Sprawa zaczęła się, gdy w listopadzie 2020 r. powód zamieścił na platformie sprzedażowej OLX ofertę sprzedaży butów dziecięcych za 10 zł. Za pośrednictwem komunikatora WhatsApp skontaktowała się z nim osoba wyrażająca zainteresowanie zakupem. Poprosiła o wysłanie towaru. Przekonywała, że wysyłka jest prosta i wygląda tak, że kupujący składa zamówienie i wysyła link, w którym sprzedający potwierdza zamówienie. Następnie generowany jest kod do paczkomatu, dzięki któremu można nadać przesyłkę.
Powód dostał od kupującej link prowadzący do fałszywej strony internetowej. W zawartym tam formularzu powód wpisał kwotę 10 zł oraz podał dane swojej karty płatniczej wydanej przez mBank. Formularz wymagał wpisania kodu potwierdzającego transakcję, wysłanego na numer telefonu sprzedającego.
Powód otrzymał od banku SMS z kodem, ale potwierdzającym nie przelew, lecz aktywację nowej karty płatniczej – należącej do oszusta. Nie dostrzegłszy tej różnicy, powód wpisał kod do formularza. Oszust wykorzystał uzyskane dane i dokonał serii przelewów na kwotę ponad 19,5 tys. zł.
