Le phishing se manifeste généralement par un email frauduleux imitant une organisation légitime (banque, administration, collègue). Il incite à cliquer sur un lien menant vers un faux site (credential harvesting) ou à ouvrir une pièce jointe piégée. Les variantes incluent le spear phishing (ciblé), le whaling (visant des dirigeants) et le smishing (par SMS). La sensibilisation des collaborateurs est la première défense.