El modo de operar, altamente sofisticado, implicaba en una primera fase el uso de un "malware" específico con el que habría conseguido las credenciales
El modus operandi utilizado para acceder a las cuentas es mediante una llamada telefónica hecha por una persona que se identificaba a sí misma a las víctimas como un empleado de un banco. Les solicitaba respuestas de seguridad y el número de cliente correspondiente a la cuenta bancaria personal.