Wie das BSI mitteilte, nutzten die Online-Kriminellen wohl verschiedene Wege, um an die Zugangsdaten der Mail-Konten zu gelangen. Die Sicherheitsexperten gehen davon aus, dass die Zugänge sowohl mithilfe von Trojanern erbeutet wurden, aber auch durch sogenannte Keylogger: Schadsoftware, die Tastatureingaben mitliest.

IT-Fachmann und Deutschlandfunk-Journalist Peter Welchering schließt auch andere Wege nicht aus. Da es recht aufwendig und teuer sei, Trojaner auf drei Millionen Computer zu bringen, liege die Vermutung nahe, dass gezielt Datenbanken von E-Mail-Providern gehackt wurden. Die Idee, die Benachrichtigung der Betroffenen E-Mail-Nutzer den Providern zu überlassen, hält Welchering für wenig durchdacht:

"Denn wenn Online-Kriminelle einen Trojaner auf den PCs der betroffenen Mail-Nutzer eingeschleust haben, dann dürfte der natürlich auch die Mail des Providers mit dem Warnhinweis abfangen – vorausgesetzt die Online-Kriminellen sind clever."