Een Oost-Europese bende internetoplichters die een half jaar geleden al een succesvolle spear-phishingaanval op bedrijven uitvoerde, heeft opnieuw toegeslagen en bedrijven worden in het geval van een geplunderde bankrekening niet vergoed. Zeker 900 managers zijn al voor de gerichte aanval gevallen, maar het werkelijke aantal slachtoffers ligt waarschijnlijk hoger. De e-mails die de aanvallers gebruiken zijn allemaal persoonlijk geadresseerd en beweren dat er een bedrag van de rekening is afgeboekt. De ontvanger moet vervolgens de bijlage controleren of alles wel klopt. In werkelijkheid gaat het om een Trojaans paard dat de twee-factor authenticatie van banken omzeilt door in real-time de website te wijzigen.

Zodra de gegevens in handen van de phishers zijn, wat in sommige gevallen via Instant Messaging gebeurt, wordt de rekening geplunderd. De meeste slachtoffers zijn Fortune 500 bedrijven en MKB'ers. Met name voor kleine bedrijven kan de aanval vernietigende gevolgen hebben. Consumenten die via phishing worden opgelicht, zijn namelijk hier tegen beschermd. Dat geldt niet voor bedrijven die in phishingaanvallen trappen, die moeten in de VS zelf voor de kosten opdraaien. De schade loopt inmiddels in de duizenden tot tienduizenden dollars per slachtoffer.