https://owasp.org/www-community/attacks/csrf
クロスサイト リクエスト フォージェリ (CSRF) は、エンド ユーザーが現在認証されている Web アプリケーションで不要なアクションを強制的に実行させる攻撃です。ソーシャル エンジニアリング (電子メールやチャットでリンクを送信するなど) を少し利用すると、攻撃者は Web アプリケーションのユーザーをだまして、攻撃者が選択したアクションを実行させる可能性があります。被害者が通常のユーザーである場合、CSRF 攻撃が成功すると、資金の移動や電子メール アドレスの変更などの状態変更要求をユーザーに実行させることができます。被害者が管理者アカウントである場合、CSRF は Web アプリケーション全体を危険にさらす可能性があります。
CSRF は、被害者をだまして悪意のあるリクエストを送信させる攻撃です。被害者の ID と権限を継承して、被害者に代わって望ましくない機能を実行します。ほとんどのサイトでは、ブラウザーの要求には、ユーザーのセッション Cookie、IP アドレス、Windows ドメインの資格情報など、サイトに関連付けられた資格情報が自動的に含まれます。したがって、ユーザーがサイトに対して現在認証されている場合、サイトは、被害者によって送信された偽造された要求と被害者によって送信された正当な要求を区別する方法がありません。
CSRF 攻撃は、被害者の電子メール アドレスやパスワードの変更、何かの購入など、サーバーの状態変化を引き起こす機能を標的とします。被害者にデータの取得を強制しても、攻撃者は応答を受け取らず、被害者が受け取るため、攻撃者にはメリットがありません。そのため、CSRF 攻撃は状態変更要求をターゲットにします。
脆弱なサイト自体に CSRF 攻撃を格納できる場合があります。このような脆弱性は「保存された CSRF の欠陥」と呼ばれます。これは、HTML を受け入れるフィールドに IMG または IFRAME タグを格納するだけで、またはより複雑なクロスサイト スクリプティング攻撃によって実現できます。攻撃が CSRF 攻撃をサイトに格納できる場合、攻撃の重大度は増幅されます。特に、被害者はインターネット上のランダムなページよりも攻撃を含むページを表示する可能性が高いため、可能性が高くなります。被害者はすでにサイトに対して確実に認証されているため、可能性も高くなります。

https://www.eccouncil.org/what-is-social-engineering/
このソーシャル エンジニアリング詐欺には、被害者と詐欺師の両方に利益をもたらす情報交換が含まれます。詐欺師は、双方の間に公正な交換が存在すると獲物に信じ込ませますが、実際には、詐欺師だけが利益を得る立場にあり、被害者は何もしません。Quid Pro Quo の例としては、IT サポート技術者を装った詐欺師が挙げられます。詐欺師は、会社が見返りに技術サポートを受けると言って、会社のコンピューターのログイン資格情報を要求します。被害者が資格情報を提供すると、詐欺師は会社のコンピューターを制御できるようになり、マルウェアをロードしたり、ID 盗難の動機となる個人情報を盗んだりする可能性があります。
「代償攻撃（別名、何かに対して何かをする」攻撃）は、餌付けの一種です。見返り攻撃は、利益を約束してターゲットをおびき寄せる代わりに、特定のアクションの実行に基づいてサービスまたは利益を約束します。」 https://resources.infosecinstitute.com/topic/common-social-engineering -attacks/#:~:text=A%20quid%20pro%20quo%20attack,execution%20of%20a%20specific%20action.