Nehmen wir an, ein Betrüger hat sich als Opfer einen internationalen Konzern ausgesucht. Zunächst wird er versuchen, möglichst viele Informationen herauszufinden: Wie ist das Unternehmen aufgebaut? Wie funktioniert die Kommunikation untereinander? In welchen Bereichen ist das Unternehmen aktiv? Auch ein E-Mail-Verteiler ist wichtig, um die benötigten Adressen zu erhalten. Der Angreifer schickt die E-Mail allerdings nicht an den ganzen Konzern: zu hoch wäre die Gefahr, dass der Betrugsversuch schnell entdeckt und das ganze Unternehmen vor der Aktion gewarnt wird.
Stattdessen schickt der Betrüger nur ausgewählten Personen die E-Mail und spricht diese darin auch konkret an. Über soziale Netzwerke hat der Angreifer detaillierte Informationen über die Mitarbeiter gesammelt. Für das Opfer wirkt die Nachricht deshalb besonders glaubwürdig. Als Autor der E-Mail wählt der Angreifer einen angeblichen hochrangigen Mitarbeiter aus einer anderen Filiale. Absendername und -adresse lassen sich sehr leicht fälschen, und so fällt es auf den ersten Blick gar nicht auf, dass eigentlich jemand anderes hinter der Nachricht steckt.
In der E-Mail bringt der Angreifer einen Button unter, der das Opfer bei einem Klick auf eine ebenfalls gefälschte Website weiterleitet. Das eigentliche Ziel wird dabei verschleiert. Sobald der Nutzer die Website aufgerufen hat, kann im Hintergrund Schadsoftware geladen werden. Wenn sich diese auf dem PC des Opfers breitmacht, kann der Betrüger u. U. das komplette Unternehmensnetzwerk ausspionieren.
Das Opfer denkt zu diesem Zeitpunkt noch, es hätte eine normale Website besucht und dort vielleicht an einer Umfrage teilgenommen. So kann sich der Virus unbemerkt im Netzwerk des Konzerns ausbreiten und der Angreifer bekommt vollen Zugriff oder kann unternehmenskritische Prozesse stören.