Una volta che l'account è stato compromesso, l'aggressore si occupa di recuperare ogni genere di file contenenti informazioni sensibili (dettagli finanziari, protocolli di sicurezza, credenziali di account) e di allestire una nuova "piattaforma" di phishing sfruttando le caselle e-mail collegate agli account compromessi, andando a bersagliare questa volta altri utenti interni all'azienda o anche tentando di colpire realtà esterne, facendo leva sull'autorevolezza dell'indirizzo e-mail del mittente.