Die Jagd auf neu eröffnete Phishing-Sites beschäftigt eine Reihe von Sicherheitsfirmen, die im Auftrag von Banken versuchen, diese Server möglichst schnell dicht zu machen. Die Täter setzen verschiedene Taktiken ein, um die Lebensdauer einer Phishing-Kampagne zu verlängern.
So werden schon seit längerer Zeit mehrere IP-Adressen pro Website auf den Name-Servern hinterlegt. Jede IP-Adresse gehört zu einem anderen Rechner. Dabei handelt es sich oft um gekaperte PCs, die zu einem Botnet gehören und oft in China oder Südkorea stehen. Fällt der erste Rechner aus, rückt der nächste nach.
Eine neuere Taktik wird als "Smart Redirection" bezeichnet. Hierbei verweisen die Links in den Phishing-Mails auf einen Server, dessen einzige Aufgabe in der Weiterleitung der Verbindungsanfrage an aktive Server besteht. Dabei prüft er, welche Phishing-Server noch erreichbar sind und leitet das potenzielle Opfer dann an einen aktiven Server weiter. Solange dieser Verteiler noch am Netz ist, können die Täter ihn mit frischen IP-Adressen neu hinzu gekommener Rechner füttern.
Das "Anti Fraud Command Center" des Ende 2005 von RSA übernommenen Sicherheitsunternehmens Cyota hat diese Taktik bislang bei zwei Phishing-Kampagnen beobachtet, die auf Kunden einer kanadischen und einer britischen Bank zielten.