חוקרי אבטחת מידע מזהירים כי מתקפת דיוג חדשה מנסה להערים על משתמשים ולגרום להם להאמין שפספסו מיילים חשובים. התראות הדוא"ל המזויפות נראות כאילו הן מגיעות מדומיין הדוא"ל של הנמען וטוענות באופן שקרי כי בשל שדרוג מערכת הודעות מאובטחות – נחסמו 'הודעות חשובות'. כדי 'לשחרר' (להציג) את אותם מיילים חשובים, מתבקשים הנמענים ללחוץ על כפתור / קישור העברה לתיבת דואר נכנס ואם הם עושים זאת, הם מועברים לדף המתחזה לאתר כניסה לדוא"ל.
גרסה נוספת של המייל טוענת שהודעות חשובות הוכנסו ל'הסגר דואר זבל' ומבקשת מהמשתמש להתחבר לדוא"ל שלו באמצעות קישור שסופק כדי 'להציג את תיקיית הספאם או את השולח ברשימה השחורה העדכנית ביותר': "דפי הדיוג נועדו להערים על המשתמש באמצעות לוגואים מהימנים", כתבה חוקרת פאלו אלטו נטוורקס – ריתיקה ראמש וציינה כי על מנת להשלים את אשליית הלגיטימיות, מגיע דף הכניסה מלא מראש בכתובת הדוא"ל של הנמען. לדבריה: "כאשר מזין המשתמש את הסיסמה שלו, הוא שולח נתונים אלו באמצעות בקשת HTTP POST לשרת זדוני. לאחר מכן מקבל המשתמש הודעת שגיאה מזויפת 'הכניסה אינה חוקית' למשך 2 שניות ושדה הסיסמה מתנקה. זוהי טקטיקה ידועה שמטרתה לגרום למשתמשים להזין מחדש את הסיסמה שלהם, במקרה שהם הקלידו אותה בצורה שגויה בפעם הראשונה." הדבר חוזר על עצמו שוב ובניסיון ההתחברות השלישי, מופנים הנמענים לדומיין האמיתי שלהם או לחיפוש גוגל.
בחלק מדפי ההתחברות המזויפים נמצא גם קובץ JavaScript אשר אוסף את פרטי הקורבן ויוצר כתובת URL לגניבת מידע – נקודת קצה של Telegram Bot API – כדי לשלוח אותם ל- Telegram Bot של פושעי הסייבר. חוקרי Malwarebytes זיהו מיילים דומים ואיתרו גרסה נוספת של המתקפה: "הקוד של אתר הדיוג מעורפל מאוד והאישורים נאספים דרך websocket. פושעי סייבר אוהבים להשתמש ב- websockets מכיוון שהם מקבלים את הפרטים של הקורבן ברגע שהוא מקליד אותם באתר דיוג ויכולים אפילו לשלוח בקשות למידע נוסף, כגון קודי אימות דו-שלבי (2FA)."
מה על המשתמשים לעשות? חלק מהאימיילים הללו כנראה יחמקו מסנני אבטחת דוא"ל ועל המשתמשים ללמוד להימנע מליפול להונאות כאלו ואחרות. העצה הכללית היא לעולם לא ללחוץ על קישורי דוא"ל לא מוכרים, במיוחד אלו הכלולים במיילים 'דחופים' ולבדוק את כתובת האתר של כל דף כניסה לפני הזנת פרטי גישה (שם משתמש וסיסמא).
