Poput svih praksi “phishinga”, napad je izveden slanjem email poruke korisnicima Gmail-a, u kojima se napadač pretvarao da je neko koga bi oni mogli znati. Međutim, za razliku od drugih “phishing” napada, ova email poruka je bila lažna pozivnica na zajedničko uređivanje Google Dokumenta.
Klikom na link za Google Dokument u email poruci, korisnici su odvedeni na stranicu koja ih je odvela na Google.com, a zatim im je zatražena dozvola za pokretanje aplikacije koju je napadač kreirao da bi dobio pristup Gmail profilima korisnika, dobivajući tako pristup njihovim email porukama i kontaktima, izvještava “Xinhua”.
Pored toga, aplikacija je slala emailove uime korisnika drugim metama, kazao je Cooper Quintin, tehnolog u Electronic Frontier Foundation.
Ovo hakiranje je uspješno jer djeluje bez obzira na to da li je korisnik promijenio šifru ili ima aktiviranu dvostruku provjeru identiteta.
Google je izdao saopštenje u kojem navodi da su “okrivljeni profili onemogućeni” i da su “lažne stranice ukinute”, te da njihov tim radi na “sprečavanju ponavljanja ovakve vrste prevare u budućnosti”.