Мошенники заключали договора на показ рекламы с различными рекламными брокерами. Для увеличения числа показов и переходов по рекламным ссылкам они применяли вирус под названием DNSChanger и заразили им, по оценкам ФБР, порядка 4 млн компьютеров по всему миру (500 тыс. из них — в США). Вирус перенаправлял запросы к доменной системе имен на сервера мошенников. Таким образом, мошенники могли подставлять в ответах нужные им адреса и отправлять пользователей на сайты, которые они не намеревались посещать. Преступники заработали около 14 млн долл.
Подмена адресов в данном случае использовалась для накрутки показов рекламы, но тот же метод может быть применен и для более опасных преступлений — например, кражи финансовых данных.