Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich an fishing (Angeln, Fischen), bildlich das Angeln nach Passwörtern mit Ködern, anlehnt. (Quelle: Wikipedia)
Typisch ist für das Phishing die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, werden Firmenlogos, Schriftarten und Layouts nachgeahmt. Der Benutzer wird dann auf einer solchen gefälschten Seite beispielsweise dazu aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Täter weitergeleitet und dazu missbraucht, das Konto zu plündern.
Der Täter macht sich dabei schon bei der Datenbeschaffung durch das Verschicken der Phishing-E-Mail nach § 269 StGB strafbar. Auch das Erstellen der Phishing-Website erfüllt diesen Straftatbestand. Darüber hinaus sind die Tatbestände der §§ 143, 143a MarkenG bzw. §§ 106 ff. UrhG verwirklicht, wenn er markenrechtlich bzw. urheberrechtlich geschützte Kennzeichen oder Bezeichnungen verwendet. Durch die anschließende Datenverwendung macht sich der Phisher nach § 202a StGB strafbar, indem er sich durch die „gephishten“ Daten Zugang zu den Konto- und Depotinformationen verschafft. Zugleich macht er sich durch die Verwendung der Daten für die Onlineüberweisung nach § 263a StGB und §§ 269, 270 StGB strafbar.