La empresa también dio a conocer que los atacantes operan de una forma inusual, es decir ellos roban directamente a los bancos en vez de robar de las cuentas de los clientes de éstos. La Carbanak utilizaba correos electrónicos cuidadosamente manipulados para que los empleados de los bancos abrieran los archivos que incluían. Esta técnica es común hoy día y se conoce como phising. De esta manera los empleados de los bancos instalaban software malicioso o malware que les daba acceso a los hackers a las redes internas de los bancos y a los sistemas de videovigilancia.
Según Kaspersky, los delincuentes aprendían como trabajaban los empleados de las entidades para luego poder imitar sus movimientos a la hora de transferir dinero. En algunos casos, Carnabak aumentaba los saldos de las cuentas antes de robarse los fondos adicionales a través de una transacción fraudulenta. Como los fondos legítimos todavía estaban en las cuentas, no se sospechaba de ningún problema.
Kaspersky asegura que la mayoría de los hackers son europeos entre los que se encuentran rusos, ucranios y también algunos hackers de la China pero oficiales no han logrado identificar a los piratas.
