攻撃者は偽のウェブサイトへのリンクを含むメッセージを、サービス利用者に送りつけるという。この偽サイトはYahooの公式サイトと酷似しており、ユーザーにYahoo IDおよびパスワードを入力してログインさせようと試みる。
フィッシングメッセージは、受信者が登録している友人から送られてきたかのように見える。メッセージの受信者がウェブサイトでIDやパスワードなどを入力すると、攻撃者は受信者のプロファイルに保存されている個人情報へ随意にアクセスできるようになる。さらには、受信者の連絡先一覧やIMメンバーのリストにもアクセス可能になる。

Yahoo! JAPAN、個人情報を不正に引き出す“フィッシング”サイト警告(Internet Watch)のほうが内容は詳しい。