Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeitende so manipuliert werden, dass sie unzulässig handeln. Ein typischer Fall von Angriffen mit Hilfe von Social Engineering ist das Manipulieren von Mitarbeitenden per Telefonanruf, bei dem sich die Angreifenden z. B. ausgeben als:

Wenn kritische Rückfragen kommen, ist der oder die Neugierige angeblich „nur eine Aushilfe“ oder eine „wichtige“ Persönlichkeit.

Eine weitere Strategie beim systematischen Social Engineering ist der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld können Angreifende Wissen sammeln und Vertrauen aufbauen, das später ausgenutzt werden kann.

Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen erworben wurden.

Viele Anwendende wissen, dass sie Passwörter an niemanden weitergeben dürfen. Social Engineers wissen dies und müssen daher über andere Wege an das gewünschte Ziel gelangen. Beispiele hierfür sind:

Wenn sich Angreifende unerlaubt Passwörter oder andere Authentisierungsmerkmale verschaffen, beispielsweise mit Hilfe von Social Engineering, wird dies häufig auch als „Phishing“ (Kunstwort aus „Password“ und „Fishing“) bezeichnet.

Beim Social Engineering treten Angreifende nicht immer sichtbar auf. Oft erfährt das Opfer niemals, dass es ausgenutzt wurde. Ist dies erfolgreich, müssen die Angreifenden nicht mit einer Strafverfolgung rechnen und besitzen außerdem eine Quelle, um später an weitere Informationen zu gelangen.

• Vorzimmerkraft, deren Führungskraft schnell noch etwas erledigen will, aber ihr Passwort vergessen hat und es jetzt dringend braucht,
• eine Person aus dem IT-Betrieb, die wegen eines Systemfehlers anruft, für dessen Fehlerbehebung noch das Passwort benötigt wird.

• Angreifende können das Opfer bitten, ihm unbekannte Befehle oder Applikationen auszuführen, z. B. weil dies bei einem IT-Problem helfen soll. Dies kann eine versteckte Anweisung für eine Änderung von Zugriffsrechten sein. So können Angreifende an sensible Informationen gelangen.
• Viele Benutzende verwenden zwar starke Passwörter, aber dafür werden diese für mehrere Konten genutzt. Wenn Angreifende einen nützlichen Netzdienst (wie ein E-Mail-Adressensystem) betreiben, an dem die Anwendenden sich authentisieren müssen, können sie an die gewünschten Passwörter und Logins gelangen. Viele Benutzende werden die Anmeldedaten, die sie für diesen Dienst benutzen, auch bei anderen Diensten verwenden.