Virüs, insanlara
bilişim hizmeti vermek amacıyla kurulan doctus.org'un güvenlik ağlarına takıldı ve
kayıt altına alındı. Buna göre,
Facebook kullanıcılarına 'photofacebook.net' isimli bir adres iletiliyor.
O an aktif olanlar, kendilerine gönderilen
araç çubuğunda 'facebook' ibaresi de yer aldığı için hiçbir şeyden şüphelenmiyor ve kısayolu tıklıyor. Bunun üzerine Facebook'un sayfasından ayırt edilemeyen bir sayfa açılıyor. Burada kullanıcı adı ile şifrenin yazılması isteniyor.
Adrese girmek için yazılan şifre ve kullanıcı adı anında kayıt altına alınıyor.
Saldırıyı ortaya çıkaran doctus.org'un kurucusu
Tansu Günay, tecrübeli bir kullanıcının virüsü rahatlıkla sezebileceğini söylüyor. "Çünkü orijinal Facebook'a ait yan kalemlerin hepsi 'photo.facebook' gibi nokta ile ana isimden ayrılmak zorunda." diyor. Saldırı ile neyin amaçlandığı konusuna değinen Günay, "Toplu
banka hesabı boşaltmak için
kimlik bilgileri toplanıyor olabilir." uyarısında bulunuyor. Günay, "Kullanıcılar aynı ad ve şifre ile
sanal banka hesabını da kullanıyor olabilir. Ya da bu şekilde toplanan milyonlarca kimlik bilgisi ile toplu banka, şirket ya da sanal adres saldırısı amaçlanıyordur." diyerek, kullanıcılardan dikkatli olmalarını istiyor.