釣魚攻擊使用多種技術，使一封電子郵件信息或網頁的顯示同其運行表現出欺騙性差異。下面列出了一些較為常見攻擊技術。

1、復制圖片和網頁設計、相似的域名

用戶鑒別網站的一種方法是檢查地址欄中顯示的URL。為了達到欺騙目的，攻擊者會注冊一個域名，它看起來同要假冒的網站域名相似，有時攻擊者還會改變大小寫或使用特殊字符。由于大多數瀏覽器是以無襯線字體顯示URL的，因此，“paypaI.com”可用來假冒“paypal.com”，“barcIays.com”可用來假冒“barclays.com”。更常見的是，假域名只簡單地將真域名的一部分插入其中，例如，用“ebay-members-security.com”假冒“ebay.com”，用“users-paypal.com”假冒“paypal.com”。而大多數用戶缺少判斷一個假域名是否真正為被仿冒公司所擁有的工具和知識。

2、URL隱藏

假冒URL的另一種方法利用了URL語法中一種較少用到的特性。用戶名和密碼可包含在域名前，語法為:http://username:password@domain/。攻擊者將一個看起來合理的域名放在用戶名位置，并將真實的域名隱藏起來或放在地址欄的最后，例如“http://earthlink.net%6C%6C...%6C@211.112.228.2”。網頁瀏覽器的最近更新已關閉了這個漏洞，其方法是在地址欄顯示前將URL中的用戶名和密碼去掉，或者只是簡單的完全禁用含用戶名/密碼的URL語法，Internet Explorer就使用了后一種辦法。

3、IP地址

隱藏一臺服務器身份的最簡單辦法就是使它以IP地址的形式顯示，如http://210.93.131.250。這種技術的有效性令人難以置信，由于許多合法URL也包含一些不透明且不易理解的數字，因此，只有懂得解析URL且足夠警覺的用戶才有可能產生懷疑。

4、欺騙性的超鏈接

一個超鏈接的標題完全獨立于它實際指向的URL。攻擊者利用這種顯示和運行間的內在差異，在鏈接標題中顯示一個URL，而在背后使用了一個完全不同的URL。即便是一個有著豐富知識的用戶，他在看到消息中顯而易見的URL后也可能不會想到去檢查其真實的URL。檢查超鏈接目的地址的標準方法是將鼠標放在超鏈接上，其URL就會在狀態欄中顯示出來，但這也可能被攻擊者利用JavaScript或URL隱藏技術所更改。

5、隱藏提示

還有一種更復雜的攻擊，它不是在URL上做文章，而是通過完全替換地址欄或狀態欄達到使其提供欺騙性提示信息的目的。最近發生的一次攻擊就使用了用JavaScript在Internet Explorer的地址欄上創建的一個簡單的小窗口，它顯示的是一個完全無關的URL。

6、彈出窗口

最近對Citibank客戶的一次攻擊使網頁復制技術前進了一步，它在瀏覽器中顯示的是真實的Citibank網頁，但在頁面上彈出了一個簡單的窗口，要求用戶輸入個人信息。

7、社會工程

釣魚攻擊還使用非技術手段使用戶墜入陷阱，其中的一個策略就是急迫性，從而使用戶急于采取行動，而較少花時間去核實消息的真實性。另一個策略是威脅用戶，如果不按照所要求的去做就會造成可怕的后果，如終止服務或關閉帳戶，少數攻擊還許諾將獲得巨額回報(如“你中了一個大獎!”)，但威脅攻擊更為常見，用戶往往會對不勞而獲產生懷疑，這可能是人類的本能。