Angreb fra inficerede websites er ingen nyhed. Alle der besøger det ramte website vil blive forsøgt angrebet. Men en snedig drejning har gjort det sværere at finde angrebskoden.
Den normale procedure for en it-krimminel, der ønsker at få fat i så stor en mængde ofre er, at inficere websites med mange besøgende. Til det formål benyttes Google til at identificere highend sites. Når disser er fundet, bliver de testet for eventuelle sårbarheder. Helt på samme måde som professionelle it-sikkerhedsvirksomheder gør det.
Hvis en sårbarhed lokaliseres - hackes websiten således den kan bruges som angrebssite. Men modsat den normale fremgangsmåde, hvor der tilføjes nye filer eller skjult kode, redigeres allerede eksisterende filer der benyttes af servicen.
Drejningen er i den forbindelse, at der testes for, hvorfra brugeren kommer. Hertil benyttes et referer tjek for at se om den besøgende ankom til websiten fra et Google link. Hvis det er tilfældet, går angrebet i gang med fuld musik. Hvis man ikke ankommer til siten fra en Google søgning - så sker der ikke noget.
Ved angrebet sendes brugeren hen til flere forskellige sites, som intet har med det originale website at gøre. På disse sites testes der målrettet efter forskellige sårbarheder i den givne internetbrowser. Kan en kendt sårbarhed lokaliseres vil den blive inficeret. Oftest med en trojan-downloader. Ellers lokkes brugeren til manuelt at acceptere installering af malwaren.
Netop brugen af referer, hvor kun bestemte brugere bliver ofre, gør det svært at lokalisere problemet hurtigt. Det vil kræve dybere analyse og dermed øges risikoen for flere rammes.