Il Phishing-as-a-Service (PhaaS) è un modello di business criminale che vende funzionalità di phishing già pronte invece di richiedere agli aggressori di costruirle da soli. Un pacchetto tipico può includere pagine di accesso fraudolente, modelli di email, hosting, configurazione del dominio, raccolta di credenziali e strumenti di automazione, spesso offerti in abbonamento o a noleggio.
Questo è importante perché riduce le competenze e i costi necessari per condurre frodi su larga scala. Gli aggressori possono lanciare campagne più rapidamente, riutilizzare i kit tra diverse vittime e sostituire i modelli per aggirare i filtri. Negli attacchi reali, il PhaaS consente il furto di credenziali, il takeover degli account e le frodi di impersonificazione, rendendo le truffe facili da personalizzare per banche, servizi cloud o dirigenti. I difensori rispondono con autenticazione resistente al phishing, monitoraggio dei domini, filtraggio dei messaggi e verifica fuori banda per le richieste sensibili. Il rischio principale è la scala: quando il phishing viene confezionato come software, più criminali possono operare in modo più efficiente con meno competenze.