水坑攻击也是网络钓鱼的一种形式，但相比撒网式网络钓鱼，水坑攻击针对性更强，前期准备工作更多，成功率也更高。水坑攻击是高级持续性威胁（advanced persistent threat，APT）进入阶段的一种攻击方式，与类似动物界的捕食者埋伏在水坑周围，等待其他动物前来喝水时发起攻击猎取食物相似，水坑攻击由此得名。

水坑攻击成功的关键有两点。一是分析受害者的网站访问规律，借助社会工程学、Cookie劫持以及大规模数据库泄露事件，攻击者可得到用户的网站访问、搜索和使用习惯记录，从而确定“水坑”位置。由于许多网站都使用同一广告平台，网络广告平台也是实施水坑攻击的有效途径。二是攻陷特定网站，借助网站漏洞攻击者可获得网站的部分控制权。操作系统漏洞，Web服务器软件漏洞如2017年Apache服务器的Struts2漏洞，网页脚本漏洞如代码注入、跨站脚本攻击、跨站请求伪造，以及配置缺陷等都可用于获得网站权限。