조직 내에 신뢰할 만한 발신인으로 위장해 ID 및 패스워드 정보를 요구하는 일종의 피싱 공격. 메일을 보내 가짜 사이트로 유도하여 악성 코드를 설치하게 하거나 ID와 패스워드를 입력하게 하여 네트워크에 침입할 수도 있다. 사용자 ID와 암호를 답변하거나 링크 클릭, 메일, 팝업 창 또는 웹 사이트의 첨부 파일을 열 경우에 ID 및 암호 도용의 피해자가 되거나 조직이 위험에 처할 수 있다.