«Чтобы скрыть электронную почту пользователя от средств автоматического сканирования, злоумышленники использовали специальную кодировку, а также взломанные легитимные сайты для загрузки своего PHP-кода, который используется для декодирования email-адреса конкретного пользователя, — пишут эксперты Proofpoint. — После расшифровки адреса пользователь перенаправляется на конечный сайт — фишинговую страницу, специально разработанную для данной организации».