A veces no hacen falta sofisticadas técnicas o inyecciones para conseguir el objetivo, basta con un poco de ingeniería social para que la víctima introduzca casi cualquier dato solicitado, incluso aunque dicho dato se trate de la tarjeta de crédito en un sitio que nunca te la habría pedido. En el caso que nos ocupa, una infección de Citadel altera varias webs conocidas con una inyección, para solicitar datos bancarios al ingresar en sitios como Facebook, MSN o incluso Gmail.