Riigi Infosüsteemi Ameti peadirektori asetäitja Lauri Aasmanni sõnul on õngitsuste käekiri sarnane:
Õngitsuskirjade saatmiseks kasutatakse varem kompromiteeritud meilikontot, millelt saadetakse sadu e-kirju teemareaga "Re: Invoice". Kui kirja saaja vajutab seal sisalduvat linki, avaneb küllaltki tõepäraselt saatja asutust matkiv pdf-fail, millel palutakse sisse logida Google’i, Microsofti või muude levinud keskkondade kaudu.
Õngitsuslehele viivat faili majutatakse mõnes pilvekeskkonnas, et asutuse meilifiltrid või muud turvameetmed ei suudaks seda tuvastada.
Lauri Aasmann selgitas, et õngitseja eesmärk on saada kätte konto omaniku kasutajanimi ja parool, et nende abil uusi pettusi korraldada. "Selliseid e-kirju on viimastel nädalatel saanud vähemalt paar tuhat inimest. Kuna õngitseja kasutab kirjade saatmiseks varasemate õngitsustega hangitud ligipääsu asutuste ja ettevõtete meilikontodele, on alust arvata, et selliseid laineid on veel tulemas," sõnas ta. Cert.ee-le teadaolevalt langesid mõned praeguses laines kasutatud kontod kompromiteerimise ohvriks 29. mail.
Cert.ee soovitab niisuguste e-kirjade saamisel olla väga tähelepanelik ning mitte avada tundmatuid linke. Selleks et vältida oma meili- või sotsiaalmeediakonto langemist küberpetturite kätte või juba varem varastatud andmete kasutamist, soovitab Cert.ee kasutada kaheastmelist autentimist. Kaheastmeline autentimine tähendab, et kasutaja peab ennast sisselogimisel identifitseerima kahel sõltumatul viisil, kasutajanime ja parooli sisestamisest ainuüksi ei piisa. Vastavaid lahendusi nii sõnumi kui mobiilirakenduse kaudu pakuvad nii Outlook, Gmail, Facebook, Twitter kui ka teised levinud keskkonnad.