Jego mechanizm jest prosty: fałszywy mejl wzywa klienta banku do podania swoich danych osobowych, numeru konta czy karty (czasem nawet PIN do niej!) w specjalnym formularzu na stronie, do której link podany jest w liście. Mejl i strona wyglądają na autentyczne – ta sama kolorystyka, logo banku.
W rzeczywistości jest to oszustwo. Wpisanie danych to tak naprawdę danie bezpośredniego dostępu do rachunku i pieniędzy na nim zgromadzonych. Oszuści mogą wyczyścić konto nawet w ciągu kilku godzin, jeśli wysłali mejla z lokalnego serwera. Jeśli działają poza Polską, może im to zająć do 12 godzin.
Na braku wiedzy klientów banków żerują cyberoszuści. Liczą, że ci naiwni podadzą im dane, a tym samym pieniądze na tacy. Bankowcy twierdzą, że cały czas uczą klientów, żeby swoimi danymi nie szafowali, żeby na przykład PIN nie zapisywali w notesie. Na stronach internetowych banków są też poradniki, jak nie dać się oszustom i hakerom.
Rosnąca liczba ataków na klientów banków wskazuje jednak, że te działania to stanowczo za mało. Banki powinny po prostu wspólnie złożyć się na potężną kampanię informacyjną. Może ona w efekcie być tańsza niż straty, które w przyszłości spowodują cyberataki.
