Une attaque au phishing particulièrement élaborée sévit depuis quelque temps contre les utilisateurs de comptes Gmail, ce qui amène amène plusieurs spécialistes à inviter le public à la prudence.

Mais le procédé employé par BayTSP n'est pas sécurisé. Tout d'abord au niveau vie privée, c'est le zéro pointé. Tous les formulaires sont référéncés par Google, ce qui permet à chacun de consulter tous les avertissements envoyés aux différentes adresses IP repérées.

Ensuite, en exploitant une faille XSS, il est possible de générer de faux avertissements et même de faux formulaires, qui permettent d'inciter les utilisateurs à télécharger par exemple un trojan lorsqu'ils pensent télécharger un "logiciel de sécurisation", ou même d'entrer un numéro de carte bancaire pour payer une prétendue amende.

Le risque existera aussi en France avec l'Hadopi, si de faux e-mails d'avertissement sont envoyés en son nom. Le phishing n'est pas réservé qu'aux banques.