Der aus dem englischen Sprachraum stammende Begriff ist ein Kunstwort und setzt sich aus "Pasword" und "Fishing" zuammen.

Phishing ist eine Art des Computerbetruges und betrifft Manipulationen am eigenen PC durch Vornahme oder Verfälschung von Transaktionen zu Lasten des Opfers.

Dies ist dann möglich, wenn dem Täter die PIN und TAN, die man zusammen für Transaktionen im Online-Banking benötigt, bekannt werden.

Früher wurden dazu so genannte Phishing-Mails versandt, bei denen angeblich die Bank des Kunden diesen zur Nennung von PIN und mehrerer TANs aufforderte, um angeblich eine "Sicherheitsüberprüfung" oder Ähnliches vorzunehmen.

Heute fallen kaum noch Kunden auf diese Masche herein, so dass die Täter zu anderen Mitteln greifen. Hierbei kommen so genannte "Trojaner" ins Spiel, die sich jeder ohne aktuelle Virenscanner "einfangen" kann. Ist erst einmal ein Trojaner installiert, kann der Kriminelle im Hintergrund jede Tastatur- und Mauseingabe im Hintergrund mit verfolgen. Er weiß damit z.B. bald, welche Zugangs-PIN der Kunde benutzt, weil diese immer gleich bleibt.

Die TAN herauszufinden ist schon etwas schwieriger, aber durch die so genannte "man-in-the-middle-Methode" auch nicht unmöglich. Dabei wird dem Kunden vorgegaukelt, dass er sich auf der Seite seiner Bank befindet, während diese nur nachgebaut wurde. Der Kunde wird durch einen Trojaner auf eine solche nachgemachte Seite geführt, sobald er z.B. die Bankseite unter "Favoriten" oder als "Lesezeichen" aufgerufen wird. Die dort hinterlegten Adressen können mit Hilfe der Trojaner manipuliert werden.

Gibt der Kunde einen Überweisungsauftrag auf der gefälschten (Bank-)Seite ein, wird dies in Echtzeit durch den Kriminellen auf der anderen Seite auf der echten Bankseite ebenfalls vorgenommen. Einziger Unterschied ist, dass der Täter einen anderen Überweisungsempfänger und vor allem einen wesentlich höheren Betrag eingibt. Was ihm zur Ausführung der gefälschten Überweisung noch fehlt, ist die TAN, bzw. die so genannte indizierte TAN (iTAN). Diese wird vom Institut jeweils und willkürlich vorgegeben. Diese Aufforderung erhält der Täter auf der richtigen Bankseite und gibt diese als Vorgabe an das Opfer, der sich auf der gefälschten Seite befindet, weiter. Der Kunde gibt dann die bis dato nur ihm bekannte, richtige TAN auf der gefälschten Seite ein, so dass der Kriminelle diese eingegebene TAN nur abzulesen und für seine manipulierte Überweisung eingeben muss.

Das Opfer merkt den Betrug erst bei einem Blick auf den nächsten Kontoauszug.

Um nicht auf gefälschte Seiten gelenkt zu werden, sollte immer manuell die Bankverbindung im Browser eingegeben werden. Auch nach der Rechtsprechung haften Kunden für entstandene Schäden durch Phishing, wenn sie nicht zumindest einen aktuell gehaltenen Virenscanner installiert haben. Teilweise wird auch das Vorhalten einer funktionierenden Firewall zur Voraussetzung gemacht.

Wenn ein Kunde weder Virenscanner noch Firewall installiert hat, kann es passieren, dass ein Kunde den entstandenen Schaden durch sein Kreditinstitut nicht ersetzt bekommt.

Zusätzlich dazu sollte bei Eingaben im jeweiligen Internet-Browser darauf geachtet werden, dass man sich auf einer Seite befindet, die mit "https://" beginnt. Dieses deutet darauf hin, dass man sich auf einer gesicherten Seite befindet.