Wikipedia.org define engenharia social como "... a prática de obtenção de informações confidenciais por manipulação de usuários legítimos." Esses usuários geralmente têm conhecimento dos títulos que protegem contra invasores, e pode ser enganado e dando a informação que possa permitir a um invasor obter acesso.
Os engenheiros sociais usam uma prática chamada de "con jogo" para ganhar a confiança de alguém que tenha autorizado o acesso a uma rede. O atacante usa essa confiança para levar o usuário de destino para revelar informações sensíveis.
Um engenheiro social geralmente tem como alvo a fraqueza do usuário que às vezes é o seu carisma ou prestimosidade natural. É a usuários mais votos que sair de seu caminho para fornecer o engenheiro social com informações que normalmente não seriam autorizados a dar. "Apelo à vaidade, recorrer à autoridade, e espionagem à moda antiga são técnicas típicas de engenharia social" (estado de Wisconsin DET). Um alvo pode também não estar ciente das implicações de segurança, ou pode fazê-lo fora do descuido para a segurança.
Há vários métodos diferentes de um engenheiro social poderia usar para obter informações de um usuário legítimo. A engenharia social pode ter lugar em dois níveis, sendo um físico e outro psicológico. Exemplos de configurações físicas incluem telefones, local de trabalho, lixo e da internet. A engenharia social pode simplesmente explorar um local de trabalho para documentos que contenham informações sensíveis ou assistir a um tipo de usuário em sua senha. Alguém também pode vestir-se como um empregado ou trabalhador para ganhar acesso a áreas que de outra forma não teriam acesso.
O tipo mais comum de engenharia social é através do telefone. Os centros de apoio são geralmente os mais propensos a este ataque. O engenheiro social chama o help desk e imita alguém em uma posição de autoridade ou relevância para puxar informações. Um exemplo desse truque refere-se a PBX, "Hackers são capazes de fingir que eles estão chamando de dentro da corporação, jogando truques sobre o PBX ou o operador da empresa, para identificação de chamadas nem sempre é a melhor defesa.
Aqui está um truque PBX clássico, cuidar do Computer Security Institute: "Oi, eu sou o seu AT & T rep, eu estou preso em um poste. Eu preciso de você para perfurar um monte de botões para mim. "" (SecurityFocus). Desde que é o trabalho do help desk para ser "útil" e atender ao público, tanto quanto possível; é muito fác