電子メールやその他のメッセージサービスなどを通じて利用者をだまして,オンラインで(ネット経由で)IDやパスワードを聞き出す行為。
「アカウントの安全性を強化するため,お客様のIDを確認する必要があります」などの文面の虚偽のメールを用いて「偽物の」サイトに誘導し,そこでIDとパスワードを入力させるものが多い。偽物であることを隠すために,正しいサイトを表示した上にURLの窓などをすべて消した別の窓を重ね,あたかも本来のサイトの一部であるかのように装ってIDやパスワードを入力させるものもある。
引っかかって入力してしまうと,貯金を引き出されたり,高額な買物をされてそれを現金化されるなど,ただちに金銭的被害につながる。
対策は,メールで誘導されるようなサイトには基本的にパスワード入力しないこと(ブラウザによる自動入力が出て来る場合は,過去に正しい入力した正しいサイトと一致しているのでOK),そして「金融機関やカード会社がメール等でIDやパスワードを入力するように促すことはない」と承知しておくことである。後者については,金融機関にもそのようなポスターが貼られている。