Fin 2003, des hameçonneurs ont enregistré des dizaines de domaines qui ressemblaient à des sites légitimes comme eBay et PayPal. Ils ont utilisé des programmes de messagerie pour envoyer des courriels frauduleux aux clients de PayPal. Ces clients étaient dirigés vers des sites pirates et invités à mettre à jour les données de leur carte de crédit et d'autres informations d'identification.
Au début de l'année 2004, les hameçonneurs ont connu un succès considérable, notamment en attaquant des sites bancaires et leurs clients. Des fenêtres pop-up étaient utilisées pour obtenir des informations sensibles des victimes.
Entre mai 2004 et mai 2005, environ 1,2 million d'utilisateurs aux États-Unis ont subi des pertes causées par le phishing, pour un total d'environ 929 millions de dollars. Les organisations perdent environ 2 milliards de dollars par an à cause du phishing.
Le phishing est officiellement reconnu comme une partie totalement organisée du marché noir. Des logiciels spécialisés capables de traiter les paiements par hameçonnage apparaissent à l'échelle mondiale, ce qui permet d'externaliser un risque énorme. Ces logiciels sont mis en œuvre dans des campagnes de phishing par des bandes criminelles organisées.
Fin 2008, le bitcoin et d'autres crypto-monnaies sont lancés. Les transactions effectuées à l'aide de logiciels malveillants peuvent ainsi être sécurisées et anonymes, ce qui change la donne pour les cybercriminels.