Es fängt an mit einer echt wirkenden E-Mail, die nach der Zurücksetzung eines Passwortes fragt. Einige Benutzer werden hier schon stutzen und abbrechen. Einige Sicherheitsprogramme könnten die Nachricht zudem abfangen, weil die Absender-Adresse vielleicht unbekannt ist. Jedoch weist der Link auf einen echten AWS-S3-Bucket, was die Betrügerei wiederum verschleiert. Klingt der Nutzer darauf, wird er zu einer Seite weitergeleitet.
Dort fällt auf, dass die Domäne tatsächlich ein echter AWS-S3-Bucket ist, da jeder eine statische oder dynamische Seite bei AWS aufsetzen kann. In diesem Fall wurde eine Microsoft-Anmeldeseite gefälscht und die E-Mail-Adresse des Nutzers wurde bereits eingetragen, sodass dieser nur noch sein Passwort eingeben muss. Außerdem ist die E-Mail-Adresse des Nutzers ein Teil der URL, damit es so aussieht, als wäre er schon angemeldet gewesen.
Zwar verlangt dieser Angriff höherwertige Programmierfähigkeiten und technisches Verständnis. Durchschnittliche Hacker sind dazu jedoch in der Lage. Zwar ist der Angriff nicht so überzeugend, wie die zuvor vorgestellten, aber immer noch gefährlich genug, um viele Leute zu täuschen, da wiederum ein legitimes Tool, AWS, missbraucht wird, um den Angriff zu verschleiern. Hier hilft der Blick auf die Absender-Adresse und die URL am meisten, um den Betrug zu enttarnen.
Die Sicherheitsforscher raten Unternehmen und Privat-Anwendern größte Vorsicht walten zu lassen. Außerdem empfehlen Sie, KI-gestützte IT-Sicherheitslösungen zu implementieren, die nach verschiedenen Indikatoren Ausschau halten können, eine E-Mail-Sicherheitslösung einzuführen, die Dokumente und Dateien prüft, sowie eine URL-Sicherheitslösung, die Websites prüft und emuliert.