W każdym przypadku schemat działania sprawców jest podobny:
- Sprzedający wystawia produkt lub usługę na portalach ogłoszeniowych, np. OLX
- Do sprzedającego odzywa się osoba rzekomo zainteresowana zakupem i wypytuje o szczegóły. Kontakt najczęściej następuje przez komunikator WhatsApp.
- W trakcie prowadzonej rozmowy potencjalnie zainteresowany kupujący - przestępca proponuje sprzedającemu płatność poprzez nową usługę.
- Sprzedający otrzymuje link do strony, na której ma podać dane swojej karty lub dane do logowania do usług bankowości elektronicznej. Link może być przesłany - bezpośrednio w rozmowie przez komunikator lub w wiadomości e-mail lub SMS podszywającej się np. pod portal ogłoszeniowy, lub usługę kurierską.
- Klikając w przesłany link, otwiera się specjalnie przygotowana strona, wyglądająca dla sprzedającego wiarygodnie, gdyż może tam zobaczyć np. zdjęcie i cenę swojego produktu.
- Na tej stronie znajduje się ponadto miejsce do wpisania:
- karty płatniczej (dane posiadacza karty, pełen numer karty, CVV, data ważności, kod 3DS)
- lub danych dostępowych do bankowości elektronicznej (login, hasło, SMS kody).
- Po podaniu powyższych danych nie dochodzi do sprzedaży i dodatkowo sprzedający traci wszystkie oszczędności znajdujące się na koncie.