Útočník se vždy snaží udělat útok levný a vysoce efektivní. Hackerské pravidlo říká “Proč přelézat vysokou zeď, když jsou možná někde otevřené dveře?” Často jsou tím nejslabším článkem v zabezpečení organizace uživatelé. V případě, že jsou bezpečnostní technologie, které organizaci chrání na vysoké úrovni a útok na ně by byl moc nákladný, může se stát, že hacker zaútočí na uživatele.
Cílený – Spear Phishing
Nejběžnějším a nejlevnějším útokem na uživatele je phishing. Uživatelé se stávají cílem phishingu velmi často. V etickém hackingu jsou phishingové kampaně vzdělávací a používají se pro zvýšení ostražitosti a bdělosti uživatelů. Uživatelé, kteří mají osobní zkušenost s útokem jsou mnohem opatrnější, znají rizika a phishing včas rozpoznají.
Telefonické kampaně
Při telefonické kampani se snaží etický hacker manipulovat uživatel k vyzrazení informace, která by neměla být do telefonu komunikována. Detailní scénář kampaně se zpracovává po dohodě se zadavatelem, vždy tak aby nebyla narušena bezpečnost. Hlavní důraz je kladen na vzdělávání uživatele.