Atak polegał na przesłaniu na skrzynki e-mailowe klientów banku informacji, wyglądających tak, jakby zostały wysłane przez bank.
Mail był zatytułowany "Blokada rachunku ING". W treści można przeczytać, że konto zostało zablokowane ponieważ potrzebna jest autoryzacja klienta. Odblokowanie konta miało być możliwe po zalogowaniu się na nie.
W e-mailu znajdował się też link, który kierował klienta rzekomo na stronę banku. W rzeczywistości była to strona imitująca stronę banku - wpisanie na niej numeru klienta i hasła powodowało, że informacje te trafiały do przestępców.