Theo Symantec, những cuộc tấn công nhắm tới các hệ thống điểm thanh toán (POS) trong các môi trường phát triển thường được chia thành nhiều giai đoạn. Đầu tiên, những kẻ tấn công phải đạt được quyền truy nhập tới mạng của nạn nhân.Thông thường, kẻ tấn công sẽ tìm cách truy nhập vào một mạng liên kết, không trực tiếp tiếp xúc với môi trường dữ liệu của chủ thẻ (cardholder data environment – CDE).
Sau đó, những kẻ tấn công sẽ phải tìm kiếm khắp mạng đó để có được quyền truy nhập tới hệ thống POS đó. Tiếp theo, chúng sẽ cài đặt mã độc để lấy cắp dữ liệu từ hệ thống bị kiểm soát. Bởi vì hệ thống POS hầu như không có truy nhập mạng bên ngoài, dữ liệu bị lấy cắp sau đó thường sẽ được gửi tới một máy chủ nội bộ (internal staging server) và cuối cùng sẽ được trích xuất từ mạng của nhà bán lẻ để gửi tới kẻ tấn công.
