Spam- und Phishing-E-Mails sind ungewollte Werbe-E-Mails, die oft von Cyberkriminellen genutzt werden, um Schadsoftware in Umlauf zu bringen. Der Begriff „Phishing“ setzt sich aus den englischen Begriffen „password“, „harvesting“ und „fishing“ zusammen. Auf Deutsch übersetzt also „Passwort“, „abernten“ und „fischen“. Darunter versteht man das unberechtigte und kriminelle „Abfischen“ von Passwörtern, persönlichen Daten und Zugangsdaten zu Bankkonten oder Online-Shops. Cyberkriminelle schmuggeln aus diesem Grund Schadsoftware auf das Endgerät, die die Informationen abfischt, ohne dass der Nutzende dies bemerkt. Unter anderem kann dies passieren, wenn Personen eine Spam-E-Mail öffnen. 

Es gibt verschiedene Formen des Phishings. Aufgrund verbesserter technischer Sicherheitsstandards (u. a. beim Onlinebanking) setzen die Täter vermehrt auf Social Engineering beim Phishing. 

Phishing-E-Mails kann man an folgenden Merkmalen besonders gut erkennen:
—    Grammatik- und Orthografie-Fehler
—    Fehlender Name, sowohl bei der Begrüßung als auch bei der Abschiedsformulierung
—    Fingierter, dringender Handlungsbedarf
—    Aufforderung zur Eingabe von sensiblen oder persönlichen Daten auf weitergeleiteten Internetseiten
—    Aufforderung, einen Dateianhang, eine Webseite oder ein Formular zu öffnen
—    Dringlichkeit beschreibender Betreff der E-Mail

Eine häufig genutzte Methode ist der „Man-in-the-middle“-Angriff, wo der Cyberkriminelle die Zugangsdaten so manipuliert, dass innerhalb des Transaktionsvorgangs beim Onlinebanking Geldbeträge unbemerkt auf andere Konten umgeleitet werden.