O phishing começa com um erro humano
Na gíria, chama-se a isto "engenharia social". O email pode conter um link para um site, também desenhado para parecer verdadeiro, e instruções para que a vítima introduza os próprios dados, que ficam assim na posse dos atacantes. Nestes casos, embora o aspecto do site possa ser igual ao do original, o endereço não será.
Uma versão tecnicamente mais sofisticada instala software malicioso no computador das vítimas. Este pode, por exemplo, gravar todas as teclas premidas pelo utilizador (o que inclui elementos como nomes de utilizador e palavras-passe) e enviar esta informação para os criminosos.
Outra técnica, por vezes chamada pharming, instala software que altera as configurações do computador e faz com que o utilizador, ao tentar aceder a um site, seja redireccionado para o site fraudulento, mais uma vez semelhante ao verdadeiro.
Os bancos têm medidas de segurança para lá da autenticação com palavra-passe: os cartões-matrizes (uma grelha de números que serve para autorizar operações nos sites bancários) e as confirmações por SMS. Mas muitos burlões usam esquemas de engenharia social para obter os números do cartão-matriz ou o do telemóvel da vítima e conseguem, por vezes com a ajuda de cúmplices nas lojas dos operadores, uma segunda via do cartão SIM. Esta segunda via é depois usada para receber o SMS com os números que permitem fazer a confirmação da transferência.