Els organismes suplantats en la pesca han estat tradicionalment les entitats bancàries, però també es veuen afectades passarel·les de pagament, pàgines de compravenda i de subhastes, jocs en línia, serveis d’atenció al client, serveis d’emmagatzematge al núvol, serveis de missatgeria, empreses públiques, empreses de col·locació (per exemple, amb ofertes de feina falses), etc.
Sovint els delinqüents creen enllaços falsos als organismes suplantats des d’on roben les dades a les víctimes que hi accedeixen. De vegades, també envien fitxers maliciosos que, un cop activats pels usuaris, permeten espiar-los i accedir a la seva activitat.
S’anomena pesca per correu electrònic (en anglès, email phishing) quan la pesca de credencials es porta a terme mitjançant l’enviament de correus electrònics i pesca per SMS (en anglès, SMS phishing) quan es fa mitjançant l’enviament de missatges SMS. Quan la pesca de credencials es porta a terme de manera personalitzada rep el nom de pesca dirigida (en anglès, spear-phishing).