Nätfiskeattacken börjar med ett mejl med en HTML-bilaga som kör Javascript-kod som omdirigerar användaren till en förfalskad inloggningssida – förutsatt att bilagan öppnas. Den förfalskade sidan har både aktuell företagslogo och bakgrundsbild och även offrets mejladress förifylld.
Computer Sweden skiver att plattformen har använts sedan mitten av förra året och den var särskilt aktiv i december och i mars i år. En majoritet av de utsatta har varit baserade i USA följt av Storbritannien, Australien, Sydafrika och Kanada.