Ce subterfuge est une pratique courante en matière de cybersécurité. Elle consiste à soutirer les renseignements confidentiels d'une personne en lui transmettant de faux courriels, textos ou fils de discussion, ou en reproduisant l'identité d'un site Web.
L'agresseur se présente généralement sous la fausse image d'une organisation qui inspire confiance, comme une institution financière, une instance gouvernementale, le site Web d'un média social, un commerçant ou un professionnel tel qu'un avocat ou un notaire. Il vous invite à confirmer vos renseignements personnels, à mettre à jour un compte ou à modifier votre mot de passe et vous demande, pour ce faire, soit de téléphoner à un numéro illégitime, soit de visiter un faux site Web dont l'aspect est parfois identique au site réel. Il arrive même qu'on vous téléphone sous prétexte que votre terminal a été compromis, et qu’on vous demande soit de suivre des consignes en vue de résoudre le problème, soit de communiquer certaines informations confidentielles afin de pouvoir récupérer un prix de loterie que vous auriez gagné, ou un héritage légué par un lointain parent. Ces fraudeurs créent une impression d’urgence et laissent croire que leur demande est de très haute importance.
La mystification (spoofing en anglais) est une autre forme courante d’hameçonnage. Cette technique malicieuse simule l'adresse d'un expéditeur et usurpe son identité afin de vous tromper, vous laissant croire que la communication constitue une demande véridique. Une mystification peut être difficile à reconnaître. Si quelque chose vous semble suspect, faites confiance à votre instinct. Prenez contact avec l'organisation légitime par d'autres moyens afin de vérifier la demande. Ne vous fiez pas aux coordonnées téléphoniques fournies par l'éventuel agresseur. Aucune demande n'est si pressante qu'elle justifie d'omettre certaines précautions d’usage. Une organisation légitime honorera en toute courtoisie vos demandes de précaution.