Szkodniki typu POSeidon podszywają się pod pliki systemowe lub usługi sieci. Oferują ulepszone możliwości wyszukania określonych ciągów danych i pozwalają na zapisanie ich w pliku tekstowym, by po cichu wykraść je w po kilku sekundach. Ich działania nie zakłóci restart urządzenia. Mogą uruchomić się w pamięci terminala POS nawet wtedy, gdy użytkownik nie jest zalogowany. W zainfekowanym sprzęcie instaluje się także keylogger, który przeszukuje pamięć terminala w celu odnalezienia ciągu liczb, które mogą być numerami kart kredytowych. Po ich weryfikacji przy użyciu odpowiedniego algorytmu (Luhn) numery są szyfrowane i wysyłane do rosyjskiej domeny (.ru).

Aby wykryć i zabezpieczyć dowody włamania do terminala POS, detaliści muszą regularnie sprawdzać swoje zabezpieczenia i uważnie obserwować ruch wychodzący, szukając wszelkich nieprawidłowości – radzi Bitdefender (podane informacje pochodzą z komunikatu tej firmy). Na przykład warto upewnić się, czy ruch nie odbywa się w poza godzinami pracy, a dane wysyłane są do konkretnej lokalizacji.