Kern der Methode ist die Beschaffung ausreichender persönlicher Daten, um einen echten Kreditnehmer überzeugend zu imitieren. Dazu zählen Namen, Adressen, Geburtsdaten und in manchen Fällen bonitätsbezogene Angaben. Der gesamte Prozess ist digitalisiert; der Angreifer reicht mit einer falschen Identität einen Kreditantrag ein. Entscheidend ist dabei die Unterscheidung: Das System wird nicht „aufgebrochen", sondern es werden die Schwächen in seinem Aufbau ausgenutzt.

Ein zentraler Bestandteil ist die Fähigkeit, Identitätsprüfungen zu bestehen — insbesondere solche, die auf wissensbasierter Authentifizierung (Knowledge-Based Authentication, KBA) beruhen. Diese Systeme stützen sich typischerweise auf Fragen zu früheren Adressen, zur Kredit- und Darlehenshistorie sowie zu beruflichen oder familiären Verbindungen. In der Praxis lässt sich ein Großteil dieser Informationen aus öffentlich zugänglichen Daten, Social-Media-Profilen, früheren Datenlecks und aggregierten Identitätsdatensätzen rekonstruieren oder ableiten.

Damit verwandeln Angreifer die Verifizierung von einer echten Hürde in einen vorhersehbaren Schritt. Laut Flare beziehen sie gestohlene Identitäten, KBA-Antworten und Finanzhistorien aus Dark-Web-Foren und Untergrundmärkten — lange bevor sie überhaupt mit einem Institut in Kontakt treten. Das Unternehmen gibt an, Tausende dieser Quellen fortlaufend zu überwachen.

Flare gliedert das Vorgehen in mehrere Phasen: Beschaffung der gestohlenen Identitätsdaten, Bewertung des Bonitätsprofils des Opfers zur Einschätzung der Bewilligungswahrscheinlichkeit, Vorbereitung auf die KBA-Fragen, Auswahl des Ziels, Einreichung des Kreditantrags mit konsistenten Daten, erfolgreiches Bestehen der Prüfungen, Kreditbewilligung samt Auszahlung sowie schließlich das Verschieben und Abheben der Gelder.

Auffällig ist die Konzentration auf kleinere Finanzinstitute. Statt großer Banken oder stark gesicherter Fintech-Plattformen werden bewusst kleine und mittelgroße Kreditgenossenschaften gewählt, weil sie als stärker auf traditionelle Verifizierungsmethoden angewiesen, schlechter mit fortgeschrittener verhaltensbasierter Betrugserkennung ausgestattet und eher auf Kundenfreundlichkeit als auf strikte Kontrollen ausgerichtet gelten. Diese Wahrnehmung allein genügt laut Flare, um die Zielauswahl zu beeinflussen. Branchenberichte stützen den Trend: Allein im Bereich der Kfz-Finanzierung soll das Betrugsrisiko 2025 auf 9,2 Milliarden US-Dollar steigen, wobei kleinere und regionale Kreditgeber zunehmend unter Druck organisierter Betrugsmaschen stehen.

Ist ein Kredit bewilligt, folgt die kritischste Phase: die Umwandlung des Zugangs in Geld. Aus Sicht des Instituts wirkt der Vorgang legitim, und die Mittel werden über die üblichen Kanäle freigegeben wie bei einem echten Kunden. Anschließend zählen Geschwindigkeit und Distanz: Die Gelder werden rasch vom Ursprungskonto fortbewegt, häufig über Zwischenkonten, die Abstand zur Quelle schaffen, und schließlich abgehoben oder umgewandelt. Schwer zu erkennen ist diese Phase, weil jede einzelne Aktion — Überweisungen, Abhebungen, Kontobewegungen — für sich genommen normalem Finanzverhalten gleicht. Das Risiko liegt darin, wie diese Schritte in einem eng begrenzten Zeitfenster aneinandergereiht werden, sodass der Geldabfluss abgeschlossen ist, bevor Erkennungssysteme oder manuelle Prüfungen eingreifen.

Die Methode liefert zugleich Hinweise darauf, wer am häufigsten Ziel von Identitätsdiebstahl wird: Personen mit etablierter, stabiler Bonität, da sie die Bewilligungschance erhöhen; digital stark präsente Personen, die unbeabsichtigt verwertbare persönliche Details preisgeben; sowie Kunden kleinerer Finanzinstitute mit weniger ausgereiften Erkennungssystemen.