Wiadomość sformułowana była tak, by odbiorca wziął ją za oficjalną korespondencję sądową - e-mail zawierał krótki opis sprawy oraz informację, że szczegółowy opis pozwu znaleźć można w dokumencie opublikowanym na stronie sądu (e-mail miał też oczywiście odpowiednio sfałszowany nagłówek). Po kliknięciu na odnośnik do owego dokumentu użytkownik przekierowywany był na stronę, na której proponowano mu zainstalowanie rozszerzenia do przeglądarki, umożliwiającego wyświetlenie dokumentu. Jeśli użytkownik się to zgodził, w jego systemie instalowany był koń trojański.

Atak został wykryty przez specjalistów z firmy Cyveillance, po tym jak jeden z jej pracowników otrzymał podejrzaną wiadomość. James Brooks, konsultant z Cyveillance, mówi, że to typowy przykład tzw. spear phishingu. Jest to odmiana tradycyjnego phishingu - od klasycznej metody różni się tym, że w e-mailach wysyłanych do ofiar umieszczane są informacje bezpośrednio dotyczące adresata (zabieg ten ma przekonać atakowanego, że wiadomość wysłana została tylko do niego). Tak było i w tym przypadku - w wiadomości otrzymanej przez pracownika Cyveillance znalazło się jego nazwisko, numer telefonu, adres firmowy oraz nazwa stanowiska.

Taki atak wymaga od przestępców zdecydowanie większego nakładu pracy niż w przypadku tradycyjnego phishingu - każda wiadomość musi zostać przygotowana oddzielnie a jej autor musi sam zgromadzić odpowiednią porcję informacji o celu. Zaletą "spear phishingu" jest za to wysoka skuteczność - jeśli bowiem uda się przekonać ofiarę, że otrzymała bezpieczną, przeznaczoną tylko dla niej, informację, to szansa na skuteczny atak jest znacznie większa (użytkownik chętniej uruchomi załączony do wiadomość lub osadzony na stronie kod).

Z analiz przeprowadzonych przez działające w ramach firmy Verisign centrum iDefense wynika, że celem takiego ataku było w ostatnim czasie co najmniej 1800 menedżerów z amerykańskich firm. "To prawdopodobnie największa operacja typu "spear phising", jaką przestępcy do tej przeprowadzili" - mówi Matt Richard, szef iDefense0 Rapid Response Team.

Specjaliści z Versign sądzą, że za atakiem stoi ta sama grupa przestępcza, która kilka miesięcy temu wysyłała podobne e-maile, mające jakoby pochodzić z agencji Better Business Bureau. O problemie zostały już poinformowane amerykańskie sądy, który zaczęły rozsyłać do petentów ostrzeżenia przed nowym typem ataków (alerty umieszczane są również na stronach sądów).

"Złośliwe oprogramowanie wykorzystane w tym ataku nie jest specjalnie godne uwagi - interesujący jest cały mechanizm przestępstwa. Sprytne jest to, że wiadomości zostały wysłane bezpośrednio do menedżerów oraz to, że przestępcy jako "haczyk" wykorzystali informacje o pozwach. Ludzie zwykle reagują dość panicznie w takich sytuacjach - boją się pozwów i chcą szybko dowiedzieć się o co chodzi" - komentuje John Bambenek, specjalista ds. bezpieczeństwa informatycznego z University of Illinois.