Jellemzően egy elhagyott "ott maradt" (kis)vállalkozás weboldala/webtárhelye a 0. áldozat, és oda kerül fel (mután megtörték, és figyelték, hogy van-e valid forgalma, látszik-e az, hogy van valós, tevékeny/odafigyelő gazdája) a lemásolt tartalom - hogy aztán az ott beírt adatokkal elindítsanak egy másik netbanki session-t - ami lehet, hogy egy másik megtört gépről megy ki...