A támadó beépül a terminál és a kártya közé, a terminállal azt hiteti el, hogy PIN kódos tranzakció indul, míg a kártya úgy tudja, hogy a felhasználó (kézzel írott) aláírással hitelesítette a tranzakciót. A kártya így nem kér PIN kódot, a banki rendszer naplói szerint viszont PIN kódos tranzakció történt.

A támadó (pl. egy csaló kereskedővel együttműködve) így le tudja emelni a felhasználó számlájáról a pénzt, és a bank naplóiban az fog szerepelni, hogy PIN-es tranzakció történt, vagyis a tranzakciót jóváhagyó személy ismerte a kártya PIN kódját. (Ezért a kereskedő minden gyanú felett áll, a bank pedig nem fizet kártérítést.)

A szerzők állítása szerint teljesen megtörték a chipes bankkártyákat.

A támadást részleteit leíró teljes cikk itt érhető el.

A cikk szerzői közül Ross Anderson a legismertebb név, ő pl. a Security Engineering című könyv szerzője. A könyv letölthető Ross Anderson honlapjáról. (Az első kiadása teljes egészében, a második kiadásból csak néhány fejezet.)