Một kĩ thuật tấn công giả mạo đã được mô tả chi tiết vào năm 1987, trong một bài báo khoa học và thuyết minh của Nhóm Người dùng HP Toàn cầu, Interex.[7] Thuật ngữ "phishing" được đề cập lần đầu tiên trên nhóm tin Usenet alt.online-service.America-online vào ngày 2 tháng 1 năm 1996,[8]dù thuật ngữ này có thể đã xuất hiện từ trước đó trong bản in của tạp chí dành cho hacker 2600.[9]

Những vụ giả mạo đầu tiên trên AOL

Vụ lừa đảo trên AOL có liên hệ mật thiết đến cộng đồng warez, nơi trao đổi phần mềm đã bẻ khóa và cách dàn cảnh để sử dụng số thẻ tín dụng giả cùng các hành vi tội phạm trực tuyến khác. Sau khi AOL đưa vào một số biện pháp để chống việc sử dụng số thẻ tín dụng giả được tạo ra bằng máy tính để mở tài khoản vào cuối năm 1995, những tay bẻ khóa AOL chuyển qua hình thức giả mạo để lấy tài khoản thật[10] và khai thác AOL.

Một tên giả mạo có thể giả làm nhân viên của AOL và gửi một tin nhắn nhanh tới nạn nhân, yêu cầu người đó tiết lộ mật khẩu truy cập của mình.[11] Để lừa nạn nhân tiết lộ thông tin nhạy cảm, thông báo thường có những câu mệnh lệnh như "xác thực tài khoản" hay "xác nhận thông tin hóa đơn". Một khi nạn nhân đã tiết lộ mật khẩu, kẻ tấn công sẽ có thể truy cập và sử dụng tài khoản của nạn nhân để lừa đảo hoặc gửi thư rác. Việc tấn công giả mạo lẫn bẻ khóa phần mềm trên AOL nói chung đều cần các chương trình viết tay, kiểu như AOHell. Những vụ lừa đảo xảy thường xuyên trên AOL đến mức họ phải thêm một dòng vào mọi tin nhắn nhanh trong đó ghi: "sẽ không có một ai làm việc tại AOL yêu cầu mật khẩu hoặc thông tin hóa đơn của bạn hết", dù điều này cũng không ngăn được vài người tiếp tục trao mật khẩu và thông tin cá nhân nếu họ đọc và tin ngay vào tin nhắn.

Sau năm 1997, người ta thi hành chính sách của AOL đối với trò giả mạo và bẻ khóa chặt chẽ hơn và bắt buộc xóa các phần mềm bẻ khóa ra khỏi máy chủ AOL. AOL đồng thời cũng phát triển một hệ thống thường xuyên đóng những tài khoản nào có liên quan đến việc giả mạo, thường là trước khi nạn nhân có thể phản hồi. Việc cấm chỉ các hoạt động truyền bá phần mềm lừa đảo trên AOL khiến cho các tay giả mạo không dùng dịch vụ này nữa, và nhiều người trong số này—thường là những người trẻ tuổi—bắt đầu vượt hơn là sở thích thông thường.[12]

Chuyển từ AOL sang các cơ sở tài chính

Ăn cắp được thông tin tài khoản của AOL khiến cho những tay tấn công giả mạo bắt đầu lạm dụng thông tin thẻ tín dụng của người khác, và nhận ra rằng chúng hoàn toàn có thể tấn công các hệ thống chi trả trực tuyến. Một nỗ lực tấn công được biết đến đầu tiên vào hệ thống chi trả đã ảnh hưởng đến E-gold vào tháng 6 năm 2001, tiếp theo đó là trò "kiểm tra mã số sau ngày 11 tháng 9" ngay sau Vụ tấn công Trung tâm Thương mại Thế giới ngày 11 tháng 9.[13] Vào thời điểm đó cả hai đều được xem là thất bại, nhưng hiện tại có thể xem chúng là những lần thử nghiệm đầu tiên nhằm vào các ngân hàng lớn. Đến năm 2004, tấn công giả mạo được thừa nhận là một bộ phận hoàn toàn công nghiệp hóa của ngành kinh tế tội phạm: sự chuyên nghiệp hóa đã xuất hiện ở phạm vi toàn cầu để cung cấp tiền mặt đã được kết hợp vào các cuộc tấn công.[14][15]