בהודעה מצורף קישור להורדת קובץ פי די אף משרת לגיטימי של פלטפורמת שיתוף קבצים. מאחר שמדובר בדומיין מוכר שמסווג במערכות רבות כלבן ומאושר מראש, הוא עובר את מסנני האבטחה הארגוניים ואינו מעורר התרעה אוטומטית. בתוך קובץ הפי די אף עצמו משולב קישור נוסף, המפנה לאתר דיוג המתחזה לעמוד ההתחברות של גוגל. הקורבן מתבקש להזין שם משתמש וסיסמה, ולעיתים גם קוד אימות. ברגע שהפרטים מוקלדים, הם מועברים לתוקף.
לאחר גניבת פרטי החשבון, התוקף נכנס לחשבון גוגל של הקורבן ולעיתים גם לשירותים נוספים המחוברים אליו. באמצעות פרטי ההזדהות שנגנבו הוא מתחבר לפלטפורמת ג'מבו מייל ומייצר קישור זדוני חדש. בשלב הסופי הוא חוזר לתיבת המייל שנפרצה ושולח את הקישור החדש לאנשי הקשר של הקורבן. כך נוצרת שרשרת הדבקה שבה משתמשים אמיתיים הופכים, מבלי לדעת, למפיצי ההונאה.
בחברה מדגישים כי שרתי ג'מבו מייל עצמם לא נפרצו וכי ההודעות הזדוניות אינן נשלחות משרתי החברה. המיילים מופצים ישירות מתיבות דואר פרטיות שנחטפו, והקישור מפנה לעמוד הורדה לגיטימי בפלטפורמה שבתוכו מצוי הקובץ הזדוני. עוד נמסר כי משתמשים שהפעילו אימות דו שלבי היו מוגנים מפני חטיפת החשבון והשימוש בו לרעה.
החברה ממליצה לציבור לנקוט צעדים מידיים. בראש ובראשונה, להפעיל אימות דו שלבי בכל חשבון מייל. לדבריהם, מדובר באמצעי ההגנה המרכזי שמונע מהתוקף להשתמש בחשבון שנחטף לצורך המשך הפצת ההונאה. עוד מומלץ לוודא טלפונית מול השולח כאשר מתקבלת הודעה בעלת אופי משפטי או כספי, במיוחד אם היא כוללת דרישה דחופה לפעולה.
בנוסף ממליצים להשתמש באפשרות צפייה מקדימה בענן לפני הורדת קבצים למחשב האישי, כדי להפחית את הסיכון להרצת קבצים זדוניים. למנהלי אבטחת מידע בארגונים מציעים לעבור לחשבונות ארגוניים מנוהלים, המאפשרים ניהול זהויות מרכזי ואכיפת מדיניות אבטחה מחמירה יותר, במטרה לצמצם דליפות מידע ולמנוע שימוש לרעה בחשבונות שנפרצו.
התרעות פיקוד העורף