Eu estava ouvindo o cão de guarda pela metade ontem à noite, não posso dizer que me lembrei de ter visto alguma coisa para sugerir que eles tentaram o seguinte, mas poderia ser possível:
Alguém pode se sentar em um HotSpot com o equipamento para criar um ponto de acesso sem fio "falso" em um back pack (lendo Scott Blog do Hanselman sugere que você pode precisar apenas de um Laptop Windows 7 configurado corretamente), este ponto de acesso sem fio pode ser usado para executar um ataque Man-In-The-Middle apresentando uma versão falsa do G-Mail ou qualquer outro serviço. Isso deve ser frustrado pelo SSL, no entanto, se o usuário não atender aos avisos ou estiver usando um navegador mais antigo que usasse uma terminologia confusa, eles podem não perceber que o certificado era inválido.