Une femme appelle un cabinet médical pour prendre rendez-vous afin de présenter une nouvelle solution logicielle. Anna, l’assistante médicale, refuse car elle est très satisfaite du logiciel utilisé. Au moment de partir de l’entreprise, Peter s’intéresse à la solution informatique qui est utilisée en interne.
Quelques semaines plus tard, un homme du nom de Martin appelle le même cabinet médical. Il prétend qu’une mise à jour de sécurité urgente est nécessaire pour le logiciel qu’utilise au cabinet et qu’il doit venir en personne pour l’installer. Martin sait quelle solution logicielle le cabinet médical utilise et le numéro qui s’affiche sur l’écran d’Anna correspond également à la société de logiciels. Martin raconte que la mise à jour doit être installée rapidement afin de corriger des vulnérabilités critiques et de protéger les données sensibles des patients.
Anna s’inquiète de la sécurité des données des patients et prend l’appel de Martin au sérieux. Bien qu’elle n’ait pas reçu d’instructions spécifiques de son supérieur, qui se trouve malheureusement à un congrès, elle veut garantir la sécurité du cabinet et accepte la visite de Martin.
Le jour même, Martin se présente au cabinet et est accueilli chaleureusement par Anna. Il porte une veste avec le logo de la célèbre entreprise de logiciels et a sur lui un sac contenant un ordinateur portable et divers câbles. Anna le conduit à une salle de soins libre où il peut faire son travail.
Alors que Martin prétend installer la mise à jour de sécurité, il en profite pour accéder discrètement aux ordinateurs et au réseau du cabinet. Il installe secrètement un logiciel d’accès à distance qui lui permet d’accéder ultérieurement aux systèmes depuis l’extérieur. Après avoir terminé sa prétendue mise à jour, Martin remercie Anna et quitte le cabinet. Anna, soulagée par l’installation de la mise à jour, retourne à son poste de travail et part du principe que les données des patients sont désormais en sécurité.
Ce qu’Anna ne soupçonne pas, c’est que le groupe de hackers a déjà commencé à voler les données des dossiers des patients. Deux jours plus tard, une demande de chantage arrive dans la boîte aux lettres électronique. Si le cabinet ne transfère pas la demande de rançon dans les 48 heures, les données du patient seront publiées sur le dark web. Pour preuve, quelques dossiers de patients sont joints à l’e-mail.
Cet exemple illustre comment l’ingénierie sociale peut aboutir à ses fins même dans un environnement de confiance tel qu’un cabinet médical, lorsque les employés ne sont pas suffisamment formés ou sous-estiment l’importance des mesures de sécurité.