Aksi phishing bisa dilancarkan melalui berbagai media seperti e-mail, media sosial, panggilan telepon, dan SMS, atau teknik rekayasa sosial dengan memanipulasi psikologis korban.
Saat menghubungi target, pelaku phishing akan berpura-pura menjadi pihak resmi yang mungkin pengguna kenal atau percayai, seperti pihak bank, perusahaan kartu kredit, situs jejaring sosial, aplikasi pembayaran online, hingga toko online.
Baca juga: Apa Itu phishing dan Bagaimana Cara Menghindarinya?
Ketika melancarkan aksinya, pelaku phishing biasanya akan mengawali penipuan dengan memberikan kalimat-kalimat yang membuat khawatir atau antusias untuk memancing reaksi.
Misalnya, mereka mengirimi pesan ke pengguna mengabarkan bahwa ada aktivitas yang tidak sah dan mencurigakan di akun pengguna, atau ada transaksi dalam jumlah besar dari kartu kredit pengguna di luar negeri.
Ada juga yang berupaya menjebak dengan mengatakan bahwa calon korbannya memenangkan hadiah tertentu. Bersama dengan kabar tersebut, pelaku phishing biasanya menggiring korban ke situs yang dibuat agar mirip dengan situs resmi suatu pihak seperti bank, padahal bukan.
Di situs inilah korban diminta untuk memasukkan data pribadi, baik berupa e-mail dan kata sandi, nomor rekening bank, atau nomor kartu kredit. Informas tersebut bisa digunakan oleh scammer untuk menguras uang korban, memeras korban, atau dijual kepada penjahat lainnya.