O esquema tem como objetivo aceder às palavras-passe dos utilizadores através do email da Google.
O utilizador do Gmail recebe um email falso de um contacto da sua lista pessoal com um anexo. Ao abrir o ficheiro, o utilizador vai ter a um falso site de início de sessão da Google onde o utilizador ao colocar os seus dados, está, na realidade, a partilhá-los com o burlão.
Após estarem dentro da conta de email do utilizador, os piratas informáticos continuam a procurar informações utilizando o mesmo método.
A página falsa de início de sessão na Google é idêntica à página oficial. A única coisa que a distingue é o endereço.
No início do URL pode-se ver “data:text/html”, o que não acontece na página fidedigna de início de sessão do Gmail.