Il phishing in sessione è, come il phishing , il recupero di informazioni riservate dal bersaglio facendogli credere che la sua banca o un'altra organizzazione fidata abbia chiesto queste informazioni sensibili.
Durante l'utilizzo di un sito sicuro e affidabile, viene visualizzata una finestra pop-up che invita l'utente di Internet a reinserire il nome utente e la password. Una volta convalidate le informazioni, l'istigatore dell'attacco può riutilizzarle.
Questo tipo di attacco utilizza in genere uno script JavaScript . È tecnicamente possibile che uno script JavaScript attivi un'azione se il sito predeterminato viene visitato contemporaneamente al sito contenente lo script. In tal caso, lo script JavaScript viene attivato e apre il popup. Questo attacco si basa in particolare sul difetto di Cross Site Scripting .