Dans un email où il usurpe l'identité d'un organisme officiel, le pirate incite la victime à se rendre sur un site Web qui est en réalité contrôlé par le pirate.
L'utilisateur se rend en toute confiance sur le faux site Web et saisit son identifiant et son mot de passe (comme l'y invite le message reçu).
Le pirate récupère alors les information saisies (identifiant et/ou mot de passe) car il contrôle le site.
Pour ne pas éveiller les soupçons, la victime est ensuite redirigée vers le véritable site Web ou vers un message d'erreur.
Le pirate peut alors réutiliser ces codes d'accès pour se connecter ultérieurement au véritable site Web et effectuer des opérations frauduleuses.
Dans le cadre de certaines fraudes massives, le(s) pirate(s) constitue(nt) des listes de mots de passe.