Схема атаки сводилась к следующему. Пользователю Citibusiness приходило электронное письмо, в котором сообщалось, что его аккаунт подвергся нападению неизвестных хакеров. Далее подписчику системы предлагалось подтвердить свои регистрационные данные, посетив веб-страницу по приведённой в сообщении ссылке. На первый взгляд эта ссылка указывала на официальный сайт Citibusiness, хотя на самом деле вела на страницу на Tufel-Club.ru.