На этой стадии происходит сбор как можно большего количества информации о цели атаки. Взломщика может интересовать буквально все: версии программного обеспечения, имена, фамилии, даты рождения пользователей и администраторов системы, режим их работы, используемое аппаратное обеспечение и так далее.
Полезным может оказаться навести справки об администраторе системы – будет возможно сделать предположение о его опыте и знаниях.
Практически разведка не заканчивается никогда – в ходе атаки, взломщик продолжает собирать информацию о системе и ее окружении, основываясь на которой он корректирует ход атаки.
Возможность разведки основана на очевидном факте, что каждая, достаточно сложная система – компьютерная или предприятие – содержит большое количество каналов взаимодействия с внешним миром. Практически невозможно предотвратить утечку информации через эти каналы, тем более что часто свою роль играет человеческий фактор.