Los ataques de phishing se han convertido en uno de los vectores más utilizados por agentes maliciosos para comprometer la información de las organizaciones. Anteriormente los atacantes tenían que realizar sus propias configuraciones y desarrollos para efectuar campañas de phishing; este proceso se tornaba bastante lento, laborioso e intensivo. Hoy en día el Phishing-as-a-Service elimina varios de los pasos anteriores, especialmente los más difíciles como el alojamiento y el diseño. Estas características permiten que cualquier persona sin conocimientos técnicos pueda llevar a cabo una campaña de phishing a gran escala.

Este nuevo modelo de negocios requiere que los usuarios paguen a un operador para desarrollar e implementar campañas masivas de phishing a partir del desarrollo de páginas falsas de inicio de sesión y alojamiento de sitios web. Las ofertas de PhaaS incluyen casi todo lo que un atacante necesita para crear una campaña de phishing exitosa como: enlaces maliciosos, páginas de destino falsas, así como técnicas de evasión.

Según un estudio realizado por la empresa de seguridad Cyren, se identificó que los servicios tenían precios de alquiler entre los 50 y 80 dólares por mes y más de 5000 productos de phishing nuevos y únicos a la venta en la primera mitad de 2019; hoy en día el número de proveedores se ha incrementado. Uno de los proveedores más conocidos dentro de la darkweb es BulletProofLink, quien ha desarrollado campañas exitosas de phishing teniendo como victimas a empresas de nivel mundial, como Microsoft, por mencionar alguna.