Kịch bản đại khái thế này:
1. Kẻ lừa đảo nhắn tin cho nạn nhân một tin nhắn dọa dẫm cảnh báo gì đó, và 'yêu cầu nạn nhân đăng nhập vào một trang web có tên miền .com (gần) giống với tên ngân hàng. Tin nhắn kẻ lừa đảo gửi đi không phải dạng số, mà là dạng chữ kiểu như 'Ngân hàng XYZ'. Có rất nhiều công ty cung cấp dịch vụ kiểu này, các cụ cứ search SMS branding là ra. Các công ty môi giới, dự án bất động sản rất hay dùng chiêu này.
2. Nạn nhân đăng nhập vào trang web giả mạo có tên miền gần giống tên ngân hàng.
Sẽ có 3 nội dung kẻ lừa đảo yêu cầu nạn nhân điền vào gồm: tên đăng nhập, mật khẩu VÀ MÃ XÁC THỰC
, nhưng ô nhập mã xác thực bị ẩn mà chưa hiện lên ngay.
Ngay khi đó, username và pass của nạn nhân đã bị lộ.
3. Phần mềm của kẻ lừa đảo ngay lập tức tức đăng nhập vào trang web chính thức của ngân hàng, VÀ CHO HIỆN Ô YÊU CẦU NHẬP MÃ XÁC THỰC lên.
4. Ngân hàng sẽ gửi SMS cho người dùng để yêu cầu xác thực (khi kẻ lừa đảo đang đăng nhập).
5. Người dùng nhập MÃ XÁC THỰC
vào trang web của kẻ lừa đảo.
6. Kẻ lừa đảo dùng mã xác thực để đăng nhập vào web của ngân hàng.
8. Sau đó thì kẻ lừa đảo muốn làm gì thì làm với tài khoản của khách. (Có thể cần mã xác thực lần nữa khi chuyển tiền).