Analytikere hos cybersikkerhedsfirmaet Cofense har opdaget angrebet, der starter med, at offeret modtager en besked med en advarsel om, at der er forsøgt at logge ind på personens konto fra et sted, de ikke har brugt før. Offeret skal klikke på et link for at bekræfte sin e-mailadresse.

På siden er der en timer, som tæller ned fra én time, og den siger, at offeret skal indtaste et brugernavn og password for at "validere" sin konto, inden klokken slår nul, ellers bliver kontoen slettet. Taktikken minder om, hvordan ransomware-grupper normalt fungerer. Det hele er dog fupnummer, ifølge ZDNet: intet slettes, svindlerne er efter login-oplysningerne.