Theo hãng bảo mật Symantec, tội phạm mạng có thể tổ chức những chiến dịch tấn công phức tạp để lấy cắp thông tin thẻ tín dụng trước khi bán chúng ra thị trường chợ đen. Hoặc chúng cũng có thể sử dụng dữ liệu lấy cắp từ dải từ của thẻ để tạo ra thẻ giả. Đây là một thị trường đầy tiềm năng mà ở đó các thẻ cá nhân có thể được bán tới giá 100 USD/chiếc.

Tuy nhiên, một điểm yếu của thẻ tín dụng giả là thời gian sử dụng không thể kéo dài. Các công ty thẻ sẽ rất nhanh chóng nhận ra những khoản chi tiêu bất thường và chủ sở hữu thẻ cũng vậy. Điều này có nghĩa là tội phạm mạng cần một nguồn cung cấp ổn định và dồi dào số thẻ mới.
Trong bối cảnh đó thì các cuộc tấn công nhắm tới hệ thống điểm thanh toán (POS) trở nên đầy hấp dẫn trong mắt hacker. Về hình thái tấn công, tất nhiên sẽ phức tạp hơn và đòi hỏi nhiều giai đoạn hơn so với đánh cắp thông tin thẻ tín dụng. Đầu tiên, những kẻ tấn công phải đạt được quyền truy nhập tới mạng của nạn nhân. Thông thường, kẻ tấn công sẽ tìm cách truy nhập vào một mạng liên kết, không trực tiếp tiếp xúc với môi trường dữ liệu của chủ thẻ.
Sau đó, những kẻ tấn công sẽ phải tìm kiếm khắp mạng đó để có được quyền truy nhập tới hệ thống POS đó. Tiếp theo, chúng sẽ cài đặt mã độc để lấy cắp dữ liệu từ hệ thống bị kiểm soát. Bởi vì hệ thống POS hầu như không có truy nhập mạng bên ngoài, dữ liệu bị lấy cắp sau đó thường sẽ được gửi tới một máy chủ nội bộ và cuối cùng sẽ được trích xuất từ mạng của nhà bán lẻ để gửi tới kẻ tấn công.
Có nhiều phương pháp mà một kẻ tấn công có thể sử dụng để giành được quyền truy nhập tới một mạng doanh nghiệp. Chúng có thể tìm những điểm yếu tồn tại trong hệ thống bên ngoài, chẳng hạn như sử dụng thủ thuật SQL injection trên một máy chủ Web hoặc tìm kiếm một thiết bị ngoại vi vẫn sử dụng mật khẩu mặc định của nhà sản xuất. Hoặc, chúng có thể tấn công mạng doanh nghiệp từ bên trong bằng cách gửi ra một email lừa đảo dạng spear phishing tới một cá nhân nằm trong tổ chức. Email lừa đảo này có thể chứa nội dung đính kèm độc hại hoặc một liên kết tới một trang web cho phép cài đặt một chương trình cửa hậu vào máy tính của nạn nhân. 
Một khi đã thâm nhập được vào mạng doanh nghiệp, những kẻ tấn công sẽ cần phải giành được quyền truy nhập tới những mục tiêu quan trọng nhất của chúng – đó là hệ thống điểm thanh toán (POS). Những kẻ tấn công thường sử dụng hàng loạt những công cụ để nắm rõ hệ thống mạng, định vị các hệ thống bên trong môi trường dữ liệu của chủ sở hữu. Mặc dù chúng có thể sử dụng những lỗ hổng bảo mật hoặc những kỹ thuật khác để giành quyền truy nhập tới những hệ thống này, nhưng phương pháp đơn giản nhất và lại hiệu quả nhất đó là sử dụng thông tin truy nhập của chính người dùng. Thông tin người dùng có thể thu được thông qua những chương trình Trojan keylogg (lưu giữ các thao tác của người dùng trên máy), những chương trình khai thác mật khẩu, bẻ khóa, và/hoặc chương trình hiển thị lại nội dung người dùng truy nhập, hoặc thậm chí sử dụng bạo lực. Và cuối cùng, những thông tin truy nhập cấp độ quản trị sau đó có thể được tội phạm nắm giữ.
Từ đây, tội phạm mạng thậm chí có thể giành quyền kiểm soát bộ quản lý tên miền – cho phép chúng truy nhập với đủ quyền hành tới tất cả các máy tính trong một mạng. Một khi kiểm soát được mạng, những kẻ tấn công có thể tiếp cận tới môi trường dữ liệu của chủ thẻ thậm chí ngay cả khi nó nằm trong một hệ mạng phân lập (segmented-network), bằng cách sử dụng mạng và các đường truyền dữ liệu được thiết lập cho những yêu cầu kinh doanh xác định trước. Khi đã vào được môi trường dữ liệu của chủ thẻ, tội phạm mạng sau đó sẽ cài đặt mã độc cho phép chúng lấy cắp dữ liệu thẻ từ các hệ thống POS này.
Bởi vì kẻ tấn công đang nhắm tới một hệ thống POS và những cuộc tấn công kiểu này sẽ cần thời gian để thu thập dữ liệu, do vậy, chúng cần những đoạn mã này tồn tại lâu dài. Không giống như những lỗ hổng về dữ liệu khi hàng triệu bản ghi đều có thể được truy nhập ngay lập tức, các lỗ hổng ở hệ thống POS đòi hỏi những kẻ tấn công phải chờ đợi cho tới khi giao dịch xảy ra và từ đó chúng mới có thể thu thập dữ liệu theo thời gian thực, khi mỗi thẻ tín dụng được sử dụng. Chính vì điều này, việc phát hiện tấn công từ sớm có thể hạn chế mức độ thiệt hại. Việc duy trì mã độc thường xuyên có thể dễ dàng thực hiện bằng cách sử dụng những kỹ thuật đơn giản để đảm bảo nó luôn hoạt động và tự khởi động lại bất cứ khi nào hệ thống khởi động.