Главная цель злоумышленников — обойти двухфакторную аутентификацию, для которой требуется одноразовый SMS-код. Через фейковый аккаунт или от имени якобы службы безопасности присылают жертве поддельное сообщение с «кодом верификации» или уведомлением о «подозрительном входе». Затем звонят или пишут, убеждая, что для защиты аккаунта нужно срочно продиктовать код. Получив его, или даже без него, мошенники усиливают давление. Они могут присылать сообщения о якобы оформленных на имя жертвы кредитах или несанкционированном входе на «Госуслуги», хотя реального доступа у них нет. Специалисты сравнивают одноразовые коды из SMS с ключами от сейфа. Ни при каких обстоятельствах их нельзя никому сообщать. Часто мошенники инициируют запрос на сброс пароля в сервисе, чтобы на телефон жертвы пришёл настоящий код, который они затем выманивают.