Andmepüügipettus on identiteedivarguspettus, mis saabub meili teel. Meil näib olevat pärit seaduslikust allikast, näiteks usaldusväärsest ettevõttest või finantsasutusest, ja see sisaldab kiireloomulist taotlust isikuandmete saamiseks, mis tavaliselt viitab kriitilisele vajadusele kontot kohe värskendada. E-kirjas esitatud lingil klõpsamine viib ametliku välimusega veebisaidile. Sellele saidile edastatud isikuandmed lähevad aga otse petturile.
Pettused on Internetis kasvav probleem, kuna inimesi meelitatakse välja andma isiklikku teavet, sealhulgas krediitkaardinumbreid, paroole, ema neiupõlvenime, pangakontonumbreid, sularahaautomaadi pääsukoode ja sotsiaalkindlustuse numbreid. Viirusekaitsjad ja tulemüürid ei taba enamikku andmepüügipettusi, kuna need ei sisalda kahtlast koodi, samas kui rämpspostifiltrid lasevad neil läbi, kuna need näivad pärinevat seaduslikest allikatest.
Andmepüügipettustes sisalduvad lingid viivad pahaaimamatu inimese petturlikule veebisaidile, mille eesmärk on jäljendada tegelikku asja, sageli kuni väikseima detailini, sealhulgas autoriõiguste märguannete, alammenüüde pealkirjadeni ja nii edasi. Enamiku inimeste jaoks on praktiliselt võimatu seda saiti vaadates aru saada, et nad on andmepüüdja sihtmärk. Aadressis olevad vihjed võivad mõnikord siiski pettuse paljastada.
Sarnase välimusega märgid võidakse lingi õigekirjas asendada pärismärgiga, nii et väiketähte “L” asemel kasutatakse “1” (number üks). Näiteks on andmepüüdjad kasutanud aadressi paypa1.com, mitte paypal.com. Muul ajal kasutatakse IP-aadressi – numbrilist aadressi – selleks, et varjata tõsiasja, et link ei vii ohvrit päris saidile. Andmepüügipettused on aga muutunud nii keerukaks, et andmepüüdjad võivad näida kasutavat ka seaduslikke linke kuni päris saidi turvasertifikaadini.
Parim viis, kuidas keegi saab end andmepüügipettuste eest kaitsta, on vältida isikuandmete esitamist meilipäringule. Kui taotlus võib olla õigustatud, tuleks enne teabe esitamist helistada ettevõtte klienditeenindusosakonda, et taotlus kontrollida; e-kirjas sisalduvaid telefoninumbreid, kui need on lisatud, ei tohiks kasutada. Isegi kui taotlus on õigustatud, tuleks nõutav aadress brauserisse käsitsi sisestada, mitte lingil klõpsata, kuna andmepüügipettus võib toimuda samaaegselt seadusliku äritegevusega.
Näiteks 2005. aasta aprilli alguses kutsuti massiline meilisõnum, mis näis olevat Microsoft Corporationilt, adressaatidel alla laadima oodatud turvavärskendus. Need, kes klõpsasid meilis olevale lingile, suunati saidile, mis nägi välja nagu Microsofti seaduslik värskendussait. Tarkvara värskendamise asemel laadisid nad aga alla Trooja hobuse – kaugjuurdepääsuprogrammi, mis võib varastada isikuandmeid. Microsoft ei kasuta sel viisil meiliteavitust, kuid paljud kasutajad jäid teadmatusest vahele.
Kuulus “kiri Nigeeriast” oli teist tüüpi andmepüügipettus. Seda tüüpi kelmused on nii levinud, et sellel on oma nimi: 419 kelmus. Andmepüüdja teeskleb, et on Nigeeria ametnik, kes on hädas ja nõuab raha väljalaadimiseks USA pangakontot. Isik, kes lubas oma kontot ajutiselt kasutada, saaks ilusa tasu. Selle asemel saavad varguse ohvrid need, kes andsid oma pangateabe.
USA-s on Föderaalne Kaubanduskomisjon (FTC) ja teised andmepüügipettuste vastu võitlemisel keskendunud avalikkuse harimisele, kuna andmepüüdjate tabamine on keeruline. Petturlikud saidid töötavad väga lühikest aega ja sageli juhitakse pettusi teistest riikidest. 2005. aasta märtsis esitas Microsoft Washingtoni läänepiirkonnas 117 andmepüügihagi nimetute süüdistatavate vastu.
Andmepüügivastane töörühm (APWG) on rahvusvaheline vabatahtlike organisatsioon, kes tegeleb andmepüügipettuste jälgimisega. Nende veebisaidil on veebipõhine andmebaas neile saadetud petturlike meilide kohta. Saate seda saiti kontrollida uute pettuste suhtes või saata neile saadud andmepüügimeili. APWG on suures osas teabekeskus, kuid need pakuvad linke tarbijaressurssidele. FTC-l on oma veebisaidil ka nõuanded tarbijatele, e-posti aadress andmepüügist teatamiseks.