Unter Phishing (Password Harvesting fishing) versteht man den illegalen Versuch, an Login Daten oder PIN und TAN von Onlinebanking Daten usw. zu kommen. Im Allgemeinen ist die Phishing Attacke mit einer e-Mail Attacke verbunden. Man wird unter  Angabe eines gefälschten Hyperlinks aufgefordert, seine Login Daten (PIN und TAN) einzugeben. Der Hyperlink führt nicht auf die echte Internetseite des betreffenden Instituts, sondern auf eine gefälschte Seite. Somit können Login-Daten  an den Urheber der Attacke weitergeleitet werden. Um Phishing Attacken zu vermeiden, sollte man immer per Hand die Internet-Adresse des jeweiligen Instituts (Finanzinstitut, Internet-Shop etc.) eingeben. Auch eine wirksame Firewall und  Antivirenprogramme sind erforderlich, damit der Angreifer nicht eine automatische Umleitung per Trojaner installieren kann oder einen Keylogger platzieren kann (ein Keylogger zeichnet Tastatureingaben auf, somit auch Logindaten). Niemals dem Hyperlink  einer E-Mail folgen, wenn es um Bankdaten oder ähnliches geht. Kreditinstitute fordern niemals zur Eingabe von Login Daten wie PIN oder TAN auf! Methoden der Verschleierung sind sehr ähnliche Domainnamen (URLs). Aus www.kaesebank.de wird  www.kaesebanc.de oder www.käsebank.de.

iTAN, BEN, mTAN
Eine wirksame Verbesserung ist das iTAN Verfahren. Dabei werden alle  iTANs nummeriert und bei einer Finanztransaktion wird eine iTAN mit einer bestimmten Nummer angefordert. Erbeutete iTANs sind dann für den Angreifer schwer verwertbar.  Denn er weiß weder, welche Nummer ihr zugeordnet ist, noch kann er bestimmen, welche iTAN-Nummer bei der nächsten Transaktion angefordert wird.  Ein Angreifer müsste dann genau die iTAN besitzen die angefordert wird und darum wissen. Dies ist praktisch auszuschliessen, es sein denn, ein Rechner ist mit einem speziellen Trojaner infiziert, der in der Lage ist, diese iTAN zu verwenden.  Man-in-the-Middle Attacken auf das iTAN Verfahren sind auch möglich. Deswegen ist es sinnvoll, wenn das Kreditinstitut eine BEN (Bestätigungsnummer) zur Bestätigung verwendet, um zu sehen, ob die iTAN nicht abgefangen wurde.  Sicherer als das iTAN-Verfahren ist die mTAN (mobile TAN), die mit einer Übermittlung der TAN über SMS oder ähnliche Dienste auf das Handy des Kunden arbeitet. Auch zu empfehlen ist HBCI.  Auch sinnvoll ist es, bei Aufruf der Electonic-Banking Seite das Zertifikat des Browser mit den Angaben des Kreditinstitutes (MD5 und SHA1-Fingerprints) zu vergleichen. Angaben befinden sich auf den Sicherheitsseiten der Banken.