Phishing ist die häufigste Form von Cyberangriffen und wird immer häufiger eingesetzt, wobei es deshalb so effektiv ist, weil es ausnutzt, dass Menschen Täuschungen abhängig von Faktoren wie emotionale Intelligenz, kognitive Motivation, Stimmung, Hormone und sogar die Persönlichkeit des Opfers nicht erkennen. Menschen sind anfällig für Phishing, weil es die Art und Weise austrickst, wie das Gehirn Entscheidungen trifft, wobei fast die Hälfte der Internetnutzer nicht einmal wissen, was Phishing ist. Menschen, die sich glücklich und nicht gestresst fühlen, erkennen Betrug seltener, denn das Stresshormon Cortisol erhöht die Wachsamkeit und macht dabei das Erkennen einer Täuschung wahrscheinlicher, doch die Hormone Serotonin und Dopamin hingegen, die mit positiven Gefühlen verbunden sind, verleiten zu riskantem und unvorhersehbarem Verhalten.
Phisher können auch außergewöhnlich gut Nachrichten verfassen, um ein Opfer zum Klicken zu überreden. Dabei ist Autorität eine der häufigsten und effektivsten Waffen, etwa eine E-Mail, die angeblich vom Geschäftsführer des Unternehmens gesendet wurde und einen Mitarbeiter auffordert, durch Klicken auf einen Link Informationen bereitzustellen. Ein anderes Werkzeug im Arsenal der Phisher besteht darin, eine Gewinn-Verlust-Rechnung aufzumachen und beispielsweise mit einer Erstattungsmöglichkeit von Amazon zu locken. Die auffälligsten Phishing-E-Mails spielen mit Emotionen, denn nach Katastrophen gibt es oft eine Welle von E-Mails, in denen nach Spenden für die Opfer gefragt wird. Emotionale Hinweise wie das Versprechen, Spenden für Obdachlose zu sammeln, beeinträchtigten die Fähigkeit des Empfängers, sich auf Hinweise zu konzentrieren, dass die E-Mail eine Täuschung sein könnte. Durch das Auslösen dieser emotionalen Reaktion bringen die Hacker die Menschen dazu, ihre Skepsis abzuschalten.
Besonders effektiv ist Spearphishing, also individuell auf den Empfänger zugeschnittene betrügerische Nachrichten, die auf etwa 40 Prozent Reaktionsquote kommen. Spearphishing ist stark manuell und benötigt zehn Minuten pro Zie, wobei es bereits automatisiert eingesetzt wird, so dass er in viel größerem Maßstab eingesetzt werden kann. Die automatisch erzeugten Tweets klingen nicht immer perfekt, aber sie sind effektiv, denn manche Menschen antworten sogar, der Link würde nicht richtig funktionieren, und baten darum, ihn nochmal zu schicken.