Se rige por el verbo del inglés fishing, entendido por pescar, observando que la técnica empleada a nivel electrónico se asemeja, desde una perspectiva metafórica, a la práctica de la pesca, asociándose con las expresiones phreak, phreaking, por phone phreak, que remiten a 1971 al respecto de un mecanismo para apropiarse de una línea telefónica sin pagar. El uso de la palabra para referirse a los métodos de emboscada digital remite a mediados de la década de los 90, registrándose en 1996 como herramienta de hacking para capturar datos de tarjetas de crédito en pos de sortear métodos de validación para nuevas cuenta de AOL, desarrollado por el hacker y spammer Khan C. Smith.

No obstante, dicha herramienta no utilizaba técnicas de phishing tal y como las conocemos hoy en día, tendríamos que esperar hasta 2001 para ver el primer ejemplo de phishing cómo definimos esta técnica. Concretamente, se trató de un ataque contra la plataforma E-gold, la cual funcionaba como una especie de Paypal en metales preciosos (de ahí su nombre). Fue a partir del año 2005 cuando el phishing se empezó a popularizar, pasando a ser la primera fuente de ingresos de los cibercriminales. Tras una década liderando la infame lista de tretas utilizadas por los cibercriminales, el phishing ha dejado paso a otras formas de ataque más lucrativas, como el ransomware.

El phishing consiste en engañar al internauta para que introduzca sus credenciales de acceso u otro tipo de un servicio online, en un sitio web falso, para que el cibercriminal pueda capturarlas y utilizarlas en beneficio propio. Dicho sitio web falso simula ser el legítimo del servicio, copiando su aspecto estético e incluso parte de su funcionalidad para mantener engañado al internauta, así como el dominio en el que se encuentra alojado guarda una semejanza tal o una relación con el sitio web original del servicio falsificado para ayudar a inducir el engaño.

Las tretas de phishing acostumbran a llegar mediante el correo electrónico, invitando al usuario a hacer clic en el enlace adjunto y entrar en el -supuesto- servicio, con la excusa de proporcionar una información necesaria, deshacer una operación no solicitada, o cualquier otro tipo de gestión necesaria.

Muy popular de este tipo de engaños, es simular el comunicado de un banco para agenciarse las claves de acceso (e incluso de operación) del usuario del servicio. Ante esto, debemos tener en cuenta que ninguna entidad bancaria debería enviar al usuario un mensaje de correo electrónico o por otra vía, que contenga el enlace que le permita el acceso a la página web. Esta dirección debería ser conocida por el internauta, e introducida manualmente en el navegador web.