Eddig jogos, feltehetőleg be tud a támadó úgy lépni, hogy mindent lemásol (QR kódot is). Kérdés, hogy ezek után hogyan tovább. Tranzakció végrehajtása esetén (pl. átutalás) mondjuk kicseréli a címzettet (számlaszám elég, a nevet úgy se vizsgálja senki és semmi) esetleg még az összeget is valami szép nagyra. Az átutaláskor is visszajön a tranzakció engedélyezésre (QR kód vagy valami hasonló). Amennyiben a QR-kódot meg tudja úgy változtatni, hogy a számlatulajdonos által beadott adatok jöjjenek vissza a jóváhagyáshoz, akkor sikeres a támadás. Ennek mi az esélye?