Chuyên gia bảo mật của Cisco đã giải thích toàn bộ quy trình mà kẻ xấu áp dụng để rút số tiền trên chỉ với hơn 100 thẻ thực. Về lý thuyết, điều này không thể thực hiện được vì mỗi thẻ chỉ được rút không quá 500 USD/ngày. Tuy nhiên, hacker đã dùng phương pháp làm giả theo cách sau: Đầu tiên, chúng ăn cắp thẻ ATM thật khi đột nhập vào hệ thống RBS WorldPay (dịch vụ thanh toán qua mạng của hệ thống ngân hàng hoàng gia Scotland) lấy cắp ít nhất 100 thông tin tài khoản trả lương (payroll). Theo WorldPay, thẻ trả lương là thẻ lưu giá trị tiền có thể nạp lại, dùng được ở bất cứ điểm bán hàng nào chấp nhận thẻ tín dụng (credit) và ghi nợ (debit). Tiếp đó, hacker phải hình dung ra cách nạp lại các thẻ này. Để làm được điều đó, chúng đột nhập hệ thống RBS WorldPay một lần nữa, cho nạp lại thẻ payroll với số tiền gửi giả (chỉ là các con số nhập vào máy tính). Những con số này sẽ biến thành tiền thật khi rút qua hệ thống ATM. Bước tiếp theo, chúng phải nhân bản thông tin về thẻ đã ăn cắp thành hàng nghìn thẻ payroll thật. Điều này khá dễ dàng và rẻ tiền khi dùng các thiết bị in thẻ khác nhau, nhất là tại các nước không được giám sát chặt chẽ. Sau đó, bọn tội phạm tuyển một đội quân rút tiền (casher) để đi đến các cỗ máy ATM, dùng thẻ payroll giả (nhưng có hiệu lực) và rút tiền ra. Kế hoạch cụ thể được lập nên với các hành động đồng thời tại ít nhất 49 thành phố khắp nơi trên thế giới, trong đó có Atlanta, Chicago, Montreal, New York, Mátxcơva, Hong Kong... trên khoảng 130 máy ATM. Vào ngày 8/11/2008, mạng lưới tội phạm này tiến hành kế hoạch và rút thành công 9 triệu USD trong đêm. FBI đã có được ảnh chụp của một số casher từ camera của máy ATM và đang tiến hành điều tra.