Il phishing di follow-on è una campagna di phishing secondaria che compare dopo una segnalazione di incidente informatico, una voce di violazione o un post su un sito di leak. Gli aggressori sfruttano la paura e la confusione legate all'evento originale per far sembrare i messaggi urgenti e credibili. L'obiettivo è di solito rubare password, codici MFA, dettagli di pagamento, oppure spingere un allegato malevolo o una pagina di accesso.
È importante perché una pubblica accusa può creare la copertura perfetta per un impersonamento. Dipendenti, partner o clienti possono ricevere email o chiamate che fanno riferimento all'incidente, chiedono di “verificare” gli account o li indirizzano a un portale di supporto falso. I difensori dovrebbero fare attenzione a domini simili, impersonamento del marchio, richieste insolite di reimpostazione della password e messaggi collegati alle notizie recenti. Una comunicazione interna rapida, il monitoraggio dei domini e la sensibilizzazione degli utenti possono ridurre la probabilità che un'accusa si trasformi in una compromissione riuscita.