Supongamos que un estafador ha seleccionado un grupo empresarial multinacional como víctima. En primera instancia, tratará de averiguar la máxima información posible sobre él: ¿cuál es la estructura de la empresa? ¿Cómo funciona la comunicación interna? ¿En qué sectores se sitúa la actividad de la empresa? También intentará hacerse con una lista de distribución de correo electrónico para conseguir las direcciones de correo necesarias. El atacante no enviará el correo electrónico a toda la empresa, puesto que el riesgo de que lo descubran y que toda la empresa quede en estado de alerta es demasiado elevado.
En su lugar, el estafador solo envía el correo electrónico a ciertas personas y en su mensaje se dirige directamente a ellas. El atacante ya ha recopilado información detallada de los empleados a través de las redes sociales. Por eso, el mensaje parece especialmente creíble a ojos de la víctima. Por norma general, se suele elegir un supuesto empleado de alto rango de otra filial como autor del correo electrónico. El nombre y la dirección del remitente son muy fáciles de falsificar y así, a primera vista, no parece que el mensaje haya sido enviado por otra persona.
En el correo electrónico, el atacante incluye un botón que dirige a la víctima a una página web falsa al hacer clic. En este proceso, se oculta el verdadero objetivo de la acción. En cuanto el usuario haya accedido a la página web, es posible cargar software malicioso en un segundo plano. Si este software se extiende por el ordenador de la víctima, es posible que el estafador pueda espiar toda la red corporativa de la empresa.
En este punto, la víctima todavía cree que ha visitado una página web convencional para participar, por ejemplo, en una encuesta. Así, el virus se puede extender por toda la red de la empresa sin que nadie se dé cuenta y el atacante obtiene acceso pleno a la red y puede interferir en procesos importantes para la empresa.