Supposons qu’un escroc prenne pour cible une multinationale. Dans un premier temps, il essaiera d’accumuler le plus d’informations possible sur cette organisation : Quelle est la structure de l’entreprise ? Comment fonctionne la communication entre ses employés ? Dans quels domaines l’entreprise est-elle active ? Une liste de diffusion d’emails est également un élément important pour l’obtention des adresses nécessaires. Ceci dit, l’agresseur n’envoie pas d’email à toute l’entreprise : le risque d’être découvert et d’alerter l’entreprise de son action serait trop grand.
L’escroc envoie donc un email à quelques personnes choisies et s’adresse à elles personnellement. En parallèle, l’agresseur a collecté des informations détaillées sur ces personnes dans les réseaux sociaux. Pour la victime, le message est donc particulièrement réaliste. L’agresseur prétend envoyer l’email de la part d’un employé de rang supérieur d’une autre filiale. Le nom et l’adresse de l’expéditeur sont très faciles à falsifier et, à première vue, rien n’indique que le message provienne de quelqu’un d'autre.
Dans l’email, l’agresseur intègre un bouton conduisant la victime, en un clic, sur un site également falsifié. L’objectif réel de cette manipulation est masqué. Dès que l’utilisateur accède à ce site, le téléchargement d’un logiciel malveillant peut être lancé en arrière-plan. À mesure que celui-ci se propage sur l’ordinateur de la victime, l’escroc peut, dans certaines circonstances, espionner la totalité du réseau de l’entreprise.
À ce moment-là, la victime pense toujours avoir accédé à un site normal et y a peut-être déjà participé à un sondage. C’est ainsi que le virus peut se propager de manière inaperçue dans le réseau de l’entreprise et que l’agresseur en obtient l’accès sans affecter les processus critiques de l’entreprise.