מרץ 2011. חברת RSA Security - אחת מחברות האבטחה המכובדות בעולם - עומדת לסבול מאחת הפרצות המביכות ביותר בהיסטוריה. הטוקנים של SecurID, שמאות אלפי עובדים בחברות ביטחוניות אמריקניות השתמשו בהם כדי להתחבר לרשתות מסווגות, ייפרצו. Lockheed Martin, Northrop Grumman, L-3 Communications - כולן תלויות בהצפנה שבאותו טוקן קטן.
אבל לפני שנבחן את הפרצה עצמה, שאלו את עצמכם: כיצד מקים תוקף שאין לו גישה לאף מערכת של RSA את ההתקפה? התשובה היא שבועות של reconnaissance. התוקפים מצאו ב-LinkedIn עובדים של RSA, זיהו את פורמט האימייל (first.last@rsa.com), איתרו קבוצת HR קטנה של 4 אנשים, וניסחו מייל עם קובץ Excel בשם "2011 Recruitment Plan.xls". הם ידעו שצוות HR פותח קבצי Excel ממקורות לא מוכרים. הפישינג עבד בגלל שהתוקפים הכירו את המטרה טוב יותר ממה שרוב העובדים הכירו זה את זה. ההתקפה התחילה שבועות לפני שהוקלד פקוד exploit אחד.
זה reconnaissance.