Khoảng tháng 6-2008, Toàn được cử sang Trung tâm thẻ của Ngân hàng (NH) Phát triển nhà ĐBSCL (MHB, đơn vị ký hợp đồng với Trans Infotech để lắp đặt, bảo trì hệ thống phần mềm quản trị thẻ ATM) để hỗ trợ và khắc phục sự cố. Toàn đã phát hiện một tập tin có chứa mật khẩu để truy cập vào hệ thống cơ sở dữ liệu của NH, có thể truy cập vào hệ thống cơ sở dữ liệu thẻ, chỉnh sửa thông tin.
Tháng 1-2011, Toàn làm giả một CMND tên Nguyễn Nan, dùng để mở thẻ ATM tại MHB. Sau đó, Toàn đột nhập vào hệ thống cơ sở dữ liệu thẻ, tạo một tài khoản khống mang tên Lê Ngọc Trúc và ghi khống vào tài khoản này lần đầu 250 triệu đồng, lần hai 450 triệu đồng.
Toàn chỉnh sửa số thẻ ATM của Lê Ngọc Trúc trùng với của Nguyễn Nan rồi dùng thẻ Nguyễn Nan rút gần 330 triệu đồng từ tài khoản của Lê Ngọc Trúc. Sau đó, Toàn tiếp tục tạo một tài khoản khống mang tên Lê Văn Lâm và ghi khống 1,5 tỉ đồng. Tuy nhiên, chưa kịp rút tiền thì thẻ ATM của Nguyễn Nan bị mất trộm. Khi Toàn liên lạc với MHB để khóa thẻ thì sự việc bị phát hiện.