Phishers gebruiken HTML-bijlagen om de Google blacklist, gebruikt in Firefox en Chrome, te omzeilen. Op deze manier wordt er geen HTTP GET request naar de phishingsite gestuurd, en zo de blacklist omzeild. De via e-mail verstuurde en lokaal opgeslagen HTML-bijlage wordt in de browser geopend. Als het slachtoffer zijn gegevens invult en verstuurt, stuurt het HTML-formulier een POST request naar een gehackte webserver. Zowel Mozilla als Google Chrome detecteren dit niet. "Maanden oude phishing-campagnes blijven onopgemerkt, het is zo een zeer effectieve tactiek", zegt Rodel Mendrez van M86 Security.

Hij merkt op dat browsers de POST request zouden moeten kunnen zien. Een reden dat de phishers er toch doorheen glippen is dat maar weinig PHP URLs als kwaadaardig worden gerapporteerd. Daarnaast zijn de URLs ook lastig als phishingsite te kwalificeren. "We hebben de laatste maanden een toename van dit soort phishing campagnes gezien", gaat Mendrez verder. Hij waarschuwt gebruikers om geen verdachte HTML-bijlagen te openen.