A cikkek szerint az APEH-nek az tűnt fel, hogy egyesektől több adóbevallás is érkezett, ez alapján járt utána a hatóság az ügynek. Sikerült felvennie a kapcsolatot az áldozatokkal, akik a két bevallás közül csak az egyik aláírását ismerték el sajátjuknak. A csalónak kb. 19 millió forintot sikerült felvennie, a feltehetően pénzfelvételkor kaphatták el.

Az áldozatok ugyanazon a munkahelyen dolgoztak, így könnyen lehet, hogy a csaló az ottani nyilvántartásból jutott hozzá az adataikhoz. Látható, hogy az emberek személyes adatai sok helyen megvannak, nem szerencsés, ha önmagában a személyes adatokkal érdemi visszaélést lehet elkövetni.

A támadás alapvetően azt használta ki, hogy az APEH az adóbevallás befogadásakor alig-alig tudja ellenőrizni a bevallás hitelességét. A bevallásban szereplő adatokon kívül (amelyeket esetünkben a csaló elég jól tudott hamisítani), csupán azt tudja megvizsgálni, hogy a bevalláson van-e - kézzel írott - aláírás. Úgy vélem, ehhez képest csekély előrelépés a most használt, felhasználónév-jelszó alapon beadott adóbevallás. Most felhasználónevek és jelszavak ügyes, social engineering alapú összegyűjtésével lehetne talán kivitelezni egy nagyon hasonló támadást, ahol még az aláírások alapján sem lehet rendet tenni.

Az adóbevallást olyan példaként szokták emlegetni, ahol érzékeny adatok mozognak ugyan, de nem sok értelme van valaki más nevében adóbevallást beadni, így nemigen van lehetőség a visszaélésre. Ez az eset jó példa rá, hogy bizony, még az adóbevallással is történnek visszaélések, vannak csalások. A csalót nem vették volna észre, ha a hamis adóbevallások beküldése mellett az áldozatok igazi adóbevallását is el tudta volna téríteni (vagy pl. el tudta volna hitetni az APEH-hel, hogy a csaló adóbevallás az igazi adóbevallás korrekciója). Így is csak azért kapták el, mert nem hagyta abba elég hamar a pénzfelvételt.

Tekinthetjük ezt egy elszigetelt esetnek, de az is felmerülhet bennünk, hogy vajon hány olyan eset van, ahol nem kapják el a csalót, és esetleg fény sem derül a bűntényre.