A hamis cégek élén a Microsoft áll
Az esetek 99%-ában adathalászatról van szó, amelynek során főként hozzáférési adatokat próbálnak megszerezni, a többi támadás pedig távoli elérésű trójait (például ConnectWise RAT, Sötét Kristály/Dark Crystal, XWorm) telepít. A levelek 95%-a Microsoft céges e-mailnek álcázza magát, de gyakran használnak Google, Docusign vagy a Társadalombiztosítási Hivatal (Social Security Office) nevében küldött leveleket is, HR-es vagy dokumentumokat bekérő üzenetekkel.
Gyártósori sorozatgyártás, egyedi álnevek
A .es aldomain-nevek jellemzően automatikusan generáltak, ami könnyebben lebuktathatóvá teszi őket – például ag7sr.fjlabpkgcuo.es vagy gymi8.fwpzza.es. Szinte mindegyik a Cloudflare-nél van parkolva, így nem köthetők egy konkrét támadóhoz vagy csoporthoz. A .es végződések használatát 2005-ig erősen korlátozták, de ez mára megszűnt, amit a csalók új trükkjeikhez használnak ki.
