Der bekannteste "Phishing Kit" ist derzeit der "Rock Phish Kit", der bereits im November 2005 erstmalig aufgetaucht ist, in letzter Zeit aber immer öfter eingesetzt wird.

Er hat folgende Kennzeichen: Die Seiten verwenden entweder eine IP-Adresse oder einen falschen Domainnamen. Meistens steht /rock/ oder /r/ in der URL, gefolgt von einem weiteren Buchstaben. Dieser Buchstabe gibt oft Hinweise auf das Angriffsziel: „www.samplerockphish.com/r/b“ steht zum Beispiel für die Barclays Bank. Die Seiten werden normalerweise von Asien aus betrieben und verwenden jeweils den identischen PHP-Code, um die Angriffe zu verschicken. Viele dieser Seiten benutzen JavaScript, um die Toolbar des Browsers auszutauschen oder Tastaturfunktionen wie "Cut and Paste" zu stören.