Phishing fait référence à une escroquerie semblable à la pêche - d'où le nom - dans laquelle l'escroc tente d'obtenir des informations précieuses en attirant ou le harcèlement d'une personne à une communication authentique mine mais bidon qui gagne en crédibilité en imitant une marque d'entreprise bien connu tel que celui d'une banque, une société de carte de crédit, etailer, site de média social ou un site de paiement. Le terme est apparu en 1996. Le spear phishing continue l'analogie et désigne un style spécifique de phishing.
Les courriels d'hameçonnage sont envoyés à un large public et donnent généralement un sérieux avertissement, indiquant que quelque chose de mauvais ne peut être évité par le destinataire confirmant certaines informations. L'information est généralement personnelle et critique, comme un numéro de sécurité sociale ou votre numéro de compte et mot de passe. Un lien dans le courriel prend le destinataire vers un site Web où l'information est recueillie, le résultat étant que le bénéficiaire perd un compte bancaire ou est victime d'une usurpation d'identité
.
E-mails de phishing Spear diffèrent de courriels d'hameçonnage de plusieurs façons. D'abord, ils sont envoyés à un public bien ciblé, comme les employés d'une certaine organisation ou des membres d'un groupe particulier. Deuxièmement, le courriel semble provenir d'un collègue au sein de l'organisation ou du groupe, et ils sont souvent construits avec plus de soin que les emails de phishing, qui peuvent présenter des signes évidents d’imposture. Troisièmement, le but n'est pas d'obtenir simplement un nom, mot de passe ou informations de carte de crédit d'un individu, mais à infiltrer le réseau informatique de l'entreprise.
L'une des attaques de phishing de lance les plus notables, souvent appelés «chasse» en raison de l'envergure de l'auditoire cible, c'était une attaque de Double Whammy 2008 contre environ 20.000 hauts dirigeants d'entreprises. Deux mille est tombé pour la première attaque, mais seulement 70 pour le second. Les deux attaques Masqueradée comme une assignation officielle à comparaître devant un grand jury fédéral, et en cliquant sur le lien à ce qui était censé être une copie complète de l'assignation en fait conduit à un site où un clic supplémentaire installé le logiciel sur leur ordinateur qui a permis à l' le vol des identifiants de connexion. Le logiciel malveillant dans le premier cas a été capturé par seulement huit des 35 meilleurs produits anti-logiciels malveillants et les logiciels malveillants a été modifié seulement capté par 11 d'entre eux dans la seconde attaque.
Il y a des mesures que les gens peuvent prendre pour éviter les escroqueries par phishing lance. Si l'on soupçonne une arnaque, il faut appeler la personne un courriel semble provenir. Il ne faut jamais cliquer sur des liens dans un e-mail suspect ou ouvrir les pièces jointes. C'est aussi une bonne idée d'appeler un département IT ou Internet Service Provider (ISP) pour obtenir des conseils. Plutôt que de simplement supprimer e-mail suspect qui pourrait arriver à son travail, on ferait mieux de le signaler à la personne appropriée dans son entreprise.