O mesmo caso do Departamento de Justiça (DOJ) também afirma que Sandu teria atuado como “money mule” para retirar valores após usar dados roubados de cartão de débito e PIN. Os promotores enquadram a conduta como parte de um esquema coordenado para transformar credenciais financeiras furtadas em dinheiro.

Em um relato relacionado do mesmo processo federal, promotores alegam que Gavril Sandu não apenas ajudou a obter informações de cartão de débito e PIN por meio de vishing, como também teria participado da conversão desses dados financeiros roubados em proveitos utilizáveis. O anúncio do DOJ descreve um fluxo de trabalho supostamente empregado pelos atacantes: primeiro, eles teriam adquirido credenciais de pagamento ao invadir sistemas de VOIP e executar um script para capturar informações bancárias sensíveis. Depois de o esquema obter cartões e PINs, os promotores sustentam que Sandu teria tomado medidas adicionais para viabilizar saques, incluindo atuar como “money mule”. A tese do governo indica que a conspiração foi estruturada para diminuir a rastreabilidade: o roubo das credenciais geraria instrumentos de débito fraudulentos e as retiradas subsequentes seriam direcionadas a participantes posicionados para resgatar os valores. A parte relacionada à extradição — com a transferência de Sandu da Romênia para os Estados Unidos — ressalta como fraudes conduzidas por telefone podem mobilizar infraestrutura internacional e atores transfronteiriços. Embora os procedimentos no tribunal sejam os responsáveis por definir a culpa, a divulgação do DOJ destaca o papel atribuído ao acusado na etapa de extração financeira do golpe, e não apenas no roubo inicial dos dados. O caso é processado como fraude bancária e outros delitos associados à conspiração de vishing.