1.犯罪嫌疑人首先通過釣魚網站、虛假鏈接、電腦木馬病毒等方式竊取用戶的網上支付寶賬號和密碼。，並通過購物支付、轉賬等方式盜取“寶月”的資金；

2.嫌疑人通過二維碼、手機軟件植入手機病毒等方式對用戶手機進行中毒。，並將用戶手機的所有登錄操作記錄在後臺記錄並發送到嫌疑人設置的指定郵箱，盜取“寶月”的資金用於購物支付和轉賬；

3.嫌疑人在獲取用戶的支付寶賬號、手機號等信息後，通過異地更換手機卡獲取手機驗證碼，然後修改支付寶密碼實施盜竊。嫌疑人用來轉賬的銀行卡，基本都是網購或者用別人的身份證辦理的銀行卡，以掩蓋自己的真實身份。