Eine Frau ruft eine Arztpraxis an, um einen Termin für eine Vorstellung einer neuen Softwarelösung zu vereinbaren. Die Praxisassistentin Anna lehnt ab, da sie mit der eigesetzten Software sehr zufrieden ist. Beim Verabschieden erkundigt sich die Frau interessenhalber, welche Lösung denn eingesetzt werde.
Einige Wochen später ruft ein Mann namens Martin die gleiche Arztpraxis an. Er behauptet, dass es ein dringendes Sicherheitsupdate für die verwendete Praxissoftware gibt und dass er persönlich vorbeikommen müsse, um es zu installieren. Martin weiss, welche Softwarelösung die Arztpraxis einsetzt und auch die Nummer, welche im Display von Anna angezeigt wird, passt zur Softwarefirma. Martin erzählt, dass das Update schnell installiert werden müsse um kritische Schwachstellen zu beheben und sensible Patientendaten zu schützen.
Anna ist besorgt über die Sicherheit der Patientendaten und nimmt Martins Anruf ernst. Sie hat zwar von ihrem Vorgesetzten, welcher an einem Kongress weilt, keine spezifischen Anweisungen erhalten, will die Sicherheit der Praxis aber gewährleisten und stimmt Martins Besuch zu.
Noch am selben Tag erscheint Martin in der Praxis und wird von Anna freundlich begrüsst. Er trägt eine Jacke mit dem Logo des bekannten Softwareunternehmens und hat eine Tasche mit Laptop und verschiedenen Kabeln bei sich. Anna führt ihn zu einem freien Behandlungszimmer, in dem er seine Arbeit verrichten kann.
Während Martin vorgibt, das Sicherheitsupdate zu installieren, nutzt er die Gelegenheit, um sich unauffällig Zugang zu den Computern und dem Netzwerk der Praxis zu verschaffen. Er installiert heimlich eine Remote-Zugriffssoftware, die es ihm ermöglicht, später von extern auf die Systeme zuzugreifen. Nachdem Martin sein angebliches Update abgeschlossen hat, bedankt er sich bei Anna und verlässt die Praxis. Anna, erleichtert über die Installation des Updates, geht zurück an ihren Arbeitsplatz und geht davon aus, dass die Patientendaten jetzt sicher sind.
Was Anna zu dem Zeitpunkt noch nicht ahnt, ist dass die Angreifertruppe bereits mit dem Datendiebstahl der Patientenakten begonnen hat. Zwei Tage später geht eine Erpresserforderung im E-Mail Postfach ein. Überweist die Praxis innerhalb von 48 Stunden die Lösegeldforderung nicht, werden die Patientendaten im Darknet veröffentlicht. Zum Beweis sind einige Patientenakten dem E-Mail angefügt.
Dieses Beispiel verdeutlicht, wie Social Engineering auch in einer vertrauenswürdigen Umgebung wie einer Arztpraxis erfolgreich sein kann, wenn Mitarbeiter nicht ausreichend geschult sind oder die Bedeutung von Sicherheitsvorkehrungen unterschätzen.