Ved phishingangrep kontaktes offeret som regel via en e-post, hvor avsenderen fremstår som en reell virksomhet, for eksempel en bank. Offeret lures videre til å åpne et vedlegg eller klikke seg inn på en falsk nettside for å ”logge seg inn”, eller oppgi annen sensitiv informasjon, som konto- eller kredittkortnummer. Dette misbrukes siden av bakmennene.