פישינג, או דיוג, הינה הונאת התחזות לארגון מוכר בכדי להשיג מידע רגיש מקורבן. לפני עידן האינטרנט נוכלים השתמשו בפניה ישירה בין אם הגעה לבית הקורבן או באמצעות שיחת טלפון תוך התחזות לעובד חברה מוכרת וזאת בכדי לפתות את הקורבן להעביר לידיהם כסף, רכוש או מידע רגיש או זכויות.
ככל שרשתות התקשורת התפתחו, הנוכלים פיתחו שיטות מתקדמות יותר המאפשרות להם להסתתר טוב יותר בפני רשויות החוק ובמקביל להשתמש במערכות אוטומטיות שפועלות בכל שעות היממה, בכדי להשיג מידע מקורבנות נוספים. השיטות הנפוצות כיום מתרכזות במסרונים (SMS), דואר אלקטרוני והודעות הנשלחות ברשתות החברתיות, הודעות מעין אלו יראו למקבל ההודעה כהודעה לגיטימית מחברת הביטוח, הבנק, אתרי קניות או כל אתר מוכר אחר.
ישנן מגוון רחב של אפשרויות בהן התוקף בוחר להשתמש בכדי להשיג מידע וכסף, לכן חשוב מאוד לשים לב היטב למידע שמופיע בהודעה, הודעות חשודות יכילו בחלק מהמקרים שגיאות כתיב, שגיאות תחביריות, תוכן "מאיץ ומלחיץ" המבקש לבצע פעולה דחופה (אולטימטום של זמן), כגון העברת כספים, התחברות לאתר מסוים כגון הבנק, פייפאל או רשת חברתית. ההודעות עשויות להכיל קישור לאתר אינטרנט שיהיה דומה מאוד לאתר של חברה מוכרת בכדי שהקורבן יזין נתונים רגישים כגון שם משתמש וסיסמה, מספר חשבון בנק, מידע על בני משפחה ועוד. אתרים אחרים יכילו קבצי נוזקה (malware) שיאפשרו לתוקף להשתלט על המכשיר, השתלטות מאין זו יכולה לכלול שימוש ברכיבי המכשיר כגון מצלמה ומיקרופון של מכשיר הטלפון, שימוש במעבד המחשב לצורך התקפת מחשבים האחרים, הקלטת הקשות המבוצעות במכשיר גניבת מידע רגיש והצפנתו ודרישה לשחרורו בתמורה לכופר כספי.
תוקפים הפועלים נגד ארגונים יפנו באופן ממוקד יותר נגד החוליה החלשה ביותר בארגון, עובדי הארגון, בכדי להשיג מידע רגיש, כגון פטנטים, פעילות עסקית, פרטי לקוחות ועוד.
דיוג חנית (Spear Phishing) הינן התקפות המתרכזות באנשים ספציפיים בארגון בדרך כלל לאחר שנאסף מידע על הנתקף כגון כתובת דואר אלקטרוני, שם העובד, תפקיד ועוד בכדי להכשיל את העובד לספק מידע רגיש על הארגון.
תרמית הלוויתן (Whaling) הינן התקפות הדומות ל-Spear Phishing אך מטרתן לחשוף מידע רגיש מעובדים מרכזיים בארגון כגון מנכ"לים, סמנכ"לים, מנהלים בכירים ואנשי כספים.
תרמית המנכ"ל (CEO Fraud) הינן התקפות המתחזות למנהל בכיר בארגון ופונות לאנשי הכספים בארגון בכדי שאלו יעבירו כספים לתוקפים.
יש מספר פעולות שהארגון נדרש לבצע, כגון הוספת פילטרים ברשת הארגונית, חומת אש תוכנות אנטי וירוס ועדכוני מערכת הפעלה במחשבי העובדים, למרות כל אלו הארגון תמיד יהיה חשוף להתקפות פישינג ולצורך כך יש לבצע פעולה נוספת המתרכזת ביכולתם של העובדים בארגון לזהות התקפות, פעולה זאת מורכבת משליחת דואר אלקטרוני הדומה לאחד מסוגי הפישינג הרשומים לעיל, ניטור ומדידת התנהגות העובדים, ביצוע קורסים ומבחנים. כיום חברות וארגונים רבים אינם מסתפקים במעגלי האבטחה המסורתיים בלבד, ומודעים לחשיבות שיש בהכשרת עובדי הארגון, העלאת המודעות והשבחת הידע של עובדי הארגון בכל הקשור לזיהוי והתמודדות עם איומי הפישינג השונים.
הימנעו מפגיעות סייבר בארגון באמצעות הגברת מודעות העובדים בפני התקפות פישינג.