Tấn công giả mạo (thuật ngữ gốc tiếng Anh: phishing, biến thể từ fishing, nghĩa là câu cá[1], có thể ảnh hưởng từ chữ phreaking, nghĩa là sử dụng điện thoại người khác không trả phí,[2][3] ám chỉ việc "nhử" người dùng tiết lộ thông tin mật), trong lĩnh vực bảo mật máy tính, là một hành vi giả mạo ác ý nhằm lấy được các thông tin nhạy cảm như tên người dùng, mật khẩu và các chi tiết thẻ tín dụng bằng cách giả dạng thành một chủ thể tin cậy trong một giao dịch điện tử. Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các giao dịch có vẻ xuất phát từ các website xã hội phổ biến, các trung tâm chi trả trực tuyến hoặc các quản trị mạng. Tấn công giả mạo thường được thực hiện qua thư điện tử hoặc tin nhắn nhanh[4],và hay yêu cầu người dùng nhập thông tin vào một website giả mạo gần như giống hệt với website thật. Ngay cả khi có sử dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác định được website là giả mạo. Tấn công giả mạo là một đơn cử của những kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừa người dùng,[5] và khai thác sự bất tiện hiện nay của công nghệ bảo mật web.[6] Để chống lại hình thức tấn công lừa đảo ngày càng tăng, người ta đã nỗ lực hoàn chỉnh hành lang pháp lý, huấn luyện cho người dùng, cảnh báo công chúng, và tăng cường an ninh kĩ thuật.Một kĩ thuật tấn công lừa đảo đã được mô tả chi tiết vào năm 1987, và thuật ngữ "phishing" được ghi nhận sử dụng lần đầu tiên vào năm 1996.