I utgangspunktet er det bare å kopiere innloggingssiden til Hotmail/protonmail og lagre informasjonen som kommer inn via brukernavn og passordfeltene.

Så konstruerer man en e-post som sier noe om at f.eks passord er utløpt og legge ved lenke til den falske siden. Mest effektivt er det om man kopierer en av standard mailene som hår ut fra de forskjellige tjenestene.

Dette kalles phising. Man fisker etter informasjon.

Det kreves mer om brukeren hat aktivert to-faktor innlogging, men likevel mulig. Kreves litt mer automasjon og oppmerksomhet pga nøkler som har en bestemt tidsvarighet.

Dette er veldig enkelt forklart, og det finnes mange teknikker.

Det er kanskje unødvendig å påpeke, men brukes dette i en sammenheng hvor man ikke er innleid for å teste sikkerhet / penetrasjonstesting, så er det ulovlig. Med utgangspunkt i sidene du nevner, vanker det straff om man blir tatt.