Phishing w AOL był ściśle związany ze społecznością warezów, która wymieniała pirackie oprogramowanie. Ci, którzy później wyłudzali informacje w AOL w latach 90., początkowo używali fałszywych, generowanych algorytmicznie numerów kart kredytowych, aby tworzyć konta w AOL, które mogą trwać tygodnie lub nawet miesiące. Po tym, jak AOL wprowadził środki pod koniec 1995 roku, aby temu zapobiec, wczesne krakersy AOL zaczęły wyłudzać informacje za legalne konta.
Phisher może zgłosić się jako członek personelu AOL i wysłać wiadomość błyskawiczną do potencjalnej ofiary, prosząc go o ujawnienie swojego hasła. Aby skłonić ofiarę do przekazania poufnych informacji, wiadomość może zawierać imperatywy takie jak :sprawdź swoje konto: lub :potwierdź informacje rozliczeniowe:. Po ujawnieniu hasła ofiara może uzyskać dostęp do konta ofiary i korzystać z niego w celach przestępczych, takich jak spamowanie. Zarówno phishing, jak i magazynowanie w AOL generalnie wymagały niestandardowych programów, takich jak AOHell. Phishing stał się tak powszechny w AOL, że dodali linię na wszystkich wiadomościach błyskawicznych stwierdzających: :nikt pracujący w AOL nie poprosi o podanie hasła ani informacji rozliczeniowych:.
Jak uniknąć phishingu (oficjalna pomoc techniczna firmy Dell)
Po roku 1997 polityka AOL w zakresie phishingu i wareza stała się bardziej rygorystyczna i wymusiła pirackie oprogramowanie na serwerach AOL. Jednocześnie AOL opracował system do natychmiastowego dezaktywowania kont związanych z phishingiem, często zanim ofiary mogły zareagować. Zamknięcie sceny warez w AOL spowodowało, że większość phisherów opuściła serwis, a wielu phisherów - często młodych nastolatków - wyrosło z nałogu.
Przechwycenie informacji o koncie AOL mogło spowodować, że phisherzy nadużyli informacji o kartach kredytowych, i do realizacji, że ataki na systemy płatności online były wykonalne. Pierwsza znana bezpośrednia próba przeciwko systemowi płatności dotknęła E-golda w czerwcu 2001 r., Po którym nastąpiło :sprawdzanie tożsamości po 911: wkrótce po zamachach z 11 września na World Trade Center. Oba były postrzegane w tym czasie jako porażki, ale teraz można je postrzegać jako wczesne eksperymenty prowadzące do bardziej owocnych ataków na banki głównego nurtu. Do 2004 r. Phishing został uznany za w pełni uprzemysłowioną część gospodarki przestępczej: wyspecjalizowano się w skali globalnej, dostarczając komponenty do gotówki, które zostały połączone w gotowe ataki.
Nie wszystkie ataki phishingowe wymagają fałszywej witryny. Wiadomości, które rzekomo pochodziły z banku, mówiły użytkownikom, aby wybierali numery telefonów dotyczące problemów z ich kontami bankowymi. Po wybraniu numeru telefonu (będącego własnością osoby wyłudzającej informacje i dostarczonego przez usługę Voice over IP), monity informują użytkowników o wprowadzeniu numerów kont i kodu PIN. Wyłudzanie głosu czasami wykorzystuje fałszywe dane identyfikatora dzwoniącego, aby wyglądało na to, że połączenia pochodzą od zaufanej organizacji.
Szkody wyrządzone przez phishing sięgają od odmowy dostępu do poczty elektronicznej do znacznej straty finansowej. Ten styl kradzieży tożsamości staje się coraz bardziej popularny ze względu na gotowość, dzięki której niczego nie podejrzewający ludzie często ujawniają phisherom dane osobowe, w tym numery kart kredytowych, numery ubezpieczenia społecznego i imiona panieńskie matki. Istnieją również obawy, że złodzieje tożsamości mogą dodawać takie informacje do wiedzy, którą zdobywają po prostu poprzez dostęp do publicznych rejestrów. Po zdobyciu tych informacji phisherzy mogą wykorzystywać dane osoby do tworzenia fałszywych kont w imieniu ofiary. Mogą następnie zepsuć kredyt ofiar, a nawet odmówić ofiarom dostępu do ich własnych kont.