Cofense ziet naar eigen zeggen een golf phishingaanvallen via "de legitieme file hosting site WeTransfer". Die zijn gericht op de financiële sector, de energiebranche en de media. De mail zelf is een echt bericht van WeTransfer, waarin staat dat iemand een bestand heeft gedeeld. Zulke mails worden verstuurd via gekaapte e-mailadressen. In een notitie schrijft de afzender dat het gaat om bijvoorbeeld een rekening die betaald moet worden. Zulke manieren worden vaker gebruikt bij phishing.

Wanneer de ontvanger de bestanden wil downloaden, wordt hij of zij doorgeleid naar een WeTransfer-pagina, waar een htm- of html-bestand staat. Wie dat downloadt, wordt naar een nagemaakte site geleid. Daar moeten ze gebruikersnamen en wachtwoorden voor bijvoorbeeld Office365 van Microsoft invullen. Als ze dat doen, komen de gegevens meteen in handen van de aanvallers.

Wie achter de phishing zitten en hoeveel mensen erin getrapt zijn, is niet bekend.