Malware byl poslan jako odkaz (obfuskovany skracovacem napriklad). Kdyz se drive-by exploit spustil, browser byl presmerovan na nejakou "nevinnou" adresu (ty jsou videt v mailech, PCR si rikala, jaka ma ta adresa byt).
Pokud nestacilo socialni inzenyrstvi, nastoupil man-in-the-middle utok. Nazyvali to Network Injection Appliance nebo Tactical Device. Prvni je server nekde u ISP, druhy je ten samy software ale na notebooku (plus nejake nastroje jako aircrack pro napadavani wifi). Podle mailu byli skutecne u nejakych ISP nasazeny, ale nezminuje se uz, u kterych.