Как правило, для этого осуществляются рассылки электронной почты или личных сообщений якобы от имени популярных сервисов, брендов или компаний (например, банков). В письме пользователя убеждают выполнить какое-то действие, зайдя на сайт по указанной ссылке. Сайт, на который переходит пользователь, как правило, визуально неотличим от сайта организации или сервиса. Как правило, фишинг можно отличить по доменному имени от подделываемого сервиса – так, подделка под PayPal может быть размещена на сайте с именем наподобие PayPal-Notifications. В одном из самых известных в Рунете случаев фишинга пользователям предлагалось совершить действия на доменном имени yanclex.ru – злоумышленники рассчитывали на визуальное сходство латинской буквы d и буквосочетания cl.
Фишинг использует для распространения технологии «социальной инженерии», поэтому технологические способы противодействия ему могут быть неэффективны.