Se eles estiverem situados como o servidor DNS, eles poderão registrar todos os nomes de host aos quais um cliente tenta se conectar (porque eles são o recurso para as resoluções de nome de host para endereço IP).
Isso significa que eles também podem alterar o endereço IP do nome do host solicitado para o servidor que quiserem (um deles). De lá, eles poderiam criar uma cópia falsa do site que a vítima está tentando acessar e capturar as credenciais de login, enquanto retorna uma mensagem de erro vaga (confeccionada) para o usuário com algo como "Atualize a página".
A vítima atualizaria a página e, em seguida, a NSA teria alterado o IP do host de volta para o legítimo e fugir com a conta da vítima.
Nesse caso, acredito que esteja segmentando usuários que não estão familiarizados com o funcionamento de algo assim. Você pegou isso ...
Mas, novamente, isso pode ser apenas o seu host proxy trollando você. O host prism1.nsa.gov seria dolorosamente óbvio da NSA para usar, mesmo para um usuário sem instrução.
Aqui está uma fantástica artigo por OccupyTheWeb sobre o Null Byte do WonderHowTo sobre outra forma de fazer isso chamado Quantum Insert.