Los correos electrónicos contenían una imagen oculta que avisaba a los atacantes en tiempo real cuando los destinatarios veían los mensajes. Cuando los destinatarios introducían contraseñas en una página de seguridad de Gmail o Yahoo falsa, los atacantes casi simultáneamente introducían las credenciales en una página de inicio de sesión real. En el caso de que las cuentas de los objetivos estuvieran protegidas por 2fa, los atacantes redirigieron los objetivos a una nueva página que solicitaba una contraseña única.