A támadó készít egy trükkös weblapot, amit az áldozat megnéz a böngészőjével. A támadás működéséhez az áldozatnak ezen kívül semmi mást nem kell tennie (nem kell engedélyeznie semmit, nem kell rákattintania semmire stb). A weblapon lévő javascript kód lefut az áldozat gépén, és új kapcsolatokat nyit. A támadó weblapjáról letöltött javascript így próbál meg belépni az áldozat gépéről az áldozat otthoni routerére. A script az otthoni routerek tipikus belső ip címeit próbálja ki, és az alapértelmezett adminisztrátor jelszóval próbál meg belépni rájuk. Az a tapasztalat, hogy a legtöbb felhasználó úgy használja a routert, ahogy a dobozból kivette, és még az alapértelmezett jelszót sem változtatja meg. Ha sikerül belépnie, a támadó tetszőlegesen átállíthatja a routert. Például, megváltoztathatja az áldozat DNS szerverét, és így megtévesztheti az áldozatot: ezentúl hiába írja be egy weboldal (pl. xyzbank.hu) címét a böngészőjébe, mégis a támadó számítógépével lép majd kapcsolatba.

Az ilyen jellegű routereket az alapértelmezett beállítás szerint kívülről, az Internet felől nem lehet adminisztrálni, csak belülről engednek meg ilyen belépést, ezért elsőre nem is tűnne szükségesnek az alapértelmezett jelszó megváltoztatása. Ez a támadás éppen azt használja ki, hogy belülről, az áldozat gépéről lép be a routerre. A javascript futtatás letiltása kivédené ezt a támadást, de ez nem reális védekezés; nagyon sok oldal használ javascriptet, amelyeket e nélkül a funkció nélkül egyáltalán nem lehetne megnézni. Megjegyezzük, hogy ez a támadás nem a javascript hibáját használja ki: weblapokon gyakran használnak olyan funkciót, hogy javascript nyit meg új oldalakat.

Tanulság: Vannak fontos és kevésbé fontos jelszavak. Az utóbbiak esetén is célszerű követni azt az ökölszabályt, hogy az alapértelmezett jelszavakat meg kell változtatni.

Itt található további információ erről a támadásról.