Adathalász támadást nem csak technológiai sérülékenység kihasználásával lehet elkövetni. A legegyszerűbb, mégis gyakran hatásos módszer, amikor az áldozatot egyszerűen felhívják telefonon.

Egy ismeretlen telefonszámról érkező hívásról gyakran nagyon nehéz megállapítani, hogy a vonal túlvégén bemutatkozó illető valóban az-e, akinek mondja magát.

A vishing a „hang” és a „phising”, vagyis adathalászat szavak kombinációja. Egy olyan becsapás, melyben arra próbálják szóban rávenni az áldozatot, hogy osszon meg személyes információkat, belépési vagy bankkártyaadatokat (pl. PIN kódot vagy CVC kódot), vagy csak küldjön pénzt.

A vishing is – hasonlóan az SMS-re alapuló smishinghez – az úgynevezett „social engineering” típusú támadások közé tartozik, amikor az adatlopás nem technológiai sebezhetőségek kihasználásával, hanem a felhasználó becsapásával, megtévesztésével történik meg. A kiberbűnözők általában belépési adatokat vagy fizetésre alkalmas bankkártyaadatokat igyekeznek megszerezni, hogy ezekkel további bűncselekményeket követhessenek el.

A hívások egyszerű, de nagyon hatékony módszertanra épülnek. Többnyire valódi vagy valódinak tűnő személy nevében telefonálnak, mely bizalmat épít. A kontextus szintén valódinak tűnik: „telefonos adategyeztetésre van szükség” – olyan általános szituáció, melyben sokan magukra ismerhetnek. Harmadrészt pedig érzelmeket váltanak ki az áldozatból, sürgetik, rövid ideig elérhető nyereménnyel hitegetik, különlegesen szerencsésnek állítják be – ami miatt a célpont kevésbé gondolkodik kritikusan, hajlamos felülírni saját józan elővigyázatosságát.

Tipikus átverés, amikor a telefonáló a felhasználó bankjának alkalmazottjaként adja ki magát és egy állítólagos adatszivárgásra, betörésre hívja fel a figyelmet, ami miatt ellenőrizni kell az ügyfél belépési adatait, jelszavát, hogy működnek-e. Más esetekben az (általában idős) áldozat rokonának adja ki magát a támadó és azonnali segítségként pénz átutalását kéri.

Előfordul, hogy nem is élő személyek, hanem rögzített hívások vagy szoftverrobotok végzik a hívásokat, így jóval több próbálkozást lehet indítani.
Önmagában a hívás fogadásával még nincs vészhelyzet. A „hackelés” akkor történik meg, amikor kérdésre az áldozat személyes információkat oszt meg.
A szolgáltatók az elővigyázatosságon túl azt javasolják mindenkinek, hogy ha ilyen támadás célpontjaivá váltak és esetleg megadtak személyes adatokat, akkor azonnal vegyék fel a kapcsolatot a szolgáltató ügyfélszolgálatával a hivatalos elérhetőségek egyikén, és tegyenek feljelentést a hatóságoknál.