בעיקרון יש שתי דרכים שבהן התקפת פישינג עובדת:
הדרך הראשונה היא לשאול אותך באמצעות האימייל לנתונים שונים כגון סיסמאות או נתונים אישיים אחרים. אם באימייל נטען שיש בעיית אבטחה עם חשבון ההוטמייל או הפייסבוק שלך ושאתה חייב לספק את הנתונים או שיסגרו לך את החשבון - אל תעשה את זה! האימייל עלול להיראות לגיטימי, אבל הוא אף פעם לא. אף אחד לא צריך להגיב לאימייל כזה, שמבקש פרטים אישיים מבלי שהוא יזם פנייה כלשהי לאחד מהגופים האלו, לעולם. יוצא הדופן היחיד הוא מייל שנשלח אליך כתגובה לפנייה שאתה יזמת לשירות לקוחות שניתן באמצעות האימייל.
הדרך השנייה שבה התקפת פישינג מתבצעת היא לנתב אותך לדף אינטרנט שדרכו אתה צריך לעשות log-in לאיזשהו שירות, כמו לדוגמה אתר הבנק, הפייסבוק או הדואר האלקטרוני שלך. בהתקפת פישינג דף האינטרנט הזה הוא כמובן מתחזה. הוא יכול להיראות ממש אותו הדבר כמו דף ההרשמה המקורי, אבל אותו האקר שיצר אותו אוסף את פרטי המשתמשים של אלה שמנסים להיכנס אליו. לראיה ראו את התקפת הפישינג נגד אתר
בנק הפועלים בשנה שעברה. וכאן מגיע הכלל השני: לעולם אל תעשה log-in לאף חשבון שברשותך, ולא משנה אם זה חשבון בנק או פרופיל פייסבוק, דרך לינק שקיבלת לאימייל. אם אתה מקבל אימייל כזה, מה שאתה צריך לעשות זה לסגור את הדפדפן, לפתוח אותו מחדש, לעשות log-in לאתר המבוקש ולראות את ההודעה הרצויה. כן, אפילו אם זה מייל שאומר שישנה תגובה חדשה על הסטטוס שלך בפייסבוק. ואפילו אם אתה בטוח ב-99.9999% שהאימייל הוא לגיטימי לחלוטין, ה"דייגים" שמכינים את האימיילים האלה מעצבים אותם במיוחד כדי שהם ייראו לגיטימיים.
בכל מקרה, אם אתה מקבל הצעות מפתות לאימייל מאתר כמו Best Buy או כל אתר קניות אחר ברשת, והלינק מוביל לאתר שבו אתה צריך לעשות log-in לחשבון שלך - אל תעשה את זה!
לסיכום: לעולם אין לספק סיסמאות או פרטים אישיים בתגובה לאימייל, גם אם הפונה נראה לגיטימי לחלוטין. אין לבצע log-in לאתרים כגון חשבונות בנק או אפילו חשבונות פייסבוק דרך לינקים שמגיעים באימייל - יש לסגור את הדפדפן ולפתוח חדש. ויש להיזהר לא ללכת שולל אחר הצעות מפתות מאתרי קניות למיניהם, ואין לספק פרטים אישיים גם אם קיים הספק הקל שבקלים. כל האמור לעיל חל גם על קישורים לא מזוהים ברשתות החברתיות ובעיקר בפייסבוק.