Mit nem lehet érteni?
1. Feltörik a mac notebookot vagy asztali gépet, telepítenek rá egy RAT-et. Ha ki van kapcsolva a mackel párosított iphone SMS szinkronizáció, akkor bekapcsolják
2. Megvárják, amíg fizet a user valahol a mac-ben megnyitott böngészőben, lehetőleg nem egyszer használatos Revolut kártyával, mert ott ismerik az ügyfélszolgálat minőségét meg azt, hogy a tokenizálás SMS-ben történik
3. Egy inaktív időszakban (hajnali 3 például) a megszerzett kártya adataival elindítják egy hajléktalan nevén levő apple ID-ra a tokenizálást. A kártyaszámot, lejárati datumot, CVV-t megszerezték az előző pontban, a megerősítő SMS-t látják a feltört macen keresztül.
4. Bemennek Alihoz, a Bagdad Refurbished & Used Electronics Store-ba és lehúznak mondjuk 1000 USD-t a terminálon. Ebből Ali visszaad nekik 500-at készpénzben. És ezt még párszor, amíg el nem utasítják fedezet hiány miatt. Utána vesznek cipőt, parfümöt, stb. a telefonnal a megmaradt összegből. Mivel IPhone-nal fizetnek, amíg van fedezet a számlán vagy le nem tiltják a kártyát a tranzakció sikeres lesz megerősítés nélkül (hiszen az iphone face id-val vagy ujjlenyomattal kerül feloldásra). Külön öröm a beállított automatikus egyenleg feltöltés a Revoluton. Persze mindezt szintén hajnali 3-kor, hogy a user minél később tiltsa le a kártyát.
5. A user a pénzét nem kapja vissza: az Apple azt mondja, hogy a tokenizálást a Revolut engedélyezte az adott telefonhoz, az ügy nem hozzá tartozik. A Revolut azt mondja, hogy a tranzakciót megbízható iphone-ról indították, így nincs joga elutasítani vagy egyáltalán vizsgálni, ha nem a tied az iphone, minek tokenizáltál oda.