Целью фишинг-рассылок являются персональные данные пользователя (логины, пароли, пин-коды, номера кредитных карт и тому подобное). В дальнейшем, как не сложно догадаться, эти данные используются злоумышленниками для получения возможной наживы. Как правило, фишинговые письма весьма талантливо имитируют настоящие сообщения реально существующих организаций. Наиболее часто они пародируют различные платёжные системы (ebay, paypal). В таких письмах содержится ссылка, пройдя по которой, потенциальная жертва попадает на поддельную страницу, специально изготовленную мошенником. Страница выглядит как реально существующая на сайте компании, от имени которой было отправлено письмо. На фальшивом сайте под тем или иным предлогом жертве предлагается ввести свои личные данные для авторизации. Как итог – личная информация посетителя попадает в базы мошенников.

Если верить статистике из разных источников, фишинг пока что не является чрезмерно опасным явлением. На данный момент даже «писем счастья» пользователям приходит значительно больше, чем фишинговых сообщений. Однако, наиболее вероятно, что такое положение дел временное. Индустрия фишинга в России ещё не доросла до таких «поставленных на рельсы» механизмов, как реальный спам. Сейчас энтузиасты только обкатывают новые технологии на рунетовских пользователях. Но, по прогнозам mail.ru, уже к 2006-2007 году доля такого спама окажется на уровне, соизмеримом с уровнем рекламного спама. Не стоит забывать и о том, что каждое фишинговое письмо потенциально способно причинить в сотни раз больший ущерб (в случае успешного «облапошивания» получателя), чем тысячи сообщений обычного рекламного спама. Если потери от чтения рекламы можно свести к трафику и затратам времени на его отсеивание, то потери от фишинга могут быть поистине фатальными для финансового положения «попавшегося» пользователя. К сожалению, есть достаточно много факторов, затрудняющих борьбу с фишингом, то есть при одинаковом допустимом проценте ложных срабатываний любая современная антиспам-система пропустит меньше рекламных сообщений, чем фишинговых.

Историю фишинга, скорее всего, следует начинать с середины 90-х годов. Тогда в компании AOL были сильно распространены сообщения, подписанные якобы администрацией. В этих сообщениях предлагали (объясняя это разными причинами) прислать пароль от своего аккаунта, который в противном случае угрожали закрыть.

Разумеется, со временем до пользователей довели информацию, что пароли в письмах не запрашиваются и не отсылаются, поэтому эффективность этого метода стала стремиться к нулю. Однако новая уловка мошенников не заставила себя долго ждать. Немного изменив содержимое писем, они стали сообщать о каком-либо событии на сервере (например, PayPal), требующем от пользователя некой реакции. В теле сообщения была ссылка, которая, как уже было сказано выше, вела на поддельную страницу легального сайта. Где ничего не подозревающие пользователи и оставляли свои персональные данные, так как мало кто привык смотреть в адресную строку браузера. (Я лично несколько раз наблюдал, что у некоторых пользователей адресная строка вообще скрыта. На мой вопрос, как они работают, был дан гениальный ответ – я сам(а) ничего не набираю, только ссылки открываю.) На этом возможные злоключения пользователей могли не закончиться, потому что на поддельной странице мог оказаться троян, который впоследствии «высасывал» из компьютера все пароли и учётные записи. Последствия представить не составляет труда.