Хакерские трюки с подложными почтовыми сообщениями и сайтами получили непереводимое название "phishing". Наиболее характерным примером можно считать рассылку вроде бы официальных почтовых сообщений с запросом на "подтверждение" персональных данных (например, сообщения от имени банка о "подтверждении", а на самом деле регистрации на сторону, реквизитов банковской карточки или счета). Аналогичным образом используется перенаправление на подложный веб-сайт или прямой взлом локального браузера.

Наилучшим способом защиты от этих трюков считается обучение пользователей и разъяснение им всех опасностей, подстерегающих недалекого пользователя в Интернете. Однако необходимы способы проверки "щелкаемых" URL-адресов, чтобы быть точно уверенными в переходе по указанному на ссылке адресу, а не на какой-нибудь подложный сайт в совсем другом домене Интернета. Почтовые клиенты (равно как и браузеры, например Internet Explorer) обычно поддерживают показ реального URL-адреса в нижней части своего окна при помещении указателя мыши на ссылку. Кроме того, в контекстном меню сообщения может присутствовать пункт View Source, позволяющий вывести исходный код HTML-сообщения, а не результат его исполнения двигателем обработки кода HTML.

Однако не так просто разобраться с перенаправление и выяснить реальный URL-адрес, поскольку перенаправлением многие сайты пользуются совершенно в законных целях. Здесь может помочь сценарий на языке JavaScript, который определяет реальный адрес текущей открытой веб-страницы. Сценарий нужно ввести в адресную строку и щелкнуть кнопку Переход (Go):

javascript:alert("Actual URL address: " + location.protocol + "//" + location.hostname + "/");

Данный код выводит раскрывающееся диалоговое окно с реальным адресом корневого (root) веб-сервера, вне зависимости от того, какой URL-адрес был ранее показан в адресной строке. Если показанный URL не согласуется с ожидаемым доменным именем, лучше не вводить на веб-странице никакой конфиденциальной информации.

В принципе, существуют утилиты обнаружения и искоренения нежелательных программных модулей (например, Ad-aware от Lavasoft или Spybot Search & Destroy Патрика Колла - Patrick M. Kolla), однако они требуют обновления базы данных и борются с уже проникшей в компьютер гадостью. Напротив, предложенный сценарий (скрипт) JavaScript формирует "первую линию защиты".