Angreppen riktas främst mot företag med Exchange-instanser i Office 365. Förlusterna vid sådana angrepp kan uppgå till stora belopp.

Användare lockas via mejl att besöka en falsk webbsida där de uppmanas ange inloggningsuppgifter till sitt mejlkonto. Bedragarna loggar sedan själva in på mejlkontot via Outlook Web Access.

Om kontot ser tillräckligt intressant ut ändrar bedragarna inställningarna för kontot så att inkommande mejl, eller en kopia av mejlen, eftersänds till bedragarnas mejlkonto. Inställningar för eftersändning syns inte i administrationsgränssnittet för kontot varför användaren inte känner till att så sker.

Det övertagna mejlkontot kan därefter användas av bedragarna för att skicka nya meddelanden till andra användare inom samma företag eller till exempel dess affärspartner. Avsändaren är då legitim och betrodd av mottagarna. Sådana mejl kan innehålla nya nätfisken eller begäran om utbetalningar av pengar (så kallade VD-bedrägerier), inköp av varor, förfalskade fakturor etc. Det kan inte uteslutas att även information stjäls från, eller via, övertagna mejlkonton.

I många fall är även användarnamnet och lösenordet för mailkontot det samma som används för inloggning mot det lokala nätverket, och även för fjärrinloggning (VPN). Detta ger ytterligare en dimension i angreppet då antagonisten kan få tillgång till samma interna resurser som det kapade användarnamnet har behörighet till.

CERT-SE rekommenderar först och främst att implementera tvåfaktorsautentisering för all inloggning, även för extern åtkomst till mejltjänsten.