Im vorliegenden Fall stammt die Mitteilung über das Zurücksetzen des Passworts tatsächlich von Newegg. Offenbar versucht ein Bot automatisiert, sich mit falschen Zugangsdaten bei Newegg anzumelden, um dann die "Passwort vergessen"-Funktion zu aktivieren. Nutzer, die die Passwort-Reset-Mitteilung erhalten, nehmen verständlicherweise an, ihr Nutzerkonto sei gehackt und möglicher Weise schon missbraucht worden.
Kurz nach der Reset-Mitteilung verschicken die Spammer dann eine gefälschte Bestell-Bestätigung im Namen von Newegg, sodass die Nutzer sich in ihrer Befürchtung bestätigt sehen - und unweigerlich den Anhang öffnen, der angeblich Details zur getätigten Bestellung enthält.
Die Experten von McAfee befürchten, diese Form des Social Engineering könne Schule machen, zumal praktisch alle Internetdienste, Online-Shops und Auktionsplattformen eine Funktion zum Zurücksetzen der Kennwörter bieten. Newegg macht es den Scammern allerdings besonders leicht, da die Reset-Mitteilung automatisiert sogar an die E-Mail-Adressen von Nicht-Mitgliedern geschickt wird, und auch kein Captcha-Schutz gegen automatisierte Anfragen eingerichtet ist.