitamente ai servizi on-line in questione: se si tratta di servizi bancari, è ben chiaro il pericolo.
Il phishing ha visto coinvolti anche i principali operatori dell'e-commerce, come eBay, PayPal, BestBuy, AOL e Amazon.

Come difendersi? Se siete molto esperti potete identificare una mail contraffatta esaminandone la struttura, e studiandone l'intestazione, (gli headers), ma un utente comune come può difendersi?

Tenete il vostro pc aggiornato! Scaricate regolarmente gli aggiornamenti da Windows update, se usate MS Windows come sistema operativo.

Non rispondere mai a richieste di informazioni personali ricevute tramite posta elettronica. In caso di dubbio, rivolgetevi all'istituto che dichiara di avervi inviato l'e-mail. Ricordate che nessun ente, istituto, o sito di e-commerce vi chiederà MAI, numeri di carta di credito, codici bancomat o password tramite una email.

Se siete in dubbio, visitate i siti Web digitandone il rispettivo URL nella barra degli indirizzi. Se sospettate che un'e-mail proveniente dalla società di emissione della vostra carta di credito, da una banca o da un servizio di pagamento on line non sia autentica, non utilizzate i collegamenti in essa contenuti per accedere ai relativi siti Web. Questi collegamenti potrebbero condurvi ad un sito fasullo, dal quale, tutte le informazioni immesse potrebbero essere inviate al truffatore

Anche se sulla barra degli indirizzi viene visualizzato l'indirizzo corretto, non lasciatevi ingannare. Gli hacker conoscono molti modi per visualizzare un falso URL nella barra degli indirizzi del vostro browser.

Verificare che il sito Web utilizzi la crittografia prima di inserire dati riservati. I browser la indicano come un lucchetto che appare nella barra di stato.
Questo garantisce che la trasmissione dei dati sarà cifrata e che il sito a cui li state trasferendo è autenticato.

Esaminare regolarmente i rendiconti bancari e della carta di credito.

Denunciare sospetti usi illeciti delle proprie informazioni personali alle autorità competenti.