Um an die Accountdaten zu kommen, attackieren die Angreifer die Yahoo-Accounts per Brute Force (englisch für "rohe Gewalt"), bei der mit Hilfe eines automatisierten Verfahrens so lange Benutzernamen und Kennwörter geraten werden, bis die richtige Kombination gefunden ist. Wie das amerikanische
SCMagazine berichtet, nutzen die Angreifer nicht die Hauptseite, mit sich auch die Yahoo-Anwender einloggen, sondern eine Seite, die Service Providern vorbehalten zu sein scheint. Während die Login-Seite für Endanwender gut gegen Brute-Force-Angriffe geschützt ist - beispielsweise erscheint bei falschen Eingaben eine Fehlermeldung, aus der nicht hervorgeht, ob der Username oder das Passwort falsch eingegeben wurde - trifft das auf die Seite, die nun zum Opfer der Angriffe geworden ist, nicht zu. Sie teilt den Angreifern mit, ob der Name oder das Kennwort falsch waren und verwendet überdies keine "Captchas", verfremdete Buchstaben- und Zahlenkkombinationen, die nur das menschliche Auge erkennen kann und die automatisierte Brute-Force-Attacken damit unterbinden.