Fingere per un momento che sto indagando su un attacco. Trovo errori nel metodo di attacco (errori fatti dall'attacco umano alla mia rete / computer). Compilo un database di questi "errori" trattandoli come un'impronta digitale. Poi guardo attraverso siti come security.stackexchange.com confrontando gli errori con le domande poste / risposte. Quanti elementi positivi sentiresti di cui ho bisogno prima di avere un strong vantaggio su un sospetto? Tieni presente che posso incrociare riferimenti ad altri siti. Quanti siti con riferimenti incrociati dovrei utilizzare prima di avere una causa sufficiente per chiamare qualcuno come sospetto? Questa è un'opinione, quindi la domanda potrebbe essere chiusa. Tuttavia, questa è anche una tecnica valida anche se inesatta. Sto anche considerando che molti "attacchi" sono tecniche di ricettario. Nell'essere usato ripetutamente, la prima persona a capire la tecnica ha commesso l'errore, e tutti gli altri la stanno semplicemente riproducendo ad un certo livello.