W mailu pojawia się prośba o zalogowanie się do swojego konta mBanku przy użyciu umieszczonego tam linku.
Kliknięcie w link przekierowuje internautę na stronę łudząco podobną do strony mBanku. Od prawdziwej strony odróżnia ją to, że na początku adresu nie ma liter "https" wskazujących na to, że połączenie jest szyfrowane.
Wpisanie danych na wskazanej stronie spowoduje przekazanie ich przestępcom, którzy następnie kontaktują się z ofiarą próbując wyłudzić kody autoryzacyjne SMS, które umożliwią im przeprowadzenie transakcji.