Cyberprzestępca rozsyła e-maile z informacją na temat interesującego filmu. Kliknięcie zawartego w listach odsyłacza skutkuje przekierowaniem na fałszywą stronę, która do złudzenia przypominającą serwis YouTube. Następnie nieświadomi użytkownicy dowiadują, że odtworzenie filmu jest niemożliwe, ponieważ w ich systemie brakuje jakiegoś kodeka lub aktualizacji Adobe Flasha. Dlatego proponuje się im pobranie brakującego elementu, natomiast zamiast potrzebnej aplikacji na komputer trafia złośliwe oprogramowanie. Do tworzenia fałszywych stron cyberprzestępcy wykorzystują program YTFakeCreator. Pozwala on samodzielnie opracować komunikat o błędzie, który pojawi się na witrynie, określić, po jakim czasie ten komunikat będzie prezentowany, wprowadzić odsyłacz do zainfekowanego pliku, który zostanie pobrany na komputer ofiary, jak również stworzyć fałszywy profil YouTube. Cyberprzestępca może także określić rodzaj kodu, który będzie rozpowszechniany za pomocą fałszywych stron - wirusy, robaki, oprogramowanie adware, trojany itp.