A felhasználók ugyanis egy a Paypaltól érkező üzenetnek látszó e-mailt kapnak, amelyben felszólítják azokat a PayPal Tool biztonsági programnak álcázott fájl letöltésére. A PayPal-2.5.200-MSWin32-x86-2005.exe nevet viselő szoftver mögött azonban valójában egy trójai bújik meg, amely megváltoztatja az illető számítógép DNS-beállításait, azután pedig megsemmisíti önmagát. Ezen módosítások után azonban ha a felhasználók megpróbálják lehívni a www.paypal.com címet, akkor azok nem a hivatalos, hanem a csalók által készített, az eredetire megtévesztésig hasonló weboldalra jutnak el. Itt felszólítják az ügyfeleket a személyi adataik (név, telefonszám, bankkártyaszám stb.) aktualizálására. A biztonsági specialisták megállapították, hogy a csalók DNS-szervere Romániában, a Phishing-szerver pedig Indiában található. A Websense szakértői szerint jelenleg még egyetlen vírusirtó szoftver sem ismeri fel az adatrabló trójait.