Bei der Masche bekommen Hotellerie-Angestellte zunächst eine E-Mail – vermeintlich von Booking.com – zugeschickt. Der Inhalt der E-Mails bezieht sich häufig auf negative Hotelbewertungen, Anfragen von potenziellen Reisenden oder Anfragen zur Kontoverifizierung. Die E-Mails sollen eine schnelle Reaktion hervorrufen und die Empfänger dazu bringen, auf einen Link oder in eine PDF zu klicken, ohne die Legitimität der Nachricht zu prüfen.
Sobald ein Empfänger auf den Link klickt, wird er auf eine gefälschte Booking.com-Webseite umgeleitet, die ein CAPTCHA-Rätsel („Completely Automated Public Turing test to tell Computers and Humans Apart“) anzeigt.
Dieses gefälschte CAPTCHA ist Teil einer als ClickFix bekannten Social-Engineering-Technik. Die Benutzer werden dabei angewiesen, eine erfundene Aufgabe durch Kopieren und Einfügen einer Tastenkombination in den „Windows-Ausführen“-Dialog zu lösen. So kann die schädliche Malware ohne die sonst übliche Sicherheitsmechanismen auf die Rechner der Opfer gedownloaded werden!
