Die Betrüger gelangen höchstwahrscheinlich durch sogenanntes Phishing (das Abfischen persönlicher Daten) an die Zugangsdaten für das Online-Bankkonto ihrer Opfer. "Das geschieht vermutlich durch eine E-Mail, die Schadsoftware, zum Beispiel einen Trojaner, enthält", berichtet Erfort. "Haben die Täter die Zugangsdaten gestohlen, haben sie Zugriff auf das Bankkonto" so der Sprecher, "aber ihnen fehlt noch die TAN für eine Überweisung. Im nächsten Schritt rufen die Täter daher ihr Opfer an." Dabei wird die Rufnummernübermittlung am Telefon so manipuliert, dass die Telefonnummer der Bank im Display des Opfers erscheint. Die Betrüger geben sich als Bankmitarbeiter aus. Sie tischen dem ahnungslosen Bankkunden auf, dass etwas mit dem Konto nicht stimme beziehungsweise dass es überprüft werden müsse.
Um sich als Bankmitarbeiter zu verifizieren, nennen die Täter dem Opfer Umsätze, Kontonummer und weitere persönliche Daten. "Die Betrüger haben ja Zugriff auf Ihr Konto. Sie haben Ihre Zugangsdaten gestohlen und haben sich in Ihr Bankkonto eingeloggt. Die Täter kennen Sie", so Erfort. Auch die gefälschte Telefonnummer dient der vermeintlichen Verifizierung.
Nachdem der angebliche Bankmitarbeiter das Vertrauen seines Opfers gewonnen hat, weist er den Bankkunden an, in den Chip-TAN-Generator manuell eine Nummer einzugeben. Das Opfer teilt dem Betrüger daraufhin die angezeigte TAN mit. "Die TAN setzen die Täter sofort ein. Die Betrüger überweisen sich vierstellige Summen," so Erfort, "alles was das Konto ihres Opfers hergibt." Den Betrug merken die Opfer erst später, weil sie vom angeblichen Bankmitarbeiter angewiesen wurden, sich in den nächsten Stunden nicht in ihr Online-Konto einzuloggen.
